Zřízení virtuálního počítače v Azure vyžaduje další komponenty kromě samotného virtuálního počítače, včetně síťových a úložných prostředků. Tento článek ukazuje osvědčené postupy pro spuštění zabezpečeného virtuálního počítače s Linuxem v Azure.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Workflow
Skupina prostředků
Skupina prostředků je logický kontejner, který obsahuje související prostředky Azure. Obecně platí, že seskupí prostředky podle jejich životnosti a kdo je bude spravovat.
Do jedné skupiny prostředků byste měli umístit úzce související prostředky, které mají stejný životní cyklus. Skupiny prostředků umožňují nasadit a monitorovat prostředky jako skupinu a sledovat fakturační náklady podle skupin prostředků. Prostředky můžete také odstranit jako sadu, což je užitečné pro testovací nasazení. Přiřaďte prostředkům smysluplné názvy a zjednodušte tak vyhledání konkrétních prostředků a pochopení jejich rolí. Další informace najdete v tématu Doporučené zásady vytváření názvů pro prostředky Azure.
Virtuální počítač
Virtuální počítač můžete zřídit ze seznamu publikovaných imagí nebo z vlastní spravované image nebo ze souboru virtuálního pevného disku (VHD) nahraného do Azure Blob Storage. podpora Azure provozují různé oblíbené linuxové distribuce, včetně Debianu, Red Hat Enterprise Linuxu (RHEL) a Ubuntu. Další informace najdete v tématu Azure a Linux.
Azure nabízí mnoho různých velikostí virtuálních počítačů. Další informace najdete v tématu Velikosti virtuálních počítačů v Azure. Pokud přesouváte existující úlohu do Azure, začněte velikostí virtuálního počítače, která je nejblíže vašim místním serverům. Pak změřte výkon skutečné úlohy z hlediska procesoru, paměti a vstupně-výstupních operací disku za sekundu (IOPS) a podle potřeby upravte velikost.
Obecně zvolte oblast Azure, která je nejblíže vašim interním uživatelům nebo zákazníkům. Ne všechny velikosti virtuálních počítačů jsou dostupné ve všech oblastech. Další informace najdete v tématu Služby v jednotlivých oblastech. Seznam velikostí virtuálních počítačů dostupných v konkrétní oblasti zobrazíte spuštěním následujícího příkazu z Azure CLI:
az vm list-sizes --location <location>
Informace o výběru publikované image virtuálního počítače najdete v tématu Vyhledání imagí virtuálních počítačů s Linuxem.
Disky
Pro zajištění nejlepšího výkonu diskových operací doporučujeme použít službu Premium Storage, která ukládá data na discích SSD (solid-state drive). Náklady závisí na kapacitě zřízeného disku. Na velikosti disku závisí také vstupně-výstupní operace za sekundu a propustnost (to znamená rychlost přenosu dat). Proto při zřizování disku zvažte všechny tři faktory (kapacita, IOPS a propustnost). Premium Storage také nabízí bezplatné rozšíření, v kombinaci s pochopením vzorů úloh, nabízí efektivní strategii výběru skladové položky a optimalizace nákladů pro infrastrukturu IaaS, která umožňuje vysoký výkon bez nadměrného zřizování a minimalizace nákladů na nevyužitou kapacitu.
Spravované disky zjednodušení správy disků tím, že za vás zpracovává úložiště. Spravované disky nevyžadují účet úložiště. Zadáte velikost a typ disku a nasadíte ho jako vysoce dostupný prostředek. Spravované disky také nabízejí optimalizaci nákladů tím, že poskytují požadovaný výkon bez nutnosti nadměrného zřizování, započítávání vzorců úloh a minimalizace nevyužité zřízené kapacity.
Disk operačního systému je virtuální pevný disk uložený v Azure Storage, takže dál funguje i pokud je hostitelský počítač mimo provoz. Virtuální pevný disk může být místně připojený nvMe nebo podobná zařízení dostupná na mnoha skladových po řádcích virtuálních počítačů.
Dočasné disky poskytují dobrý výkon bez dalších nákladů, ale mají významné nevýhody, že jsou trvalé, mají omezenou kapacitu a omezují se jenom na operační systém a dočasné disky. Pro virtuální počítače s Linuxem, je disk operačního systému /dev/sda1
. Doporučujeme také vytvořit jeden nebo více datových disků, což jsou trvalé virtuální pevné disky používané pro data aplikací.
Když vytvoříte virtuální pevný disk, je neformátovaný. Přihlaste se k virtuálnímu počítači a disk naformátujte. V prostředí Linuxu se datové disky zobrazují jako /dev/sdc
, /dev/sdd
atd. Spuštěním příkazu lsblk
můžete zobrazit seznam blokových zařízení, včetně těchto disků. Pokud chcete použít datový disk, vytvořte oddíl a souborový systém a potom disk připojte. Příklad:
# Create a partition.
sudo fdisk /dev/sdc # Enter 'n' to partition, 'w' to write the change.
# Create a file system.
sudo mkfs -t ext3 /dev/sdc1
# Mount the drive.
sudo mkdir /data1
sudo mount /dev/sdc1 /data1
Když přidáte datový disk, přiřadí se mu ID logické jednotky (LUN). Volitelně můžete zadat ID logické jednotky , například pokud nahrazujete disk a chcete zachovat stejné ID logické jednotky nebo máte aplikaci, která hledá konkrétní ID logické jednotky. Nezapomeňte ale, že hodnota LUN ID musí být pro každý disk jedinečná.
Možná budete chtít plánovač vstupně-výstupních operací změnit kvůli optimalizaci výkonu na jednotkách SSD, protože disky pro virtuální počítače s účty Premium Storage jsou právě disky SSD. Běžně se pro SSD doporučuje používat plánovač NOOP, ale k monitorování výkonu V/V disku pro určitou úlohu byste měli použít nástroj, jako je iostat.
Virtuální počítač se vytvoří s dočasným diskem. Tento disk je uložený na fyzické jednotce hostitelského počítače. Neukládá se v Azure Storage a při restartování nebo jiných událostech životního cyklu virtuálního počítače může dojít k jeho odstranění. Tento disk používejte jenom pro dočasná data, jako jsou stránkovací nebo odkládací soubory. Dočasný disk pro virtuální počítač s Linuxem je /dev/disk/azure/resource-part1
. Je připojený k /mnt/resource
nebo /mnt
.
Síť
Mezi síťové komponenty patří následující zdroje informací:
Virtuální síť: Každý virtuální počítač se nasadí do virtuální sítě, která se segmentuje do podsítí.
Síťové rozhraní (NIC): Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s virtuální sítí. Pokud potřebujete více síťových rozhraní pro virtuální počítač, je pro každou velikost virtuálního počítače definován maximální počet síťových karet.
Veřejná IP adresa: K komunikaci s virtuálním počítačem je potřeba veřejná IP adresa – například přes protokol RDP (Remote Desktop Protocol). Veřejná IP adresa může být dynamická nebo statická. Ve výchozím nastavení je dynamická.
- Zarezervujte statickou IP adresu , pokud potřebujete pevnou IP adresu, která se nezmění – například pokud potřebujete vytvořit záznam DNS A nebo přidat IP adresu do seznamu bezpečných adres.
- Pro IP adresu můžete také vytvořit plně kvalifikovaný název domény (FQDN). Potom můžete v DNS zaregistrovat záznam CNAME, který na tento plně kvalifikovaný název odkazuje. Další informace najdete v tématu Vytvoření plně kvalifikovaného názvu domény (FQDN) na webu Azure Portal.
Skupina zabezpečení sítě (NSG): Skupiny zabezpečení sítě slouží k povolení nebo odepření síťového provozu do virtuálních počítačů. Skupiny zabezpečení sítě je možné přidružit buď k podsítím, nebo k jednotlivým instancím virtuálních počítačů.
- Každá skupina zabezpečení sítě obsahuje sadu výchozích pravidel, včetně pravidla, které blokuje veškerou příchozí internetovou komunikaci. Výchozí pravidla nejde odstranit, ale ostatní pravidla je mohou potlačit. Pokud chcete povolit internetový provoz, vytvořte pravidla, která povolují příchozí provoz na konkrétní porty – například port 80 pro PROTOKOL HTTP. Pokud chcete povolit Secure Shell (SSH), přidejte pravidlo NSG, které povoluje příchozí provoz na port TCP 22.
Azure NAT Gateway. Brány překladu síťových adres (NAT) umožňují všem instancím v privátní podsíti připojit odchozí spojení k internetu a zůstat plně privátní. Přes bránu NAT se můžou předávat pouze pakety, které dorazí jako pakety odpovědí na odchozí připojení. Nevyžádaná příchozí připojení z internetu nejsou povolená.
Azure Bastion. Azure Bastion je plně spravované řešení platformy jako služby, které poskytuje zabezpečený přístup k virtuálním počítačům prostřednictvím privátních IP adres. Díky této konfiguraci virtuální počítače nepotřebují veřejnou IP adresu, která je zveřejňuje na internetu, což zvyšuje stav zabezpečení. Azure Bastion poskytuje zabezpečené připojení RDP nebo SSH k virtuálním počítačům přímo přes protokol TLS (Transport Layer Security) prostřednictvím různých metod, včetně webu Azure Portal nebo nativních klientů SSH nebo RDP.
Operace
SSH: Než vytvoříte virtuální počítač s Linuxem, vygenerujte pár klíčů (veřejný a privátní) pomocí 2048bitového algoritmu RSA. Soubor veřejného klíče potom použijte při vytváření virtuálního počítače. Další informace najdete v tématu Jak použít SSH se systémy Linux a Mac v Azure.
Diagnostika: Povolte monitorování a diagnostiku, včetně základních metrik stavu, diagnostických protokolů infrastruktury a diagnostiky spouštění. Diagnostika spouštění vám pomůže zjistit chyby spouštění, pokud se virtuální počítač dostane do stavu, kdy ho nebude možné spustit. Vytvořte účet Azure Storage pro ukládání protokolů. Pro diagnostické protokoly stačí standardní účet místně redundantního úložiště (LRS). Další informace najdete v tématu Povolení monitorování a diagnostiky.
Dostupnost. Na váš virtuální počítač může mít vliv plánovaná údržba nebo neplánovaný výpadek. Ke zjištění toho, jestli restartování virtuálního počítače způsobila plánovaná údržba, můžete použít protokoly restartování virtuálního počítače. Pokud chcete vyšší dostupnost, nasaďte několik virtuálních počítačů ve skupině dostupnosti nebo napříč zónami dostupnosti v určité oblasti. Obě tyto konfigurace poskytují vyšší smlouvu o úrovni služeb (SLA).
Zálohy, které chrání před náhodným únikem dat, použijte službu Azure Backup k zálohování virtuálních počítačů do geograficky redundantního úložiště. Azure Backup poskytuje zálohy konzistentní s aplikací.
Zastavení virtuálního počítače: Azure rozlišuje mezi tím, když je virtuální počítač zastavený a když má zrušené přidělení. Když se virtuální počítač v zastaveném stavu, fakturuje se vám, ale když má zrušené přidělení, tak ne. Virtuální počítač můžete uvolnit pomocí tlačítka Stop na webu Azure Portal. Pokud virtuální počítač vypnete pomocí operačního systému, když jste přihlášení, zastaví se, ale neuvolní, takže se vám bude nadále účtovat.
Odstranění virtuálního počítače: Pokud odstraníte virtuální počítač, máte možnost odstranit nebo ponechat jeho disky. To znamená, že virtuální počítač můžete bezpečně odstranit bez obav ze ztráty dat. Za disky se vám ale budou dál účtovat poplatky. Spravované disky můžete odstranit stejně jako jakýkoli jiný prostředek Azure. Pokud chcete zabránit neúmyslnému odstranění, použijte zámek prostředku a uzamkněte celou skupinu prostředků nebo jenom vybrané prostředky, jako je třeba virtuální počítač.
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
Optimalizace nákladů
Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.
V závislosti na využití a úloze existují různé možnosti velikostí virtuálních počítačů. Rozsah zahrnuje nejekonomičtější možnost řady Bs-series na nejnovější virtuální počítače GPU optimalizované pro strojové učení. Informace o dostupných možnostech najdete v tématu Ceny virtuálních počítačů Azure s Linuxem.
V případě předvídatelných úloh využijte rezervace Azure a plán úspor Azure pro výpočetní prostředky s ročním nebo tříletým kontraktem a získejte výrazné úspory oproti průběžným platbám. U úloh bez předvídatelného času dokončení nebo spotřeby prostředků zvažte možnost Průběžné platby.
Pomocí spotových virtuálních počítačů Azure můžete spouštět úlohy, které je možné přerušit a nevyžadují dokončení v rámci předem určeného časového rámce nebo smlouvy SLA. Azure nasadí spotové virtuální počítače, pokud je k dispozici kapacita a vyřazuje se, když kapacitu potřebuje zpět. Náklady spojené s spotovými virtuálními počítači jsou výrazně nižší. Zvažte spotové virtuální počítače pro tyto úlohy:
- Scénáře s vysoce výkonnými výpočetními operacemi, úlohy dávkového zpracování nebo aplikace pro vizuální vykreslení
- Testovací prostředí, včetně kontinuální integrace a úloh průběžného doručování
- Bezstavové aplikace ve velkém měřítku
K odhadu nákladů použijte cenovou kalkulačku Azure.
Další informace najdete v části věnované nákladům v tématu Dobře navržená architektura Microsoft Azure.
Zabezpečení
Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.
Pomocí Microsoft Defenderu pro cloud získáte centrální přehled o stavu zabezpečení vašich prostředků Azure. Defender for Cloud monitoruje potenciální problémy se zabezpečením a poskytuje komplexní přehled o stavu zabezpečení vašeho nasazení. Defender pro cloud je nakonfigurovaný pro každé předplatné Azure. Povolte shromažďování dat zabezpečení, jak je popsáno v onboardingu předplatného Azure do služby Defender for Cloud Standard. Když je shromažďování dat povolené, Defender for Cloud automaticky prohledá všechny virtuální počítače vytvořené v rámci daného předplatného.
Správa oprav: Pokud je tato možnost povolená, Defender for Cloud zkontroluje, jestli chybí nějaké aktualizace zabezpečení a důležité aktualizace.
Antimalware: Pokud je tato možnost povolená, Defender for Cloud zkontroluje, jestli je nainstalovaný antimalwarový software. K instalaci antimalwarového softwaru z webu Azure Portal můžete použít také Defender for Cloud.
Řízení přístupu K řízení přístupu k prostředkům Azure použijte řízení přístupu na základě role (Azure RBAC ). Azure RBAC umožňuje přiřazovat autorizační role členům týmu DevOps. Třeba role čtenáře může zobrazovat prostředky Azure, ale nemůže je vytvářet, spravovat ani odstraňovat. Některá oprávnění jsou specifická pro typ prostředku Azure. Třeba role Přispěvatel virtuálních počítačů může restartovat nebo zrušit přidělení virtuálního počítače, resetovat heslo správce, vytvořit nový virtuální počítač a tak dále. Mezi další předdefinované role , které můžou být užitečné pro tuto architekturu, patří uživatel DevTest Labs a přispěvatel sítě.
Poznámka:
Azure RBAC neomezuje akce, které může uživatel přihlášený k virtuálnímu počítači provést. Tato oprávnění určuje typ účtu v hostovaném operačním systému.
Protokoly auditu Pomocí protokolů auditu můžete zjistit akce zřizování a další události virtuálního počítače.
Šifrování dat: Azure Disk Encryption použijte, pokud potřebujete šifrovat disky s operačním systémem a datovými disky.
Provozní dokonalost
Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.
Ke zřízení prostředků Azure a jejích závislostí použijte jednu šablonu Azure Resource Manageru. Vzhledem k tomu, že všechny prostředky jsou ve stejné virtuální síti, jsou izolované ve stejné základní úloze. Usnadňuje přidružení konkrétních prostředků úlohy k týmu DevOps, aby tým mohl nezávisle spravovat všechny aspekty těchto prostředků. Tato izolace umožňuje týmu DevOps provádět kontinuální integraci a průběžné doručování (CI/CD).
Můžete také použít různé šablony Azure Resource Manageru a integrovat je se službou Azure DevOps Services k zřizování různých prostředí během několika minut, například k replikaci produkčního prostředí, jako jsou scénáře nebo prostředí zátěžového testování, pouze v případě potřeby, což šetří náklady.
Pro vyšší architekturu dostupnosti se podívejte na N-vrstvou aplikaci v Azure s Apache Cassandrou, referenční architektura zahrnuje více než jeden virtuální počítač a každý virtuální počítač je součástí skupiny dostupnosti.
Zvažte použití služby Azure Monitor k analýze a optimalizaci výkonu infrastruktury a monitorování a diagnostice problémů se sítěmi bez protokolování na virtuálních počítačích.
Další kroky
- Postup vytvoření virtuálního počítače s Linuxem najdete v tématu Rychlý start: Vytvoření virtuálního počítače s Linuxem na webu Azure Portal
- Pokud chcete nainstalovat ovladač NVIDIA na virtuální počítač s Linuxem, přečtěte si téma Instalace ovladačů NVIDIA GPU na virtuálních počítačích řady N-series s Linuxem.
- Informace o zřízení virtuálního počítače s Linuxem najdete v tématu Vytvoření a správa virtuálních počítačů s Linuxem pomocí Azure CLI.
- Výchozí odchozí přístup ve službě Azure