Spuštění virtuálního počítače s Windows ve službě Azure Stack Hub

  • Článek

Zřízení virtuálního počítače ve službě Azure Stack Hub vyžaduje kromě samotného virtuálního počítače i další komponenty, včetně síťových prostředků a prostředků úložiště. Tento článek popisuje osvědčené postupy pro spuštění virtuálního počítače s Windows v Azure.

Architektura virtuálního počítače s Windows ve službě Azure Stack Hub

Skupina prostředků

Skupina prostředků je logický kontejner, který obsahuje související prostředky služby Azure Stack Hub. Obecně platí, že prostředky seskupují na základě jejich životnosti a toho, kdo je bude spravovat.

Do jedné skupiny prostředků byste měli umístit úzce související prostředky, které mají stejný životní cyklus. Skupiny prostředků umožňují nasadit a monitorovat prostředky jako skupinu a sledovat fakturační náklady podle skupin prostředků. Prostředky můžete také odstranit jako sadu, což je užitečné pro testovací nasazení. Přiřaďte prostředkům smysluplné názvy a zjednodušte tak vyhledání konkrétních prostředků a pochopení jejich rolí. Další informace najdete v tématu Doporučené zásady vytváření názvů pro prostředky Azure.

Virtuální počítač

Virtuální počítač můžete zřídit ze seznamu publikovaných imagí nebo ze souboru vlastní spravované image nebo virtuálního pevného disku (VHD) nahraného do úložiště objektů blob služby Azure Stack Hub.

Azure Stack Hub nabízí různé velikosti virtuálních počítačů z Azure. Další informace najdete v tématu Velikosti virtuálních počítačů ve službě Azure Stack Hub. Pokud přesouváte existující úlohu do služby Azure Stack Hub, začněte velikostí virtuálního počítače, která nejblíže odpovídá vašim místním serverům nebo Azure. Pak změřte výkon skutečné úlohy z hlediska procesoru, paměti a vstupně-výstupních operací disku za sekundu (IOPS) a podle potřeby upravte velikost.

Disky

Náklady závisí na kapacitě zřízeného disku. IOPS a propustnost (tj. rychlost přenosu dat) závisí na velikosti virtuálního počítače, takže při zřizování disku zvažte všechny tři faktory (kapacita, IOPS a propustnost).

IOPS disku (vstupně-výstupní operace za sekundu) ve službě Azure Stack Hub je funkce velikosti virtuálního počítače místo typu disku. To znamená, že pro virtuální počítač řady Standard_Fs bez ohledu na to, jestli jako typ disku zvolíte SSD nebo HDD, je limit IOPS pro jeden další datový disk 2300 IOPS. Uložený limit IOPS je limit (maximální možný), aby se zabránilo hlučným sousedům. Nejedná se o záruku IOPS, že získáte konkrétní velikost virtuálního počítače.

Doporučujeme také použít Spravované disky. Spravované disky zjednodušují správu disků tím, že úložiště zvládnou za vás. Spravované disky nevyžadují účet úložiště. Jednoduše zadáte velikost a typ disku a disk se potom nasadí jako prostředek s vysokou dostupností.

Disk s operačním systémem je virtuální pevný disk uložený v úložišti objektů blob služby Azure Stack Hub, takže se zachová i v případě, že je hostitelský počítač mimo provoz. Doporučujeme také vytvořit jeden nebo více datových disků, což jsou trvalé virtuální pevné disky používané pro data aplikací. Pokud je to možné, instalujte aplikace na datový disk, nikoli na disk operačního systému. U některých starších aplikací může být potřeba nainstalovat komponenty na jednotku C:; v takovém případě můžete s použitím PowerShellu změnit velikost disku operačního systému.

Virtuální počítač se také vytvoří s dočasným diskem (jednotka D: ve Windows). Tento disk je uložený na dočasném svazku v infrastruktuře úložiště služby Azure Stack Hub. Může se odstranit během restartování a dalších událostí životního cyklu virtuálního počítače. Tento disk používejte jenom pro dočasná data, jako jsou stránkovací nebo odkládací soubory.

Síť

Součástí síťových komponent jsou následující prostředky:

  • Virtuální síť: Každý virtuální počítač je nasazený ve virtuální síti, kterou je možné segmentovat do několika podsítí.

  • Síťové rozhraní( NIC) Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s virtuální sítí. Pokud pro virtuální počítač potřebujete více síťových karet, mějte na paměti, že pro každou velikost virtuálního počítače je definovaný maximální počet síťových karet.

  • Veřejná IP adresa nebo virtuální IP adresa. Ke komunikaci s virtuálním počítačem je potřeba veřejná IP adresa – například přes vzdálenou plochu (RDP). Veřejná IP adresa může být dynamická nebo statická. Ve výchozím nastavení je dynamická.

  • Zarezervujte si statickou IP adresu , pokud potřebujete pevnou IP adresu, která se nezmění – například pokud potřebujete vytvořit záznam DNS A nebo přidat IP adresu do seznamu bezpečných ip adres.

  • Pro IP adresu můžete také vytvořit plně kvalifikovaný název domény (FQDN). Potom můžete v DNS zaregistrovat záznam CNAME, který na tento plně kvalifikovaný název odkazuje. Další informace najdete v tématu Vytvoření plně kvalifikovaného názvu domény v Azure Portal.

  • Skupina zabezpečení sítě (NSG) Skupiny zabezpečení sítě se používají k povolení nebo odepření síťového provozu do virtuálních počítačů. Skupiny zabezpečení sítě je možné přidružit k podsítím nebo k jednotlivým instancím virtuálních počítačů.

Každá skupina zabezpečení sítě obsahuje sadu výchozích pravidel, včetně pravidla, které blokuje veškerou příchozí internetovou komunikaci. Výchozí pravidla nejde odstranit, ale ostatní pravidla je mohou potlačit. Pokud chcete povolit internetový provoz, vytvořte pravidla, která povolují příchozí provoz na konkrétních portech – například port 80 pro protokol HTTP. Pokud chcete povolit RDP, přidejte pravidlo NSG, které povoluje příchozí přenosy na TCP port 3389.

Operace

Diagnostika. Povolte monitorování a diagnostiku, včetně základních metrik stavu, diagnostických protokolů infrastruktury a diagnostiky spouštění. Diagnostika spouštění vám pomůže zjistit chyby spouštění, pokud se virtuální počítač dostane do stavu, kdy ho nebude možné spustit. Vytvořte účet Azure Storage pro ukládání protokolů. Pro diagnostické protokoly stačí standardní účet místně redundantního úložiště (LRS). Další informace najdete v tématu Povolení monitorování a diagnostiky.

Dostupnost: Váš virtuální počítač může být restartován z důvodu plánované údržby naplánované operátorem služby Azure Stack Hub. Pro zajištění vysoké dostupnosti produkčního systému s více virtuálními počítači v Azure se virtuální počítače umístí do skupiny dostupnosti , která je rozdělí do několika domén selhání a aktualizačních domén. V menším měřítku služby Azure Stack Hub se doména selhání ve skupině dostupnosti definuje jako jeden uzel v jednotce škálování.

I když je infrastruktura služby Azure Stack Hub už odolná vůči selháním, základní technologie (clustering s podporou převzetí služeb při selhání) stále způsobuje výpadky virtuálních počítačů na ovlivněných fyzických serverech, pokud dojde k selhání hardwaru. Azure Stack Hub podporuje skupinu dostupnosti s maximálně třemi doménami selhání, aby byla konzistentní s Azure.

Domény selhání

Virtuální počítače umístěné ve skupině dostupnosti budou od sebe fyzicky izolované tak, že je rozloží co nejrovnoměrněji do několika domén selhání (uzly Azure Stack Hub). Pokud dojde k selhání hardwaru, virtuální počítače z domény selhání, které selhaly, se restartují v jiných doménách selhání. Budou se uchovávat v oddělených doménách selhání od ostatních virtuálních počítačů, ale pokud je to možné, ve stejné skupině dostupnosti. Jakmile se hardware vrátí do online režimu, virtuální počítače budou znovu vyváženy, aby se zachovala vysoká dostupnost.

Aktualizační domény

Aktualizační domény jsou dalším způsobem, jak Azure poskytuje vysokou dostupnost ve skupinách dostupnosti. Aktualizační doména je logická skupina základního hardwaru, která může současně procházet údržbou. Virtuální počítače umístěné ve stejné aktualizační doméně se během plánované údržby společně restartují. Když tenanti vytvářejí virtuální počítače v rámci skupiny dostupnosti, platforma Azure je automaticky distribuuje mezi tyto aktualizační domény.

Ve službě Azure Stack Hub se virtuální počítače za provozu migrují mezi ostatními online hostiteli v clusteru před aktualizací jejich základního hostitele. Vzhledem k tomu, že během aktualizace hostitele nedochází k výpadkům tenanta, funkce aktualizační domény ve službě Azure Stack Hub existuje pouze kvůli kompatibilitě šablon s Azure. Virtuální počítače ve skupině dostupnosti se na portálu zobrazí jako číslo aktualizační domény 0.

Zálohy Doporučení k ochraně virtuálních počítačů IaaS ve službě Azure Stack Hub najdete v tématu Ochrana virtuálních počítačů nasazených ve službě Azure Stack Hub.

Zastavení virtuálního počítače Azure rozlišuje mezi tím, když je virtuální počítač zastavený a když má zrušené přidělení. Když se virtuální počítač v zastaveném stavu, fakturuje se vám, ale když má zrušené přidělení, tak ne. Na portálu Azure Stack Hub tlačítko Zastavit zruší přidělení virtuálního počítače. Pokud virtuální počítač vypnete pomocí operačního systému, když jste přihlášení, zastaví se, ale neuvolní, takže se vám bude nadále účtovat.

Odstranění virtuálního počítače Pokud odstraníte virtuální počítač, disky virtuálního počítače se neodstraní. To znamená, že virtuální počítač můžete bezpečně odstranit bez obav ze ztráty dat. Bude se vám ale účtovat poplatek za úložiště. Pokud chcete disk virtuálního počítače odstranit, odstraňte objekt spravovaného disku. Pokud chcete zabránit neúmyslnému odstranění, použijte zámek prostředku a uzamkněte celou skupinu prostředků nebo jenom vybrané prostředky, jako je třeba virtuální počítač.

Důležité informace o zabezpečení

Připojte virtuální počítače k Azure Security Center, abyste získali centrální přehled o stavu zabezpečení vašich prostředků Azure. Security Center monitoruje potenciální potíže se zabezpečením a poskytuje ucelený přehled o stavu zabezpečení vašeho nasazení. Služba Security Center se konfiguruje na základě předplatného Azure. Povolte shromažďování dat zabezpečení, jak je popsáno v tématu Nasazení předplatného Azure do služby Security Center Standard. Když je povolené shromažďování dat, Security Center automaticky prohledává všechny virtuální počítače vytvořené v rámci příslušného předplatného.

Správa oprav. Informace o konfiguraci správy oprav na virtuálním počítači najdete v tomto článku. Pokud je povolené centrum Security Center, kontroluje, jestli nechybí žádné aktualizace zabezpečení a důležité aktualizace. K povolení automatických aktualizací systému použijte nastavení zásad skupiny na virtuálním počítači.

Antimalware. Pokud je povolené centrum Security Center, kontroluje, jestli je nainstalovaný software ochrany před malwarem. Security Center můžete použít také k instalaci antimalwarového softwaru z portálu Azure Portal.

Řízení přístupu. Řízení přístupu k prostředkům Azure pomocí řízení přístupu na základě role (RBAC). RBAC umožňuje přiřazovat autorizační role jednotlivým členům vaše týmu DevOps. Třeba role čtenáře může zobrazovat prostředky Azure, ale nemůže je vytvářet, spravovat ani odstraňovat. Některá oprávnění jsou specifická pro typ prostředku Azure. Třeba role Přispěvatel virtuálních počítačů může restartovat nebo zrušit přidělení virtuálního počítače, resetovat heslo správce, vytvořit nový virtuální počítač a tak dále. Mezi další předdefinované role RBAC, které můžou být užitečné pro tuto referenční architekturu, patří role Uživatel služby DevTest Labs a Přispěvatel sítě.

Poznámka

RBAC neomezuje akce, které může uživatel přihlášený k virtuálnímu počítači provést. Tato oprávnění určuje typ účtu v hostovaném operačním systému.

Protokoly auditu. Pomocí protokolů aktivit můžete zobrazit akce zřizování a další události virtuálních počítačů.

Šifrování dat: Azure Stack Hub používá 128bitové šifrování AES nástrojem BitLocker k ochraně neaktivních uložených dat uživatelů a infrastruktury v subsystému úložiště. Další informace najdete v tématu Šifrování neaktivních uložených dat ve službě Azure Stack Hub.

Další kroky