Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um einen virtuellen Computer (VM) in Azure bereitzustellen, benötigen Sie mehr Komponenten als die VM selbst. Eine vollständige Bereitstellung umfasst Netzwerk- und Speicherressourcen. In diesem Artikel werden bewährte Methoden zum Ausführen einer sicheren Linux-VM auf Azure beschrieben.
Aufbau
Laden Sie eine Visio-Datei dieser Architektur herunter.
Arbeitsablauf
Dieses Beispiel zeigt eine grundlegende Bereitstellung, die die erforderlichen Komponenten für einen einzelnen virtuellen Computer verwendet. Der virtuelle Computer kann Workloads ausführen und das öffentliche Internet erreichen und gleichzeitig die direkte Gefährdung externer Bedrohungen vermeiden. In diesem Architekturmodell:
Workloads auf dem virtuellen Computer haben keine direkte Internetexposition. Der Zugriff ist auf Ressourcen innerhalb desselben virtuellen Netzwerks oder eines peerierten virtuellen Netzwerks beschränkt, z. B. in einer Hub-and-Spoke-Konfiguration.
Sie verwalten den virtuellen Computer mithilfe von Azure Bastion über Secure Shell (SSH). Es gibt keinen direkten Zugriff vom öffentlichen Internet auf die VM für die Verwaltung.
Das NAT-Gateway (Network Address Translation) und die zugehörige öffentliche IP-Adresse bieten ausgehenden externen Internetzugriff.
Komponenten
Diese Architektur verwendet die folgenden Komponenten.
Ressourcengruppe
Eine ressource-Gruppe ist ein logischer Container, der verwandte Azure Ressourcen enthält. Mithilfe von Ressourcengruppen können Sie verwandte Ressourcen zusammen bereitstellen, überwachen und löschen und deren Kosten als Einheit nachverfolgen.
Im Allgemeinen sollten Sie Ressourcen anhand ihres gemeinsamen Lebenszyklus und ihrer Eigentümerschaft gruppieren. Verwenden Sie konsistente, beschreibende Namen für Ressourcen, damit sie leichter zu erkennen und zu verstehen sind. Weitere Informationen finden Sie unter Define your naming convention.
Virtueller Computer
Sie können einen virtuellen Computer aus einer Liste veröffentlichter Images, eines benutzerdefinierten verwalteten Images oder einer virtuellen Festplatte (VHD) bereitstellen, die in Azure Blob Storage hochgeladen wurde. Azure unterstützt beliebte Linux-Distributionen, einschließlich Debian, Red Hat Enterprise Linux (RHEL) und Ubuntu. Weitere Informationen finden Sie unter "Unterstützte Linux-Distributionen".
Azure bietet viele verschiedene VM-Größen. Wenn Sie eine vorhandene Workload in Azure verschieben, beginnen Sie mit der VM-Größe, die ihren lokalen Servern am ehesten entspricht. Messen Sie nach der Bereitstellung des virtuellen Computers die Leistung Ihrer tatsächlichen Workload im Hinblick auf CPU-, Arbeitsspeicher- und Datenträgereingabeausgabevorgänge pro Sekunde (IOPS), und passen Sie die Größe nach Bedarf an.
Wählen Sie eine Azure Region aus, die Ihren internen Benutzern oder Kunden am nächsten kommt. Es sind nicht alle VM-Größen in allen Regionen verfügbar. Weitere Informationen finden Sie unter Azure-Geografien. Führen Sie für eine Liste der in einer bestimmten Region verfügbaren VM-Größen den folgenden Befehl aus dem Azure CLI aus:
az vm list-sizes --location <location>
Informationen zum Auswählen eines veröffentlichten VM-Images finden Sie unter "Suchen Azure Marketplace Imageinformationen".
Datenträger
Für die beste Leistung der Datenträgereingabe (E/A) empfehlen wir Premium-SSDs, die Daten auf Festkörperlaufwerken (SSDs) speichern. Die Kapazität des bereitgestellten Datenträgers bestimmt Kosten, IOPS und Durchsatz (Datenübertragungsrate). Berücksichtigen Sie alle drei Faktoren, wenn Sie eine Datenträgergröße auswählen. Premium-SSDs umfassen Bursting ohne zusätzliche Kosten, das Ihnen hilft, Nachfragespitzen ohne Überbereitstellung zu bewältigen, und in Verbindung mit einem Verständnis der Workloadmuster die Kosten ungenutzter Kapazität senkt.
Hinweis
Premium SSD v2- und Ultra-Datenträger können nur als Datenfestplatten verwendet werden. Sie werden für Betriebssystemdatenträger (Os) nicht unterstützt.
Verwaltete Datenträger führen die Speicherverarbeitung für Sie durch, sodass die Datenträgerverwaltung vereinfacht wird. Verwaltete Festplatten benötigen kein Speicherkonto. Sie geben die Größe und den Typ des Datenträgers an. Dieser wird dann als Ressource mit Hochverfügbarkeit bereitgestellt. Verwaltete Datenträger reduzieren auch die Kosten, indem Sie die Leistung bereitstellen, die Sie benötigen, ohne überprovisionieren zu müssen, was Ihnen hilft, die Zahlung für nicht genutzte bereitgestellte Kapazität zu vermeiden.
Standardmäßig ist der Betriebssystemdatenträger ein verwalteter Datenträger, der in Azure Disk Storage gespeichert ist, sodass er auch dann beibehalten wird, wenn der Hostcomputer deaktiviert ist. Verwenden Sie für zustandslose Workloads, bei denen schnelle Bereitstellung und keine Betriebssystempersistenz erwünscht sind, kurzlebige Betriebssystemdatenträger. Diese Datenträger platzieren das Betriebssystemimage auf dem lokalen Speicher des VM-Hosts anstelle von Remote-Azure Storage, wodurch die Leselatenz reduziert wird, das Reimaging beschleunigt und die kostenverwalteten Datenträger beseitigt werden. Alle Daten auf einem kurzlebigen Betriebssystemdatenträger gehen jedoch beim Stoppen (Deallocate), bei der Neuabbildung oder bei Wartungsveranstaltungen des Hosts verloren. Kurzlebige Betriebssystemdatenträger unterstützen keine Momentaufnahmen oder Azure Backup. Verwenden Sie flüchtige Betriebssystemdatenträger nur, wenn die virtuellen Maschinen vollständig automatisiert erneut bereitgestellt werden können.
Standardmäßig richten viele Linux-Images keinen Swapspace ein. Wenn Ihre Workload eine Auslagerungsdatei erfordert, richten Sie diese bitte mithilfe von cloud-init auf der temporären Festplatte ein und nicht auf der Betriebssystemfestplatte oder einer Datenfestplatte.
Es wird empfohlen, einen oder mehrere Datenträger für Anwendungsdaten zu erstellen. Datenträger sind persistente verwaltete Datenträger, die vom Speicher gesichert werden.
Wenn Sie einen Datenträger erstellen, ist er unformatiert. Melden Sie sich beim virtuellen Computer an, um den Datenträger zu formatieren. In der Linux-Shell werden Datenträger als /dev/sdc, /dev/sddund spätere Buchstaben in der Serie angezeigt. Sie können lsblk ausführen, um die Blockgeräte einschließlich der Datenträger aufzulisten. Um einen Datenträger für Daten zu verwenden, erstellen Sie eine Partition und ein Dateisystem und binden den Datenträger ein. Beispiel:
# Create a partition.
sudo fdisk /dev/sdc # Enter 'n' to partition, 'w' to write the change.
# Create a file system.
sudo mkfs -t ext3 /dev/sdc1
# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1
Wenn Sie einen Datenträger für Daten hinzufügen, wird dem Datenträger eine logische Einheitennummer (Logical Unit Number, LUN) zugewiesen. Sie können auch die LUN-ID angeben, wenn Sie z. B. einen Datenträger ersetzen und dieselbe LUN-ID beibehalten möchten oder über eine Anwendung verfügen, die nach einer bestimmten LUN-ID sucht. LUN-IDs müssen jedoch für jeden Datenträger eindeutig sein.
Bei Premium-Speicherdatenträgern sollten Sie den E/A-Zeitplan ändern, um die Leistung auf SSDs zu optimieren. Eine häufige Empfehlung besteht darin, den No Operation (NOOP)-Scheduler für SSDs zu verwenden. Sie sollten jedoch ein Tool wie iostat verwenden, um die Datenträger-E/A-Leistung für Ihre Workload zu überwachen.
Viele VMs werden mit einem temporären Datenträger erstellt, der auf einem physischen Laufwerk auf dem Hostcomputer gespeichert ist. Sie wird nicht im Speicher gespeichert und kann während Neustarts und anderen VM-Lebenszyklusereignissen gelöscht werden. Verwenden Sie diesen Datenträger nur für temporäre Daten, wie Seiten- oder Auslagerungsdateien. Für Linux-VMs ist der temporäre Datenträger /dev/disk/azure/resource-part1 und wird an /mnt/resource oder /mnt bereitgestellt.
Netzwerk
Die Netzwerkkomponenten enthalten die folgenden Ressourcen:
Virtuelles Netzwerk: Jede VM wird in einem virtuellen Netzwerk bereitgestellt, das in Subnetze unterteilt wird.
Netzwerkschnittstellenkarte (NIC): Die NIC verbindet die VM mit dem virtuellen Netzwerk und verarbeitet den gesamten eingehenden und ausgehenden Datenverkehr. Jede VM-Größe definiert eine maximale Anzahl von NICs.
Öffentliche IP-Adresse: Eine öffentliche IP-Adresse kann verwendet werden, um über SSH von außerhalb Azure mit dem virtuellen Computer zu kommunizieren. Diese Option wird jedoch abgeraten, da es sich um ein potenzielles Sicherheitsrisiko handelt.
Warning
Vermeiden Sie das direkte Anfügen einer öffentlichen IP-Adresse an einen virtuellen Computer. Führen Sie dies nur unter extremen Umständen aus, und schließen Sie andere Sicherheitsmaßnahmen ein, z. B. die Verwendung von Netzwerksicherheitsgruppen (NSGs) zum Filtern des Datenverkehrs.
Verwenden Sie für den Verwaltungszugriff auf einen virtuellen Computer Azure Bastion für browserbasierten SSH-Zugriff, oder stellen Sie eine private Verbindung über ein VPN oder Azure ExpressRoute her.
Die öffentliche IP-Adresse kann dynamisch oder statisch sein. Die Standardeinstellung ist „Dynamisch“. Reservieren Sie eine statische IP-Adresse , wenn Sie eine feste IP-Adresse benötigen, die sich nicht ändert, z. B. wenn Sie einen DNS-A-Eintrag erstellen oder die IP-Adresse einer sicheren Liste hinzufügen müssen.
Sie können auch einen vollständig qualifizierten Domänennamen (FQDN) für die IP-Adresse erstellen. Sie können anschließend einen CNAME-Eintrag in DNS registrieren, der auf den FQDN verweist. Weitere Informationen finden Sie unter Erstellen eines vollqualifizierten Domänennamens für einen virtuellen Computer.
NSG: Verwenden Sie NSGs , um netzwerkdatenverkehr zu VMs und Subnetzen zuzulassen oder zu verweigern. Ordnen Sie sie den Subnetzen oder einzelnen NICs zu, die an VMs angefügt sind.
Alle NSGs enthalten eine Reihe von Standardsicherheitsregeln, einschließlich einer Regel, die alle eingehenden Internetdatenverkehr blockiert. Sie können die Standardregeln nicht löschen, aber Sie können sie mit anderen Regeln überschreiben. Sie können z. B. Regeln erstellen, die eingehenden Internetdatenverkehr zu bestimmten Ports zulassen, z. B. Port 443 für HTTPS.
Azure NAT-Gateway (Network Address Translation):Azure NAT Gateway ermöglicht es allen Instanzen in einem privaten Subnetz, ausgehende Verbindungen mit dem Internet herzustellen und gleichzeitig vollständig privat zu bleiben. Es können nur Pakete über ein NAT-Gateway weitergeleitet werden, die als Antwortpakete an eine ausgehende Verbindung eingehen. Nicht angeforderte eingehende Verbindungen aus dem Internet werden nicht zugelassen.
Hinweis
Um die Standardsicherheit zu verbessern, wird der voreingestellte ausgehende Internetzugriff für alle neuen virtuellen Netzwerke nicht mehr empfohlen. Sie müssen die ausgehende Internetverbindung explizit konfigurieren, indem Sie andere Ressourcen wie NAT-Gateway, Azure Standardlastenausgleichsgeräte oder Firewalls verwenden. Weitere Informationen finden Sie unter Default Outbound Access in Azure.
Azure Bastion:Azure Bastion ist eine vollständig verwaltete Plattform als Dienstlösung (PaaS), die sicheren Zugriff auf VMs über private IP-Adressen ermöglicht. Bei dieser Konfiguration benötigen VMs keine öffentliche IP-Adresse, die sie für das Internet verfügbar macht, wodurch ihr Sicherheitsstatus verbessert wird. Azure Bastion bietet sichere Remotedesktop Protocol (RDP) oder SSH-Konnektivität mit Ihren VMs direkt über Transport Layer Security (TLS) mithilfe verschiedener Methoden, einschließlich des Azure-Portals oder systemeigener SSH- oder RDP-Clients.
Vorgänge
In diesem Abschnitt werden wichtige Betriebspraktiken für die Verwaltung einer Linux-VM in Azure behandelt.
SSH: Bevor Sie eine Linux-VM erstellen, generieren Sie ein 2048-Bit-RSA public-privates Schlüsselpaar. Verwenden Sie die öffentliche Schlüsseldatei bei der Erstellung der VM. Weitere Informationen finden Sie unter Erstellen und Verwenden eines SSH-Schlüsselpaars für öffentlich-private Schlüssel.
Diagnose: Aktivieren Sie Überwachungs- und Diagnosefunktionen, einschließlich grundlegender Integritätsmetriken, Protokolle der Diagnoseinfrastruktur und Startdiagnose. Die Startdiagnose kann Ihnen helfen, Startfehler zu diagnostizieren, wenn ihre VM in einen nicht bootfähigen Zustand gelangt. Speichern Von Diagnoseprotokollen in einem Speicherkonto. Ein lokal redundantes Standardspeicherkonto (LRS) reicht für Diagnoseprotokolle aus. Weitere Informationen finden Sie unter Bewährte Methoden für Überwachung und Diagnose.
Verfügbarkeit:Geplante Wartung oder ungeplante Ausfallzeiten können sich auf Ihren virtuellen Computer auswirken. Sie können VM-Neustartprotokolle verwenden, um zu ermitteln, ob geplante Wartung einen virtuellen Computerneustart verursacht hat. Um eine höhere Verfügbarkeit zu erzielen, stellen Sie mehrere virtuelle Computer über Verfügbarkeitszonen innerhalb einer Region bereit. Diese Bereitstellung gewährleistet ein höheres Service-Level-Agreement (SLA). Wenn Verfügbarkeitszonen nicht unterstützt werden, können Verfügbarkeitssätze den Schutz vor Hostfehlern oder Hostupdates bieten. Verfügbarkeitszonen sind jedoch nach Möglichkeit die empfohlene Option.
Sicherungen: Um vor versehentlichem Datenverlust zu schützen, verwenden Sie den Azure Backup Dienst, um Ihre virtuellen Computer zum Speichern zu sichern. Je nach Region können Sie georedundanten Speicher oder zonenredundanten Speicher für Sicherungen verwenden. Azure Backup bietet anwendungskonsensige Sicherungen. Verwenden Sie für leistungssensible Workloads oder spezielle Linux-Distributionen, die keine herkömmlichen Backup-Agenten unterstützen, die Funktion zur agentlosen, absturzkonsistenten Multi-Disk-Sicherung, um den Backup-Schutz zu automatisieren, ohne die Anwendungsleistung zu beeinträchtigen.
Beenden eines virtuellen Computers: Azure unterscheidet zwischen beendeten und deallocated-Zuständen. Ihnen werden nur Gebühren berechnet, wenn der VM-Status angehalten wird, aber nicht, wenn die Zuordnung für den virtuellen Computer aufgehoben wurde. Im Azure-Portal wird die Schaltfläche Stop verwendet, um die VM freizugeben. Wenn das Herunterfahren des VMs über das Betriebssystem erfolgt, während Sie angemeldet sind, wird der virtuelle Computer zwar beendet, aber die Zuordnung wird nicht aufgehoben. Es fallen also weiter Kosten an.
Löschen eines virtuellen Computers: Wenn Sie einen virtuellen Computer löschen, können Sie die zugehörigen Datenträger löschen oder beibehalten, wodurch Sie die Daten aufbewahren können. Sie zahlen jedoch weiterhin für die Datenträger. Sie können verwaltete Datenträger wie jede andere Azure Ressource löschen. Zur Verhinderung des versehentlichen Löschens verwenden Sie eine Ressourcensperre, um die gesamte Ressourcengruppe oder einzelne Ressourcen, z. B. einen virtuellen Computer, zu sperren.
Alternatives
Azure Virtual Machine Scale Sets bieten die Möglichkeit, Workloads über Knoten zu verteilen. Arbeitsauslastungen, die für Geschäftsvorgänge wichtig sind, sollten niemals von einem einzelnen virtuellen Computer abhängen. Sie können VM-Instanzen je nach Bedarf automatisch hinzufügen oder entfernen und bei höherem Datenverkehr horizontal hochskalieren bzw. bei geringerem Datenverkehr herunterskalieren, um die Kosten zu minimieren.
Azure Load Balancer verteilt den Datenverkehr zwischen mehreren VMs oder einer VM-Skalierungsgruppe. Sie kann auch als Alternative zu einem NAT-Gateway verwendet werden, um den Zugriff auf eine Workload über das Internet zu ermöglichen und gleichzeitig ausgehenden Zugriff zu unterstützen.
Das Anwendungsgateway bietet Lastenausgleichsfunktionen für die Azure Load Balancer für HTTP/HTTPS-Workloads innerhalb einer Azure Region.
Eine Bereitstellung auf Unternehmensebene finden Sie unter Azure Virtual Machines Basisarchitektur in einer Azure Zielzone.
Details zum Szenario
Das vorherige Diagramm zeigt eine grundlegende Bereitstellung einer einzelnen VM in einem virtuellen Netzwerk. Dieses Szenario ist hilfreich für die Bereitstellung einer nicht kritischen Arbeitsauslastung für nur interne Benutzer.
Potenzielle Anwendungsfälle
Diese Architektur eignet sich für eine einfache Anwendung, die keine öffentliche Internetexposition benötigt und gelegentliche Ausfallzeiten tolerieren kann. Ein einfaches internes Berichterstellungstool ist ein typischer Anwendungsfall.
Überlegungen
Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Well-Architected Framework.
Reliability
Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.
In dieser Beispielarchitektur wird eine einzelne VM verwendet, sodass sie eine minimale Zuverlässigkeit bietet. Jedes Problem mit dem virtuellen Computer oder mit dem Host, auf dem er ausgeführt wird, verursacht einen Ausfall und macht gehostete Workloads nicht verfügbar. Stellen Sie für alle Arbeitsauslastungen, die eine höhere Verfügbarkeit benötigen, mehrere virtuelle Computer bereit, die denselben Workload enthalten, und platzieren Sie diese Instanzen hinter einer geeigneten Lastenausgleichslösung. Wenn sie sich innerhalb derselben Region befinden, stellen Sie diese virtuellen Computer über Verfügbarkeitszonen (sofern unterstützt) bereit, und fügen Sie sie dem Back-End eines Azure Load Balancer Standard oder eines Anwendungsgateways hinzu, wenn die Workload HTTP/HTTPS-basiert ist. Diese Architektur ermöglicht es der Workload, verfügbar zu bleiben, wenn ein einzelner virtueller Computer im Back-End heruntergeht.
Skalierungsgruppen für virtuelle Computer sind eine weitere Möglichkeit, die Verwaltung von Arbeitslasten mit mehreren Knoten zu vereinfachen, bei denen die Anzahl der Instanzen je nach verschiedenen Metriken wie CPU- und Arbeitsspeicherauslastung automatisch hoch- oder herunterskaliert werden muss.
Hohe Verfügbarkeit und Notfallwiederherstellung (HA/DR)
Um den Auswirkungsbereich zu reduzieren und die Ausfallsicherheit zu verbessern, stellen Sie die Workload in mehreren Regionen bereit und verwenden Sie den Leitfaden für Azure-Zielzone. Diese Bereitstellung kann als Aktiv-Passiv-Konfiguration ausgelegt sein, mit einem Failover in die sekundäre Region, wenn die primäre Region nicht mehr verfügbar ist, oder als Aktiv-Aktiv-Architektur, bei der beide Regionen Datenverkehr für die Nutzer bedienen.
Ein Beispiel finden Sie unter Multitier-Webanwendung, die für hohe Verfügbarkeit und Notfallwiederherstellung erstellt wurde. Im Beispiel in diesem Artikel werden Azure Site Recovery verwendet, um die Datenträger einzelner VMs in eine sekundäre Region zu replizieren. Sie können Site Recovery verwenden, um für diese VMs ein Failover in die sekundäre Region mit niedrigem Wiederherstellungspunktziel (RPO) und niedriger Wiederherstellungszeit (RTO) durchzuführen.
Stellen Sie sicher, dass Sie Ihre Architektur bewerten, um Ihre HA/DR-Anforderungen für alle Komponenten zu erfüllen, nicht nur die virtuellen Computer. In all diesen Entscheidungen sind Überlegungen wie Netzwerk, Identität und Daten enthalten.
Sicherheit
Sicherheit bietet Schutz vor absichtlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Entwurfsprüfliste für die Sicherheit.
Berücksichtigen Sie diese Punkte, wenn Sie Ihre Architektur entwickeln:
Verwenden Sie Microsoft Defender for Cloud, um einen zentralen Überblick über den Sicherheitsstatus Ihrer Azure Ressourcen zu erhalten. Defender for Cloud überwacht potenzielle Sicherheitsprobleme und bietet ein umfassendes Bild der Sicherheitsintegrität Ihrer Bereitstellung. Konfigurieren Sie Defender for Cloud pro Azure Abonnement, und aktivieren Sie die Sammlung von Sicherheitsdaten. Defender for Cloud überprüft automatisch virtuelle Computer, die unter diesem Abonnement erstellt wurden.
Patchverwaltung: Wenn diese Option aktiviert ist, identifiziert Defender for Cloud fehlende Sicherheits- und kritische Updates.
Antischadsoftware: Wenn diese Option aktiviert ist, überprüft Defender for Cloud, ob Antischadsoftware installiert ist. Sie können auch Defender for Cloud verwenden, um Antischadsoftware direkt über das Azure Portal zu installieren.
Verwenden Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC), um den Zugriff auf Azure Ressourcen zu steuern. Mit Azure RBAC gewähren Sie Benutzern nur die Berechtigungen, die sie für ihre Arbeit benötigen. Die Rolle "Leser" kann z. B. Azure Ressourcen anzeigen, aber nicht erstellen, verwalten oder löschen. Einige Berechtigungen sind spezifisch für einen Azure Ressourcentyp. Die Rolle "Mitwirkender virtueller Computer" kann z. B. einen virtuellen Computer neu starten oder neu zuweisen, das Administratorkennwort zurücksetzen und einen neuen virtuellen Computer erstellen. Andere integrierte Rollen , die für diese Architektur nützlich sein können, sind DevTest Labs-Benutzer und Netzwerkmitwirkender.
Hinweis
Azure RBAC beschränkt nicht die Aktionen, die ein Benutzer bei einer VM ausführen kann. Der Kontotyp auf dem Gastbetriebssystem bestimmt diese Berechtigungen.
Verwenden Sie Überwachungsprotokolle, um Bereitstellungsaktionen und andere VM-Ereignisse anzuzeigen.
Aktivieren Sie die Verschlüsselung auf dem Host , um end-to-End-Verschlüsselung für Ihre VM-Daten zu erreichen, einschließlich temporärer Datenträger und Datenträgercaches. Die Verschlüsselung bei Host verarbeitet die Verschlüsselung in der VM-Hostinfrastruktur und verbraucht keine VM-CPU-Ressourcen, im Gegensatz zur gastbasierten Verschlüsselung. Sie können customer-managed keys mit Azure Key Vault für persistente Betriebssystem- und Datenträger verwenden. Temporäre Datenträger und kurzlebige Betriebssystemdatenträger werden mit plattformverwalteten Schlüsseln verschlüsselt. Vergewissern Sie sich, dass die ausgewählte VM-Größe die Verschlüsselung auf host unterstützt, bevor Sie die VM bereitstellen.
Kostenoptimierung
Die Kostenoptimierung konzentriert sich auf die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Design Review-Checkliste für die Kostenoptimierung.
Je nach Nutzung und Workload gibt es verschiedene Optionen für VM-Größen. Der Bereich umfasst die wirtschaftlichste Option der Bs-Serie bis zu den neuesten GPU-VMs, die für machine learning optimiert sind. Informationen zu den verfügbaren Optionen finden Sie unter Azure Linux VM Pricing.
Verwenden Sie für vorhersehbare Workloads Azure-Reservierungen und den Azure-Sparplan für Compute. Ein einjähriger oder dreijähriger Vertrag kann die Berechnungskosten erheblich im Vergleich zu pay-as-you-go-Tarifen reduzieren. Für Workloads, bei denen der Zeitpunkt des Abschlusses oder der Ressourcenverbrauch nicht vorhersehbar ist, bietet sich die nutzungsbasierte Bezahlung an.
Azure Spot-VMs verwenden Ersatz-Azure Kapazität zu erheblich reduzierten Tarifen. Azure können Spot-VMs kurzfristig aussortieren, wenn sie die Kapazität zurück benötigen, sodass sie nur für fehlertolerante Workloads ohne strikten Abschlusstermin geeignet sind. Erwägen Sie Spot-VMs für:
- Hochleistungsrechnen, Batch-Verarbeitungsaufträge oder visuelle Rendering-Anwendungen
- Testumgebungen, einschließlich Continuous Integration- und Continuous Delivery-Workloads
- Großflächige zustandslose Anwendungen
Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.
Operative Exzellenz
Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie in der Checkliste zur Designüberprüfung für operationale Exzellenz.
Verwenden Sie Infrastructure-as-Code-Vorlagen (IaC), um Azure-Ressourcen und deren Abhängigkeiten bereitzustellen. Sie können diese Vorlagen mithilfe von Bicep, Azure Resource Manager oder Terraform schreiben. Diese Vorlagen können als Teil einer kontinuierlichen Integrations- und kontinuierlichen Bereitstellungspipeline (CI/CD) über die automatisierte Bereitstellung verwendet werden. Dieser Ansatz ermöglicht die Versionskontrolle über Ihre Architektur, sorgt für Konsistenz zwischen Umgebungen und erzwingt Reproduzierbarkeit, Sicherheit und Compliance.
Um Probleme zu überwachen und zu diagnostizieren, aktivieren Sie Diagnoseprotokolle für Ihre Ressourcen, und senden Sie sie zur Analyse und Optimierung an Azure Monitor. Sie können diese Protokolle verwenden, um Warnungen und Benachrichtigungen kritischer Ereignisse zu implementieren und in einigen Fällen eine automatisierte Korrektur oder Protokollierung von Tickets in Ihrem IT Service Management (ITSM)-System zu ermöglichen.
Leistungseffizienz
Leistungseffizienz bezieht sich auf die Fähigkeit Ihrer Arbeitslast, effizient auf die Anforderungen der Benutzer zu skalieren. Weitere Informationen finden Sie in der Checkliste zur Entwurfsüberprüfung für die Leistungseffizienz.
Die Leistungseffizienz hilft Ihnen, Latenz zu minimieren, skalierbare Architekturen zu erzielen, ressourcenauslastung zu optimieren und die Systemleistung kontinuierlich zu verbessern. Die Entscheidungen, die Sie hinsichtlich der Workloadarchitektur, der VM-Größe und der Datenträgerkonfiguration treffen, können ihre Workloadleistung erheblich beeinträchtigen. Wenn Sie die richtigen Entscheidungen treffen, kann die Notwendigkeit vermieden werden, die Lösung in Zukunft neu zu erstellen, Flexibilität hinzuzufügen und Kosten zu sparen.
Berücksichtigen Sie diese Punkte, wenn Sie Ihre Architektur entwickeln:
Verwenden Sie Skalierungssätze für virtuelle Computer, wenn die Workload über eine dynamische Last verfügt. Skalieren Sie beispielsweise bei hohem Datenverkehr horizontal hoch und dann wieder herunter, wenn der Datenverkehr zurückgeht. Durch diesen Ansatz wird eine angemessene Verarbeitungsleistung gewährleistet und gleichzeitig die Kosten unter Kontrolle gehalten.
Wählen Sie die entsprechenden VM- und Datenträger-SKUs aus, um die erforderlichen IOPS während der Verarbeitung zu erfüllen. Konfigurieren Sie die Zwischenspeicherung, um die Leistung weiter zu verbessern.
Wenn Ihre Workload ungewöhnlich latenzempfindlich ist, verwenden Sie Näherungsplatzierungsgruppen (Proximity Placement Groups, PPGs), um sicherzustellen, dass sich mehrere VMs physisch nahe beieinander befinden, um eine bessere Leistung zu erzielen. Sie können PPGs auch mit Verfügbarkeitssätzen kombinieren, um eine geringe Latenz und hohe Verfügbarkeit innerhalb eines einzigen physischen Rechenzentrums zu erzielen.
Aktivieren Sie nach Möglichkeit beschleunigte Netzwerke, um die Latenz zwischen Komponenten zu minimieren.
Entwerfen Sie die Netzwerkarchitektur, um überflüssige Sprünge zu minimieren.
Verwenden Sie Azure Monitor und andere Tools, um Metriken kontinuierlich zu analysieren und aktualisierte Leistungsbaselines zu erstellen. Verwenden Sie die Leistungsinformationen, um zu bestimmen, wo Änderungen implementiert werden sollen, und testen Sie dann anhand dieser Basispläne.
Beitragende
Microsoft verwaltet diesen Artikel. Dieser Artikel wurde ursprünglich von folgenden Mitwirkenden verfasst.
Hauptautor:
- Donnie Trumpower | Senior Cloud & AI Solutions Architect
Um nicht öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.
Nächste Schritte
- Quickstart: Erstellen Einer Linux-VM im Azure-Portal
- Installieren von NVIDIA GPU-Treibern auf VMs der N-Serie, auf denen Linux ausgeführt wird
- Lernprogramm: Erstellen und Verwalten von Linux-VMs mit dem Azure CLI
- Standardmäßiger ausgehender Zugriff in Azure