Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Backup
Azure Blob Storage
Azure Resource Manager
Azure Storage
Azure Virtual Machines
Die Bereitstellung eines virtuellen Computers (VM) in Azure erfordert neben dem virtuellen Computer selbst zusätzliche Komponenten, einschließlich Netzwerk- und Speicherressourcen. Dieser Artikel enthält bewährte Methoden zum Ausführen eines sicheren Windows virtuellen Computers auf Azure.
Aufbau
Laden Sie eine Visio-Datei dieser Architektur herunter.
Arbeitsablauf
Dieses Beispiel zeigt eine einfache Bereitstellung mithilfe eines einzelnen virtuellen Computers mit den erforderlichen Komponenten. Der virtuelle Computer kann Workloads ausführen, ist verwaltbar und kann mit dem öffentlichen Internet kommunizieren. Es wurde entwickelt, um direkte Exposition gegenüber externen Bedrohungen zu vermeiden.
- Alle Arbeitslasten, die auf dem virtuellen Computer ausgeführt werden, sind nicht extern zugänglich gemacht und sind nur innerhalb desselben oder eines verbundenen virtuellen Netzwerks zugänglich, z. B. in einer Hub- und Speichenkonfiguration.
- Der Verwaltungszugriff auf den virtuellen Computer wird mithilfe von Azure Bastion über Remotedesktop Protocol (RDP) angezeigt und ist nicht direkt über das öffentliche Internet zulässig.
- Ausgehender externer Internetzugriff wird über die Verwendung des NAT-Gateways (Network Address Translation) und der zugehörigen öffentlichen IP-Adresse bereitgestellt.
Komponenten
Ressourcengruppe
Eine ressource-Gruppe ist ein logischer Container, der verwandte Azure Ressourcen enthält. Ressourcen sollten allgemein auf der Grundlage ihrer Lebensdauer sowie auf der Grundlage der Benutzer gruppiert werden, die sie verwalten.
Stellen Sie eng zugeordnete Ressourcen bereit, die denselben Lebenszyklus in derselben Ressourcengruppe gemeinsam nutzen. Mithilfe von Ressourcengruppen können Sie Ressourcen als Gruppe bereitstellen und überwachen und Abrechnungskosten nach Ressourcengruppe verfolgen. Sie können auch Ressourcen als Gruppe löschen. Dies ist für Testbereitstellungen nützlich. Vergeben Sie aussagekräftige Ressourcennamen, um das Auffinden einer bestimmten Ressource und das Erfassen ihrer Rolle zu vereinfachen. Weitere Informationen finden Sie unter Recommended Naming Conventions for Azure Resources.
Virtueller Computer
Sie können einen virtuellen Computer aus einer Liste veröffentlichter Images oder aus einer benutzerdefinierten verwalteten Image- oder VHD-Datei (Virtual Hard Disk) bereitstellen, die in Azure BLOB-Speicher hochgeladen wurde.
Azure bietet viele verschiedene virtuelle Maschinengrößen. Wenn Sie eine vorhandene Workload auf Azure verschieben, beginnen Sie mit der VM-Größe, die am besten Ihren lokalen Servern entspricht. Messen Sie dann die Leistung Ihrer tatsächlichen Workload in Bezug auf CPU, Arbeitsspeicher und Datenträger-IOPS (E/A-Vorgänge pro Sekunde), und passen Sie die Größe nach Bedarf an.
Wählen Sie im Allgemeinen eine Azure Region aus, die Ihren internen Benutzern oder Kunden am nächsten kommt. Es sind nicht alle VM-Größen in allen Regionen verfügbar. Weitere Informationen finden Sie unter Dienste nach Region. Führen Sie für eine Liste der in einer bestimmten Region verfügbaren VM-Größen den folgenden Befehl aus dem Azure CLI aus:
az vm list-sizes --location <location>
Informationen zum Auswählen eines veröffentlichten VM-Images finden Sie unter Finden Windows VM-Images.
