Azure Well-Architected Framework 檢視 虛擬機器 和擴展集
Azure 虛擬機器 是一種計算服務,可用來在 Azure 平臺上建立和執行虛擬機 (VM) 。 它提供不同 SKU、作業系統和各種計費模式設定的彈性。
本文假設身為架構設計人員,您已檢閱計算判定樹,並選擇 虛擬機器 作為工作負載的計算服務。 本文中的指引提供對應至 Azure Well-Architected Framework 要素原則的架構建議。
重要
如何使用本指南
每個區段都有一個 設計檢查清單 ,其中呈現相關的架構區域,以及當地語系化為技術範圍的設計策略。
此外,也包含可協助具體化這些策略的技術功能 建議 。 建議並不代表可供 虛擬機器 及其相依性使用之所有設定的完整清單。 相反地,他們會列出對應至設計觀點的主要建議。 使用建議來建置您的概念證明或優化現有的環境。
示範主要建議的基礎架構:虛擬機器 基準架構。
技術範圍
此檢閱著重於下列 Azure 資源的相互關聯決策:
虛擬機器
Azure 虛擬機器擴展集
磁碟
磁碟是 VM 架構的重要相依性。 如需詳細資訊,請參閱 磁碟和優化。
可靠性
可靠性要素的目的是 要藉由建置足夠的復原能力和從失敗快速復原的能力,來提供持續的功能。
可靠性設計原則提供針對個別元件、系統流程和整個系統套用的高階設計策略。
設計檢查清單
根據 可靠性的設計檢閱檢查清單,開始您的設計策略。 判斷其與業務需求的相關性,同時記住 VM 及其相依性的 SKU 和功能。 擴充策略,視需要包含更多方法。
檢閱 虛擬機器 可能會造成設計限制的配額和限制。 VM 具有特定的限制和配額,會根據 VM 或區域的類型而有所不同。 可能有訂用帳戶限制,例如每個訂用帳戶的 VM 數目或每個 VM 的核心數目。 如果其他工作負載共用您的訂用帳戶,則可能會降低取用數據的能力。 檢查 VM、 虛擬機擴展集和 受控磁碟的限制。
進行失敗模式分析 ,藉由分析與網路和記憶體元件的 VM 互動,將失敗點降到最低。 選擇暫時操作系統 (OS) 磁碟等設定,將磁碟存取當地語系化,並避免網路躍點。 新增負載平衡器,藉由將網路流量分散到多個 VM 來增強自我保留,進而改善可用性和可靠性。
根據 Azure 服務等級協定 (SLA) 計算複合服務等級目標 (SLA) 。 請確定您的 SLO 不高於 Azure SLA ,以避免不切實際的預期和潛在問題。
請注意相依性引進的複雜度。 例如,某些相依性,例如虛擬網路和網路適配器 (NIC) ,沒有自己的 SLA。 其他相依性,例如相關聯的數據磁碟,具有與 VM SLA 整合的 SLA。 您應該考慮這些變化,因為它們可能會影響 VM 效能和可靠性。
將 VM 的重要相依性納入磁碟和網路元件等元件上。 如果您了解這些關聯性,則可以判斷影響可靠性的重要流程。
建立狀態隔離。 工作負載數據應該位於不同的數據磁碟上,以避免干擾 OS 磁碟。 如果 VM 失敗,您可以使用相同的數據磁碟建立新的 OS 磁碟,以確保復原能力和錯誤隔離。 如需詳細資訊,請參閱 暫時OS磁碟。
讓 VM 及其相依性跨區域備援。 如果 VM 失敗,工作負載應該會因為備援而繼續運作。 在您的備援選項中包含相依性。 例如,使用磁碟可用的內建備援選項。 使用區域備援IP來確保資料可用性和高運行時間。
準備好相應增加和相應放大 ,以避免服務等級降低,並避免失敗。 虛擬機器擴展集 具有自動調整功能,可視需要建立新的實例,並將負載分散到多個 VM 和可用性區域。
探索自動復原選項。 Azure 支援 VM 的健康情況降低監視和自我修復功能。 例如,擴展集提供 自動實例修復。 在更進階的案例中,自我修復牽涉到使用 Azure Site Recovery、具備被動待命來故障轉移,或從基礎結構重新部署為程式碼 (IaC) 。 您選擇的方法應該符合商務需求和組織作業。 如需詳細資訊,請參閱 VM 服務中斷。
