在 Azure Stack Hub 中執行 Windows 虛擬機器

除了虛擬機器 (VM) 本身,在 Azure Stack Hub 中佈建 VM 還需要額外的元件,包括網路功能和儲存體資源。 本文將說明在 Azure 上執行 Windows VM 的最佳做法。

Architecture for Windows VM on Azure Stack Hub

資源群組

資源群組是保存 Azure Stack Hub 相關資源的邏輯容器。 一般來說,根據資源的存留期以及將管理資源的人員來群組資源。

請將關係密切且具有相同生命週期的資源置於同一個資源群組中。 資源群組可讓您以群組為單位來部署和監視資源,並根據資源群組追蹤帳單成本。 您也可以刪除整組資源,這對於測試部署很有用。 請指派有意義的資源名稱,以簡化尋找特定資源及了解其角色的程序。 如需詳細資訊,請參閱建議的 Azure 資源命名慣例

虛擬機器

您可以從已發佈的映像清單、自訂的受控映像或您上傳至 Azure Stack Hub Blob 儲存體的虛擬硬碟 (VHD) 檔案佈建 VM。

Azure Stack Hub 提供與 Azure 不同的虛擬機器大小。 如需相關資訊,請參閱 Azure Stack Hub 中虛擬機器的大小。 如果您將現有的工作負載移至 Azure Stack Hub,請從最符合您內部部署伺服器/Azure 的 VM 大小開始。 然後根據 CPU、記憶體和每秒的磁碟輸入/輸出作業 (IOPS) 測量您的實際工作負載效能,並視需要調整大小。

磁碟

成本是依佈建的磁碟容量而定。 IOPS 和輸送量 (亦即,資料傳輸速率) 取決於 VM 大小,因此當您佈建磁碟時,請考慮以下三個因素 (容量、IOPS 和輸送量)。

Azure Stack Hub 的磁碟 IOPS (每秒輸入/輸出作業數) 是 VM 大小的函式,而不是磁碟類型的函式。 這表示,對於 Standard_Fs 系列 VM,無論您選擇 SSD 或 HDD 的磁碟類型,單一額外資料磁碟的 IOPS 限制都是 2300 個 IOPS。 加諸的 IOPS 限制是上限 (盡可能最大的上限),以避免雜訊相當多的鄰近磁碟。 這不保證您可對特定的 VM 大小達到所需的 IOPS。

我們也建議使用受控磁碟。 受控磁碟藉由為您處理儲存體來簡化磁碟管理。 受控磁碟不需要儲存體帳戶。 您只需指定磁碟的大小和類型,它就會以高度可用的資源方式進行部署。

作業系統磁碟是儲存在 Azure Stack Hub Blob 儲存體中的 VHD,因此即使主機電腦已關閉,仍會保存下來。 我們也建議建立一或多個資料磁碟,這些是用於應用程式資料的持續性 VHD。 若情況允許,請將應用程式安裝在資料磁碟,不要安裝在作業系統磁碟。 有些舊版應用程式可能需要在 C: 磁碟機上安裝元件,在此情況下,您可以使用 PowerShell 調整作業系統磁碟大小

VM 也是使用暫存磁碟 (Windows 上的 D: 磁碟機) 來建立。 此磁碟會儲存在 Azure Stack Hub 儲存體基礎結構的暫存磁碟區中。 它可能在重新開機期間和其他 VM 生命週期事件中遭到刪除。 僅將此磁碟使用於暫存資料,例如分頁檔或交換檔。

網路

網路元件包括下列資源:

  • 虛擬網路。 每部 VM 都會部署到可以分割成多個子網路的虛擬網路。

  • 網路介面 (NIC)。 NIC 可讓 VM 與虛擬網路通訊。 如果您的 VM 需要多個 NIC,請注意每種 VM 大小都有定義 NIC 的數目上限。

  • 公用 IP 位址/VIP。 必須要有公用 IP 位址才能與 VM 進行通訊 -- 例如,透過遠端桌面 (RDP)。 此公用 IP 位址可以是動態或靜態。 預設值為動態。

  • 如果您需要一個不會變更的固定 IP 位址 (例如,若您需要建立 DNS 'A' 記錄,或將 IP 位址新增至安全清單),請保留一個靜態 IP 位址

  • 您也可以建立 IP 位址的完整網域名稱 (FQDN)。 然後您可以在 DNS 中註冊指向該 FQDN 的 CNAME 記錄。 如需詳細資訊,請參閱在 Azure 入口網站中建立完整網域名稱

  • 網路安全性群組 (NSG)。 NSG 可用來允許或拒絕通往 VM 的網路流量。 NSG 可與子網路或個別 VM 執行個體相關聯。

所有 NSG 都包含一組預設規則,包括一個封鎖所有網際網路輸入流量的規則。 預設的規則不能刪除,但其他規則可以覆寫它們。 若要啟用網際網路流量,請建立允許輸入流量輸入特定連接埠的規則 - 例如,允許 HTTP 使用連接埠 80。 若要啟用 RDP,請新增一個 NSG 規則,以允許將輸入流量輸入至 TCP 連接埠 3389。

Operations

診斷。 啟用監視和診斷,包括基本健康情況計量、診斷基礎結構記錄,以及開機診斷。 如果您的 VM 進入無法開機的狀態,開機診斷能協助您診斷開機失敗。 建立用來儲存記錄的 Azure 儲存體帳戶。 標準本地備援儲存體 (LRS) 帳戶已足以保存診斷記錄。 如需詳細資訊,請參閱啟用監視和診斷

可用性。 您的 VM 可能會因為 Azure Stack Hub 操作員排定的計劃性維護而需要重新啟動。 為了讓 Azure 中的多 VM 生產系統實現高可用性,會將 VM 放在可用性設定組中,此設定組會將 VM 分散在多個容錯網域和更新網域中。 在較小規模的 Azure Stack Hub 中,可用性設定組中的容錯網域會定義為縮放單位中的單一節點。

雖然 Azure Stack Hub 的基礎結構已經具備失敗復原能力,但在發生硬體故障時,基礎技術 (容錯移轉叢集) 仍然會造成受影響實體伺服器上的 VM 產生一些停機時間。 Azure Stack Hub 支援的可用性設定組最多可以有三個容錯網域 (與 Azure 一致)。

容錯網域

系統會將放在可用性設定組中的 VM 儘可能平均分散到多個容錯網域 (Azure Stack Hub 節點),讓這些 VM 在實體上彼此隔離。 如果發生硬體故障,失敗容錯網域中的 VM 將會在其他容錯網域中重新啟動。 它們會保留在與其他 VM 不同的容錯網域中,但如有可能,則會留在相同的可用性設定組中。 當硬體回到線上時,系統會將 VM 重新平衡以保持高可用性。

更新網域

更新網域是另一種可讓 Azure 在可用性設定組中提供高可用性的方式。 更新網域是可以同時進行維護的基礎硬體邏輯群組。 位於相同更新網域中的 VM 會在預定進行的維護期間一起重新啟動。 當租用戶在可用性設定組內建立 VM 時,Azure 平台會自動將 VM 分散到這些更新網域中。

在 Azure Stack Hub 中,會先將 VM 即時移轉至叢集內的各個其他線上主機,然後才更新 VM 的基礎主機。 由於在主機更新期間並不會導致租用戶停機,因此 Azure Stack Hub 上更新網域功能的存在只是為了與 Azure 的範本相容。 可用性設定組中的 VM 會在入口網站上顯示 0 來作為更新網域的號碼。

備份 如需保護 Azure Stack Hub IaaS VM 的建議,請參閱保護部署在 Azure Stack Hub 上的 VM

停止 VM。 Azure 會區分「已停止」和「已解除配置」狀態。 您需要在 VM 狀態停止時支付費用,而不是在取消配置 VM 時支付。 在 Azure Stack Hub 入口網站中,[停止] 按鈕會解除配置 VM。 如果您已在登入時透過 OS 關閉,則會停止 VM,但不會取消配置,因此您仍需付費。

刪除 VM。 如果您刪除 VM,並不會刪除 VM 磁碟。 這表示您可以放心地刪除 VM,而不會遺失任何資料。 不過,您仍需支付儲存體費用。 若要刪除 VM 磁碟,請刪除受控磁碟物件。 若要防止意外刪除,請使用資源鎖定來鎖定整個資源群組或鎖定個別資源 (例如 VM)。

安全性考量

將您的 VM 上架到 Azure 資訊安全中心,以集中檢視 Azure 資源的安全性狀態。 資訊安全中心會監視潛在的安全性問題,並提供全面性的部署安全性健康狀態。 資訊安全中心是依每個 Azure 訂用帳戶設定。 啟用安全性資料收集,如將 Azure 訂用帳戶上架到資訊安全中心的標準層中所述。 啟用資料收集時,資訊安全性中心就會自動掃描任何該訂用帳戶建立的 VM。

修補程式管理。 若要在您的 VM 上設定修補程式管理,請參閱這篇文章。 若已啟用,資訊安全性中心會檢查是否遺漏了任何安全性或重要更新。 使用 VM 上的群組原則設定來啟用自動系統更新。

反惡意程式碼。 如果啟用,資訊安全性中心會檢查是已安裝反惡意程式碼軟體。 您也可以使用資訊安全中心來從 Azure 入口網站內安裝反惡意程式碼軟體。

存取控制。 請使用角色型存取控制 (RBAC) 來控制 Azure 資源的存取。 RBAC 可讓您指派授權角色給您 DevOps 小組的成員。 例如,「讀取者」角色能檢視 Azure 資源但不能建立、管理或刪除它們。 有些權限只專屬於某個 Azure 資源類型。 例如,「虛擬機器參與者」角色能重新啟動或解除配置 VM、重設系統管理員密碼、建立新的 VM 等等。 其他對此架構可能有用的內建 RBAC 角色包括 DevTest Labs 使用者網路參與者

注意

RBAC 不會限制使用者登入 VM 可執行的動作。 這些權限是由客體 OS上的帳戶類型來決定。

稽核記錄。 使用活動記錄來查看佈建動作和其他 VM 事件。

資料加密。 Azure Stack Hub 使用 BitLocker 128 位元 AES 加密來保護儲存子系統中待用的使用者和基礎結構資料。 如需詳細資訊,請參閱 Azure Stack Hub 中的待用資料加密

後續步驟