Datenträger
Für optimale Datenträger-E/A-Leistung empfehlen wir Premium-SSDs, die Daten auf Festkörperlaufwerken (SSDs) speichern. Die Kosten basieren auf der Kapazität des bereitgestellten Datenträgers. IOPS und Durchsatz richten sich ebenfalls nach der Datenträgergröße. Berücksichtigen Sie beim Bereitstellen eines Datenträgers also alle drei Faktoren (Kapazität, IOPS und Durchsatz). Premium-SSDs bieten kostenloses Bursting, das in Kombination mit einem Verständnis von Arbeitslastmustern eine effektive SKU-Auswahl- und Kostenoptimierungsstrategie für IaaS-Infrastruktur ermöglicht. Dies ermöglicht hohe Leistung ohne übermäßige Überbereitstellung und Minimierung der Kosten für nicht verwendete Kapazität.
Hinweis
Derzeit können Premium SSD v2- und Ultra-Datenträger nur als Datenlaufwerke verwendet werden. Sie werden für Betriebssystemdatenträger nicht unterstützt.
Verwaltete Datenträger führen die Speicherverarbeitung für Sie durch, sodass die Datenträgerverwaltung vereinfacht wird. Verwaltete Festplatten benötigen kein Speicherkonto. Sie geben die Größe und den Typ des Datenträgers an. Dieser wird dann als Ressource mit Hochverfügbarkeit bereitgestellt. Verwaltete Festplatten bieten auch eine Kostenoptimierung, indem sie die gewünschte Leistung bereitstellen, ohne dass eine Überbereitstellung erforderlich ist, indem sie schwankende Arbeitsauslastungsmuster berücksichtigen und die nicht genutzte bereitgestellte Kapazität minimieren.
Standardmäßig ist der Betriebssystemdatenträger ein verwalteter Datenträger, der in Azure Disk Storage gespeichert ist, sodass er auch dann beibehalten wird, wenn der Hostcomputer deaktiviert ist. Im Fall von zustandslosen Workloads, bei denen schnelle Bereitstellung und keine Betriebssystempersistenz gewünscht werden, werden kurzlebige Betriebssystemdatenträger empfohlen. Diese Datenträger platzieren das Betriebssystemimage auf dem lokalen Speicher des VM-Hosts anstelle von Remote-Azure Storage, verringern die Leselatenz, beschleunigen das Reimaging und beseitigen die Kosten für verwaltete Datenträger. Alle Daten auf einem kurzlebigen Betriebssystemdatenträger gehen jedoch beim Anhalten (Deallocate), bei der Neuabbildung oder bei Wartungsveranstaltungen des Hosts verloren. Kurzlebige Betriebssystemdatenträger unterstützen keine Momentaufnahmen oder Azure Backup. Verwenden Sie flüchtige Betriebssystemdatenträger nur, wenn die virtuellen Maschinen vollständig automatisiert erneut bereitgestellt werden können.
Abhängig von der ausgewählten SKU verfügt der virtuelle Computer möglicherweise auch über einen temporären Datenträger, der auf einem physischen Laufwerk auf dem Hostcomputer gespeichert ist (das Laufwerk D: auf Windows). Der temporäre Datenträger wird nicht auf Azure Storage beibehalten und kann während Neustarts und anderen VM-Lebenszyklusereignissen gelöscht werden. Verwenden Sie den temporären Datenträger nur für Entwurfsdaten, die keinen Neustart benötigen, z. B. anwendungsspezifische temporäre Dateien oder Austauschspeicher.
Windows benötigt eine Seitendatei für die Verwaltung des virtuellen Speichers. Auf kleinen Computersystemschnittstellen (SCSI)-basierten VM-Größen (v5 und älter) platzieren Marketplace-Images die Seitendatei standardmäßig auf dem temporären Datenträger. Bei nicht veränderlichem Speicher Express (NVMe)-basierten VM-Größen (v6 und höher) wird die Seitendatei standardmäßig auf dem Betriebssystemdatenträger gespeichert, da die temporären NVMe-Datenträger nach jedem Start initialisiert werden müssen. Für kurzlebige Betriebssystemdatenträger-VMs befindet sich die Seitendatei auch auf dem Betriebssystemdatenträger.
Installieren Sie, sofern möglich, Anwendungen auf einem Datenträger für Daten und nicht auf dem Datenträger für das Betriebssystem. Einige ältere Anwendungen müssen möglicherweise Komponenten auf dem Laufwerk „C:“ installieren. In diesem Fall können Sie die Größe des Datenträgers für das Betriebssystem mit PowerShell ändern.
Es wird empfohlen, einen oder mehrere Datenträger für Anwendungsdaten zu erstellen. Datenträger sind permanent verwaltete Datenträger, die von Azure Storage gesichert werden.
Wenn Sie einem virtuellen Computer einen neuen Datenträger hinzufügen, ist er unformatiert. Melden Sie sich beim virtuellen Computer an, um den Datenträger zu formatieren. Das Hinzufügen eines neuen Datenträgers kann auch über PowerShell erfolgen.
Netzwerk
Die Netzwerkkomponenten enthalten die folgenden Ressourcen:
Virtuelles Netzwerk. Jede VM wird in einer virtual network bereitgestellt, die in mehrere Subnetze segmentiert werden kann.
Netzwerkschnittstelle (NIC) Die NIC ermöglicht der VM die Kommunikation mit dem virtual network. Wenn Sie mehrere NICs für Ihren virtuellen Computer benötigen, wird für jede VM-Größe eine maximale Anzahl von NICs definiert.
Öffentliche IP-Adresse: Eine öffentliche IP-Adresse kann verwendet werden, um mit dem virtuellen Computer von außerhalb von Azure über Remotedesktop zu kommunizieren. Dies wird jedoch abgeraten, da es sich um ein potenzielles Sicherheitsrisiko handelt.
Warning
Das Direkte Anfügen einer öffentlichen IP-Adresse stellt ein potenzielles Sicherheitsrisiko dar. Dies sollte nur unter extremen Umständen und nur in Verbindung mit anderen Sicherheitsmethoden erfolgen, z. B. das Filtern von Datenverkehr mithilfe von Netzwerksicherheitsgruppen.
Für den Verwaltungszugriff auf einen virtuellen Computer empfehlen wir, Azure Bastion oder intern zu verwenden, wenn sie über ein VPN oder Azure ExpressRoute verbunden sind.
- Die öffentliche IP-Adresse kann dynamisch oder statisch sein. Die Standardeinstellung ist „Dynamisch“. Reservieren Sie eine statische IP-Adresse, wenn Sie eine feste IP-Adresse benötigen, die sich nicht ändert — zum Beispiel, wenn Sie einen DNS-'A'-Record erstellen oder die IP-Adresse zu einer sicheren Liste hinzufügen müssen.
- Sie können auch einen vollständig qualifizierten Domänennamen (FQDN) für die IP-Adresse erstellen. Sie können anschließend einen CNAME-Eintrag in DNS registrieren, der auf den FQDN verweist. Weitere Informationen finden Sie unter Einen vollständig qualifizierten Domänennamen im Azure-Portal erstellen.
Netzwerksicherheitsgruppen (NSG) Netzwerksicherheitsgruppen werden verwendet, um den Netzwerkdatenverkehr für VMs und/oder Subnetze zuzulassen oder zu verweigern. Sie können den Subnetzen oder einzelnen NICs zugeordnet werden, die an VMs angefügt sind.
- Alle NSGs enthalten eine Reihe von default-Regeln, einschließlich einer Regel, die den gesamten eingehenden Internetdatenverkehr blockiert. Die Standardregeln können nicht gelöscht werden, aber sie können von anderen Regeln überschrieben werden. Um Internetdatenverkehr zu aktivieren, erstellen Sie Regeln, die eingehenden Datenverkehr zu bestimmten Ports zulassen , z. B. Port 443 für HTTPS.
Azure NAT Gateway.Network Address Translation (NAT)-Gateways erlauben es allen Instanzen in einem privaten Subnetz, ausgehende Verbindungen zum Internet herzustellen, während sie vollständig privat bleiben. Es können nur Pakete über ein NAT-Gateway weitergeleitet werden, die als Antwortpakete an eine ausgehende Verbindung eingehen. Nicht angeforderte eingehende Verbindungen aus dem Internet werden nicht zugelassen.
Hinweis
Um die Standardsicherheit zu verbessern, wird der voreingestellte ausgehende Internetzugriff für alle neuen virtuellen Netzwerke nicht mehr empfohlen. Ausgehende Internetverbindung muss explizit über die Verwendung anderer Ressourcen wie NAT-Gateways, Azure Standardlastenausgleichsgeräte oder Firewalls konfiguriert werden. Weitere Informationen finden Sie unter Default ausgehender Zugriff in Azure.
- Azure Bastion.Azure Bastion ist eine vollständig verwaltete Plattform als Dienstlösung, die sicheren Zugriff auf VMs über private IP-Adressen ermöglicht. Bei dieser Konfiguration benötigen VMs keine öffentliche IP-Adresse, die sie für das Internet verfügbar macht, wodurch ihr Sicherheitsstatus verbessert wird. Azure Bastion bietet sichere Remotedesktop Protocol (RDP) oder SECURE Shell (SSH)-Konnektivität mit Ihren VMs direkt über Transport Layer Security (TLS) über verschiedene Methoden, einschließlich des Azure Portals oder systemeigenen SSH- oder RDP-Clients.
Vorgänge
Diagnose: Aktivieren Sie die Überwachung und Diagnose, einschließlich grundlegender Gesundheitsmetriken, Infrastrukturprotokolle zur Diagnose sowie der Startdiagnose. Startdiagnosen dienen dazu, einen Fehler beim Startvorgang zu untersuchen, wenn Ihre VM einen nicht startfähigen Zustand hat. Erstellen Sie ein Azure Storage Konto zum Speichern der Protokolle. Ein lokal redundantes Standardspeicherkonto (LRS) reicht für Diagnoseprotokolle aus. Weitere Informationen finden Sie unter Aktivieren von Überwachung und Diagnose.
Verfügbarkeit: Ihre VM kann durch planierte Wartung oder unplanierte Ausfallzeiten betroffen sein. Sie können VM-Neustartprotokolle verwenden, um zu ermitteln, ob ein VM-Neustart durch einen geplanten Wartungsvorgang verursacht wurde. Um eine höhere Verfügbarkeit zu erzielen, stellen Sie mehrere virtuelle Computer über Verfügbarkeitszonen innerhalb einer Region bereit. Dies bietet eine vereinbarung auf höherer Serviceebene (SLA) an. Wenn Verfügbarkeitszonen nicht unterstützt werden, können Verfügbarkeitssätze den Schutz vor Hostfehlern oder Hostupdates bieten. Verfügbarkeitszonen sind jedoch nach Möglichkeit die empfohlene Option.
Sicherungen. Verwenden Sie zum Schutz vor versehentlichem Datenverlust den Dienst Azure Backup, um Ihre virtuellen Computer im Speicher zu sichern. Je nach Region können Sie georedundanten oder zonenredundanten Speicher für Sicherungen verwenden. Azure Backup bietet anwendungskonsensige Sicherungen. Berücksichtigen Sie bei leistungsempfindlichen Workloads die agentless multi-disk crash consistent backup Funktion, die VM-Sicherungen ohne Verwendung des Volumeschattenkopiediensts (Volume Shadow Copy Service, VSS) ermöglicht, um die Leistungseinbußen zu reduzieren.
Das Anhalten einer virtuellen Maschine Azure unterscheidet zwischen "angehaltenen" und "freigegebenen" Zuständen. Ihnen werden Gebühren berechnet, wenn der VM-Status angehalten ist, aber nicht, wenn die VM deallokiert ist. Im Azure-Portal wird die Schaltfläche Stop verwendet, um die VM freizugeben. Wenn Sie über das Betriebssystem herunterfahren, während Sie angemeldet sind, wird die VM zwar gestoppt, aber nicht freigegeben, sodass weiterhin Kosten anfallen.
Löschen eines virtuellen Computers: Beim Löschen einer VM können Sie die Datenträger wahlweise löschen oder aufbewahren. Dies bedeutet, dass Sie die VM problemlos löschen können, ohne dass Daten verloren gehen. Allerdings werden Ihnen die Datenträger weiter in Rechnung gestellt. Sie können verwaltete Datenträger wie jede andere Azure Ressource löschen. Zur Verhinderung des versehentlichen Löschens verwenden Sie eine Ressourcensperre, um die gesamte Ressourcengruppe oder einzelne Ressourcen, z. B. einen virtuellen Computer, zu sperren.
Alternatives
Skalierungssätze für virtuelle Computer – Arbeitsauslastungen, die für Geschäftsvorgänge wichtig sind, sollten niemals von einem einzelnen virtuellen Computer abhängen. Skalierungssätze bieten die Möglichkeit, Workloads über Knoten zu verteilen und in Zeiten höheren Datenverkehrs hochzuskalieren oder bei minimalem Datenverkehr wieder zu reduzieren, um Kosten zu minimieren.
Azure Load Balancer wäre nützlich, um einen Lastenausgleich zwischen mehreren virtuellen Computern oder einem Skalierungssatz für virtuelle Computer bereitzustellen. Sie kann auch als Alternative zu einem NAT-Gateway verwendet werden, um den Zugriff auf eine Workload über das Internet zu ermöglichen und gleichzeitig ausgehenden Zugriff zu unterstützen.
Application Gateway ist eine alternative Layer 7-Lastenausgleichsoption für HTTP/HTTPS-Datenverkehr, die in der Regel vor mehreren virtuellen Computern oder einem Skalierungssatz für virtuelle Computer innerhalb einer Azure Region bereitgestellt wird.
Eine weitere Bereitstellung auf Unternehmensebene finden Sie unter Azure Virtual Machines Basisarchitektur in einer Azure Zielzone.
Details zum Szenario
Im obigen Diagramm wäre dieses Szenario hilfreich, um eine nicht kritische Workload bereitzustellen, die für nur interne Benutzer nützlich ist.
Potenzielle Anwendungsfälle
Eine einzelne VM-Bereitstellung kann verwendet werden, um eine einfache Anwendung zu hosten, die nicht für das Internet verfügbar gemacht werden muss und einigen Ausfallzeiten standhalten kann. Dies kann z. B. eine einfache interne Berichterstellungsanwendung sein.
Überlegungen
Diese Überlegungen implementieren die Säulen des Azure Well-Architected Frameworks, bei dem es sich um eine Reihe von Leitsätzen handelt, die verwendet werden können, um die Qualität einer Arbeitsauslastung zu verbessern. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.
Reliability
Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.
Da diese Architektur nur ein einfaches Beispiel für einen einzelnen virtuellen Computer ist, verfügt sie über eine minimale Zuverlässigkeit. Jedes Problem mit dem virtuellen Computer selbst oder dem Host, auf dem er ausgeführt wird, führt zu einem Ausfall, was dazu führt, dass alle gehosteten Workloads nicht verfügbar sind. Für alle Workloads, die eine höhere Verfügbarkeit benötigen, sollten mehrere virtuelle Maschinen bereitgestellt werden, die denselben Workload enthalten, wobei diese Instanzen hinter einem geeigneten Load-Balancer stehen. Wenn sich diese innerhalb derselben Region befinden, sollten diese virtuellen Computer über Verfügbarkeitszonen (sofern unterstützt) bereitgestellt und dem Back-End eines Azure Load Balancer Standard oder eines Anwendungsgateways hinzugefügt werden, wenn die Workload HTTP/HTTPS-basiert ist. Dies ermöglicht es, dass die Workload weiterhin verfügbar ist, wenn ein einzelner virtueller Computer im Back-End abfällt.
Skalierungssätze für virtuelle Computer sind eine weitere Option, um die Verwaltung von mehrknotigen Arbeitslasten zu vereinfachen, die die Möglichkeit benötigen, automatisch die Anzahl der Instanzen anhand verschiedener Metriken wie CPU- oder Arbeitsspeichernutzung ein- oder auszublenden.
Hohe Verfügbarkeit/Notfallwiederherstellung (HA/DR)
Um den Explosionsradius zu reduzieren und die Resilienz zu verbessern, sollte die Workload in mehreren Regionen bereitgestellt werden und den Azure Landing Zone Leitfaden nutzen. Dies kann in einer Active-Passive-Konfiguration erfolgen, bei der ein Failover in die sekundäre Region erfolgt, wenn die primäre Region nicht verfügbar ist, oder in einer Active-Active-Architektur, bei der beide Regionen Datenverkehr für Nutzer bereitstellen. Ein Beispiel finden Sie unter "Mehrstufige Webanwendung", die für HA/DR unter"Nächste Schritte " erstellt wurde.
Im Beispiel in diesem Artikel wird Azure Site Recovery verwendet, um die Datenträger einzelner virtueller Computer in eine sekundäre Region zu replizieren, in der Site Recovery verwendet werden kann, um diese virtuellen Computer in die sekundäre Region mit einem niedrigen Recovery Point Objective (RPO)/Wiederherstellungszeitziel (Recovery Time Objective, RTO) zu übergeben.
Stellen Sie sicher, dass Sie Ihre Architektur bewerten, um Ihre HA/DR-Anforderungen über alle Komponenten hinweg zu erfüllen, nicht nur die virtuellen Computer. In all diesen Entscheidungen gehören Netzwerk, Identität und Daten zu Ihren Überlegungen.
Sicherheit
Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Entwurfsprüfliste für die Sicherheit.
Verwenden Sie Microsoft Defender for Cloud, um einen zentralen Überblick über den Sicherheitsstatus Ihrer Azure Ressourcen zu erhalten. Mit Defender for Cloud werden potenzielle Sicherheitsprobleme überwacht, und Sie erhalten eine umfassende Darstellung des Sicherheitszustands Ihrer Bereitstellung. Defender für Cloud ist pro Azure Abonnement konfiguriert. Aktivieren Sie die Sicherheitsdatensammlung, wie in Connect your Azure subscriptions beschrieben. Nachdem die Datensammlung aktiviert wurde, durchsucht Defender für Cloud VMs automatisch, die unter diesem Abonnement erstellt werden.
Patchverwaltung: Falls aktiviert, prüft Defender für Cloud, ob Sicherheitsupdates und kritische Updates fehlen. Verwenden Sie Group Policy-Einstellungen auf dem virtuellen Computer, um automatische Systemupdates zu aktivieren.
Antischadsoftware. Wenn diese Option aktiviert ist, überprüft Defender for Cloud, ob Antischadsoftware installiert ist. Sie können auch Defender for Cloud verwenden, um Antischadsoftware aus dem Azure-Portal zu installieren.
Zugriffssteuerung. Verwenden Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC), um den Zugriff auf Azure Ressourcen zu steuern. mit Azure RBAC können Sie Mitgliedern Ihres DevOps-Teams Autorisierungsrollen zuweisen. Die Rolle "Leser" kann z. B. Azure Ressourcen anzeigen, aber nicht erstellen, verwalten oder löschen. Einige Berechtigungen sind spezifisch für einen Azure Ressourcentyp. Die Rolle "Mitwirkender virtueller Computer" kann z. B. einen virtuellen Computer neu starten oder neu zuweisen, das Administratorkennwort zurücksetzen und einen neuen virtuellen Computer erstellen. Andere integrierte Rollen , die für diese Architektur nützlich sein können, sind DevTest Labs-Benutzer und Netzwerkmitwirkender.
Hinweis
Azure RBAC beschränkt nicht die Aktionen, die ein Benutzer bei einer VM ausführen kann. Diese Berechtigungen werden vom Kontotyp im Gastbetriebssystem bestimmt.
Überwachungsprotokolle: Verwenden Sie Überwachungsprotokolle, um Bereitstellungsaktionen und andere VM-Ereignisse anzuzeigen.
Datenverschlüsselung. Aktivieren Sie encryption auf host, um End-to-End-Verschlüsselung für Ihre VM-Daten zu erreichen, einschließlich temporärer Datenträger und Datenträgercaches. Die Verschlüsselung bei Host verarbeitet die Verschlüsselung in der VM-Hostinfrastruktur und verbraucht keine VM-CPU-Ressourcen, im Gegensatz zur gastbasierten Verschlüsselung. Sie können customer-managed keys mit Azure Key Vault für persistente Betriebssystem- und Datenträger verwenden. Temporäre Datenträger und ephemerale Betriebssystemdatenträger werden mit plattformverwalteten Schlüsseln verschlüsselt. Vergewissern Sie sich, dass die ausgewählte VM-Größe die Verschlüsselung auf host vor der Bereitstellung unterstützt.
Kostenoptimierung
Bei der Kostenoptimierung geht es um Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Design Review-Checkliste für die Kostenoptimierung.
Je nach Nutzung und Workload gibt es verschiedene Optionen für VM-Größen. Der Bereich umfasst die wirtschaftlichste Option der Bs-Serie bis zu den neuesten GPU-VMs, die für machine learning optimiert sind. Informationen zu den verfügbaren Optionen finden Sie unter Azure Windows VM-Preise.
Verwenden Sie für vorhersehbare Workloads Azure Reservations und Azure Savings Plan für Computeleistung mit einem einjährigen oder dreijährigen Vertrag, und erhalten Sie erhebliche Einsparungen bei den Pay-as-you-go-Preisen. Für Workloads, bei denen der Zeitpunkt des Abschlusses oder der Ressourcenverbrauch nicht vorhersehbar ist, bietet sich die nutzungsbasierte Bezahlung an.
Verwenden Sie Azure Spot-VMs, um Workloads auszuführen, die unterbrochen werden können und keinen Abschluss innerhalb eines vordefinierten Zeitrahmens oder einer SLA erfordern. Azure stellt Spot-VMs bereit, wenn kapazität verfügbar ist und entfernt wird, wenn sie die Kapazität zurück benötigt. Die Kosten im Zusammenhang mit Spot virtual machines sind deutlich niedriger. Spot-VMs bieten sich für die folgenden Workloads an:
- High-Performance Computing, Batchverarbeitungsaufträge oder visuelle Renderinganwendungen
- Testumgebungen, einschließlich der Continuous Integration- und Continuous Delivery-Workloads.
- Großflächige zustandslose Anwendungen
Verwenden Sie den Azure Preisrechner, um Kosten zu schätzen.
Weitere Informationen finden Sie im Abschnitt "Kosten" in Microsoft Azure Well-Architected Framework.
Operative Exzellenz
Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie in der Checkliste zur Designüberprüfung für operationale Exzellenz.
Verwenden Sie IaC-Vorlagen (Infrastructure-as-Code), um Azure Ressourcen und deren Abhängigkeiten bereitzustellen. Diese können mithilfe von Bicep, Azure Resource Manager Vorlagen (ARM-Vorlagen) oder Terraform geschrieben werden, je nach Ihren Einstellungen und etablierten Tooloptionen. Diese Vorlagen ermöglichen einen Prozess für kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD) als Teil einer automatisierten Bereitstellungsmethode für die Bereitstellung und Konfiguration von Ressourcen. Dieser Ansatz ermöglicht die Versionsverwaltung von Architekturen und gewährleistet die Konsistenz zwischen Umgebungen sowie die Erzwingung von Reproduzierbarkeit, Sicherheit und Compliance.
Um bei der Überwachung und Diagnose von Problemen zu helfen, stellen Sie sicher, dass Diagnoseprotokolle für Ihre Ressourcen aktiviert sind und für Azure Monitor zur Verfügung gestellt werden, um die Analyse und Optimierung Ihrer Ressourcen zu unterstützen. Diese Protokolle können verwendet werden, um Warnungen und Benachrichtigungen kritischer Ereignisse zu implementieren und in einigen Fällen eine automatisierte Wartung oder Protokollierung eines Tickets in Ihrem IT Service Management (ITSM)-System zu ermöglichen.
Leistungseffizienz
Die Leistungseffizienz konzentriert sich auf die Optimierung von Cloud-Workloads für Geschwindigkeit, Reaktionsfähigkeit und Skalierbarkeit. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung zur Leistungseffizienz.
Zu den wichtigsten Zielen zählen die Minimierung der Latenz, die Sicherstellung skalierbarer Architekturen, die Optimierung der Ressourcenauslastung und eine kontinuierliche Verbesserung der Systemleistung.
Wie bereits erwähnt, können die Entscheidungen bezüglich der Workloadarchitektur, der VM-SKU und der Datenträgerkonfigurationen einen großen Einfluss auf die Leistung Ihrer Workload haben. Wenn Sie die richtigen Entscheidungen treffen, können Sie verhindern, dass Sie die Lösung in Zukunft neu entwerfen müssen, indem Sie Flexibilität und Kosten sparen.
Berücksichtigen Sie beim Entwickeln Ihrer Architektur unbedingt diese Punkte:
- Verwenden Sie Skalierungssätze für virtuelle Computer, wenn die Workload eine dynamische Last aufweist. Skalieren Sie z. B. in Zeiten großer Verkehrsaufkommen, und skalieren Sie dann wieder zurück, wenn das Verkehrsaufkommen abnimmt. Dadurch wird eine angemessene Verarbeitungsleistung gewährleistet, während die Kosten weiterhin unter Kontrolle bleiben.
- Wählen Sie die entsprechenden VM- und Datenträger-SKUs aus, um die erforderlichen IOPS während der Verarbeitung zu erfüllen. Konfigurieren Sie die Zwischenspeicherung, um die Leistung weiter zu verbessern.
- Wenn Ihre Workload ungewöhnlich latenzempfindlich ist, verwenden Sie Näherungsplatzierungsgruppen (Proximity Placement Groups, PPGs), um sicherzustellen, dass sich mehrere VMs physisch nahe beieinander befinden, um eine bessere Leistung zu erzielen. PPGs können auch in Verbindung mit Verfügbarkeitssätzen verwendet werden, um niedrige Latenz mit hoher Verfügbarkeit innerhalb eines einzigen physischen Rechenzentrums zu kombinieren.
- Aktivieren Sie nach Möglichkeit beschleunigte Netzwerke, um die Latenz zwischen Komponenten zu minimieren.
- Entwerfen Sie die Netzwerkarchitektur, um überflüssige Sprünge zu minimieren.
- Verwenden Sie Azure Monitor, VM Insights und andere Tools, um Metriken kontinuierlich zu analysieren und aktualisierte Leistungsbaselines zu erstellen. Verwenden Sie die Leistungsinformationen, um zu bestimmen, wo Änderungen implementiert werden sollen, und testen Sie dann anhand dieser Basispläne.
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Sie wurde ursprünglich von den folgenden Mitwirkenden verfasst.
Hauptautor:
- Donnie Trumpower | Senior Cloud & AI Solutions Architect
Um nicht öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.
Nächste Schritte
- Informationen zum Erstellen einer Windows-VM finden Sie unter Quickstart: Erstellen eines Windows virtuellen Computers im Azure-Portal.
- Informationen zum Installieren von NVIDIA-Treibern auf einer Windows VM finden Sie unter Installieren Sie NVIDIA GPU-Treiber auf VMs der N-Serie, die Windows ausführen.
- Informationen zum Installieren von AMD-Treibern auf einer Windows VM finden Sie unter Installieren sie AMD GPU-Treiber auf VMs der N-Serie, die Windows ausführen.
- Informationen zum Bereitstellen eines Windows virtuellen Computers finden Sie unter Create and Manage Windows VMs with Azure PowerShell.
- Default ausgehender Netzwerkzugriff in Azure.
- Ein Beispiel für eine komplexere Architektur finden Sie unter Azure Virtual Machines Basisarchitektur in einer Azure Zielzone.
- Informationen zum Bereitstellen einer Webanwendung über Regionen hinweg finden Sie unter "Webanwendung mit mehreren Ebenen", die für HA/DR erstellt wurde.