將 VM 及其相依性版權化。 瞭解 VM 的預期工作,以確保其未過低,而且可以處理最大負載。 有額外的容量可減輕失敗。
建立完整的災害復原計劃。 災害準備牽涉到建立完整的計劃,並決定復原的技術。
相依性和具狀態元件,例如鏈接的記憶體,可能會使復原複雜。 如果磁碟關閉,則該失敗會影響 VM 的運作。 在您的復原方案中包含這些相依性的清楚程式。
使用嚴格執行作業。 根據監視原則、生產中的復原測試、自動化應用程式 VM 修補程式和升級,以及部署的一致性,必須支援可靠性設計選擇。 如需操作指引,請參閱 卓越營運。
建議
建議 | 優點 |
---|---|
(擴展集) 在彈性協調流程模式中使用 虛擬機器擴展集 來部署 VM。 | 未來證明您的應用程式可調整並利用高可用性保證,將 VM 分散到區域或可用性區域中的容錯網域。 |
(VM) 實作在 VM 上發出實例健全狀態的 熱度端點 。 (擴展集) 指定慣用修復動作,在擴展集上 啟用自動修復 。 請考慮設定時間範圍,當 VM 的狀態變更時,自動修復會暫停。 |
即使實例被視為狀況不良,仍維持可用性。 自動修復會藉由取代錯誤的實例來起始復原。 設定時間範圍可能會防止意外或提前修復作業。 |
(擴展集) 在擴展集上 啟用過度布 建。 | 過度布建可減少部署時間,並具有成本效益,因為不會收取額外的 VM 費用。 |
(擴展集) 允許彈性協調流程將 VM 實例分散 到盡可能多的容錯網域。 | 此選項會隔離容錯網域。 在維護期間,當一個容錯網域更新時,VM 實例可在其他容錯網域中使用。 |
(擴展集) 在擴展集上 跨可用性區域部署 。 在每個區域中至少設定兩個實例。 區域平衡 會將實例平均分散到各個區域。 |
VM 實例會布建在每個 Azure 區域中可容忍本機失敗的實體個別位置。 請記住,視資源可用性而定,跨區域可能會有不平均的實例數目。 區域平衡支援可用性,方法是確定如果某個區域已關閉,其他區域就有足夠的實例。 每個區域中的兩個實例會在升級期間提供緩衝區。 |
(VM) 利用 容量保留功能。 | 容量會保留給您的使用,而且可在適用的 SLA 範圍內使用。 當您不再需要保留容量時,您可以刪除容量保留,而計費是以使用量為基礎。 |
提示
如需 VM 可靠性的詳細資訊,請參閱 虛擬機器 可靠性。
安全性
安全性要素的目的是為工作負載提供 機密性、完整性和可用性 保證。
安全性設計原則提供高階設計策略,可藉由將方法套用至 虛擬機器的技術設計,來達成這些目標。
設計檢查清單
根據 安全性的設計檢閱檢查清單,開始您的設計策略。 識別弱點和控件,以改善安全性狀態。 擴充策略,視需要包含更多方法。
檢閱Linux和 Windows VM 和 虛擬機器擴展集的安全性基準。
作為基準技術選擇的一部分,請考慮支援您工作負載之 VM SKU 的安全性功能。
確保及時且自動化的安全性修補和升級。 請確定更新會自動推出,並使用定義完善的程序進行驗證。 使用 Azure 自動化 之類的解決方案來管理操作系統更新,並藉由進行重大更新來維護安全性合規性。
識別保存狀態的 VM。 請確定數據會根據貴組織提供的敏感度標籤進行分類。 使用適當的待用和傳輸中加密層級等安全性控制來保護數據。 如果您有高敏感度需求,請考慮使用雙重加密和 Azure 機密運算等高安全性控制件來保護使用中的數據。
藉由設定網路界限和訪問控制,為 VM 和擴展集提供分割。 將 VM 放在共用相同生命週期的資源群組中。
將訪問控制套用至 嘗試連線到 VM 的身分識別,以及套用至觸達其他資源的 VM。 使用 Microsoft Entra ID 進行驗證和授權需求。 針對 VM 及其相依性,將強密碼、多重要素驗證和角色型訪問控制 (RBAC) ,以允許的身分識別只執行預期角色的作業。
使用條件式存取 Microsoft Entra 條件式存取來限制資源存取。 根據持續時間和必要許可權集下限定義條件式原則。
使用網路控制來限制輸入和輸出流量。 隔離 Azure 虛擬網路 中的 VM 和擴展集,並定義網路安全組來篩選流量。 防止分散式阻斷服務 (DDoS) 攻擊。 使用負載平衡器和防火牆規則來防範惡意流量和數據外洩攻擊。
使用 Azure Bastion 提供 VM 的安全連線,以進行作業存取。
從 VM 到平臺即服務 (PaaS) 解決方案的通訊應透過私人端點。
藉由強化OS映像並移除未使用的元件,以減少受攻擊面。 使用較小的映像,並移除執行工作負載不需要的二進位檔。 拿掉您不需要的預設帳戶和埠等功能,以強化 VM 組態。
保護秘密 ,例如您需要保護傳輸中數據的憑證。 請考慮使用適用於 Windows 或 Linux 的 Azure 金鑰保存庫 擴充功能,以自動重新整理儲存在密鑰保存庫中的憑證。 當它偵測到憑證中的變更時,擴充功能會擷取並安裝對應的憑證。
威脅偵測。 監視 VM 中是否有威脅和設定錯誤。 使用 適用於伺服器的 Defender 來擷取 VM 和 OS 變更,並維護存取、新帳戶和許可權變更的稽核線索。
威脅防護。 藉由實作防火牆、防病毒軟體和入侵檢測系統等安全性控件,防範惡意代碼攻擊和惡意執行者。 判斷是否需要 信任的執行環境 (TEE) 。
建議
建議 | 優點 |
---|---|
(擴展集) 將受控識別指派 給擴展集。 擴展集中的所有 VM 都會透過指定的 VM 設定檔取得相同的身分識別。 (VM) 您也可以在建立 VM 時將受控識別指派給個別 VM ,然後視需要將其新增至擴展集。 |
當 VM 與其他資源通訊時,它們會跨越信任界限。 擴展集和 VM 應該在允許通訊之前驗證其身分識別。 Microsoft Entra ID 使用受控識別來處理該驗證。 |
(擴展集) 選擇具有安全性功能的 VM SKU。 例如, 某些 SKU 支援 BitLocker 加密,而 機密運算 則提供數據使用中的數據加密。 檢閱功能以瞭解限制。 |
Azure 提供的功能是以跨許多租使用者擷取的訊號為基礎,且可保護比自定義控件更好的資源。 您也可以使用原則來強制執行這些控制件。 |
(VM,擴展集) 在布建的資源中 套用組織建議的標籤 。 | 標記 是分割及組織資源的常見方式,而且在事件管理期間可能很重要。 如需詳細資訊,請參閱 命名和標記的目的。 |
(VM,擴展集) 使用您想要在 VM 組態中啟用的安全性功能來 設定安全性設定檔 。 例如,當您在配置檔中指定 主機上的加密 時,儲存在 VM 主機上的數據會在待用時加密,且流程會加密至記憶體服務。 |
建立 VM 時,會自動啟用安全性設定檔中的功能。 如需詳細資訊,請參閱適用於 虛擬機器擴展集 的 Azure 安全性基準。 |
(VM) 為 VM 的網路設定檔選擇安全網路選項 。 請勿直接將公用IP位址與您的 VM 產生關聯,也不會啟用IP轉送。 確定所有虛擬網路介面都有相關聯的網路安全組。 |
您可以在網路設定檔中設定分割控制件。 攻擊者會掃描公用IP位址,讓VM容易遭受威脅。 |
(VM) 為 VM 的 記憶體設定檔選擇安全記憶體選項 。 預設會啟用磁碟加密和數據待用加密。 停用 VM 磁碟的公用網路存取。 |
停用公用網路存取有助於防止未經授權存取您的數據和資源。 |
(VM,擴展集) 在您的 VM 中包含 可防範威脅的擴充功能。 例如 - 適用於 Windows 和 Linux 的 金鑰保存庫 擴充功能 - Microsoft Entra ID 驗證 - 適用於 Azure 雲端服務 和 虛擬機器 的 Microsoft Antimalware - 適用於 Windows 和 Linux 的 Azure 磁碟加密擴充功能。 |
擴充功能可用來使用正確的軟體啟動 VM,以保護對 VM 的存取和存取。 Microsoft 提供的延伸模組會經常更新,以跟上不斷演進的安全性標準。 |
成本最佳化
成本優化著重於 偵測支出模式、優先處理重要領域的投資,以及優化其他人 以符合組織的預算,同時符合商務需求。
成本優化設計原則提供高階設計策略,以達成這些目標,並在與 虛擬機器 及其環境相關的技術設計中視需要做出取捨。
設計檢查清單
根據投資 成本優化的設計檢閱檢查清單 ,開始您的設計策略。 微調設計,讓工作負載符合為工作負載配置的預算。 您的設計應該使用正確的 Azure 功能、監視投資,以及尋找經過一段時間優化的機會。
預估實際成本。 使用 定價計算機 來估計 VM 的成本。 使用 VM 選取器來識別工作負載的最佳 VM。 如需詳細資訊,請參閱 Linux 和 Windows 定價。
實作成本護欄。 使用治理原則來限制資源類型、組態和位置。 使用 RBAC 來封鎖可能導致過度加班的動作。
選擇正確的資源。 您選取的 VM 方案大小和 SKU 會直接影響整體成本。 根據工作負載特性選擇 VM。 工作負載 CPU 密集或執行可中斷的進程嗎? 每個 SKU 都有會影響整體成本的相關聯磁碟選項。
為相依資源選擇正確的功能。 使用具有保留容量的 Azure 備份 記憶體,節省保存庫標準層的備份記憶體成本。 當您認可保留一年或三年時,它會提供折扣。
Azure 記憶體中的封存層是離線層,最適合用來儲存很少存取的 Blob 資料。 相較於經常性和非經常性在線層,封存層提供最低的儲存成本,但數據擷取成本和延遲較高。
請考慮使用 區域對區域災害復原 ,讓 VM 從月台失敗中復原,同時減少使用區域備援服務的可用性複雜度。 降低作業複雜度可能會帶來成本優勢。
選擇正確的計費模型。 評估是否根據工作負載的商務需求,評估以承諾為基礎的模型,以計算優化成本。 請考慮下列 Azure 選項:
-
Azure 保留:預付可預測的工作負載,以降低成本,相較於以使用量為基礎的定價。
重要
購買保留實例,以降低具有穩定使用量之工作負載的 Azure 成本。 管理使用量,以確保您不會支付比所使用的資源更多的費用。 讓保留實例保持簡單,並讓管理額外負荷降低,以降低成本。
- 節省方案:如果您承諾將固定的每小時金額花在一或三年計算服務上,則此方案可以降低成本。
- Azure Hybrid Benefit:將內部部署 VM 遷移至 Azure 時儲存。
-
Azure 保留:預付可預測的工作負載,以降低成本,相較於以使用量為基礎的定價。
監視使用量。 持續監視使用模式,並偵測未使用或使用量過低的 VM。 針對這些實例,當 VM 實例不在使用中時,請關閉它們。 監視是營運卓越的關鍵方法。 如需詳細資訊,請參閱 卓越營運中的建議。
尋找優化的方式。 某些策略包括選擇在現有系統中增加資源或相應增加,以及新增更多系統實例或相應放大之間的最符合成本效益的方法。您可以將需求散發給其他資源,也可以藉由實作優先順序佇列、閘道卸除、緩衝和速率限制來降低需求。 如需詳細資訊,請參閱 效能效率中的建議。
建議
建議 | 優點 |
---|---|
(VM、擴展集) 選擇正確的 VM 方案大小和 SKU。 識別工作負載的最佳 VM 大小 。 使用 VM 選取器來識別最適合您工作負載的 VM。 請參閱 Windows 和 Linux 定價。 對於可容許某些中斷的高度平行批處理作業等工作負載,請考慮使用 Azure Spot 虛擬機器。 現成虛擬機非常適合用於實驗、開發和測試大規模的解決方案。 |
SKU 會根據其提供的功能來定價。 如果您不需要進階功能,請不要在SKU上過度加總。 現成虛擬機會以較低的成本利用 Azure 中的剩餘容量。 |
(VM,擴展集) 評估與 VM SKU 相關聯的磁碟選項。 請確定您的效能需求,同時記住您的記憶體容量需求,並考慮變動的工作負載模式。 例如,Azure 進階 SSD v2 磁碟可讓您更細微地調整效能,而不受磁碟大小限制。 |
某些高效能磁碟類型提供額外的成本優化功能和策略。 進階 SSD v2 磁碟的調整功能可以降低成本,因為它可提供高效能而不過度布建,否則可能會導致使用量過低的資源。 |
(擴展集) 混合一般 VM 與現成虛擬機。 彈性協調流程可讓您根據指定的百分比 散發現成虛擬機 。 |
藉由套用現成虛擬機的深層折扣來降低計算基礎結構成本。 |
(擴展集) 減少需求減少時的 VM 實例數目。 根據準則設定相應縮小原則。 停機期間停止 VM。 您可以使用 Azure 自動化 \[開始/停止\] 功能,並根據業務需求進行設定。 |
當資源不在使用中時相應縮小或停止,可減少擴展集中執行的 VM 數目,以節省成本。 啟動/停止功能是低成本的自動化選項。 |
(VM、擴展集) 利用授權行動性 Azure Hybrid Benefit。 VM 具有授權選項,可讓您將自己的內部部署 Windows Server OS 授權 帶入 Azure。 Azure Hybrid Benefit 也可讓您將特定 Linux 訂用帳戶帶入 Azure。 |
您可以最大化內部部署授權,同時獲得雲端的優點。 |
卓越營運
卓越營運主要著重於 開發實務、可觀察性和發行管理的程式。
營運卓越設計原則提供高階設計策略,可達成工作負載作業需求的目標。
設計檢查清單
根據營運卓越的設計檢閱檢查清單開始設計策略,以定義與 虛擬機器 和擴展集相關的可檢視性、測試和部署程式。
監視 VM 實例。 從 VM 實例收集記錄和計量,以監視資源使用量,並測量實例的健康情況。 一些常見的 計量 包括CPU使用量、要求數目,以及輸入/輸出 (I/O) 延遲。 設定 Azure 監視器 警示 ,以收到問題通知,並偵測環境中的設定變更。
監視 VM 及其相依性的健康情況。
- 部署監視元件來收集記錄和計量,以全面檢視 VM、客體 OS 和開機診斷數據。 虛擬機器擴展集 匯總遙測,可讓您檢視個別 VM 層級或匯總的健康情況計量。 使用 Azure 監視器來檢視每個 VM 或跨多個 VM 匯總的數據。 如需詳細資訊,請參閱 監視代理程序的建議。
- 利用檢查 VM 健全狀況狀態的網路元件。 例如,Azure Load Balancer ping VM 以偵測狀況不良的 VM,並據以重新路由傳送流量。
- 設定 Azure 監視器警示規則。 判斷監視數據中的重要條件,以在影響系統之前找出並解決問題。
建立維護計劃 ,其中包含一般系統修補作為例行作業的一部分。 包含允許立即修補應用程式的緊急程式。 您可以有自定義程式來管理修補,或部分將工作委派給 Azure。 Azure 提供個別 VM 維護的功能。 您可以設定維護期間,將更新期間的中斷降到最低。 在平臺更新期間,容錯網域考慮是復原的關鍵。 建議您至少在一個區域中部署兩個實例。 每個區域的兩部 VM 保證每個區域中至少一部 VM,因為一次只會更新一個區域中的一個容錯網域。 因此,針對三個區域,至少布建六個實例。
自動執行啟動載入、執行腳本和設定 VM 的程式。 您可以使用延伸模組或自訂文稿將程式自動化。 建議您採用下列選項:
金鑰保存庫 VM 擴充功能會自動重新整理儲存在金鑰保存庫中的憑證。
適用於 Windows 和 Linux 的 Azure 自定義腳本擴充功能會下載並在 虛擬機器 上執行腳本。 使用此擴充功能進行部署後設定、軟體安裝或任何其他組態或管理工作。
使用 cloud-init 來設定 Linux 型 VM 的啟動環境。
有安裝自動更新的程式。 請考慮使用 自動 VM 客體修補 來及時推出重要修補程式和安全性修補程式。 使用 Azure 自動化 中的更新管理來管理 Azure 中 Windows 和 Linux VM 的 OS 更新。
建置 與生產環境緊密相符的測試環境,以測試更新和變更,再將其部署至生產環境。 讓程式就地測試安全性更新、效能基準和可靠性錯誤。 利用 Azure Chaos Studio 錯誤連結庫來插入和模擬錯誤狀況。 如需詳細資訊,請參閱 Azure Chaos Studio 錯誤和動作連結庫。
管理您的配額。 規劃工作負載所需的配額層級,並在工作負載演進時定期檢閱該層級。 如果您需要增加或減少配額, 請提早要求這些變更。
建議
建議 | 優點 |
---|---|
(擴展集) 彈性協調流程模式中的 虛擬機器擴展集,有助於簡化工作負載的部署和管理。 例如,您可以使用自動修復輕鬆地管理自我修復。 | 彈性協調流程可以大規模管理 VM 實例。 交手個別 VM 會增加作業額外負荷。 例如,當您刪除 VM 實例時,也會自動刪除相關聯的磁碟和 NIC。 VM 實例會分散到多個容錯網域,讓更新作業不會中斷服務。 |
(擴展集) 設定升級原則,讓您的 VM 保持最新狀態。 我們建議滾動升級。 不過,如果您需要細微的控制,請選擇手動升級。 針對彈性協調流程,您可以在 Azure 自動化 中使用更新管理。 |
安全性是升級的主要原因。 實例的安全性保證不應隨著時間而衰減。 滾動升級會以批次方式完成,以確保所有實例不會同時關閉。 |
(VM,擴展集) 在設定檔中定義應用程式,從 Azure 計算資源庫自動部署 VM 應用程式。 | 擴展集中的 VM 會建立,並預安裝指定的應用程式,讓管理更容易。 |
在啟動載入過程中,將預先建置的軟體元件安裝為延伸模組。 Azure 支援許多擴充功能,可用來設定、監視、保護及為 VM 提供公用程式應用程式。 在擴充功能上啟用自動升級 。 |
擴充功能可協助大規模簡化軟體安裝,而不需要在每部 VM 上手動安裝、設定或升級。 |
(VM,擴展集) 監視並測量 VM 實例的健康情況。 將 監視代理程式 擴充功能部署到 VM,以使用 OS 特定的 數據收集規則,從客體 OS 收集監視數據。 啟用 VM 深入解析 以監視健康情況和效能,以及檢視所收集的數據趨勢。 使用 開機診斷在 VM 開機 時取得資訊。 開機診斷也會診斷開機失敗。 |
監視數據是事件解決的核心。 完整的監視堆疊提供 VM 的執行方式及其健康情況的相關信息。 藉由持續監視實例,您可以準備好或防止失敗,例如效能多載和可靠性問題。 |
效能效率
效能效率是關於 維護用戶體驗,即使 透過管理容量來增加負載也一定。 此策略包括調整資源、識別和優化潛在的瓶頸,以及優化尖峰效能。
效能效率設計原則提供高階設計策略,以針對預期的使用量達成這些容量目標。
設計檢查清單
根據 效能效率的設計檢閱檢查清單,開始您的設計策略。 定義以 虛擬機器和擴展集的主要效能指標為基礎的基準。
定義效能目標。 識別 VM 計量,以追蹤和測量效能指標作為響應時間、CPU 使用率和記憶體使用率,以及每秒交易、並行使用者和可用性和健康情況等工作負載計量。
在容量規劃中,考慮 VM、擴展集和磁碟設定的效能配置檔。 每個 SKU 都有不同的記憶體和 CPU 配置檔,而且會根據工作負載的類型而有不同的行為。 進行試驗和概念證明,以瞭解特定工作負載下的效能行為。
VM 效能微調。 利用工作負載所需的效能優化和增強功能。 例如,使用本機連結的非變動性記憶體 Express (NVMe) 進行高效能使用案例和加速網路,並使用進階 SSD v2 提升效能和延展性。
將相依服務納入考慮。 與 VM 互動的工作負載相依性,例如快取、網路流量和內容傳遞網路,可能會影響效能。 此外,請考慮地理分佈,例如區域和區域,這可能會增加延遲。
收集效能數據。 遵循 營運卓越最佳做法 來監視及部署適當的擴充功能,以檢視針對效能指標追蹤的計量。
鄰近放置群組。 在需要低延遲的工作負載中使用 鄰近放置群組 ,以確保 VM 實際上彼此接近。
建議
建議 | 優點 |
---|---|
(VM,擴展集) 選擇符合容量規劃的 VM SKU 。 充分瞭解您的工作負載需求,包括核心數目、記憶體、記憶體和網路頻寬,讓您可以篩選出不適合的 SKU。 |
將 VM 正規化是大幅影響工作負載效能的基本決策。 如果沒有正確的 VM 集合,您可能會遇到效能問題,併產生不必要的成本。 |
(VM,擴展集) 部署 鄰近放置群組中的延遲敏感性工作負載 VM。 | 鄰近放置群組可減少 Azure 計算資源之間的實體距離,這可改善效能,並減少獨立 VM、多個可用性設定組中的 VM 或多個擴展集中的 VM 之間的網路等待時間。 |
(VM,擴展集) 藉由分析現有工作負載和 VM SKU 的磁碟效能來設定 記憶體配置檔 。 針對生產 VM 使用 進階 SSD 。 使用進階 SSD v2 調整磁碟的效能。 使用本機連結的NVMe裝置。 |
進階 SSD 提供高效能且低延遲的磁碟支援具有 I/O 密集工作負載的 VM。 進階 SSD v2 不需要重設磁碟大小,不需要過度布建即可啟用高效能,並將未使用的容量成本降到最低。 在 VM SKU 上提供時,本機連結的 NVMe 或類似裝置可以提供高效能,特別是針對每秒需要高輸入/輸出作業的使用案例, (IOPS) 和低延遲。 |
(VM) 考慮啟用 加速網路。 | 它會對 VM 啟用單一根 I/O 虛擬化 (SR-IOV) ,這可大幅改善其網路效能。 |
(VM,擴展集) 設定自動調整規則 ,以視需要增加或減少擴展集中的 VM 實例數目。 | 如果您的應用程式需求增加,您擴展集內 VM 執行個體上的負載也會跟著增加。 自動調整規則可確保您有足夠的資源來滿足需求。 |
Azure 原則
Azure 提供一組與 虛擬機器 及其相依性相關的大量內建原則。 您可以透過 Azure 原則 稽核上述某些建議。 例如,您可以檢查:
- 已啟用主機加密。
- 針對執行 Windows Server 的 VM 上的自動更新,會部署並啟用反惡意代碼延伸模組。
- 擴展集上的自動OS映像修補已啟用。
- 只會安裝核准的 VM 擴充功能。
- 監視代理程式和相依性代理程式會在 Azure 環境中的新 VM 上啟用。
- 只部署允許的 VM SKU,以根據成本限制來限制大小。
- 私人端點可用來存取磁碟資源。
- 已啟用弱點偵測。 Windows 電腦有特製化規則。 例如,您可以排程每天掃描 Windows Defender。
如需完整的治理,請檢閱 Azure 原則 內建定義,以瞭解 虛擬機器 和其他可能會影響計算層安全性的原則。
Azure Advisor 建議
Azure Advisor 是個人化的雲端顧問,可協助您遵循最佳做法來將 Azure 部署最佳化。 以下是一些建議,可協助您改善 虛擬機器的可靠性、安全性、成本效益、效能和營運卓越。
下一步
請考慮下列文章作為資源,示範本文中反白顯示的建議。
- 使用下列參考架構作為如何將本文指引套用至工作負載的範例:
- 單一 VM 架構: Linux VM 和 Windows VM
- 著重於基礎結構建議的基礎架構:虛擬機器 基準架構
- 使用下列產品檔建置實作專業知識: