Azure運維管理
崗位:微軟雲管理員,對Azure平臺資源的應用、虛擬網絡架構規劃、本地數據中心業務上雲等業務均有涉及,如有需求可隨時聯繫
聯繫QQ:2076405697
郵箱:[email protected]
1 快照管理
1.1 託管磁盤快照管理
1.1.1 使用門戶AzureRM創建快照
- List item
- 登錄到 Azure 門戶。
- 首先在左上角單擊“創建資源”並搜索“快照”。
- 在“快照”邊欄選項卡中,單擊“創建”。
- 輸入快照的 名稱 。
- 選擇現有的資源組,或鍵入新資源組的名稱。
- 選擇 Azure 數據中心“位置”。
- 對於源磁盤,選擇要獲取其快照的託管磁盤。
- 選擇用於存儲快照的“帳戶類型”。 建議使用 Standard_LRS,除非需要將其存儲在高性能磁盤上。
- 單擊“創建”。
注:只能完成託管磁盤的快照創建。
1.1.2 使用 PowerShell 創建快照
演示如何獲取要複製的 VHD 磁盤,如何創建快照配置,以及如何使用 New-AzureRmSnapshot cmdlet 創建磁盤的快照。
環境準備:
- 最新版本的powershell管理工具5.7.0以上AzureRM模塊
- Connect-AzureRmAccount -Environment AzureChinaCloud連接Azure
- 參數設置
$resourceGroupName = ‘myResourceGroup’
$location = ‘chinaeast’
$vmName = ‘myVM’
$snapshotName = ‘mySnapshot’
- 獲取VM
$vm = get-azurermvm -ResourceGroupName $resourceGroupName
-Name $vmName
- 創建快照配置
$snapshot = New-AzureRmSnapshotConfig -SourceUri $vm.StorageProfile.OsDisk.ManagedDisk.Id
-Location $location `
-CreateOption copy
- 創建快照
New-AzureRmSnapshot -Snapshot $snapshot
-SnapshotName $snapshotName `
-ResourceGroupName $resourceGroupName
1.1.3 快照創建VM
實例腳本實現腳本創建,亦可通過AzureRM恢復快照版本OS。
#Provide the subscription Id
$subscriptionId = 'yourSubscriptionId'
#Provide the name of your resource group
$resourceGroupName ='yourResourceGroupName'
#Provide the name of the snapshot that will be used to create OS disk
$snapshotName = 'yourSnapshotName'
#Provide the name of the OS disk that will be created using the snapshot
$osDiskName = 'yourOSDiskName'
#Provide the name of an existing virtual network where virtual machine will be created
$virtualNetworkName = 'yourVNETName'
#Provide the name of the virtual machine
$virtualMachineName = 'yourVMName'
#Provide the size of the virtual machine
#e.g. Standard_DS3
#Get all the vm sizes in a region using below script:
#e.g. Get-AzureRmVMSize -Location chinanorth
$virtualMachineSize = 'Standard_DS3'
#Set the context to the subscription Id where Managed Disk will be created
Select-AzureRmSubscription -SubscriptionId $SubscriptionId
$snapshot = Get-AzureRmSnapshot -ResourceGroupName $resourceGroupName -SnapshotName $snapshotName
$diskConfig = New-AzureRmDiskConfig -AccountType $storageType -Location $snapshot.Location -SourceResourceId $snapshot.Id -CreateOption Copy
$disk = New-AzureRmDisk -Disk $diskConfig -ResourceGroupName $resourceGroupName -DiskName $osDiskName
#Initialize virtual machine configuration
$VirtualMachine = New-AzureRmVMConfig -VMName $virtualMachineName -VMSize $virtualMachineSize
#Use the Managed Disk Resource Id to attach it to the virtual machine. Please change the OS type to linux if OS disk has linux OS
$VirtualMachine = Set-AzureRmVMOSDisk -VM $VirtualMachine -ManagedDiskId $disk.Id -CreateOption Attach -Linux
#Create a public IP for the VM
$publicIp = New-AzureRmPublicIpAddress -Name ($VirtualMachineName.ToLower()+'_ip') -ResourceGroupName $resourceGroupName -Location $snapshot.Location -AllocationMethod Dynamic
#Get the virtual network where virtual machine will be hosted
$vnet = Get-AzureRmVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName
#Create NIC in the first subnet of the virtual network
$nic = New-AzureRmNetworkInterface -Name ($VirtualMachineName.ToLower()+'_nic') -ResourceGroupName $resourceGroupName -Location $snapshot.Location -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $publicIp.Id
$VirtualMachine = Add-AzureRmVMNetworkInterface -VM $VirtualMachine -Id $nic.Id
#Create the virtual machine with Managed Disk
New-AzureRmVM -VM $VirtualMachine -ResourceGroupName $resourceGroupName -Location $snapshot.Location
清理部署
Remove-AzureRmResourceGroup -Name myResourceGroup
腳本說明
命令 說明
Get-AzureRmSnapshot 使用快照名稱獲取快照。
New-AzureRmDiskConfig
創建磁盤配置。 在磁盤創建過程中將使用此配置。
New-AzureRmDisk
創建託管磁盤。
New-AzureRmVMConfig
創建 VM 配置。 此配置包括 VM 名稱、操作系統和管理憑據等信息。 在創建 VM 期間將使用此配置。
Set-AzureRmVMOSDisk
將託管磁盤作爲 OS 磁盤附加到虛擬機
New-AzureRmPublicIpAddress
創建公共 IP 地址。
New-AzureRmNetworkInterface
創建網絡接口。
New-AzureRmVM
創建虛擬機。
Remove-AzureRmResourceGroup
刪除資源組中的所有資源
1.2 非託管磁盤創建快照(創建Blob的快照)
快照是在某個時間點拍攝的blob的只讀版本。創建快照後,可以讀取,複製或刪除快照,但不能修改快照。快照提供了一種備份blob的方法,因爲它在某個時刻出現。
頁blob和snaphot快照具有相同的名稱,僅通過創建時間和VHDurl區分。
通過將快照提升到基本blob的位置,但其源代碼將被一個可以讀取和寫入的副本覆蓋,來還原早期版本的blob。快照仍然存在。
2 VM可用性集
同一個項目中的多個虛擬機建議穿件在同一個可用性集中,防止平臺在維護過程中的單點故障。
如果虛擬機幾乎都是相同的,並且對應用程序的用途是一樣的,我們建議針對每個應用程序層配置可用性集。 如果將兩個不同的層置於同一可用性集中,則同一應用程序層中的所有虛擬機可以同時重啓。 通過在可用性集中爲每個層配置至少兩個虛擬機,可以確保每個層中至少有一個虛擬機可用。
2.1 更新域
對於給定的可用性集,默認情況下會分配五個非用戶可配置的更新域(可以增加 Resource Manager 部署以最多提供 20 個更新域),以指示可同時重新啓動的虛擬機和底層物理硬件組。 在單個可用性集中配置了 5 個以上的虛擬機時,第 6 個虛擬機將放置在第 1 個虛擬機所在的更新域中,第 7 個虛擬機將放置在第 2 個虛擬機所在的更新域中,依此類推。 在計劃內維護期間,更新域的重啓順序可能不會按序進行,但一次只重啓一個更新域。 重啓的更新域有 30 分鐘的時間進行恢復,此時間過後,就會在另一更新域上啓動維護操作。
2.2 容錯域
容錯域定義一組共用一個通用電源和網絡交換機的虛擬機。 默認情況下,在可用性集中配置的虛擬機隔離在 Resource Manager 部署的最多三個容錯域(經典部署的兩個容錯域)中。 雖然將虛擬機置於可用性集中並不能讓應用程序免受特定於操作系統或應用程序的故障的影響,但可以限制潛在物理硬件故障、網絡中斷或電源中斷的影響。
2.3 託管磁盤
通過確保可用性集中的 VM 的磁盤彼此之間完全隔離以避免單點故障,託管磁盤爲可用性集提供了更佳的可靠性。 爲此,會自動將磁盤放置在不同的存儲容錯域(存儲羣集)中,並使它們與 VM 容錯域一致
2.4 非託管磁盤
存儲帳戶中,VM 的虛擬硬盤 (VHD) 以頁 Blob 形式存儲,只要遵循下方最佳做法即可:
- 將與同一 VM 關聯的所有磁盤(OS 和數據)放置在同一存儲帳戶中
- 在向存儲帳戶添加更多 VHD
之前,請查看存儲帳戶中非託管磁盤的數量限制:一塊磁盤的IOPS爲500次/秒,一個存儲賬號的吞吐量爲20000次/秒 - 爲可用性集中的每個 VM 使用單獨的存儲帳戶。 同一可用性集中的多個 VM 不能共享存儲帳戶。 不同可用性集中的 VM
共享存儲帳戶是可以接受的
3 存儲賬號限制說明
3.1 存儲帳戶的可伸縮性目標
| 資源 | 默認限制 |
|---|---|
| 每個區域的存儲帳戶數 | 200 |
| 最大存儲帳戶容量 | 500 TiB |
| 每個存儲帳戶的 Blob 容器、Blob、文件共享、表、隊列、實體或消息數上限 | 無限制 |
| 每個存儲帳戶的最大請求速率 每秒 | 20,000 個請求2 |
| 每個存儲帳戶的最大入口 | 如果已啓用 RA-GRS/GRS,則爲 5 Gbps;對於 LRS4,爲 10 Gbps |
| 每個存儲帳戶的最大出口 | 如果已啓用 RA-GRS/GRS,則爲 10 Gbps;對於 LRS4,爲 15 Gbps |
包括標準存儲帳戶和高級存儲帳戶。 如果需要的存儲帳戶超過 200 個,請通過 Azure 支持提出請求。 Azure 存儲團隊將評審你的業務案例,最多可以批准 250 個存儲帳戶。
如果需要擴大存儲帳戶的限制,請聯繫 Azure 支持。 Azure 存儲團隊會對請求進行審覈,根據具體情況批准提高限制的請求。 通用和 Blob 存儲帳戶請求支持都可按請求提高容量、流入量/流出量和請求速率。 有關 Blob 存儲帳戶的新最大值。
僅受帳戶入口/出口限制的約束。 入口是指發送到存儲帳戶的所有數據(請求)。 “傳出”是指從存儲帳戶接收的所有數據(響應)。
Azure 存儲冗餘選項包括:
• RA-GRS:讀取訪問異地冗餘存儲。 如果已啓用 RA-GRS,輔助位置的出口目標與主要位置的出口目標相同。
• GRS:異地冗餘存儲。
• LRS:本地冗餘存儲。
只使用 Azure 資源管理器執行管理操作時,以下限制適用。
| 資源 | 默認限制 |
|---|---|
| 存儲帳戶管理操作數(讀取) | 每 5 分鐘 800 次 |
| 存儲帳戶管理操作數(寫入) | 每小時 200 次 |
| 存儲帳戶管理操作數(列出) | 每 5 分鐘 100 次 |
3.2 Blob 存儲縮放目標
| 資源 | 目標 |
|---|---|
| 單個 blob 容器的最大大小 | 等同於最大存儲帳戶容量 |
| 塊 Blob 或附加 Blob 中的塊數上限 | 50,000 塊 |
| 塊 Blob 中塊的最大大小 | 100 MiB |
| 塊 Blob 的最大大小 50,000 X 100 MiB | (約 4.75 TiB) |
| 附加 Blob 中塊的最大大小 | 4 MiB |
| 附加 Blob 的最大大小 50,000 x 4 MiB | (約 195 GiB) |
| 頁 Blob 的最大大小 | 8 TiB |
| 每個 blob 容器存儲的訪問策略的最大數目 | 5 |
| 單個 Blob 的目標吞吐量 | 每秒最多 60 MiB,或每秒最多 500 個請求 |
3.3 Azure 文件規模目標
有關 Azure 文件縮放和性能目標的詳細信息
| 資源 | 目標 |
|---|---|
| 文件共享的最大大小 | 5 TiB |
| 文件共享中文件最大大小 | 1 TiB |
| 文件共享中的文件數上限 | 無限制 |
| 每個共享的最大 IOPS | 1000 IOPS |
| 每個文件共享的存儲的訪問策略的最大數目 | 5 |
| 每個存儲帳戶的最大請求速率 | 對於任何有效大小的文件,每秒 20,000 個請求3 |
| 單個文件共享的目標吞吐量 | 最高每秒 60 MiB |
| 每個文件打開圖柄的最大數目 | 2000 個打開圖柄 |
| 共享快照的最大數目 | 200 個共享快照 |
3.4 Azure 隊列存儲縮放目標
| 資源 | 目標 |
|---|---|
| 單個隊列的最大大小 | 500 TiB |
| 隊列中消息的最大大小 | 64 KiB |
| 每個隊列存儲的訪問策略的最大數目 | 5 |
| 每個存儲帳戶的最大請求速率 | 每秒 20,000 條消息,假定消息大小爲 1 KiB |
| 單個隊列的目標吞吐量(1 KiB 消息) | 每秒最多 2000 條消息 |
3.5 Azure 表存儲縮放目標
| 資源 | 目標 |
|---|---|
| 單個表的最大大小 | 500 TiB |
| 表實體的最大大小 | 1 MiB |
| 表實體中屬性的最大數目 | 255(包括 3 個系統屬性:PartitionKey、RowKey 和 Timestamp) |
| 每個表存儲的訪問策略的最大數目 | 5 |
| 每個存儲帳戶的最大請求速率 | 20,000 事務/秒(假定實體大小爲 1 KiB) |
| 單個表分區的目標吞吐量(1 KiB 實體) | 每秒最多 2000 個實體 |
4 磁盤類型
下表針對託管磁盤和非託管磁盤比較了標準 HDD和高級 SSD,方便你確定要使用的具體層。
4.1 標準 HDD 磁盤
標準 HDD 磁盤受 HDD 支持,提供經濟高效的存儲。 標準 HDD 存儲可以在一個數據中心進行本地複製,也可以通過主要數據中心和輔助數據中心實現異地冗餘。
4.2 高級·SSD 磁盤
高級 SSD 磁盤受 SSD 支持,爲運行 I/O 密集型工作負荷的 VM 提供高性能、低延遲的磁盤支持。 通常可以使用其大小在系列名稱中包含“s”的高級 SSD 磁盤。 例如,有 Dv3 系列和 Dsv3 系列,可以將 Dsv3 系列用於高級 SSD 磁盤。
4.3 非託管磁盤
非託管磁盤是 VM 一直使用的傳統類型的磁盤。 有了這些磁盤以後,即可創建自己的存儲帳戶並在創建磁盤時指定該存儲帳戶。 請確保不將太多磁盤置於同一存儲帳戶中,因爲可能會超過存儲帳戶的可伸縮性目標(例如 20,000 IOPS),導致 VM 數受限。 使用非託管磁盤時,必須確定如何最大程度地使用一個或多個存儲帳戶,以便充分利用 VM 的性能。
4.4 託管磁盤
託管磁盤爲用戶在後臺處理存儲帳戶的創建/管理,確保用戶不需擔心存儲帳戶的可伸縮性限制。 用戶只需指定磁盤大小和性能層(標準/高級),Azure 就會自動創建和管理磁盤。 在添加磁盤或者擴展和縮減 VM 時,無需考慮所用的存儲。
用戶還可以按 Azure 區域在一個存儲帳戶中管理自定義映像,並使用這些映像在同一訂閱中創建數百臺 VM。
5 基於角色的訪問控制 (RBAC)
通過所有服務-訂閱、組、Azure active directory對所有資源做權限控制。
Azure AD 是一種基於 REST 的現代化服務,可提供對雲應用程序的標識管理和訪問控制功能。
Azure 訂閱與 Azure Active Directory (Azure AD) 建立了信任關係,即該訂閱信任 Azure AD 對用戶、服務和設備進行身份驗證。
多個訂閱可以信任同一個 Azure AD 目錄,但每個訂閱只能信任一個目錄。
1 使用RBAC和Azure 門戶管理訪問權限:https://docs.azure.cn/zh-cn/role-based-access-control/role-assignments-portal
2 關於RBAC的角色定義:https://docs.azure.cn/zh-cn/role-based-access-control/rbac-and-directory-admin-roles
3 相關的操作實踐:http://www.cnblogs.com/stonehe/p/8581479
5.1 訂閱-角色管理
角色管理-設定用戶角色(所有者,參與者,讀者……)
所有服務-選擇訂閱-訪問控制(IAM)- 選擇“角色”即可看到一個包含所有內置角色和自定義角色的列表
5.2 AzureAD-訪問資源
設定用戶的訪問資源
導航欄-Azure AD –用戶-所有用戶-選擇單個用戶-管理部分選擇Azure資源-添加相應的資源給用戶。
5.3 資源組-角色分配
在“訪問控制(IAM)”(也稱標識和訪問管理)邊欄選項卡上,可以查看誰可以訪問此資源組。 請注意,有些角色的權限範圍已劃歸到此資源,還有一些角色是從另一範圍 (繼承的)。 特定於資源組分配訪問權限,或者從父訂閱的分配繼承訪問權限。
導航欄-選擇資源組-訪問控制-設定可用訪問改資源組的用戶。
5.4 組
通過創建組,完成對資源的權限控制和繼承。
所有服務-組-所有組-新建組、管理組-添加相應的用戶來繼承組的權限。