Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Virtual Machines är en typ av beräkningstjänst som du kan använda för att skapa och köra virtuella datorer på Azure-plattformen. Det ger flexibilitet i olika SKU:er, operativsystem och konfigurationer med olika faktureringsmodeller.
Den här artikeln förutsätter att du som arkitekt har granskat beslutsträdet compute och valt Virtual Machines som beräkningstjänst för din arbetsbelastning. Vägledningen i den här artikeln innehåller arkitektoniska rekommendationer som mappas till principerna för Well-Architected Framework-pelarna.
Teknikomfång
Den här granskningen fokuserar på de relaterade besluten för följande Azure resurser:
Virtual Machines
Azure Virtual Machine Scale Sets
Diskar är ett viktigt beroende för VM-baserade arkitekturer, men de beskrivs inte i den här artikeln. Mer information finns i bästa metoder för arkitektur för Azure-disklagring.
Reliability
Syftet med grundpelarna för tillförlitlighet är att tillhandahålla fortsatt funktionalitet genom att bygga upp tillräckligt med motståndskraft och möjlighet att snabbt återhämta sig från fel.
Principer för tillförlitlighetsdesign tillhandahålla en övergripande designstrategi som tillämpas för enskilda komponenter, systemflöden och systemet som helhet.
Checklista för arbetsbelastningsdesign
Påbörja din designstrategi baserat på checklistan för designgranskning för tillförlitlighet. Fastställ dess relevans för dina affärskrav samtidigt som du tänker på SKU:er och funktioner i virtuella datorer och deras beroenden. Utöka strategin till att omfatta fler metoder efter behov.
Review Virtual Machines kvoter och gränser som kan innebära designbegränsningar. Virtuella datorer har specifika gränser och kvoter, som varierar beroende på typ av virtuell dator eller region. Det kan finnas prenumerationsbegränsningar, till exempel antalet virtuella datorer per prenumeration eller antalet kärnor per virtuell dator. Om andra arbetsbelastningar delar din prenumeration kan din möjlighet att använda data minskas. Kontrollera gränserna för VM, VM-skalningsuppsättningar och hanterade diskar.
Utför en fellägesanalys för att minimera felpunkter genom att analysera VM-interaktioner med nätverks- och lagringskomponenterna. Välj konfigurationer som tillfälliga operativsystemdiskar (OS) för att lokalisera diskåtkomst och undvika nätverkshopp. Lägg till en lastbalanserare för att förbättra självbevarandet genom att distribuera nätverkstrafik över flera virtuella datorer, vilket förbättrar tillgängligheten och tillförlitligheten.
Beräkna dina sammansatta servicenivåmål (SLO) baserat på Azure serviceavtal (SLA). Se till att din SLO inte är högre än Azure serviceavtal för att undvika orealistiska förväntningar och potentiella problem.
Tänk på de komplexiteter som beroenden medför. Vissa beroenden, till exempel virtuella nätverk och nätverkskort ,har till exempel inte egna serviceavtal. Andra beroenden, till exempel en associerad datadisk, har serviceavtal som integreras med vm-serviceavtal. Du bör överväga dessa variationer eftersom de kan påverka vm-prestanda och tillförlitlighet.
Ta hänsyn till de kritiska beroendena för virtuella datorer på komponenter som diskar och nätverkskomponenter. Om du förstår dessa relationer kan du fastställa de kritiska flöden som påverkar tillförlitligheten.
Skapa tillståndsisolering. Arbetsbelastningsdata ska finnas på en separat datadisk för att förhindra interferens med OS-disken. Om en virtuell dator misslyckas kan du skapa en ny OS-disk med samma datadisk, vilket säkerställer motståndskraft och felisolering. Mer information finns i Tillfälliga OS-diskar.
Gör virtuella datorer och deras beroenden redundanta mellan zoner. Om en virtuell dator misslyckas bör arbetsbelastningen fortsätta att fungera på grund av redundans. Inkludera beroenden i dina redundansval. Använd till exempel de inbyggda redundansalternativen som är tillgängliga med diskar. Använd zonredundanta IP-adresser för att säkerställa datatillgänglighet och hög drifttid.
Undvik arbetsbelastningsdesign som är beroende av en enskild virtuell dator, eftersom den virtuella datorn inte kommer att vara motståndskraftig mot planerade eller oplanerade underhålls- eller tillförlitlighetshändelser.
Var redo att skala upp och skala ut för att förhindra försämring på tjänstnivå och för att undvika fel. Virtual Machine Scale Sets har funktioner för autoskalning som skapar nya instanser efter behov och distribuerar belastningen över flera virtuella datorer och tillgänglighetszoner.
Utforska alternativen för automatisk återställning. Azure stöder övervakning av hälsoförsämring och självåterställningsfunktioner för virtuella datorer. Skalningsuppsättningar ger till exempel automatiska instansreparationer. I mer avancerade scenarier innebär självåterställning att använda Azure Site Recovery, att ha ett passivt vänteläge att växla över till eller omdistribuera från infrastruktur som kod (IaC). Den metod som du väljer bör överensstämma med affärskraven, organisationens åtgärder och stödja din förmåga att utföra återställningstest. Mer information finns i Avbrott i VM-tjänsten.
Optimera storleken på de virtuella datorerna och deras beroenden. Förstå den virtuella datorns förväntade arbete för att säkerställa att den inte är undersedd och kan hantera den maximala belastningen. Ha extra kapacitet för att undvika fel.
Se till att alltid påslagna virtuella datorer förblir i drift. Virtual Machines i Azure kan stängas av, vilket är ett distinkt tillstånd än resursen som tas bort. För virtuella datorer som är utformade för att fortsätta köras använder du ett
ReadOnlyresurslås för att förhindra oavsiktligt stopp av den virtuella datorn. Detta förhindrar inte att operativsystemet startas om om det behövs för uppdateringar, men förhindrar ett operatörsfel via Azure-portalen eller CLI.Skapa en omfattande plan för haveriberedskap. Katastrofberedskap handlar om att skapa en omfattande plan och besluta om en teknik för återställning.
Beroenden och tillståndskänsliga komponenter, till exempel ansluten lagring, kan komplicera återställningen. Om diskarna slutar fungera påverkar det felet den virtuella datorns funktion. Inkludera en tydlig process för dessa beroenden i dina återställningsplaner.
Distribuera program mellan virtuella datorer I en N-nivå arbetsbelastning ska du till exempel inte placera program eller lagringstjänster från olika nivåer på samma virtuella datorer, utan kör i stället varje nivå på olika virtuella datorer. Utforma din arbetsbelastning med ett enda ansvarshuvudnamn i åtanke, vilket gör att du kan justera tillförlitlighetsegenskaperna och återställningsstrategin per VM-gruppering.
Utför operationer med noggrannhet. Val av tillförlitlighetsdesign måste stödjas av effektiva åtgärder baserat på principerna för övervakning, återhämtningstestning i produktion, automatiserade program-VM-korrigeringar och uppgraderingar samt konsekvens i distributioner. Driftsvägledning finns i Operational Excellence (Driftskompetens).
Konfigurationsrekommendationer
| Recommendation | Benefit |
|---|---|
| (Skalningsuppsättning) Använd Virtual Machine Scale Sets i Flexibelt orkestreringsläge för att distribuera virtuella datorer. | Framtidssäkra ditt program för skalning och dra nytta av garantier för hög tillgänglighet som sprider virtuella datorer över feldomäner i en region eller en tillgänglighetszon. |
| (Virtuella datorer) Implementera hälsoslutpunkter som genererar hälsostatus för instanser på virtuella datorer. (Skalningsuppsättning) Aktivera automatiska reparationer på skalningsuppsättningen genom att ange önskad reparationsåtgärd. Överväg att ange en tidsram under vilken automatiska reparationer pausas om den virtuella datorns tillstånd ändras. |
Underhåll tillgängligheten även om en instans bedöms vara felaktig. Automatiska reparationer initierar återställning genom att ersätta den felaktiga instansen. Om du anger ett tidsfönster kan du förhindra oavsiktliga eller för tidiga reparationsåtgärder. |
| (Skalningsuppsättning) Aktivera övertilldelning på skalningsuppsättningar. | Överetablering minskar distributionstiderna och har en kostnadsförmån eftersom de extra virtuella datorerna inte faktureras. |
| (Skalningsuppsättning) Förallokera instanser med väntelägespooler. | Instanser i standby-poolen förblir vilande men är redo att ta över arbetsbelastning om ett fel inträffar. Den här funktionen förbättrar systemets tillförlitlighet. |
| (Skalningsuppsättning) Tillåt flexibel orkestrering att sprida de virtuella datorinstanserna över så många feldomäner som möjligt. | Det här alternativet isolerar feldomäner. Under underhållsperioder, när en feldomän uppdateras, är VM-instanser tillgängliga i de andra feldomänerna. |
| (Skalningsuppsättning) Distribuera mellan tillgänglighetszoner i skalningsuppsättningar. Konfigurera minst två instanser i varje zon. Zonbalansering fördelar instanserna jämnt över zoner. |
De virtuella datorinstanserna etableras på fysiskt separata platser inom varje Azure region som är tolerant mot lokala fel. Tänk på att beroende på resurstillgänglighet kan det finnas ett ojämnt antal instanser mellan zoner. Zonutjämning stöder tillgängligheten genom att se till att det finns tillräckligt med resurser i de kvarvarande zonerna även om en zon slutar fungera. Två instanser i varje zon ger en buffert under uppgraderingar. |
| (Skalningsuppsättning) Om du vill förbättra drifttiden för tjänsten samtidigt som du behåller kontrollen över kostnadskonsekvenserna av uppgraderingar aktiverar du MaxSurge. | Nya instanser skapas i batchar med hjälp av den senaste skalningsmodellen. När de nya instanserna är felfria tas de gamla instanserna bort i batchar. Den här processen fortsätter tills alla instanser har uppdaterats, vilket garanterar ingen stilleståndstid under uppdateringar. |
| (Virtuella datorer) Skydda virtuella datorer som inte enkelt kan återskapas från IaC och startas med Azure Backup snabbåterställning. | Med ögonblicksbilder av virtuella datorer i ett Azure Recovery Services-valv kan du implementera dina RPO-krav för att återställa tillstånd på diskar som är anslutna till en felaktig virtuell dator. |
| (Virtuella datorer) Utnyttja funktionen för kapacitetsreservationer. | Kapaciteten är reserverad för din användning och är tillgänglig inom ramen för tillämpliga serviceavtal. Du kan ta bort kapacitetsreservationer när du inte längre behöver dem och faktureringen är förbrukningsbaserad. |
Security
Syftet med säkerhetspelaren är att tillhandahålla garantier för konfidentialitet, integritet och tillgänglighet för arbetet.
Designprinciperna Säkerhet ger en övergripande designstrategi för att uppnå dessa mål genom att tillämpa metoder för teknisk design av Virtual Machines.
Checklista för arbetsbelastningsdesign
Påbörja din designstrategi baserad på checklistan för designgranskning för säkerhet och identifiera sårbarheter och kontroller för att förbättra säkerhetsläget. Utöka strategin till att omfatta fler metoder efter behov.
Visa säkerhetsbaslinjerna för Linux och Windows virtuella datorer och Virtual Machine Scale Sets.
Som en del av dina alternativ för baslinjeteknik bör du överväga säkerhetsfunktionerna för de VM-SKU:er som stöder din arbetsbelastning.
Se till att säkerhetskorrigeringar i tid och uppgraderingar automatiseras. Kontrollera att uppdateringarna distribueras och verifieras automatiskt med hjälp av en väldefinierad process. Använd en lösning som Azure Automation för att hantera OS-uppdateringar och upprätthålla säkerhetsefterlevnad genom att göra kritiska uppdateringar.
Identifiera de virtuella datorer som har status. Kontrollera att data klassificeras enligt de känslighetsetiketter som din organisation tillhandahåller. Skydda data med hjälp av säkerhetskontroller som lämpliga nivåer av vilande kryptering och kryptering under överföring. Om du har höga känslighetskrav kan du överväga att använda högsäkerhetskontroller som dubbel kryptering och Azure konfidentiell databehandling för att skydda data som används.
Ange segmentering till de virtuella datorerna och skalningsuppsättningarna genom att ange nätverksgränser och åtkomstkontroller. Placera virtuella datorer i resursgrupper som delar samma livscykel.
Tillämpa åtkomstkontroller på de identiteter som försöker nå de virtuella datorerna och även för de virtuella datorer som når andra resurser. Använd Microsoft Entra ID för autentiserings- och auktoriseringsbehov. Placera starka lösenord, multifaktorautentisering och rollbaserad åtkomstkontroll (RBAC) på plats för dina virtuella datorer och deras beroenden, till exempel hemligheter, för att tillåta tillåtna identiteter att endast utföra de åtgärder som förväntas av deras roller.
Begränsa resursåtkomst baserat på villkor med hjälp av Villkorsstyrd åtkomst i Microsoft Entra. Definiera de villkorsstyrda principerna baserat på varaktighet och den minsta uppsättningen nödvändiga behörigheter.
Använd nätverkskontroller för att begränsa inkommande och utgående trafik. Isolera virtuella datorer och skalningsuppsättningar i Azure Virtual Network och definiera nätverkssäkerhetsgrupper för att filtrera trafik. Skydda mot DDoS-attacker (Distributed Denial of Service). Använd lastbalanserare och brandväggsregler för att skydda mot skadliga trafik- och dataexfiltreringsattacker.
Använd Azure Bastion för att tillhandahålla säkrare anslutning till de virtuella datorerna för driftåtkomst.
Kommunikation till och från de virtuella datorerna till PaaS-lösningar (plattform som en tjänst) bör finnas över privata slutpunkter.
Minska attackytan genom att härda OS-avbildningar och ta bort oanvända komponenter. Använd mindre bilder och ta bort binärfiler som inte behövs för att köra arbetsbelastningen. Skärpa konfigurationerna för virtuella datorer genom att ta bort funktioner, till exempel standardkonton och portar, som du inte behöver.
Skydda hemligheter som de certifikat som du behöver för att skydda data under överföring. Överväg att använda Azure Key Vault-tillägget för Windows eller Linux som automatiskt uppdaterar certifikaten som lagras i ett nyckelvalv. När den identifierar en ändring i certifikaten hämtar och installerar tillägget motsvarande certifikat.
Hotdetektering Övervaka virtuella datorer efter hot och felkonfigurationer. Använd Defender för servrar för att samla in ändringar i virtuella datorer och operativsystem och upprätthålla en spårningslogg med åtkomst, nya konton och ändringar i behörigheter.
Hotförebyggande Skydda mot attacker mot skadlig kod och skadliga aktörer genom att implementera säkerhetskontroller som brandväggar, antivirusprogram och intrångsidentifieringssystem. Avgör om en betrodd körningsmiljö (TEE) krävs.
Konfigurationsrekommendationer
| Recommendation | Benefit |
|---|---|
| (Skalningsuppsättning) Tilldela en hanterad identitet till skalningsuppsättningar. Alla virtuella datorer i skalningsuppsättningen får samma identitet via den angivna VM-profilen. (Virtuella datorer) Du kan också tilldela en hanterad identitet till enskilda virtuella datorer när du skapar dem och sedan lägga till den i en skalningsuppsättning om det behövs. |
När virtuella datorer kommunicerar med andra resurser korsar de en förtroendegräns. Skalningsuppsättningar och virtuella datorer bör autentisera sin identitet innan kommunikation tillåts. Microsoft Entra ID hanterar den autentiseringen med hjälp av hanterade identiteter. |
| (Skalningsinställning) Välj VM SKU:ar som har säkerhetsfunktioner. Vissa SKU:er stöder till exempel BitLocker-kryptering och konfidentiell databehandling tillhandahåller kryptering av data som används. Granska funktionerna för att förstå begränsningarna. |
Funktioner som tillhandahålls av Azure baseras på signaler som samlas in hos många kunder och kan skydda resurser bättre än anpassade kontroller. Du kan också använda principer för att framtvinga dessa kontroller. |
| (Virtuella datorer, skalningsuppsättning) Använd organisationsrekommenderade taggar i de etablerade resurserna. | Taggning är ett vanligt sätt att segmentera och organisera resurser och kan vara avgörande vid incidenthantering. Mer information finns i Syftet med namngivning och taggning. |
| (Virtuella datorer, skalningsuppsättning) Ange en säkerhetsprofil med de säkerhetsfunktioner som du vill aktivera i VM-konfigurationen. När du till exempel anger kryptering hos värden i profilen krypteras de data som lagras på den virtuella datorvärden i förvaring, och flöden krypteras vid överföring till lagringstjänsten. |
Funktionerna i säkerhetsprofilen aktiveras automatiskt när den virtuella datorn skapas. Mer information finns i Azures säkerhetsbaslinjen för Virtual Machine Scale Sets. |
| (Virtuella datorer, skalningsuppsättning) Aktivera Trusted Launch på dina virtuella maskiner.Trusted Launch tillhandahåller maskinvarubaserade säkerhetsfunktioner, inklusive säker start och virtuell Trusted Platform Module (vTPM) för förbättrad säkerhetsställning utan att infrastrukturen behöver distribueras på nytt. Du kan aktivera Betrodd start på befintliga Virtual Machine Scale Sets** via funktioner för uppgradering på plats. |
Förbättrad säkerhet genom maskinvarubaserade säkerhetsfunktioner som kan eftermonteras till befintlig infrastruktur utan avbrott i tjänsten, vilket gör det möjligt för organisationer att förbättra efterlevnadsstatusen samtidigt som driftkontinuiteten bibehålls. |
| (Virtuella datorer) Välj säkra nätverksalternativ för den virtuella datorns nätverksprofil. Koppla inte offentliga IP-adresser direkt till dina virtuella datorer och aktivera inte IP-vidarebefordran. Kontrollera att alla virtuella nätverksgränssnitt har en associerad nätverkssäkerhetsgrupp. |
Du kan ange segmenteringskontroller i nätverksprofilen. Angripare genomsöker offentliga IP-adresser. Den här aktiviteten gör virtuella datorer sårbara för hot. |
| (Virtuella datorer) Välj säkra lagringsalternativ för den virtuella datorns lagringsprofil. Aktivera diskkryptering och vilande datakryptering som standard. Inaktivera offentlig nätverksåtkomst till de virtuella datordiskarna. |
Om du inaktiverar åtkomst till offentliga nätverk kan du förhindra obehörig åtkomst till dina data och resurser. |
| (Virtuella datorer, skalningsuppsättning) Inkludera tillägg i dina virtuella datorer som skyddar mot hot. Till exempel - Key Vault tillägg för Windows och Linux - Microsoft Entra ID-autentisering - Microsoft Program mot skadlig kod för Azure Cloud Services och Virtual Machines - Azure Disk Encryption tillägg för Windows och Linux. |
Tilläggen används för att starta de virtuella datorerna med rätt programvara som skyddar åtkomsten till och från de virtuella datorerna. Microsoft-tillägg uppdateras ofta för att hålla jämna steg med de framväxande säkerhetsstandarderna. |
Kostnadsoptimering
Kostnadsoptimering fokuserar på identifiera utgiftsmönster, prioritera investeringar inom kritiska områden och optimera i andra för att uppfylla organisationens budget samtidigt som affärskraven uppfylls.
Designprinciperna Cost Optimization ger en övergripande designstrategi för att uppnå dessa mål och göra kompromisser vid behov i den tekniska designen som rör Virtual Machines och dess miljö.
Checklista för arbetsbelastningsdesign
Påbörja din designstrategi baserat på checklistan för designgranskning och kostnadsoptimering för investeringar. Finjustera designen så att arbetsbelastningen är i linje med den budget som allokeras för arbetsbelastningen. Din design bör använda rätt Azure funktioner, övervaka investeringar och hitta möjligheter att optimera över tid.
Beräkna realistiska kostnader. Använd priskalkylatorn för att beräkna kostnaderna för dina virtuella datorer. Identifiera den bästa virtuella datorn för din arbetsbelastning med hjälp av VM-väljaren. Mer information finns i prissättningen Linux och Windows.
Implementera kostnadsskyddsmekanismer. Använd styrningsprinciper för att begränsa resurstyper, konfigurationer och platser. Använd RBAC för att blockera åtgärder som kan leda till överförbrukning.
Välj rätt resurser. Ditt val av VM-planstorlekar och SKU:er påverkar direkt den totala kostnaden. Välj virtuella datorer baserat på arbetsbelastningsegenskaper. Är arbetsbelastningen processorintensiv eller kör den avbrottsbara processer? Varje SKU har associerade diskalternativ som påverkar den totala kostnaden.
Välj rätt funktioner för beroende resurser. Spara på kostnader för säkerhetskopieringslagring i standardnivån för valvet genom att använda Azure Backup med reserverad kapacitet. Du får rabatt när du binder dig till en reservation på antingen ett år eller tre år.
Arkivnivån i Azure Storage är en offlinenivå som är optimerad för lagring av blobdata som sällan används. Arkivnivån erbjuder de lägsta lagringskostnaderna men högre kostnader för datahämtning och svarstid jämfört med de frekventa och lågfrekventa onlinenivåerna.
Överväg att använda zon-till-zon-haveriberedskap för virtuella datorer för att återställa från platsfel samtidigt som du minskar tillgänglighetens komplexitet med hjälp av zonredundanta tjänster. Det kan finnas kostnadsfördelar med minskad driftskomplexitet.
Välj rätt faktureringsmodell. Utvärdera om åtagandebaserade modeller för databehandling optimerar kostnaderna baserat på arbetsbelastningens affärsbehov. Tänk på följande Azure alternativ:
-
Azure reservationer: Förskottsbetala för förutsägbara arbetsbelastningar för att minska kostnaderna jämfört med förbrukningsbaserad prissättning.
Important
Köp reserverade instanser för att minska Azure kostnader för arbetsbelastningar som har stabil användning. Hantera användning för att se till att du inte betalar för fler resurser än du använder. Håll reserverade instanser enkla och håll hanteringskostnaderna låga för att minska kostnaderna.
- Sparplan: Om du åtar dig att spendera ett fast timbelopp på beräkningstjänster i ett eller tre år kan den här planen minska kostnaderna.
- Azure Hybrid Benefit: Spara när du migrerar dina lokala virtuella datorer till Azure.
-
Azure reservationer: Förskottsbetala för förutsägbara arbetsbelastningar för att minska kostnaderna jämfört med förbrukningsbaserad prissättning.
Övervaka användning. Övervaka användningsmönster kontinuerligt och identifiera oanvända eller underutnyttjade virtuella datorer. För dessa instanser stänger du av virtuella datorinstanser när de inte används. Övervakning är en viktig metod för driftskvalitet. Mer information finns i rekommendationerna i Operational Excellence.
Leta efter sätt att optimera. Vissa strategier omfattar att välja den mest kostnadseffektiva metoden mellan att öka resurser i ett befintligt system eller skala upp och lägga till fler instanser av systemet eller skala ut. Du kan avlasta efterfrågan genom att distribuera den till andra resurser, eller så kan du minska efterfrågan genom att implementera prioritetsköer, gateway-avlastning, buffring och hastighetsbegränsning. Mer information finns i rekommendationerna i Prestandaeffektivitet.
Konfigurationsrekommendationer
| Recommendation | Benefit |
|---|---|
| (Virtuella datorer, skalningsuppsättning) Välj rätt VM-planstorlek och SKU. Identifiera de bästa VM-storlekarna för din arbetsbelastning. Använd VM-väljaren för att identifiera den bästa virtuella datorn för din arbetsbelastning. Se prissättningen Windows och Linux. För arbetsbelastningar som mycket parallella batchbearbetningsjobb som kan tolerera vissa avbrott bör du överväga att använda Azure Spot Virtual Machines. Virtuella datorer med oanvänd kapacitet är bra för att experimentera, utveckla och testa storskaliga lösningar. |
SKU:er prissätts enligt de funktioner som de erbjuder. Om du inte behöver avancerade funktioner ska du inte spendera för mycket på SKU:er. Spot-virtuella maskiner drar nytta av överskottskapaciteten i Azure till en lägre kostnad. |
| (Skalningsuppsättning) Blanda vanliga virtuella datorer med spot-instanser. Med flexibel orkestrering kan du distribuera spot-virtuella datorer baserat på en angiven procentandel. Använd Platsplaceringspoäng för att fatta datadrivna beslut om att välja de bästa regionerna och VM-storlekarna för att maximera tillgängligheten och minska kapacitetsrelaterade fel. |
Minska kostnaderna för beräkningsinfrastrukturen genom att tillämpa de djupa rabatterna för virtuella datorer med oanvänd kapacitet. Bedömning av Spot Placement Score kan hjälpa till att förbättra den övergripande framgångsgraden för användning av Spot-Virtual Machines. |
| (Skalningsuppsättning) Minska antalet virtuella datorinstanser när efterfrågan minskar. Ange en inskalningsprincip baserat på kriterier. |
Skalning i resurser när de inte används minskar antalet virtuella datorer som körs i skalningsuppsättningen, vilket sparar kostnader. |
| (Virtuella datorer) Stoppa virtuella datorer under icke-kontorstid. Du kan använda funktionen Azure Automation Start/Stop och konfigurera den efter dina affärsbehov. | Funktionen Starta/stoppa är ett automatiseringsalternativ till låg kostnad som avsevärt kan påverka dina kostnader för inaktiva instanser. |
| (VM:er) Frigör processorresurser med hjälp av Azure Boost. | När du avlastar serverdelsvirtualiseringsprocesser frigörs CPU-resurser för de virtuella gästdatorerna. Den här optimeringen ger bättre prestanda. Azure Boost är bara tillgängligt på specifika virtuella datorer, så se till att du även välja VM-storlekar som har Azure Boost aktiverat. |
| (Virtuella datorer, skalningsuppsättning) Dra nytta av licensmobilitet med hjälp av Azure Hybrid Benefit. Virtuella datorer har ett licensalternativ som gör att du kan använda dina egna lokala Windows Server OS-licenser till Azure. Azure Hybrid Benefit kan du också ta med vissa Linux-prenumerationer till Azure. |
Du kan maximera dina lokala licenser samtidigt som du får fördelarna med molnet. |
Azure Batch konsoliderade Low-Priority och Spot-VMar till en enhetlig Spot-VM-infrastruktur, vilket förenklar prismodellen för avbrottbar beräkningskapacitet. Om din arbetsbelastning använder Batch-pooler med Low-Priority virtuella datorer är migreringen automatisk och kräver inga kodändringar. Kontrollera att Spot-avvisningshanteringen är på plats eftersom avvisningsfrekvenser kan skilja sig från den tidigare Low-Priority-modellen. Mer information finns i Använd Spot-VMsar med Batch-arbetsbelastningar.
Operativ skicklighet
Operational Excellence fokuserar främst på procedurer för utvecklingsmetoder, observerbarhet och versionshantering.
Designprinciperna för Operational Excellence tillhandahåller en övergripande designstrategi för att uppnå dessa mål när det gäller arbetsbelastningens driftskrav.
Checklista för arbetsbelastningsdesign
Starta din designstrategi baserat på checklistan designgranskning för Operational Excellence för att definiera processer för observerbarhet, testning och distribution som rör Virtual Machines och skalningsuppsättningar.
Övervaka de virtuella datorinstanserna. Samla in loggar och mått från VM-instanser för att övervaka resursanvändningen och mäta hälsotillståndet för instanserna. Några vanliga mått är CPU-användning, antal begäranden och svarstid för indata/utdata (I/O). Konfigurera Azure Monitor alerts som ska meddelas om problem och identifiera konfigurationsändringar i din miljö.
Övervaka hälsotillståndet för de virtuella datorerna och deras beroenden.
Distribuera övervakningskomponenter för att samla in loggar och mått som ger en omfattande vy över dina virtuella datorer, gästoperativsystem och startdiagnostikdata. Virtual Machine Scale Sets sammanställer telemetri, vilket gör att du kan visa hälsomått på en enskild virtuell maskin-nivå eller som en helhet. Använd Azure Monitor för att visa dessa data för varje virtuell dator eller aggregerade över flera virtuella datorer. Mer information finns i Rekommendationer för övervakningsagenter.
Dra nytta av nätverkskomponenter som kontrollerar hälsotillståndet för virtuella datorer. Till exempel pingar Azure Load Balancer virtuella datorer för att identifiera felaktiga virtuella datorer och omdirigera trafik därefter.
Konfigurera Azure Monitor aviseringsregler. Fastställa viktiga villkor i dina övervakningsdata för att identifiera och åtgärda problem innan de påverkar systemet.
Skapa en underhållsplan som innehåller regelbunden systemkorrigering som en del av rutinåtgärder. Inkludera nödsituationsprocesser som gör det möjligt att omedelbart korrigera program. Du kan ha anpassade processer för att hantera korrigeringar eller delvis delegera uppgiften till Azure. Azure innehåller funktioner för individuellt VM-underhåll. Du kan konfigurera underhållsperioder för att minimera störningar under uppdateringar. Under plattformsuppdateringar är överväganden för feldomäner nyckeln till motståndskraft. Vi rekommenderar att du distribuerar minst två instanser i en zon. Två virtuella datorer per zon garanterar minst en virtuell dator i varje zon eftersom endast en feldomän i en zon uppdateras i taget. För tre zoner etablerar du därför minst sex instanser.
Automatisera processer för bootstrapping, köra skript och konfigurera virtuella datorer. Du kan automatisera processer med hjälp av tillägg eller anpassade skript. Vi rekommenderar följande alternativ:
Key Vault VM-tillägget uppdaterar automatiskt certifikat som lagras i en key vault.
Tillägget Azure anpassat skript för Windows och Linux laddar ned och kör skript på Virtual Machines. Använd det här tillägget för konfiguration efter distribution, programvaruinstallation eller någon annan konfigurations- eller hanteringsuppgift.
Använd cloud-init för att konfigurera startmiljön för Linux-baserade virtuella datorer.
Ha processer för att installera automatiska uppdateringar. Överväg att använda automatisk vm-gästkorrigering för en snabb distribution av kritiska korrigeringar och säkerhetskorrigeringar. Använd Azure uppdateringshanterare för att hantera os-uppdateringar för dina Windows och virtuella Linux-datorer i Azure.
Skapa en testmiljö som matchar produktionsmiljön för att testa uppdateringar och ändringar innan du distribuerar dem till produktion. Ha processer på plats för att testa säkerhetsuppdateringar, prestandabaslinjer och tillförlitlighetsfel. Dra nytta av Azure Chaos Studio felbibliotek för att mata in och simulera feltillstånd. Mer information finns i Azure Chaos Studio fel- och åtgärdsbibliotek.
Hantera din kvot. Planera vilken kvotnivå din arbetsbelastning kräver och granska den nivån regelbundet när arbetsbelastningen utvecklas. Om du behöver öka eller minska din kvot kan du begära ändringarna tidigt.
Konfigurationsrekommendationer
| Recommendation | Benefit |
|---|---|
| (Skalningsuppsättning) Virtual Machine Scale Sets i Flexibelt orkestreringsläge kan förenkla distributionen och hanteringen av arbetsbelastningen. Du kan till exempel enkelt hantera självåterställning med hjälp av automatiska reparationer. | Flexibel orkestrering kan hantera vm-instanser i stor skala. Hantering av enskilda virtuella datorer ger driftsöverhead. När du till exempel tar bort vm-instanser kan du ta bort eller behålla vm-associerade diskar och nätverkskort. Virtuella datorinstanser kan spridas över flera feldomäner så att uppdateringsåtgärder inte stör tjänsten. Du kan använda alla standard-API:er för virtuella datorer när du hanterar flexibla orkestreringsinstanser. Både Linux och Windows virtuella datorer kan finnas i samma flexibla skalningsuppsättning, vilket förenklar hanteringen av heterogena arbetsbelastningar. |
| (Skalningsuppsättning) Om du kopplar eller kopplar från en enskild virtuell dator till eller från Virtual Machine Scale Sets i Flexibelt orkestreringsläge får du flexibiliteten att svara på operativa behov utan att distribuera infrastrukturen igen. | Genom att ansluta virtuella datorer kan du ta med befintliga virtuella datorer under hanteringen av en VMSS Flex, vilket ger centraliserad kontroll över uppdateringar, skalning och övervakning. Genom att koppla bort virtuella datorer från VMSS Flex kan du isolera en virtuell dator för felsökning eller särskild konfiguration utan att störa resten av skalningsuppsättningen. |
| (Skalningsset) Håll dina virtuella datorer uppdaterade genom att ställa in en uppgraderingspolicy. Vi rekommenderar löpande uppgraderingar. Men om du behöver detaljerad kontroll väljer du att uppgradera manuellt. För flexibel orkestrering kan du använda Azure uppdateringshanterare. |
Säkerhet är den främsta orsaken till uppgraderingar. Säkerhetsgarantier för instanserna bör inte förfalla över tid. Löpande uppgraderingar görs i batchar. Den här metoden säkerställer att alla instanser inte är nere samtidigt. |
| (Virtuella datorer, skalningsuppsättning) Distribuera virtuella datorprogram automatiskt från beräkningsgalleriet Azure genom att definiera programmen i profile. | De virtuella datorerna i skalningsuppsättningen skapas och de angivna apparna är förinstallerade, vilket gör hanteringen enklare. |
|
Installera fördefinierade programvarukomponenter som tillägg som en del av bootstrapping. Azure stöder många tillägg som kan användas för att konfigurera, övervaka, skydda och tillhandahålla verktygsprogram för dina virtuella datorer. Aktivera automatiska uppgraderingar av tillägg. |
Tillägg kan förenkla programvaruinstallationen i stor skala utan att du behöver installera, konfigurera eller uppgradera den manuellt på varje virtuell dator. |
| (Virtuella datorer, skalningsuppsättning) Övervaka och mäta hälsotillståndet för de virtuella datorinstanserna. Distribuera monitoragenttillägget till dina virtuella datorer för att samla in övervakningsdata från gästoperativsystemet med os-specifika regler för datainsamling. Aktivera VM-insikter för att övervaka hälsa och prestanda och för att visa trender från insamlade data. Använd startdiagnostik för att hämta information när virtuella datorer startas. Startdiagnostik diagnostiserar även startfel. |
Övervakning av data är kärnan i incidentlösningen. En omfattande övervakningsstack innehåller information om hur de virtuella datorerna presterar och deras hälsa. Genom att kontinuerligt övervaka instanserna kan du vara redo för eller förhindra fel som prestandaöverbelastning och tillförlitlighetsproblem. |
Prestandaeffektivitet
Prestandaeffektivitet handlar om upprätthålla användarupplevelsen även när belastningen ökar genom att hantera kapaciteten. Strategin omfattar skalning av resurser, identifiering och optimering av potentiella flaskhalsar och optimering för högsta prestanda.
Designprinciperna för prestandaeffektivitet tillhandahåller en designstrategi på hög nivå för att uppnå dessa kapacitetsmål med hänsyn till den förväntade användningen.
Checklista för arbetsbelastningsdesign
Påbörja din designstrategi baserad på designgranskningschecklista för prestanda och effektivitet. Definiera en baslinje som baseras på viktiga prestandaindikatorer för Virtual Machines och skalningsuppsättningar.
Definiera prestandamål. Identifiera VM-mått för att spåra och mäta mot prestandaindikatorer som svarstid, CPU-användning och minnesanvändning, samt arbetsbelastningsmått som transaktioner per sekund, samtidiga användare samt tillgänglighet och hälsa.
Ta hänsyn till prestandaprofilen för virtuella datorer, skalningsuppsättningar och diskkonfiguration i kapacitetsplaneringen. Varje SKU har en annan profil av minne och CPU och fungerar olika beroende på typ av arbetsbelastning. Utför piloter och konceptbevis för att förstå prestandabeteendet under den specifika arbetsbelastningen.
Prestandajustering för virtuella datorer. Dra nytta av prestandaoptimering och förbättra funktioner som krävs av arbetsbelastningen. Använd till exempel lokalt anslutna NvMe (Non-Volatile Memory Express) för användningsfall med höga prestanda och accelererat nätverk, och använd Premium SSD v2 för bättre prestanda och skalbarhet.
Ta hänsyn till de beroende tjänsterna. Arbetsbelastningsberoenden, till exempel cachelagring, nätverkstrafik och nätverk för innehållsleverans, som interagerar med de virtuella datorerna kan påverka prestanda. Tänk också på geografisk fördelning, till exempel zoner och regioner, vilket kan ge svarstid.
Samla in prestanda data. Följ metodtipsen för operational excellence för övervakning och distribuera lämpliga tillägg för att visa mått som spårar mot prestandaindikatorer.
Närhetsplaceringsgrupper. Använd närhetsplaceringsgrupper i arbetsbelastningar där låg svarstid krävs för att säkerställa att virtuella datorer finns fysiskt nära varandra.
Konfigurationsrekommendationer
| Recommendation | Benefit |
|---|---|
| (Virtuella datorer, skalningsuppsättning) Välj SKU:er för virtuella datorer som överensstämmer med kapacitetsplaneringen. Ha en god förståelse för dina arbetsbelastningskrav, inklusive antalet kärnor, minne, lagring och nätverksbandbredd så att du kan filtrera bort olämpliga SKU:er. |
Att rightsisera dina virtuella datorer är ett grundläggande beslut som avsevärt påverkar arbetsbelastningens prestanda. Utan rätt antal virtuella datorer med rätt storlek kan det uppstå prestandaproblem med virtuella datorer som regelbundet har hög kapacitet eller som medför onödiga kostnader genom att använda outnyttjad kapacitet. |
| (Virtuella datorer, skalningsuppsättning) Distribuera virtuella datorer med svarstidskänsliga arbetsbelastningar i närhetsplaceringsgrupper. | Närhetsplaceringsgrupper minskar det fysiska avståndet mellan Azure beräkningsresurser, vilket kan förbättra prestanda och minska nätverksfördröjningen mellan fristående virtuella datorer, virtuella datorer i flera tillgänglighetsuppsättningar eller virtuella datorer i flera skalningsuppsättningar. |
| (Virtuella datorer) Överväg att aktivera accelererat nätverk. | Det möjliggör enkel rot-I/O-virtualisering (SR-IOV) till en virtuell dator, vilket avsevärt förbättrar nätverksprestandan. |
| (Virtuella datorer, skalningsuppsättning) Ange regler för autoskalning för att öka eller minska antalet vm-instanser i din skalningsuppsättning baserat på efterfrågan. | Om dina programkrav ökar, ökar även belastningen på de virtuella datorinstanserna i din skalningsuppsättning. Regler för autoskalning säkerställer att du har tillräckligt med resurser för att kunna möta efterfrågan. |
Azure-policyer
Azure innehåller en omfattande uppsättning inbyggda principer som rör Virtual Machines och dess beroenden. Några av föregående rekommendationer kan granskas via Azure Policy. Du kan till exempel kontrollera om:
Kryptering är aktiverat på värdnivå. Se till att kryptering är aktiverat på värdnivå för att ge extra säkerhet för dina VM-data.
Tillägg mot skadlig kod distribueras. Kontrollera att tillägg mot skadlig kod distribueras på virtuella datorer som kör Windows Server och konfigureras för automatiska uppdateringar för att säkerställa kontinuerligt skydd.
Automatisk patchning av operativsystemavbildningar är aktiverad. Kontrollera att automatisk uppdatering av OS-avbildningar är aktiverad i skalningsuppsättningar för att säkerställa att dina virtuella datorer håller sig uppdaterade med säkerhetskorrigeringar.
Endast godkända VM-tillägg installeras. Kontrollera att endast godkända tillägg är installerade på dina virtuella datorer. Den här metoden hjälper till att minimera risken för säkerhetsrisker.
Övervakare och beroendeagenter är aktiverade. Se till att övervakaragenten och beroendeagenterna är aktiverade på alla nya virtuella datorer för att underlätta övervakning och beroendehantering.
Endast tillåtna VM-SKU:er distribueras. Bekräfta att endast godkända VM-SKU:er har distribuerats. Den här principen säkerställer att dina kostnadsbegränsningar och resurskrav följs.
Privata slutpunkter används för diskåtkomst. Se till att privata slutpunkter används för säker åtkomst till diskresurser. Den här metoden hjälper till att förhindra exponering för offentliga nätverk.
Sårbarhetsidentifiering är aktiverat. Aktivera sårbarhetsidentifiering för dina virtuella datorer. För Windows datorer konfigurerar du regler som dagliga genomsökningar med Microsoft Defender Antivirus för att identifiera potentiella hot.
För en omfattande styrning, granska inbyggda Azure Policy-definitioner för virtuella maskiner och andra policyer som kan påverka säkerheten i beräkningslagret.
Azure Advisor rekommendationer
Azure Advisor är en anpassad molnkonsult som hjälper dig att följa bästa praxis för att optimera dina Azure distributioner.
Mer information finns i Azure Advisor.
Exempelarkitektur
Grundläggande arkitektur som visar de viktigaste rekommendationerna: Virtual Machines baslinjearkitektur.
Relaterat innehåll
Tänk på följande artiklar som resurser som visar de rekommendationer som markeras i den här artikeln.
- Använd följande referensarkitekturer som exempel på hur du kan använda den här artikelns vägledning för en arbetsbelastning:
- Arkitekturer för en enskild virtuell dator: Linux VM och Windows VM
- Grundläggande arkitektur som fokuserar på infrastrukturrekommendationer: Virtual Machines baslinjearkitektur
- Skapa implementeringsexpertis med hjälp av följande produktdokumentation: