Planera för storlek och nätverk

  • 10 minuter

Azure VM är en populär IaaS-beräkningsresurstyp (infrastruktur som en tjänst) i Azure. Jämfört med paaS-beräkningstjänster (platform-as-a-service) ger virtuella Azure-datorer mer flexibilitet och kontroll över operativsystemet för den virtuella datorn (OS) och dess konfiguration. Den ökade kontrollen och flexibiliteten kräver mer planering för att stödja optimala resultat.

I den här lektionen beskrivs övergripande faktorer och överväganden för att planera distributioner av virtuella Azure Linux-datorer. Planeringsprocessen bör ta hänsyn till beräknings-, nätverks- och lagringsaspekterna för vm-konfigurationen. Vissa av dessa egenskaper är OS-specifika, med implementeringsinformation som varierar mellan olika Linux-distributioner.

Microsoft samarbetar med framstående Linux-leverantörer för att integrera sina produkter med Azure-plattformen. För att dra full nytta av den här integreringen kan du skapa virtuella Azure-datorer från fördefinierade avbildningar för olika populära Linux-distributioner, till exempel SUSE, Red Hat och Ubuntu. Du kan också skapa en anpassad avbildning av en Linux-distribution som ska köras i molnmiljön. I det här fallet kan det finnas fler steg i etableringsprocessen för virtuella Azure-datorer.

I båda fallen kan den här utbildningsmodulen hjälpa dig att ytterligare optimera distributionen. Optimering kräver att du har en stark förståelse för resursen för den virtuella Azure-datorn och dess beroenden.

Förstå resursberoenden

När du skapar en virtuell Azure-dator måste du också skapa flera associerade resurser som den virtuella Azure-datorn är beroende av för att tillhandahålla fullständig funktionalitet till det virtualiserade operativsystemet. Dessa resurser omfattar:

  • Virtuella diskar för att lagra operativsystemet, programmen och data.

  • Ett virtuellt nätverk med ett eller flera undernät för att ansluta den virtuella Azure-datorn till andra Azure-tjänster eller till dina lokala datacenter.

  • Ett nätverksgränssnitt för att ansluta den virtuella Azure-datorn till ett undernät i det virtuella nätverket.

    Kommentar

    Varje nätverksgränssnitt måste ha minst en privat IP-adress tilldelad till det dynamiskt eller statiskt. Privata IP-adresser är inte separata Azure-resurser, utan ingår i undernätskonfigurationen.

  • En resursgrupp som ska vara värd för den virtuella Azure-datorn.

  • Du kan också ange en offentlig IP-adress som är associerad med den virtuella datorns nätverksgränssnitt för att ge direkt inkommande åtkomst till den virtuella datorn från Internet.

Nu när du förstår resursberoenden för virtuella Azure-datorer kan du börja planera för vm-storleksändring.

Planera för storleksändring

För att fastställa rätt storlek för den virtuella Azure-datorn måste du överväga den avsedda arbetsbelastningen. Den storlek du väljer avgör följande egenskaper för den virtuella datorn:

  • Bearbetningskraft
  • Minne
  • Lagringskapacitet
  • Prestanda
  • Stöd för avancerade nätverksfunktioner

Viktigt!

Virtuella Azure-datorer har kvotgränser för virtuell PROCESSOR (vCPU), som du bör ta hänsyn till i planeringen. Om du vill höja kvotgränserna efter distributionen måste du skicka en onlinebegäran till Azure Support.

Azure erbjuder ett brett utbud av storlekar med olika specifikationer och prispunkter för att uppfylla en mängd olika behov. VM-storlekar grupperas i flera kategorier som representerar de typer av arbetsbelastningar som de är optimerade för. Varje kategori innehåller en eller flera serier, eller familjer, som delar vanliga underliggande maskinvaruegenskaper men erbjuder en mängd olika storlekar.

I följande lista visas arbetsbelastningstyper och vanliga användningsfall för varje arbetsbelastningstyp. Varje arbetsbelastningstyp har motsvarande familjer som innehåller olika storlekar.

  • Generell användning: Testning och utveckling, små till medelstora databaser och webbservrar med låg till medelhög trafik.
  • Beräkningsintensiv: Webbservrar med medelhög trafik, nätverksinstallationer, batchprocesser och programservrar.
  • Minnesintensiv: Relationsdatabasservrar, mellanstora till stora cacheminnen och minnesintern analys.
  • Lagringsintensiva: Stordata, SQL- och NoSQL-databaser som kräver högt diskdataflöde och indata/utdata (I/O).
  • GPU-aktiverad (Graphics Processing Unit): Tung grafikrendering eller videoredigering samt modellträning och slutsatsdragning med djupinlärning.
  • Högpresterande databehandling (HPC): Snabbaste och mest kraftfulla virtuella processordatorer, med valfria nätverksgränssnitt med högt dataflöde som stöder fjärråtkomst till direkt minne (RDMA).

När du planerar för storlekar på virtuella Azure-datorer bör du även tänka på följande faktorer:

  • Om du ändrar serien eller storleken på den virtuella Azure-datorn, även om det är enkelt och vanligt, krävs en omstart av operativsystemet. Om du vill undvika omstarter bör du ändra storlek på den virtuella datorn från början om det är möjligt.
  • Tillgängligheten för vm-storlek varierar beroende på region, så ta hänsyn till regional tillgänglighet när du planerar distributionen.
  • Det maximala antalet diskar som du kan ansluta till en virtuell Azure-dator beror på dess storlek.

Andra storleksöverväganden

Överväg att använda Microsoft Azure VM Selector för att fastställa den lämpligaste VM-storleken baserat på arbetsbelastningstyp, operativsystem, programvara installerad och distributionsregion.

