Планирование размера и сети

Завершено

Виртуальная машина Azure — это популярный тип вычислительного ресурса инфраструктуры как службы (IaaS) в Azure. По сравнению с вычислительными службами с платформой как услуга (PaaS), виртуальные машины Azure обеспечивают большую гибкость и контроль над операционной системой виртуальной машины (ОС) и ее конфигурацией. Для повышения контроля и гибкости требуется больше планирования для поддержки оптимальных результатов.

В этом уроке описываются общие факторы и рекомендации по планированию развертываний виртуальных машин Linux в Azure. Процесс планирования должен учитывать аспекты вычислительной, сетевой и хранилища конфигурации виртуальной машины. Некоторые из этих характеристик относятся к ОС, а сведения о реализации различаются в разных дистрибутивах Linux.

Партнеры Майкрософт с известными поставщиками Linux для интеграции своих продуктов с платформой Azure. Чтобы полностью воспользоваться этой интеграцией, вы можете создать виртуальные машины Azure из предварительно созданных образов для различных популярных дистрибутивов Linux, таких как SUSE, Red Hat и Ubuntu. При необходимости можно создать пользовательский образ дистрибутива Linux для запуска в облачной среде. В этом случае в процессе подготовки виртуальных машин Azure может потребоваться больше действий.

В любом случае этот модуль обучения может помочь в дальнейшей оптимизации результирующего развертывания. Оптимизация требует четкого понимания ресурса виртуальной машины Azure и его зависимостей.

Общие сведения о зависимости ресурсов

При создании виртуальной машины Azure также необходимо создать несколько связанных ресурсов, от которой зависит виртуальная машина Azure, для обеспечения полной функциональности виртуализированной ОС. К этим ресурсам относятся:

  • Виртуальные диски для хранения ОС, приложений и данных.

  • Виртуальная сеть с одной или несколькими подсетями для подключения виртуальной машины Azure к другим службам Azure или к локальным центрам обработки данных.

  • Сетевой интерфейс для подключения виртуальной машины Azure к подсети виртуальной сети.

    Примечание.

    Каждый сетевой интерфейс должен иметь по крайней мере один частный IP-адрес, назначенный ему динамически или статически. Частные IP-адреса не являются отдельными ресурсами Azure, но являются частью конфигурации подсети.

  • Группа ресурсов для размещения виртуальной машины Azure.

  • При необходимости общедоступный IP-адрес, связанный с сетевым интерфейсом виртуальной машины, для предоставления прямого входящего доступа к виртуальной машине из Интернета.

Теперь, когда вы понимаете зависимости ресурсов виртуальной машины Azure, можно начать планирование размера виртуальной машины.

Планирование размера

Чтобы определить правильный размер виртуальной машины Azure, необходимо рассмотреть ее предназначенную рабочую нагрузку. Размер, который вы выбрали, определяет следующие характеристики виртуальной машины:

  • Мощность обработки
  • Память
  • Ресурсы хранилища
  • Производительность
  • Поддержка расширенных сетевых функций

Внимание

Виртуальные машины Azure имеют ограничения квоты виртуальной ЦП (vCPU), которые следует учитывать при планировании. Чтобы увеличить квоты после развертывания, необходимо отправить онлайн-запрос в службу поддержки Azure.

Azure предлагает широкий спектр размеров с различными спецификациями и ценами для удовлетворения различных потребностей. Размеры виртуальных машин группируются в несколько категорий, представляющих типы рабочих нагрузок, для которых они оптимизированы. Каждая категория включает одну или несколько рядов или семейства, которые имеют общие базовые характеристики оборудования, но предлагают диапазон различных размеров.

В следующем списке показаны типы рабочих нагрузок и распространенные варианты использования для каждого типа рабочей нагрузки. Каждый тип рабочей нагрузки имеет соответствующие семейства, включающие различные размеры.

  • Общее назначение: тестирование и разработка, небольшие и средние базы данных и веб-серверы с низким и средним трафиком.
  • Ресурсоемкие ресурсы: веб-серверы среднего трафика, сетевые устройства, пакетные процессы и серверы приложений.
  • Интенсивное использование памяти: реляционные серверы баз данных, средние и крупные кэши и аналитика в памяти.
  • Интенсивное хранение: большие данные, базы данных SQL и NoSQL, требующие высокой пропускной способности диска и ввода-вывода (ввода-вывода).
  • Модуль обработки графики (GPU) включен: тяжелая отрисовка графики или редактирование видео, обучение моделей и вывод с помощью глубокого обучения.
  • Высокопроизводительные вычисления (HPC): самые быстрые и самые мощные виртуальные машины ЦП с необязательными сетевыми интерфейсами с высокой пропускной способностью, поддерживающими удаленный прямой доступ к памяти (RDMA).

При планировании размеров виртуальных машин Azure также учитывайте следующие факторы:

  • Для изменения ряда или размера виртуальной машины Azure, в то время как просто и обычно требуется перезагрузка ОС. Чтобы избежать перезапуска, по возможности размер виртуальной машины соответствующим образом.
  • Доступность размера виртуальной машины зависит от региона, поэтому учетная запись для региональной доступности при планировании развертывания.
  • Максимальное количество дисков, которые можно подключить к виртуальной машине Azure, зависит от его размера.

Другие рекомендации по размеру

Рекомендуется использовать селектор виртуальной машины Microsoft Azure, чтобы определить наиболее подходящий размер виртуальной машины на основе типа рабочей нагрузки, ОС, установленного программного обеспечения и региона развертывания.

Если вы планируете использовать те же или аналогичные виртуальные машины Azure в одном регионе в течение длительного периода, рассмотрите возможность использования резервирований Azure для снижения затрат на вычисление до 72 процентов.

Чтобы снизить затраты на виртуальные машины Azure для рабочих нагрузок, которые могут обрабатывать прерывания, такие как задания пакетной обработки, используйте виртуальные машины Azure Spot.

Планирование сети

Виртуальные машины взаимодействуют с внешними ресурсами с помощью виртуальной сети. Виртуальная сеть представляет частную сеть в регионе Azure. Виртуальные сети можно подключать к другим сетям, включая сети в локальных центрах обработки данных, а также применять правила трафика для управления входящим и исходящим подключением.

Каждая виртуальная сеть назначает пространство IP-адресов, которое обычно состоит из одного или нескольких диапазонов частных адресов, как определено RFC 1918. Как и в локальных сетях, можно разделить адресное пространство виртуальной сети на несколько подсетей , чтобы изолировать рабочие нагрузки виртуальной машины Azure. Каждая подсеть в виртуальной сети представляет диапазон частных адресов. Чтобы обеспечить изоляцию рабочей нагрузки, необходимо связать группу безопасности сети (NSG) с каждой подсетью.

Каждая виртуальная машина Azure включает один или несколько сетевых интерфейсов, а каждый интерфейс подключается к подсети в одной виртуальной сети. Azure автоматически назначает каждую виртуальную машину в подсети IP-адрес из диапазона подсети. Azure резервирует первые четыре и последний IP-адрес в каждой подсети для собственного использования и не назначает их.

Хотя в процессе подготовки виртуальных машин можно создать виртуальную сеть и подсети, рекомендуется начать планирование развертывания виртуальных машин Azure с сетевой средой. После выполнения всех требований к сети и создания соответствующих виртуальных сетей можно продолжить развертывание виртуальных машин Azure.

При планировании виртуальных сетей и подсетей Azure следует учитывать следующие принципы проектирования:

  • Убедитесь, что адресные пространства не перекрываются. Если вы хотите подключить виртуальные сети и локальные сети, пространства IP-адресов не могут перекрываться.
  • Используйте меньшее количество больших виртуальных сетей, а не большее количество небольших виртуальных сетей. Эта практика помогает свести к минимуму затраты на управление и упростить масштабируемость.

Пропускная способность сети

Хотя виртуальная машина Azure может иметь несколько сетевых интерфейсов, ее доступная пропускная способность полностью зависит от его размера. Как правило, большие размеры виртуальных машин выделяются больше пропускной способности, чем меньшие размеры.

Чтобы измерить объем фактической пропускной способности сети по выделенному пределу, Azure предназначен только для исходящего трафика. Весь сетевой трафик, покидающий виртуальную машину, учитывает это ограничение независимо от назначения трафика.

Azure не ограничивает пропускную способность входящего трафика напрямую. Однако такие факторы, как хранение и использование вычислительных ресурсов, влияют на объем входящих данных, которые может обрабатывать виртуальная машина Azure.

Планирование удаленного подключения

В рамках планирования развертывания рассмотрите наиболее подходящий подход к обеспечению удаленного подключения. Для виртуальных машин Linux удаленное подключение обычно включает использование Secure Shell (SSH) для реализации транзитного шифрования сеанса оболочки терминала.

Для проверки подлинности через SSH-подключение можно использовать имя пользователя и пароль или пару ключей SSH. Использование паролей для подключений SSH оставляет виртуальную машину уязвимой для атак подбора. Использование ключей SSH является более безопасным и предпочтительным способом подключения к виртуальной машине Linux с помощью SSH.

Даже при использовании ключей SSH по умолчанию необходимо открыть подключение к общедоступному IP-адресу, связанному с сетевым адаптером целевой виртуальной машины Azure. Этот общедоступный IP-адрес уязвим для внешних угроз и представляет собой потенциальный вектор атаки. Чтобы устранить этот риск, попробуйте реализовать бастион Azure или JIT-доступ к виртуальной машине.

Примечание.

В гибридных сценариях, чтобы устранить потребность в общедоступных IP-адресах при подключении из локальной среды к виртуальным машинам Azure, можно использовать виртуальную частную сеть типа "сеть — сеть" или Azure ExpressRoute.

Бастион Azure

Служба Бастиона Azure развертывается в выделенной подсети виртуальной сети, которая имеет подключение к целевой виртуальной машине. Бастион Azure служит брокером для внешних подключений SSH по протоколу HTTPS, которые доступны только из портал Azure. Бастион Azure устраняет необходимость назначения общедоступных IP-адресов сетевому интерфейсу целевой виртуальной машины, а также гарантирует, что только прошедшие проверку подлинности и правильно авторизованные пользователи могут инициировать подключения SSH.

Доступ к виртуальной машине JIT

Доступ к виртуальной машине JIT — это Microsoft Defender для облака функция, которая ограничивает доступ к общедоступному IP-адресу, связанному с сетевым интерфейсом виртуальной машины Azure. Эти ограничения динамически настраивают группу безопасности сети, чтобы разрешить входящие подключения только из указанного диапазона IP-адресов в течение указанного периода времени. Как и в Случае с Бастионом Azure, пользователи должны пройти проверку подлинности перед началом подключения из портал Azure.