Plánování velikosti a sítě

  • 10 min

Virtuální počítač Azure je oblíbený typ výpočetního prostředku typu infrastruktura jako služba (IaaS) v Azure. V porovnání s výpočetními službami PaaS (platforma jako služba) poskytují virtuální počítače Azure větší flexibilitu a kontrolu nad operačním systémem virtuálního počítače a jeho konfigurací. Vyšší kontrola a flexibilita vyžadují větší plánování pro zajištění optimálních výsledků.

Tato lekce popisuje celkové faktory a aspekty plánování nasazení virtuálních počítačů Azure s Linuxem. Proces plánování by měl zvážit aspekty výpočetních prostředků, sítí a úložiště konfigurace virtuálního počítače. Některé z těchto charakteristik jsou specifické pro operační systém, přičemž podrobnosti implementace se liší v různých distribucích Linuxu.

Partneři Microsoftu spolupracují s významnými dodavateli Linuxu a integrují své produkty s platformou Azure. Pokud chcete tuto integraci plně využít, můžete vytvářet virtuální počítače Azure z předem připravených imagí pro různé oblíbené distribuce Linuxu, jako jsou SUSE, Red Hat a Ubuntu. Volitelně můžete vytvořit vlastní image linuxové distribuce, která se spustí v cloudovém prostředí. V tomto případě může v procesu zřizování virtuálních počítačů Azure existovat více kroků.

V obou případech může tento výukový modul pomoct dále optimalizovat výsledné nasazení. Optimalizace vyžaduje, abyste měli silné znalosti o prostředku virtuálního počítače Azure a jeho závislostech.

Principy závislostí prostředků

Když vytváříte virtuální počítač Azure, musíte také vytvořit několik přidružených prostředků, na kterých závisí virtuální počítač Azure, aby poskytoval plně funkční virtualizovaný operační systém. Mezi tyto prostředky patří:

  • Virtuální disky pro ukládání operačního systému, aplikací a dat

  • Virtuální síť s jednou nebo více podsítěmi pro připojení virtuálního počítače Azure k jiným službám Azure nebo k místním datacentrům.

  • Síťové rozhraní pro připojení virtuálního počítače Azure k podsíti virtuální sítě.

    Poznámka:

    Každé síťové rozhraní musí mít přiřazenou alespoň jednu privátní IP adresu dynamicky nebo staticky. Privátní IP adresy nejsou samostatné prostředky Azure, ale jsou součástí konfigurace podsítě.

  • Skupina prostředků pro hostování virtuálního počítače Azure

  • Volitelně můžete veřejnou IP adresu přidruženou k síťovému rozhraní virtuálního počítače poskytnout přímý příchozí přístup k virtuálnímu počítači z internetu.

Teď, když rozumíte závislostem prostředků virtuálních počítačů Azure, můžete začít plánovat změnu velikosti virtuálních počítačů.

Plánování velikosti

Pokud chcete určit správnou velikost virtuálního počítače Azure, musíte zvážit její zamýšlenou úlohu. Velikost, kterou zvolíte, určuje následující charakteristiky virtuálního počítače:

  • Výpočetní výkon
  • Memory (Paměť)
  • Kapacita úložiště
  • Výkon
  • Podpora pokročilých síťových funkcí

Důležité

Virtuální počítače Azure mají omezení kvóty virtuálního procesoru (vCPU), pro které byste měli počítat při plánování. Pokud chcete po nasazení zvýšit limity kvót, musíte odeslat online žádost podpoře Azure.

Azure nabízí širokou škálu velikostí s různými specifikacemi a cenovými body, které splňují širokou škálu potřeb. Velikosti virtuálních počítačů jsou seskupené do několika kategorií, které představují typy úloh, pro které jsou optimalizované. Každá kategorie zahrnuje jednu nebo více řad nebo rodin, které sdílejí společné základní hardwarové charakteristiky, ale nabízejí řadu různých velikostí.

Následující seznam ukazuje typy úloh a běžné případy použití pro každý typ úlohy. Každý typ úlohy má odpovídající rodiny, které zahrnují různé velikosti.

  • Obecné účely: Testování a vývoj, malé až střední databáze a webové servery s nízkým až středním provozem.
  • Náročné na výpočetní prostředky: Webové servery se středním provozem, síťová zařízení, dávkové procesy a aplikační servery.
  • Náročné na paměť: Servery relačních databází, střední až velké mezipaměti a analýzy v paměti.
  • Náročné na úložiště: Databáze s velkými objemy dat, SQL a NoSQL, které vyžadují vysokou propustnost disku a vstupně-výstupní (vstupně-výstupní operace).
  • Povolená grafická procesorová jednotka (GPU): Náročné vykreslování grafiky nebo úpravy videa a trénování modelů a odvozování pomocí hlubokého učení.
  • Vysokovýkonné výpočetní prostředí (HPC): Nejrychlejší a nejvýkonnější virtuální počítače s procesorem s volitelnou vysokou propustností síťových rozhraní podporujících přímý přístup do paměti vzdáleného počítače (RDMA).

Při plánování velikostí virtuálních počítačů Azure zvažte také následující faktory:

  • Změna řady nebo velikosti virtuálních počítačů Azure, zatímco jednoduchá a běžná, vyžaduje restartování operačního systému. Pokud je to možné, vyhnete se restartování, odpovídajícím způsobem velikost virtuálního počítače od začátku.
  • Dostupnost velikosti virtuálního počítače se liší podle oblasti, takže při plánování nasazení využujte regionální dostupnost.
  • Maximální počet disků, které můžete připojit k virtuálnímu počítači Azure, závisí na jeho velikosti.

Další aspekty velikosti

Zvažte použití Microsoft Copilotu v Azure k určení nejvhodnější velikosti virtuálního počítače na základě typu úlohy, operačního systému, nainstalovaného softwaru a oblasti nasazení.

Pokud plánujete používat virtuální počítače Azure se stejnou nebo podobnou velikostí ve stejné oblasti během delšího období, zvažte použití rezervací Azure ke snížení nákladů na výpočetní prostředky až o 72 procent.

Pokud chcete snížit náklady na virtuální počítače Azure pro úlohy, které můžou zpracovávat přerušení, jako jsou úlohy dávkového zpracování, použijte spotové virtuální počítače Azure.

Plánování sítí

Virtuální počítače komunikují s externími prostředky pomocí virtuální sítě. Virtuální síť představuje privátní síť v rámci oblasti Azure. Virtuální sítě můžete propojit s jinými sítěmi, včetně sítí v místních datacentrech, a použít pravidla provozu pro řízení příchozího a odchozího připojení.

Každá virtuální síť určuje adresní prostor IP adres, který se obvykle skládá z jednoho nebo více rozsahů privátních adres definovaných dokumentem RFC 1918. Stejně jako u místních sítí můžete adresní prostor virtuální sítě rozdělit do několika podsítí a izolovat úlohy virtuálních počítačů Azure. Každá podsíť ve virtuální síti představuje rozsah privátních adres. Pokud chcete vynutit izolaci úloh, přidružíte k každé podsíti skupinu zabezpečení sítě (NSG ).

Každý virtuální počítač Azure zahrnuje jedno nebo více síťových rozhraní a každé rozhraní se připojí k podsíti ve stejné virtuální síti. Azure automaticky přiřadí každý virtuální počítač v podsíti IP adresu z rozsahu podsítě. Azure si vyhrazuje první čtyři a poslední IP adresu v každé podsíti pro vlastní použití a nepřiřazuje je.

I když je možné v rámci procesu zřizování virtuálních počítačů vytvořit virtuální síť a podsítě, doporučuje se spustit plánování nasazení virtuálních počítačů Azure se síťovým prostředím. Jakmile započítáte všechny požadavky na síť a vytvoříte odpovídající virtuální sítě, můžete pokračovat v nasazování virtuálních počítačů Azure.

Při plánování virtuálních sítí a podsítí Azure mějte na paměti následující principy návrhu:

  • Ujistěte se, že se adresní prostory nepřekrývají. Pokud chcete propojit virtuální sítě a místní sítě, nemůžou se adresní prostory IP adres překrývat.
  • Používejte menší počet větších virtuálních sítí místo většího počtu menších virtuálních sítí. Tento postup pomáhá minimalizovat režijní náklady na správu a usnadnit škálovatelnost.

Šířka pásma sítě

I když virtuální počítač Azure může mít více síťových rozhraní, jeho dostupná šířka pásma závisí zcela na jeho velikosti. Obecně platí, že větší velikosti virtuálních počítačů mají větší šířku pásma než menší velikosti.

Pokud chcete měřit skutečnou šířku pásma sítě oproti přidělenému limitu, Azure cílí pouze na odchozí provoz. Veškerý síťový provoz, který opouští virtuální počítač, se počítá do tohoto limitu bez ohledu na cíl provozu.

Azure přímo neomezuje šířku pásma příchozího přenosu dat. Faktory, jako je využití úložiště a výpočetních prostředků, ale ovlivňují objem příchozích dat, které může virtuální počítač Azure zpracovat.

Plánování vzdáleného připojení

V rámci plánování nasazení zvažte nejvhodnější přístup k poskytování vzdáleného připojení. U virtuálních počítačů s Linuxem obvykle vzdálené připojení zahrnuje použití protokolu Secure Shell (SSH) k implementaci přenášeného šifrování relace prostředí terminálu.

K ověření přes připojení SSH můžete použít uživatelské jméno a heslo nebo pár klíčů SSH. Použití hesel pro připojení SSH ponechá virtuální počítač zranitelný vůči útokům hrubou silou. Použití klíčů SSH je bezpečnější a upřednostňovanější metoda připojení k virtuálnímu počítači s Linuxem pomocí SSH.

I s klíči SSH musíte ve výchozím nastavení otevřít připojení k veřejné IP adrese přidružené k síťovému adaptéru cílového virtuálního počítače Azure. Tato veřejná IP adresa je zranitelná vůči externím hrozbám a představuje potenciální vektor útoku. Pokud chcete toto riziko zmírnit, zvažte implementaci přístupu k virtuálním počítačům Azure Bastion nebo přístup k virtuálním počítačům za běhu (JIT).

Poznámka:

Abyste eliminovali potřebu veřejných IP adres při připojování z místního prostředí k virtuálním počítačům Azure v hybridních scénářích, můžete použít virtuální privátní síť (VPN) typu site-to-site nebo Azure ExpressRoute.

Azure Bastion

Službu Azure Bastion nasadíte do vyhrazené podsítě virtuální sítě, která má připojení k cílovému virtuálnímu počítači. Azure Bastion slouží jako zprostředkovatel pro externí připojení SSH přes PROTOKOL HTTPS, která jsou dostupná jenom na webu Azure Portal. Azure Bastion eliminuje potřebu přiřazování veřejných IP adres k síťovému rozhraní cílového virtuálního počítače a také zajišťuje, že připojení SSH můžou iniciovat jenom ověření a správně autorizovaní uživatelé.

Přístup k virtuálnímu počítači JIT

Přístup k virtuálním počítačům JIT je funkce Microsoft Defenderu pro cloud, která omezuje přístup k veřejné IP adrese přidružené k síťovému rozhraní virtuálního počítače Azure. Tato omezení dynamicky upravují skupinu zabezpečení sítě tak, aby umožňovala příchozí připojení pouze z určeného rozsahu IP adres během určeného časového intervalu. Stejně jako u služby Azure Bastion se uživatelé musí před zahájením připojení z webu Azure Portal ověřit.