Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Virtuele Machines is een type rekenservice dat u kunt gebruiken om virtuele machines (VM's) te maken en uit te voeren op het Azure-platform. Het biedt flexibiliteit in verschillende SKU's, besturingssystemen en configuraties met verschillende factureringsmodellen.
In dit artikel wordt ervan uitgegaan dat u als architect de beslissingsstructuur compute beslissingsstructuur hebt bekeken en Virtual Machines hebt gekozen als de rekenservice voor uw workload. De richtlijnen in dit artikel bevatten aanbevelingen voor architectuur die overeenkomen met de principes van de Well-Architected Framework-pijlers.
Technologische omvang
Deze beoordeling is gericht op de onderling gerelateerde beslissingen voor de volgende Azure resources:
Virtual Machines
Azure-schaalvergrotingssets voor virtuele machines (schalingsgroepen)
Schijven zijn een cruciale afhankelijkheid voor vm-architecturen, maar worden niet behandeld in dit artikel. Zie Architecture best practices voor Azure Disk Storage voor meer informatie.
Reliability
Het doel van de pijler Betrouwbaarheid is om doorlopende functionaliteit te bieden door voldoende tolerantie te ontwikkelen en de mogelijkheid om snel te herstellen van storingen.
principes voor betrouwbaarheidsontwerp een ontwerpstrategie op hoog niveau bieden die wordt toegepast op afzonderlijke onderdelen, systeemstromen en het systeem als geheel.
Controlelijst voor workloadontwerp
Begin met uw ontwerpstrategie op basis van de ontwerpbeoordelingschecklist voor betrouwbaarheid. Bepaal de relevantie ervan voor uw bedrijfsvereisten, terwijl u rekening houdt met de SKU's en functies van VM's en hun afhankelijkheden. Breid de strategie uit om zo nodig meer benaderingen op te nemen.
Beoordeel quota en limieten voor Virtual Machines die mogelijk ontwerpbeperkingen vormen. VM's hebben specifieke limieten en quota, die variëren op basis van het type VM of de regio. Er zijn mogelijk abonnementsbeperkingen, zoals het aantal VM's per abonnement of het aantal kernen per VM. Als andere workloads uw abonnement delen, kan uw mogelijkheid om gegevens te gebruiken worden verminderd. Controleer de limieten voor VM's, virtuele-machineschaalsets en beheerde schijven.
Voer een foutmodusanalyse uit om storingspunten te minimaliseren door VM-interacties met het netwerk en de opslagonderdelen te analyseren. Kies configuraties zoals kortstondige besturingssysteemschijven om schijftoegang te lokaliseren en netwerkhops te voorkomen. Voeg een load balancer toe om het zelfbehoud te verbeteren door netwerkverkeer over meerdere VM's te distribueren, waardoor de beschikbaarheid en betrouwbaarheid worden verbeterd.
Bereken uw samengestelde serviceniveaudoelstellingen (SLO's) op basis van Azure service level agreements (SLA's). Zorg ervoor dat uw SLO niet hoger is dan de Azure SLA's om onrealistische verwachtingen en potentiële problemen te voorkomen.
Houd rekening met de complexiteit die afhankelijkheden introduceren. Sommige afhankelijkheden, zoals virtuele netwerken en netwerkinterfacekaarten (NIC's), hebben bijvoorbeeld geen eigen SLA's. Andere afhankelijkheden, zoals een gekoppelde gegevensschijf, hebben SLA's die zijn geïntegreerd met VM-SLA's. U moet deze variaties overwegen omdat ze van invloed kunnen zijn op de prestaties en betrouwbaarheid van de VM.
Houd rekening met de kritieke afhankelijkheden van VM's op onderdelen zoals schijven en netwerkonderdelen. Als u deze relaties begrijpt, kunt u de kritieke stromen bepalen die van invloed zijn op de betrouwbaarheid.
Statusisolatie maken. Werkbelastinggegevens moeten zich op een afzonderlijke gegevensschijf bevinden om interferentie met de besturingssysteemschijf te voorkomen. Als een VIRTUELE machine mislukt, kunt u een nieuwe besturingssysteemschijf maken met dezelfde gegevensschijf, waardoor tolerantie en foutisolatie gegarandeerd zijn. Zie Kortstondige besturingssysteemschijven voor meer informatie.
Vm's en de bijbehorende afhankelijkheden redundant maken in meerdere zones. Als een VM uitvalt, moet de werkbelasting blijven functioneren dankzij redundantie. Voeg afhankelijkheden toe aan uw redundantiekeuzes. Gebruik bijvoorbeeld de ingebouwde redundantieopties die beschikbaar zijn voor schijven. Gebruik zone-redundante IP-adressen om de beschikbaarheid van gegevens en een hoge uptime te garanderen.
Vermijd workloadontwerpen die afhankelijk zijn van één virtuele machine, aangezien deze VM niet bestand is tegen gepland of ongepland onderhoud of betrouwbaarheidsincidenten.
Wees klaar om omhoog te schalen en uit te schalen om degradatie op serviceniveau te voorkomen en om fouten te voorkomen. Virtual Machine Scale Sets beschikt over mogelijkheden voor automatisch schalen waarmee nieuwe exemplaren naar behoefte worden gemaakt en de belasting over meerdere VM's en beschikbaarheidszones wordt verdeeld.
Verken de opties voor automatisch herstel. Azure ondersteunt statusdegradatiebewaking en zelfherstelfuncties voor VM's. Schaalsets bieden bijvoorbeeld automatisch exemplaarherstel. In geavanceerdere scenario's omvat zelfherstel het gebruik van Azure Site Recovery, het hebben van een passieve stand-by om een failover uit te voeren naar of het opnieuw implementeren van infrastructuur als code (IaC). De methode die u kiest, moet overeenkomen met de bedrijfsvereisten, uw organisatieactiviteiten en ondersteuning bieden voor het uitvoeren van herstelanalyses. Zie vm-serviceonderbrekingen voor meer informatie.
