Azure 虚拟机是一种计算服务,可用于在 Azure 平台上创建和运行虚拟机(VM)。 它在不同的 SKU、操作系统和配置中,通过各种计费模型提供了灵活性。
本文假设作为架构师,你已查看 计算决策树 ,并选择虚拟机作为工作负荷的计算服务。 本文中的指南提供了与 Azure Well-Architected 框架支柱原则相对应的架构建议。
重要
如何使用本指南
每个部分都有一个 设计清单,该清单提供关注的体系结构区域以及本地化为技术范围的设计策略。
还包括有关有助于具体化这些策略的技术功能 的建议 。 这些建议并不表示可用于虚拟机及其依赖项的所有配置的详尽列表。 而是列出与设计视角相匹配的关键建议。 使用建议生成概念证明或优化现有环境。
演示关键建议的基础体系结构: 虚拟机基线体系结构。
技术范围
此次审查重点分析以下 Azure 资源的相关决策:
虚拟机
Azure 虚拟机规模集
虽然本文档未详细说明,但磁盘是基于 VM 的体系结构的关键依赖项。 有关详细信息,请参阅 磁盘和优化。
可靠性
可靠性支柱的目的是通过 建立足够的复原能力和从故障快速恢复来提供持续的功能。
可靠性设计原则 为各个组件、系统流和整个系统提供高级设计策略。
设计清单
根据可靠性设计审查清单开始策略设计。 确定其与业务需求的相关性,同时记住 VM 及其依赖项的 SKU 和功能。 扩展策略以根据需要包含更多方法。
查看可能构成设计限制的虚拟机配额和限制。 VM 具有特定的限制和配额,这些限制和配额因 VM 或区域类型而异。 可能存在订阅限制,例如每个订阅的 VM 数或每个 VM 的核心数。 如果其他工作负载共享您的订阅,那么您的数据使用能力可能会受到影响。 检查 VM、 虚拟机规模集和 托管磁盘的限制。
执行故障模式分析 ,通过分析 VM 与网络和存储组件的交互来最大程度地减少故障点。 选择临时操作系统(OS)磁盘等配置,以实现磁盘访问本地化并避免不必要的网络跳转。 添加负载均衡器,通过跨多个 VM 分配网络流量来增强自我保护,从而提高可用性和可靠性。
根据 Azure 服务级别协议(SLA)计算复合服务级别目标(SLO)。 确保 SLO 不高于 Azure SLA ,以避免不切实际的期望和潜在问题。
请注意依赖项引入的复杂性。 例如,某些依赖项(如虚拟网络和网络接口卡(NIC)没有自己的 SLA。 其他依赖项(例如关联的数据磁盘)具有与 VM SLA 集成的 SLA。 应考虑这些变体,因为它们可能会影响 VM 性能和可靠性。
考虑 VM 在磁盘和网络组件等组件上的关键依赖关系。 如果了解这些关系,则可以确定影响可靠性的关键流。
创建状态隔离。 工作负荷数据应位于单独的数据磁盘上,以防止干扰 OS 磁盘。 如果 VM 失败,则可以使用相同的数据磁盘创建新的 OS 磁盘,以确保复原能力和故障隔离。 有关详细信息,请参阅 临时 OS 磁盘。
使 VM 及其依赖项跨区域冗余。 如果 VM 失败,工作负荷应继续正常运行,因为冗余。 在冗余选项中包含依赖项。 例如,使用磁盘可用的内置冗余选项。 使用区域冗余 IP 来确保数据可用性和高运行时间。
准备好纵向扩展和横向扩展 ,以防止服务级别下降并避免故障。 虚拟机规模集 具有自动缩放功能,可根据需要创建新实例,并在多个 VM 和可用性区域之间分配负载。
浏览自动恢复选项。 Azure 支持 VM 的运行状况降级监视和自我修复功能。 例如,规模集提供 自动实例修复。 在更高级的方案中,自我修复涉及到使用 Azure Site Recovery、配置可故障转移到的被动备用节点,或从基础结构即代码 (IaC) 重新部署。 你选择的方法应符合业务要求和组织运营。 有关详细信息,请参阅 VM 服务中断。
对 VM 及其依赖项进行权限化。 了解 VM 的预期工作,以确保其配置不过小,并且可以处理最大负载。 提供额外的容量来缓解故障。
创建全面的灾难恢复计划。 灾难准备包括制定全面的计划,并决定恢复技术。
依赖项和有状态组件(如附加存储)可能会使恢复复杂化。 如果磁盘出现故障,则该故障会影响 VM 的功能。 在恢复计划中包括这些依赖项的明确过程。
严格执行操作。 必须以监视、生产环境中的复原能力测试、自动化应用程序 VM 修补和升级以及部署一致性等原则为基础的有效操作来支持可靠性设计选择。 有关操作指南,请参阅 卓越运营。
建议
| 建议 | 益处 |
|---|---|
| (规模集)使用灵活业务流程模式下的虚拟机规模集部署 VM。 | 为您的应用程序提供未来扩展的保障,并利用高可用性保证,将虚拟机分散到区域或可用性区内的容错域中。 |
| (VM) 实施运行状况终结点,以发出 VM 上的实例运行状况信息。 (规模集)通过指定首选修复操作,在规模集上启用自动修复。 请考虑设置一个时间范围,在此期间,如果 VM 的状态发生更改,自动修复将暂停。 |
即使某个实例被认为不正常,也要保持其可用性。 自动修复通过替换故障实例来启动恢复。 设置时间窗口可以防止无意或过早的修复操作。 |
| (规模集)在规模集上启用超量预配。 | 过度预配可减少部署时间,并具有成本优势,因为不会收取额外的 VM 费用。 |
| (规模集)使用备用池预先分配实例 | 备用池实例保持休眠状态,但已准备好在发生故障时接管工作负荷,从而提高系统的可靠性。 |
| (规模集)允许灵活编排将 VM 实例分散 到尽可能多的容错域。 | 此选项隔离容错域。 在维护期间,在更新一个容错域时,VM 实例在其他容错域中可用。 |
| (规模集)在规模集上跨可用性区域部署。 在每个区域中至少设置两个实例。 区域平衡 将实例均匀分布到各个区域。 |
VM 实例预配到每个 Azure 区域中的物理独立位置,这些位置可以容忍本地故障。 请记住,根据资源可用性,区域间实例数可能不均衡。 区域均衡通过确保一个区域出现故障时,其他区域拥有足够的实例,从而支持可用性。 每个区域中的两个实例在升级期间提供缓冲区。 |
| (规模集)为了增强服务运行时间,同时控制升级的成本影响,请启用 MaxSurge | 将使用最新的规模模型分批创建新实例。 新实例正常后,旧实例将分批删除。 这将持续到所有实例更新,确保更新期间不会停机。 |
| (虚拟机)利用 容量预留功能。 | 容量保留供你使用,可在适用的 SLA 范围内使用。 当不再需要容量预留时,可以删除容量预留,并且计费基于使用情况。 |
安全
安全支柱的目的是为工作负荷提供 保密性、完整性和可用性 保证。
安全设计原则通过对虚拟机的技术设计应用方法,为实现这些目标提供了高级设计策略。
设计清单
根据安全性设计评审清单开始制定你的设计策略。 确定漏洞和控制以提高安全态势。 扩展策略以根据需要包含更多方法。
查看 Linux 和 Windows VM 和虚拟机规模集的安全基线。
作为基线技术选择的一部分,请考虑支持工作负荷的 VM SKU 的安全功能。
确保及时和自动化的安全修补和升级。 确保使用定义完善的过程自动推出和验证更新。 使用 Azure 自动化 等解决方案通过进行关键更新来管理 OS 更新和维护安全符合性。
标识保留状态的 VM。 确保根据组织提供的敏感度标签对数据进行分类。 使用安全控制(例如适当级别的静态加密和传输中加密)来保护数据。 如果你有较高的敏感度要求,请考虑使用高安全性控制(如双重加密和 Azure 机密计算)来保护使用中的数据。
通过设置网络边界和访问控制,为 VM 和规模集提供分段。 将 VM 置于共享相同生命周期的资源组中。
对尝试访问 VM 的标识应用访问控制,对访问其他资源的 VM 也应用访问控制。 使用 Microsoft Entra ID 进行身份验证和授权需求。 为您的 VM 及其依赖项(如机密)设置强密码、多重身份验证和基于角色的访问控制(RBAC),以允许获授权的身份仅执行其角色所预期的操作。
使用 Microsoft Entra 条件访问根据条件限制资源访问。 根据特定条件下的持续时间和最小必要权限集定义策略。
使用网络控制来限制入口和出口流量。 隔离 Azure 虚拟网络中的 VM 和规模集,并定义网络安全组以筛选流量。 防范分布式拒绝服务(DDoS)攻击。 使用负载均衡器和防火墙规则来防范恶意流量和数据外泄攻击。
使用 Azure Bastion 提供与虚拟机的安全连接,用于操作访问。
VM 与平台即服务 (PaaS) 解决方案之间的通信应通过专用终结点进行。
通过强化 OS 映像并删除未使用的组件来减少攻击面。 使用较小的图像并删除运行负载不需要的二进制文件。 通过删除不需要的默认帐户和端口等功能来加强 VM 配置。
保护机密 ,例如需要保护传输中的数据的证书。 请考虑使用适用于 Windows 或 Linux 的 Azure Key Vault 扩展来自动刷新密钥保管库中存储的证书。 当它检测到证书中的更改时,扩展将检索并安装相应的证书。
威胁检测。 监视 VM 中的威胁和配置错误。 使用 Defender for Servers 捕获 VM 和 OS 更改,并维护访问、新帐户和权限更改的审核线索。
威胁防护。 通过实施防火墙、防病毒软件和入侵检测系统等安全控制来防范恶意软件攻击和恶意参与者。 确定是否需要受信任的执行环境(TEE)。
建议
| 建议 | 益处 |
|---|---|
| (缩放集)为缩放集分配托管标识。 规模集中的所有 VM 通过指定的 VM 配置文件获取相同的标识。 (VM) 还可以在创建 VM 时为各个 VM 分配托管标识,然后根据需要将其添加到规模集。 |
当 VM 与其他资源通信时,它们会跨越信任边界。 规模集和虚拟机在允许通信之前应验证其身份。 Microsoft Entra ID 使用托管标识处理身份验证。 |
| (规模集)选择具有安全功能的 VM SKU。 例如,某些 SKU 支持 BitLocker 加密,而机密计算可以对正在使用中的数据进行加密。 查看这些功能以了解这些限制。 |
Azure 提供的功能基于跨多个租户捕获的信号,可以比自定义控件更好地保护资源。 还可以使用策略来强制实施这些控件。 |
| (VM、规模集)在预配的资源中应用组织建议的标记。 | 标记 是细分和组织资源的常见方法,在事件管理期间可能至关重要。 有关详细信息,请参阅 命名和标记的目的。 |
| (VM、规模集)设置安全配置文件,其中包含你想要在 VM 配置中启用的安全功能。 例如,在配置文件中指定 主机加密 时,存储在 VM 主机上的数据会静态加密,流会加密到存储服务。 |
创建 VM 时,会自动启用安全配置文件中的功能。 有关详细信息,请参阅 虚拟机规模集的 Azure 安全基线。 |
| (VM)为 VM 的网络配置文件 选择安全网络选项 。 不要将公共 IP 地址直接关联到 VM,并且不启用 IP 转发。 确保所有虚拟网络接口都有关联的网络安全组。 |
可以在网络配置文件中设置分段控制。 攻击者扫描公共 IP 地址,使 VM 容易受到威胁的攻击。 |
| (VM)为 VM 的 存储配置文件选择安全存储选项 。 默认启用磁盘加密和数据静态加密。 禁用对 VM 磁盘的公共网络访问。 |
禁用公共网络访问有助于防止未经授权访问数据和资源。 |
| (VM、规模集)在 VM 中包含扩展以防御威胁。 例如 - 适用于 Windows 和 Linux 的密钥保管库扩展 - Microsoft Entra ID 身份验证 - Microsoft适用于 Azure 云服务和虚拟机的反恶意软件 - 适用于 Windows 和 Linux 的 Azure 磁盘加密扩展。 |
这些扩展用于使用正确的软件启动 VM,以保护对 VM 的访问或从 VM 进行的访问。 Microsoft提供的扩展经常更新,以跟上不断发展的安全标准。 |
成本优化
成本优化侧重于 检测支出模式、优先考虑关键领域的投资,以及优化其他 以满足组织预算,同时满足业务需求。
成本优化设计原则为实现这些目标提供高级设计策略,并在与虚拟机及其环境相关的技术设计中根据需要进行权衡。
设计清单
根据投资的成本优化设计评审核对清单开始实施您的设计策略。 微调设计,使工作负荷与为工作负荷分配的预算保持一致。 设计应使用正确的 Azure 功能,监视投资,并查找随时间推移进行优化的机会。
估算实际成本。 使用 定价计算器 估算 VM 的成本。 使用 VM 选择器确定工作负荷的最佳 VM。 有关详细信息,请参阅 Linux 和 Windows 定价。
实现成本防护措施。 使用治理策略来限制资源类型、配置和位置。 使用 RBAC 阻止可能导致财务超支的操作。
选择正确的资源。 选择 VM 计划大小和 SKU 将直接影响总体成本。 根据工作负荷特征选择 VM。 工作负载是否消耗大量 CPU 资源,或者是否运行可中断的进程? 每个 SKU 都有影响总体成本的关联磁盘选项。
为依赖资源选择适当的功能。 使用具有预留容量的 Azure 备份存储节省保管库标准层的备份存储成本。 当你承诺预订一年或三年时,它会提供折扣。
Azure 存储中的存档层是一个脱机层,它已针对存储很少访问的 Blob 数据进行优化。 存档层提供最低的存储成本,但与热和冷联机层相比,数据检索成本和延迟更高。
请考虑使用 区域到区域灾难恢复 ,使 VM 从站点故障中恢复,同时使用区域冗余服务降低可用性的复杂性。 降低运营复杂性可带来成本收益。
选择正确的计费模型。 根据工作负荷的业务需求评估基于承诺的计算模型是否优化成本。 请考虑以下 Azure 选项:
- Azure 预留:与基于消耗的定价相比,为可预测的工作负载预付费以降低成本。
重要
购买预留实例,以降低使用量较为稳定的工作负载的 Azure 成本。 管理使用情况,以确保不会为使用的更多资源付费。 保持预留实例简单,并降低管理开销,以降低成本。
- 节省计划:如果你承诺在计算服务上花费固定的小时金额一三年,则此计划可以降低成本。
- Azure 混合权益:将本地 VM 迁移到 Azure 时保存。
- Azure 预留:与基于消耗的定价相比,为可预测的工作负载预付费以降低成本。
监视使用情况。 持续监视使用模式,并检测未使用或未充分利用的 VM。 对于这些实例,在 VM 实例未使用时关闭 VM 实例。 监视是卓越运营的关键方法。 有关详细信息,请参阅 卓越运营中的建议。
查找优化方法。 一些策略包括选择在现有系统中增加资源、纵向扩展以及添加更多系统实例或横向扩展之间最经济高效的方法。可以通过将其分发到其他资源来卸载需求,也可以通过实现优先级队列、网关卸载、缓冲和速率限制来减少需求。 有关详细信息,请参阅 性能效率中的建议。
建议
| 建议 | 益处 |
|---|---|
| (VM、规模集)选择合适的 VM 计划大小和 SKU。 确定工作负荷的最佳 VM 大小 。 使用 VM 选择器确定最适合工作负荷的 VM。 请参阅 Windows 和 Linux 定价。 对于可以容忍某些中断的高并行批处理作业等工作负载,请考虑使用 Azure Spot 虚拟机。 现成虚拟机非常适合试验、开发和测试大规模解决方案。 |
SKU 是根据其提供的功能来定价的。 如果不需要高级功能,请不要在 SKU 上超支。 现成虚拟机以较低的成本利用 Azure 中的富余容量。 |
| (规模集)将常规 VM 与现成虚拟机搭配使用。 灵活的业务流程使你可以根据指定的百分比 分配现成虚拟机 。 |
通过应用现成虚拟机的大幅折扣来降低计算基础结构成本。 |
| (规模集) 减少需求减少时的 VM 实例数。 根据条件设置横向缩减策略。 |
在不使用资源时进行横向缩减可减少规模集中运行的 VM 数量,从而节省成本。 |
| 在非工作时间停止虚拟机。 可以使用 Azure 自动化启动/停止功能 并根据业务需求对其进行配置。 | 启动/停止功能是一种低成本的自动化选项,可对空闲实例成本产生重大影响。 |
| (VMs) 使用 Azure Boost 释放 CPU 资源 | 卸载后端虚拟化进程可释放来宾虚拟机的 CPU 资源,从而提高性能。 Azure Boost 仅在选择 VM 上可用,因此请确保还 选择启用了 Azure Boost 的 VM 大小。 |
| (VM、规模集)利用 Azure 混合权益实现许可移动性。 VM 有一个许可选项,可用于将自己的本地 Windows Server OS 许可证 引入 Azure。 Azure 混合权益还允许将某些 Linux 订阅引入 Azure。 |
可以最大化本地许可证,同时获得云的优势。 |
卓越运营
卓越运营主要侧重于 开发实践、可观测性和发布管理的各个过程。
卓越运营设计原则 提供了一个高级设计策略,用于实现这些运营需求目标。
设计清单
根据 针对卓越运营的设计评审清单 启动设计策略,以定义与虚拟机和规模集相关的可观测性、测试和部署过程。
监视 VM 实例。 从 VM 实例收集日志和指标,以监视资源使用情况并测量实例的运行状况。 一些常见 指标 包括 CPU 使用率、请求数和输入/输出(I/O)延迟。 设置 Azure Monitor 警报 ,以收到有关问题的通知,并检测环境中的配置更改。
监视 VM 及其依赖项的运行状况。
- 部署监视组件以收集日志和指标,以便全面查看 VM、来宾 OS 和启动诊断数据。 虚拟机规模集汇总遥测数据,使你可以在单个 VM 级别或以聚合形式查看运行状况指标。 使用 Azure Monitor 查看每个 VM 或跨多个 VM 聚合的此数据。 有关详细信息,请参阅 有关监视代理的建议。
- 利用具有检查 VM 运行状况功能的网络组件。 例如,Azure 负载均衡器会 ping VM 以检测不正常的 VM 并相应地重新路由流量。
- 设置 Azure Monitor 警报规则。 确定监视数据中的重要条件,以在影响系统之前识别和解决问题。
创建一个维护计划,该计划 将系统定期更新作为日常操作的一部分。 包括可以立即应用补丁的紧急流程。 可以有自定义进程来管理修补或部分将任务委托给 Azure。 Azure 为单个 VM 维护提供功能。 可以设置维护时段,以最大程度地减少更新期间的中断。 在平台更新期间,故障域的考虑是实现弹性的关键。 建议在一个区域中部署至少两个实例。 在每个区域配置两个 VM 可以保证每个区域至少有一个 VM,因为一个区域内每次只更新一个容错域。 因此,对于三个区域,至少需要预配六个实例。
自动执行启动、运行脚本和配置 VM 的过程。 可以使用扩展或自定义脚本自动执行进程。 我们建议使用以下选项:
Key Vault VM 扩展会自动刷新存储在密钥保管库中的证书。
适用于 Windows 和 Linux 的 Azure 自定义脚本扩展 在虚拟机上下载并运行脚本。 使用此扩展进行部署后配置、软件安装或其他任何配置或管理任务。
使用 cloud-init 为基于 Linux 的 VM 设置启动环境。
具有安装自动更新的过程。 请考虑使用 自动 VM 客户修补 以便及时部署关键修补程序和安全修补程序。 使用 Azure 更新管理器 管理 Azure 中 Windows 和 Linux 虚拟机的 OS 更新。
生成一个 与生产环境紧密匹配的测试环境,以在将更新和更改部署到生产环境之前对其进行测试。 制定流程来测试安全更新、性能基线和可靠性故障。 利用 Azure Chaos Studio 故障库注入和模拟错误条件。 有关详细信息,请参阅 Azure Chaos Studio 故障和操作库。
管理配额。 规划工作负荷所需的配额级别,并在工作负荷发展时定期查看该级别。 如果需要增加或减少配额, 请尽早请求这些更改。
建议
| 建议 | 益处 |
|---|---|
| (规模集)灵活业务流程模式下的虚拟机规模集有助于简化工作负荷的部署和管理。 例如,您可以通过使用自动修复来轻松管理自愈过程。 | 灵活的业务流程可以大规模管理 VM 实例。 处理单个 VM 会增加运营开销。 例如,删除 VM 实例时,也会自动删除关联的磁盘和 NIC。 VM 实例分布在多个故障域中,以便更新操作不会中断服务。 |
| (规模集)通过设置升级策略,使 VM 保持最新状态。 建议滚动升级。 但是,如果需要精细控制,请选择手动升级。 对于灵活的编排,可以使用 Azure Update Manager。 |
安全性是升级的主要原因。 实例的安全保证不应随着时间推移而减弱。 滚动升级是分批完成的,这可确保所有实例不会同时关闭。 |
| (VM、规模集)通过在配置文件中定义应用程序,自动从 Azure Compute Gallery 部署 VM 应用程序。 | 在规模集中创建 VM 并预装指定的应用,使管理变得更加容易。 |
| 在启动过程中安装预生成的软件组件作为扩展。 Azure 支持许多扩展,这些扩展可用于配置、监视、保护 VM 并提供实用工具应用程序。 对扩展启用自动升级。 |
扩展有助于大规模简化软件安装,而无需在每个 VM 上手动安装、配置或升级软件。 |
| (VM、规模集) 监视和度量 VM 实例的运行状况。 将 Monitor 代理 扩展部署到 VM,以使用特定于 OS 的 数据收集规则从来宾 OS 收集监视数据。 使 VM 见解 能够监视运行状况和性能,以及查看收集的数据的趋势。 使用 启动诊断 在 VM 启动时获取信息。 启动诊断还可以诊断启动失败的原因。 |
监视数据是事件解决的核心。 全面的监视堆栈提供有关 VM 的性能及其运行状况的信息。 通过持续监视实例,可以准备或防止故障,例如性能重载和可靠性问题。 |
性能效率
性能效率就是通过管理容量来保持用户体验,即使负载增加也不例外。 该策略包括缩放资源、识别和优化潜在瓶颈,以及优化峰值性能。
性能效率设计原则 提供了一个高级设计策略,用于根据预期使用量实现这些容量目标。
设计清单
根据性能效率设计审查清单开始策略设计。 定义基于虚拟机和规模集的关键绩效指标的基线。
定义性能目标。 确定 VM 指标,以跟踪和衡量性能指标作为响应时间、CPU 利用率和内存利用率,以及工作负荷指标,例如每秒事务、并发用户以及可用性和运行状况。
在容量规划中考虑 VM、规模集和磁盘配置的性能配置文件。 每个 SKU 具有不同的内存和 CPU 配置文件,其行为因工作负荷类型而异。 执行试点和概念证明,以了解特定工作负荷下的性能行为。
VM 性能优化。 根据工作负荷需求利用性能优化和增强功能。 例如,使用本地附加的非易失性内存 Express(NVMe)实现高性能用例和加速网络,并使用高级 SSD v2 提高性能和可伸缩性。
考虑依赖服务。 与 VM 交互的工作负荷依赖项(如缓存、网络流量和内容分发网络)可能会影响性能。 此外,请考虑地理分布,如时区和地区,这可能会增加网络延迟。
收集性能数据。 请遵循 卓越运营最佳做法 来监视系统,并部署合适的扩展组件,以便查看与性能指标相关的追踪数据。
邻近放置组。 在需要低延迟的工作负荷中使用 邻近放置组 ,以确保 VM 在物理上彼此靠近。
建议
| 建议 | 益处 |
|---|---|
| (VM、规模集)为 VM 选择符合容量规划的 SKU。 充分了解工作负荷要求,包括核心数、内存、存储和网络带宽,以便筛选出不适合的 SKU。 |
对 VM 进行权利化是一个影响工作负荷性能的基本决策。 如果没有正确的 VM 集,可能会遇到性能问题并产生不必要的成本。 |
| (VM、规模集)在邻近放置组中部署延迟敏感型工作负载 VM。 | 邻近放置组可减少 Azure 计算资源之间的物理距离,这可以提高性能,并减少独立 VM、多个可用性集中的 VM 或多个规模集中的 VM 之间的网络延迟。 |
| (虚拟机)请考虑启用 加速网络。 | 它为 VM 启用单根 I/O 虚拟化(SR-IOV),这极大地提高了其网络性能。 |
| (VM、规模集) 设置自动缩放规则 以按需增加或减少规模集中的 VM 实例数。 | 如果应用程序需求提高,规模集中 VM 实例上的负载将会增大。 自动缩放规则可确保有足够的资源来满足需求。 |
Azure 策略
Azure 提供了各种内置策略,可帮助管理虚拟机和相关依赖项。 这些策略可用于审核环境的各个方面,以确保符合最佳做法和组织标准。
设计清单
首先,根据以下 Azure 政策准则检查虚拟机和相关组件的环境。
在主机启用加密。 确保在主机级别启用加密,以确保 VM 数据的额外安全性。
部署反恶意软件扩展。 验证是否在运行 Windows Server 的 VM 上部署了反恶意软件扩展,并设置为自动更新以确保持续保护。
启用自动操作系统映像修补。 检查规模集上是否启用了自动 OS 映像修补,确保随时使用安全修补程序更新 VM。
仅安装已批准的 VM 扩展。 审核 VM 上仅安装了已批准的扩展,从而最大程度地降低安全漏洞的风险。
启用监视器和依赖项代理。 确保所有新 VM 上都启用了 Monitor 代理和依赖项代理,以便进行监视和依赖项管理。
限制为允许的 VM SKU。 确认仅部署已批准的 VM SKU,并符合成本约束和资源要求。
使用专用终结点进行磁盘访问。 确保使用专用终结点安全地访问磁盘资源,防止公开到公共网络。
启用漏洞检测。 为 VM 和 Windows 计算机启用漏洞检测,使用 Windows Defender 配置每日扫描等规则以检测潜在威胁。
若要进行全面的治理,请查看 虚拟机的 Azure Policy 内置定义 ,以及可能影响计算层安全性的其他策略。
Azure 顾问服务
Azure 顾问 是一名个性化的云顾问,可帮助你遵循最佳做法来优化 Azure 部署。 下面是一些建议,可帮助你提高虚拟机的可靠性、安全性、成本效益、性能和卓越运营能力。
建议
| 建议 | 益处 |
|---|---|
| 可靠性 | 提高 Azure 资源的运行时间和可用性。 |
| 安全 | 增强 Azure 资源的安全态势,并防范漏洞。 |
| 成本优化 | 优化资源使用情况并降低不必要的 Azure 成本。 |
| 性能 | 提高 Azure 资源的性能,以处理增加的负载并提供更好的用户体验。 |
| 卓越运营 | 简化操作,并确保资源平稳运行而不会受到干扰。 |
后续步骤
将以下文章视为体现本文中所建议内容的参考资料。
- 使用以下参考体系结构作为如何将本文指南应用于工作负荷的示例:
- 单个 VM 体系结构: Linux VM 和 Windows VM
- 侧重于基础结构建议的基础体系结构: 虚拟机基线体系结构
- 使用以下产品文档生成实施专业知识: