Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальные машины Azure — это тип вычислительной службы, которую можно использовать для создания и запуска виртуальных машин на платформе Azure. Она обеспечивает гибкость в разных номерах SKU, операционных системах и конфигурациях с различными моделями выставления счетов.
В этой статье предполагается, что в качестве архитектора вы изучили дерево принятия решений вычислений и выбрали виртуальные машины в качестве вычислительной службы для рабочей нагрузки. В этой статье приведены рекомендации по архитектуре, сопоставленные с принципами Well-Architected платформы.
Это важно
Как использовать это руководство
Каждый раздел содержит контрольный список проектирования, который включает архитектурные аспекты, вызывающие обеспокоенность, а также стратегии проектирования, адаптированные к конкретным технологиям.
Также включены рекомендации по возможностям технологий, которые помогут материализовать эти стратегии. Рекомендации не представляют исчерпывающий список всех конфигураций, доступных для виртуальных машин и его зависимостей. Вместо этого они перечисляют ключевые рекомендации, сопоставленные с перспективами проектирования. Используйте рекомендации для создания подтверждения концепции или оптимизации существующих сред.
Базовая архитектура, демонстрирующая основные рекомендации: базовая архитектура виртуальных машин.
Область технологии
В этом обзоре рассматриваются взаимосвязанные решения для следующих ресурсов Azure:
Виртуальные машины
Масштабируемые наборы виртуальных машин Azure
Диски являются важной зависимостью для архитектур на основе виртуальных машин, но не рассматриваются в этой статье. Дополнительные сведения см. в рекомендациях по архитектуре для хранилища дисков Azure.
Надежность
Цель компонента надежности заключается в обеспечении непрерывной функциональности путем создания достаточной устойчивости и возможности быстрого восстановления после сбоев.
принципы проектирования надежности обеспечивают высокоуровневую стратегию проектирования, применяемую для отдельных компонентов, системных потоков и системы в целом.
Контрольный список проектирования
Начните стратегию проектирования на основе контрольного списка для проверки надежности. Определите их релевантность вашим бизнес-требованиям, учитывая идентификаторы SKU, особенности виртуальных машин и их зависимости. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Просмотрите квоты и ограничения виртуальных машин , которые могут представлять ограничения разработки. Виртуальные машины имеют определенные ограничения и квоты, которые зависят от типа виртуальной машины или региона. Могут быть ограничения на подписку, например количество виртуальных машин на одну подписку или количество ядер на виртуальную машину. Если другие рабочие нагрузки используют вашу подписку совместно, ваша способность потреблять данные может быть уменьшена. Проверьте ограничения на виртуальные машины, масштабируемые наборы виртуальных машин и управляемые диски.
Выполните анализ режима сбоя , чтобы свести к минимуму точки сбоя, проанализировав взаимодействие виртуальной машины с компонентами сети и хранилища. Выберите конфигурации, такие как временные диски операционной системы ,чтобы локализовать доступ к диску и избежать сетевых прыжков. Добавьте подсистему балансировки нагрузки для повышения самосохранения путем распределения сетевого трафика между несколькими виртуальными машинами, что повышает доступность и надежность.
Вычислите составные цели уровня обслуживания (SLOS) на основе соглашений об уровне обслуживания Azure (SLA). Убедитесь, что SLO не выше соглашения об уровне обслуживания Azure , чтобы избежать нереалистических ожиданий и потенциальных проблем.
Учитывайте сложности, которые представляют зависимости. Например, некоторые компоненты, такие как виртуальные сети и сетевые интерфейсные карты (НИС), не имеют собственных соглашений об уровне обслуживания. Другие зависимости, такие как связанный диск данных, имеют соглашения об уровне обслуживания, которые интегрируются с соглашениями об уровне обслуживания виртуальных машин. Эти варианты следует учитывать, так как они могут повлиять на производительность и надежность виртуальной машины.
Учитывайте критические зависимости виртуальных машин от компонентов, таких как диски и сети. Если вы понимаете эти связи, то можно определить критически важные потоки, влияющие на надежность.
Создайте изоляцию состояния. Данные рабочей нагрузки должны находиться на отдельном диске данных, чтобы предотвратить помехи с диском ОС. Если виртуальная машина терпит сбой, можно создать новый диск операционной системы, используя тот же диск данных, что обеспечивает устойчивость и изоляцию неисправностей. Дополнительные сведения см. в разделе "Временные диски ОС".
Сделайте резервными для разных зон виртуальные машины и их зависимости. Если виртуальная машина выходит из строя, рабочая нагрузка должна продолжать функционировать благодаря избыточности. Включите зависимости в выбор избыточности. Например, используйте встроенные параметры избыточности, доступные с дисками. Используйте IP-адреса с зональной избыточностью, чтобы обеспечить сохранность данных и высокий уровень бесперебойной работы.
Будьте готовы к масштабированию вверх и масштабированию наружу чтобы предотвратить снижение уровня обслуживания и избежать сбоев. Масштабируемые наборы виртуальных машин имеют возможности автомасштабирования, которые создают новые экземпляры по мере необходимости и распределяют нагрузку между несколькими виртуальными машинами и зонами доступности.
Изучите параметры автоматического восстановления. Azure поддерживает мониторинг ухудшения работоспособности и функции самовосстановления для виртуальных машин. Например, масштабируемые наборы предоставляют автоматическое восстановление экземпляра. В более сложных сценариях реконфигурация включает использование Azure Site Recovery, пассивный резерв для переключения в случае сбоя или повторное развертывание из инфраструктуры в виде кода (IaC). Выбранный метод должен соответствовать бизнес-требованиям и операциям организации. Дополнительные сведения см. в статье о сбоях службы виртуальных машин.
Права на виртуальные машины и их зависимости. Поймите ожидаемую работу вашей виртуальной машины, чтобы убедиться, что она не слишком мала и может выдерживать максимальную нагрузку. Дополнительные ресурсы для смягчения сбоев.
Создайте комплексный план аварийного восстановления. Подготовка к авариям включает создание комплексного плана и принятие решения о технологии восстановления.
Зависимости и компоненты с отслеживанием состояния, такие как подключенное хранилище, могут усложнить восстановление. Если диски идут вниз, то эта ошибка влияет на функционирование виртуальной машины. Включите четкий процесс для этих зависимостей в планы восстановления.
Операции выполняются с тщательностью. Варианты проектирования надежности должны поддерживаться эффективными операциями на основе принципов мониторинга, тестирования устойчивости в рабочей среде, автоматического исправления виртуальных машин приложений и обновлений, а также согласованности развертываний. Для получения руководства по эксплуатации см. Операционное превосходство.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| (Масштабируемый набор) Используйте масштабируемые наборы виртуальных машин в гибком режиме оркестрации для развертывания виртуальных машин. | Для обеспечения будущего масштабирования вашего приложения и использования преимуществ высокой доступности, которые обеспечиваются распространением виртуальных машин между отказоустойчивыми доменами в регионе или зоне доступности. |
| (виртуальные машины) Реализуйте конечные точки работоспособности, которые передают состояния работоспособности экземпляра на виртуальных машинах. (Масштабируемый набор) Включите автоматическое восстановление в масштабируемом наборе, указав предпочтительное действие восстановления. Рассмотрите возможность настройки интервала времени, в течение которого автоматическое восстановление приостанавливается при изменении состояния виртуальной машины. |
Сохранять доступность даже в том случае, если экземпляр признан неработоспособным. Автоматическое восстановление начинается заменой неисправного экземпляра. Установка периода времени может препятствовать непреднамеренной или преждевременной операции восстановления. |
| (Масштабируемый набор) Включите перепроизбытку в масштабируемых наборах. | Избыточное развертывание сокращает время развертывания и имеет экономический эффект, так как дополнительные виртуальные машины не тарифицируются. |
| (Масштабируемый набор) Предварительно выделите экземпляры с резервными пулами. | Резервные экземпляры пула остаются неактивными, но готовы взять на себя рабочие нагрузки, если произойдет сбой. Эта возможность повышает надежность системы. |
| (Масштабируемый набор) Позвольте гибкой оркестрации распространять экземпляры виртуальных машин по как можно большему числу доменов сбоя. | Этот параметр изолирует домены сбоя. В периоды обслуживания при обновлении одного домена сбоя экземпляры виртуальных машин доступны в других доменах сбоя. |
| (Масштабируемый набор) Развертывание между зонами доступности на масштабируемых наборах. Настройте по крайней мере два экземпляра в каждой зоне. Балансировка зоны равномерно распределяет экземпляры по зонам. |
Экземпляры виртуальных машин подготавливаются в физически отдельных расположениях в каждом регионе Azure, которые терпимы к локальным сбоям. Помните, что в зависимости от доступности ресурсов количество экземпляров может быть неравномерным в разных зонах. Балансировка зон способствует доступности, гарантируя наличие достаточного количества ресурсов в других зонах в случае отключения одной из зон. Два экземпляра в каждой зоне предоставляют буфер во время обновления. |
| (Масштабируемый набор) Чтобы повысить время безотказной работы службы при сохранении контроля над затратами на обновления, включите MaxSurge. | Новые экземпляры создаются в пакетах с помощью последней модели масштабирования. После работоспособности новых экземпляров старые экземпляры удаляются в пакетах. Этот процесс продолжается до обновления всех экземпляров, что гарантирует отсутствие простоя во время обновлений. |
| (виртуальные машины) Воспользуйтесь функцией резервирования мощности. | Емкость зарезервирована для использования и доступна в пределах применимых соглашений об уровне обслуживания. Вы можете удалить резервирования емкости, если они больше не нужны, а выставление счетов производится на основании фактического потребления. |
Безопасность
Цель компонента "Безопасность" — обеспечить конфиденциальности, целостности и доступности гарантии рабочей нагрузки.
Принципы проектирования безопасности обеспечивают высокоуровневую стратегию проектирования для достижения этих целей, применяя подходы к техническому проектированию виртуальных машин.
Контрольный список проектирования
Начните стратегию проектирования, основываясь на контрольном списке проверки проектирования для безопасности, и выявляйте уязвимости и меры управления для улучшения состояния безопасности. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Просмотрите базовые показатели безопасности для виртуальных машин Linux и Windows и масштабируемых наборов виртуальных машин.
В рамках ваших базовых параметров технологий рассмотрите функции безопасности SKU виртуальных машин, поддерживающих рабочую нагрузку.
Обеспечение своевременной и автоматической установки обновлений безопасности и обновлений системы. Убедитесь, что обновления автоматически развертываются и проверяются с помощью четко определенного процесса. Используйте такое решение, как служба автоматизации Azure , для управления обновлениями ОС и обеспечения соответствия безопасности, выполняя критически важные обновления.
Определите виртуальные машины, удерживающие состояние. Убедитесь, что данные классифицируются в соответствии с метками конфиденциальности, которые предоставляет ваша организация. Защита данных с помощью мер безопасности, таких как соответствующие уровни шифрования данных в состоянии покоя и при передаче. Если у вас есть высокие требования к конфиденциальности, рекомендуется использовать средства управления высокой безопасностью, такие как двойное шифрование и конфиденциальные вычисления Azure для защиты используемых данных.
Предоставьте сегментацию виртуальным машинам и масштабируемым наборам, задав границы сети и элементы управления доступом. Разместите виртуальные машины в группах ресурсов, которые используют один и тот же жизненный цикл.
Примените элементы управления доступом к удостоверениям , которые пытаются достичь виртуальных машин, а также к виртуальным машинам, которые достигают других ресурсов. Используйте идентификатор Microsoft Entra для проверки подлинности и авторизации. Настройте надежные пароли, многофакторную аутентификацию и управление доступом на основе ролей (RBAC) для виртуальных машин и их зависимостей, таких как секреты, чтобы предоставить идентификаторам разрешение выполнять только те операции, которые соответствуют их ролям.
Ограничить доступ к ресурсам на основе условий с помощью условного доступа Microsoft Entra. Определите условные политики на основе длительности и минимального набора необходимых разрешений.
Используйте сетевые элементы управления для ограничения входящего трафика и исходящего трафика. Изоляция виртуальных машин и масштабируемых наборов в виртуальной сети Azure и определение групп безопасности сети для фильтрации трафика. Защита от распределенных атак типа "отказ в обслуживании" (DDoS). Используйте подсистемы балансировки нагрузки и правила брандмауэра для защиты от вредоносных атак трафика и кражи данных.
Используйте Бастион Azure , чтобы обеспечить более безопасное подключение к виртуальным машинам для оперативного доступа.
Обмен данными с виртуальными машинами и от них на решения платформы как услуги (PaaS) должен выполняться через частные конечные точки.
Уменьшите область атаки , заклинив образы ОС и удалив неиспользуемые компоненты. Используйте небольшие образы и удалите двоичные файлы, которые не требуются для выполнения рабочей нагрузки. Ужесточите конфигурации виртуальных машин, удаляя такие функции, как учетные записи и порты по умолчанию, которые вам не нужны.
Защита секретов , таких как сертификаты, необходимые для защиты передаваемых данных. Рекомендуется использовать расширение Azure Key Vault для Windows или Linux , которое автоматически обновляет сертификаты, хранящиеся в хранилище ключей. При обнаружении изменения сертификатов расширение извлекает и устанавливает соответствующие сертификаты.
Обнаружение угроз. Отслеживайте виртуальные машины для угроз и неправильной настройки. Используйте Defender для серверов для записи изменений виртуальной машины и ОС и поддержания аудита доступа, новых учетных записей и изменений в разрешениях.
Предотвращение угроз. Защита от вредоносных атак и вредоносных субъектов путем реализации таких средств безопасности, как брандмауэры, антивирусное программное обеспечение и системы обнаружения вторжений. Определите, требуется ли доверенное окружение выполнения (TEE ).
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| (Масштабируемый набор) Назначьте управляемое удостоверение масштабируемым наборам. Все виртуальные машины в масштабируемом наборе получают то же удостоверение через указанный профиль виртуальной машины. (виртуальные машины) Вы также можете назначить управляемое удостоверение отдельным виртуальным машинам при их создании, а затем добавить его в масштабируемый набор при необходимости. |
Когда виртуальные машины взаимодействуют с другими ресурсами, они пересекают границу доверия. Наборы масштабирования и виртуальные машины должны пройти аутентификацию, прежде чем будет разрешена связь. Microsoft Entra ID обрабатывает аутентификацию с помощью управляемых идентичностей. |
| (Масштабируемый набор) Выберите SKU виртуальных машин с функциями безопасности. Например, некоторые номера SKU поддерживают шифрование BitLocker, а конфиденциальные вычисления обеспечивают шифрование используемых данных. Ознакомьтесь с функциями, чтобы понять ограничения. |
Предоставляемые Azure функции основаны на сигналах, которые фиксируются во многих клиентах и могут защищать ресурсы лучше, чем пользовательские элементы управления. Вы также можете использовать политики для применения этих элементов управления. |
| (виртуальные машины, масштабируемый набор) Примените теги, рекомендуемые организацией в предоставленных ресурсах. | Теги — это распространенный способ сегментирования и упорядочения ресурсов и может иметь решающее значение во время управления инцидентами. Дополнительные сведения см. в разделе "Назначение именования и тегов". |
| (виртуальные машины, масштабируемый набор) Задайте профиль безопасности с функциями безопасности, которые необходимо включить в конфигурации виртуальной машины. Например, при указании шифрования на узле в профиле, данные, хранящиеся на узле виртуальной машины, шифруются в состоянии покоя, а потоки данных, которые отправляются в службу хранилища, шифруются. |
Функции в профиле безопасности автоматически включены при создании виртуальной машины. Дополнительные сведения см. в разделе "Базовые показатели безопасности Azure" для масштабируемых наборов виртуальных машин. |
| (виртуальные машины) Выберите безопасные параметры сети для сетевого профиля виртуальной машины. Не свяжите общедоступные IP-адреса с виртуальными машинами и не включите IP-пересылку. Убедитесь, что все интерфейсы виртуальной сети имеют связанную группу безопасности сети. |
Элементы управления сегментацией можно задать в профиле сети. Злоумышленники сканируют общедоступные IP-адреса. Это действие делает виртуальные машины уязвимыми к угрозам. |
| (виртуальные машины) Выберите параметры безопасного хранилища для профиля хранилища виртуальной машины. Включите шифрование дисков и шифрование неактивных данных по умолчанию. Отключите доступ к дискам виртуальной машины общедоступной сети. |
Отключение доступа к общедоступной сети помогает предотвратить несанкционированный доступ к данным и ресурсам. |
| (виртуальные машины и наборы масштабирования) Добавьте расширения в ваши виртуальные машины, которые защищают от угроз. Например: — расширение Key Vault для Windows и Linux - Проверка подлинности идентификатора Microsoft Entra - Антивредоносная программа Майкрософт для облачных служб Azure и виртуальных машин — расширение шифрования дисков Azure для Windows и Linux. |
Расширения используются для инициализации виртуальных машин с нужным программным обеспечением, которое защищает доступ к виртуальным машинам и от них. Расширения, предоставляемые корпорацией Майкрософт, часто обновляются, чтобы соответствовать изменяющимся стандартам безопасности. |
Оптимизация затрат
Оптимизация затрат фокусируется на обнаружении шаблонов расходов, приоритете инвестиций в критически важные области и оптимизации в других в соответствии с бюджетом организации при выполнении бизнес-требований.
Принципы проектирования оптимизации затрат обеспечивают высокоуровневую стратегию проектирования для достижения этих целей и достижения компромиссов в соответствии с техническим проектированием, связанными с виртуальными машинами и ее средой.
Контрольный список проектирования
Начните стратегию проектирования на основе контрольного списка оценки для оптимизации затрат при инвестициях. Настройте структуру, чтобы рабочая нагрузка соответствовала бюджету, выделенному для рабочей нагрузки. Проект должен использовать правильные возможности Azure, отслеживать инвестиции и находить возможности для оптимизации с течением времени.
Оцените реалистичные затраты. Используйте калькулятор цен для оценки затрат на виртуальные машины. Определите лучшую виртуальную машину для рабочей нагрузки с помощью селектора виртуальной машины. Дополнительные сведения см. в ценах на Linux и Windows .
Реализуйте контроль затрат. Используйте политики управления для ограничения типов ресурсов, конфигураций и расположений. Используйте RBAC для блокировки действий, которые могут привести к перерасходу.
Выберите нужные ресурсы. Выбор размеров планов виртуальных машин и номеров SKU непосредственно влияет на общую стоимость. Выберите виртуальные машины на основе характеристик рабочей нагрузки. Является ли рабочая нагрузка интенсивной на ЦП или она выполняет прерываемые процессы? Каждый номер SKU имеет связанные параметры диска, влияющие на общую стоимость.
Выберите нужные возможности для зависимых ресурсов. Сэкономьте на затратах на хранилище резервных копий для уровня «Стандартный», используя хранилище Azure Backup с зарезервированной емкостью. Она предлагает скидку при фиксации резервирования в течение одного года или трех лет.
Уровень архива в службе хранилища Azure — это офлайн-уровень, оптимизированный для хранения данных BLOB-объектов, к которым редко обращаются. Уровень архива предлагает самые низкие затраты на хранение, но более высокие затраты на получение данных и задержку по сравнению с горячими и холодными уровнями в Сети.
Рекомендуется использовать аварийное восстановление между зонами для виртуальных машин, чтобы восстановиться после отказа в работе сайта, при этом уменьшая сложность обеспечения доступности с помощью служб, избыточных между зонами. Может быть экономия благодаря снижению сложности операций.
Выберите правильную модель выставления счетов. Оцените, оптимизируют ли модели вычислений на основе обязательств затраты в зависимости от бизнес-требований рабочей нагрузки. Рассмотрим следующие варианты Azure:
-
Зарезервированные ресурсы Azure: предоплата за предсказуемые рабочие нагрузки для снижения затрат по сравнению с ценами на основе потребления.
Это важно
Приобретайте зарезервированные экземпляры, чтобы снизить затраты Azure на рабочие нагрузки с устойчивым использованием. Управление использованием, чтобы убедиться, что вы не оплачиваете больше ресурсов, чем вы используете. Сохраняйте зарезервированные экземпляры простыми и сохраняйте затраты на управление низкими, чтобы снизить затраты.
- План экономии. Если вы собираетесь потратить фиксированную почасовую сумму на вычислительные службы в течение одного или трех лет, этот план может снизить затраты.
- Преимущество гибридной среды Azure. Сохранение при переносе локальных виртуальных машин в Azure.
-
Зарезервированные ресурсы Azure: предоплата за предсказуемые рабочие нагрузки для снижения затрат по сравнению с ценами на основе потребления.
Мониторинг использования. Непрерывно отслеживайте шаблоны использования и обнаруживайте неиспользуемые или недоиспользуемые виртуальные машины. Для таких случаев завершите работу экземпляров виртуальных машин, когда они не используются. Мониторинг является ключевым подходом к операционному превосходству. Дополнительные сведения см. в рекомендациях по операционному превосходству.
Ищите возможности для оптимизации. Некоторые стратегии включают выбор наиболее экономичного подхода между увеличением ресурсов в существующей системе или увеличением масштаба и добавлением дополнительных экземпляров этой системы или масштабированием. Вы можете отключить спрос, распределив его в другие ресурсы или сократить спрос, реализуя очереди приоритетов, разгрузку шлюза, буферизацию и ограничение скорости. Дополнительные сведения см. в рекомендациях по эффективности производительности.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| (виртуальные машины, масштабируемый набор) Выберите нужный размер плана виртуальной машины и номер SKU. Определите лучшие размеры виртуальных машин для рабочей нагрузки . Используйте селектор виртуальной машины, чтобы определить лучшую виртуальную машину для рабочей нагрузки. См. цены на Windows и Linux . Для рабочих нагрузок, таких как задания пакетной обработки с высокой параллелизмом, которые могут терпеть некоторые прерывания, рекомендуется использовать виртуальные машины Azure Spot Virtual Machines. Спотовые виртуальные машины хорошо подходят для экспериментов, разработки и тестирования крупномасштабных решений. |
Цены на SKU устанавливаются в соответствии с возможностями, которые они предлагают. Если вам не нужны расширенные возможности, не тратьте лишние средства на SKU. Точечные виртуальные машины используют преимущества избыточной емкости в Azure по более низкой стоимости. |
| (Масштабируемый набор) Смешайте обычные виртуальные машины с точечными виртуальными машинами. Гибкая оркестрация позволяет распределять точечные виртуальные машины на основе указанного процента. |
Сокращение затрат на инфраструктуру вычислений путем применения глубоких скидок на точечные виртуальные машины. |
| (Масштабируемый набор) Уменьшите количество экземпляров виртуальных машин при снижении спроса. Задайте политику масштабирования на основе критериев. |
Масштабирование ресурсов, когда они не используются, сокращает количество запущенных виртуальных машин в масштабируемом наборе, что снижает затраты. |
| (виртуальные машины) Остановите виртуальные машины в нерабочее время. Вы можете использовать функцию запуска и остановки службы автоматизации Azure и настроить ее в соответствии с вашими бизнес-потребностями. | Функция запуска и остановки — это недорогой вариант автоматизации, который может значительно уменьшить затраты на неактивные экземпляры. |
| (виртуальные машины) Освободите ресурсы ЦП с помощью Azure Boost. | Разгрузка внутренних процессов виртуализации освобождает ресурсы ЦП для гостевых виртуальных машин. Эта оптимизация приводит к повышению производительности. Azure Boost доступен только на определенных виртуальных машинах, поэтому убедитесь, что вы также выбрали размеры виртуальных машин с включенным Azure Boost. |
| (виртуальные машины, масштабируемый набор) Воспользуйтесь преимуществами мобильности лицензий с помощью гибридного преимущества Azure. Виртуальные машины имеют возможность лицензирования, которая позволяет перенести собственные локальные лицензии ОС Windows Server в Azure. Преимущество гибридного использования Azure также позволяет перенести определенные подписки Linux в Azure. |
Вы можете максимизировать локальные лицензии при получении преимуществ облака. |
Операционное превосходство
Операционное совершенство в основном сосредоточено на процедурах, касающихся практик разработки , наблюдаемости и управления релизами.
Принципы проектирования операционной эффективности обеспечивают высокоуровневую стратегию проектирования для достижения этих целей в соответствии с операционными требованиями рабочей нагрузки.
Контрольный список проектирования
Начните разработку стратегии проектирования на основе контрольного списка ревизии разработки для операционной эффективности для определения процессов наблюдаемости, тестирования и развертывания, относящихся к виртуальным машинам и масштабируемым наборам.
Отслеживайте экземпляры виртуальных машин. Сбор журналов и метрик из экземпляров виртуальных машин для мониторинга использования ресурсов и измерения работоспособности экземпляров. Некоторые распространенные метрики включают использование ЦП, количество запросов и задержку ввода-вывода (ввода-вывода). Настройте оповещения Azure Monitor, чтобы получать уведомления о проблемах и обнаруживать изменения конфигурации в вашей среде.
Отслеживайте работоспособность виртуальных машин и их зависимостей.
- Разверните компоненты мониторинга для сбора журналов и метрик, которые предоставляют комплексное представление виртуальных машин, гостевой ОС и данных диагностики загрузки. Масштабируемые наборы виртуальных машин собирают данные телеметрии, что позволяет просматривать метрики работоспособности на уровне отдельной виртуальной машины или в агрегированном виде. Используйте Azure Monitor для просмотра этих данных для каждой виртуальной машины или агрегирования на нескольких виртуальных машинах. Дополнительные сведения см. в рекомендациях по агентам мониторинга.
- Воспользуйтесь преимуществами сетевых компонентов, которые проверяют состояние работоспособности виртуальных машин. Например, Azure Load Balancer посылает сигналы виртуальным машинам, чтобы обнаруживать неисправные виртуальные машины и перенаправлять трафик соответствующим образом.
- Настройте правила генерации оповещений Azure Monitor. Определите важные условия в данных мониторинга для выявления и устранения проблем, прежде чем они влияют на систему.
Создайте план обслуживания , включающий регулярное исправление системы в рамках обычных операций. Включите чрезвычайные процессы, позволяющие немедленно исправить приложение. Вы можете использовать пользовательские процессы для управления исправлениями или частично делегировать задачу в Azure. Azure предоставляет функции для обслуживания отдельных виртуальных машин. Вы можете настроить периоды обслуживания, чтобы свести к минимуму нарушения во время обновлений. Во время обновлений платформы рекомендации по домену сбоя являются ключевыми для устойчивости. Рекомендуется развернуть как минимум два экземпляра в зоне. Две виртуальные машины для каждой зоны гарантируют как минимум одну виртуальную машину в каждой зоне, так как одновременно обновляется только один домен сбоя в зоне. Таким образом, для трех зон обеспечьте по крайней мере шесть инстанций.
Автоматизация процессов начальной загрузки, выполнения скриптов и настройки виртуальных машин. Вы можете автоматизировать процессы с помощью расширений или пользовательских скриптов. Мы рекомендуем использовать следующие параметры:
Расширение виртуальной машины Key Vault автоматически обновляет сертификаты, хранящиеся в хранилище ключей.
Расширение пользовательского скрипта Azure для Windows и Linux загружает и запускает скрипты на виртуальных машинах. Используйте это расширение для настройки после развертывания, установки программного обеспечения или любой другой задачи настройки или управления.
Используйте cloud-init, чтобы настроить среду запуска для виртуальных машин под управлением Linux.
Имеют процессы установки автоматических обновлений. Рекомендуется использовать автоматическое исправление гостевой виртуальной машины для своевременного развертывания критически важных исправлений и исправлений безопасности. Используйте Диспетчер обновлений Azure для управления обновлениями ОС для виртуальных машин Windows и Linux в Azure.
Создайте тестовую среду , которая тесно соответствует рабочей среде для тестирования обновлений и изменений перед развертыванием в рабочей среде. Для проверки обновлений системы безопасности, базовых показателей производительности и сбоев надежности имеются процессы. Используйте библиотеки ошибок Azure Chaos Studio для внедрения и имитации условий ошибок. Дополнительные сведения см. в библиотеке ошибок и действий Azure Chaos Studio.
Управление квотой. Запланируйте уровень квоты рабочей нагрузки и регулярно просматривайте этот уровень по мере развития рабочей нагрузки. Если вам нужно увеличить или уменьшить квоту, запросить эти изменения рано.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| (Масштабируемый набор) Масштабируемые наборы виртуальных машин в гибком режиме оркестрации могут упростить развертывание и управление вашей рабочей нагрузкой. Например, можно легко управлять самовосстановлением с помощью автоматического ремонта. | Гибкая оркестрация может управлять экземплярами виртуальных машин в большом масштабе. Передача отдельных виртуальных машин добавляет операционные издержки. Например, при удалении экземпляров виртуальных машин можно удалить или сохранить связанные с виртуальными машинами диски и сетевые адаптеры. Экземпляры виртуальных машин могут распространяться по нескольким доменам сбоя, чтобы операции обновления не нарушали работу службы. При управлении экземплярами гибкой оркестрации можно использовать все стандартные API виртуальных машин. Виртуальные машины Linux и Windows могут находиться в одном гибком масштабируемом наборе, упрощая управление разнородными рабочими нагрузками. |
| (Масштабируемый набор) Подключение или отключение одной виртуальной машины в наборе к масштабируемым наборам виртуальных машин в гибком режиме оркестрации обеспечивает возможность оперативного решения задач без повторного развертывания инфраструктуры. | Присоединение виртуальных машин позволяет перенести существующие виртуальные машины под управлением VMSS Flex, что позволяет централизованно контролировать обновления, масштабирование и мониторинг. Отключение виртуальных машин от VMSS Flex позволяет изолировать виртуальную машину для устранения неполадок или специальной конфигурации, не нарушая остальную часть масштабируемого набора. |
| (Масштабируемый набор) Оставьте виртуальные машины в актуальном состоянии , задав политику обновления. Рекомендуется выполнить последовательное обновление. Однако если вам нужен детальный контроль, выберите обновление вручную. Для гибкой оркестрации можно использовать Диспетчер обновлений Azure. |
Безопасность является основной причиной обновления. Гарантии безопасности для экземпляров не должны ослабевать с течением времени. Последовательное обновление выполняется в пакетах. Такой подход гарантирует, что ни один экземпляр не будет отключен одновременно с другими. |
| (виртуальные машины, масштабируемый набор) Автоматическое развертывание приложений виртуальных машин из Azure Compute Gallery с помощью определения приложений в профиле. | Виртуальные машины в масштабируемом наборе создаются и указанные приложения предварительно установлены, что упрощает управление. |
|
Установите предварительно созданные компоненты программного обеспечения в качестве расширений в рамках начальной загрузки. Azure поддерживает множество расширений, которые можно использовать для настройки, мониторинга, защиты и предоставления служебных приложений для виртуальных машин. Включите автоматическое обновление расширений. |
Расширения могут упростить установку программного обеспечения в масштабе без необходимости вручную устанавливать, настраивать или обновлять его на каждой виртуальной машине. |
| (виртуальные машины, масштабируемый набор) Отслеживайте и измеряйте работоспособность экземпляров виртуальной машины. Разверните расширение агента Monitor для ваших виртуальных машин, чтобы собирать данные мониторинга из гостевой ОС по правилам сбора данных, специфичным для ОС. Включите аналитику виртуальных машин для мониторинга работоспособности и производительности и просмотра тенденций из собранных данных. Используйте диагностику загрузки для получения информации при загрузке виртуальных машин. Диагностика загрузки также диагностирует сбои загрузки. |
Данные мониторинга являются основой разрешения инцидентов. Полный стек мониторинга содержит сведения о том, как работают виртуальные машины и их состояние. Постоянно отслеживая экземпляры, вы можете быть подготовлены к сбоям или предотвратить их, таким как перегрузка системы и проблемы с надежностью. |
Эффективность производительности
Эффективность производительности заключается в поддержании пользовательского опыта даже в условиях увеличения нагрузки за счёт управления ресурсами. Стратегия включает масштабирование ресурсов, определение потенциальных узких мест и оптимизацию для достижения пиковой производительности.
Принципы проектирования эффективности производительности предлагают высокоуровневую стратегию для достижения этих целей по емкости с учетом ожидаемого использования.
Контрольный список проектирования
Начните стратегию проектирования на основе контрольного списка проектирования для эффективности производительности. Определите базовые показатели, основанные на ключевых показателях производительности виртуальных машин и масштабируемых наборов.
Определите целевые показатели производительности. Определите метрики виртуальных машин для отслеживания и измерения показателей производительности в качестве времени отклика, использования ЦП и использования памяти, а также метрик рабочей нагрузки, таких как транзакции в секунду, одновременные пользователи и доступность и работоспособность.
Учитывайте профиль производительности виртуальных машин, масштабируемых наборов и конфигурацию дисков при планировании емкости. Каждый номер SKU имеет другой профиль памяти и ЦП и ведет себя по-разному в зависимости от типа рабочей нагрузки. Проводите пилотные проекты и доказательства концепции, чтобы понять поведение производительности в рамках конкретной рабочей нагрузки.
Настройка производительности виртуальной машины. Воспользуйтесь преимуществами оптимизации производительности и улучшения функций, необходимых рабочей нагрузке. Например, используйте локально подключенную неизменяемую память Express (NVMe) для высокопроизводительных вариантов использования и ускорения сети, а также используйте SSD класса Premium версии 2 для повышения производительности и масштабируемости.
Учитывайте зависимые сервисы. Зависимости рабочей нагрузки, такие как кэширование, сетевой трафик и сети доставки содержимого, которые взаимодействуют с виртуальными машинами, могут повлиять на производительность. Кроме того, рассмотрим географическое распределение, например зоны и регионы, которые могут добавить задержку.
Сбор данных о производительности. Следуйте рекомендациям по мониторингу и развертыванию соответствующих расширений, чтобы просмотреть метрики, отслеживающие показатели производительности.
Группы размещения близкого взаимодействия. Используйте группы размещения близкого взаимодействия в рабочих нагрузках, где требуется минимальная задержка, для обеспечения физической близости виртуальных машин друг к другу.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| (виртуальные машины, масштабируемый набор) Выберите единицы SKU для виртуальных машин, которые соответствуют планированию ресурсов. У вас есть четкое представление о требованиях к рабочей нагрузке, включая количество ядер, памяти, хранилища и пропускной способности сети, чтобы вы могли исключить неподходящие SKU. |
Права на виртуальные машины — это основное решение, которое значительно влияет на производительность рабочей нагрузки. Без правильного набора виртуальных машин вы можете столкнуться с проблемами производительности и понесением ненужных затрат. |
| (виртуальные машины, набор горизонтального масштабирования) Развертывание чувствительных к задержке виртуальных машин с рабочей нагрузкой в группах размещения близкого взаимодействия. | Группы размещения для близкого взаимодействия уменьшают физическое расстояние между вычислительными ресурсами Azure, что может повысить производительность и снизить задержку сети между автономными виртуальными машинами, виртуальными машинами в нескольких группах доступности или виртуальными машинами в нескольких масштабируемых наборах. |
| (виртуальные машины) Рассмотрите возможность включения ускоренной сети. | Обеспечивает виртуализацию ввода-вывода с единым корнем (SR-IOV) для виртуальной машины, что значительно повышает ее сетевую производительность. |
| (виртуальные машины, масштабируемый набор) Задайте правила автомасштабирования , чтобы увеличить или уменьшить количество экземпляров виртуальных машин в масштабируемом наборе по требованию. | При увеличении потребностей вашего приложения увеличивается нагрузка на экземпляры виртуальных машин в наборе масштабирования. Правила автомасштабирования гарантируют, что у вас достаточно ресурсов для удовлетворения спроса. |
Политики Azure
Azure предоставляет широкий набор встроенных политик, связанных с виртуальными машинами и его зависимостями. Некоторые из предыдущих рекомендаций можно проверять с помощью политики Azure. Например, можно проверить, можно ли:
Шифрование включено на уровне узла. Убедитесь, что шифрование включено на уровне узла, чтобы обеспечить дополнительную безопасность для данных виртуальной машины.
Развертываются расширения защиты от вредоносных программ. Убедитесь, что расширения защиты от вредоносных программ развертываются на виртуальных машинах под управлением Windows Server и устанавливаются для автоматического обновления, чтобы обеспечить постоянную защиту.
Автоматическое исправление образа ОС включено. Убедитесь, что автоматическое исправление образа ОС включено в масштабируемых наборах, чтобы обеспечить обновление виртуальных машин с помощью исправлений системы безопасности.
Устанавливаются только утвержденные расширения виртуальной машины. Убедитесь, что на виртуальных машинах установлены только утвержденные расширения. Этот подход помогает свести к минимуму риск уязвимостей системы безопасности.
Активированы модули мониторинга и зависимостей. Убедитесь, что агент монитора и агенты зависимостей включены на всех новых виртуальных машинах для упрощения мониторинга и управления зависимостями.
Развёртываются только разрешённые SKU виртуальных машин. Убедитесь, что развернуты только утвержденные SKU виртуальных машин. Эта политика гарантирует соблюдение ограничений затрат и требований к ресурсам.
Частные конечные точки используются для доступа к диску. Убедитесь, что частные конечные точки используются для безопасного доступа к ресурсам диска. Этот подход помогает предотвратить воздействие общедоступных сетей.
Обнаружение уязвимостей включено. Включите обнаружение уязвимостей для виртуальных машин. Для компьютеров Windows настройте такие правила, как ежедневные проверки с помощью антивирусной программы Microsoft Defender для обнаружения потенциальных угроз.
Для комплексного управления ознакомьтесь со встроенными определениями политики Azure для виртуальных машин и других политик, которые могут повлиять на безопасность вычислительного слоя.
Рекомендации Помощника по Azure
Помощник по Azure — это персонализированный облачный консультант, который поможет вам следовать рекомендациям по оптимизации развертываний Azure.
Для получения дополнительной информации см. Azure Advisor.
Связанный контент
Рассмотрим следующие статьи как ресурсы, демонстрирующие рекомендации, выделенные в этой статье.
- Используйте следующие эталонные архитектуры в качестве примеров применения рекомендаций этой статьи к рабочей нагрузке:
- Архитектура отдельных виртуальных машин: виртуальная машина Linux и виртуальная машина Windows
- Базовая архитектура, посвященная рекомендациям по инфраструктуре: базовая архитектура виртуальных машин
- Создайте опыт реализации с помощью следующей документации по продукту: