Sdílet prostřednictvím

Infrastruktura a správa cloudových skriptů mesh

  • Článek

Přehled

V tomto článku se dozvíte o různých aspektech infrastruktury a správy Clouding Mesh, včetně služeb, které se nasadí do vašeho předplatného Azure při sestavování a publikování projektu Cloud Scripting.

Nasazené prostředky

Mesh Cloud Scripting se skládá z . Aplikace založené na platformě NET, které běží v cloudu. Cloudová infrastruktura skriptování mesh nasazená do předplatného Azure zákazníka obsahuje následující prostředky Azure:

  1. Plán služby App Service: Představuje výpočetní cluster, ve kterém se můžou spouštět webové aplikace. Může také spouštět jednu nebo více různých webových aplikací.

  2. Virtuální síť Azure: Jedná se o prostředek virtuální sítě, ve které jsou nasazené instance služby App Service, a umožňuje jim vzájemně komunikovat.

  3. Instance webové aplikace Azure: Představuje instanci webové aplikace spuštěné na konkrétním virtuálním počítači.

  4. Účet Azure Storage: Obsahuje publikovaný obsah a informace o instancích webové aplikace Azure. Je rozdělená na dvě komponenty:

    1. Úložiště objektů blob služby Cloud Scripting Service Mesh: Uchovává objekt blob služby Skripting Service mesh nahraný službou Mesh Uploader.
    2. The Orleans Membership Table: Obsahuje informace o liveness of the Orleans Silo instances.

  5. Pracovní prostor služby Log Analytics: Uchovává protokoly generované ze služby Skriptování cloudu Mesh spuštěné ve službě App Service.

  6. Application Insights: Poskytuje funkce monitorování výkonu aplikací (APM). Nástroje APM jsou užitečné k monitorování aplikací od vývoje, prostřednictvím testování a do produkčního prostředí.

Plán služby App Service

Plán služby App Service definuje sadu výpočetních prostředků, které umožňují spuštění webové aplikace.

Když vytvoříte plán služby App Service v určité oblasti (například Západní Evropa), vytvoří se pro tento plán v této oblasti sada výpočetních prostředků. Jakékoli aplikace, které do tohoto plánu služby App Service nasadíte, běží na těchto výpočetních prostředcích podle definice plánu služby App Service. Každý plán služby App Service definuje:

  • Operační systém: (Windows, Linux)
  • Oblast (USA – západ, USA – východ atd.)
  • Počet instancí virtuálních počítačů
  • Velikost instancí virtuálních počítačů (malá, střední, velká)
  • Cenovou úroveň (Free, Shared, Basic, Standard, Premium, PremiumV2, PremiumV3, Isolated, IsolatedV2)

Další informace najdete v dokumentaci k plánu služby App Service.

Výchozí nastavení prostředků sady nástrojů Mesh pro plán služby App Service

  • Název skladové položky: P1v2
  • Úroveň skladové položky: PremiumV2
  • Kapacita skladové položky: 1
  • Druh: Linux
  • Vyhrazeno: True

V kontextu Cloud Scripting Services služby Mesh je plán služby App Service výpočetní komponentou. Může se škálovat automaticky a zpracovávat, jak spolu různé instance komunikují (sítě). CloudHost, což je aplikace, která běží a spravuje Služby cloudových skriptů Mesh, se v současné době nabízí jako image Dockeru, a proto používáme plán založený na Linuxu. Plány Premium jsou vhodnější pro produkční úlohy.

Další informace o výchozích nastaveních najdete v referenčních informacích k šabloně Bicep a ARM pro prostředek plánu služby App Service.

App Service

Aplikace Azure Service je služba založená na protokolu HTTP pro hostování webových aplikací, rozhraní REST API a mobilních back-endů. App Service do vaší aplikace přidává výkon Microsoft Azure, jako je zabezpečení, vyrovnávání zatížení, automatické škálování a automatizovaná správa. Se službou App Service platíte jenom za výpočetní prostředky Azure, které využijete. Výpočetní prostředky, které používáte, určují plán služby App Service, na který aplikace spouštíte.

Další informace najdete v dokumentaci ke službě App Service.

Výchozí nastavení prostředků sady nástrojů Mesh – App Service

  • httpsOnly: True
  • alwaysOn: True
  • vnetPrivatePorts Count: 2
  • vnetRouteAllEnabled: True
  • název virtuální sítě: Výchozí název virtuální sítě

Další informace o výchozích nastaveních najdete v referenčních informacích k šabloně Bicep a ARM pro prostředek plánu služby App Service.

Virtual Network

Azure Virtual Network je základní stavební blok vaší privátní sítě v Azure. Virtuální síť umožňuje mnoho typů prostředků Azure, jako jsou virtuální počítače Azure, bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Virtuální síť se podobá tradiční síti, kterou byste měli provozovat ve vlastním datacentru. Virtuální síť Azure přináší další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.

Další informace najdete v dokumentaci k virtuální síti.

Výchozí nastavení prostředků sady nástrojů Mesh – Virtuální síť

  • AddressSpace AddressPrefixes: 10.0.0.0/16
  • Adresa podsítěPrefix: 10.0.0.0/24
  • Název delegování podsítě: delegování
  • Název služby Delegování podsítě: Microsoft.Web/serverFarms

Další informace o výchozích nastaveních najdete v referenčních informacích k šabloně Bicep a ARM pro prostředek virtuální sítě.

Účet úložiště

Účet úložiště Azure obsahuje všechny datové objekty Azure Storage: objekty blob, soubory, fronty a tabulky. Účet úložiště poskytuje jedinečný obor názvů pro vaše data Azure Storage, která jsou přístupná odkudkoli na světě přes PROTOKOL HTTP nebo HTTPS. Data ve vašem účtu úložiště jsou odolná a vysoce dostupná, zabezpečená a široce škálovatelná.

Další informace najdete v dokumentaci k účtu úložiště.

Výchozí nastavení prostředků sady nástrojů Mesh – Účet úložiště

  • Název skladové položky: Standard_LRS
  • Druh: StorageV2

Další informace o výchozích nastaveních najdete v referenčních informacích k šabloně Bicep a ARM pro prostředek účtu úložiště.

Pracovní prostor Log Analytics

Pracovní prostor služby Log Analytics je jedinečné prostředí pro data protokolů ze služby Azure Monitor a dalších služeb Azure, jako je Microsoft Sentinel a Microsoft Defender for Cloud. Je to nástroj na webu Azure Portal, který slouží k úpravě a spouštění dotazů protokolu na data v úložišti protokolů služby Azure Monitor.

Další informace najdete v dokumentaci k pracovnímu prostoru služby Log Analytics.

Výchozí nastavení prostředků sady nástrojů Mesh – Pracovní prostor služby Log Analytics

  • forceCmkForQuery: false
  • retentionInDays: 30
  • Název skladové položky: PerGB2018
  • dailyQuotaGb: 2 GB

Další informace o výchozích nastaveních najdete v referenčních informacích k šabloně Bicep a ARM pro prostředek pracovního prostoru.

Application Insights

Application Insights je rozšíření služby Azure Monitor a poskytuje funkce monitorování výkonu aplikací (APM). Nástroje APM jsou užitečné k monitorování aplikací od vývoje, prostřednictvím testování a do produkčního prostředí následujícími způsoby:

Proaktivní pochopení výkonu aplikace Reaktivně zkontrolujte data spuštění aplikace a zjistěte příčinu incidentu. Spolu se shromažďováním metrik a telemetrických dat aplikací, která popisují aktivity a stav aplikací, můžete pomocí Application Insights shromažďovat a ukládat data protokolování trasování aplikací.

Další informace najdete v dokumentaci k Application Insights.

Výchozí nastavení prostředků sady nástrojů Mesh – Application Insights

  • Druh: web
  • Request_Source: rest
  • WorkspaceResourceId: Výchozí ID pracovního prostoru služby Log Analytics

Další informace o výchozích nastaveních najdete v referenčních informacích k šabloně Bicep a ARM pro prostředek virtuální sítě.

Diagram infrastruktury Cloud Scripting Services mesh

Diagram znázorňující infrastrukturu cloudových skriptů mesh

Provoz prochází jednotlivými komponentou.

Klient <–> Instance služby AppService: Požadavky nebo odpovědi klientů (žádosti o připojení, oznámení cloudových skriptů a další).

Instance služby App Service: Zprávy ping protokolu TCP pro určení živé aktivity.

Instance služby App Service –> LogAnalytics</AppInsights: Telemetrie aplikací (protokoly aplikací).

Instance <služby App Service –> Tabulka členství: Informace o livenessu o jednotlivých instancích služby App Service

Instance <služby App Service –> Blob Storage: Zip cloudových skriptů spuštěných v cloudu.

Registrace poskytovatele prostředků

Služby, které se mají zaregistrovat, jsou:

  1. Microsoft.Web
  2. Microsoft.Storage
  3. Microsoft.Network
  4. Microsoft.Insights
  5. Microsoft.OperationalInsights

Poznámky

  • Pokud potřebujete pomoc s chybami, přečtěte si informace o chybách registrace poskytovatele prostředků.

  • Jak je vysvětleno v dokumentaci k Azure, registrace služeb se provádí na úrovni předplatného. Jinými slovy, není potřeba registrovat služby pro různé skupiny prostředků.

Řízení přístupu pro nasazení cloudové skriptovací služby Mesh

  1. Vývojáři musí mít e-mailový účet, který je možné použít pro nasazení. Může se jednat o nový nebo již existující účet.

  2. Pokud spravujete řízení přístupu prostřednictvím skupiny zabezpečení Azure, vytvořte tuto skupinu (například "Mesh Cloud Scripting Services Developers"). Další informace o skupině zabezpečení Azure v porovnání s typy skupin Microsoftu 365 najdete v tématu Informace o skupinách a členství ve skupinách.

  3. Rozhodněte se, jak mají vývojáři přistupovat k vašemu předplatnému Azure. Určuje se, jestli je vývojář nativním členem adresáře nebo uživatelem typu host.

    1. Pokud chcete snadno spravovat řízení přístupu, můžete do skupiny zabezpečení Azure, kterou jste vytvořili v kroku 2 výše, přidat nativní členy.
    2. Do předplatného Azure můžete přidat uživatele typu host nebo je přidat do skupiny zabezpečení Azure (viz krok 2 výše).

    Další informace o uživatelích typu host najdete v tématu Přidání uživatelů spolupráce B2B na webu Azure Portal .

Naše doporučení pro řízení přístupu

Tady je několik doporučení, jak vývojářům udělit přístup ke zřízení cloudové infrastruktury Cloud Scripting Services v Azure. Liší se v závislosti na tom, jak omezující zásady řízení přístupu mají být.

  1. Udělte vývojářům roli Přispěvatel pro celé předplatné, které je zřízené pro služby Cloud Scripting Services mesh.

  2. Vytvořte vyhrazenou skupinu prostředků pro nasazení cloudové infrastruktury Cloud Scripting Services mesh a udělte vývojářům roli Přispěvatel v této skupině prostředků. Můžete to provést prostřednictvím skupiny zabezpečení Azure, kterou jste vytvořili v druhém požadavku– jinými slovy: "Mesh Cloud Scripting Services Developers". Tím jim udělíte úplný přístup ke správě všech prostředků, ale neumožňuje jim přiřazovat role v Azure RBAC, spravovat přiřazení v Azure Blueprints nebo sdílet galerie imagí.

  3. Vytvořte v Azure vlastní roli s nejnižšími oprávněními potřebnými k vytvoření a správě cloudové infrastruktury Cloud Scripting Services mesh.

    Tuto roli můžete přiřadit přímo ve skupině zabezpečení Azure, kterou jste vytvořili v druhém předpokladu, tj. Vývojáři cloudových skriptů mesh.

    Tady jsou naše doporučená oprávnění pro vlastní role, které vytvoříte:

    Obrazovka stránky, na které zvolíte vlastní role.

    Soubor JSON, který byste nahráli, by se měl podobat tomuto**:

    {
"id": "88888-8888-8888-888-8888888",
    "properties": {
        "roleName": "MeshCloudScriptingServiceDeployer",
        "description": "Grants access to Mesh Cloud Scripting Services resources",
        "assignableScopes": [
            "/subscriptions/{subscriptionID}"
        ],
        "permissions": [
            {
                "actions": [
                    "*/read",
                    "Microsoft.Authorization/*/read",
                    "Microsoft.ClassicCompute/virtualMachines/extensions/*",
                    "Microsoft.ClassicStorage/storageAccounts/listKeys/action",
                    "Microsoft.Compute/virtualMachines/extensions/*",
                    "Microsoft.HybridCompute/machines/extensions/write",
                    "Microsoft.Insights/alertRules/*",
                    "Microsoft.Insights/autoscalesettings/*",
                    "Microsoft.Insights/components/*",
                    "Microsoft.Insights/diagnosticSettings/*",
                    "Microsoft.Insights/generateLiveToken/read",
                    "Microsoft.Insights/metricAlerts/*",
                    "Microsoft.Insights/scheduledqueryrules/*",
                    "Microsoft.Insights/topology/read",
                    "Microsoft.Insights/transactions/read",
                    "Microsoft.Insights/webtests/*",
                    "Microsoft.Network/*",
                    "Microsoft.OperationalInsights/*",
                    "Microsoft.OperationsManagement/*",
                    "Microsoft.ResourceHealth/availabilityStatuses/read",
                    "Microsoft.Resources/deployments/*",
                    "Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Storage/storageAccounts/*",
                    "Microsoft.Support/*",
                    "Microsoft.Web/certificates/*",
                    "Microsoft.Web/hostingEnvironments/Join/Action",
                    "Microsoft.Web/listSitesAssignedToHostName/read",
                    "Microsoft.Web/serverFarms/join/action",
                    "Microsoft.Web/serverFarms/*",
                    "Microsoft.Web/sites/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

    Poznámka:

    Vlastní role MeshCloudScriptingServiceDeployer neumožňuje uživatelům vytvářet skupiny prostředků. Pokud chceme, aby uživatelé vytvořili skupinu prostředků, potřebují také oprávnění Microsoft.Resources/subscriptions/resourcegroups/write.

Omezení kvót pro služby Cloud Scripting Services služby Mesh

Infrastruktura Cloud Scripting Services mesh využívá plán Premium App Service Linux (P1V2). Toto jsou limity služby App Service, se kterými se můžete setkat při nasazování služby Cloud Scripting Service mesh:

Prostředek Premium (P1V2)
Webové, mobilní aplikace nebo aplikace API na plán služby Aplikace Azure Bez omezení
Plán služby App Service 100 na skupinu prostředků

Poznámka:

Kvóty aplikací a úložiště se vztahují na plán služby App Service, pokud není uvedeno jinak.

Poznámka:

Skutečný počet aplikací, které můžete na těchto počítačích hostovat, závisí na aktivitě aplikací, velikosti instancí počítačů a odpovídajícím využití prostředků.

Pokud se zobrazí následující chyba: Tato oblast má kvótu 0 instancí PremiumV2 pro vaše předplatné. Zkuste vybrat jinou oblast nebo skladovou položku, podívejte se na limity a kvóty předplatného Azure.

Vyčištění zastaralých cloudových skriptovacích služeb Mesh

Pokud máte zastaralé nebo nepoužívané služby Cloud Scripting Mesh, vyhledejte prostředky cloudových skriptování mesh a odeberte je podle těchto kroků.

  1. Přihlaste se k webu Azure Portal.

  2. Přejděte na kartu Všechny prostředky.

    Výběr všech prostředků na webu Azure Portal

  3. Na stránce Všechny prostředky:

    a. Vyberte příslušné předplatné.

    Výběr předplatného v Azure

    b. Přidejte filtr se značkou EnvironmentName.

    Filtr EnvironmentName v Azure

    c. Vyhledejte prostředky, které odpovídají prostředím, která chcete odstranit.

    Filtr prostředků v Azure

  4. Vyčistíte zastaralé služby Skriptování cloudu mesh kliknutím na tři tečky vedle názvu jednotlivých prostředků nalezených v kroku 3C a následným kliknutím na Odstranit v rozevíracím seznamu. Alternativně můžete k odstranění prostředků použít Azure CLI, jak je popsáno v tomto článku o odstranění prostředků .

Další kroky

Řešení potíží s cloudovým skriptováním