Sanal makine uyumluluğunu yönetme

Bu makalede DevOps uygulamalarını bozmadan sanal makine uyumluluğunu yönetme açıklanmaktadır. Sistem görüntülerinden kaynaklanan riski en aza indirmek için Azure VM Görüntü Oluşturucusu'nu ve Azure İşlem Galerisi'ni kullanın.

Mimari

Çözüm iki işlemden oluşur:

• Altın renkli görüntü yayımlama işlemi
• Sanal makine (VM) uyumluluğunu izleme işlemi

Bu mimarinin bir Visio dosyasını indirin.

Veri akışı

Altın renkli görüntü yayımlama işlemi aylık olarak çalıştırılır ve şu adımları içerir:

1. İşlem, Azure Market'dan bir temel görüntü yakalar.
2. VM Görüntü Oluşturucusu görüntüyü özelleştirir.
3. Görüntü dövme işlemi, kaynak ve yayımlama tarihi gibi görüntü sürümü bilgilerini izler.
4. Otomatikleştirilmiş testler görüntüyü doğrular.
5. Görüntü herhangi bir testte başarısız olursa, onarımlar için özelleştirme adımına döner.
6. İşlem, son haline getirilmiş görüntüyü yayımlar.
7. İşlem Galerisi, görüntüyü DevOps ekiplerinin kullanımına hazır hale getirir.

Bu mimarinin bir Visio dosyasını indirin.

VM uyumluluğunu izleme işlemi şu adımları içerir:

1. Azure İlkesi VM'lere ilke tanımları atar ve VM'leri uyumluluk açısından değerlendirir.
2. Azure İlkesi, VM'ler ve diğer Azure kaynakları için uyumluluk verilerini Azure İlkesi panosunda yayımlar.

Bileşenler

• VM Image Builder , sistem görüntülerini özelleştirmeye yönelik yönetilen bir hizmettir. Bu hizmet, DevOps ekiplerinin kullandığı görüntüleri derler ve dağıtır.

• İşlem Galerisi , özel görüntüleri yapılandırmanıza ve düzenlemenize yardımcı olur. Bu hizmet, görüntüleri depolayarak görüntülere kontrollü erişim sağlar. Kullanıcılar kuruluşunuzun içinde ve dışında olabilir.

• Azure İlkesi ilke tanımları sunar. Kuruluşunuzun standartlarını zorunlu kılmak ve uygun ölçekte uyumluluğu değerlendirmek için bu tanımları kullanabilirsiniz. Azure İlkesi panosunda Azure İlkesi değerlendirme sonuçları görüntülenir. Bu veriler, kaynaklarınızın uyumluluk durumu hakkında bilgi sahibi olmanıza imkan sağlar.

• Azure İlkesi'nin Azure Otomatik Yönetim Makine Yapılandırması özelliği, kod aracılığıyla makineleri dinamik olarak denetlemenin veya yapılandırmaları atamanın bir yolunu sağlar. Yapılandırmalar genellikle ortam veya işletim sistemi ayarlarını içerir.

Alternatifler

• Uyumluluğu yönetmek için üçüncü taraf bir araç kullanabilirsiniz. Ancak bu araç türüyle, genellikle hedef VM'ye bir aracı yüklemeniz gerekir. Lisans ücreti de ödemeniz gerekebilir.

• Vm'lere yazılım yüklemek veya dağıtımdan sonra VM'leri yapılandırmak için özel betik uzantılarını kullanabilirsiniz. Ancak her VM veya Sanal Makine Ölçek Kümesi yalnızca bir özel betik uzantısına sahip olabilir. Özel betik uzantıları kullanırsanız DevOps ekiplerinin uygulamalarını özelleştirmesini engellersiniz.

Senaryo ayrıntıları

Her kuruluşun kendi uyumluluk düzenlemeleri ve standartları vardır. Güvenlikle ilgili olarak, her şirketin kendi risk iştahı vardır. Güvenlik standartları bir kuruluştan diğerine ve bir bölgeden diğerine farklılık gösterebilir.

Bulut ortamlarının dinamik olarak ölçeklendirilmesinde farklı standartların takip edilmesi, şirket içi sistemlerden daha zor olabilir. Ekipler DevOps uygulamalarını kullandığında, VM'ler gibi Azure kaynaklarını kimlerin oluşturabileceğine ilişkin genellikle daha az kısıtlama vardır. Bu durum uyumluluk güçlüklerini karmaşıklaştırır.

kuruluşlar, Azure İlkesi ve rol tabanlı erişim denetimi atamalarını kullanarak Azure kaynakları üzerinde standartları zorunlu kılabilir. Ancak VM'lerde bu mekanizmalar yalnızca kontrol düzlemini veya VM'ye giden yolu etkiler. Bir VM üzerinde çalışan sistem görüntüleri hala bir güvenlik tehdidi oluşturur. Bazı şirketler geliştiricilerin VM'lere erişmesini engeller. Bu yaklaşım çevikliği bozarak DevOps uygulamalarını izlemeyi zorlaştırır.

Bu makalede, Azure'da çalışan VM'lerin uyumluluğunu yönetmeye yönelik bir çözüm sunulur. Çözüm, uyumluluğu izlemenin yanı sıra VM'lerde çalışan sistem görüntülerinden kaynaklanan riski de en aza indirir. Aynı zamanda, çözüm DevOps uygulamalarıyla uyumludur. Temel bileşenler arasında Azure VM Görüntü Oluşturucusu, Azure İşlem Galerisi ve Azure İlkesi bulunur.

Olası kullanım örnekleri

Bu çözüm, şu görevleri tamamlayan Azure giriş bölgelerine sahip kuruluşlar için geçerlidir:

• DevOps ekiplerine altın renkli görüntüler sağlama. Altın renkli görüntü, market görüntüsünün yayımlanmış sürümüdür.
• DevOps ekiplerinin kullanımına sunulmadan önce görüntüleri test etme ve doğrulama.
• Her DevOps ekibinin hangi görüntüyü kullandığını izleme.
• Üretkenliği düşürmeden şirket standartlarını zorunlu tutma.
• DevOps ekiplerinin en son görüntü sürümlerini kullanmasını sağlama.
• Bakımı yoğun olan evcil hayvan sunucularının ve kolayca değiştirilebilen sığır sunucularının uyumluluğunu yönetme.

Yaklaşım

Aşağıdaki bölümlerde çözümün yaklaşımının ayrıntılı bir açıklaması sağlanır.

Evcil hayvanları ve sığırları tanımlama

DevOps ekipleri, hizmet modellerini tanımlamak için evcil hayvanlar ve sığırlar adlı bir benzetme kullanır. Bir VM'nin uyumluluğunu izlemek için önce bunun evcil hayvan mı yoksa sığır sunucusu mu olduğunu belirleyin:

• Evcil hayvanlar önemli dikkat gerektirir. Kolay dağıtılmazlar. Evcil hayvan sunucusunun kurtarılması için önemli miktarda zaman ve finansal kaynak yatırımı yapılması gerekir. Örneğin, SAP çalıştıran bir sunucu evcil hayvan olabilir. Sunucuda çalışan yazılımların yanı sıra, hizmet modelini diğer önemli noktalar da belirleyebilir. Düşük hata toleransına sahipseniz, gerçek zamanlı ve gerçek zamanlıya yakın sistemlerdeki üretim sunucuları evcil hayvan da olabilir.

• Sığır sunucuları aynı grubun bir parçasıdır. Bunları kolayca değiştirebilirsiniz. Örneğin, sanal makine ölçek kümesinde çalışan VM'ler sığırlardır. Kümede yeterli VM varsa, sisteminiz çalışmaya devam eder ve her vm'nin adını bilmeniz gerekmez. Aşağıdaki koşullara uyan ortam sunucularını test etme, başka bir sığır örneği sağlar:

  • Sunucuları sıfırdan oluşturmak için otomatik bir yordam kullanırsınız.
  • Testleri çalıştırmayı tamamladıktan sonra sunucuların yetkisini alırsınız.

Bir ortamda yalnızca evcil hayvan sunucuları veya yalnızca sığır sunucuları olabilir. Buna karşılık, bir ortamdaki bir dizi VM evcil hayvan olabilir. Aynı ortamdaki farklı bir VM kümesi sığır olabilir.

Uyumluluğu yönetmek için:

• Evcil hayvan uyumluluğunu izlemek sığır uyumluluğundan daha zor olabilir. Genellikle evcil hayvan ortamlarının ve sunucularının uyumluluğunu yalnızca DevOps ekipleri izleyebilir ve koruyabilir. Ancak bu makalenin çözümü, her evcil hayvanın durumunun görünürlüğünü artırarak kuruluştaki herkesin uyumluluğu izlemesini kolaylaştırır.
• Sığır ortamları için VM'leri yenileyin ve düzenli olarak sıfırdan yeniden oluşturun. Bu adımlar uyumluluk için yeterli olmalıdır. Bu yenileme döngüsünü DevOps ekibinizin düzenli sürüm temposuyla hizalayabilirsiniz.

Görüntüleri kısıtlama

DevOps ekiplerinin Azure Market VM görüntülerini kullanmasına izin verme. Yalnızca İşlem Galerisi tarafından yayımlanan VM görüntülerine izin verilir. Bu kısıtlama, VM uyumluluğunu sağlamak için kritik öneme sahiptir. Bu kısıtlamayı uygulamak için Azure İlkesi'de özel bir ilke kullanabilirsiniz. Örnek için bkz. Görüntü yayımcılarına izin verme.

Bu çözümün bir parçası olarak, VM Görüntü Oluşturucusu bir Azure Market görüntüsü kullanmalıdır. Azure Market'da bulunan en son görüntüyü kullanmak önemlidir. Bu görüntünün üzerine tüm özelleştirmeleri uygulayın. Azure Market görüntüler sık sık yenilenir ve her görüntünün belirli önceden ayarlanmış yapılandırmaları vardır ve görüntülerinizin varsayılan olarak güvenli olmasını sağlar.

Görüntüleri özelleştirme

Altın renkli görüntü, bir market görüntüsünün İşlem Galerisi'nde yayımlanan sürümüdür. Altın renkli görüntüler DevOps ekipleri tarafından kullanılabilir. Görüntü yayımlanmadan önce özelleştirme gerçekleştirilir. Özelleştirme etkinlikleri her kuruluş için benzersizdir. Yaygın etkinlikler şunlardır:

• İşletim sistemi sağlamlaştırma.
• Üçüncü taraf yazılım için özel aracıları dağıtma.
• Kurumsal sertifika yetkilisi (CA) kök sertifikalarını yükleme.

VM Görüntü Oluşturucusu'nu kullanarak işletim sistemi ayarlarını yaparak ve özel betikler ve komutlar çalıştırarak görüntüleri özelleştirebilirsiniz. VM Image Builder, Windows ve Linux görüntülerini destekler. Görüntüleri özelleştirme hakkında daha fazla bilgi için bkz. Azure Sanal Makineler için Mevzuat Uyumluluğu denetimlerini Azure İlkesi.

Resim dövmelerini izleme

Görüntü dövmesi, bir VM'nin kullandığı tüm görüntü sürümü oluşturma bilgilerini izleme işlemidir. Bu bilgiler sorun giderme sırasında çok değerlidir ve şunları içerebilir:

• Yayımcının adı ve sürümü gibi görüntünün özgün kaynağı.
• Yerinde yükseltme varsa ihtiyacınız olan işletim sistemi sürüm dizesi.
• Özel görüntünüzün sürümü.
• Yayımlama tarihiniz.

İzlediğiniz bilgilerin miktarı ve türü, kuruluşunuzun uyumluluk düzeyine bağlıdır.

Windows VM'lerinde görüntü dövmesi için özel bir kayıt defteri ayarlayın. Gerekli tüm bilgileri bu kayıt defteri yoluna anahtar-değer çiftleri olarak ekleyin. Linux VM'lerinde ortam değişkenlerine veya bir dosyaya görüntü dövme verilerini girin. Dosyayı /etc/ , geliştirici çalışmalarıyla veya uygulamalarıyla çakışmadığı klasöre yerleştirin. Dövme verilerini veya raporu izlemek için Azure İlkesi kullanmak istiyorsanız, her veri parçasını benzersiz bir anahtar-değer çifti olarak depolayın. Market görüntüsünün sürümünü belirleme hakkında bilgi için bkz. Market görüntüsü sürümünü bulma.

Otomatikleştirilmiş testlerle altın renkli görüntüleri doğrulama

Genellikle, en son güncelleştirmeler ve Azure Market görüntülerdeki değişikliklerle güncel kalmak için altın renkli görüntüleri aylık olarak yenilemeniz gerekir. Bu amaçla yinelenen bir test yordamı kullanın. Görüntü oluşturma işleminin bir parçası olarak, test için bir Azure işlem hattı veya başka bir otomatik iş akışı kullanın. İşlem hattını, her ayın başlangıcından önce testleri çalıştırmak üzere yeni bir VM dağıtacak şekilde ayarlayın. Testler, ayrıştırılmış görüntüleri tüketim için yayımlamadan önce onaylamalıdır. Test otomasyonu çözümü kullanarak veya VM'de komutlar veya toplu işlemler çalıştırarak testleri otomatikleştirin.

Yaygın test senaryoları şunlardır:

• VM önyükleme süresi doğrulanıyor.
• İşletim sistemi yapılandırma ayarları veya aracı dağıtımları gibi görüntü özelleştirmelerini onaylama.

Başarısız bir test işlemi kesintiye uğratmalıdır. Sorunun kök nedenini ele aldıktan sonra testi tekrarlayın. Testler sorunsuz bir şekilde çalıştırılırsa, test işleminin otomatikleştirilmesi, her zaman yeşil bir durumun korunmasına giden çabayı azaltır.

Altın renkli görüntüleri yayımlama

İşlem Galerisi'nde son görüntüleri yönetilen görüntü olarak veya DevOps ekiplerinin kullanabileceği bir sanal sabit disk (VHD) olarak yayımlayın. Önceki resimleri eski olarak işaretleyin. İşlem Galerisi'nde görüntü sürümü için kullanım süresi sonu tarihi ayarlamadıysanız en eski görüntüyü sonlandırmayı tercih edebilirsiniz. Bu karar şirketinizin ilkelerine bağlıdır.

İşlem Galerisi'ni kullanırken uygulanan sınırlar hakkında bilgi için bkz. Azure İşlem Galerisi'nde görüntü depolama ve paylaşma.

Bir diğer iyi uygulama da en son görüntüleri farklı bölgelerde yayımlamaktır. İşlem Galerisi ile görüntülerinizin farklı Azure bölgelerindeki yaşam döngüsünü ve çoğaltmasını yönetebilirsiniz.

İşlem Galerisi hakkında daha fazla bilgi için bkz. Azure İşlem Galerisi'nde görüntüleri depolama ve paylaşma.

Altın resimleri yenileme

Bir uygulama için görüntü kullanıldığında, temel alınan işletim sistemi görüntüsünü son uyumluluk değişiklikleriyle güncelleştirmek zor olabilir. Katı iş gereksinimleri, temel alınan VM'yi yenileme sürecini karmaşıklaştırabilir. Vm işletme için kritik öneme sahip olduğunda yenileme de karmaşıktır.

Sığır sunucuları dağıtılabilir olduğundan, DevOps ekipleriyle birlikte bu sunucuları planlı bir bakım penceresinde her zamanki gibi iş etkinliği olarak yenileyebilirsiniz.

Evcil hayvan sunucularını yenilemek daha zordur. Bir görüntünün sona erdirilmesi uygulamaları riske atabilir. Ölçeği genişletme senaryolarında Azure ilgili görüntüleri bulamayarak hatalara neden olur.

Evcil hayvan sunucularını yenilerken şu yönergeleri göz önünde bulundurun:

• En iyi yöntemler için bkz. Azure Well-Architected Framework'teki güvenilirlik sütununa genel bakış .

• Süreci kolaylaştırmak için bu belgelerin tartıştığı ilkelere bakın:

  • Dağıtım Damgaları düzeni
  • Coğrafi düzen
  • Bölme perdesi düzeni

• Her evcil hayvan sunucusunu evcil hayvan olarak etiketleyin. Yenilemeler sırasında bu etiketi hesaba katmak için Azure İlkesi bir ilke yapılandırın.

Görünürlüğü geliştirme

Genel olarak, herhangi bir denetim düzlemi uyumluluk etkinliğini yönetmek için Azure İlkesi kullanmanız gerekir. Azure İlkesi'i aşağıdakiler için de kullanabilirsiniz:

• VM uyumluluğunu izleme.
• Azure aracılarını yükleme.
• Tanılama günlüklerini yakalama.
• VM uyumluluğunun görünürlüğünü geliştirme.

Görüntü özelleştirmesi sırasında yaptığınız yapılandırma değişikliklerini denetlemek için Azure İlkesi Azure Otomatik Yönetim Makine Yapılandırması özelliğini kullanın. Kayma oluştuğunda, Azure İlkesi panosu etkilenen VM'yi uyumsuz olarak listeler. Azure İlkesi eski görüntüleri veya işletim sistemlerini ne zaman kullandığınızı izlemek için görüntü dövme bilgilerini kullanabilirsiniz.

Her uygulama için evcil hayvan sunucularını denetleme. Denetim etkisiyle Azure İlkeleri'ni kullanarak bu sunucuların görünürlüğünü geliştirebilirsiniz. Şirketinizin risk iştahı ve iç risk yönetimi süreçlerine göre denetim sürecini ayarlayın.

Her DevOps ekibi, Azure İlkesi panosunda uygulamalarının uyumluluk düzeylerini izleyebilir ve uygun düzeltici eylemleri gerçekleştirebilir. Bu ilkeleri bir yönetim grubuna veya aboneliğe atadığınızda, atama açıklamasına şirket genelinde wiki'ye yol açan bir URL verin. gibi aka.ms/policy-21kısa bir URL de kullanabilirsiniz. Wiki'de DevOps ekiplerinin VM'lerini uyumlu hale getirmek için izlemesi gereken adımları listeleyin.

BT risk yöneticileri ve güvenlik görevlileri, şirketin risk iştahını dikkate alarak şirket risklerini yönetmek için Azure İlkesi panosunu da kullanabilir.

düzeltme seçenekleriyle Azure İlkesi Azure Otomatik Yönetim Makinesi yapılandırma özelliğini kullanarak düzeltme eylemlerini otomatik olarak uygulayabilirsiniz. Ancak bir VM'yi sık sık sorgulamak veya iş açısından kritik bir uygulama için kullandığınız bir VM'de değişiklik yapmak performansı düşürebilir. Üretim iş yükleri için düzeltme eylemlerini dikkatle planlayın. DevOps ekibine tüm ortamlarda uygulama uyumluluğunun sahipliğini verin. Bu yaklaşım, genellikle uzun vadeli Azure bileşenleri olan evcil hayvan sunucuları ve ortamları için önemlidir.

Dikkat edilmesi gerekenler

Bu önemli noktalar, bir iş yükünün kalitesini geliştirmek için kullanılabilecek bir dizi yol gösteren ilke olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Microsoft Azure Well-Architected Framework.

Ölçeklenebilirlik

İşlem Galerisi'nin her görüntü için depoladığınız çoğaltma sayısını yapılandırabilirsiniz. Daha fazla sayıda çoğaltma, aynı anda birden çok VM sağladığınızda azaltma riskini en aza indirir. Uygun sayıda çoğaltmayı ölçeklendirme ve yapılandırma hakkında genel yönergeler için bkz. Azure İşlem Galerisi için ölçeklendirme.

Dayanıklılık

Bu çözüm, bölgesel düzeyde otomatik olarak dayanıklı olan yönetilen bileşenleri kullanır. Dayanıklı çözümler tasarlama hakkında genel yönergeler için bkz. Azure için dayanıklı uygulamalar tasarlama.

Maliyet iyileştirmesi

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimliliği artırmanın yollarını gözden geçmektir. Daha fazla bilgi için bkz. Maliyet iyileştirme sütununa genel bakış.

Ansible veya Terraform gibi bir üçüncü taraf hizmeti kullanmadığınız sürece bu yaklaşım neredeyse ücretsizdir. Depolama ve çıkış maliyetleri uygulanabilir. Diğer olası ücretler şu bileşenleri içerir:

• Azure İlkesi ve Azure Otomatik Yönetim Makinesi yapılandırması, Azure kaynakları için ücretsizdir. Şirketiniz hibrit bir yaklaşım kullanıyorsa Azure Arc kaynakları için ek ücret uygulanır.

• Genel önizleme döneminde , VM Görüntü Oluşturucusu 1 vCPU ve 3,5 GB RAM ile tek bir işlem örneği türü kullanıyor. Veri depolama ve aktarım için ücretler uygulanabilir.

• İşlem Galerisi'nde aşağıdakiler dışında ücret alınmaz:

  • Çoğaltmaları depolama maliyeti.
  • Görüntüleri çoğaltmak için ağ çıkış ücretleri.

Katkıda Bulunanlar

Bu makale Microsoft tarafından korunur. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Yunus Emre Alpozen | Program Mimarı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• Azure giriş bölgesi
• Azure İlkesi'ni kullanarak kaynaklarınızı kontrol etme ve denetleme
• Azure VM Görüntü Oluşturucusu
• Azure Compute Gallery
• Azure İlkesi ve ilke panosu
• Azure Otomatik Yönetim Makine Yapılandırması

İlgili kaynaklar

• IaaS için DevTest ve DevOps çözümleri
• AKS üzerinde DevSecOps
• Bilgisayar destekli mühendislik hizmeti