Om du planerar att använda samma eller liknande storlek på virtuella Azure-datorer i samma region under en längre period kan du överväga att använda Azure-reservationer för att minska beräkningskostnaden med upp till 72 procent.

Om du vill sänka kostnaden för virtuella Azure-datorer för arbetsbelastningar som kan hantera avbrott, till exempel batchbearbetningsjobb, använder du virtuella Azure Spot-datorer.

Planera för nätverk

Virtuella datorer kommunicerar med externa resurser med hjälp av ett virtuellt nätverk. Ett virtuellt nätverk representerar ett privat nätverk i en Azure-region. Du kan ansluta virtuella nätverk till andra nätverk, inklusive nätverk i dina lokala datacenter, och tillämpa trafikregler för att styra inkommande och utgående anslutningar.

Varje virtuellt nätverk anger ett IP-adressutrymme som vanligtvis består av ett eller flera privata adressintervall, enligt definitionen i RFC 1918. Precis som med lokala nätverk kan du dela upp adressutrymmet för det virtuella nätverket i flera undernät för att isolera arbetsbelastningar för virtuella Azure-datorer. Varje undernät i ett virtuellt nätverk representerar ett privat adressintervall. För att framtvinga arbetsbelastningsisolering associerar du en nätverkssäkerhetsgrupp (NSG) med varje undernät.

Varje virtuell Azure-dator innehåller ett eller flera nätverksgränssnitt och varje gränssnitt ansluter till ett undernät i samma virtuella nätverk. Azure tilldelar automatiskt varje virtuell dator i undernätet en IP-adress från undernätets intervall. Azure reserverar de fyra första och sista IP-adresserna i varje undernät för eget bruk och tilldelar dem inte.

Det är möjligt att skapa ett virtuellt nätverk och undernät som en del av en etableringsprocess för virtuella datorer, men den rekommenderade metoden är att starta distributionsplaneringen för virtuella Azure-datorer med nätverksmiljön. När du har redovisat alla nätverkskrav och skapat motsvarande virtuella nätverk kan du fortsätta med att distribuera de virtuella Azure-datorerna.

Tänk på följande designprinciper när du planerar för virtuella Azure-nätverk och undernät:

  • Kontrollera att adressutrymmena inte överlappar varandra. Om du vill ansluta dina virtuella nätverk och lokala nätverk kan IP-adressutrymmena inte överlappa varandra.
  • Använd ett mindre antal större virtuella nätverk i stället för ett större antal mindre virtuella nätverk. Den här metoden hjälper till att minimera hanteringskostnader och underlättar skalbarhet.

Nätverksbandbredd

Även om en virtuell Azure-dator kan ha flera nätverksgränssnitt beror dess tillgängliga bandbredd helt på dess storlek. I allmänhet allokeras större VM-storlekar mer bandbredd än mindre storlekar.

För att mäta mängden faktisk nätverksbandbredd mot den allokerade gränsen riktar Azure bara in sig på utgående trafik. All nätverkstrafik som lämnar den virtuella datorn räknas mot den gränsen, oavsett trafikmål.

Azure begränsar inte direkt inkommande bandbredd. Faktorer som lagrings- och beräkningsresursanvändning påverkar dock mängden inkommande data som en virtuell Azure-dator kan bearbeta.

Planera för fjärranslutning

Som en del av distributionsplaneringen bör du överväga den lämpligaste metoden för att tillhandahålla fjärranslutning. För virtuella Linux-datorer innebär fjärranslutning vanligtvis att använda Secure Shell (SSH) för att implementera kryptering under överföring av en terminalgränssnittssession.

Om du vill autentisera via en SSH-anslutning kan du använda ett användarnamn och lösenord eller ett SSH-nyckelpar. Om du använder lösenord för SSH-anslutningar blir den virtuella datorn sårbar för råstyrkeattacker. Att använda SSH-nycklar är en säkrare och bättre metod för att ansluta till en virtuell Linux-dator med SSH.

Även med SSH-nycklar måste du som standard öppna anslutningen till en offentlig IP-adress som är associerad med den virtuella Azure-datorns målnätverkskort. Den här offentliga IP-adressen är sårbar för externa hot och representerar en potentiell attackvektor. För att minska den här risken kan du överväga att implementera åtkomst till virtuella datorer i Azure Bastion eller just-in-time (JIT).

Kommentar

I hybridscenarier kan du använda ett virtuellt privat nätverk (VPN) eller Azure ExpressRoute för att eliminera behovet av offentliga IP-adresser när du ansluter från din lokala miljö till virtuella Azure-datorer.

Azure Bastion

Du distribuerar Azure Bastion-tjänsten till ett dedikerat undernät i ett virtuellt nätverk som har anslutning till den virtuella måldatorn. Azure Bastion fungerar som asynkron för externa SSH-anslutningar via HTTPS som endast är tillgängliga från Azure-portalen. Azure Bastion eliminerar behovet av att tilldela offentliga IP-adresser till den virtuella måldatorns nätverksgränssnitt och säkerställer också att endast autentiserade och korrekt auktoriserade användare kan initiera SSH-anslutningar.

JIT VM-åtkomst

JIT VM-åtkomst är en Microsoft Defender för molnet funktion som begränsar åtkomsten till en offentlig IP-adress som är associerad med en virtuell Azure-dators nätverksgränssnitt. Dessa gränser justerar NSG dynamiskt så att inkommande anslutningar endast tillåts från ett angivet IP-adressintervall under en angiven tidsperiod. Precis som med Azure Bastion måste användarna autentisera innan de initierar en anslutning från Azure-portalen.