Perspetiva do Azure Well-Architected Framework sobre Máquinas Virtuais e conjuntos de dimensionamento
O Azure Máquinas Virtuais é um tipo de serviço de computação que pode utilizar para criar e executar máquinas virtuais (VMs) na plataforma do Azure. Oferece flexibilidade em diferentes SKUs, sistemas operativos e configurações com vários modelos de faturação.
Este artigo pressupõe que, enquanto arquiteto, reviu a árvore de decisões de computação e escolheu Máquinas Virtuais como o serviço de computação da sua carga de trabalho. A documentação de orientação neste artigo fornece recomendações de arquitetura que estão mapeadas aos princípios dos pilares do Azure Well-Architected Framework.
Importante
Como utilizar este guia
Cada secção tem uma lista de verificação de design que apresenta áreas de interesse arquitetónicas, juntamente com estratégias de design localizadas no âmbito da tecnologia.
Também estão incluídas recomendações sobre as capacidades tecnológicas que podem ajudar a materializar essas estratégias. As recomendações não representam uma lista exaustiva de todas as configurações disponíveis para Máquinas Virtuais e respetivas dependências. Em vez disso, listam as principais recomendações mapeadas para as perspetivas de design. Utilize as recomendações para criar a sua prova de conceito ou otimizar os seus ambientes existentes.
Arquitetura básica que demonstra as principais recomendações: Máquinas Virtuais arquitetura de linha de base.
Âmbito da tecnologia
Esta revisão centra-se nas decisões interligadas para os seguintes recursos do Azure:
Máquinas Virtuais
Conjuntos de Dimensionamento de Máquinas Virtuais do Azure
Discos
Os discos são uma dependência crítica para arquiteturas baseadas em VMs. Para obter mais informações, veja Discos e otimização.
Fiabilidade
O objetivo do pilar Fiabilidade é fornecer funcionalidades contínuas ao criar resiliência suficiente e a capacidade de recuperar rapidamente de falhas.
Os princípios de conceção de Fiabilidade fornecem uma estratégia de conceção de alto nível aplicada a componentes individuais, fluxos de sistema e ao sistema como um todo.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Fiabilidade. Determine a sua relevância para os seus requisitos empresariais, tendo em conta os SKUs e as funcionalidades das VMs e as respetivas dependências. Expanda a estratégia para incluir mais abordagens conforme necessário.
Reveja Máquinas Virtuais quotas e limites que podem representar restrições de design. As VMs têm limites e quotas específicos, que variam com base no tipo de VM ou região. Podem existir restrições de subscrição, como o número de VMs por subscrição ou o número de núcleos por VM. Se outras cargas de trabalho partilharem a sua subscrição, a sua capacidade de consumir dados poderá ser reduzida. Verifique os limites em VMs, conjuntos de dimensionamento de máquinas virtuais e discos geridos.
Realize uma análise do modo de falha para minimizar os pontos de falha ao analisar as interações da VM com os componentes de rede e armazenamento. Escolha configurações como discos de sistema operativo efémero (SO) para localizar o acesso ao disco e evitar saltos de rede. Adicione um balanceador de carga para melhorar a auto-preservação ao distribuir o tráfego de rede por várias VMs, o que melhora a disponibilidade e a fiabilidade.
Calcule os objetivos de nível de serviço (SLOs) compostos com base nos contratos de nível de serviço (SLAs) do Azure. Certifique-se de que o SLO não é superior aos SLAs do Azure para evitar expectativas irrealistas e potenciais problemas.
Tenha em atenção as complexidades que as dependências introduzem. Por exemplo, algumas dependências, como redes virtuais e placas de interface de rede (NICs), não têm os seus próprios SLAs. Outras dependências, como um disco de dados associado, têm SLAs que se integram com SLAs de VM. Deve considerar estas variações porque podem afetar o desempenho e a fiabilidade da VM.
Factor nas dependências críticas das VMs em componentes como discos e componentes de rede. Se compreender estas relações, pode determinar os fluxos críticos que afetam a fiabilidade.
Criar isolamento de estado. Os dados da carga de trabalho devem estar num disco de dados separado para evitar interferências no disco do SO. Se uma VM falhar, pode criar um novo disco do SO com o mesmo disco de dados, o que garante resiliência e isolamento de falhas. Para obter mais informações, veja Discos de SO efémeros.
Torne as VMs e as respetivas dependências redundantes entre zonas. Se uma VM falhar, a carga de trabalho deverá continuar a funcionar devido à redundância. Inclua dependências nas suas opções de redundância. Por exemplo, utilize as opções de redundância incorporadas que estão disponíveis com discos. Utilize IPs com redundância entre zonas para garantir a disponibilidade dos dados e o tempo de atividade elevado.
