Ausführen eines Windows virtuellen Computers auf Azure

Azure Backup
Azure Blob Storage
Azure Resource Manager
Azure Storage
Azure Virtual Machines

Um einen virtuellen Computer (VM) in Azure bereitzustellen, benötigen Sie mehr Komponenten als die VM selbst. Eine vollständige Bereitstellung umfasst Netzwerk- und Speicherressourcen. In diesem Artikel werden bewährte Methoden zum Ausführen eines sicheren Windows virtuellen Computers auf Azure beschrieben.

Aufbau

Diagramm, das eine VM-Bereitstellung in Azure zeigt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Arbeitsablauf

Dieses Beispiel zeigt eine grundlegende Bereitstellung, die die erforderlichen Komponenten für einen einzelnen virtuellen Computer verwendet. Der virtuelle Computer kann Workloads ausführen und das öffentliche Internet erreichen und gleichzeitig die direkte Gefährdung externer Bedrohungen vermeiden. In diesem Architekturmodell:

  • Workloads auf dem virtuellen Computer haben keine direkte Internetexposition. Der Zugriff ist auf Ressourcen innerhalb desselben virtuellen Netzwerks oder eines peerierten virtuellen Netzwerks beschränkt, z. B. in einer Hub-and-Spoke-Konfiguration.

  • Sie verwalten den virtuellen Computer mithilfe von Azure Bastion über Remotedesktop Protocol (RDP). Es gibt keinen direkten Zugriff vom öffentlichen Internet auf die VM für die Verwaltung.

  • Das NAT-Gateway (Network Address Translation) und die zugehörige öffentliche IP-Adresse bieten ausgehenden externen Internetzugriff.

Komponenten

Diese Architektur verwendet die folgenden Komponenten.

Ressourcengruppe

Eine ressource-Gruppe ist ein logischer Container, der verwandte Azure Ressourcen enthält. Mithilfe von Ressourcengruppen können Sie verwandte Ressourcen zusammen bereitstellen, überwachen und löschen und deren Kosten als Einheit nachverfolgen.

Im Allgemeinen sollten Sie Ressourcen anhand ihres gemeinsamen Lebenszyklus und ihrer Eigentümerschaft gruppieren. Verwenden Sie konsistente, beschreibende Namen für Ressourcen, damit sie leichter zu erkennen und zu verstehen sind. Weitere Informationen finden Sie unter Define your naming convention.

Virtueller Computer

Sie können einen virtuellen Computer aus einer Liste veröffentlichter Images, eines benutzerdefinierten verwalteten Images oder einer virtuellen Festplatte (VHD) bereitstellen, die in Azure Blob Storage hochgeladen wurde.

Azure bietet viele verschiedene VM-Größen. Wenn Sie eine vorhandene Workload in Azure verschieben, beginnen Sie mit der VM-Größe, die ihren lokalen Servern am ehesten entspricht. Messen Sie nach der Bereitstellung des virtuellen Computers die Leistung Ihrer tatsächlichen Workload im Hinblick auf CPU-, Arbeitsspeicher- und Datenträgereingabeausgabevorgänge pro Sekunde (IOPS), und passen Sie die Größe nach Bedarf an.

Wählen Sie eine Azure Region aus, die Ihren internen Benutzern oder Kunden am nächsten kommt. Es sind nicht alle VM-Größen in allen Regionen verfügbar. Weitere Informationen finden Sie unter Azure-Geografien. Führen Sie für eine Liste der in einer bestimmten Region verfügbaren VM-Größen den folgenden Befehl aus dem Azure CLI aus:

az vm list-sizes --location <location>

Informationen zum Auswählen eines veröffentlichten VM-Images finden Sie unter Suchen und Verwenden von Azure Marketplace VM-Images.

Datenträger

Für die beste Leistung der Datenträgereingabe (E/A) empfehlen wir Premium-SSDs, die Daten auf Festkörperlaufwerken (SSDs) speichern. Die Kapazität des bereitgestellten Datenträgers bestimmt Kosten, IOPS und Durchsatz (Datenübertragungsrate). Berücksichtigen Sie beim Auswählen einer Datenträgergröße alle drei Faktoren. Premium-SSDs umfassen Bursting ohne zusätzliche Kosten, das Ihnen hilft, Nachfragespitzen ohne Überbereitstellung zu bewältigen, und in Verbindung mit einem Verständnis der Workloadmuster die Kosten ungenutzter Kapazität senkt.

Hinweis

Premium SSD v2- und Ultra-Datenträger können nur als Datenfestplatten verwendet werden. Sie werden für Betriebssystemdatenträger (Os) nicht unterstützt.

Verwaltete Datenträger führen die Speicherverarbeitung für Sie durch, sodass die Datenträgerverwaltung vereinfacht wird. Verwaltete Festplatten benötigen kein Speicherkonto. Sie geben die Datenträgergröße und den Datenträgertyp an, und Azure stellt ihn als hochverfügbare Ressource bereit. Verwaltete Datenträger reduzieren auch die Kosten, indem Sie die leistung bereitstellen, die Sie benötigen, ohne überprovisionieren zu müssen, was Ihnen hilft, die Zahlung für nicht genutzte bereitgestellte Kapazität zu vermeiden.

Standardmäßig ist der Betriebssystemdatenträger ein verwalteter Datenträger, der in Azure Disk Storage gespeichert ist, sodass er auch dann beibehalten wird, wenn der Hostcomputer deaktiviert ist. Verwenden Sie für zustandslose Workloads, bei denen schnelle Bereitstellung und keine Betriebssystempersistenz erwünscht sind, kurzlebige Betriebssystemdatenträger. Diese Datenträger platzieren das Betriebssystemimage auf dem lokalen Speicher des VM-Hosts anstelle von Remote-Azure Storage, wodurch die Leselatenz verringert wird, das Reimaging beschleunigt und die kostenverwalteten Datenträger beseitigt werden. Alle Daten auf einem kurzlebigen Betriebssystemdatenträger gehen jedoch beim Stoppen (Deallocate), bei der Neuabbildung oder bei Wartungsveranstaltungen des Hosts verloren. Kurzlebige Betriebssystemdatenträger unterstützen keine Momentaufnahmen oder Azure Backup. Verwenden Sie flüchtige Betriebssystemdatenträger nur, wenn die virtuellen Maschinen vollständig automatisiert erneut bereitgestellt werden können.

Abhängig von der ausgewählten SKU verwendet der virtuelle Computer möglicherweise einen temporären Datenträger, der auf einem physischen Laufwerk auf dem Hostcomputer gespeichert ist (das D: Laufwerk auf Windows). Der temporäre Datenträger wird nicht im Speicher gespeichert und kann während neustarts und anderer VM-Lebenszyklusereignisse gelöscht werden. Verwenden Sie den temporären Datenträger nur für Entwurfsdaten, die keinen Neustart benötigen, z. B. anwendungsspezifische temporäre Dateien oder Austauschspeicher.

Windows benötigt eine Seitendatei für die Verwaltung des virtuellen Speichers. Auf kleinen Computersystemschnittstellen (SCSI)-basierten VM-Größen (v5 und älter) platzieren Marketplace-Images die Seitendatei standardmäßig auf dem temporären Datenträger. Bei VM-Größen auf Basis von Non-Volatile Memory Express (NVMe) (v6 und neuer) wird die Auslagerungsdatei standardmäßig auf der Betriebssystemfestplatte angelegt, da die temporären NVMe-Festplatten nach jedem Systemstart initialisiert werden müssen. Für kurzlebige Betriebssystemdatenträger-VMs befindet sich die Seitendatei auch auf dem Betriebssystemdatenträger.

Installieren Sie, sofern möglich, Anwendungen auf einem Datenträger für Daten und nicht auf dem Datenträger für das Betriebssystem. Einige Legacyanwendungen müssen möglicherweise Komponenten auf dem C: Laufwerk installieren. In diesem Fall können Sie die Größe des Betriebssystemdatenträgers mithilfe von PowerShell ändern.

Es wird empfohlen, einen oder mehrere Datenträger für Anwendungsdaten zu erstellen. Datenträger sind persistente verwaltete Datenträger, die vom Speicher unterstützt werden.

Wenn Sie einem virtuellen Computer einen neuen Datenträger hinzufügen, ist er unformatiert. Melden Sie sich beim virtuellen Computer an, um den Datenträger zu formatieren. Sie können powerShell auch verwenden, um einen neuen Datenträger hinzuzufügen.

Netzwerk

Die Netzwerkkomponenten enthalten die folgenden Ressourcen:

  • Virtuelles Netzwerk: Jede VM wird in einem virtuellen Netzwerk bereitgestellt, das Sie in mehrere Subnetze segmentieren können.

  • Netzwerkschnittstellenkarte (NIC): Die NIC verbindet die VM mit dem virtuellen Netzwerk und verarbeitet den gesamten eingehenden und ausgehenden Datenverkehr. Wenn Sie mehrere NICs für Ihren virtuellen Computer benötigen, definiert jede VM-Größe eine maximale Anzahl von NICs.

  • Öffentliche IP-Adresse: Eine öffentliche IP-Adresse kann verwendet werden, um mit dem virtuellen Computer von außerhalb Azure über RDP zu kommunizieren. Diese Option wird jedoch abgeraten, da es sich um ein potenzielles Sicherheitsrisiko handelt.

    Warning

    Vermeiden Sie das direkte Anfügen einer öffentlichen IP-Adresse an einen virtuellen Computer. Führen Sie dies nur unter extremen Umständen aus, und schließen Sie andere Sicherheitsmaßnahmen ein, z. B. die Verwendung von Netzwerksicherheitsgruppen (NSGs) zum Filtern des Datenverkehrs. Verwenden Sie für den Verwaltungszugriff auf einen virtuellen Computer Azure Bastion oder verbinden Sie sich privat über ein VPN oder Azure ExpressRoute.

    • Die öffentliche IP-Adresse kann dynamisch oder statisch sein. Die Standardeinstellung ist „Dynamisch“. Reservieren Sie eine statische IP-Adresse , wenn Sie eine feste IP-Adresse benötigen, die sich nicht ändert, z. B. wenn Sie einen DNS-A-Eintrag erstellen oder die IP-Adresse einer sicheren Liste hinzufügen müssen.

    • Sie können auch einen vollständig qualifizierten Domänennamen (FQDN) für die IP-Adresse erstellen. Sie können anschließend einen CNAME-Eintrag in DNS registrieren, der auf den FQDN verweist. Weitere Informationen finden Sie unter Einen vollständig qualifizierten Domänennamen im Azure-Portal erstellen.

  • NSG: Verwenden Sie NSGs , um netzwerkdatenverkehr zu VMs und Subnetzen zuzulassen oder zu verweigern. Ordnen Sie sie den Subnetzen oder einzelnen NICs zu, die an VMs angefügt sind.

    Alle NSGs enthalten eine Reihe von Standardsicherheitsregeln, einschließlich einer Regel, die alle eingehenden Internetdatenverkehr blockiert. Sie können die Standardregeln nicht löschen, aber Sie können sie mit anderen Regeln überschreiben. Sie können z. B. Regeln erstellen, die eingehenden Internetdatenverkehr zu bestimmten Ports zulassen, z. B. Port 443 für HTTPS.

  • Azure NAT-Gateway (Network Address Translation):Azure NAT Gateway ermöglicht es allen Instanzen in einem privaten Subnetz, ausgehende Verbindungen mit dem Internet herzustellen und gleichzeitig vollständig privat zu bleiben. Es können nur Pakete über ein NAT-Gateway weitergeleitet werden, die als Antwortpakete an eine ausgehende Verbindung eingehen. Nicht angeforderte eingehende Verbindungen aus dem Internet werden nicht zugelassen.

Hinweis

Um die Standardsicherheit zu verbessern, wird der voreingestellte ausgehende Internetzugriff für alle neuen virtuellen Netzwerke nicht mehr empfohlen. Sie müssen die ausgehende Internetverbindung explizit konfigurieren, indem Sie andere Ressourcen wie NAT-Gateway, Azure Standardlastenausgleichsgeräte oder Firewalls verwenden. Weitere Informationen finden Sie unter Default Outbound Access in Azure.

  • Azure Bastion:Azure Bastion ist eine vollständig verwaltete Plattform als Dienstlösung (PaaS), die sicheren Zugriff auf VMs über private IP-Adressen ermöglicht. Bei dieser Konfiguration benötigen VMs keine öffentliche IP-Adresse, die sie für das Internet verfügbar macht, wodurch ihr Sicherheitsstatus verbessert wird. Azure Bastion bietet sichere RDP- oder SSH-Konnektivität zu Ihren VMs mithilfe verschiedener Methoden, einschließlich des Azure Portals oder systemeigenen SSH- oder RDP-Clients.

Vorgänge

In diesem Abschnitt werden wichtige Betriebspraktiken für die Verwaltung eines Windows virtuellen Computers in Azure behandelt.

  • Diagnose: Aktivieren Sie Überwachungs- und Diagnosefunktionen, einschließlich grundlegender Integritätsmetriken, Protokolle der Diagnoseinfrastruktur und Startdiagnose. Die Startdiagnose kann Ihnen helfen, Startfehler zu diagnostizieren, wenn ihre VM in einen nicht bootfähigen Zustand gelangt. Speichern Von Diagnoseprotokollen in einem Speicherkonto. Ein lokal redundantes Standardspeicherkonto (LRS) reicht für Diagnoseprotokolle aus. Weitere Informationen finden Sie unter Bewährte Methoden für Überwachung und Diagnose.

  • Verfügbarkeit:Geplante Wartung oder ungeplante Ausfallzeiten können sich auf Ihren virtuellen Computer auswirken. Sie können VM-Neustartprotokolle verwenden, um zu ermitteln, ob geplante Wartung einen virtuellen Computerneustart verursacht hat. Um eine höhere Verfügbarkeit zu erzielen, stellen Sie mehrere virtuelle Computer über Verfügbarkeitszonen innerhalb einer Region bereit. Diese Bereitstellung gewährleistet ein höheres Service-Level-Agreement (SLA). Wenn Verfügbarkeitszonen nicht unterstützt werden, können Verfügbarkeitssätze den Schutz vor Hostfehlern oder Hostupdates bieten. Verfügbarkeitszonen sind jedoch nach Möglichkeit die empfohlene Option.

  • Sicherungen: Um vor versehentlichem Datenverlust zu schützen, verwenden Sie den Azure Backup Dienst, um Ihre virtuellen Computer zum Speichern zu sichern. Je nach Region können Sie georedundanten Speicher oder zonenredundanten Speicher für Sicherungen verwenden. Azure Backup bietet anwendungskonsensige Sicherungen. Verwenden Sie bei leistungskritischen Workloads die Funktion agentloses, crashkonsistentes Backup über mehrere Festplatten anstelle des Volume Shadow Copy Service (VSS), um den Backup-Schutz zu automatisieren, ohne die Anwendungsleistung zu beeinträchtigen.

  • Beenden eines virtuellen Computers: Azure unterscheidet zwischen beendeten und deallocated-Zuständen. Ihnen werden nur Gebühren berechnet, wenn der VM-Status angehalten wird, aber nicht, wenn die Zuordnung für den virtuellen Computer aufgehoben wurde. Im Azure-Portal wird die Schaltfläche Stop verwendet, um die VM freizugeben. Wenn das Herunterfahren über das Betriebssystem erfolgt, während Sie angemeldet sind, wird der virtuelle Computer zwar beendet, aber die Zuordnung wird nicht aufgehoben. Es fallen also weiter Kosten an.

  • Löschen eines virtuellen Computers: Wenn Sie einen virtuellen Computer löschen, können Sie die zugehörigen Datenträger löschen oder beibehalten, sodass Sie die Daten aufbewahren können. Sie zahlen jedoch weiterhin für die Datenträger. Sie können verwaltete Datenträger wie jede andere Azure Ressource löschen. Zur Verhinderung des versehentlichen Löschens verwenden Sie eine Ressourcensperre, um die gesamte Ressourcengruppe oder einzelne Ressourcen, z. B. einen virtuellen Computer, zu sperren.

Alternatives

  • mit Azure Virtual Machine Scale Sets können Sie eine Gruppe von VM-Instanzen mit Lastenausgleich erstellen und verwalten. Arbeitsauslastungen, die für Geschäftsvorgänge wichtig sind, sollten niemals von einem einzelnen virtuellen Computer abhängen. Skalierungssätze für virtuelle Computer bieten die Möglichkeit, Workloads über Knoten hinweg zu verteilen. VM-Instanzen können je nach Bedarf automatisch hinzugefügt oder entfernt werden und bei höherer Auslastung hochskaliert oder bei geringerer Auslastung herunterskaliert werden, um die Kosten zu minimieren.

  • Azure Load Balancer verteilt den Datenverkehr zwischen mehreren VMs oder einer VM-Skalierungsgruppe. Sie kann auch als Alternative zu einem NAT-Gateway verwendet werden, um den Zugriff auf eine Workload über das Internet zu ermöglichen und gleichzeitig ausgehenden Zugriff zu unterstützen.

  • Application Gateway ist eine alternative Layer-7-Lastenausgleichsoption für HTTP-/HTTPS-Datenverkehr, die in der Regel vor mehreren VMs oder einer Skalierungsgruppe virtueller Computer innerhalb einer Azure-Region bereitgestellt wird.

  • Eine Bereitstellung auf Unternehmensebene finden Sie unter Azure Virtual Machines Basisarchitektur in einer Azure Zielzone.

Details zum Szenario

Das vorherige Diagramm zeigt eine grundlegende Bereitstellung einer einzelnen VM in einem virtuellen Netzwerk. Dieses Szenario ist hilfreich für die Bereitstellung einer nicht kritischen Arbeitsauslastung für nur interne Benutzer.

Potenzielle Anwendungsfälle

Diese Architektur eignet sich für eine einfache Anwendung, die keine öffentliche Internetexposition benötigt und gelegentliche Ausfallzeiten tolerieren kann. Ein einfaches internes Berichterstellungstool ist ein typischer Anwendungsfall.

Überlegungen

Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Well-Architected Framework.

Reliability

Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

In dieser Beispielarchitektur wird eine einzelne VM verwendet, sodass sie eine minimale Zuverlässigkeit bietet. Jedes Problem mit dem virtuellen Computer oder mit dem Host, auf dem er ausgeführt wird, verursacht einen Ausfall und macht gehostete Workloads nicht verfügbar. Stellen Sie für alle Arbeitsauslastungen, die eine höhere Verfügbarkeit benötigen, mehrere virtuelle Computer bereit, die denselben Workload enthalten, und platzieren Sie diese Instanzen hinter einer geeigneten Lastenausgleichslösung. Wenn sie sich innerhalb derselben Region befinden, stellen Sie diese virtuellen Computer über Verfügbarkeitszonen (sofern unterstützt) bereit, und fügen Sie sie dem Back-End eines Azure Load Balancer Standard oder eines Anwendungsgateways hinzu, wenn die Workload HTTP/HTTPS-basiert ist. Diese Architektur ermöglicht es der Workload, verfügbar zu bleiben, wenn ein einzelner virtueller Computer im Back-End heruntergeht.

Skalierungsgruppen für virtuelle Computer sind eine weitere Möglichkeit, die Verwaltung von Arbeitslasten mit mehreren Knoten zu vereinfachen, bei denen die Anzahl der Instanzen je nach verschiedenen Metriken wie CPU- und Arbeitsspeicherauslastung automatisch hoch- oder herunterskaliert werden muss.

Hohe Verfügbarkeit und Notfallwiederherstellung (HA/DR)

Um den Auswirkungsbereich zu reduzieren und die Ausfallsicherheit zu verbessern, stellen Sie die Workload in mehreren Regionen bereit und verwenden Sie den Leitfaden für Azure-Zielzone. Diese Bereitstellung kann als Aktiv-Passiv-Konfiguration mit Failover zur sekundären Region ausgeführt werden, wenn die primäre Region nicht verfügbar wird, oder als Aktiv-Aktiv-Architektur, bei der beide Regionen den Datenverkehr für Consumer verarbeiten.

Ein Beispiel finden Sie unter Multitier-Webanwendung, die für HA/DR erstellt wurde. Im Beispiel in diesem Artikel werden Azure Site Recovery verwendet, um die Datenträger einzelner VMs in eine sekundäre Region zu replizieren. Sie können Site Recovery verwenden, um für diese VMs ein Failover in die sekundäre Region mit niedrigem Wiederherstellungspunktziel (RPO) und niedriger Wiederherstellungszeit (RTO) durchzuführen.

Bewerten Sie Ihre Architektur, um Ihre HA/DR-Anforderungen für alle Komponenten zu erfüllen, nicht nur die virtuellen Computer. In all diesen Entscheidungen sind Überlegungen wie Netzwerk, Identität und Daten enthalten.

Sicherheit

Sicherheit bietet Schutz vor absichtlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Entwurfsprüfliste für die Sicherheit.

Berücksichtigen Sie diese Punkte, wenn Sie Ihre Architektur entwickeln:

  • Verwenden Sie Microsoft Defender for Cloud, um einen zentralen Überblick über den Sicherheitsstatus Ihrer Azure Ressourcen zu erhalten. Defender for Cloud überwacht potenzielle Sicherheitsprobleme und bietet ein umfassendes Bild der Sicherheitsintegrität Ihrer Bereitstellung. Konfigurieren Sie Defender for Cloud pro Azure Abonnement, und aktivieren Sie die Sammlung von Sicherheitsdaten. Defender for Cloud überprüft automatisch virtuelle Computer, die unter diesem Abonnement erstellt wurden.

    • Patchverwaltung: Wenn diese Option aktiviert ist, identifiziert Defender for Cloud fehlende Sicherheits- und kritische Updates. Verwenden Sie Group Policy-Einstellungen auf dem virtuellen Computer, um automatische Systemupdates zu aktivieren.

    • Antischadsoftware: Wenn diese Option aktiviert ist, überprüft Defender for Cloud, ob Antischadsoftware installiert ist. Sie können auch Defender for Cloud verwenden, um Antischadsoftware direkt über das Azure Portal zu installieren.

  • Verwenden Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC), um den Zugriff auf Azure Ressourcen zu steuern. Mit Azure RBAC gewähren Sie Benutzern nur die Berechtigungen, die sie für ihre Arbeit benötigen. Die Rolle "Leser" kann z. B. Azure Ressourcen anzeigen, aber nicht erstellen, verwalten oder löschen. Einige Berechtigungen sind spezifisch für einen Azure Ressourcentyp. Die Rolle "Mitwirkender virtueller Computer" kann z. B. einen virtuellen Computer neu starten oder neu zuweisen, das Administratorkennwort zurücksetzen und einen neuen virtuellen Computer erstellen. Andere integrierte Rollen , die für diese Architektur nützlich sein können, sind DevTest Labs-Benutzer und Netzwerkmitwirkender.

Hinweis

Azure RBAC beschränkt nicht die Aktionen, die ein Benutzer bei einer VM ausführen kann. Der Kontotyp auf dem Gastbetriebssystem bestimmt diese Berechtigungen.

  • Verwenden Sie Überwachungsprotokolle, um Bereitstellungsaktionen und andere VM-Ereignisse anzuzeigen.

  • Aktivieren Sie die Verschlüsselung auf dem Host , um end-to-End-Verschlüsselung für Ihre VM-Daten zu erreichen, einschließlich temporärer Datenträger und Datenträgercaches. Die Verschlüsselung bei Host verarbeitet die Verschlüsselung in der VM-Hostinfrastruktur und verbraucht keine VM-CPU-Ressourcen, im Gegensatz zur gastbasierten Verschlüsselung. Sie können customer-managed keys mit Azure Key Vault für persistente Betriebssystem- und Datenträger verwenden. Temporäre Datenträger und kurzlebige Betriebssystemdatenträger werden mit plattformverwalteten Schlüsseln verschlüsselt. Vergewissern Sie sich, dass die ausgewählte VM-Größe die Verschlüsselung auf host unterstützt, bevor Sie die VM bereitstellen.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Design Review-Checkliste für die Kostenoptimierung.

Je nach Nutzung und Workload gibt es verschiedene Optionen für VM-Größen. Der Bereich umfasst die wirtschaftlichste Option der Bs-Serie bis zu den neuesten GPU-VMs, die für machine learning optimiert sind. Informationen zu den verfügbaren Optionen finden Sie unter Azure Windows VM-Preise.

Verwenden Sie für vorhersehbare Workloads Azure-Reservierungen und den Azure-Sparplan für Compute. Ein Vertrag mit einer Laufzeit von einem oder drei Jahren kann die Rechenkosten im Vergleich zu nutzungsbasierten Tarifen erheblich senken. Für Workloads, bei denen der Zeitpunkt des Abschlusses oder der Ressourcenverbrauch nicht vorhersehbar ist, bietet sich die nutzungsbasierte Bezahlung an.

Azure Spot-VMs verwenden Ersatz-Azure Kapazität zu erheblich reduzierten Tarifen. Azure können Spot-VMs kurzfristig aussortieren, wenn sie die Kapazität zurück benötigen, sodass sie nur für fehlertolerante Workloads ohne strikten Abschlusstermin geeignet sind. Erwägen Sie Spot-VMs für:

  • High-Performance Computing, Batchverarbeitungsaufträge oder visuelle Renderinganwendungen
  • Testumgebungen, einschließlich der Continuous Integration- und Continuous Delivery-Workloads.
  • Großflächige zustandslose Anwendungen

Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.

Operative Exzellenz

Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie in der Checkliste zur Designüberprüfung für operationale Exzellenz.

Verwenden Sie Infrastructure-as-Code-Vorlagen (IaC), um Azure-Ressourcen und deren Abhängigkeiten bereitzustellen. Sie können diese Vorlagen mithilfe von Bicep, Azure Resource Manager oder Terraform schreiben. Diese Vorlagen können als Teil einer kontinuierlichen Integrations- und kontinuierlichen Bereitstellungspipeline (CI/CD) über die automatisierte Bereitstellung verwendet werden. Dieser Ansatz ermöglicht die Versionskontrolle über Ihre Architektur, sorgt für Konsistenz zwischen Umgebungen und erzwingt Reproduzierbarkeit, Sicherheit und Compliance.

Um Probleme zu überwachen und zu diagnostizieren, aktivieren Sie Diagnoseprotokolle für Ihre Ressourcen, und senden Sie sie zur Analyse und Optimierung an Azure Monitor. Sie können diese Protokolle verwenden, um Warnungen und Benachrichtigungen kritischer Ereignisse zu implementieren. In einigen Fällen können sie eine automatisierte Korrektur oder Protokollierung von Tickets in Ihrem IT Service Management (ITSM)-System ermöglichen.

Leistungseffizienz

Leistungseffizienz bezieht sich auf die Fähigkeit Ihrer Arbeitslast, effizient auf die Anforderungen der Benutzer zu skalieren. Weitere Informationen finden Sie in der Checkliste zur Entwurfsüberprüfung für die Leistungseffizienz.

Die Leistungseffizienz hilft Ihnen, Latenz zu minimieren, skalierbare Architekturen zu erzielen, ressourcenauslastung zu optimieren und die Systemleistung kontinuierlich zu verbessern. Die Entscheidungen, die Sie hinsichtlich der Workloadarchitektur, der VM-Größe und der Datenträgerkonfiguration treffen, können ihre Workloadleistung erheblich beeinträchtigen. Wenn Sie die richtigen Entscheidungen treffen, kann die Notwendigkeit vermieden werden, die Lösung in Zukunft neu zu erstellen, Flexibilität hinzuzufügen und Kosten zu sparen.

Berücksichtigen Sie diese Punkte, wenn Sie Ihre Architektur entwickeln:

  • Verwenden Sie Skalierungssätze für virtuelle Computer, wenn die Workload über eine dynamische Last verfügt. Skalieren Sie beispielsweise bei hohem Datenverkehr horizontal hoch und dann wieder herunter, wenn der Datenverkehr zurückgeht. Durch diesen Ansatz wird eine angemessene Verarbeitungsleistung gewährleistet und gleichzeitig die Kosten unter Kontrolle gehalten.

  • Wählen Sie die entsprechenden VM- und Datenträger-SKUs aus, um die erforderlichen IOPS während der Verarbeitung zu erfüllen. Konfigurieren Sie die Zwischenspeicherung, um die Leistung weiter zu verbessern.

  • Wenn Ihre Workload ungewöhnlich latenzempfindlich ist, verwenden Sie Näherungsplatzierungsgruppen (Proximity Placement Groups, PPGs), um sicherzustellen, dass sich mehrere VMs physisch nahe beieinander befinden, um eine bessere Leistung zu erzielen. Sie können PPGs auch mit Verfügbarkeitssätzen kombinieren, um eine geringe Latenz und hohe Verfügbarkeit innerhalb eines einzigen physischen Rechenzentrums zu erzielen.

  • Aktivieren Sie nach Möglichkeit beschleunigte Netzwerke, um die Latenz zwischen Komponenten zu minimieren.

  • Entwerfen Sie die Netzwerkarchitektur, um überflüssige Sprünge zu minimieren.

  • Verwenden Sie Azure Monitor und andere Tools, um Metriken kontinuierlich zu analysieren und aktualisierte Leistungsbaselines zu erstellen. Verwenden Sie die Leistungsinformationen, um zu bestimmen, wo Änderungen implementiert werden sollen, und testen Sie dann anhand dieser Basispläne.

Beitragende

Microsoft verwaltet diesen Artikel. Dieser Artikel wurde ursprünglich von folgenden Mitwirkenden verfasst.

Hauptautor:

Um nicht öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.

Nächste Schritte