Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Machines virtuelles Azure est un type de service de calcul que vous pouvez utiliser pour créer et exécuter des machines virtuelles sur la plateforme Azure. Il offre une flexibilité dans différentes références SKU, systèmes d’exploitation et configurations avec différents modèles de facturation.
Cet article suppose qu'en tant qu'architecte, vous avez examiné l'arbre de décision compute et choisi Machines Virtuelles comme service de calcul pour votre charge de travail. Les conseils fournis dans cet article proposent des recommandations architecturales alignées sur les principes des piliers du Framework Well-Architected.
Étendue de la technologie
Cet examen se concentre sur les décisions liées pour les ressources Azure suivantes :
Machines Virtuelles
Groupes de machines virtuelles identiques Azure (Groupes de Machines Virtuelles Azure à Mise à l'Échelle)
Les disques sont une dépendance cruciale pour les architectures basées sur des machines virtuelles, mais ne sont pas abordés dans cet article. Pour plus d’informations, consultez les pratiques d'architecture pour Stockage sur disque Azure.
Reliability
L'objectif du pilier Fiabilité est de fournir une fonctionnalité continue en construisant suffisamment de résilience et la capacité de récupérer rapidement en cas de défaillance.
Les principes de conception pour la fiabilité offrent une stratégie de haut niveau appliquée aux composants individuels, aux flux de système et au système dans son ensemble.
Liste de contrôle pour la conception de la charge de travail
Commencez votre stratégie de conception basée sur la checklist de revue de conception pour la fiabilité. Déterminez sa pertinence pour vos besoins métier tout en gardant à l’esprit les références SKU et les fonctionnalités des machines virtuelles et de leurs dépendances. Étendez la stratégie pour inclure davantage d’approches en fonction des besoins.
Revoir les quotas et les limites des Machines Virtuelles susceptibles de poser des restrictions de conception. Les machines virtuelles ont des limites et des quotas spécifiques, qui varient en fonction du type de machine virtuelle ou de la région. Il peut y avoir des restrictions d’abonnement, telles que le nombre de machines virtuelles par abonnement ou le nombre de cœurs par machine virtuelle. Si d’autres charges de travail partagent votre abonnement, votre capacité à consommer des données peut être réduite. Vérifiez les limites des machines virtuelles, des groupes de machines virtuelles identiques et des disques managés.
Effectuez une analyse du mode d’échec pour réduire les points de défaillance en analysant les interactions de machine virtuelle avec les composants réseau et de stockage. Choisissez des configurations telles que des disques de système d’exploitation éphémères pour localiser l’accès au disque et éviter les tronçons réseau. Ajoutez un équilibreur de charge pour améliorer la conservation automatique en distribuant le trafic réseau sur plusieurs machines virtuelles, ce qui améliore la disponibilité et la fiabilité.
Calculez vos objectifs de niveau de service composites (ONC) en fonction des accords de niveau de service d'Azure (OLA). Assurez-vous que votre SLO n'est pas supérieur à l'Azure sla pour éviter les attentes irréalistes et les problèmes potentiels.
Tenez compte des complexités que les dépendances introduisent. Par exemple, certaines dépendances, telles que les réseaux virtuels et les cartes d’interface réseau ,ne disposent pas de leurs propres contrats SLA. D’autres dépendances, telles qu’un disque de données associé, ont des contrats SLA qui s’intègrent aux contrats SLA de machine virtuelle. Vous devez prendre en compte ces variations, car elles peuvent affecter les performances et la fiabilité des machines virtuelles.
Tenez compte des dépendances critiques des machines virtuelles sur des composants tels que les disques et le réseau. Si vous comprenez ces relations, vous pouvez déterminer les flux critiques qui affectent la fiabilité.
Créez une isolation d'état. Les données de charge de travail doivent se trouver sur un disque de données distinct pour éviter toute interférence avec le disque du système d’exploitation. Si une machine virtuelle échoue, vous pouvez créer un disque de système d’exploitation avec le même disque de données, ce qui garantit la résilience et l’isolation des erreurs. Pour plus d’informations, consultez disques de système d’exploitation éphémères.
Rendre les machines virtuelles et leurs dépendances redondantes entre les zones. Si une machine virtuelle échoue, la charge de travail doit continuer à fonctionner en raison de la redondance. Incluez les dépendances dans vos choix de redondance. Par exemple, utilisez les options de redondance intégrées disponibles avec des disques. Utilisez des adresses IP redondantes interzone pour garantir la disponibilité des données et le temps d’activité élevé.
Évitez les conceptions de charge de travail qui dépendent d’une seule machine virtuelle, car cette machine virtuelle ne sera pas résiliente aux événements de maintenance ou de fiabilité planifiés ou non planifiés.
Préparez-vous à augmenter la capacité et l'extensibilité pour empêcher la dégradation de service et éviter les défaillances. Virtual Machine Scale Sets disposez de fonctionnalités de mise à l’échelle automatique qui créent de nouvelles instances en fonction des besoins et distribuent la charge entre plusieurs machines virtuelles et zones de disponibilité.
Explorez les options de récupération automatique. Azure prend en charge la surveillance de la dégradation de l’intégrité et les fonctionnalités d’auto-guérison pour les machines virtuelles. Par exemple, les groupes identiques fournissent des réparations d’instance automatiques. Dans des scénarios plus avancés, l’auto-réparation implique l’utilisation d’Azure Site Recovery, le maintien d'une veille passive pour effectuer un basculement, ou le redéploiement depuis l’infrastructure en tant que code (IaC). La méthode que vous choisissez doit s’aligner sur les exigences métier, les opérations de votre organisation et prendre en charge votre capacité à effectuer des exercices de récupération. Pour plus d’informations, consultez interruptions de service de machine virtuelle.
Redimensionnez les machines virtuelles et leurs dépendances. Comprenez le travail attendu de votre machine virtuelle pour vous assurer qu’elle n’est pas sous-normalisée et peut gérer la charge maximale. Disposer d’une capacité supplémentaire pour atténuer les défaillances.
Assurez-vous que les machines virtuelles à disponibilité permanente continuent de fonctionner. Les machines virtuelles dans Azure peuvent être arrêtées, ce qui est un état distinct de lorsque la ressource est supprimée. Pour les machines virtuelles conçues pour rester en cours d’exécution, utilisez un
ReadOnlyverrou de ressource pour empêcher l’arrêt accidentel de la machine virtuelle. Cela n’empêche pas le système d’exploitation de redémarrer si nécessaire pour les mises à jour, mais empêche une erreur d’opérateur via le portail Azure ou l’interface CLI.Créez un plan de récupération d’urgence complet. La préparation aux catastrophes implique la création d’un plan complet et la détermination d’une technologie de récupération.
Les dépendances et les composants avec état, tels que le stockage attaché, peuvent compliquer le processus de récupération. Si les disques tombent en panne, cette défaillance affecte le fonctionnement de la machine virtuelle. Incluez un processus clair pour ces dépendances dans vos plans de récupération.
Distribuer des applications sur plusieurs machines virtuelles Par exemple, dans une charge de travail multiniveau, ne placez pas d’applications ou de services de stockage de différents niveaux sur les mêmes machines virtuelles, exécutez plutôt chaque niveau sur des machines virtuelles différentes. Concevez votre charge de travail avec un principal de responsabilité unique à l’esprit, ce qui vous permet de régler les caractéristiques de fiabilité et la stratégie de récupération par regroupement de machines virtuelles.
Exécutez des opérations avec rigueur. Les choix de conception de fiabilité doivent être pris en charge par des opérations efficaces basées sur les principes de surveillance, de test de résilience en production, de correctifs et de mises à niveau des machines virtuelles d’application automatisées et de la cohérence des déploiements. Pour obtenir des conseils opérationnels, consultez l’excellence opérationnelle.
Recommandations de configuration
| Recommendation | Benefit |
|---|---|
| (Ensemble d'échelles) Utilisez les Ensembles d'échelle de machines virtuelles en mode d’orchestration Flexible pour déployer des machines virtuelles. | Préparez votre application pour l'avenir et sa mise à l'échelle, et tirez parti des garanties de haute disponibilité qui répartissent les machines virtuelles entre les domaines de panne dans une région ou une zone de disponibilité. |
| (Machines virtuelles) Implémentez des points de terminaison de santé qui émettent des états de santé d’instance dans des machines virtuelles. (Ensemble de mise à l'échelle) Activez les réparations automatiques sur l'ensemble de mise à l'échelle en spécifiant l'action de réparation préférée. Envisagez de définir une période pendant laquelle les réparations automatiques s’interrompent si l’état de la machine virtuelle change. |
Maintenez la disponibilité même si une instance est considérée comme non saine. Les réparations automatiques lancent la récupération en remplaçant l’instance défectueuse. La définition d’une fenêtre de temps peut empêcher les opérations de réparation accidentelles ou prématurées. |
| (Ensemble de machines virtuelles) Activez le surprovisionnement sur les ensembles de machines virtuelles. | Le surprovisionnement réduit les temps de déploiement et présente un avantage pour les coûts, car les machines virtuelles supplémentaires ne sont pas facturées. |
| (Ensemble de mise à l'échelle) Préallouer des instances avec des pools en attente. | Les instances de pool de secours restent dormantes, mais sont prêtes à prendre en charge les charges de travail en cas de défaillance. Cette fonctionnalité améliore la fiabilité du système. |
| (Groupe identique) Autorisez l’orchestration flexible pour répartir les instances de machine virtuelle sur autant de domaines par défaut que possible. | Cette option isole les domaines d’erreur. Pendant les périodes de maintenance, lorsqu’un domaine d’erreur est mis à jour, les instances de machine virtuelle sont disponibles dans les autres domaines d’erreur. |
| (Groupe identique) Déployez dans des zones de disponibilité sur des groupes identiques. Configurez au moins deux instances dans chaque zone. La répartition des charges entre zones répartit également les instances entre les zones. |
Les instances de machine virtuelle sont approvisionnées dans des emplacements physiquement distincts au sein de chaque région Azure qui sont tolérantes aux défaillances locales. N’oubliez pas que, selon la disponibilité des ressources, il peut y avoir un nombre inégaux d’instances entre les zones. L’équilibrage de zone soutient la disponibilité en garantissant que, si une zone est en panne, les autres zones ont suffisamment d'instances disponibles. Deux instances de chaque zone fournissent une mémoire tampon pendant les mises à niveau. |
| (Ensemble échelonnable) Pour améliorer la disponibilité du service tout en contrôlant les coûts associés aux mises à niveau, activez MaxSurge. | De nouvelles instances sont créées par lots à l’aide du dernier modèle de mise à l’échelle. Une fois les nouvelles instances saines, les anciennes instances sont supprimées par lots. Ce processus se poursuit jusqu’à ce que toutes les instances soient mises à jour, ce qui garantit aucun temps d’arrêt pendant les mises à jour. |
| (Machines virtuelles) Protégez les machines virtuelles qui ne peuvent pas être facilement reconstruites à partir de l’IaC et du démarrage avec Sauvegarde Azure restauration instantanée. | Le fait d’avoir des captures instantanées de machine virtuelle dans un coffre Azure Recovery Services vous permet d’implémenter vos exigences en matière de RPO pour récupérer l’état sur les disques attachés à une machine virtuelle défectueuse. |
| (Machines virtuelles) Tirez parti de la fonctionnalité de réservations de capacité. | La capacité est réservée à votre utilisation et est disponible dans le cadre des Accords de Niveau de Service applicables. Vous pouvez supprimer des réservations de capacité lorsque vous n’en avez plus besoin, et la facturation est basée sur la consommation. |
Security
L'objectif du pilier Sécurité est de fournir des garanties de confidentialité, d'intégrité et de disponibilité à la charge de travail.
Les principes de conception Security fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en appliquant des approches à la conception technique de Machines Virtuelles.
Liste de contrôle pour la conception de la charge de travail
Démarrez votre stratégie de conception à partir de la checklist de révision de conception pour la sécurité, et identifiez les vulnérabilités ainsi que les mesures de contrôle pour améliorer la posture de sécurité. Étendez la stratégie pour inclure davantage d’approches en fonction des besoins.
Révisez les bases de référence de sécurité pour les machines virtuelles Linux et Windows et les Ensembles d'Échelle de Machines Virtuelles.
Dans le cadre de vos choix technologiques de référence, tenez compte des fonctionnalités de sécurité des références SKU de machine virtuelle qui prennent en charge votre charge de travail.
Assurez-vous que les correctifs de sécurité et les mises à niveau sont effectués de manière opportune et automatisée. Vérifiez que les mises à jour sont automatiquement déployées et validées à l’aide d’un processus bien défini. Utilisez une solution telle que Azure Automation pour gérer les mises à jour du système d’exploitation et maintenir la conformité de la sécurité en effectuant des mises à jour critiques.
Identifiez les machines virtuelles qui conservent l'état. Assurez-vous que les données sont classées en fonction des étiquettes de confidentialité que votre organisation fournit. Protégez les données à l’aide de contrôles de sécurité tels que les niveaux appropriés de chiffrement au repos et en transit. Si vous avez des exigences de confidentialité élevées, envisagez d’utiliser des contrôles de haute sécurité tels que le chiffrement double et Azure l’informatique confidentielle pour protéger les données en cours d’utilisation.
Fournissez une segmentation aux machines virtuelles et aux groupes identiques en définissant les limites du réseau et les contrôles d’accès. Placez des machines virtuelles dans des groupes de ressources qui partagent le même cycle de vie.
Appliquez des contrôles d’accès aux identités qui tentent d’atteindre les machines virtuelles et aux machines virtuelles qui atteignent d’autres ressources. Utilisez Microsoft Entra ID pour les besoins d’authentification et d’autorisation. Placez les mots de passe forts, l’authentification multifacteur et le contrôle d’accès en fonction du rôle (RBAC) pour vos machines virtuelles et leurs dépendances, telles que les secrets, pour permettre aux identités autorisées d’effectuer uniquement les opérations attendues de leurs rôles.
Limitez l’accès aux ressources en fonction des conditions à l’aide de Accès conditionnel Microsoft Entra. Définissez les stratégies conditionnelles en fonction de la durée et du jeu minimal d’autorisations requises.
Utilisez des contrôles réseau pour restreindre le trafic d’entrée et de sortie. Isolez les machines virtuelles et les groupes identiques dans Réseau virtuel Azure et définissez des groupes de sécurité réseau pour filtrer le trafic. Protégez-vous contre les attaques par déni de service distribué (DDoS). Utilisez des équilibreurs de charge et des règles de pare-feu pour vous protéger contre le trafic malveillant et les attaques d’exfiltration de données.
Utilisez Azure Bastion pour fournir une connectivité plus sécurisée aux machines virtuelles pour l’accès opérationnel.
La communication vers et depuis les machines virtuelles vers les solutions PaaS (Platform as a Service) doit être sur des points de terminaison privés.
Réduisez la surface d’attaque en renforcéssant les images de système d’exploitation et en supprimant les composants inutilisés. Utilisez des images plus petites et supprimez des fichiers binaires qui ne sont pas nécessaires pour exécuter la charge de travail. Serrez les configurations de machine virtuelle en supprimant des fonctionnalités, comme les comptes et les ports par défaut, dont vous n’avez pas besoin.
Protégez les secrets tels que les certificats dont vous avez besoin pour protéger les données en transit. Envisagez d’utiliser l’extension Azure Key Vault pour Windows ou Linux qui actualise automatiquement les certificats stockés dans un coffre de clés. Lorsqu’elle détecte une modification dans les certificats, l’extension récupère et installe les certificats correspondants.
Détection des menaces. Surveillez les machines virtuelles pour les menaces et les configurations incorrectes. Utilisez Defender pour les serveurs pour capturer les modifications de machine virtuelle et de système d’exploitation, et maintenir une piste d’audit de l’accès, des nouveaux comptes et des modifications des autorisations.
Prévention des menaces. Protégez-vous contre les attaques contre les programmes malveillants et les acteurs malveillants en implémentant des contrôles de sécurité tels que des pare-feu, des logiciels antivirus et des systèmes de détection d’intrusion. Déterminez si un environnement d’exécution approuvé (TEE) est requis.
Recommandations de configuration
| Recommendation | Benefit |
|---|---|
| (Groupe identique) Attribuez une identité managée aux groupes identiques. Toutes les machines virtuelles du groupe identique obtiennent la même identité via le profil de machine virtuelle spécifié. (Machines virtuelles) Vous pouvez également affecter une identité managée à des machines virtuelles individuelles lorsque vous les créez, puis les ajouter à un groupe identique si nécessaire. |
Lorsque les machines virtuelles communiquent avec d’autres ressources, elles franchissent une limite d’approbation. Les ensembles de machines et les machines virtuelles doivent authentifier leur identité avant que la communication soit autorisée. Microsoft Entra ID gère cette authentification à l’aide d’identités managées. |
| (Groupes identiques) Choisissez des SKU de machines virtuelles dotées de fonctionnalités de sécurité. Par exemple, certaines références SKU prennent en charge le chiffrement BitLocker et l’informatique confidentielle fournit le chiffrement des données en cours d’utilisation. Passez en revue les fonctionnalités pour comprendre les limitations. |
les fonctionnalités fournies par Azure sont basées sur des signaux capturés sur de nombreux locataires et peuvent protéger les ressources mieux que les contrôles personnalisés. Vous pouvez également utiliser des stratégies pour appliquer ces contrôles. |
| (Machines virtuelles, groupe identique) Appliquez les balises recommandées par l’organisation dans les ressources approvisionnées. | L’étiquetage est un moyen courant de segmenter et d’organiser les ressources et peut être crucial pendant la gestion des incidents. Pour plus d’informations, consultez Objectif de nommage et d’étiquetage. |
| (Machines virtuelles, ensemble de mise à l'échelle) Définissez un profil de sécurité avec les fonctionnalités de sécurité que vous souhaitez activer dans la configuration de la machine virtuelle. Par exemple, lorsque vous spécifiez le chiffrement au niveau de l’hôte dans le profil, les données stockées sur l’hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrées sur le service de stockage. |
Les fonctionnalités du profil de sécurité sont automatiquement activées lors de la création de la machine virtuelle. Pour plus d’informations, consultez Azure base de référence de sécurité pour Virtual Machine Scale Sets. |
| (Machines virtuelles, ensemble d'échelle) Activez le Lancement Fiable sur vos Machines Virtuelles.Lancement Fiable fournit des fonctionnalités de sécurité basées sur le matériel, notamment le démarrage sécurisé et le module vTPM (Virtual Trusted Platform Module) pour une posture de sécurité renforcée sans nécessiter de redéploiement d’infrastructure. Vous pouvez activer le lancement approuvé sur les ensembles de machines virtuelles à l'échelle existants via les fonctionnalités de mise à niveau sur place. |
Sécurité renforcée grâce aux fonctionnalités de sécurité basées sur le matériel qui peuvent être mises à niveau vers l’infrastructure existante sans interruption de service, ce qui permet aux organisations d’améliorer la posture de conformité tout en conservant la continuité opérationnelle. |
| (Machines virtuelles) Choisissez des options de mise en réseau sécurisées pour le profil réseau de votre machine virtuelle. N’associez pas directement des adresses IP publiques à vos machines virtuelles et n’activez pas le transfert IP. Vérifiez que toutes les interfaces de réseau virtuel ont un groupe de sécurité réseau associé. |
Vous pouvez définir des contrôles de segmentation dans le profil réseau. Les attaquants analysent les adresses IP publiques. Cette activité rend les machines virtuelles vulnérables aux menaces. |
| (Machines virtuelles) Choisissez les options de stockage sécurisées pour le profil de stockage de votre machine virtuelle. Activez le chiffrement de disque et le chiffrement de données au repos par défaut. Désactivez l’accès au réseau public aux disques de machine virtuelle. |
La désactivation de l’accès au réseau public permet d’empêcher l’accès non autorisé à vos données et ressources. |
| (Machines virtuelles, groupe identique) Incluez des extensions dans vos machines virtuelles qui protègent contre les menaces. Par exemple - extension Key Vault pour Windows et Linux authentification - Microsoft Entra ID - Microsoft Antimalware pour Azure Cloud Services et Machines Virtuelles - extension Azure Disk Encryption pour Windows et Linux. |
Les extensions sont utilisées pour amorcer les machines virtuelles avec le logiciel approprié qui protège l’accès vers et depuis les machines virtuelles. Les extensions fournies par Microsoft sont mises à jour fréquemment pour respecter les normes de sécurité en constante évolution. |
Optimisation des coûts
L’optimisation des coûts se concentre sur la détection des modèles de dépense, la hiérarchisation des investissements dans les domaines critiques et l’optimisation dans d’autres pour répondre au budget de l’organisation tout en répondant aux besoins de l’entreprise.
Les principes de conception Cost Optimization fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs et faire des compromis si nécessaire dans la conception technique liée à Machines Virtuelles et à son environnement.
Liste de contrôle pour la conception de la charge de travail
Démarrez votre stratégie de conception en utilisant la liste de contrôle de révision de conception pour optimiser les coûts dans vos investissements. Ajustez la conception afin que la charge de travail soit alignée sur le budget alloué pour la charge de travail. Votre conception doit utiliser les fonctionnalités de Azure appropriées, surveiller les investissements et trouver des opportunités d’optimisation au fil du temps.
Estimer les coûts réalistes. Utilisez la calculatrice de prix pour estimer les coûts de vos machines virtuelles. Identifiez la meilleure machine virtuelle pour votre charge de travail à l’aide du sélecteur de machine virtuelle. Pour plus d’informations, consultez Linux et Windows tarification.
Implémenter des garde-fous de coût. Utilisez des stratégies de gouvernance pour restreindre les types de ressources, les configurations et les emplacements. Utilisez RBAC pour bloquer les actions qui peuvent entraîner un dépassement de charge.
Choisissez les ressources appropriées. Votre sélection de tailles de plan de machine virtuelle et de références SKU affecte directement le coût global. Choisissez des machines virtuelles en fonction des caractéristiques de la charge de travail. La charge de travail est-elle intensive pour le CPU ou exécute-t-elle des processus interruptibles ? Chaque référence SKU a des options de disque associées qui affectent le coût global.
Choisissez les fonctionnalités appropriées pour les ressources dépendantes. Économisez les coûts de stockage de sauvegarde pour le niveau standard du coffre à l’aide du stockage Sauvegarde Azure avec une capacité réservée. Il offre une remise lorsque vous vous engagez dans une réservation pendant un an ou trois ans.
Le niveau d'archive dans stockage Azure est un niveau hors connexion optimisé pour le stockage des données blob rarement consultées. Le niveau Archive offre les coûts de stockage les plus bas, mais des coûts de récupération de données et une latence plus élevés par rapport aux niveaux en ligne chauds et froids.
Envisagez d’utiliser la récupération d’urgence interzone à zone pour les machines virtuelles afin de récupérer à partir d’une défaillance de site tout en réduisant la complexité de la disponibilité à l’aide de services redondants interzone. Il peut y avoir des avantages économiques par rapport à la complexité opérationnelle réduite.
Choisissez le modèle de facturation approprié. Déterminez si les modèles basés sur l’engagement pour l’informatique optimisent les coûts en fonction des besoins métier de la charge de travail. Tenez compte des options de Azure suivantes :
- Réservations Azure : Prépayez pour les charges de travail prévisibles afin de réduire les coûts par rapport aux tarifs basés sur la consommation.
Important
Achetez des instances réservées pour réduire les coûts de Azure pour les charges de travail qui ont une utilisation stable. Gérez l’utilisation pour vous assurer que vous ne payez pas plus de ressources que vous utilisez. Conservez les instances réservées simples et réduisez la charge de gestion pour réduire les coûts.
- Plan d’épargne : si vous vous engagez à dépenser un montant horaire fixe sur les services de calcul pendant un ou trois ans, ce plan peut réduire les coûts.
- Azure Hybrid Benefit : Enregistrer lorsque vous migrez vos machines virtuelles locales vers Azure.
- Réservations Azure : Prépayez pour les charges de travail prévisibles afin de réduire les coûts par rapport aux tarifs basés sur la consommation.
Surveiller l’utilisation. Surveillez en permanence les modèles d’utilisation et détectez les machines virtuelles inutilisées ou sous-utilisées. Pour ces instances, arrêtez les instances de machine virtuelle lorsqu’elles ne sont pas utilisées. La surveillance est une approche clé de l’excellence opérationnelle. Pour plus d’informations, consultez les recommandations en matière d’excellence opérationnelle.
Recherchez des moyens d’optimiser. Certaines stratégies incluent le choix de l’approche la plus rentable entre l’augmentation des ressources dans un système existant ou la montée en puissance, et l’ajout d’instances supplémentaires de ce système ou le scale-out. Vous pouvez décharger la demande en la distribuant à d’autres ressources, ou vous pouvez réduire la demande en implémentant des files d’attente prioritaires, un déchargement de passerelle, une mise en mémoire tampon et une limitation de débit. Pour plus d’informations, consultez les recommandations en matière d’efficacité des performances.
Recommandations de configuration
| Recommendation | Benefit |
|---|---|
| (Machines virtuelles, ensemble de mise à l'échelle) Choisissez la taille de plan et le SKU VM appropriés. Identifiez les meilleures tailles de VM pour votre charge de travail. Utilisez le sélecteur de machine virtuelle pour identifier la meilleure machine virtuelle pour votre charge de travail. Consultez Windows et Linux tarification. Pour les charges de travail telles que des travaux de traitement par lots hautement parallèles qui peuvent tolérer certaines interruptions, envisagez d’utiliser Azure Spot Machines Virtuelles. Les machines virtuelles Spot sont adaptées aux expériences, au développement et au test de solutions à grande échelle. |
Les références SKU sont facturées en fonction des fonctionnalités qu’elles offrent. Si vous n’avez pas besoin de fonctionnalités avancées, ne dépensez pas trop dans les SKU. Les machines virtuelles Spot tirent parti de la capacité excédentaire de Azure à moindre coût. |
| (Groupes identiques) Mélangez des machines virtuelles classiques avec des machines virtuelles spot. L’orchestration flexible vous permet de distribuer des machines virtuelles spot en fonction d’un pourcentage spécifié. Utilisez le score de placement Spot pour prendre des décisions pilotées par les données sur le choix des meilleures régions et tailles de machine virtuelle pour optimiser la disponibilité et réduire les défaillances liées à la capacité. |
Réduisez les coûts d’infrastructure de calcul en profitant des réductions importantes des machines virtuelles spot. L’évaluation du score de positionnement spot peut contribuer à améliorer le taux de réussite global du déploiement de machines virtuelles Spot. |
| (Groupes identiques) Réduisez le nombre d'instances de machine virtuelle lorsque la demande diminue. Définissez une stratégie de scale-in en fonction des critères. |
La mise à l’échelle des ressources lorsqu’elles ne sont pas utilisées réduit le nombre de machines virtuelles qui s’exécutent dans l'ensemble de mise à l'échelle, ce qui permet de réduire les coûts. |
| (Machines virtuelles) Stop machines virtuelles pendant les heures creuses. Vous pouvez utiliser la fonctionnalité Azure Automation Start/Stop et la configurer en fonction des besoins de votre entreprise. | La fonctionnalité Start/Stop est une option d’automatisation à faible coût qui peut affecter considérablement les coûts de votre instance inactive. |
| (Machines virtuelles) Free up CPU resources à l’aide de Azure Boost. | Le déchargement des processus de virtualisation back-end libère des ressources processeur pour les machines virtuelles invitées. Cette optimisation entraîne une amélioration des performances. Azure Boost est disponible uniquement sur des machines virtuelles spécifiques. Veillez donc à choisir des tailles de machine virtuelle avec Azure Boost activé. |
| (Machines virtuelles, groupe identique) Tirer parti de la mobilité des licences à l’aide d’Azure Hybrid Benefit. Les machines virtuelles disposent d’une option de licence qui vous permet d’apporter vos propres licences locales de système d’exploitation Windows Server à Azure. Azure Hybrid Benefit vous permet également d’apporter certains abonnements Linux à Azure. |
Vous pouvez optimiser vos licences locales tout en obtenant les avantages du cloud. |
Azure Batch a consolidé les machines virtuelles Low-Priority et Spot en une infrastructure unifiée de machines virtuelles Spot, simplifiant ainsi le modèle de tarification de calcul interruptible. Si votre charge de travail utilise des pools Batch avec des machines virtuelles Low-Priority, la migration est automatique et ne nécessite aucune modification du code. Vérifiez que la gestion des évictions Spot est en place, car les taux d’éviction peuvent différer de l’ancien modèle Low-Priority. Pour plus d’informations, consultez Utiliser des machines virtuelles Spot avec des charges de travail Batch.
Excellence opérationnelle
L’excellence opérationnelle se concentre principalement sur les procédures liées aux pratiques de développement , à l’observabilité et à la gestion des mises en production.
Les principes de conception d’excellence opérationnelle fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs pour les besoins opérationnels de la charge de travail.
Liste de contrôle pour la conception de la charge de travail
Démarrez votre stratégie de conception en fonction de la liste de contrôle de la révision de conception pour l’excellence opérationnelle pour définir des processus d’observabilité, de test et de déploiement liés aux machines virtuelles et aux ensembles de mise à l’échelle.
Surveillez les instances de machine virtuelle. Collectez les journaux et les métriques des instances de machine virtuelle pour surveiller l’utilisation des ressources et mesurer l’intégrité des instances. Certaines métriques courantes incluent l’utilisation du processeur, le nombre de requêtes et la latence d’entrée/sortie (E/S). Configurez Azure Monitor alerts pour être averti des problèmes et détecter les modifications de configuration dans votre environnement.
Surveillez l’intégrité des machines virtuelles et leurs dépendances.
Déployez des composants de surveillance pour collecter des journaux et des métriques qui donnent une vue complète de vos machines virtuelles, du système d’exploitation invité et des données de diagnostic de démarrage. Les Virtual Machine Scale Sets cumulent les données de télémétrie, ce qui vous permet d’afficher les métriques de santé au niveau d’une machine virtuelle individuelle ou en tant qu’agrégat. Utilisez Azure Monitor pour afficher ces données pour chaque machine virtuelle ou agrégée sur plusieurs machines virtuelles. Pour plus d’informations, consultez Recommandations sur les agents de surveillance.
Tirez parti des composants réseau qui vérifient l’état d’intégrité des machines virtuelles. Par exemple, Azure Load Balancer effectue un test ping sur les machines virtuelles pour détecter les machines virtuelles non saines et rediriger le trafic en conséquence.
Configurez Azure Monitor règles d’alerte. Déterminez les conditions importantes de vos données de surveillance pour identifier et résoudre les problèmes avant qu’elles n’affectent le système.
Créez un plan de maintenance qui inclut des mises à jour correctives système régulières dans le cadre des opérations de routine. Incluez les processus d’urgence qui permettent une application corrective immédiate. Vous pouvez avoir des processus personnalisés pour gérer la mise à jour corrective ou déléguer partiellement la tâche à Azure. Azure fournit des fonctionnalités pour la maintenance individuelle VM. Vous pouvez configurer des fenêtres de maintenance pour réduire les interruptions pendant les mises à jour. Pendant les mises à jour de la plateforme, les considérations relatives au domaine d’erreur sont essentielles pour la résilience. Nous vous recommandons de déployer au moins deux instances dans une zone. Deux machines virtuelles par zone garantissent un minimum d’une machine virtuelle dans chaque zone, car un seul domaine d’erreur dans une zone est mis à jour à la fois. Ainsi, pour trois zones, approvisionnez au moins six instances.
Automatisez les processus de démarrage, d’exécution de scripts et de configuration des machines virtuelles. Vous pouvez automatiser les processus à l’aide d’extensions ou de scripts personnalisés. Nous vous recommandons d’utiliser les options suivantes :
L’extension de machine virtuelle Key Vault actualise automatiquement les certificats stockés dans un key vault.
L’extension de script personnalisé Azure pour Windows et Linux télécharge et exécute des scripts sur Machines Virtuelles. Utilisez cette extension pour la configuration post-déploiement, l’installation de logiciels ou toute autre tâche de configuration ou de gestion.
Utilisez cloud-init pour configurer l’environnement de démarrage pour les machines virtuelles Linux.
Disposez de processus d’installation des mises à jour automatiques. Pensez à utiliser la fonctionnalité de mise à jour automatique des invités de machine virtuelle pour un déploiement rapide des correctifs critiques et des patchs de sécurité. Utilisez Gestionnaire de mise à jour Azure pour gérer les mises à jour du système d’exploitation pour vos machines virtuelles Windows et Linux dans Azure.
Créez un environnement de test qui correspond étroitement à votre environnement de production pour tester les mises à jour et les modifications avant de les déployer en production. Disposer de processus en place pour tester les mises à jour de sécurité, les bases de référence des performances et les erreurs de fiabilité. Profitez des bibliothèques d'erreurs d'Azure Chaos Studio pour l'injection et la simulation des conditions d'erreur. Pour plus d’informations, consultez la bibliothèque de pannes et d’actions d’Azure Chaos Studio.
Gérez votre quota. Planifiez le niveau de quota requis et passez en revue ce niveau régulièrement à mesure que la charge de travail évolue. Si vous avez besoin d’augmenter ou de diminuer votre quota, demandez ces modifications tôt.
Recommandations de configuration
| Recommendation | Benefit |
|---|---|
| (Groupe de machines virtuelles) Virtual Machine Scale Sets en mode d’orchestration Flexible peuvent vous aider à simplifier le déploiement et la gestion de votre charge de travail. Par exemple, vous pouvez facilement gérer l’auto-guérison à l’aide de réparations automatiques. | L’orchestration flexible peut gérer les instances de machine virtuelle à grande échelle. La gestion de machines virtuelles individuelles ajoute une surcharge opérationnelle. Par exemple, lorsque vous supprimez des instances de machine virtuelle, vous avez la possibilité de supprimer ou de conserver les disques et cartes réseau associés aux machines virtuelles. Les instances de machine virtuelle peuvent être réparties sur plusieurs domaines d’erreur afin que les opérations de mise à jour ne perturbent pas le service. Vous pouvez utiliser toutes les API de machine virtuelle standard lors de la gestion des instances d’orchestration flexibles. Linux et Windows VMs peuvent résider dans le même ensemble de machines virtuelles flexible, facilitant la gestion des charges de travail hétérogènes. |
| (Scale set) L’attachement ou le détachement d’une machine virtuelle d’instance unique à ou de Virtual Machine Scale Sets en mode d’orchestration Flexible vous offre la flexibilité de répondre aux besoins opérationnels sans redéployer l’infrastructure. | L’attachement de machines virtuelles vous permet d’apporter des machines virtuelles existantes sous la gestion d’un vmSS Flex, ce qui vous permet de contrôler de manière centralisée les mises à jour, la mise à l’échelle et la surveillance. Le détachement de machines virtuelles de VMSS Flex vous permet d’isoler une machine virtuelle pour le dépannage ou une configuration spéciale sans perturber le reste de l'ensemble de mise à l'échelle. |
| (Ensemble de machines) Assurez-vous que vos machines virtuelles sont à jour en définissant une stratégie de mise à niveau. Nous vous recommandons d'effectuer des mises à niveau progressives. Toutefois, si vous avez besoin d’un contrôle granulaire, choisissez de mettre à niveau manuellement. Pour l’orchestration flexible, vous pouvez utiliser Gestionnaire de mise à jour Azure. |
La sécurité est la principale raison des mises à niveau. Les garanties de sécurité pour les instances ne doivent pas se dégrader au fil du temps. Les mises à niveau progressives sont effectuées par lots. Cette approche garantit que toutes les instances ne sont pas en panne en même temps. |
| (Machines virtuelles, ensemble de dimensionnement) Déployez automatiquement des applications de VM à partir de Azure Compute Gallery en définissant les applications dans le profil. | Les machines virtuelles de l'ensemble d'échelle sont créées et les applications spécifiées sont préinstallées, ce qui simplifie la gestion. |
|
Installez des composants logiciels prédéfinis en tant qu’extensions dans le cadre de l’amorçage. Azure prend en charge de nombreuses extensions qui peuvent être utilisées pour configurer, surveiller, sécuriser et fournir des applications utilitaires pour vos machines virtuelles. Activez les mises à niveau automatiques sur les extensions. |
Les extensions peuvent vous aider à simplifier l’installation logicielle à grande échelle sans avoir à installer, configurer ou mettre à niveau manuellement l’installation sur chaque machine virtuelle. |
| (Machines virtuelles, ensemble d'échelle) Surveillez et mesurez l'état des instances de machine virtuelle. Déployez l’extension de l’agent Monitor sur vos machines virtuelles pour collecter des données de surveillance à partir du système d’exploitation invité avec des règles de collecte de données spécifiques au système d’exploitation. Activez VM Insights pour surveiller l’intégrité et les performances et afficher les tendances à partir des données collectées. Utilisez les diagnostics de démarrage pour obtenir des informations lorsque les machines virtuelles démarrent. Les diagnostics de démarrage diagnostiquent également les échecs de démarrage. |
La surveillance des données est au cœur de la résolution des incidents. Un ensemble de surveillance complet fournit des informations sur la façon dont les machines virtuelles fonctionnent et leur santé. En surveillant en continu les instances, vous pouvez être prêt ou empêcher les défaillances telles que la surcharge de performances et les problèmes de fiabilité. |
Efficacité des performances
L'efficacité des performances consiste à maintenir l'expérience de l'utilisateur même en cas d'augmentation de la charge en gérant la capacité. La stratégie inclut la mise à l’échelle des ressources, l’identification et l’optimisation des goulots d’étranglement potentiels et l’optimisation des performances maximales.
Les principes de conception Performance Efficiency fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs de capacité par rapport à l’utilisation attendue.
Liste de contrôle pour la conception de la charge de travail
Démarrez votre stratégie de conception en fonction de la liste de contrôle de la révision de conception pour l’Efficacité des performances. Définissez une base de référence basée sur des indicateurs clés de performance pour les machines virtuelles et les ensembles de mise à l'échelle.
Définissez des cibles de performances. Identifiez les métriques de machine virtuelle pour suivre et mesurer les indicateurs de performances comme le temps de réponse, l’utilisation du processeur et l’utilisation de la mémoire, ainsi que les métriques de charge de travail telles que les transactions par seconde, les utilisateurs simultanés et la disponibilité et l’intégrité.
Tenez compte du profil de performances des machines virtuelles, des groupes identiques et de la configuration des disques dans votre planification des capacités. Chaque référence SKU a un profil différent de mémoire et d’UC et se comporte différemment en fonction du type de charge de travail. Menez des pilotes et des preuves de concept pour comprendre le comportement du niveau de performance sous la charge de travail spécifique.
Réglage des performances des machines virtuelles. Tirez parti de l’optimisation des performances et de l’amélioration des fonctionnalités requises par la charge de travail. Par exemple, utilisez les NVMe localement attachés pour les cas d'utilisation nécessitant des hautes performances et un réseau accéléré, et utilisez les SSD Premium v2 pour améliorer la performance et la scalabilité.
Prenez en compte les services dépendants. Les dépendances de charge de travail, telles que la mise en cache, le trafic réseau et les réseaux de distribution de contenu, qui interagissent avec les machines virtuelles peuvent affecter les performances. En outre, envisagez la distribution géographique, comme les zones et les régions, qui peuvent ajouter une latence.
collecte les données de performances. Suivez les meilleures pratiques d’excellence opérationnelle pour surveiller et déployer les extensions appropriées pour afficher les métriques qui suivent les indicateurs de performances.
Groupes de placements de proximité. Utilisez des groupes de placement de proximité dans les charges de travail où une faible latence est nécessaire pour vous assurer que les machines virtuelles sont physiquement situées à proximité les unes des autres.
Recommandations de configuration
| Recommendation | Benefit |
|---|---|
| (Machines virtuelles, ensemble d'échelle) Choisissez des références de SKU pour les machines virtuelles qui s’alignent sur votre planification de la capacité. Comprenez bien vos besoins en charge de travail, notamment le nombre de cœurs, de mémoire, de stockage et de bande passante réseau afin de pouvoir filtrer les références SKU non adaptées. |
La gestion des droits de vos machines virtuelles est une décision fondamentale qui affecte considérablement les performances de votre charge de travail. Sans le bon nombre de machines virtuelles de taille appropriée, vous risquez de rencontrer des problèmes de performance en raison de machines virtuelles fonctionnant régulièrement à pleine capacité, ou d’engendrer des coûts inutiles en ayant déployé une capacité non utilisée. |
| (Machines virtuelles, groupe identique) Déployez des machines virtuelles de charge de travail sensibles à la latence dans des groupes de placement de proximité. | Les groupes de placement de proximité réduisent la distance physique entre les ressources de calcul Azure, ce qui peut améliorer les performances et réduire la latence réseau entre les machines virtuelles autonomes, les machines virtuelles dans plusieurs ensembles de disponibilité ou les machines virtuelles dans plusieurs groupes à grande échelle. |
| (Machines virtuelles) Envisagez d’activer la mise en réseau accélérée. | Il permet une virtualisation d’E/S racine unique (SR-IOV) vers une machine virtuelle, ce qui améliore considérablement ses performances réseau. |
| (Machines virtuelles, groupe identique) Définissez des règles de mise à l’échelle automatique pour augmenter ou diminuer le nombre d’instances de machine virtuelle dans votre groupe identique en fonction de la demande. | Si la demande de votre application augmente, la charge sur les instances de machines virtuelles dans votre ensemble de mise à l'échelle augmente. Les règles de mise à l’échelle automatique garantissent que vous disposez de suffisamment de ressources pour répondre à la demande. |
stratégies de Azure
Azure fournit un ensemble complet de stratégies intégrées liées à Machines Virtuelles et à ses dépendances. Certaines des recommandations précédentes peuvent être auditées par Azure Policy. Par exemple, vous pouvez vérifier si :
Le chiffrement est activé au niveau de l’hôte. Vérifiez que le chiffrement est activé au niveau de l’hôte pour fournir une sécurité supplémentaire pour vos données de machine virtuelle.
Les extensions anti-programme malveillant sont déployées. Vérifiez que les extensions anti-programme malveillant sont déployées sur des machines virtuelles qui s’exécutent Windows Server et définissent les mises à jour automatiques pour garantir la protection continue.
La mise à jour corrective automatique des images du système d’exploitation est activée. Vérifiez que la mise à jour corrective automatique des images du système d’exploitation est activée sur les groupes identiques pour garantir que vos machines virtuelles restent mises à jour avec les correctifs de sécurité.
Seules les extensions de machine virtuelle approuvées sont installées. Vérifiez que seules les extensions approuvées sont installées sur vos machines virtuelles. Cette approche permet de réduire le risque de vulnérabilités de sécurité.
Les agents de surveillance et de dépendance sont activés. Vérifiez que l’agent Monitor et les agents de dépendance sont activés sur toutes les nouvelles machines virtuelles pour faciliter la surveillance et la gestion des dépendances.
Seules les références SKU de machine virtuelle autorisées sont déployées. Vérifiez que seules les références SKU de machine virtuelle approuvées sont déployées. Cette stratégie garantit l’adhésion à vos contraintes de coût et à vos besoins en ressources.
Les points de terminaison privés sont utilisés pour l’accès au disque. Vérifiez que les points de terminaison privés sont utilisés pour accéder en toute sécurité aux ressources de disque. Cette approche permet d’empêcher l’exposition aux réseaux publics.
La détection des vulnérabilités est activée. Activez la détection des vulnérabilités pour vos machines virtuelles. Pour Windows machines, configurez des règles telles que des analyses quotidiennes avec Microsoft Defender Antivirus pour détecter les menaces potentielles.
Pour une gouvernance complète, passez en revue les définitions intégrées Azure Policy pour Machines Virtuelles et d’autres stratégies susceptibles d’affecter la sécurité de la couche de calcul.
recommandations Azure Advisor
Azure Advisor est un consultant cloud personnalisé qui vous aide à suivre les meilleures pratiques pour optimiser vos déploiements Azure.
Pour plus d’informations, consultez Azure Advisor.
Exemple d’architecture
Architecture fondamentale qui illustre les principales recommandations : Machines Virtuelles architecture de base.
Contenu connexe
Considérez les articles suivants comme des ressources qui illustrent les recommandations mises en évidence dans cet article.
- Utilisez les architectures de référence suivantes comme exemples de la façon dont vous pouvez appliquer les conseils de cet article à une charge de travail :
- Architectures de machines virtuelles uniques : machine virtuelle Linux et Windows machine virtuelle
- Architecture fondamentale qui se concentre sur les recommandations d’infrastructure : Machines Virtuelles architecture de base
- Créez une expertise en matière d’implémentation à l’aide de la documentation produit suivante :