Berecht de VM's en de bijbehorende afhankelijkheden. Begrijp het verwachte werk van uw virtuele machine om ervoor te zorgen dat deze niet ondermaats is en de maximale belasting kan verwerken. Extra capaciteit hebben om fouten te beperken.
Zorg ervoor dat Virtuele Machines altijd ingeschakeld blijven. Virtual Machines in Azure kan worden afgesloten. Dit is een afzonderlijke status dan de resource die wordt verwijderd. Voor VM's die zijn ontworpen om actief te blijven, gebruikt u een
ReadOnlyresourcevergrendeling om te voorkomen dat de VM per ongeluk wordt gestopt. Hiermee voorkomt u niet dat het besturingssysteem opnieuw wordt opgestart als dat nodig is voor updates, maar er wordt een operatorfout voorkomen via de Azure portal of CLI.Maak een uitgebreid plan voor herstel na noodgevallen. Voorbereiding op noodgevallen omvat het maken van een uitgebreid plan en het bepalen van een technologie voor herstel.
Afhankelijkheden en componenten die toestand behouden, zoals gekoppelde opslag, kunnen het herstel bemoeilijken. Als de schijven omlaag gaan, is deze fout van invloed op de werking van de virtuele machine. Neem een duidelijk proces op voor deze afhankelijkheden in uw herstelplannen.
Toepassingen verdelen over VM's In een workload met een N-laag plaatst u bijvoorbeeld geen toepassingen of opslagservices uit verschillende lagen op dezelfde VM's. Voer in plaats daarvan elke laag uit op verschillende VM's. Ontwerp uw workload met één verantwoordelijkheidsprincipaal, waarmee u de betrouwbaarheidskenmerken en herstelstrategie per VM-groepering kunt afstemmen.
Voer bewerkingen uit met rigor. Keuzes voor betrouwbaarheidsontwerp moeten worden ondersteund door effectieve bewerkingen op basis van de principes van bewaking, tolerantietests in productie, geautomatiseerde patches en upgrades voor toepassings-VM's en consistentie van implementaties. Zie Operational Excellence voor operationele richtlijnen.
Aanbevelingen voor configuratie
| Recommendation | Benefit |
|---|---|
| (Schaalset) Gebruik Virtual Machine Scale Sets in Flexibele orkestratiemodus voor het implementeren van VMs. | Maak uw toepassing toekomstbestendig voor schalen en profiteer van de hoge beschikbaarheidsgaranties die het verspreiden van VM's over foutdomeinen binnen een regio of een beschikbaarheidszone mogelijk maken. |
| (VM's) Implementeer gezondheidseindpunten die de gezondheid van exemplaren op VM's uitstralen. (Schaalset) Schakel automatische reparaties in op de schaalset door de voorkeursherstelactie op te geven. Overweeg om een tijdsbestek in te stellen waarin automatische reparaties onderbreken als de status van de VIRTUELE machine verandert. |
Beschikbaarheid behouden, zelfs als een instantie als ongezond wordt beschouwd. Automatische reparaties initiëren herstel door het defecte exemplaar te vervangen. Het instellen van een tijdvenster kan onbedoelde of voortijdige reparatiebewerkingen voorkomen. |
| (Schaalset) Overprovisioning inschakelen voor schaalsets. | Overprovisioning vermindert de implementatietijden en heeft een kostenvoordeel omdat de extra VM's niet in rekening worden gebracht. |
| (Schaalset) Instanties vooraf toewijzen met standbypools. | Standby-instanties blijven inactief/bereikbaar, maar zijn klaar om workloads over te nemen bij een storing. Deze mogelijkheid verbetert de betrouwbaarheid van het systeem. |
| (Schaalset) Flexibele indeling toestaan om de VM-exemplaren over zoveel mogelijk foutdomeinen te verdelen. | Met deze optie worden foutdomeinen geïsoleerd. Tijdens onderhoudsperioden, wanneer één foutdomein wordt bijgewerkt, zijn VM-exemplaren beschikbaar in de andere foutdomeinen. |
| (Schaalset) Implementeren in verschillende beschikbaarheidszones op schaalsets. Stel ten minste twee exemplaren in elke zone in. Zonebalancering verdeelt de instanties gelijkmatig over zones. |
De VM-exemplaren worden ingericht in fysiek afzonderlijke locaties binnen elke Azure regio die tolerant zijn voor lokale fouten. Houd er rekening mee dat er, afhankelijk van de beschikbaarheid van resources, mogelijk sprake is van een ongelijk aantal exemplaren tussen zones. Zone balancing ondersteunt beschikbaarheid door ervoor te zorgen dat, als de ene zone uitvalt, de andere zones voldoende exemplaren hebben. Twee exemplaren in elke zone bieden een buffer tijdens upgrades. |
| (Schaalset) Schakel MaxSurge in om de uptime van de service te verbeteren terwijl u de controle over de kosten van upgrades behoudt. | Nieuwe exemplaren worden in batches gemaakt met behulp van het nieuwste schaalmodel. Nadat de nieuwe exemplaren in orde zijn, worden de oude exemplaren verwijderd in batches. Dit proces wordt voortgezet totdat alle exemplaren worden bijgewerkt, wat zorgt voor geen downtime tijdens updates. |
| (VM's) Beveilig VM's die niet eenvoudig opnieuw kunnen worden opgebouwd van IaC en bootstrapping met Azure Backup Instant Restore. | Als u momentopnamen van virtuele machines in een Azure Recovery Services-kluis hebt, kunt u uw RPO-vereisten implementeren om de status te herstellen op schijven die zijn gekoppeld aan een defecte VM. |
| (VM's) Profiteer van de functie voor capaciteitsreserveringen. | Capaciteit is gereserveerd voor uw gebruik en is beschikbaar binnen het bereik van de toepasselijke SLA's. U kunt capaciteitsreserveringen verwijderen wanneer u deze niet meer nodig hebt en facturering is gebaseerd op verbruik. |
Security
Het doel van de pijler Beveiliging is het bieden van vertrouwelijkheid, integriteit en beschikbaarheid garanties voor de workload.
De Beveiligingsontwerpprincipes bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelstellingen door benaderingen toe te passen op het technische ontwerp van Virtual Machines.
Controlelijst voor workloadontwerp
Start uw ontwerpstrategie op basis van de ontwerpbeoordelingschecklist voor beveiliging en identificeer kwetsbaarheden en maatregelen om de beveiligingspositie te verbeteren. Breid de strategie uit om zo nodig meer benaderingen op te nemen.
Beoordeel de beveiligingsbaselines voor Linux en Windows VM's en Virtuele Machine Schaalsets.
Houd rekening met de beveiligingsfuncties van de VM-SKU's die ondersteuning bieden voor uw workload als onderdeel van uw basislijntechnologie.
Zorg voor tijdige en geautomatiseerde beveiligingspatches en upgrades. Zorg ervoor dat updates automatisch worden geïmplementeerd en gevalideerd met behulp van een goed gedefinieerd proces. Gebruik een oplossing zoals Azure Automation voor het beheren van besturingssysteemupdates en het onderhouden van beveiligingsnaleving door essentiële updates te maken.
Identificeer de VM's die de status bevatten. Zorg ervoor dat gegevens worden geclassificeerd op basis van de vertrouwelijkheidslabels die uw organisatie levert. Gegevens beveiligen met behulp van beveiligingscontroles, zoals de juiste niveaus van at-rest- en in-transit-versleuteling. Als u hoge gevoeligheidsvereisten hebt, kunt u overwegen om beveiligingsmaatregelen met hoge beveiliging te gebruiken, zoals dubbele versleuteling en Azure Confidential Computing om gegevens tijdens gebruik te beveiligen.
Geef segmentatie voor de VM's en schaalsets door netwerkgrenzen en toegangscontroles in te stellen. Plaats VM's in resourcegroepen die dezelfde levenscyclus delen.
Pas toegangsbeheer toe op de identiteiten die de VM's proberen te bereiken en ook op de VM's die andere resources bereiken. Gebruik Microsoft Entra ID voor verificatie- en autorisatiebehoeften. Plaats sterke wachtwoorden, meervoudige verificatie en op rollen gebaseerd toegangsbeheer (RBAC) voor uw VM's en hun afhankelijkheden, zoals geheimen, om toe te staan dat identiteiten alleen de bewerkingen uitvoeren die van hun rollen worden verwacht.
Beperk de toegang tot resources op basis van voorwaarden met behulp van Microsoft Entra Voorwaardelijke toegang. Definieer het voorwaardelijke beleid op basis van de duur en de minimale set vereiste machtigingen.
Gebruik netwerkbesturingselementen om inkomend en uitgaand verkeer te beperken. Isoleer VM's en schaalsets in Azure Virtual Network en definieer netwerkbeveiligingsgroepen om verkeer te filteren. Bescherm tegen DDoS-aanvallen (Distributed Denial of Service). Gebruik load balancers en firewallregels om te beschermen tegen schadelijke aanvallen op verkeer en gegevensexfiltratie.
Gebruik Azure Bastion om een veiligere verbinding met de virtuele machines te bieden voor operationele toegang.
Communicatie van en naar de VM's naar PaaS-oplossingen (Platform as a Service) moet via privé-eindpunten zijn.
Verminder de kwetsbaarheid voor aanvallen door installatiekopieën van het besturingssysteem te beveiligen en ongebruikte onderdelen te verwijderen. Gebruik kleinere afbeeldingen en verwijder binaire bestanden die niet nodig zijn om de workload uit te voeren. Verstrak de VM-configuraties door onnodige functies, zoals standaardaccounts en poorten, te verwijderen.
Bescherm geheimen , zoals de certificaten die u nodig hebt om gegevens tijdens overdracht te beveiligen. Overweeg het gebruik van de Azure Key Vault-extensie voor Windows of Linux waarmee automatisch de certificaten worden vernieuwd die zijn opgeslagen in een sleutelkluis. Wanneer er een wijziging in de certificaten wordt gedetecteerd, haalt de extensie de bijbehorende certificaten op en installeert deze.
Detectie van bedreigingen. Vm's controleren op bedreigingen en onjuiste configuraties. Gebruik Defender voor Servers om wijzigingen in vm's en besturingssystemen vast te leggen en een audittrail met toegang, nieuwe accounts en wijzigingen in machtigingen te onderhouden.
Bedreigingspreventie. Bescherm tegen malwareaanvallen en kwaadwillende actoren door beveiligingscontroles zoals firewalls, antivirussoftware en inbraakdetectiesystemen te implementeren. Bepaal of een Trusted Execution Environment (TEE) vereist is.
Aanbevelingen voor configuratie
| Recommendation | Benefit |
|---|---|
| (Schaalset) Wijs een beheerde identiteit toe aan schaalsets. Alle VM's in de schaalset krijgen dezelfde identiteit via het opgegeven VM-profiel. (VM's) U kunt ook een beheerde identiteit toewijzen aan afzonderlijke VM's wanneer u ze maakt en deze indien nodig toevoegen aan een schaalset. |
Wanneer VM's communiceren met andere resources, overschrijden ze een vertrouwensgrens. Schaalsets en virtuele machines moeten hun identiteit verifiëren voordat communicatie is toegestaan. Microsoft Entra ID deze verificatie afhandelt met behulp van beheerde identiteiten. |
| (Schaalset) Kies VM-SKU's met beveiligingsfuncties. Sommige SKU's ondersteunen bijvoorbeeld BitLocker-versleuteling en vertrouwelijke computing biedt versleuteling van gegevens die in gebruik zijn. Bekijk de functies om inzicht te hebben in de beperkingen. |
Door Azure geleverde functies zijn gebaseerd op signalen die in veel tenants worden opgevangen en kunnen resources beter beveiligen dan aangepaste besturingselementen. U kunt ook beleidsregels gebruiken om deze besturingselementen af te dwingen. |
| (VM's, schaalset) Pas door de organisatie aangeraden tags toe in de voorziene resources. | Taggen is een veelgebruikte manier om resources te segmenteren en te organiseren en kan cruciaal zijn tijdens incidentbeheer. Zie Het doel van naamgeving en taggen voor meer informatie. |
| (VM's, schaalset) Stel een beveiligingsprofiel in met de beveiligingsfuncties die u wilt inschakelen in de VM-configuratie. Wanneer u bijvoorbeeld versleuteling opgeeft op de host in het profiel, worden de gegevens die zijn opgeslagen op de VM-host in rust versleuteld en worden stromen versleuteld naar de opslagservice. |
De functies in het beveiligingsprofiel worden automatisch ingeschakeld wanneer de virtuele machine wordt gemaakt. Zie Azure beveiligingsbasislijn voor Virtual Machine Scale Sets voor meer informatie. |
| (VM's, schaalset) Schakel Vertrouwde Start in op uw Virtual Machines.Trusted Launch biedt beveiligingsfuncties op basis van hardware, waaronder beveiligd opstarten en virtuele Trusted Platform Module (vTPM) voor een verbeterde beveiligingspostuur zonder dat de infrastructuur opnieuw hoeft te worden geïmplementeerd. U kunt Trusted Launch inschakelen op bestaande Virtual Machine Scale Sets** via de in-place upgrade mogelijkheden. |
Verbeterde beveiliging via hardwaregebaseerde beveiligingsmogelijkheden die kunnen worden aangepast aan bestaande infrastructuur zonder serviceonderbreking, waardoor organisaties de nalevingsstatus kunnen verbeteren terwijl de operationele continuïteit behouden blijft. |
| (VM's) Kies beveiligde netwerkopties voor het netwerkprofiel van uw VIRTUELE machine. Koppel openbare IP-adressen niet rechtstreeks aan uw VM's en schakel doorsturen via IP niet in. Zorg ervoor dat alle virtuele netwerkinterfaces een gekoppelde netwerkbeveiligingsgroep hebben. |
U kunt segmentatiebesturingselementen instellen in het netwerkprofiel. Aanvallers scannen openbare IP-adressen. Deze activiteit maakt VM's kwetsbaar voor bedreigingen. |
| (VM's) Kies beveiligde opslagopties voor het opslagprofiel van uw VIRTUELE machine. Schijfversleuteling en data-at-rest-versleuteling standaard inschakelen. Schakel openbare netwerktoegang tot de VM-schijven uit. |
Als u openbare netwerktoegang uitschakelt, voorkomt u onbevoegde toegang tot uw gegevens en resources. |
| (VM's, schaalset) Neem extensies op in uw VM's die bescherming bieden tegen bedreigingen. Bijvoorbeeld - Key Vault uitbreiding voor Windows en Linux - Microsoft Entra ID authentication - Microsoft Antimalware voor Azure Cloud Services en Virtual Machines - Azure Disk Encryption uitbreiding voor Windows en Linux. |
De extensies worden gebruikt om de VM's te bootstrapen met de juiste software die de toegang tot en van de VM's beveiligt. Microsoft-opgegeven extensies worden regelmatig bijgewerkt om de veranderende beveiligingsstandaarden bij te houden. |
Kostenoptimalisatie
Kostenoptimalisatie richt zich op het detecteren van uitgavenpatronen, het prioriteren van investeringen in kritieke gebieden en het optimaliseren van andere gebieden. Dit alles om te voldoen aan het budget van de organisatie terwijl aan de bedrijfsvereisten wordt voldaan.
De ontwerpprincipes Cost Optimization bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelstellingen en het maken van compromissen in het technische ontwerp met betrekking tot Virtual Machines en de omgeving.
Controlelijst voor workloadontwerp
Start uw ontwerpstrategie op basis van de checklist voor ontwerpbeoordeling ter kostenoptimalisatie van investeringen. Verfijn het ontwerp zodat de werklast is afgestemd op het budget dat daarvoor is toegewezen. Uw ontwerp moet de juiste Azure mogelijkheden gebruiken, investeringen bewaken en mogelijkheden vinden om in de loop van de tijd te optimaliseren.
Maak een schatting van de realistische kosten. Gebruik de prijscalculator om de kosten van uw VM's te schatten. Identificeer de beste VM voor uw workload met behulp van de VM-selector. Zie Linux en Windows prijzen voor meer informatie.
Kostenbeveiligingen implementeren. Beheerbeleid gebruiken om resourcetypen, configuraties en locaties te beperken. Gebruik RBAC om acties te blokkeren die kunnen leiden tot overbesteding.
Kies de juiste resources. Uw selectie van VM-plangrootten en SKU's is rechtstreeks van invloed op de totale kosten. Kies VM's op basis van workloadkenmerken. Is de CPU-werkbelasting intensief of worden onderbreekbare processen uitgevoerd? Elke SKU heeft gekoppelde schijfopties die van invloed zijn op de totale kosten.
Kies de juiste mogelijkheden voor afhankelijke resources. Bespaar op backup-opslagkosten voor de standaardlaagnaar door Azure Backup-opslag met gereserveerde capaciteit te gebruiken. Het biedt een korting wanneer u een reservering doorvoert voor een jaar of drie jaar.
De archieflaag in Azure Storage is een offlinelaag die is geoptimaliseerd voor het opslaan van blobgegevens die zelden worden geopend. De archieflaag biedt de laagste opslagkosten, maar hogere kosten voor het ophalen van gegevens en latentie in vergelijking met de dynamische en statische onlinelagen.
Overweeg het gebruik van zone-naar-zone rampenherstel voor virtuele machines om te herstellen van site-onderbrekingen, terwijl u de complexiteit van beschikbaarheid vermindert door gebruik te maken van zone-redundante diensten. Er kunnen kostenvoordelen zijn van verminderde operationele complexiteit.
Kies het juiste factureringsmodel. Evalueer of op toezegging gebaseerde modellen voor computing de kosten optimaliseren op basis van de bedrijfsvereisten van de workload. Houd rekening met deze Azure opties:
-
Azure reserveringen: Vooruitbetalen voor voorspelbare workloads om de kosten te verlagen in vergelijking met prijzen op basis van verbruik.
Important
Koop gereserveerde instanties om Azure kosten te verlagen voor workloads met stabiel gebruik. Beheer het gebruik om ervoor te zorgen dat u niet betaalt voor meer resources dan u gebruikt. Houd gereserveerde instanties eenvoudig en houd beheeroverhead laag om de kosten te verlagen.
- Besparingsplan: Als u een vast uurbedrag aan rekenservices wilt uitgeven voor een of drie jaar, kan dit plan de kosten verlagen.
- Azure Hybrid Benefit: Opslaan wanneer u uw on-premises VM's migreert naar Azure.
-
Azure reserveringen: Vooruitbetalen voor voorspelbare workloads om de kosten te verlagen in vergelijking met prijzen op basis van verbruik.
Gebruik bewaken. Continu gebruikspatronen bewaken en ongebruikte of onderbenutte VM's detecteren. Sluit voor die gevallen VM's af wanneer ze niet in gebruik zijn. Bewaking is een belangrijke benadering van Operational Excellence. Zie de aanbevelingen in Operational Excellence voor meer informatie.
Zoek naar manieren om te optimaliseren. Sommige strategieën omvatten het kiezen van de meest rendabele benadering tussen het verhogen van resources in een bestaand systeem of omhoog schalen en het toevoegen van meer exemplaren van dat systeem of uitschalen. U kunt de vraag offloaden door deze te distribueren naar andere resources of u kunt de vraag verminderen door prioriteitswachtrijen, gateway-offloading, buffering en snelheidsbeperking te implementeren. Zie de aanbevelingen in Prestatie-efficiëntie voor meer informatie.
Aanbevelingen voor configuratie
| Recommendation | Benefit |
|---|---|
| (VM's, schaalset) Kies de juiste VM-abonnementsgrootte en SKU. Identificeer de beste VM-grootten voor uw workload. Gebruik de VM-selector om de beste VM voor uw workload te identificeren. Zie Windows en Linux prijzen. Voor workloads zoals zeer parallelle batchverwerkingstaken die enkele onderbrekingen kunnen verdragen, kunt u overwegen om Azure Spot Virtual Machines te gebruiken. Spot-VM's zijn geschikt voor het experimenteren, ontwikkelen en testen van grootschalige oplossingen. |
SKU's zijn geprijsd op basis van de mogelijkheden die ze bieden. Als u geen geavanceerde mogelijkheden nodig hebt, geef dan niet teveel uit aan artikelnummers. Spot-VM's profiteren van de overschotcapaciteit in Azure tegen lagere kosten. |
| (Schaalset) Combineer reguliere VM's met spot-VM's. Met flexibele indeling kunt u spot-VM's distribueren op basis van een opgegeven percentage. Gebruik spotplaatsingsscore om gegevensgestuurde beslissingen te nemen over het kiezen van de beste regio's en VM-grootten om de beschikbaarheid te maximaliseren en capaciteitsgerelateerde fouten te verminderen. |
Verlaag de kosten voor de rekeninfrastructuur door de diepe kortingen op spot-VM's toe te passen. Evaluatie van de Spot-plaatsingsscore kan helpen bij het verbeteren van de algemene slagingskans bij het implementeren van Spot-VM's. |
| (Schaalset) Verminder het aantal VM-exemplaren wanneer de vraag afneemt. Stel een inschaalbeleid in op basis van criteria. |
Door resources te schalen wanneer ze niet worden gebruikt, vermindert u het aantal virtuele machines in de schaalset, wat kosten bespaart. |
| (VMs) Stop VMs buiten kantooruren. U kunt de functie Azure Automation Starten/stoppen gebruiken en configureren op basis van de behoeften van uw bedrijf. | De functie Starten/stoppen is een voordelige automatiseringsoptie die de kosten van uw niet-actieve exemplaar aanzienlijk kan beïnvloeden. |
| (VMs) Free up CPU resources by using Azure Boost. | Het offloaden van back-endvirtualisatieprocessen maakt CPU-resources vrij voor de virtuele gastmachines. Deze optimalisatie resulteert in verbeterde prestaties. Azure Boost is alleen beschikbaar op specifieke VM's, dus zorg ervoor dat u ook chose VM-grootten waarvoor Azure Boost is ingeschakeld. |
| (VM's, schaalset) Profiteer van licentiemobiliteit door gebruik te maken van Azure Hybrid Benefit. VM's hebben een licentieoptie waarmee u uw eigen on-premises Windows Server OS-licenties naar Azure kunt brengen. Azure Hybrid Benefit kunt u ook bepaalde Linux-abonnementen naar Azure brengen. |
U kunt uw on-premises licenties maximaliseren terwijl u de voordelen van de cloud krijgt. |
Azure Batch heeft Low-Priority en Spot-VM's geconsolideerd in een geïntegreerde Spot-VM-infrastructuur, waardoor het onderbreekbare prijsmodel voor rekenkracht wordt vereenvoudigd. Als uw workload Gebruikmaakt van Batch-pools met Low-Priority VM's, is de migratie automatisch en zijn er geen codewijzigingen vereist. Controleer of de Spot-verwerking voor intrekkingen aanwezig is, omdat intrekkingspercentages mogelijk verschillen van het voormalige Low-Priority model. Zie Spot-VM's gebruiken met Batch-workloads voor meer informatie.
Operationele uitmuntendheid
Operational Excellence richt zich voornamelijk op procedures voor ontwikkelprocedures, waarneembaarheid en releasebeheer.
De ontwerpprincipes voor Operational Excellence bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelstellingen voor de operationele vereisten van de workload.
Controlelijst voor workloadontwerp
Start uw ontwerpstrategie op basis van de controlelijst ontwerpcontrole voor Operational Excellence voor het definiëren van processen voor waarneembaarheid, testen en implementatie met betrekking tot Virtual Machines en schaalsets.
Bewaak de VM-exemplaren. Verzamel logboeken en metrische gegevens van VM-exemplaren om het resourcegebruik te bewaken en de status van de exemplaren te meten. Enkele veelvoorkomende metrische gegevens zijn CPU-gebruik, aantal aanvragen en I/O-latentie (input/output). Stel Azure Monitor alerts in om op de hoogte te worden gesteld van problemen en om configuratiewijzigingen in uw omgeving te detecteren.
Controleer de status van de VM's en de bijbehorende afhankelijkheden.
Implementeer bewakingsonderdelen om logboeken en metrische gegevens te verzamelen die een uitgebreide weergave geven van uw VM's, gastbesturingssystemen en diagnostische gegevens over opstarten. Virtual Machine Scale Sets verzamelen telemetrie, waardoor u gezondheidsmetingen kunt bekijken op het niveau van een afzonderlijke VM of als een geheel. Gebruik Azure Monitor om deze gegevens weer te geven voor elke VIRTUELE machine of samengevoegd op meerdere VM's. Zie Aanbevelingen voor het bewaken van agenten voor meer informatie.
Profiteer van netwerkonderdelen die de status van VM's controleren. Azure Load Balancer bijvoorbeeld VM's pingt om beschadigde VM's te detecteren en verkeer dienovereenkomstig omleiden.
Stel Azure Monitor waarschuwingsregels in. Bepaal belangrijke voorwaarden in uw bewakingsgegevens om problemen te identificeren en op te lossen voordat ze van invloed zijn op het systeem.
Maak een onderhoudsplan met regelmatige systeempatching als onderdeel van routinebewerkingen. Neem noodprocessen op die directe patchtoepassing mogelijk maken. U kunt aangepaste processen hebben om patching te beheren of de taak gedeeltelijk te delegeren aan Azure. Azure biedt functies voor afzonderlijke VM-onderhoud. U kunt onderhoudsvensters instellen om onderbrekingen tijdens updates te minimaliseren. Tijdens platformupdates zijn overwegingen voor foutdomeinen essentieel voor tolerantie. U wordt aangeraden ten minste twee exemplaren in een zone te implementeren. Twee VM's per zone garanderen minimaal één VM in elke zone, omdat er slechts één foutdomein in een zone tegelijk wordt bijgewerkt. Richt voor drie zones dus ten minste zes exemplaren in.
Automatiseer processen voor bootstrapping, het uitvoeren van scripts en het configureren van VM's. U kunt processen automatiseren met behulp van extensies of aangepaste scripts. De volgende opties worden aangeraden:
De vm-extensie Key Vault vernieuwt automatisch certificaten die zijn opgeslagen in een key vault.
De Azure Custom Script Extension voor Windows en Linux downloadt en voert scripts uit op Virtuele Machines. Gebruik deze extensie voor configuratie na implementatie, software-installatie of een andere configuratie- of beheertaak.
Gebruik cloud-init om de opstartomgeving in te stellen voor linux-VM's.
Heb processen voor het installeren van automatische updates. Overweeg het gebruik van automatische VM-gastpatches voor een tijdige implementatie van kritieke patches en beveiligingspatches. Gebruik Azure Update Manager om besturingssysteemupdates te beheren voor uw Windows- en Linux-VM's in Azure.
Bouw een testomgeving die nauw overeenkomt met uw productieomgeving om updates en wijzigingen te testen voordat u deze implementeert in productie. Zorg ervoor dat er processen zijn om de beveiligingsupdates, prestatiebasislijnen en betrouwbaarheidsfouten te testen. Profiteer van Azure Chaos Studio foutbibliotheken om foutomstandigheden te injecteren en te simuleren. Zie Azure Chaos Studio fout- en actiebibliotheek voor meer informatie.
Beheer uw quotum. Plan welk quotum uw workload nodig heeft en controleer dit niveau regelmatig naarmate de workload zich ontwikkelt. Als u uw quotum wilt verhogen of verlagen, vraagt u deze wijzigingen vroeg aan.
Aanbevelingen voor configuratie
| Recommendation | Benefit |
|---|---|
| (Schaalset) Virtual Machine Scale Sets in Flexibele orkestratiemodus kan helpen bij het vereenvoudigen van de implementatie en het beheer van uw werklast. U kunt bijvoorbeeld eenvoudig zelfherstel beheren met behulp van automatische reparaties. | Flexibele indeling kan VM-exemplaren op schaal beheren. Het afhandelen van individuele VM's veroorzaakt operationele overhead. Wanneer u bijvoorbeeld VM-exemplaren verwijdert, hebt u de mogelijkheid om gekoppelde VM-schijven en NIC's te verwijderen of te behouden. VM-exemplaren kunnen worden verspreid over meerdere foutdomeinen, zodat updatebewerkingen de service niet verstoren. U kunt alle standaard VM-API's gebruiken voor het beheren van flexibele orkestratie-exemplaren. Zowel Linux- als Windows-VM's kunnen zich in dezelfde flexibele schaalset bevinden, waardoor het beheer van heterogene workloads wordt vereenvoudigd. |
| (Schaalset) Het koppelen of loskoppelen van een enkele exemplaar-VM aan of van Virtual Machine Scale Sets in Flexibele orkestratiemodus stelt u in staat om flexibel in te spelen op operationele behoeften zonder de infrastructuur opnieuw te implementeren. | Door VM's te koppelen, kunt u bestaande VM's onder het beheer van een VMSS Flex brengen, waardoor gecentraliseerde controle over updates, schaalaanpassing en bewaking mogelijk is. Door VM's los te koppelen van VMSS Flex kunt u een VM isoleren voor probleemoplossing of speciale configuratie zonder de rest van de schaalset te onderbreken. |
| (Schaalset) Houd uw VM's up-to-date door een upgradebeleid in te stellen. We raden u aan rolling upgrades uit te voeren. Als u echter gedetailleerde controle nodig hebt, kiest u ervoor om handmatig een upgrade uit te voeren. Voor flexibele indeling kunt u Azure Update Manager gebruiken. |
Beveiliging is de primaire reden voor upgrades. Beveiligingsgaranties voor de instanties mogen na verloop van tijd niet afnemen. Rolling upgrades worden uitgevoerd in batches. Deze aanpak zorgt ervoor dat niet alle instanties tegelijkertijd offline zijn. |
| (VM's, schaalset) Automatisch VM-toepassingen implementeren vanuit de Azure Compute Gallery door de toepassingen te definiëren in het profiel. | De VM's in de schaalset worden gemaakt en de opgegeven apps zijn vooraf geïnstalleerd, waardoor het beheer eenvoudiger wordt. |
|
Installeer vooraf gemaakte softwareonderdelen als extensies als onderdeel van bootstrapping. Azure ondersteunt veel extensies die kunnen worden gebruikt voor het configureren, bewaken, beveiligen en leveren van hulpprogrammatoepassingen voor uw VM's. Schakel automatische upgrades in voor extensies. |
Extensies kunnen helpen de software-installatie op schaal te vereenvoudigen zonder dat u deze handmatig op elke VIRTUELE machine hoeft te installeren, configureren of upgraden. |
| (VM's, schaalset) De gezondheid van de VM-instanties meten en bewaken. Implementeer de agentextensie Monitor op uw VM's om bewakingsgegevens van het gastbesturingssysteem te verzamelen met besturingssysteemspecifieke regels voor gegevensverzameling. Schakel VM-inzichten in om de status en prestaties te bewaken en trends van de verzamelde gegevens te bekijken. Gebruik bootdiagnostiek om informatie te verzamelen bij het opstarten van VM's. Diagnostische gegevens over opstarten diagnosticeren ook opstartfouten. |
Bewakingsgegevens zijn de kern van incidentoplossing. Een uitgebreide bewakingsstack biedt informatie over hoe de VM's presteren en hun status. Door de exemplaren continu te bewaken, kunt u klaar zijn voor of fouten voorkomen, zoals overbelasting van de prestaties en betrouwbaarheidsproblemen. |
Prestatie-efficiëntie
Prestatie-efficiëntie gaat over het waarborgen van de gebruikerservaring, zelfs wanneer er een toename in de belasting is door capaciteitsbeheer. De strategie omvat het schalen van resources, het identificeren en optimaliseren van potentiële knelpunten en het optimaliseren van piekprestaties.
De ontwerpprincipes voor Prestatie-efficiëntie een ontwerpstrategie op hoog niveau bieden voor het bereiken van deze capaciteitsdoelen ten opzichte van het verwachte gebruik.
Controlelijst voor workloadontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor prestatie-efficiëntie. Definieer een basislijn die is gebaseerd op key performance indicators voor Virtual Machines en schaalsets.
Definieer prestatiedoelen. Identificeer metrische gegevens van vm's om prestatie-indicatoren bij te houden en te meten als reactietijd, CPU-gebruik en geheugengebruik, evenals metrische gegevens over workloads, zoals transacties per seconde, gelijktijdige gebruikers en beschikbaarheid en status.
Houd rekening met het prestatieprofiel van VM's, schaalsets en schijfconfiguratie in uw capaciteitsplanning. Elke SKU heeft een ander geheugen- en CPU-profiel en gedraagt zich anders, afhankelijk van het type workload. Voer piloten en proofs of concept uit om inzicht te hebben in het prestatiegedrag onder de specifieke workload.
Prestaties van vm's afstemmen. Profiteer van prestatieoptimalisatie en verbeter functies zoals vereist voor de workload. Gebruik bijvoorbeeld lokaal gekoppelde NVMe (Non-Volatile Memory Express) voor high performance use cases en versneld netwerken, en gebruik Premium SSD v2 voor betere prestaties en schaalbaarheid.
Neem rekening met de afhankelijke services. Workloadafhankelijkheden, zoals caching, netwerkverkeer en netwerken voor contentlevering, die communiceren met de VM's, kunnen van invloed zijn op de prestaties. Overweeg ook geografische distributie, zoals zones en regio's, die latentie kunnen toevoegen.
Verzamel prestatiegegevens. Volg de best practices voor Operational Excellence voor het bewaken en implementeren van de juiste extensies om metrische gegevens weer te geven die worden bijgehouden op basis van prestatie-indicatoren.
Nabijheidsplaatsingsgroepen. Gebruik nabijheidsplaatsingsgroepen in workloads waarbij lage latentie is vereist om ervoor te zorgen dat VM's zich fysiek dicht bij elkaar bevinden.
Aanbevelingen voor configuratie
| Recommendation | Benefit |
|---|---|
| (VM's, schaalset) Kies SKU's voor VM's die overeenkomen met uw capaciteitsplanning. Zorg voor een goed begrip van uw workloadvereisten, waaronder het aantal kernen, geheugen, opslag en netwerkbandbreedte, zodat u ongeschikte SKU's kunt filteren. |
Het instellen van rechten voor uw VM's is een fundamentele beslissing die de prestaties van uw workload aanzienlijk beïnvloedt. Zonder het juiste aantal vm's met de juiste grootte kunt u prestatieproblemen ondervinden met VM's die regelmatig piekcapaciteit hebben of onnodige kosten maken door ongebruikte capaciteit te implementeren. |
| (VM's, schaalset) Implementeer latentiegevoelige workload-VM's in nabijheidsplaatsingsgroepen. | Nabijheidsplaatsingsgroepen verminderen de fysieke afstand tussen Azure rekenresources, die de prestaties kunnen verbeteren en de netwerklatentie tussen zelfstandige VM's, VM's in meerdere beschikbaarheidssets of VM's in meerdere schaalsets kunnen verminderen. |
| (VM's) Overweeg versneld netwerken in te schakelen. | Het stelt enkelvoudige root I/O-virtualisatie (SR-IOV) naar een VM in staat, wat de netwerkprestaties aanzienlijk verbetert. |
| (VM's, schaalset) Stel regels voor automatisch schalen in om het aantal VM-exemplaren in uw schaalset te verhogen of te verlagen op basis van de vraag. | Als de vraag naar je toepassing toeneemt, neemt ook de belasting van de VM-exemplaren in de schaalinstellingen toe. Regels voor automatisch schalen zorgen ervoor dat u voldoende resources hebt om aan de vraag te voldoen. |
beleid voor Azure
Azure biedt een uitgebreide set ingebouwde beleidsregels met betrekking tot Virtual Machines en de bijbehorende afhankelijkheden. Sommige van de voorgaande aanbevelingen kunnen worden gecontroleerd via Azure Policy. U kunt bijvoorbeeld controleren of:
Versleuteling is ingeschakeld op hostniveau. Zorg ervoor dat versleuteling op hostniveau is ingeschakeld om extra beveiliging te bieden voor uw VM-gegevens.
Antimalwareextensies worden geïmplementeerd. Controleer of antimalwareextensies zijn geïmplementeerd op VM's waarop Windows Server worden uitgevoerd en ingesteld op automatische updates om doorlopende beveiliging te garanderen.
Automatische patching van installatiekopieën van het besturingssysteem is ingeschakeld. Controleer of automatische patching van installatiekopieën van besturingssystemen is ingeschakeld op schaalsets om ervoor te zorgen dat uw VM's up-to-date blijven met beveiligingspatches.
Alleen goedgekeurde VM-extensies worden geïnstalleerd. Controleer of alleen goedgekeurde extensies zijn geïnstalleerd op uw VM's. Deze aanpak helpt het risico op beveiligingsproblemen te minimaliseren.
Monitor- en afhankelijkheidsagents zijn ingeschakeld. Zorg ervoor dat de monitoragent en afhankelijkheidsagents zijn ingeschakeld op alle nieuwe VM's om bewaking en afhankelijkheidsbeheer mogelijk te maken.
Alleen toegestane VM-SKU's worden geïmplementeerd. Controleer of alleen goedgekeurde VM-SKU's zijn geïmplementeerd. Dit beleid zorgt ervoor dat u voldoet aan uw kostenbeperkingen en resourcevereisten.
Privé-eindpunten worden gebruikt voor schijftoegang. Zorg ervoor dat privé-eindpunten worden gebruikt om veilig toegang te krijgen tot schijfbronnen. Deze aanpak helpt blootstelling aan openbare netwerken te voorkomen.
Detectie van beveiligingsproblemen is ingeschakeld. Detectie van beveiligingsproblemen voor uw VM's inschakelen. Configureer voor Windows machines regels zoals dagelijkse scans met Microsoft Defender Antivirus om mogelijke bedreigingen te detecteren.
Raadpleeg de ingebouwde definities van Azure Policy voor Virtual Machines en andere beleidsregels die van invloed kunnen zijn op de beveiliging van de rekenlaag voor een uitgebreide governance.
Azure Advisor aanbevelingen
Azure Advisor is een gepersonaliseerde cloudconsultant waarmee u de best practices kunt volgen om uw Azure implementaties te optimaliseren.
Zie Azure Advisor voor meer informatie.
Voorbeeldarchitectuur
Basisarchitectuur die de belangrijkste aanbevelingen laat zien: Virtual Machines basislijnarchitectuur.
Verwante inhoud
Beschouw de volgende artikelen als bronnen die de aanbevelingen uit dit artikel illustreren.
- Gebruik de volgende referentiearchitecturen als voorbeelden van hoe u de richtlijnen van dit artikel kunt toepassen op een workload:
- Enkele VM-architecturen: Linux VM en Windows VM
- Basisarchitectuur die is gericht op aanbevelingen voor infrastructuur: Virtual Machines basislijnarchitectuur
- Bouw expertise op het gebied van implementatie met behulp van de volgende productdocumentatie: