Planowanie ustalania rozmiaru i sieci
Maszyna wirtualna platformy Azure to popularny typ zasobu obliczeniowego typu infrastruktura jako usługa (IaaS) na platformie Azure. W porównaniu z usługami obliczeniowymi Typu platforma jako usługa (PaaS), maszyny wirtualne platformy Azure zapewniają większą elastyczność i kontrolę nad systemem operacyjnym maszyny wirtualnej i jej konfiguracją. Zwiększona kontrola i elastyczność wymagają większego planowania, aby zapewnić optymalne wyniki.
W tej lekcji opisano ogólne czynniki i zagadnienia dotyczące planowania wdrożeń maszyn wirtualnych z systemem Linux na platformie Azure. Proces planowania powinien uwzględniać aspekty obliczeniowe, sieciowe i magazynowe konfiguracji maszyny wirtualnej. Niektóre z tych cech są specyficzne dla systemu operacyjnego, a szczegóły implementacji różnią się w różnych dystrybucjach systemu Linux.
Firma Microsoft współpracuje z wybitnymi dostawcami systemu Linux, aby zintegrować swoje produkty z platformą Azure. Aby w pełni skorzystać z tej integracji, możesz tworzyć maszyny wirtualne platformy Azure na podstawie wstępnie utworzonych obrazów dla różnych popularnych dystrybucji systemu Linux, takich jak SUSE, Red Hat i Ubuntu. Opcjonalnie możesz utworzyć niestandardowy obraz dystrybucji systemu Linux do uruchomienia w środowisku chmury. W takim przypadku w procesie aprowizacji maszyn wirtualnych platformy Azure może być więcej kroków.
W obu przypadkach ten moduł szkoleniowy może pomóc w dalszej optymalizacji wynikowego wdrożenia. Optymalizacja wymaga silnego zrozumienia zasobu maszyny wirtualnej platformy Azure i jego zależności.
Omówienie zależności zasobów
Podczas tworzenia maszyny wirtualnej platformy Azure należy również utworzyć kilka skojarzonych zasobów, od których zależy maszyna wirtualna platformy Azure, aby zapewnić pełną funkcjonalność zwirtualizowanego systemu operacyjnego. Te zasoby obejmują:
Dyski wirtualne do przechowywania systemu operacyjnego, aplikacji i danych.
Sieć wirtualna z co najmniej jedną podsiecią łączącą maszynę wirtualną platformy Azure z innymi usługami platformy Azure lub z lokalnymi centrami danych.
Interfejs sieciowy umożliwiający połączenie maszyny wirtualnej platformy Azure z podsiecią sieci wirtualnej.
Uwaga
Każdy interfejs sieciowy musi mieć co najmniej jeden prywatny adres IP przypisany do niego dynamicznie lub statycznie. Prywatne adresy IP nie są oddzielnymi zasobami platformy Azure, ale są częścią konfiguracji podsieci.
Grupa zasobów do hostowania maszyny wirtualnej platformy Azure.
Opcjonalnie publiczny adres IP skojarzony z interfejsem sieciowym maszyny wirtualnej w celu zapewnienia bezpośredniego dostępu przychodzącego do maszyny wirtualnej z Internetu.
Teraz, gdy znasz zależności zasobów maszyny wirtualnej platformy Azure, możesz rozpocząć planowanie rozmiarów maszyn wirtualnych.
Planowanie ustalania rozmiaru
Aby określić odpowiedni rozmiar maszyny wirtualnej platformy Azure, należy wziąć pod uwagę jego zamierzone obciążenie. Wybrany rozmiar określa następujące cechy maszyny wirtualnej:
- Moc obliczeniowa
- Pamięć
- Pojemność magazynu
- Wydajność
- Obsługa zaawansowanych funkcji sieciowych
Ważne
Maszyny wirtualne platformy Azure mają limity przydziału procesora wirtualnego (vCPU), które należy uwzględnić podczas planowania. Aby zwiększyć limity przydziału po wdrożeniu, musisz przesłać żądanie online do pomocy technicznej platformy Azure.
Platforma Azure oferuje szeroką gamę rozmiarów z różnymi specyfikacjami i punktami cenowymi, aby spełnić różne potrzeby. Rozmiary maszyn wirtualnych są pogrupowane w kilka kategorii reprezentujących typy obciążeń, dla których są zoptymalizowane. Każda kategoria zawiera co najmniej jedną serię lub rodziny, które mają wspólne podstawowe cechy sprzętu, ale oferują szereg różnych rozmiarów.
Na poniższej liście przedstawiono typy obciążeń i typowe przypadki użycia dla każdego typu obciążenia. Każdy typ obciążenia ma odpowiednie rodziny, które zawierają różne rozmiary.
- Ogólnego przeznaczenia: testowanie i programowanie, małe i średnie bazy danych oraz serwery internetowe o małym i średnim natężeniu ruchu.
- Intensywnie korzystające z obliczeń: serwery internetowe o średnim natężeniu ruchu, urządzenia sieciowe, procesy wsadowe i serwery aplikacji.
- Intensywnie korzystające z pamięci: serwery relacyjnych baz danych, średnie do dużych pamięci podręcznych i analiza w pamięci.
- Intensywnie korzystające z magazynu: dane big data, bazy danych SQL i NoSQL, które wymagają wysokiej przepływności dysku i wejścia/wyjścia (We/Wy).
- Procesor graficzny (GPU)-enabled: Intensywne renderowanie grafiki lub edytowanie wideo oraz trenowanie modeli i wnioskowanie przy użyciu uczenia głębokiego.
- Obliczenia o wysokiej wydajności (HPC): najszybsze i najbardziej wydajne maszyny wirtualne procesora CPU z opcjonalnymi interfejsami sieciowymi o wysokiej przepływności, które obsługują zdalny bezpośredni dostęp do pamięci (RDMA).
Podczas planowania rozmiarów maszyn wirtualnych platformy Azure należy również wziąć pod uwagę następujące czynniki:
- Zmiana serii lub rozmiaru maszyn wirtualnych platformy Azure, choć prosta i powszechna, wymaga ponownego uruchomienia systemu operacyjnego. Aby uniknąć ponownych uruchomień, należy odpowiednio rozmieścić maszynę wirtualną od początku, jeśli to możliwe.
- Dostępność rozmiaru maszyny wirtualnej różni się w zależności od regionu, dlatego podczas planowania wdrożenia należy uwzględnić dostępność regionalną.
- Maksymalna liczba dysków, które można dołączyć do maszyny wirtualnej platformy Azure, zależy od jego rozmiaru.
Inne zagadnienia dotyczące rozmiaru
Rozważ użycie selektora maszyn wirtualnych platformy Microsoft Azure, aby określić najbardziej odpowiedni rozmiar maszyny wirtualnej na podstawie typu obciążenia, systemu operacyjnego, zainstalowanego oprogramowania i regionu wdrażania.
Jeśli planujesz używać tych samych lub podobnych rozmiarów maszyn wirtualnych platformy Azure w tym samym regionie w dłuższym okresie, rozważ użycie rezerwacji platformy Azure w celu zmniejszenia kosztów obliczeń o maksymalnie 72 procent.
Aby obniżyć koszty maszyn wirtualnych platformy Azure dla obciążeń, które mogą obsługiwać przerwy, takie jak zadania przetwarzania wsadowego, użyj maszyn wirtualnych typu spot platformy Azure.
Planowanie sieci
Maszyny wirtualne komunikują się z zasobami zewnętrznymi przy użyciu sieci wirtualnej. Sieć wirtualna reprezentuje sieć prywatną w regionie świadczenia usługi Azure. Możesz połączyć sieci wirtualne z innymi sieciami, w tym sieciami w lokalnych centrach danych, i zastosować reguły ruchu w celu kontrolowania łączności przychodzącej i wychodzącej.
Każda sieć wirtualna wyznacza przestrzeń adresową IP, która zwykle składa się z co najmniej jednego zakresu prywatnych adresów, zgodnie z definicją w dokumencie RFC 1918. Podobnie jak w przypadku sieci lokalnych, można podzielić przestrzeń adresową sieci wirtualnej na wiele podsieci, aby odizolować obciążenia maszyn wirtualnych platformy Azure. Każda podsieć w sieci wirtualnej reprezentuje zakres prywatnych adresów. Aby wymusić izolację obciążenia, należy skojarzyć sieciową grupę zabezpieczeń z każdą podsiecią .
Każda maszyna wirtualna platformy Azure zawiera co najmniej jeden interfejs sieciowy, a każdy interfejs łączy się z podsiecią w tej samej sieci wirtualnej. Platforma Azure automatycznie przypisuje każdą maszynę wirtualną w podsieci adresem IP z zakresu podsieci. Platforma Azure rezerwuje pierwsze cztery i ostatni adres IP w każdej podsieci do własnego użycia i nie przypisuje ich.
Chociaż w ramach procesu aprowizacji maszyn wirtualnych można utworzyć sieć wirtualną i podsieci, zalecane jest rozpoczęcie planowania wdrożenia maszyny wirtualnej platformy Azure w środowisku sieciowym. Po uwzględnieniu wszystkich wymagań dotyczących sieci i utworzeniu odpowiednich sieci wirtualnych możesz kontynuować wdrażanie maszyn wirtualnych platformy Azure.
Podczas planowania sieci wirtualnych i podsieci platformy Azure należy pamiętać o następujących zasadach projektowania:
- Upewnij się, że przestrzenie adresowe nie nakładają się na siebie. Jeśli chcesz połączyć sieci wirtualne i sieci lokalne, przestrzenie adresów IP nie mogą się nakładać.
- Użyj mniejszej liczby większych sieci wirtualnych, a nie większej liczby mniejszych sieci wirtualnych. Ta praktyka pomaga zminimalizować nakład pracy związany z zarządzaniem i ułatwia skalowalność.
Przepustowość sieci
Mimo że maszyna wirtualna platformy Azure może mieć wiele interfejsów sieciowych, jej dostępna przepustowość zależy całkowicie od rozmiaru. Ogólnie rzecz biorąc, większe rozmiary maszyn wirtualnych są przydzielane większą przepustowość niż mniejsze rozmiary.
Aby zmierzyć ilość rzeczywistej przepustowości sieci względem przydzielonego limitu, platforma Azure jest przeznaczona tylko dla ruchu wychodzącego. Cały ruch sieciowy opuszczający maszynę wirtualną jest liczone do tego limitu, niezależnie od miejsca docelowego ruchu.
Platforma Azure nie ogranicza bezpośrednio przepustowości ruchu przychodzącego. Jednak czynniki, takie jak wykorzystanie magazynu i zasobów obliczeniowych, wpływają na ilość przychodzących danych, które może przetwarzać maszyna wirtualna platformy Azure.
Planowanie łączności zdalnej
W ramach planowania wdrożenia należy wziąć pod uwagę najbardziej odpowiednie podejście do zapewnienia łączności zdalnej. W przypadku maszyn wirtualnych z systemem Linux łączność zdalna zwykle polega na użyciu protokołu Secure Shell (SSH) w celu zaimplementowania szyfrowania podczas przesyłania sesji powłoki terminalu.
Aby uwierzytelnić się za pośrednictwem połączenia SSH, możesz użyć nazwy użytkownika i hasła lub pary kluczy SSH. Użycie haseł dla połączeń SSH pozostawia maszynę wirtualną podatną na ataki siłowe. Używanie kluczy SSH to bezpieczniejsza i preferowana metoda nawiązywania połączenia z maszyną wirtualną z systemem Linux przy użyciu protokołu SSH.
Nawet w przypadku kluczy SSH domyślnie należy otworzyć łączność z publicznym adresem IP skojarzonym z docelową kartą sieciową maszyny wirtualnej platformy Azure. Ten publiczny adres IP jest podatny na zagrożenia zewnętrzne i reprezentuje potencjalny wektor ataku. Aby wyeliminować to ryzyko, rozważ wdrożenie usługi Azure Bastion lub dostępu just in time (JIT).
Uwaga
W scenariuszach hybrydowych, aby wyeliminować potrzebę publicznych adresów IP podczas nawiązywania połączenia ze środowiska lokalnego z maszynami wirtualnymi platformy Azure, możesz użyć wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja lub usługi Azure ExpressRoute.
Azure Bastion
Usługa Azure Bastion jest wdrażana w dedykowanej podsieci sieci wirtualnej, która ma łączność z docelową maszyną wirtualną. Usługa Azure Bastion służy jako broker dla zewnętrznych połączeń SSH za pośrednictwem protokołu HTTPS, które są dostępne tylko w witrynie Azure Portal. Usługa Azure Bastion eliminuje konieczność przypisywania publicznych adresów IP do docelowego interfejsu sieciowego maszyny wirtualnej, a także zapewnia, że tylko uwierzytelnieni i prawidłowo autoryzowani użytkownicy mogą inicjować połączenia SSH.
Dostęp do maszyny wirtualnej JIT
Dostęp do maszyny wirtualnej JIT to funkcja Microsoft Defender dla Chmury, która ogranicza dostęp do publicznego adresu IP skojarzonego z interfejsem sieciowym maszyny wirtualnej platformy Azure. Te limity dynamicznie dostosowują sieciową grupę zabezpieczeń, aby zezwalać na połączenia przychodzące tylko z wyznaczonego zakresu adresów IP w wyznaczonym przedziale czasu. Podobnie jak w przypadku usługi Azure Bastion, użytkownicy muszą uwierzytelniać się przed zainicjowaniem połączenia z witryny Azure Portal.