Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Backup
Azure Bastion
Azure-blobopslag
Azure Resource Manager
Azure Storage
Azure Virtual Machines
Voor het inrichten van een virtuele machine (VM) in Azure zijn naast de VM zelf extra onderdelen vereist, waaronder netwerk- en opslagresources. In dit artikel vindt u aanbevolen procedures voor het uitvoeren van een beveiligde Linux-VM op Azure.
Architectuur
Download een Visio-bestand van deze architectuur.
Werkproces
In dit voorbeeld ziet u een basisimplementatie met één virtuele machine met de vereiste onderdelen. De virtuele machine kan workloads uitvoeren, kan worden beheerd en kan communiceren met het openbare internet. Het is ontworpen om directe blootstelling aan externe bedreigingen te voorkomen.
- Workloads die op de virtuele machine worden uitgevoerd, worden niet extern weergegeven en zijn alleen toegankelijk vanuit hetzelfde netwerk of een gekoppeld virtueel netwerk, zoals in een hub- en spoke-configuratie.
- Beheertoegang tot de virtuele machine wordt weergegeven met behulp van Azure Bastion via SSH (Secure Shell) en is niet rechtstreeks toegestaan vanaf het openbare internet.
- Uitgaande externe internettoegang wordt geboden via het gebruik van de NAT-gateway (Network Address Translation) en het bijbehorende openbare IP-adres.
Components
Resourcegroep
Een resourcegroep is een logische container met gerelateerde Azure resources. Over het algemeen groepeert u resources op basis van hun levensduur en wie deze beheert.
Implementeer nauw gekoppelde resources die dezelfde levenscyclus delen in dezelfde resourcegroep. Met resourcegroepen kunt u resources groepsgewijs implementeren en bewaken. Ook kunt u de factureringskosten per groep bijhouden. U kunt resources ook verwijderen als een set, wat handig is voor testimplementaties. Wijs zinvolle resourcenamen toe om het zoeken naar een specifieke resource te vereenvoudigen en de rol ervan te verduidelijken. Zie Aanbevolen naamgevingsconventies voor Azure-resources voor meer informatie.
Virtuele machine
U kunt een VIRTUELE machine inrichten vanuit een lijst met gepubliceerde installatiekopieën of vanuit een aangepast beheerd installatiekopieënbestand of VHD-bestand (virtuele harde schijf) dat is geüpload naar Azure Blob-opslag. Azure ondersteunt het uitvoeren van verschillende populaire Linux-distributies, waaronder Debian, Red Hat Enterprise Linux (RHEL) en Ubuntu. Zie Azure en Linux voor meer informatie.
Azure biedt veel verschillende virtuele machinegrootten. Als u een bestaande workload naar Azure verplaatst, begint u met de VM-grootte die het dichtst bij uw on-premises servers past. Meet vervolgens de prestaties van uw werkelijke werkbelasting in termen van CPU, geheugen en schijfinvoer/uitvoerbewerkingen per seconde (IOPS) en pas de grootte zo nodig aan.
Kies over het algemeen een Azure regio die zich het dichtst bij uw interne gebruikers of klanten bevindt. Niet alle VM-grootten zijn beschikbaar in alle regio's. Zie Services per regio voor meer informatie. Voer de volgende opdracht uit vanuit de Azure CLI voor een lijst met de VM-grootten die beschikbaar zijn in een specifieke regio:
az vm list-sizes --location <location>
Zie Find Linux VM images voor meer informatie over het kiezen van een gepubliceerde VM-image.
Schijven
Voor de beste I/O-prestaties van de schijf raden we Premium SSD's aan, waarmee gegevens worden opgeslagen op SSD's (Solid-State Drives). De kosten zijn gebaseerd op de capaciteit van de ingerichte schijf. IOPS en doorvoer (dat wil zeggen de snelheid van de gegevensoverdracht) zijn ook afhankelijk van de schijfgrootte, dus als u een schijf inricht, moet u rekening houden met alle drie factoren (capaciteit, IOPS en doorvoer). Premium SSD's bieden gratis bursting die, gecombineerd met inzicht in workloadpatronen, een effectieve SKU-selectie- en kostenoptimalisatiestrategie biedt voor de IaaS-infrastructuur. Dit maakt hoge prestaties mogelijk zonder overmatige overinrichting en minimaliseer de kosten van ongebruikte capaciteit.
Notitie
Momenteel kunnen Premium SSD v2- en Ultra-schijven alleen worden gebruikt voor gegevensschijven. Ze worden niet ondersteund voor besturingssysteemschijven.
Managed Disks vereenvoudig schijfbeheer door de opslag voor u te verwerken. Managed disks hebt geen storage-account nodig. U specificeert de grootte en het type van de schijf en deze wordt ingezet als een hoog beschikbare hulpbron. Managed disks bieden ook kostenoptimalisatie aan door het leveren van de gewenste prestaties zonder overinrichting, rekening houdend met fluctuerende workloadpatronen en ongebruikte capaciteit te verminderen.
De besturingssysteemschijf is standaard een beheerde schijf die is opgeslagen in Azure Disk Storage, dus blijft deze behouden, zelfs wanneer de hostcomputer offline is. In het geval van stateless workloads, waarbij snelle inrichting en geen persistentie van het besturingssysteem gewenst is, worden tijdelijke besturingssysteemschijven aanbevolen. Deze schijven zetten de installatiekopie van het besturingssysteem op de lokale opslag van de VM-host in plaats van externe Azure Storage, verlagen de leeslatentie, versnellen het opnieuw inrichten en elimineren de kosten van beheerde schijven. Alle gegevens op een tijdelijke besturingssysteemschijf gaan echter verloren bij stop (toewijzing ongedaan maken), installatiekopie of herstelgebeurtenissen voor hostonderhoud. Tijdelijke besturingssysteemschijven bieden geen ondersteuning voor momentopnamen of Azure Backup. Gebruik tijdelijke besturingssysteemschijven alleen wanneer VM's volledig opnieuw kunnen worden geïmplementeerd vanuit automatisering.
Veel Linux-installatiekopieën configureren standaard geen wisselruimte. Als uw workload wissel vereist, maakt u deze op de tijdelijke schijf met behulp van cloud-init in plaats van op de besturingssysteemschijf of een gegevensschijf.
U wordt aangeraden een of meer gegevensschijven te maken voor toepassingsgegevens. Gegevensschijven zijn permanente beheerde schijven die worden ondersteund door Azure Storage.
Wanneer u een schijf maakt, is deze niet opgemaakt. Meld u aan bij de virtuele machine om de schijf te formatteren. In de Linux-shell worden gegevensschijven weergegeven als /dev/sdc, /dev/sdden latere letters in de reeks. U kunt lsblk uitvoeren om de blokapparaten, met inbegrip van de schijven, weer te geven. Als u een gegevensschijf wilt gebruiken, maakt u een partitie en bestandssysteem, en koppelt u de schijf. Voorbeeld:
# Create a partition.
sudo fdisk /dev/sdc # Enter 'n' to partition, 'w' to write the change.
# Create a file system.
sudo mkfs -t ext3 /dev/sdc1
# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1
Wanneer u een gegevensschijf toevoegt, wordt een LUN-ID (logische-eenheidnummer) toegewezen aan de schijf. U kunt desgewenst de LUN-id opgeven, bijvoorbeeld als u een schijf vervangt en dezelfde LUN-id wilt behouden, of u hebt een toepassing die zoekt naar een specifieke LUN-id. Vergeet echter niet dat LUN-ID's uniek moeten zijn voor elke schijf.
Mogelijk wilt u de I/O-planner wijzigen om te optimaliseren voor prestaties op HD's wanneer u Premium Storage schijven gebruikt. Een veelvoorkomende aanbeveling is om de NOOP-scheduler (No Operation) voor SSD's te gebruiken, maar u dient een tool zoals iostat te gebruiken om de disk I/O-prestaties voor uw workload te bewaken.
Veel VM's worden gemaakt met een tijdelijke schijf, die wordt opgeslagen op een fysiek station op de hostcomputer. Het is niet opgeslagen in Azure Storage en kan worden verwijderd tijdens herstarts en andere gebeurtenissen tijdens de levenscyclus van virtuele machines. Gebruik deze schijf alleen voor tijdelijke gegevens, zoals pagina- of wisselbestanden. Voor Linux-VM's wordt de tijdelijke schijf /dev/disk/azure/resource-part1 aan /mnt/resource of /mnt gekoppeld.
Netwerk
De netwerkonderdelen omvatten de volgende resources:
Virtueel netwerk. Elke VIRTUELE machine wordt geïmplementeerd in een virtual network die in subnetten wordt gesegmenteerd.
Netwerkinterface (NIC). Met de NIC kan de virtuele machine communiceren met de virtual network. Als u meerdere NIC's voor uw virtuele machine nodig hebt, wordt een maximum aantal NIC's gedefinieerd voor elke VM-grootte.
Openbaar IP-adres. Een openbaar IP-adres may worden gebruikt om te communiceren met de virtuele machine van buiten Azure via SSH. Dit wordt echter afgeraden omdat het een potentieel beveiligingsrisico is.
Warning
Het koppelen van een openbaar IP-adres vertegenwoordigt rechtstreeks een mogelijk beveiligingsrisico. Dit moet alleen worden gedaan in extreme omstandigheden en alleen in combinatie met andere beveiligingsmethoden, zoals het filteren van verkeer met behulp van netwerkbeveiligingsgroepen.
Voor beheertoegang tot een virtuele machine raden we u aan Azure Bastion of intern te gebruiken wanneer u verbinding hebt via een VPN of Azure ExpressRoute.
- Het openbare IP-adres kan dynamisch of statisch zijn. De standaardwaarde is dynamisch. Reserveer een statisch IP-adres als u een vast IP-adres nodig hebt dat niet verandert, bijvoorbeeld als u een DNS A-record moet maken of het IP-adres wilt toevoegen aan een veilige lijst.
- U kunt ook een volledig gekwalificeerde domeinnaam (FQDN) voor het IP-adres maken. U kunt vervolgens een CNAME-record maken in DNS dat naar de FQDN verwijst. Zie Maak een volledig gekwalificeerde domeinnaam in de Azure-portal voor meer informatie.
Netwerkbeveiligingsgroep (NSG). Netwerkbeveiligingsgroepen worden gebruikt om netwerkverkeer naar VM's en/of subnetten toe te staan of te weigeren. Ze kunnen worden gekoppeld aan de subnetten of aan afzonderlijke NIC's die zijn gekoppeld aan VM's.
- Alle NSG's bevatten een set standaardregels, met inbegrip van een regel waarmee al het inkomende internetverkeer wordt geblokkeerd. De standaardregels kunnen niet worden verwijderd, maar ze kunnen wel worden vervangen door andere regels. Als u bijvoorbeeld internetverkeer wilt inschakelen, maakt u regels die binnenkomend verkeer naar specifieke poorten toestaan, zoals poort 443 voor HTTPS.
Azure NAT-gateway (Network Address Translation).Network Address Translation (NAT)-gateways toestaan dat alle exemplaren in een privésubnet uitgaand verbinding maken met internet en volledig privé blijven. Alleen pakketten die binnenkomen als antwoordpakketten voor een uitgaande verbinding, kunnen via een NAT-gateway worden doorgegeven. Ongevraagde binnenkomende verbindingen van internet zijn niet toegestaan.
Notitie
Ter verbetering van de standaardbeveiliging wordt impliciete uitgaande internettoegang afgeschaft voor alle nieuwe virtuele netwerken. Uitgaande internetverbinding moet expliciet worden geconfigureerd via het gebruik van andere resources, zoals NAT-gateways, Azure Standard Load Balancers of firewalls. Zie Default uitgaande toegang in Azure voor meer informatie.
Azure Bastion.Azure Bastion is een volledig beheerd platform als een serviceoplossing die beveiligde toegang biedt tot VM's via privé-IP-adressen. Met deze configuratie hebben VM's geen openbaar IP-adres nodig waarmee ze worden blootgesteld aan internet, waardoor hun beveiligingspostuur toeneemt. Azure Bastion biedt beveiligde Extern bureaublad Protocol (RDP) of SSH-connectiviteit met uw VM's rechtstreeks via TLS (Transport Layer Security) via verschillende methoden, waaronder de Azure-portal of systeemeigen SSH- of RDP-clients.
Bedrijfsactiviteiten
SSH. Voordat u een virtuele Linux-machine maakt, moet u een 2048 bits RSA openbaar-persoonlijk sleutelpaar genereren. Gebruik het openbare sleutelbestand wanneer u de virtuele machine maakt. Zie Het gebruik van SSH met Linux en Mac op Azure voor meer informatie.
Diagnostiek. Schakel bewaking en diagnostiek in, inclusief basisgezondheidsstatistieken, diagnostische infrastructuurlogboeken en opstartdiagnostiek. Met diagnostische gegevens over opstarten kunt u opstartfouten achterhalen als de virtuele machine in een niet-opstartbare status komt. Maak een Azure Storage-account om de logboeken op te slaan. Een standaard lokaal redundant storage -account (LRS) is voldoende voor diagnostische logboeken. Zie Controle en diagnose inschakelen voor meer informatie.
Beschikbaarheid. Uw VM kan worden beïnvloed door gepland onderhoud of ongeplande downtime. U kunt VM-herstartlogboeken gebruiken om te bepalen of het opnieuw opstarten van een virtuele machine is veroorzaakt door gepland onderhoud. Implementeer voor hogere beschikbaarheid meerdere VM's in beschikbaarheidszones binnen een regio. Dit biedt een hogere SLA (Service Level Agreement). Wanneer beschikbaarheidszones niet worden ondersteund, kunnen beschikbaarheidssets helpen bescherming te bieden tegen hostfouten of hostupdates. Beschikbaarheidszones zijn echter waar mogelijk de aanbevolen optie.
Back-ups. Gebruik de service Azure Backup om een back-up te maken van uw VM's naar opslag om te beschermen tegen onbedoeld gegevensverlies. Afhankelijk van de regio kunt u geografisch redundante of zone-redundante opslag gebruiken voor back-ups. Azure Backup biedt toepassingsconsistente back-ups. Voor prestatiegevoelige workloads of gespecialiseerde Linux-distributies die geen ondersteuning bieden voor traditionele back-upagents, gebruikt u de functie agentloze multi-disk crashconsistente back-up die automatische back-upbescherming biedt zonder dat dit invloed heeft op de prestaties van de toepassing.
Een virtuele machine stoppen. Azure maakt een onderscheid tussen 'gestopt' en 'gedealloceerd'. Er worden kosten in rekening gebracht wanneer de status van de virtuele machine is gestopt, maar niet wanneer de toewijzing van de virtuele machine is opgeheven. In de Azure-portal wordt de VM gedealloceerd met de knop Stop. Als u afsluit via het besturingssysteem terwijl u bent aangemeld, wordt de virtuele machine wel gestopt, maar de toewijzing ervan niet opgeheven; er worden nog steeds kosten in rekening gebracht bij u.
Een virtuele machine verwijderen. Als u een virtuele machine verwijdert, hebt u de mogelijkheid om de schijven ervan te verwijderen of te behouden. Dit betekent dat u de virtuele machine veilig zonder gegevensverlies kunt verwijderen. Er worden echter nog steeds kosten in rekening gebracht voor de schijven. U kunt beheerde schijven verwijderen, net als elke andere Azure resource. Gebruik ter voorkoming van onbedoeld verwijderen een resourcevergrendeling om de gehele resourcegroep of afzonderlijke resources, zoals een virtuele machine, te vergrendelen.
Alternatives
Virtuele-machineschaalsets : workloads die essentieel zijn voor bedrijfsactiviteiten, moeten nooit afhankelijk zijn van één virtuele machine. Schaalsets bieden de mogelijkheid om workloads over knooppunten te verdelen en kunnen worden uitgeschaald in tijden van hoger verkeer of inschalen wanneer verkeer minimaal is om de kosten te minimaliseren.
Azure Load Balancer is handig om taakverdeling te bieden tussen meerdere virtuele machines of een virtuele-machineschaalset. Het kan ook worden gebruikt als alternatief voor een NAT-gateway om toegang tot een workload vanaf internet toe te staan, terwijl ook uitgaande toegang wordt ondersteund.
Toepassingsgateway biedt taakverdelingsfunctionaliteit voor de Azure Load Balancer voor HTTP/HTTPS-workloads binnen een Azure regio.
Zie Azure Virtuele Machines basislijnarchitectuur in een Azure landingszone voor een meer implementatie op ondernemingsniveau.
Details van het scenario
In het bovenstaande diagram zou dit scenario handig zijn voor het bieden van een niet-kritieke workload die nuttig is voor interne gebruikers.
Potentiële gebruikscases
Eén VM-implementatie kan worden gebruikt voor het hosten van een eenvoudige toepassing die niet hoeft te worden blootgesteld aan internet en bestand is tegen enige downtime. Dit kan bijvoorbeeld een eenvoudige interne rapportagetoepassing zijn.
Overwegingen
Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.
Betrouwbaarheid
Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Ontwerp controlelijst voor betrouwbaarheid voor meer informatie.
Omdat deze architectuur slechts een eenvoudig voorbeeld is van één virtuele machine, heeft deze een minimaal betrouwbaarheidsniveau. Elk probleem met de virtuele machine zelf of de host waarop deze wordt uitgevoerd, veroorzaakt een storing, waardoor gehoste workloads niet beschikbaar zijn. Voor elke workload die een hogere beschikbaarheid nodig heeft, moeten meerdere virtuele machines worden geïmplementeerd die dezelfde workload bevatten, met die exemplaren achter een geschikte taakverdelingsoplossing. Als deze zich binnen dezelfde regio bevinden, moeten deze VM's worden geïmplementeerd in beschikbaarheidszones (indien ondersteund) en worden toegevoegd aan de back-end van een Azure Standard Load Balancer of een Application Gateway als de workload HTTP/HTTPS is. Hierdoor is de workload nog steeds beschikbaar als één virtuele machine in de back-end niet beschikbaar zou zijn.
Virtuele-machineschaalsets zijn een andere optie om het beheer van workloads met meerdere knooppunten te vereenvoudigen die het aantal exemplaren automatisch kunnen schalen, afhankelijk van een van de verschillende metrische gegevens, zoals CPU- en/of geheugenverbruik.
Hoge beschikbaarheid/herstel na noodgevallen (HA/DR)
Voor een verminderd impactbereik moet de workload in meerdere regio's worden geïmplementeerd en gebruik te maken van de richtlijnen voor Azure Landing Zone. Dit kan zich in een Active-Passive configuratie bevinden, met failover naar de secundaire regio als de primaire regio niet beschikbaar is, of een Active-Active-architectuur waarin beide regio's verkeer naar consumenten bedienen. Zie voor een voorbeeld een webtoepassing met meerdere lagen die is gebouwd voor hoge beschikbaarheid/herstel na noodgeval onder De volgende stappen hieronder.
In het voorbeeld in dit artikel wordt gebruikgemaakt van Azure Site Recovery om de schijven van afzonderlijke virtuele machines te repliceren naar een secundaire regio, waarbij Site Recovery kan worden gebruikt om een failover van deze virtuele machines naar de secundaire regio, met een laag Recovery Point Objective (RPO) en Recovery Time Objective (RTO), uit te voeren.
Zorg ervoor dat u uw architectuur evalueert om te voldoen aan uw ha/DR-vereisten voor alle onderdelen, niet alleen de virtuele machines. In al deze beslissingen zijn overwegingen opgenomen, zoals netwerken, identiteit en gegevens.
Beveiliging
Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Ontwerpcontrolelijst voor beveiliging voor meer informatie.
Gebruik Microsoft Defender voor Cloud om een centraal overzicht te krijgen van de beveiligingsstatus van uw Azure resources. Defender voor Cloud controleert mogelijke beveiligingsproblemen en biedt een uitgebreid beeld van de beveiligingsstatus van uw implementatie. Defender voor Cloud is geconfigureerd per Azure-abonnement. Schakel het verzamelen van beveiligingsgegevens in zoals beschreven in Connecteer uw Azure-abonnementen. Wanneer gegevensverzameling is ingeschakeld, scant Defender voor Cloud automatisch alle virtuele machines die zijn gemaakt onder dat abonnement.
Patchbeheer. Als deze optie is ingeschakeld, controleert Defender voor Cloud of er beveiligings- en essentiële updates ontbreken.
Antimalware. Indien ingeschakeld, controleert Defender voor Cloud of antimalwaresoftware is geïnstalleerd. U kunt ook Defender voor Cloud gebruiken om antimalwaresoftware te installeren vanuit de Azure-portal.
Toegangsbeheer. Gebruik Azure op rollen gebaseerd toegangsbeheer (Azure RBAC) om de toegang tot Azure resources te beheren. Azure RBAC kunt u autorisatierollen toewijzen aan leden van uw DevOps-team. De rol Lezer kan bijvoorbeeld Azure resources bekijken, maar ze niet maken, beheren of verwijderen. Sommige machtigingen zijn specifiek voor een Azure resourcetype. De rol Inzender voor virtuele machines kan bijvoorbeeld een virtuele machine opnieuw opstarten of de toewijzing ervan ongedaan maken, het beheerderswachtwoord opnieuw instellen en een nieuwe VIRTUELE machine maken. Andere ingebouwde rollen die nuttig kunnen zijn voor deze architectuur zijn DevTest Labs User en Network Contributor.
Notitie
Azure RBAC beperkt de acties niet die een gebruiker die is ingelogd op een virtuele machine kan uitvoeren. Deze machtigingen worden bepaald door het accounttype op het gastbesturingssysteem.
Auditlogboeken. Gebruik auditlogboeken om inrichtingsacties en andere VM-gebeurtenissen te bekijken.
Gegevensversleuteling. Schakel cryptie op host in om end-to-end-versleuteling voor uw VM-gegevens te realiseren, waaronder tijdelijke schijven en schijfcaches. Versleuteling op host verwerkt versleuteling op de VM-hostinfrastructuur en verbruikt geen CPU-resources voor VM's, in tegenstelling tot gastgebaseerde versleuteling. U kunt customer beheerde sleutels gebruiken met Azure Key Vault voor permanente besturingssysteem- en gegevensschijven. Tijdelijke schijven en ephemeral OS-schijven worden versleuteld met door platform beheerde sleutels. Controleer of de geselecteerde VM-grootte ondersteuning biedt voor versleuteling op host voordat u de VIRTUELE machine inricht.
Kostenoptimalisatie
Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie controlelijst ontwerpbeoordeling voor kostenoptimalisatievoor meer informatie.
Er zijn verschillende opties voor VM-grootten, afhankelijk van het gebruik en de workload. Het assortiment omvat de meest voordelige optie van de Bs-serie naar de nieuwste GPU-VM's die zijn geoptimaliseerd voor machine learning. Zie Azure prijzen voor Linux-VM's voor meer informatie over de beschikbare opties.
Gebruik voor voorspelbare workloads Azure Reserveringen en Azure spaarplan voor rekencapaciteit met een een- of driejarig contract en ontvang aanzienlijke besparingen op de prijzen voor betalen naar gebruik. Overweeg de optie Betalen per gebruik voor workloads zonder voorspelbare voltooiingstijd of middelenverbruik.
Gebruik Azure spot-VM's om werkbelastingen uit te voeren die kunnen worden onderbroken en waarvoor geen voltooiing is vereist binnen een vooraf bepaalde periode of een SLA. Azure zet Spot-VM's in als er capaciteit beschikbaar is en verwijdert ze wanneer het de capaciteit weer nodig heeft. De kosten voor Spot virtual machines zijn aanzienlijk lager. Overweeg spot-VM's voor deze workloads:
- Scenario's voor high-performance computing, batchverwerkingstaken of toepassingen voor visuele rendering.
- Testomgevingen, waaronder continue integratie en workloads voor continue levering.
- Grootschalige, staatloze toepassingen.
Gebruik de Azure Prijscalculator om de kosten te schatten.
Zie de kostensectie in Microsoft Azure Well-Architected Framework voor meer informatie.
Operationele uitmuntendheid
Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Voor meer informatie, zie Controlelijst voor ontwerpevaluatie voor Operational Excellence.
Gebruik IaC-sjablonen (Infrastructure-as-Code) om Azure resources en hun afhankelijkheden in te richten. Deze kunnen worden geschreven met behulp van Bicep, Azure Resource Manager sjablonen (ARM-sjablonen) of Terraform, afhankelijk van uw voorkeur en tot stand gebrachte hulpprogrammaopties. Deze sjablonen maken een CI/CD-proces (Continuous Integration/Continuous Deployment) mogelijk als onderdeel van een geautomatiseerde implementatiemethodologie voor het implementeren en configureren van resources. Deze aanpak maakt versiebeheer van architecturen mogelijk en zorgt voor consistentie tussen omgevingen, evenals het afdwingen van reproduceerbaarheid, beveiliging en naleving.
Om u te helpen bij het bewaken en diagnosticeren van problemen, moet u ervoor zorgen dat diagnostische logboeken zijn ingeschakeld voor uw resources en beschikbaar worden gesteld voor Azure Monitor om u te helpen bij het analyseren en optimaliseren van uw resources. Deze logboeken kunnen worden gebruikt om waarschuwingen en meldingen van kritieke gebeurtenissen te implementeren en in sommige gevallen automatische herstel of logboekregistratie van een ticket in uw ITSM-systeem (IT Service Management).
Prestatie-efficiëntie
Prestatie-efficiëntie is gericht op het optimaliseren van cloudworkloads voor snelheid, reactiesnelheid en schaalbaarheid. Zie de controlelijst ontwerpbeoordeling voor prestatie-efficiëntie voor meer informatie.
Enkele belangrijke doelen zijn het minimaliseren van latentie, het garanderen van schaalbare architecturen, het optimaliseren van het resourcegebruik en het continu verbeteren van de systeemprestaties.
Zoals hierboven vermeld, kunnen de beslissingen met betrekking tot workloadarchitectuur, VM-SKU en schijfconfiguraties een grote invloed hebben op de prestaties van uw workload. Het maken van de juiste keuzes kan verhinderen dat de oplossing in de toekomst opnieuw moet worden ontworpen, waardoor flexibiliteit en besparingskosten kunnen worden toegevoegd.
Houd rekening met deze punten bij het ontwikkelen van uw architectuur:
- Gebruik virtuele machineschaalsets als de werkbelasting een dynamische belasting heeft. Schaal bijvoorbeeld uit in tijden van grote hoeveelheden verkeer en schaal vervolgens weer in wanneer het verkeer afneemt. Dit zorgt voor voldoende verwerkingskracht, terwijl de kosten nog steeds onder controle blijven.
- Kies de juiste VM- en schijf-SKU's om te voldoen aan de vereiste IOPS tijdens de verwerking. Configureer caching om de prestaties verder te verbeteren.
- Als uw workload ongebruikelijk latentiegevoelig is, gebruikt u PPG's (Proximity Placement Groups) om ervoor te zorgen dat meerdere VIRTUELE machines zich fysiek dicht bij elkaar bevinden om betere prestaties te bereiken. PPG's kunnen ook worden gebruikt in combinatie met beschikbaarheidssets om lage latentie te combineren met hoge beschikbaarheid binnen één fysiek datacenter.
- Schakel waar mogelijk versneld netwerken in om de latentie tussen onderdelen te minimaliseren.
- Ontwerp netwerkarchitectuur om onnodige hops te minimaliseren.
- Gebruik Azure Monitor, VM Insights en andere hulpprogramma's om continu metrische gegevens te analyseren en bijgewerkte prestatiebasislijnen te maken. Gebruik de prestatiegegevens om te bepalen waar wijzigingen moeten worden geïmplementeerd en test vervolgens op basis van deze basislijnen.
Contributors
Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende inzenders.
Hoofdauteur:
- Donnie Trumpower | Senior Cloud & AI Solutions Architect
Volgende stappen
- Zie Quickstart: Een virtuele Linux-machine maken in de Azure-portal om een virtuele Linux-machine te maken.
- Om een NVIDIA-stuurprogramma op een Linux-VM te installeren, zie NVIDIA GPU-stuurprogramma's installeren op N-serie VM's waarop Linux wordt uitgevoerd.
- Zie Virtuele Linux-machines maken en beheren met de Azure CLI als u een Virtuele Linux-machine wilt inrichten.
- Standaard toegang naar buiten in Azure.
- Zie Azure Virtuele Machines basislijnarchitectuur in een Azure landingszone voor een voorbeeld van een complexere architectuur.
- Voor het implementeren van een webtoepassing in verschillende regio's, raadpleegt u de multilayer webapplicatie die is gebouwd voor HA/DR.