Azure Stack Hub'da Linux sanal makinesi çalıştırma

Azure Stack Hub'da Azure gibi bir sanal makine (VM) sağlamak için vm'nin kendisi dışında ağ ve depolama kaynakları da dahil olmak üzere bazı ek bileşenler gerekir. Bu makalede, Azure Stack Hub'da Linux VM çalıştırmaya yönelik en iyi yöntemler gösterilmektedir.

Architecture for Linux VM on Azure Stack Hub

Kaynak grubu

Kaynak grubu, ilgili Azure Stack Hub kaynaklarını tutan mantıksal bir kapsayıcıdır. Genel olarak, kaynakları yaşam sürelerine ve bunları kimlerin yöneteceğini temel alarak gruplandırır.

Aynı yaşam döngüsünü paylaşan, birbiriyle yakın şekilde ilişkilendirilmiş kaynakları aynı kaynak grubuna ekleyin. Kaynak grupları, kaynakları bir grup halinde dağıtıp izlemenize ve faturalandırma maliyetlerini kaynak grubuna göre izlemenize olanak tanır. Kaynakları küme olarak da silebilirsiniz. Bu, test dağıtımları için yararlıdır. Belirli bir kaynağın bulunmasını ve kaynağın rolünün anlaşılmasını basitleştirmek için anlamlı kaynak adları atayın. Daha fazla bilgi için bkz. Azure Kaynakları için Önerilen Adlandırma Kuralları.

Sanal makine

Vm'yi yayımlanmış görüntüler listesinden veya Azure Stack Hub Blob depolama alanına yüklenen özel yönetilen görüntü veya sanal sabit disk (VHD) dosyasından sağlayabilirsiniz. Azure Stack Hub; CentOS, Debian, Red Hat Enterprise, Ubuntu ve SUSE gibi çeşitli popüler Linux dağıtımlarını çalıştırmayı destekler. Daha fazla bilgi için bkz. Azure Stack Hub'da Linux. Ayrıca, Azure Stack Hub Market'te bulunan yayımlanmış Linux Görüntülerinden birini de birleştirmeyi seçebilirsiniz.

Azure Stack Hub, Azure'dan farklı sanal makine boyutları sunar. Daha fazla bilgi için bkz. Azure Stack Hub'da sanal makineler için boyutlar. Mevcut bir iş yükünü Azure Stack Hub'a taşıyorsanız şirket içi sunucularınızla/Azure'la en yakın olan VM boyutuyla başlayın. Ardından gerçek iş yükünüzün performansını CPU, bellek ve saniye başına disk giriş/çıkış işlemleri (IOPS) açısından ölçün ve boyutu gerektiği gibi ayarlayın.

Diskler

Maliyet, sağlanan diskin kapasitesine bağlıdır. IOPS ve aktarım hızı (veri aktarım hızı) VM boyutuna bağlıdır, bu nedenle bir disk sağladığınızda üç faktörü de (kapasite, IOPS ve aktarım hızı) göz önünde bulundurun.

Azure Stack Hub'da disk IOPS (Saniye Başına Giriş/Çıkış İşlemleri), disk türü yerine VM boyutu işlevidir. Bu, disk türü için SSD veya HDD seçmenize bakılmaksızın, Standard_Fs serisi bir VM için tek bir ek veri diski için IOPS sınırının 2300 IOPS olduğu anlamına gelir. Uygulanan IOPS sınırı, gürültülü komşuları önlemek için bir üst sınırdır (mümkün olan en yüksek sınır). Belirli bir VM boyutuna sahip olacağınız IOPS güvencesi değildir.

Ayrıca Yönetilen Diskler kullanmanızı öneririz. Yönetilen diskler, depolamayı sizin için işleyerek disk yönetimini basitleştirir. Yönetilen diskler depolama hesabı gerektirmez. Yalnızca diskin boyutu ile türünü belirtirsiniz ve disk yüksek oranda kullanılabilir bir kaynak olarak dağıtılır.

İşletim sistemi diski, Azure Stack Hub Depolama'de depolanan bir VHD'dir, bu nedenle konak makine devre dışı olduğunda bile kalıcı olur. Linux VM'leri için işletim sistemi diski /dev/sda1'dir. Ayrıca, uygulama verileri için kullanılan kalıcı VHD'ler olan bir veya daha fazla veri diski oluşturmanızı öneririz.

Bir VHD oluşturduğunuzda, disk biçimlendirilmemiş olur. Diski biçimlendirmek için VM’de oturum açın. Linux kabuğunda veri diskleri /dev/sdc, /dev/sdd vb. olarak görüntülenir. Diskler de dahil olmak üzere blok cihazlarını listelemek için lsblk'yi çalıştırabilirsiniz. Veri diski kullanmak için bir bölüm ve dosya sistemi oluşturun ve diski bağlayın. Örneğin:

# Create a partition.
sudo fdisk /dev/sdc \# Enter 'n' to partition, 'w' to write the change.

# Create a file system.
sudo mkfs -t ext3 /dev/sdc1

# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1

Bir veri diski eklediğinizde, diske bir mantıksal birim numarası (LUN) kimliği atanır. İsteğe bağlı olarak, lun kimliğini belirtebilirsiniz; örneğin, bir diski değiştiriyor ve aynı LUN kimliğini korumak istiyorsanız veya belirli bir LUN kimliğini arayan bir uygulamanız varsa. Bununla birlikte, her diskin LUN kimliğinin benzersiz olması gerektiğini unutmayın.

Sanal makine geçici bir diskle oluşturulur. Bu disk, Azure Stack Hub depolama altyapısındaki geçici bir birimde depolanır. Yeniden başlatmalar ve diğer VM yaşam döngüsü olayları sırasında silinebilir. Bu diski yalnızca sayfa veya takas dosyaları gibi geçici veriler için kullanın. Linux VM'leri için geçici disk /dev/sdb1'dir ve /mnt/resource veya /mnt konumuna bağlanır.

Ağ bileşenleri aşağıdaki kaynakları içerir:

  • Sanal ağ. Her VM, birden çok alt ağa bölünebilen bir sanal ağa dağıtılır.

  • Ağ arabirimi (NIC). NIC, sanal makinenin sanal ağla iletişim kurmasına imkan tanır. VM'niz için birden çok NIC'ye ihtiyacınız varsa, her VM boyutu için en fazla sayıda NIC'nin tanımlandığını unutmayın.

  • Genel IP adresi/ VIP. SANAL makineyle iletişim kurmak için bir genel IP adresi gerekir; örneğin, uzak masaüstü (RDP) aracılığıyla. Genel IP adresi dinamik veya statik olabilir. Varsayılan seçenek dinamiktir. VM'niz için birden çok NIC'ye ihtiyacınız varsa, her VM boyutu için en fazla sayıda NIC'nin tanımlandığını unutmayın.

  • IP adresi için bir tam etki alanı adı da (FQDN) oluşturabilirsiniz. Daha sonra DNS’te FQDN’yi gösteren bir CNAME kaydı oluşturabilirsiniz. Daha fazla bilgi edinmek için bkz. Azure portalında tam etki alanı adı oluşturma.

  • Ağ güvenlik grubu (NSG). Ağ Güvenlik Grupları, VM'lere yönelik ağ trafiğine izin vermek veya trafiği reddetmek için kullanılır. NSG'ler alt ağlarla veya tek tek VM örnekleriyle ilişkilendirilebilir.

Tüm NSG’ler, tüm gelen İnternet trafiğini engelleyen bir kuralın da dahil olduğu bir varsayılan kurallar kümesi içerir. Varsayılan kurallar silinemez, ancak diğer kurallar tarafından geçersiz kılınabilir. İnternet trafiğini etkinleştirmek için belirli bağlantı noktalarına gelen trafiğe izin veren kurallar (örneğin, HTTP için 80 numaralı bağlantı noktası) oluşturun. SSH’yi etkinleştirmek için TCP bağlantı noktası 22’ye gelen trafiğe izin veren bir NSG kuralı ekleyin.

Operations

SSH. Bir Linux sanal makinesi oluşturmadan önce 2048 bit RSA ortak-özel anahtar çifti oluşturun. Sanal makineyi oluştururken ortak anahtar dosyasını kullanın. Daha fazla bilgi için bkz. Azure'da Linux ile SSH Kullanma.

Tanılama. Temel sistem durumu ölçümleri, tanılama altyapısı günlükleri ve önyükleme tanılaması gibi izleme ve tanılama özelliklerini etkinleştirin. Önyükleme tanılaması, VM’nizin önyükleme gerçekleştiremeyecek bir duruma girmesi durumunda önyükleme hatasını tanılamanıza yardımcı olabilir. Günlükleri depolamak için bir Azure Depolama hesabı oluşturun. Tanılama günlükleri için standart bir yerel olarak yedekli depolama (LRS) yeterlidir. Daha fazla bilgi edinmek için bkz. İzleme ve tanılamayı etkinleştirme.

Kullanılabilirlik. Azure Stack Hub operatörü tarafından zamanlanan planlı bakım nedeniyle VM'niz yeniden başlatılabilir. Daha yüksek kullanılabilirlik için bir kullanılabilirlik kümesinde birden çok VM dağıtın.

Yedekleme Azure Stack Hub IaaS VM'lerinizi koruma önerileri için bu makaleye bakın.

VM durduruluyor. Azure’da “durduruldu” ile “serbest bırakıldı” durumları birbirinden farklıdır. Sanal makine durdurulmuş durumdayken ücret ödersiniz, ancak serbest bırakılmış durumdayken ödemezsiniz. Azure Stack Hub portalında Durdur düğmesi VM'yi serbest bırakır. VM’yi oturumunuz açıkken işletim sistemi aracılığıyla kapatırsanız sanal makine durdurulmasına rağmen serbest bırakılmaz ve bu nedenle ücretlendirilmeye devam edersiniz.

VM silme. Bir VM'yi silerseniz, VM diskleri silinmez. Bu, sanal makineyi verileri kaybetmeden güvenli bir şekilde silebileceğiniz anlamına gelir. Ancak, depolama ücretlendirilmeye devam edersiniz. VM diskini silmek için yönetilen disk nesnesini silin. VHD’nin yanlışlıkla silinmesini engellemek için bir kaynak kilidi ile kaynak grubunun tamamını ya da tek tek kaynakları (VM gibi) kilitleyin.

Güvenlik konuları

Azure kaynaklarınızın güvenlik durumunun merkezi bir görünümünü elde etmek için VM'lerinizi Azure Güvenlik Merkezi ekleyin. Güvenlik Merkezi olası güvenlik sorunlarını izler ve dağıtımınızın güvenlik durumunun geniş kapsamlı bir resmini sunar. Güvenlik Merkezi, Azure aboneliğine göre yapılandırılır. Azure aboneliğinizi Güvenlik Merkezi Standart'a ekleme bölümünde açıklandığı gibi güvenlik verileri toplamayı etkinleştirin. Veri toplama etkinleştirilirse Güvenlik Merkezi, söz konusu abonelik altında oluşturulmuş tüm VM’leri otomatik olarak tarar.

Düzeltme eki yönetimi. VM'nizde Yama yönetimini yapılandırmak için bu makaleye bakın. Etkinleştirilirse Güvenlik Merkezi, herhangi bir güvenlik güncelleştirmesinin ve kritik güncelleştirmenin eksik olup olmadığını denetler. Otomatik sistem güncelleştirmelerini etkinleştirmek için VM üzerinde Grup İlkesi ayarlarını kullanın.

Kötü amaçlı yazılımdan koruma. Etkinleştirilirse Güvenlik Merkezi, kötü amaçlı yazılımdan koruma yazılımının yüklü olup olmadığını denetler. Ayrıca Azure portalının içinden kötü amaçlı yazılımdan koruma yazılımlarını yüklemek için de Güvenlik Merkezi’ni kullanabilirsiniz.

Erişim denetimi. Azure kaynaklarına erişimi denetlemek için rol tabanlı erişim denetimini (RBAC) kullanın. RBAC, DevOps takımınızın üyelerine yetkilendirme rolleri atamanıza imkan tanır. Örneğin, Okuyucu rolü Azure kaynaklarını görüntüleyebilir ancak oluşturamaz, yönetemez ve silemez. Bazı izinler bir Azure kaynak türüne özeldir. Örneğin, Sanal Makine Katılımcısı rolü bir VM’yi yeniden başlatıp serbest bırakabilir, yönetici parolasını sıfırlayabilir, yeni bir VM oluşturabilir ve başka işlemler gerçekleştirebilir. Bu mimari için kullanışlı olabilecek diğer yerleşik RBAC rolleriDevTest Labs Kullanıcısı ve Ağ Katılımcısı’dır.

Not

RBAC, bir sanal makinede oturum açmış kullanıcıların gerçekleştirebileceği eylemleri kısıtlamaz. Bu izinler konuk işletim sistemindeki hesap türüne göre belirlenir.

Denetim günlükleri. Sağlama eylemlerini ve diğer VM olaylarını görmek için etkinlik günlüklerini kullanın.

Veri şifrelemesi. Azure Stack Hub, bekleyen şifrelemeyi kullanarak depolama alt sistemi düzeyinde kullanıcı ve altyapı verilerini korur. Azure Stack Hub'ın depolama alt sistemi 128 bit AES şifrelemesi ile BitLocker kullanılarak şifrelenir. Diğer ayrıntılar için bu makaleye bakın.

Sonraki adımlar