Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Sauvegarde Azure
Azure Bastion
Stockage Blob Azure
Azure Resource Manager
Stockage Azure
Machines virtuelles Azure
L’approvisionnement d’une machine virtuelle dans Azure nécessite des composants supplémentaires en plus de la machine virtuelle elle-même, y compris la mise en réseau et les ressources de stockage. Cet article présente les meilleures pratiques d’exécution d’une machine virtuelle Linux sécurisée sur Azure.
Architecture
Téléchargez un fichier Visio de cette architecture.
Flux de travail
Cet exemple montre un déploiement de base à l’aide d’une seule machine virtuelle avec les composants requis. La machine virtuelle peut exécuter des charges de travail, est gérable et peut communiquer avec l’Internet public. Il est conçu pour éviter une exposition directe aux menaces externes.
- Toutes les charges de travail exécutées sur la machine virtuelle ne sont pas exposées en externe et ne sont accessibles qu’à partir du même réseau, ou d’un réseau virtuel appairé, comme dans une configuration hub-and-spoke.
- L’accès de gestion à la machine virtuelle s’affiche à l’aide de Azure Bastion via SECURE Shell (SSH) et n’est pas directement autorisé à partir de l’Internet public.
- L’accès Internet externe sortant est fourni via l’utilisation de la passerelle NAT (Network Address Translation) et de son adresse IP publique associée.
Components
groupe de ressources
Un groupe resource est un conteneur logique qui contient des ressources Azure associées. En règle générale, regroupez les ressources en fonction de leur durée de vie et de qui va les gérer.
Déployez des ressources étroitement associées qui partagent le même cycle de vie dans le même groupe de ressources. Les groupes de ressources vous permettent de déployer et de surveiller les ressources en tant que groupe et de suivre les coûts de facturation par groupe de ressources. Vous pouvez également supprimer des ressources comme un tout, ce qui est pratique pour les déploiements de test. Affectez des noms de ressource explicites pour simplifier la recherche d’une ressource spécifique et comprendre son rôle. Pour plus d’informations, consultez Conventions d’affectation de noms recommandées pour les ressources Azure.
Machine virtuelle
Vous pouvez approvisionner une machine virtuelle à partir d’une liste d’images publiées, ou à partir d’une image managée personnalisée ou d’un fichier de disque dur virtuel (VHD) chargé dans Azure stockage Blob. Azure prend en charge l’exécution de différentes distributions Linux populaires, notamment Debian, Red Hat Enterprise Linux (RHEL) et Ubuntu. Pour plus d’informations, consultez Azure et Linux.
Azure fournit de nombreuses tailles de machine virtual différentes. Si vous déplacez une charge de travail existante vers Azure, commencez par la taille de machine virtuelle la plus proche de vos serveurs locaux. Mesurez ensuite les performances de votre charge de travail réelle en termes de processeur, de mémoire et d’opérations d’entrée/sortie par seconde du disque, puis ajustez la taille selon vos besoins.
En règle générale, choisissez une région Azure la plus proche de vos utilisateurs internes ou clients. Certaines tailles de machine virtuelle ne sont pas disponibles dans toutes les régions. Pour en savoir plus, consultez Services par région. Pour obtenir la liste des tailles de machine virtuelle disponibles dans une région spécifique, exécutez la commande suivante à partir de l’Azure CLI :
az vm list-sizes --location <location>
Pour en savoir plus sur le choix d’une image de machine virtuelle publiée, voir Comment rechercher des images de machine virtuelle Linux.
Disques
Pour des performances d’E/S de disque optimales, nous vous recommandons des disques SSD Premium, qui stockent des données sur des disques SSD (SSD). Le coût est basé sur la capacité du disque approvisionné. Le nombre d’E/S par seconde et le débit (c’est-à-dire le taux de transfert des données) dépendent également de la taille du disque. Lorsque vous approvisionnez un disque, vous devez donc tenir compte des trois facteurs : capacité, E/S par seconde et débit. Les SSDs Premium offrent un bursting gratuit qui, combiné à une compréhension des modèles de charge de travail, propose une stratégie efficace de sélection de SKU et d’optimisation des coûts pour l’infrastructure IaaS. Cela permet de hautes performances sans surprovisionnement excessif et de réduire le coût de la capacité inutilisée.
Note
Actuellement, les disques SSD Premium v2 et Ultra ne peuvent être utilisés que pour les disques de données. Ils ne sont pas pris en charge pour les disques du système d’exploitation.
Disques managés simplifiez la gestion des disques en gérant le stockage pour vous. Les disques gérés ne nécessitent pas de compte de stockage. Il vous suffit simplement de spécifier leur taille et leur type, puis de les déployer en tant que ressource à haute disponibilité. Managed disks offre également une optimisation des coûts en fournissant des performances souhaitées sans avoir besoin de surprovisionnement, en tenant compte des modèles de charge de travail fluctuants et en réduisant la capacité provisionnée inutilisée.
Par défaut, le disque du système d’exploitation est un disque managé stocké dans Stockage sur disque Azure, de sorte qu’il persiste même lorsque l’ordinateur hôte est arrêté. Dans le cas de charges de travail sans état, où l’approvisionnement rapide et aucune persistance du système d’exploitation n’est souhaitée, les disques de système d’exploitation éphémères sont recommandés . Ces disques placent l'image du système d'exploitation sur le stockage local de l'hôte de machine virtuelle au lieu d'une stockage Azure distante, réduisant ainsi la latence de lecture, accélérant la réinitialisation et éliminant le coût du disque managé. Toutefois, toutes les données sur un disque de système d’exploitation éphémère sont perdues lors de l'arrêt (désallocation), du réimagement ou des événements de maintenance de l'hôte. Les disques de système d'exploitation éphémères ne prennent pas en charge les instantanés ou les Sauvegarde Azure. Utilisez des disques de système d’exploitation éphémères uniquement lorsque les machines virtuelles sont entièrement redéployables à partir de l’automatisation.
De nombreuses images Linux ne configurent pas l’espace d’échange par défaut. Si votre charge de travail nécessite un échange, créez-la sur le disque temporaire à l’aide de cloud-init plutôt que sur le disque du système d’exploitation ou sur un disque de données.
Nous vous recommandons de créer un ou plusieurs disques de données pour les données d’application. Les disques de données sont des disques managés persistants sauvegardés par stockage Azure.
Lorsque vous créez un disque, il n’est pas mis en forme. Connectez-vous à la machine virtuelle pour formater ce disque. Dans l’interpréteur de commandes Linux, les disques de données sont affichés sous la forme /dev/sdc, /dev/sddet les lettres ultérieures de la série. Vous pouvez exécuter lsblk pour répertorier les périphériques de bloc, y compris les disques. Pour utiliser un disque de données, créez une partition et un système de fichiers, puis montez le disque. Par exemple :
# Create a partition.
sudo fdisk /dev/sdc # Enter 'n' to partition, 'w' to write the change.
# Create a file system.
sudo mkfs -t ext3 /dev/sdc1
# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1
Lorsque vous ajoutez un disque de données, un numéro d’unité logique (LUN) lui est attribué. Vous pouvez également spécifier l’ID LUN, par exemple si vous remplacez un disque et souhaitez conserver le même ID LUN, ou si votre application nécessite un ID LUN spécifique. Toutefois, n’oubliez pas que les ID LUN doivent être uniques pour chaque disque.
Vous pouvez modifier le planificateur d’E/S pour optimiser les performances sur les disques SSD lors de l’utilisation de disques Stockage Premium. Une recommandation courante consiste à utiliser le planificateur No Operation (NOOP) pour les disques SSD, mais vous devez utiliser un outil tel que iostat pour surveiller les performances des E/S de disque pour votre charge de travail.
De nombreuses machines virtuelles sont créées avec un disque temporaire, qui est stocké sur un lecteur physique sur l’ordinateur hôte. Il n'est pas enregistré dans stockage Azure et peut être supprimé pendant les redémarrages et autres événements du cycle de vie des machines virtuelles. N’utilisez ce disque que pour des données temporaires, telles que des fichiers de pagination ou d’échange. Pour les machines virtuelles Linux, le disque temporaire est /dev/disk/azure/resource-part1. Il est monté sur /mnt/resource ou /mnt.
Réseau
Les composants réseau incluent les ressources suivantes :
Réseau virtuel. Chaque machine virtuelle est déployée dans une virtual network qui est segmentée en sous-réseaux.
Interfaces réseau (NIC) . La carte réseau permet à la machine virtuelle de communiquer avec le réseau virtuel. Si vous avez besoin de plusieurs cartes réseau (NIC) pour votre machine virtuelle, un nombre maximal de cartes réseau est défini pour chaque taille de machine virtuelle.
Adresse IP publique. Une adresse IP publique may être utilisée pour communiquer avec la machine virtuelle en dehors de Azure via SSH. Toutefois, cela est déconseillé car il s’agit d’un risque potentiel de sécurité.
Avertissement
L’attachement d’une adresse IP publique représente directement un risque de sécurité potentiel. Elle ne doit être effectuée que dans des circonstances extrêmes et uniquement conjointement avec d’autres méthodes de sécurité telles que le filtrage du trafic à l’aide de groupes de sécurité réseau.
Pour l’accès de gestion à une machine virtuelle, nous vous recommandons d’utiliser Azure Bastion ou en interne lors de la connexion via un VPN ou un Azure ExpressRoute.
- Cette adresse IP publique peut être dynamique ou statique. Par défaut, elle est dynamique. Réservez une adresse IP statique si vous avez besoin d'une adresse IP fixe qui ne change pas , par exemple, si vous devez créer un enregistrement DNS « A » ou ajouter l'adresse IP à une liste sécurisée.
- Vous pouvez également créer un nom de domaine complet (FQDN) pour l’adresse IP. Vous pouvez inscrire un enregistrement CNAME dans le DNS qui pointe vers le nom de domaine complet (FQDN). Pour plus d’informations, consultez Créer un nom de domaine complet dans le portail Azure.
Groupe de sécurité réseau. Les groupes de sécurité réseau sont utilisés pour autoriser ou refuser le trafic réseau vers des machines virtuelles et/ou des sous-réseaux. Ils peuvent être associés aux sous-réseaux ou aux cartes réseau individuelles attachées aux machines virtuelles.
- Tous les groupes de sécurité réseau contiennent un ensemble de règles par défaut, notamment une règle qui bloque tout le trafic Internet entrant. Les règles par défaut ne peuvent pas être supprimées, mais d’autres règles peuvent les remplacer. Par exemple, pour activer le trafic Internet, créez des règles qui autorisent le trafic entrant vers des ports spécifiques, tels que le port 443 pour HTTPS.
Passerelle de traduction d’adresses réseau Azure (NAT).Les passerelles de traduction d’adresses réseau (NAT) permettent à toutes les instances d’un sous-réseau privé de se connecter à Internet tout en restant entièrement privées. Seuls les paquets qui arrivent en tant que paquets de réponse à une connexion sortante peuvent passer-through une passerelle NAT. Les connexions entrantes non sollicitées en provenance d'Internet ne sont pas autorisées.
Note
Pour améliorer la sécurité par défaut, l’accès Internet sortant implicite est déconseillé pour tous les nouveaux réseaux virtuels. La connectivité Internet sortante doit être configurée explicitement via l’utilisation d’autres ressources telles que les passerelles NAT, Azure les équilibreurs de charge standard ou les pare-feu. Voir Accès sortant par défaut dans Azure pour plus de détails.
Azure Bastion.Azure Bastion est une solution de plateforme entièrement managée en tant que service qui fournit un accès sécurisé aux machines virtuelles via des adresses IP privées. Avec cette configuration, les machines virtuelles n'ont pas besoin d'une adresse IP publique qui les expose à l'internet, ce qui renforce leur posture de sécurité. Azure Bastion fournit une connectivité RDP (Secure Bureau à distance Protocol) ou SSH à vos machines virtuelles directement via transport Layer Security (TLS) via différentes méthodes, notamment le portail Azure ou les clients SSH ou RDP natifs.
Opérations
SSH. Avant de créer une machine virtuelle Linux, générez une paire de clés publique-privée RSA 2048 bits. Utilisez le fichier de clé publique lorsque vous créez la machine virtuelle. Pour plus d’informations, consultez How to Use SSH with Linux and Mac on Azure.
Diagnostics. Permet la surveillance et le diagnostic, avec notamment des indicateurs de santé de base, des journaux d'infrastructure de diagnostic et des diagnostics de démarrage. Les diagnostics de démarrage peuvent vous aider à identifier le problème de démarrage si votre machine virtuelle refuse de démarrer. Créez un compte stockage Azure pour stocker les logs. Un compte de stockage à redondance locale standard est suffisant pour les journaux de diagnostic. Pour en savoir plus, consultez Activation de la surveillance et des diagnostics.
Disponibilité. Votre machine virtuelle pourrait être affectée par une maintenance planifiée ou un temps d'arrêt non planifié. Vous pouvez utiliser les journaux d’activité de redémarrage de machine virtuelle pour déterminer si un redémarrage de la machine virtuelle a été provoqué par une maintenance planifiée. Pour une disponibilité plus élevée, déployez plusieurs machines virtuelles dans des zones de disponibilité au sein d’une région. Cela fournit un contrat de niveau de service (SLA) supérieur. Lorsque les zones de disponibilité ne sont pas prises en charge, les ensembles de disponibilité peuvent vous aider à protéger contre les défaillances de l’hôte ou les mises à jour de l’hôte. Toutefois, les zones de disponibilité sont l’option recommandée si possible.
Sauvegardes. Pour vous protéger contre la perte accidentelle de données, utilisez le service Sauvegarde Azure pour sauvegarder vos machines virtuelles dans le stockage. Selon la région, vous pouvez utiliser le stockage géoredondant ou redondant interzone pour les sauvegardes. Sauvegarde Azure fournit des sauvegardes cohérentes avec les applications. Pour les charges de travail sensibles aux performances ou les distributions Linux spécialisées qui ne prennent pas en charge les agents de sauvegarde traditionnels, utilisez la fonctionnalité de sauvegarde cohérente multi-disque sans agent qui active la protection de sauvegarde automatisée sans affecter les performances de l’application.
Arrêt d’une machine virtuelle. Azure fait une distinction entre les états « arrêtés » et « désalloués ». Vous êtes facturé lorsque l’état de la machine virtuelle est « arrêté », mais pas lorsque la machine virtuelle est désallouée. Dans le portail Azure, le bouton Stop désalloue la machine virtuelle. Si vous arrêtez la machine virtuelle par le biais du système d’exploitation pendant que vous êtes connecté, la machine virtuelle est arrêtée mais non désallouée. Vous serez donc toujours facturé.
Suppression d’une machine virtuelle. Si vous supprimez une machine virtuelle, vous avez la possibilité de supprimer ou de conserver ses disques. Vous pouvez donc supprimer la machine virtuelle, sans risque de perdre des données. Toutefois, vous serez toujours facturé pour les disques. Vous pouvez supprimer des disques managés comme n’importe quelle autre ressource Azure. Pour éviter toute suppression accidentelle, utilisez un verrou de ressource pour verrouiller tout le groupe de ressources ou des ressources individuelles, par exemple une machine virtuelle.
Autres solutions
Groupes d'échelle de machines virtuelles - les charges de travail critiques pour les opérations métier ne doivent jamais dépendre d'une seule machine virtuelle. Les ensembles de mise à l'échelle offrent la possibilité de répartir les charges de travail entre les nœuds et peuvent s'agrandir lorsque le trafic est élevé ou se réduire lorsque le trafic est minimal afin de réduire les coûts.
Azure Load Balancer serait utile pour fournir un équilibrage de charge entre plusieurs machines virtuelles ou un groupe de machines virtuelles identiques. Il peut également être utilisé comme alternative à une passerelle NAT pour autoriser l’accès à une charge de travail à partir d’Internet tout en prenant en charge l’accès sortant.
Application Gateway fournit des fonctionnalités d’équilibrage de charge aux Azure Load Balancer pour les charges de travail HTTP/HTTPS dans une région Azure.
Pour un déploiement au niveau de l’entreprise, consultez Machines virtuelles Azure architecture de base dans une zone d’atterrissage Azure.
Détails du scénario
Dans le diagramme ci-dessus, ce scénario serait utile pour fournir une charge de travail non critique qui est utile pour les utilisateurs internes uniquement.
Cas d’usage potentiels
Un déploiement de machine virtuelle unique peut être utilisé pour héberger une application simple qui n’a pas besoin d’être exposée à Internet et peut résister à un temps d’arrêt. Par exemple, il peut s’agir d’une application de création de rapports interne de base.
Considérations
Ces considérations implémentent les piliers du cadre Azure Well-Architected, comprenant des principes directeurs qui peuvent être utilisés pour améliorer la qualité de la charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.
Reliability
La fiabilité garantit que votre application peut respecter les engagements que vous prenez à vos clients. Pour plus d'informations, veuillez consulter la liste de vérification de la conception pour la fiabilité.
Comme cette architecture n’est qu’un exemple simple utilisant une seule machine virtuelle, elle a un niveau minimal de fiabilité. Tout problème lié à la machine virtuelle elle-même ou à l’hôte sur lequel il est en cours d’exécution entraîne une panne, ce qui entraîne l’indisponibilité des charges de travail hébergées. Pour toute charge de travail nécessitant une disponibilité plus élevée, plusieurs machines virtuelles doivent être déployées qui contiennent la même charge de travail, avec ces instances derrière une solution d’équilibrage de charge appropriée. Si elles se trouvent dans la même région, ces machines virtuelles doivent être déployées dans des zones de disponibilité (où elles sont prises en charge) et ajoutées au serveur principal d’un Azure Standard Load Balancer ou d’une passerelle Application Gateway si la charge de travail est basée sur HTTP/HTTPS. Cela permet à la charge de travail d’être toujours disponible si une seule machine virtuelle dans le serveur principal devait être en panne.
Les jeux d'échelle de machines virtuelles sont une autre option qui aide à simplifier la gestion des charges de travail multinoeuds nécessitant la capacité de faire évoluer automatiquement le nombre d'instances vers le haut ou vers le bas en fonction de plusieurs métriques telles que la consommation du processeur et/ou de la mémoire.
Haute disponibilité/récupération d'urgence (HA/DR)
Pour réduire la surface d'impact, la charge de travail doit être déployée dans plusieurs régions et suivre les directives de Azure Landing Zone. Cela peut se trouver dans une configuration Active-Passive, avec le basculement vers la région secondaire si la région primaire devient indisponible ou une architecture Active-Active où les deux régions servent le trafic vers les consommateurs. Pour obtenir un exemple, consultez l’application web multiniveau créée pour la haute disponibilité/reprise après sinistre dans la section Étapes suivantes.
L’exemple de cet article utilise Azure Site Recovery pour répliquer les disques de machines virtuelles individuelles dans une région secondaire, où Site Recovery peut être utilisé pour basculer ces machines virtuelles vers la région secondaire avec un objectif de point de récupération (RPO) et un objectif de temps de récupération (RTO) faibles.
Veillez à évaluer votre architecture pour répondre à vos besoins en haute disponibilité/récupération d’urgence sur tous les composants, et pas seulement sur les machines virtuelles. Dans toutes ces décisions, incluez des considérations telles que la mise en réseau, l’identité et les données.
Sécurité
La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez liste de vérification pour la révision de conception concernant la sécurité.
Utilisez Microsoft Defender for Cloud pour obtenir une vue centrale de l’état de sécurité de vos ressources Azure. Defender pour le cloud supervise les problèmes potentiels de sécurité et fournit une image complète de l’intégrité de la sécurité de votre déploiement. Defender pour Cloud est configuré par abonnement Azure. Activez la collecte des données de sécurité comme décrit dans Connectez vos abonnements Azure. Une fois la collecte de données activée, Defender pour le cloud analyse automatiquement les machines virtuelles créées dans le cadre de cet abonnement.
Gestion des correctifs. Si cette option est activée, Defender pour le cloud vérifie si des mises à jour critiques et de sécurité sont manquantes.
Antimalware Si cette option est activée, Defender for Cloud vérifie si le logiciel anti-programme malveillant est installé. Vous pouvez également utiliser Defender for Cloud pour installer des logiciels anti-programmes malveillants à partir du portail Azure.
Contrôle d’accès. Utilisez Azure contrôle d’accès en fonction du rôle (Azure RBAC) pour contrôler l’accès aux ressources Azure. Azure RBAC vous permet d’attribuer des rôles d’autorisation aux membres de votre équipe DevOps. Par exemple, le rôle Lecteur peut afficher Azure ressources, mais pas les créer, les gérer ou les supprimer. Certaines autorisations sont spécifiques à un type de ressource Azure. Par exemple, le rôle Contributeur de machine virtuelle peut redémarrer ou libérer une machine virtuelle, réinitialiser le mot de passe administrateur et créer une machine virtuelle. D’autres rôles définis qui peuvent être utiles pour cette architecture incluent DevTest Labs User et Network Contributor.
Note
Azure RBAC ne limite pas les actions qu’un utilisateur connecté à une machine virtuelle peut effectuer. Ces autorisations dépendent du type de compte installé sur le système d’exploitation invité.
Journaux d’audit. Utilisez les journaux d’audit pour voir les actions d’approvisionnement et d’autres événements concernant la machine virtuelle.
Chiffrement des données. Activez encryption sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle, y compris les disques temporaires et les caches de disque. Le chiffrement au niveau de l'hôte gère le chiffrement sur l'infrastructure hôte de machine virtuelle et, contrairement au chiffrement basé sur l'invité, n'utilise pas les ressources du processeur de la machine virtuelle. Vous pouvez utiliser des clés gérées par customer avec Azure Key Vault pour les disques de données et de système d’exploitation persistants. Les disques temporaires et les disques de système d’exploitation ephemeral sont chiffrés avec des clés gérées par la plateforme. Vérifiez que la taille de votre machine virtuelle VM sélectionnée prend en charge le chiffrement sur l’hôte avant de provisionner la machine virtuelle.
Optimisation des coûts
L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez la liste de vérification de conception pour l’optimisation des coûts.
Il existe différentes options pour les tailles de machine virtuelle en fonction de l’utilisation et de la charge de travail. La gamme comprend l’option la plus économique de la série Bs vers les machines virtuelles GPU les plus récentes optimisées pour machine learning. Pour plus d’informations sur les options disponibles, consultez Azure tarification des machines virtuelles Linux.
Pour les charges de travail prévisibles, utilisez Réservations Azure et Plan d’économies Azure pour le calcul avec un contrat d’un an ou trois ans et bénéficiez d’économies significatives sur les prix à la demande. Pour les charges de travail sans temps de réalisation prévisible ou la consommation des ressources, envisagez l’option Paiement à l’utilisation.
Utilisez les machines virtuelles Azure Spot pour exécuter des charges de travail qui peuvent être interrompues et ne nécessitent pas d'achèvement dans un délai prédéterminé ou un SLA. Azure déploie des machines virtuelles Spot s'il existe une capacité disponible et les évince lorsqu'il a de nouveau besoin de la capacité. Les coûts associés à Spot virtual machines sont considérablement inférieurs. Vous pouvez opter pour les machines virtuelles Spot pour ces charges de travail :
- Scénarios de calcul haute performance, travaux de traitement par lots ou applications de rendu visuel.
- Environnements de test, y compris les charges de travail d’intégration continue et de livraison continue.
- Applications sans état à grande échelle.
Utilisez la calculatrice de prix Azure pour estimer les coûts.
Pour plus d’informations, consultez la section coût dans Microsoft Azure Well-Architected Framework.
Excellence opérationnelle
L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et la conservent en production. Pour plus d’informations, consultez Liste de vérification de la conception pour l'excellence opérationnelle.
Utilisez des modèles IaC (Infrastructure-as-Code) pour approvisionner des ressources Azure et leurs dépendances. Ils peuvent être écrits à l’aide de Bicep, de modèles Azure Resource Manager (modèles ARM) ou de Terraform, en fonction de vos préférences et des choix d’outils établis. Ces modèles permettent un processus d’intégration continue/de déploiement continu (CI/CD) dans le cadre d’une méthodologie de déploiement automatisé pour le déploiement et la configuration des ressources. Cette approche permet le contrôle de version des architectures et garantit la cohérence entre les environnements, ainsi que l’application de la reproductibilité, de la sécurité et de la conformité.
Pour faciliter la surveillance et le diagnostic des problèmes, assurez-vous que les journaux de diagnostic sont activés sur vos ressources et sont mis à la disposition de Azure Monitor pour faciliter l’analyse et l’optimisation de vos ressources. Ces journaux peuvent être utilisés pour implémenter des alertes et des notifications d’événements critiques, et, dans certains cas, autoriser la correction automatisée ou la journalisation d’un ticket dans votre système ITSM (It Service Management).
Efficacité des performances
Performance Efficiency se concentre sur l’optimisation des charges de travail cloud pour la vitesse, la réactivité et la scalabilité. Pour plus d’informations, consultez la liste de vérification de la révision de conception pour l’efficacité des performances.
Certains objectifs clés incluent la réduction de la latence, la garantie d’architectures évolutives, l’optimisation de l’utilisation des ressources et l’amélioration continue des performances du système.
Comme mentionné ci-dessus, les décisions prises en ce qui concerne l’architecture de la charge de travail, la référence SKU de machine virtuelle et les configurations de disque peuvent avoir un impact important sur la façon dont votre charge de travail s’exécute. Faire les choix appropriés pourrait empêcher d’avoir à réécrire la solution à l’avenir, en ajoutant de la flexibilité et en économisant les coûts.
Veillez à prendre en compte ces points lors du développement de votre architecture :
- Utilisez des ensembles de machines virtuelles si la charge de travail est dynamique. Par exemple, effectuez un scale-out en temps de grande quantité de trafic, puis effectuez un scale-in lorsque le trafic réduit. Cela garantit une puissance de traitement adéquate tout en conservant les coûts sous contrôle.
- Choisissez les références SKU de machine virtuelle et de disque appropriées pour répondre aux E/S par seconde requises pendant le traitement. Configurez la mise en cache pour améliorer davantage les performances.
- Si votre charge de travail est inhabituelle sensible à la latence, utilisez des groupes de placement de proximité (PPG) pour vous assurer que plusieurs machines virtuelles se trouvent physiquement proches les unes des autres afin d'améliorer les performances. Les PPG peuvent également être utilisés conjointement avec les groupes à haute disponibilité pour combiner une faible latence avec une haute disponibilité au sein d’un seul centre de données physique.
- Dans la mesure du possible, activez la mise en réseau accélérée pour réduire la latence entre les composants.
- Concevez l’architecture réseau pour réduire les tronçons inutiles.
- Utilisez Azure Monitor, VM Insights et d’autres outils pour analyser en permanence les métriques et créer des bases de référence de performances mises à jour. Utilisez les informations de performances pour déterminer où implémenter des modifications, puis testez-les sur ces bases de référence.
Contributors
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Donnie Trumpower | Senior Cloud &AI Solutions Architect
Étapes suivantes
- Pour créer une machine virtuelle Linux, consultez Quickstart : Créer une machine virtuelle Linux dans le portail Azure.
- Pour installer un pilote NVIDIA sur une machine virtuelle Linux, consultez Installer des pilotes GPU NVIDIA sur des machines virtuelles de série N exécutant Linux.
- Pour provisionner une machine virtuelle Linux, consultez Create and Manage Linux VMs with the Azure CLI.
- Accès sortant par défaut dans Azure.
- Pour obtenir un exemple d’architecture plus complexe, consultez Machines virtuelles Azure architecture de base dans une zone d’atterrissage Azure.
- Pour déployer une application web dans différentes régions, consultez l’application web multiniveau conçue pour la haute disponibilité/récupération après sinistre.