Planejar o dimensionamento e o sistema de rede

  • 10 minutos

A VM do Azure é um tipo de recurso de computação de infraestrutura como serviço (IaaS ) popular no Azure. Em comparação com os serviços de computação de plataforma como serviço (PaaS), as VMs do Azure fornecem mais flexibilidade e controle sobre o sistema operacional (SO) da VM e sua configuração. O maior controle e flexibilidade exigem mais planejamento para dar suporte a resultados ideais.

Essa unidade descreve fatores gerais e considerações para planejar implantações de VM Linux do Azure. Esse processo de planejamento deve considerar os aspectos de computação, rede e armazenamento da configuração da VM. Algumas dessas características são específicas do sistema operacional, com detalhes de implementação que variam entre diferentes distribuições do Linux.

A Microsoft fez parceria com importantes fornecedores do Linux para integrar seus produtos à plataforma Azure. Para se beneficiar totalmente dessa integração, você pode criar VMs do Azure com base em imagens predefinidas para uma variedade de distribuições populares do Linux, como SUSE, Red Hat e Ubuntu. Opcionalmente, você pode criar uma imagem personalizada de uma distribuição do Linux para ser executada no ambiente de nuvem. Nesse caso, pode haver mais etapas em seu processo de provisionamento de VM do Azure.

Em ambos os casos, esse módulo de aprendizado pode ajudar a otimizar ainda mais sua implantação resultante. Essa otimização exige que você tenha uma forte compreensão do recurso de VM do Azure e suas dependências.

Entender dependências de recursos

Ao criar uma VM do Azure, você também precisa criar vários recursos associados dos quais a VM do Azure depende para fornecer funcionalidade completa ao sistema operacional virtualizado. Esses recursos incluem:

  • Discos virtuais para armazenar o sistema operacional, aplicativos e dados.

  • Uma rede virtual com uma ou mais sub-redes para conectar a VM do Azure a outros serviços do Azure ou a seus datacenters locais.

  • Um adaptador de rede para conectar a VM do Azure a uma sub-rede da rede virtual.

    Observação

    Cada adaptador de rede deve ter pelo menos um endereço IP privado atribuído a ele dinamicamente ou estaticamente. Os endereços IP privados não são recursos separados do Azure, eles fazem parte da configuração da sub-rede.

  • Um grupo de recursos para hospedar a VM do Azure.

  • Opcionalmente, um endereço IP público associado à interface de rede da VM, para fornecer acesso direto de entrada à VM da internet.

Agora que você entende as dependências de recursos da VM do Azure, pode começar a planejar o dimensionamento da VM.

Planejar o dimensionamento

Para determinar o tamanho apropriado para sua VM do Azure, você precisa considerar a carga de trabalho pretendida. O tamanho escolhido determina as seguintes características da VM:

  • Poder de processamento
  • Memória
  • Capacidade de armazenamento
  • Desempenho
  • Suporte para recursos avançados de rede

Importante

As VMs do Azure têm limites de cota de CPU virtual (vCPU), que você deve considerar no planejamento. Para aumentar os limites de cota após a implantação, você deve enviar uma solicitação online para o Suporte do Azure.

O Azure oferece uma ampla gama de tamanhos com especificações e pontos de preço diferentes para atender a uma ampla variedade de necessidades. Os tamanhos de VM são agrupados em várias categorias que representam os tipos de cargas de trabalho para as quais são otimizados. Cada categoria inclui uma ou mais séries ou famílias, que compartilham características de hardware subjacentes comuns, mas oferecem uma variedade de tamanhos diferentes.

A tabela a seguir lista tipos de carga de trabalho e casos de uso comuns para cada tipo de carga de trabalho. Cada tipo de carga de trabalho tem famílias correspondentes que incluem vários tamanhos.

  • Uso geral: ideal para teste e desenvolvimento, bancos de dados pequenos a médios ou servidores Web de tráfego baixo a médio.
  • Computação intensiva: ideal para servidores Web de tráfego médio, dispositivos de rede, processos de lote e servidores de aplicativo.
  • Memória intensiva: ideal para servidores de banco de dados relacionais, caches médios a grandes e análises in-memory.
  • Armazenamento intensivo: ideal para bancos de dados de Big Data, SQL e NoSQL que exigem alta taxa de transferência de disco e Entrada/saída (E/S ).
  • Ativado por unidade de processamento gráfico (GPU): ideal para renderização ou edição de vídeo de elementos gráficos pesados, bem como inferência e treinamento de modelo com aprendizado profundo.
  • HPC (Computação de Alto Desempenho): Esse tipo de carga de trabalho é destinado às VMs de CPU mais rápidas e poderosas com adaptadores de rede opcionais de alta taxa de transferência que dão suporte ao Acesso Remoto Direto à Memória (RDMA).

Ao planejar tamanhos de VM do Azure, considere também os seguintes fatores:

  • Alterar a série ou o tamanho da VM do Azure, embora simples e comumente feito, requer uma reinicialização do sistema operacional. Para evitar reinicializações, dimensione a VM adequadamente desde o início, se possível.
  • A disponibilidade do tamanho da VM varia de acordo com a região, portanto, contabiliza a disponibilidade regional quando você planeja sua implantação.
  • O número máximo de discos que você pode anexar a uma VM do Azure depende de seu tamanho.

Outras considerações de tamanho

Considere usar o Seletor de VM do Microsoft Azure para determinar o tamanho de VM mais adequado com base no tipo de carga de trabalho, no sistema operacional, no software instalado e na região de implantação.

Se você pretende usar as mesmas VMs do Azure de tamanho semelhante na mesma região do Azure durante um longo período, considere usar as Reservas do Azure para reduzir o custo de computação em até 72%.

Para reduzir o custo das VMs do Azure com cargas de trabalho que podem lidar com interrupções, como trabalhos de processamento em lote, use VMs spot do Azure.

Planejar a rede

As VMs se comunicam com recursos externos por meio de uma rede virtual. Uma rede virtual representa uma rede privada em uma região do Azure. Você também pode conectá-las a outras redes, incluindo aquelas que residem em seus datacenters locais, e aplicar regras de tráfego para controlar a conectividade de entrada e saída.

Cada rede virtual designa um espaço de endereço IP que normalmente consiste em um ou mais intervalos de endereços privados, conforme definido pela RFC 1918. Assim como acontece com as redes locais, você pode dividir o espaço de endereço de rede virtual em várias sub-redes para isolar cargas de trabalho de VM do Azure. Cada sub-rede dentro de uma rede virtual representa um intervalo de endereços privado. Para impor esse isolamento, associe um Grupo de Segurança de Rede (NSG) a cada sub-rede.

Cada VM do Azure inclui uma ou mais interfaces de rede e cada interface se conecta a uma sub-rede dentro da mesma rede virtual. O Azure atribui automaticamente a cada VM na sub-rede um endereço IP do intervalo da sub-rede. O Azure reserva os quatro primeiros e o último endereço IP em cada sub-rede para seu próprio uso e não os atribui.

Embora seja possível criar uma rede virtual e suas sub-redes como parte de um processo de provisionamento de VM, a abordagem recomendada é iniciar sua implantação de VM do Azure com planejamento de ambiente de rede. Depois de considerar todos os requisitos de rede e criar as redes virtuais correspondentes, você pode prosseguir com a implantação de VMs do Azure.

Ao planejar a rede virtual do Azure, tenha em mente os seguintes princípios gerais de design:

  • Verifique se os espaços de endereço não se sobrepõem. Se você quiser conectar suas redes virtuais e redes locais, os espaços de endereço IP não poderão se sobrepor.
  • Use um número menor de redes virtuais maiores em vez de um número maior de redes virtuais menores. Essa prática ajuda a minimizar a sobrecarga de gerenciamento e facilita a escalabilidade.

Largura de banda da rede

Embora uma VM do Azure possa ter vários adaptadores de rede, sua largura de banda disponível depende exclusivamente de seu tamanho. Em geral, tamanhos maiores de VM recebem mais largura de banda do que os menores.

Para medir a quantidade de largura de banda de rede real em relação ao limite alocado, o Azure visa apenas ao tráfego de saída. Todo o tráfego de rede que sai da VM é considerado para esse limite, independentemente do destino do tráfego.

O Azure não limita a largura de banda de entrada diretamente. No entanto, fatores como armazenamento e utilização de recursos de computação afetam o volume de dados de entrada que uma VM do Azure pode processar.

Planejar a conectividade remota

Como parte do planejamento de implantação, você também precisa considerar a abordagem mais adequada para fornecer conectividade remota. Para VMs Linux, a conectividade remota normalmente envolve o uso do Secure Shell (SSH) para implementar a criptografia em trânsito de uma sessão de shell de terminal.

Para autenticar em uma conexão SSH, você pode usar uma combinação de um nome de usuário e senha ou um par de chaves SSH. Usar apenas senhas para conexões SSH deixa a VM vulnerável a ataques de força bruta. O uso de chaves SSH é um método mais seguro e preferencial de conectar-se a uma VM do Linux com SSH.

Mesmo com chaves SSH, por padrão, você deve abrir a conectividade com um endereço público associado ao adaptador de rede da VM do Azure de destino. No entanto, isso é vulnerável a ameaças externas e representa um possível vetor de ataque. Para atenuar esse risco, considere implementar o acesso à VM JIT (Just-In-Time) ou ao Azure Bastion.

Observação

Em cenários híbridos, para eliminar a necessidade de endereços IP públicos ao se conectar de seu ambiente local a VMs do Azure, você pode usar uma rede privada virtual (VPN) site a site ou o Azure ExpressRoute.

Azure Bastion

Você implanta o serviço do Azure Bastion em uma sub-rede dedicada de uma rede virtual que tem conectividade com a VM de destino. O Azure Bastion serve como um agente para conexões SSH externas por HTTPS que estão disponíveis somente no portal do Azure. O Azure Bastion elimina a necessidade de atribuir endereços IP públicos ao adaptador de rede da VM de destino e também garante que somente usuários autenticados e autorizados corretamente possam iniciar conexões SSH.

Acesso à VM JIT

O acesso JIT à VM é um recurso do Microsoft Defender para Nuvem que limita o acesso a um endereço IP público associado à interface de rede de uma VM do Azure. Esses limites ajustam dinamicamente o NSG para permitir conexões de entrada somente de um intervalo de endereços IP designado durante uma janela de tempo designada. Assim como acontece com o Azure Bastion, um usuário deve se autenticar primeiro antes de iniciar uma conexão do portal do Azure.