Naleving van virtuele machines beheren

In dit artikel wordt beschreven hoe u naleving van virtuele machines beheert zonder dat devOps-procedures worden beperkt. Gebruik Azure VM Image Builder en Azure Compute Gallery om het risico van systeeminstallatiekopieën te minimaliseren.

Architectuur

De oplossing bestaat uit twee processen:

• Het gouden publicatieproces voor afbeeldingen
• Het proces van het bijhouden van naleving van virtuele machines (VM's)

Een Visio-bestand van deze architectuur downloaden.

Gegevensstroom

Het gouden publicatieproces voor afbeeldingen wordt maandelijks uitgevoerd en bevat deze stappen:

1. Tijdens het proces wordt een basisinstallatiekopieën van Azure Marketplace vastgelegd.
2. Vm Image Builder past de installatiekopieën aan.
3. Het proces van het tatoeëren van afbeeldingen houdt informatie over de installatiekopieënversie bij, zoals de bron en publicatiedatum.
4. Geautomatiseerde tests valideren de installatiekopieën.
5. Als de installatiekopieën geen tests uitvoeren, keert deze terug naar de aanpassingsstap voor reparaties.
6. Het proces publiceert de voltooide afbeelding.
7. Compute Gallery maakt de installatiekopieën beschikbaar voor DevOps-teams.

Een Visio-bestand van deze architectuur downloaden.

Het proces voor het bijhouden van VM-naleving bevat deze stappen:

1. Azure Policy wijst beleidsdefinities toe aan VM's en evalueert de VM's op naleving.
2. Azure Policy publiceert nalevingsgegevens voor de VM's en andere Azure-resources naar het Azure Policy-dashboard.

Onderdelen

• VM Image Builder is een beheerde service voor het aanpassen van systeeminstallatiekopieën. Deze service bouwt en distribueert de installatiekopieën die DevOps-teams gebruiken.

• Met de rekengalerie kunt u aangepaste installatiekopieën structuren en ordenen. Door installatiekopieën op te slaan in opslagplaatsen, biedt deze service beheerde toegang tot de installatiekopieën. Gebruikers kunnen zich binnen en buiten uw organisatie bevinden.

• Azure Policy biedt beleidsdefinities. U kunt deze definities gebruiken om de standaarden van uw organisatie af te dwingen en naleving op schaal te beoordelen. In het Azure Policy-dashboard worden resultaten van Azure Policy-evaluaties weergegeven. Deze gegevens houden u op de hoogte van de nalevingsstatus van uw resources.

• De azure Automanage Machine Configuration-functie van Azure Policy biedt een manier om configuraties dynamisch te controleren of toe te wijzen aan machines via code. De configuraties omvatten over het algemeen omgevings- of besturingssysteeminstellingen.

Alternatieven

• U kunt een hulpprogramma van derden gebruiken om naleving te beheren. Maar met dit type hulpprogramma moet u meestal een agent installeren op de doel-VM. Mogelijk moet u ook een licentiekosten betalen.

• U kunt aangepaste scriptextensies gebruiken voor het installeren van software op VM's of het configureren van VM's na de implementatie. Maar elke VM of virtuele-machineschaalset kan slechts één aangepaste scriptextensie hebben. En als u aangepaste scriptextensies gebruikt, voorkomt u dat DevOps-teams hun toepassingen kunnen aanpassen.

Scenariodetails

Elke onderneming heeft zijn eigen nalevingsvoorschriften en -standaarden. Met betrekking tot beveiliging heeft elk bedrijf zijn eigen risicobereidheid. Beveiligingsstandaarden kunnen verschillen van de ene organisatie naar de andere en van de ene regio naar de andere.

Het volgen van verschillende standaarden kan lastiger zijn bij het dynamisch schalen van cloudomgevingen dan in on-premises systemen. Wanneer teams DevOps-procedures gebruiken, zijn er meestal minder beperkingen voor wie Azure-resources zoals VM's kan maken. Dit feit maakt nalevingsuitdagingen ingewikkeld.

Met behulp van Azure Policy en toewijzingen voor op rollen gebaseerd toegangsbeheer kunnen ondernemingen standaarden afdwingen voor Azure-resources. Maar met VM's hebben deze mechanismen alleen invloed op het besturingsvlak of de route naar de VIRTUELE machine. De systeeminstallatiekopieën die worden uitgevoerd op een VIRTUELE machine vormen nog steeds een beveiligingsrisico. Sommige bedrijven voorkomen dat ontwikkelaars toegang krijgen tot VM's. Deze aanpak vermindert de flexibiliteit, waardoor het lastig is om DevOps-procedures te volgen.

Dit artikel bevat een oplossing voor het beheren van de naleving van VM's die worden uitgevoerd in Azure. Naast het bijhouden van naleving beperkt de oplossing ook het risico van systeeminstallatiekopieën die worden uitgevoerd op VM's. Tegelijkertijd is de oplossing compatibel met DevOps-procedures. Kernonderdelen zijn Onder andere Azure VM Image Builder, Azure Compute Gallery en Azure Policy.

Potentiële gebruikscases

Deze oplossing is van toepassing op organisaties met Azure-landingszones die deze taken uitvoeren:

• Gouden afbeeldingen leveren aan DevOps-teams. Een gouden afbeelding is de gepubliceerde versie van een marketplace-installatiekopieën.
• Test en valideert installatiekopieën voordat ze beschikbaar worden gemaakt voor DevOps-teams.
• Bijhouden welke afbeelding elk DevOps-team gebruikt.
• Het afdwingen van bedrijfsstandaarden zonder de productiviteit te verminderen.
• Ervoor zorgen dat DevOps-teams de nieuwste installatiekopieën gebruiken.
• Het beheer van de naleving van servers voor huisdieren, die onderhoudsintensief zijn en veeservers, die gemakkelijk kunnen worden vervangen.

Methode

In de volgende secties vindt u een gedetailleerde beschrijving van de aanpak van de oplossing.

Huisdieren en vee identificeren

DevOps-teams gebruiken een analogie genaamd huisdieren en vee om servicemodellen te definiëren. Als u de naleving van een VIRTUELE machine wilt bijhouden, moet u eerst bepalen of het een huisdier- of veeserver is:

• Huisdieren hebben veel aandacht nodig. Ze zijn niet gemakkelijk om te verontgelijken. Het herstellen van een huisdierserver vereist een aanzienlijke hoeveelheid tijd en financiële middelen. Een server waarop SAP wordt uitgevoerd, kan bijvoorbeeld een huisdier zijn. Naast de software die op de server wordt uitgevoerd, kunnen andere overwegingen ook het servicemodel bepalen. Als u een lage fouttolerantie hebt, kunnen productieservers in realtime en bijna realtime systemen ook huisdieren zijn.

• Veeservers maken deel uit van een identieke groep. U kunt ze eenvoudig vervangen. Vm's die in een virtuele-machineschaalset worden uitgevoerd, zijn bijvoorbeeld vee. Als er voldoende VM's in de set staan, blijft uw systeem actief en hoeft u de naam van elke VIRTUELE machine niet te kennen. Testomgevingsservers die aan de volgende voorwaarden voldoen, bieden een ander voorbeeld van vee:

  • U gebruikt een geautomatiseerde procedure om de servers helemaal opnieuw te maken.
  • Nadat u klaar bent met het uitvoeren van de tests, moet u de servers buiten gebruik stellen.

Een omgeving kan alleen huisdierservers bevatten of alleen veeservers bevatten. Een set virtuele machines in een omgeving kan daarentegen huisdieren zijn. Een andere set vm's in dezelfde omgeving kan vee zijn.

Naleving beheren:

• Naleving van huisdieren kan lastiger zijn dan veecompatibiliteit. Normaal gesproken kunnen alleen DevOps-teams de naleving van omgevingen en servers voor huisdieren bijhouden en onderhouden. Maar de oplossing van dit artikel verhoogt de zichtbaarheid van de status van elk huisdier, waardoor iedereen in de organisatie de naleving gemakkelijker kan bijhouden.
• Voor veeomgevingen vernieuwt u de VM's en bouwt u ze regelmatig opnieuw op. Deze stappen moeten voldoende zijn voor naleving. U kunt deze vernieuwingscyclus afstemmen op de reguliere releasefrequentie van uw DevOps-team.

Afbeeldingen beperken

Sta DevOps-teams niet toe om VM-installatiekopieën van Azure Marketplace te gebruiken. Alleen VM-installatiekopieën toestaan die in de Compute Gallery worden gepubliceerd. Deze beperking is essentieel voor het waarborgen van vm-naleving. U kunt een aangepast beleid in Azure Policy gebruiken om deze beperking af te dwingen. Zie Afbeeldingsuitgevers toestaan voor een voorbeeld.

Als onderdeel van deze oplossing moet VM Image Builder een Azure Marketplace-installatiekopieën gebruiken. Het is essentieel om de meest recente installatiekopieën te gebruiken die beschikbaar zijn in Azure Marketplace. Pas eventuele aanpassingen boven op die afbeelding toe. Azure Marketplace-installatiekopieën worden vaak vernieuwd en elke installatiekopieën hebben bepaalde vooraf ingestelde configuraties, zodat uw installatiekopieën standaard beveiligd zijn.

Afbeeldingen aanpassen

Een gouden installatiekopieën zijn de versie van een marketplace-installatiekopieën die is gepubliceerd naar Compute Gallery. Golden-installatiekopieën zijn beschikbaar voor gebruik door DevOps-teams. Voordat de afbeelding wordt gepubliceerd, vindt aanpassing plaats. Aanpassingsactiviteiten zijn uniek voor elke onderneming. Veelvoorkomende activiteiten zijn:

• Beveiliging van besturingssysteem.
• Aangepaste agents implementeren voor software van derden.
• Basiscertificaten van certificeringsinstantie (CA) installeren.

U kunt VM Image Builder gebruiken om installatiekopieën aan te passen door de instellingen van het besturingssysteem aan te passen en door aangepaste scripts en opdrachten uit te voeren. VM Image Builder ondersteunt Windows- en Linux-installatiekopieën. Zie de besturingselementen voor naleving van Azure Policy-regelgeving voor virtuele Azure-machines voor meer informatie over het aanpassen van installatiekopieën.

Afbeeldingstattoo's bijhouden

Het tatoeëren van installatiekopieën is het proces voor het bijhouden van alle versiebeheergegevens van installatiekopieën die door een VIRTUELE machine worden gebruikt. Deze informatie is waardevol tijdens het oplossen van problemen en kan het volgende omvatten:

• De oorspronkelijke bron van de installatiekopieën, zoals de naam en versie van de uitgever.
• De versietekenreeks van het besturingssysteem, die u nodig hebt als er een in-place upgrade is.
• De versie van uw aangepaste installatiekopieën.
• Uw publicatiedatum.

De hoeveelheid en het type informatie dat u bijhoudt, is afhankelijk van het nalevingsniveau van uw organisatie.

Voor het tatoeëren van installatiekopieën op Windows-VM's stelt u een aangepast register in. Voeg alle vereiste informatie toe aan dit registerpad als sleutel-waardeparen. Voer op Linux-VM's afbeeldingstoeëergegevens in omgevingsvariabelen of een bestand in. Plaats het bestand in de /etc/ map, waar het geen conflict veroorzaakt met werk of toepassingen van ontwikkelaars. Als u Azure Policy wilt gebruiken om de tatoeagegegevens of rapporten erop bij te houden, slaat u elk stukje gegevens op als een uniek sleutel-waardepaar. Zie Hoe u een versie van een Marketplace-installatiekopieën kunt vinden voor informatie over het bepalen van de versie van een Marketplace-installatiekopieën.

Gouden afbeeldingen valideren met geautomatiseerde tests

Over het algemeen moet u gouden afbeeldingen maandelijks vernieuwen om op de hoogte te blijven van de nieuwste updates en wijzigingen in Azure Marketplace-installatiekopieën. Gebruik hiervoor een terugkerende testprocedure. Als onderdeel van het proces voor het maken van installatiekopieën gebruikt u een Azure-pijplijn of een andere geautomatiseerde werkstroom om te testen. Stel de pijplijn in voor het implementeren van een nieuwe VM voor het uitvoeren van tests vóór het begin van elke maand. De tests moeten geparseerde afbeeldingen bevestigen voordat ze voor verbruik worden gepubliceerd. Automatiseer tests met behulp van een testautomatiseringsoplossing of door opdrachten of batches uit te voeren op de VIRTUELE machine.

Veelvoorkomende testscenario's zijn:

• De opstarttijd van de VIRTUELE machine valideren.
• Bevestig de aanpassing van de installatiekopieën, zoals configuratie-instellingen van het besturingssysteem of agentimplementaties.

Een mislukte test moet het proces onderbreken. Herhaal de test na het oplossen van de hoofdoorzaak van het probleem. Als de tests zonder problemen worden uitgevoerd, vermindert het automatiseren van het testproces de moeite die nodig is om de status groenblijvend te houden.

Gouden afbeeldingen publiceren

Publiceer definitieve installatiekopieën in de Compute Gallery als een beheerde installatiekopieën of als een virtuele harde schijf (VHD) die DevOps-teams kunnen gebruiken. Markeer eerdere afbeeldingen als verouderd. Als u geen einddatum hebt ingesteld voor een installatiekopieënversie in Compute Gallery, wilt u de oudste installatiekopieën misschien stoppen. Deze beslissing is afhankelijk van het beleid van uw bedrijf.

Zie Afbeeldingen opslaan en delen in een Azure Compute Gallery voor informatie over limieten die van toepassing zijn wanneer u Compute Gallery gebruikt.

Een andere goede gewoonte is om de meest recente afbeeldingen in verschillende regio's te publiceren. Met Compute Gallery kunt u de levenscyclus en replicatie van uw installatiekopieën in verschillende Azure-regio's beheren.

Zie Afbeeldingen opslaan en delen in een Azure Compute-galerie voor meer informatie over Compute Gallery.

Gouden afbeeldingen vernieuwen

Wanneer een installatiekopie wordt gebruikt voor een toepassing, kan het lastig zijn om de onderliggende installatiekopie van het besturingssysteem bij te werken met recente nalevingswijzigingen. Strikte zakelijke vereisten kunnen het proces van het vernieuwen van de onderliggende VM bemoeilijken. Vernieuwen is ook complex wanneer de VIRTUELE machine essentieel is voor het bedrijf.

Omdat rundveeservers dispenseerbaar zijn, kunt u met DevOps-teams samenwerken om deze servers te vernieuwen in een gepland onderhoudsvenster als een bedrijfs-als-gebruikelijke activiteit.

Het is lastiger om huisdierservers te vernieuwen. Als u een installatiekopieën stopt, kunnen toepassingen risico lopen. In uitschaalscenario's kan Azure de respectieve installatiekopieën niet vinden, wat resulteert in fouten.

Houd rekening met deze richtlijnen bij het vernieuwen van huisdierservers:

• Zie Overzicht van de betrouwbaarheidspijler in het Azure Well-Architected Framework voor best practices.

• Als u het proces wilt stroomlijnen, raadpleegt u de principes die in deze documenten worden besproken:

  • Patroon Implementatiestempels
  • Geode-patroon
  • Schotpatroon

• Tag elke huisdierserver als huisdier. Configureer een beleid in Azure Policy om rekening te houden met deze tag tijdens vernieuwingen.

Verbeter zichtbaarheid

Over het algemeen moet u Azure Policy gebruiken om nalevingsactiviteiten op het besturingsvlak te beheren. U kunt Ook Azure Policy gebruiken voor:

• Vm-naleving bijhouden.
• Azure-agents installeren.
• Diagnostische logboeken vastleggen.
• De zichtbaarheid van VM-naleving verbeteren.

Gebruik de azure Automanage Machine Configuration-functie van Azure Policy om de configuratiewijzigingen te controleren die u tijdens het aanpassen van de installatiekopieën aanbrengt. Wanneer er afwijkingen optreden, geeft het Azure Policy-dashboard de betreffende VM weer als niet-compatibel. Azure Policy kan informatie over het tatoeëren van afbeeldingen gebruiken om bij te houden wanneer u verouderde installatiekopieën of besturingssystemen gebruikt.

Controleer huisdierservers voor elke toepassing. Door Azure Policies te gebruiken met een controle-effect, kunt u de zichtbaarheid van deze servers verbeteren. Pas het controleproces aan op basis van de risicobereidheid van uw bedrijf en interne risicobeheerprocessen.

Elk DevOps-team kan de nalevingsniveaus van de toepassingen bijhouden in het Azure Policy-dashboard en de juiste corrigerende acties uitvoeren. Wanneer u dit beleid toewijst aan een beheergroep of een abonnement, geeft u de toewijzingsbeschrijving een URL die leidt tot een wiki voor het hele bedrijf. U kunt ook een korte URL gebruiken, zoals aka.ms/policy-21. Vermeld in de wiki de stappen die DevOps-teams moeten uitvoeren om hun VM's compatibel te maken.

IT-risicomanagers en beveiligingsmedewerkers kunnen ook het Azure Policy-dashboard gebruiken om bedrijfsrisico's te beheren op basis van de risicobereidheid van hun bedrijf.

Met behulp van de azure Automanage Machine-configuratiefunctie van Azure Policy met herstelopties kunt u automatisch corrigerende acties toepassen. Maar het regelmatig ondervragen van een VIRTUELE machine of het aanbrengen van wijzigingen op een VM die u gebruikt voor een bedrijfskritieke toepassing kan de prestaties verminderen. Plan herstelacties zorgvuldig voor productieworkloads. Geef een DevOps-teameigendom van toepassingscompatibiliteit in alle omgevingen. Deze aanpak is essentieel voor huisdierservers en omgevingen, die meestal azure-onderdelen op lange termijn zijn.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Controlelijst ontwerpbeoordeling voor betrouwbaarheidvoor meer informatie.

Deze oplossing maakt gebruik van beheerde onderdelen die automatisch tolerant zijn op regionaal niveau. Zie Tolerante toepassingen ontwerpen voor Azure voor algemene richtlijnen voor het ontwerpen van flexibele oplossingen.

U kunt het aantal replica's configureren dat in de Compute Gallery van elke installatiekopieën wordt opgeslagen. Een hoger aantal replica's minimaliseert het risico op beperking wanneer u meerdere VM's tegelijk inricht. Zie Schalen voor Azure Compute Gallery voor algemene richtlijnen voor het schalen en configureren van een geschikt aantal replica's.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie controlelijst ontwerpbeoordeling voor kostenoptimalisatievoor meer informatie.

Tenzij u een service van derden zoals Ansible of Terraform gebruikt, is deze benadering vrijwel gratis. Kosten voor opslag en uitgaand verkeer kunnen van toepassing zijn. Andere potentiële kosten zijn van belang voor deze onderdelen:

• Configuratie van Azure Policy en Azure Automanage Machine zijn gratis voor Azure-resources. Als uw bedrijf gebruikmaakt van een hybride benadering, worden er extra kosten in rekening gebracht voor Azure Arc-resources.

• Tijdens de openbare preview-periode gebruikt VM Image Builder één type rekeninstantie met 1 vCPU en 3,5 GB RAM-geheugen. Er kunnen kosten in rekening worden gebracht voor gegevensopslag en -overdracht.

• Compute Gallery heeft geen kosten, behalve:

  • De kosten voor het opslaan van replica's.
  • Netwerkuitgangskosten voor het repliceren van installatiekopieën.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

• Yunus Emre Alpozen | Programmaarchitect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• Azure-landingszone
• Uw resources beheren en controleren met behulp van Azure Policy
• Opbouwfunctie voor Azure VM-installatiekopieën
• Azure Compute Gallery
• Azure Policy en het beleidsdashboard
• Azure Automanage Machine Configuration

Verwante resources

• DevTest en DevOps voor IaaS-oplossingen
• DevSecOps in AKS