Esteja pronto para aumentar verticalmente e aumentar horizontalmente para impedir a degradação do nível de serviço e evitar falhas. Conjuntos de Dimensionamento de Máquinas Virtuais têm capacidades de dimensionamento automático que criam novas instâncias conforme necessário e distribuem a carga por várias VMs e zonas de disponibilidade.
Explore as opções de recuperação automática. O Azure suporta a monitorização da degradação do estado de funcionamento e as funcionalidades de autorrecuperação das VMs. Por exemplo, os conjuntos de dimensionamento fornecem reparações automáticas de instâncias. Em cenários mais avançados, a autorrecuperação envolve a utilização do Azure Site Recovery, a ativação pós-falha passiva ou a reimplementação da infraestrutura como código (IaC). O método que escolher deve ser alinhado com os requisitos empresariais e as operações organizacionais. Para obter mais informações, veja Interrupções do serviço de VM.
Rightsize as VMs e as respetivas dependências. Compreenda o trabalho esperado da VM para garantir que não está subdimensionada e consegue processar a carga máxima. Ter capacidade extra para mitigar falhas.
Crie um plano abrangente de recuperação após desastre. A preparação para desastres envolve a criação de um plano abrangente e a decisão sobre uma tecnologia para recuperação.
As dependências e os componentes com estado, como o armazenamento anexado, podem complicar a recuperação. Se os discos estiverem inativos, essa falha afetará o funcionamento da VM. Inclua um processo claro para estas dependências nos seus planos de recuperação.
Executar operações com rigor. As opções de conceção de fiabilidade têm de ser suportadas por operações eficazes com base nos princípios de monitorização, teste de resiliência na produção, patches e atualizações de VMs de aplicações automatizadas e consistência de implementações. Para obter orientações operacionais, veja Excelência Operacional.
Recomendações
Recomendação | Vantagem |
---|---|
(Conjunto de dimensionamento) Utilize Conjuntos de Dimensionamento de Máquinas Virtuais no Modo de orquestração flexível para implementar VMs. | Verificação futura da sua aplicação para dimensionamento e tirar partido das garantias de elevada disponibilidade que distribuem VMs por domínios de falha numa região ou numa zona de disponibilidade. |
(VMs) Implemente pontos finais de estado de funcionamento que emitem estados de funcionamento de instâncias em VMs. (Conjunto de dimensionamento) Ative as reparações automáticas no conjunto de dimensionamento ao especificar a ação de reparação preferencial. Considere definir um período de tempo durante o qual as reparações automáticas são interrompidas se o estado da VM mudar. |
Mantenha a disponibilidade mesmo que uma instância seja considerada em mau estado de funcionamento. As reparações automáticas iniciam a recuperação ao substituir a instância com falhas. Definir um período de tempo pode impedir operações de reparação inadvertidas ou prematuras. |
(Conjunto de dimensionamento) Ativar o sobreaprovisionamento em conjuntos de dimensionamento. | O sobreaprovisionamento reduz os tempos de implementação e tem um benefício de custo porque as VMs adicionais não são faturadas. |
(Conjunto de dimensionamento) Permitir que a Orquestração flexível distribua as instâncias de VM pelo maior número possível de domínios de falha. | Esta opção isola os domínios de falha. Durante os períodos de manutenção, quando um domínio de falha é atualizado, as instâncias de VM estão disponíveis nos outros domínios de falha. |
(Conjunto de dimensionamento) Implementar entre zonas de disponibilidade em conjuntos de dimensionamento. Configure, pelo menos, duas instâncias em cada zona. O balanceamento de zona distribui igualmente as instâncias entre zonas. |
As instâncias de VM são aprovisionadas em localizações fisicamente separadas em cada região do Azure que são tolerantes a falhas locais. Tenha em atenção que, dependendo da disponibilidade dos recursos, poderá existir um número desigual de instâncias entre zonas. O balanceamento de zona suporta a disponibilidade ao garantir que, se uma zona estiver inativa, as outras zonas têm instâncias suficientes. Duas instâncias em cada zona fornecem uma memória intermédia durante as atualizações. |
(VMs) Tire partido da funcionalidade de reservas de capacidade. | A capacidade está reservada para a sua utilização e está disponível no âmbito dos SLAs aplicáveis. Pode eliminar reservas de capacidade quando já não precisar delas e a faturação é baseada no consumo. |
Dica
Para obter mais informações sobre a Fiabilidade das VMs, veja Fiabilidade no Máquinas Virtuais.
Segurança
O objetivo do pilar segurança é fornecer garantias de confidencialidade, integridade e disponibilidade à carga de trabalho.
Os princípios de conceção de segurança fornecem uma estratégia de design de alto nível para atingir esses objetivos ao aplicar abordagens à conceção técnica de Máquinas Virtuais.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Segurança. Identifique vulnerabilidades e controlos para melhorar a postura de segurança. Expanda a estratégia para incluir mais abordagens conforme necessário.
Reveja as linhas de base de segurança para VMslinux e Windows e Conjuntos de Dimensionamento de Máquinas Virtuais.
Como parte das suas opções de tecnologia de linha de base, considere as funcionalidades de segurança dos SKUs de VM que suportam a carga de trabalho.
Confirme a aplicação de patches e atualizações de segurança temporizado e automatizado. Certifique-se de que as atualizações são implementadas e validadas automaticamente através de um processo bem definido. Utilize uma solução como Automatização do Azure para gerir as atualizações do SO e manter a conformidade de segurança ao fazer atualizações críticas.
Identifique as VMs que contêm o estado. Certifique-se de que os dados são classificados de acordo com as etiquetas de confidencialidade fornecidas pela sua organização. Proteja os dados através de controlos de segurança, como níveis adequados de encriptação inativa e em trânsito. Se tiver requisitos de elevada confidencialidade, considere utilizar controlos de alta segurança, como encriptação dupla e computação confidencial do Azure, para proteger os dados em utilização.
Forneça segmentação às VMs e conjuntos de dimensionamento ao definir limites de rede e controlos de acesso. Coloque VMs em grupos de recursos que partilham o mesmo ciclo de vida.
Aplique controlos de acesso às identidades que tentam aceder às VMs e também às VMs que atingem outros recursos. Utilize Microsoft Entra ID para necessidades de autenticação e autorização. Coloque palavras-passe fortes, autenticação multifator e controlo de acesso baseado em funções (RBAC) em vigor para as suas VMs e as respetivas dependências, como segredos, para permitir que as identidades permitidas realizem apenas as operações esperadas das respetivas funções.
Restringir o acesso a recursos com base nas condições ao utilizar Microsoft Entra Acesso Condicional. Defina as políticas condicionais com base na duração e no conjunto mínimo de permissões necessárias.
Utilize controlos de rede para restringir o tráfego de entrada e saída. Isolar VMs e conjuntos de dimensionamento no Azure Rede Virtual e definir grupos de segurança de rede para filtrar o tráfego. Proteger contra ataques denial of service distribuídos (DDoS). Utilize balanceadores de carga e regras de firewall para proteger contra ataques de exfiltração de dados e tráfego malicioso.
Utilize o Azure Bastion para fornecer conectividade segura às VMs para acesso operacional.
A comunicação de e para as VMs para soluções de plataforma como serviço (PaaS) deve ser sobre pontos finais privados.
Reduza a superfície de ataque ao proteger as imagens do SO e ao remover componentes não utilizados. Utilize imagens mais pequenas e remova binários que não são necessários para executar a carga de trabalho. Aperte as configurações da VM ao remover funcionalidades, como contas e portas predefinidas, de que não precisa.
Proteja segredos como os certificados de que precisa para proteger os dados em trânsito. Considere utilizar a extensão do Azure Key Vault para Windows ou Linux que atualiza automaticamente os certificados armazenados num cofre de chaves. Quando deteta uma alteração nos certificados, a extensão obtém e instala os certificados correspondentes.
Deteção de ameaças. Monitorize as VMs para ameaças e configurações incorretas. Utilize o Defender para Servidores para capturar alterações da VM e do SO e manter um registo de auditoria de acesso, novas contas e alterações nas permissões.
Prevenção de ameaças. Proteja contra ataques de malware e atores maliciosos ao implementar controlos de segurança, como firewalls, software antivírus e sistemas de deteção de intrusões. Determine se é necessário um Ambiente de Execução Fidedigno (TEE ).
Recomendações
Recomendação | Vantagem |
---|---|
(Conjunto de dimensionamento) Atribuir uma identidade gerida a conjuntos de dimensionamento. Todas as VMs no conjunto de dimensionamento obtêm a mesma identidade através do perfil de VM especificado. (VMs) Também pode atribuir uma identidade gerida a VMs individuais quando as criar e, em seguida, adicioná-la a um conjunto de dimensionamento, se necessário. |
Quando as VMs comunicam com outros recursos, atravessam um limite de confiança. Os conjuntos de dimensionamento e as VMs devem autenticar a respetiva identidade antes de a comunicação ser permitida. Microsoft Entra ID processa essa autenticação com identidades geridas. |
(Conjunto de dimensionamento) Selecione SKUs de VM com funcionalidades de segurança. Por exemplo, alguns SKUs suportam encriptação BitLocker e a computação confidencial fornece encriptação de dados em utilização. Reveja as funcionalidades para compreender as limitações. |
As funcionalidades fornecidas pelo Azure baseiam-se em sinais capturados em muitos inquilinos e podem proteger melhor os recursos do que os controlos personalizados. Também pode utilizar políticas para impor esses controlos. |
(VMs, conjunto de dimensionamento) Aplicar etiquetas recomendadas pela organização nos recursos aprovisionados. | A identificação é uma forma comum de segmentar e organizar recursos e pode ser crucial durante a gestão de incidentes. Para obter mais informações, veja Objetivo de nomenclatura e etiquetagem. |
(VMs, conjunto de dimensionamento) Defina um perfil de segurança com as funcionalidades de segurança que pretende ativar na configuração da VM. Por exemplo, quando especifica a encriptação no anfitrião no perfil, os dados armazenados no anfitrião da VM são encriptados inativos e os fluxos são encriptados para o serviço de armazenamento. |
As funcionalidades no perfil de segurança são ativadas automaticamente quando a VM é criada. Para obter mais informações, veja Linha de base de segurança do Azure para Conjuntos de Dimensionamento de Máquinas Virtuais. |
(VMs) Selecione opções de rede seguras para o perfil de rede da VM. Não associe diretamente endereços IP públicos às suas VMs e não ative o reencaminhamento de IP. Certifique-se de que todas as interfaces de rede virtual têm um grupo de segurança de rede associado. |
Pode definir controlos de segmentação no perfil de rede. Os atacantes analisam endereços IP públicos, o que torna as VMs vulneráveis a ameaças. |
(VMs) Escolha opções de armazenamento seguro para o perfil de armazenamento da VM. Ative a encriptação de disco e a encriptação de dados inativos por predefinição. Desative o acesso de rede pública aos discos da VM. |
Desativar o acesso à rede pública ajuda a impedir o acesso não autorizado aos seus dados e recursos. |
(VMs, conjunto de dimensionamento) Inclua extensões nas VMs que protegem contra ameaças. Por exemplo, - extensão de Key Vault para Windows e Linux - autenticação Microsoft Entra ID - Microsoft Antimalware para Serviços Cloud e Máquinas Virtuais do Azure - Extensão do Azure Disk Encryption para Windows e Linux. |
As extensões são utilizadas para iniciar o arranque das VMs com o software correto que protege o acesso de e para as VMs. As extensões fornecidas pela Microsoft são atualizadas frequentemente para acompanhar as normas de segurança em evolução. |
Otimização de Custos
A Otimização de Custos concentra-se na deteção de padrões de gastos, na atribuição de prioridades a investimentos em áreas críticas e na otimização noutros para cumprir o orçamento da organização ao cumprir os requisitos empresariais.
Os princípios de conceção da Otimização de Custos fornecem uma estratégia de design de alto nível para alcançar esses objetivos e fazer compromissos conforme necessário no design técnico relacionado com Máquinas Virtuais e o respetivo ambiente.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Otimização de Custos para investimentos. Ajuste a estrutura para que a carga de trabalho esteja alinhada com o orçamento atribuído à carga de trabalho. A sua estrutura deve utilizar as capacidades certas do Azure, monitorizar os investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Estimar custos realistas. Utilize a calculadora de preços para estimar os custos das suas VMs. Identifique a melhor VM para a sua carga de trabalho com o seletor de VM. Para obter mais informações, veja Preços do Linux e do Windows .
Implemente proteções de custos. Utilize políticas de governação para restringir tipos de recursos, configurações e localizações. Utilize o RBAC para bloquear ações que podem levar a gastos excessivos.
Escolha os recursos certos. A sua seleção de tamanhos de planos de VM e SKUs afeta diretamente o custo global. Escolha VMs com base nas características da carga de trabalho. A CPU da carga de trabalho é intensiva ou executa processos interruptíveis? Cada SKU tem opções de disco associadas que afetam o custo global.
Escolha as capacidades certas para recursos dependentes. Poupe nos custos de armazenamento de cópias de segurança para o escalão padrão do cofre com Azure Backup armazenamento com capacidade reservada. Oferece um desconto quando se compromete com uma reserva durante um ano ou três anos.
A camada de arquivo no Armazenamento do Azure é uma camada offline otimizada para armazenar dados de blobs que raramente são acedidos. A camada de arquivo oferece os custos de armazenamento mais baixos, mas custos e latência de obtenção de dados mais elevados em comparação com as camadas online frequentes e esporádicas.
Considere utilizar a recuperação após desastre de zona a zona para que as VMs recuperem da falha do site, ao mesmo tempo que reduz a complexidade da disponibilidade através de serviços com redundância entre zonas. Pode haver benefícios de custos de uma complexidade operacional reduzida.
Escolha o modelo de faturação correto. Avalie se os modelos baseados em compromissos para otimizar os custos de computação com base nos requisitos empresariais da carga de trabalho. Considere estas opções do Azure:
-
Reservas do Azure: pré-pagamento de cargas de trabalho previsíveis para reduzir os custos em comparação com os preços baseados no consumo.
Importante
Comprar instâncias reservadas para reduzir os custos do Azure para cargas de trabalho que tenham uma utilização estável. Faça a gestão da utilização para se certificar de que não está a pagar mais recursos do que está a utilizar. Mantenha as instâncias reservadas simples e mantenha a sobrecarga de gestão baixa para reduzir os custos.
- Plano de poupança: se se comprometer a gastar um montante fixo por hora em serviços de computação durante um ou três anos, este plano pode reduzir os custos.
- Benefício Híbrido do Azure: guarde quando migrar as VMs no local para o Azure.
-
Reservas do Azure: pré-pagamento de cargas de trabalho previsíveis para reduzir os custos em comparação com os preços baseados no consumo.
Monitorizar a utilização. Monitorize continuamente os padrões de utilização e detete VMs não utilizadas ou subutilizadas. Para essas instâncias, encerre as instâncias de VM quando não estiverem a ser utilizadas. A monitorização é uma abordagem fundamental da Excelência Operacional. Para obter mais informações, veja as recomendações em Excelência Operacional.
Procure formas de otimizar. Algumas estratégias incluem escolher a abordagem mais económica entre aumentar recursos num sistema existente ou aumentar verticalmente e adicionar mais instâncias desse sistema ou aumentar horizontalmente. Pode descarregar a procura ao distribuí-la para outros recursos ou pode reduzir a procura ao implementar filas prioritárias, descarga de gateways, memória intermédia e limitação de taxas. Para obter mais informações, veja as recomendações em Eficiência de Desempenho.
Recomendações
Recomendação | Vantagem |
---|---|
(VMs, conjunto de dimensionamento) Escolha o tamanho e o SKU do plano de VM corretos. Identifique os melhores tamanhos de VM para a carga de trabalho. Utilize o seletor de VM para identificar a melhor VM para a sua carga de trabalho. Veja Preços do Windows e linux . Para cargas de trabalho como tarefas de processamento em lotes altamente paralelas que podem tolerar algumas interrupções, considere utilizar o Azure Spot Máquinas Virtuais. As máquinas virtuais spot são boas para experimentar, desenvolver e testar soluções em grande escala. |
Os SKUs têm um preço de acordo com as capacidades que oferecem. Se não precisar de capacidades avançadas, não efetue a utilização excessiva de SKUs. As máquinas virtuais spot tiram partido da capacidade excedentária no Azure a um custo mais baixo. |
(VMs, conjunto de dimensionamento) Avalie as opções de disco associadas aos SKUs da VM. Determine as suas necessidades de desempenho, tendo em conta as suas necessidades de capacidade de armazenamento e a contabilização dos padrões de carga de trabalho flutuantes. Por exemplo, o disco SSD v2 do Azure Premium permite-lhe ajustar granularmente o seu desempenho independentemente do tamanho do disco. |
Alguns tipos de discos de elevado desempenho oferecem funcionalidades e estratégias de otimização de custos adicionais. A capacidade de ajuste do disco SSD v2 Premium pode reduzir os custos porque proporciona um elevado desempenho sem sobreaprovisionamento, o que poderia levar a recursos subutilizados. |
(Conjunto de dimensionamento) Misture VMs normais com máquinas virtuais spot. A orquestração flexível permite-lhe distribuir máquinas virtuais spot com base numa percentagem especificada. |
Reduza os custos da infraestrutura de computação ao aplicar os descontos profundos das máquinas virtuais spot. |
(Conjunto de dimensionamento) Reduza o número de instâncias de VM quando a procura diminui. Defina uma política de dimensionamento com base em critérios. Parar VMs fora do horário de expediente. Pode utilizar a funcionalidade Automatização do Azure Iniciar/Parar e configurá-la de acordo com as suas necessidades empresariais. |
O dimensionamento ou a paragem de recursos quando não estão a ser utilizados reduz o número de VMs em execução no conjunto de dimensionamento, o que poupa custos. A funcionalidade Iniciar/Parar é uma opção de automatização de baixo custo. |
(VMs, conjunto de dimensionamento) Tire partido da mobilidade de licenças com Benefício Híbrido do Azure. As VMs têm uma opção de licenciamento que lhe permite trazer as suas próprias licenças de SO do Windows Server no local para o Azure. Benefício Híbrido do Azure também lhe permite trazer determinadas subscrições do Linux para o Azure. |
Pode maximizar as suas licenças no local enquanto recebe os benefícios da cloud. |
Excelência Operacional
A Excelência Operacional centra-se principalmente nos procedimentos de práticas de desenvolvimento, observabilidade e gestão de versões.
Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para alcançar esses objetivos para os requisitos operacionais da carga de trabalho.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Excelência Operacional para definir processos de observabilidade, teste e implementação relacionados com Máquinas Virtuais e conjuntos de dimensionamento.
Monitorize as instâncias da VM. Recolha registos e métricas de instâncias de VM para monitorizar a utilização de recursos e medir o estado de funcionamento das instâncias. Algumas métricas comuns incluem a utilização da CPU, o número de pedidos e a latência de entrada/saída (E/S). Configure alertas do Azure Monitor para serem notificados sobre problemas e para detetar alterações de configuração no seu ambiente.
Monitorize o estado de funcionamento das VMs e as respetivas dependências.
- Implemente componentes de monitorização para recolher registos e métricas que dão uma vista abrangente das suas VMs, SO convidado e dados de diagnóstico de arranque. Conjuntos de Dimensionamento de Máquinas Virtuais arregaçar a telemetria, o que lhe permite ver métricas de estado de funcionamento ao nível de uma VM individual ou como uma agregação. Utilize o Azure Monitor para ver estes dados por VM ou agregados em várias VMs. Para obter mais informações, veja Recomendações sobre agentes de monitorização.
- Tire partido dos componentes de rede que verificam o estado de funcionamento das VMs. Por exemplo, Balanceador de Carga do Azure pings de VMs para detetar VMs em mau estado de funcionamento e redirecionar o tráfego em conformidade.
- Configurar regras de alerta do Azure Monitor. Determine condições importantes nos seus dados de monitorização para identificar e resolver problemas antes de afetarem o sistema.
Crie um plano de manutenção que inclua a aplicação de patches regular do sistema como parte das operações de rotina. Inclua processos de emergência que permitam a aplicação de patches imediata. Pode ter processos personalizados para gerir a aplicação de patches ou delegar parcialmente a tarefa ao Azure. O Azure fornece funcionalidades para manutenção de VMs individuais. Pode configurar janelas de manutenção para minimizar as interrupções durante as atualizações. Durante as atualizações da plataforma, as considerações sobre o domínio de falhas são fundamentais para a resiliência. Recomendamos que implemente pelo menos duas instâncias numa zona. Duas VMs por zona garantem um mínimo de uma VM em cada zona porque apenas um domínio de falha numa zona é atualizado de cada vez. Assim, para três zonas, aprovisione pelo menos seis instâncias.
Automatize os processos de arranque, execução de scripts e configuração de VMs. Pode automatizar processos com extensões ou scripts personalizados. Recomendamos as seguintes opções:
A extensão Key Vault VM atualiza automaticamente os certificados armazenados num cofre de chaves.
A Extensão de Script Personalizado do Azure para Windows e Linux transfere e executa scripts no Máquinas Virtuais. Utilize esta extensão para configuração pós-implementação, instalação de software ou qualquer outra tarefa de configuração ou gestão.
Utilize o cloud-init para configurar o ambiente de arranque para VMs baseadas em Linux.
Ter processos para instalar atualizações automáticas. Considere utilizar a aplicação de patches de convidado de VM automática para uma implementação oportuna de patches críticos e patches de segurança. Utilize a Gestão de Atualizações no Automatização do Azure para gerir as atualizações do SO para as VMs do Windows e linux no Azure.
Crie um ambiente de teste que corresponda de perto ao seu ambiente de produção para testar atualizações e alterações antes de as implementar na produção. Ter processos implementados para testar as atualizações de segurança, as linhas de base de desempenho e as falhas de fiabilidade. Tire partido das bibliotecas de falhas do Azure Chaos Studio para injetar e simular condições de erro. Para obter mais informações, veja Biblioteca de ações e falhas do Azure Chaos Studio.
Faça a gestão da quota. Planeie o nível de quota que a carga de trabalho necessita e reveja esse nível regularmente à medida que a carga de trabalho evolui. Se precisar de aumentar ou diminuir a quota, solicite essas alterações mais cedo.
Recomendações
Recomendação | Vantagem |
---|---|
(Conjunto de dimensionamento) Conjuntos de Dimensionamento de Máquinas Virtuais no Modo de orquestração flexível pode ajudar a simplificar a implementação e a gestão da carga de trabalho. Por exemplo, pode gerir facilmente a auto-recuperação através de reparações automáticas. | A orquestração flexível pode gerir instâncias de VM em escala. A entrega de VMs individuais adiciona sobrecarga operacional. Por exemplo, quando elimina instâncias de VM, os discos e NICs associados também são eliminados automaticamente. As instâncias de VM estão distribuídas por vários domínios de falha para que as operações de atualização não perturbem o serviço. |
(Conjunto de dimensionamento) Mantenha as VMs atualizadas ao definir uma política de atualização. Recomendamos atualizações sem interrupção. No entanto, se precisar de controlo granular, opte por atualizar manualmente. Para Orquestração flexível, pode utilizar a Gestão de atualizações no Automatização do Azure. |
A segurança é o principal motivo para atualizações. As garantias de segurança para as instâncias não devem diminuir ao longo do tempo. As atualizações sem interrupção são efetuadas em lotes, o que garante que todas as instâncias não estão inativas ao mesmo tempo. |
(VMs, conjunto de dimensionamento) Implemente automaticamente aplicações de VM a partir da Galeria de Computação do Azure ao definir as aplicações no perfil. | As VMs no conjunto de dimensionamento são criadas e as aplicações especificadas são pré-instaladas, o que facilita a gestão. |
Instale componentes de software pré-criados como extensões como parte do bootstrapping. O Azure suporta muitas extensões que podem ser utilizadas para configurar, monitorizar, proteger e fornecer aplicações utilitárias para as suas VMs. Ativar atualizações automáticas em extensões. |
As extensões podem ajudar a simplificar a instalação de software em escala sem ter de instalar, configurar ou atualizar manualmente a instalação em cada VM. |
(VMs, conjunto de dimensionamento) Monitorizar e medir o estado de funcionamento das instâncias da VM. Implemente a extensão do agente monitor nas suas VMs para recolher dados de monitorização do SO convidado com regras de recolha de dados específicas do SO. Ative as informações da VM para monitorizar o estado de funcionamento e o desempenho e ver as tendências dos dados recolhidos. Utilize o diagnóstico de arranque para obter informações como arranque de VMs. Os diagnósticos de arranque também diagnosticam falhas de arranque. |
A monitorização de dados está no centro da resolução de incidentes. Uma pilha de monitorização abrangente fornece informações sobre o desempenho das VMs e o respetivo estado de funcionamento. Ao monitorizar continuamente as instâncias, pode estar pronto para ou evitar falhas como sobrecarga de desempenho e problemas de fiabilidade. |
Eficiência de Desempenho
A Eficiência de Desempenho tem a ver com a manutenção da experiência do utilizador, mesmo quando existe um aumento de carga através da gestão da capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar potenciais estrangulamentos e otimizar o desempenho máximo.
Os princípios de design de Eficiência de Desempenho fornecem uma estratégia de design de alto nível para alcançar esses objetivos de capacidade face à utilização esperada.
Lista de verificação de estruturação
Inicie a sua estratégia de conceção com base na lista de verificação de revisão de design para Eficiência de Desempenho. Defina uma linha de base baseada em indicadores chave de desempenho para Máquinas Virtuais e conjuntos de dimensionamento.
Definir destinos de desempenho. Identifique as métricas da VM para controlar e medir os indicadores de desempenho como tempo de resposta, utilização da CPU e utilização da memória, bem como métricas de carga de trabalho, como transações por segundo, utilizadores simultâneos e disponibilidade e estado de funcionamento.
Factor in the performance profile of VMs, scale sets, and disk configuration in your capacity planning. Cada SKU tem um perfil diferente de memória e CPU e comporta-se de forma diferente consoante o tipo de carga de trabalho. Realize pilotos e provas de conceito para compreender o comportamento de desempenho na carga de trabalho específica.
Otimização do desempenho da VM. Tire partido da otimização do desempenho e das funcionalidades de melhoria, conforme exigido pela carga de trabalho. Por exemplo, utilize o NVMe (Non-Volatile Memory Express) anexado localmente para casos de utilização de elevado desempenho e redes aceleradas e utilize o SSD Premium v2 para um melhor desempenho e escalabilidade.
Tenha em conta os serviços dependentes. As dependências da carga de trabalho, como a colocação em cache, o tráfego de rede e as redes de entrega de conteúdos, que interagem com as VMs podem afetar o desempenho. Além disso, considere a distribuição geográfica, como zonas e regiões, o que pode adicionar latência.
Recolher dados de desempenho. Siga as melhores práticas de Excelência Operacional para monitorizar e implementar as extensões adequadas para ver as métricas que acompanham os indicadores de desempenho.
Grupos de colocação por proximidade. Utilize grupos de colocação por proximidade em cargas de trabalho onde é necessária baixa latência para garantir que as VMs estão fisicamente localizadas perto umas das outras.
Recomendações
Recomendação | Vantagem |
---|---|
(VMs, conjunto de dimensionamento) Selecione SKUs para VMs alinhadas com o planeamento de capacidade. Tenha uma boa compreensão dos seus requisitos de carga de trabalho, incluindo o número de núcleos, memória, armazenamento e largura de banda de rede para que possa filtrar SKUs inadequados. |
O rightsizing das VMs é uma decisão fundamental que afeta significativamente o desempenho da carga de trabalho. Sem o conjunto certo de VMs, poderá ter problemas de desempenho e acumular custos desnecessários. |
(VMs, conjunto de dimensionamento) Implementar VMs de carga de trabalho sensíveis à latência em grupos de colocação de proximidade. | Os grupos de colocação por proximidade reduzem a distância física entre os recursos de computação do Azure, o que pode melhorar o desempenho e reduzir a latência de rede entre VMs autónomas, VMs em múltiplos conjuntos de disponibilidade ou VMs em múltiplos conjuntos de dimensionamento. |
(VMs, conjunto de dimensionamento) Defina o perfil de armazenamento ao analisar o desempenho do disco das cargas de trabalho existentes e do SKU da VM. Utilize SSDs Premium para VMs de produção. Ajuste o desempenho dos discos com o SSD Premium v2. Utilize dispositivos NVMe ligados localmente. |
Os SSDs Premium fornecem VMs de alto desempenho e de baixa latência com cargas de trabalho intensivas de E/S. O SSD Premium v2 não requer o redimensionamento do disco, o que permite um elevado desempenho sem excesso de aprovisionamento e minimiza o custo da capacidade não utilizada. Quando disponível em SKUs de VM, o NVMe ligado localmente ou dispositivos semelhantes pode oferecer um elevado desempenho, especialmente para casos de utilização que requerem operações de entrada/saída elevadas por segundo (IOPS) e baixa latência. |
(VMs) Considere ativar a rede acelerada. | Permite a virtualização de E/S de raiz única (SR-IOV) para uma VM, o que melhora consideravelmente o desempenho de rede. |
(VMs, conjunto de dimensionamento) Defina regras de dimensionamento automático para aumentar ou diminuir o número de instâncias de VM no conjunto de dimensionamento com base na procura. | Se a exigência da aplicação aumentar, a carga sobre as instâncias de VM no conjunto de dimensionamento também aumenta. As regras de dimensionamento automático garantem que tem recursos suficientes para satisfazer a procura. |
Políticas do Azure
O Azure fornece um vasto conjunto de políticas incorporadas relacionadas com Máquinas Virtuais e as respetivas dependências. Algumas das recomendações anteriores podem ser auditadas através de Azure Policy. Por exemplo, pode verificar se:
- A encriptação no anfitrião está ativada.
- As extensões antimalware são implementadas e ativadas para atualizações automáticas em VMs que executam o Windows Server.
- A aplicação automática de patches de imagem do SO em conjuntos de dimensionamento está ativada.
- Só são instaladas extensões de VM aprovadas.
- O agente monitor e os agentes de dependência estão ativados em novas VMs no seu ambiente do Azure.
- Apenas os SKUs de VM permitidos são implementados para limitar os tamanhos de acordo com as restrições de custos.
- Os pontos finais privados são utilizados para aceder a recursos de disco.
- A deteção de vulnerabilidades está ativada. Existem regras especializadas para computadores Windows. Por exemplo, pode agendar Windows Defender para analisar todos os dias.
Para uma governação abrangente, reveja o Azure Policy definições incorporadas para Máquinas Virtuais e outras políticas que possam afetar a segurança da camada de computação.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de cloud personalizado que o ajuda a seguir as melhores práticas para otimizar as implementações do Azure. Seguem-se algumas recomendações que podem ajudá-lo a melhorar a fiabilidade, a segurança, a relação custo-eficácia, o desempenho e a excelência operacional dos Máquinas Virtuais.
Passos seguintes
Considere os seguintes artigos como recursos que demonstram as recomendações realçadas neste artigo.
- Utilize as seguintes arquiteturas de referência como exemplos de como pode aplicar a documentação de orientação deste artigo a uma carga de trabalho:
- Arquiteturas de VM única: VM do Linux e VM do Windows
- Arquitetura fundamental que se foca nas recomendações de infraestrutura: Máquinas Virtuais arquitetura de linha de base
- Crie conhecimentos de implementação com a seguinte documentação do produto: