微软云Azure基础应用

Azure运维管理

岗位：微软云管理员，对Azure平台资源的应用、虚拟网络架构规划、本地数据中心业务上云等业务均有涉及，如有需求可随时联系
联系QQ：2076405697
邮箱：[email protected]

1 快照管理

1.1 托管磁盘快照管理

1.1.1 使用门户AzureRM创建快照

• List item
• 登录到 Azure 门户。
• 首先在左上角单击“创建资源”并搜索“快照”。
• 在“快照”边栏选项卡中，单击“创建”。
• 输入快照的 名称 。
• 选择现有的资源组，或键入新资源组的名称。
• 选择 Azure 数据中心“位置”。
• 对于源磁盘，选择要获取其快照的托管磁盘。
• 选择用于存储快照的“帐户类型”。 建议使用 Standard_LRS，除非需要将其存储在高性能磁盘上。
• 单击“创建”。

注：只能完成托管磁盘的快照创建。

1.1.2 使用 PowerShell 创建快照
演示如何获取要复制的 VHD 磁盘，如何创建快照配置，以及如何使用 New-AzureRmSnapshot cmdlet 创建磁盘的快照。
环境准备：

• 最新版本的powershell管理工具5.7.0以上AzureRM模块
• Connect-AzureRmAccount -Environment AzureChinaCloud连接Azure

1. 参数设置

$resourceGroupName = ‘myResourceGroup’
$location = ‘chinaeast’
$vmName = ‘myVM’
$snapshotName = ‘mySnapshot’

2. 获取VM

$vm = get-azurermvm -ResourceGroupName $resourceGroupName
-Name $vmName

3. 创建快照配置

$snapshot = New-AzureRmSnapshotConfig -SourceUri $vm.StorageProfile.OsDisk.ManagedDisk.Id
-Location $location `
-CreateOption copy

4. 创建快照

New-AzureRmSnapshot -Snapshot $snapshot
-SnapshotName $snapshotName `
-ResourceGroupName $resourceGroupName

1.1.3 快照创建VM
实例脚本实现脚本创建，亦可通过AzureRM恢复快照版本OS。

#Provide the subscription Id
$subscriptionId = 'yourSubscriptionId'

#Provide the name of your resource group
$resourceGroupName ='yourResourceGroupName'

#Provide the name of the snapshot that will be used to create OS disk
$snapshotName = 'yourSnapshotName'

#Provide the name of the OS disk that will be created using the snapshot
$osDiskName = 'yourOSDiskName'

#Provide the name of an existing virtual network where virtual machine will be created
$virtualNetworkName = 'yourVNETName'

#Provide the name of the virtual machine
$virtualMachineName = 'yourVMName'

#Provide the size of the virtual machine
#e.g. Standard_DS3
#Get all the vm sizes in a region using below script:
#e.g. Get-AzureRmVMSize -Location chinanorth
$virtualMachineSize = 'Standard_DS3'

#Set the context to the subscription Id where Managed Disk will be created
Select-AzureRmSubscription -SubscriptionId $SubscriptionId

$snapshot = Get-AzureRmSnapshot -ResourceGroupName $resourceGroupName -SnapshotName $snapshotName 

$diskConfig = New-AzureRmDiskConfig -AccountType $storageType -Location $snapshot.Location -SourceResourceId $snapshot.Id -CreateOption Copy

$disk = New-AzureRmDisk -Disk $diskConfig -ResourceGroupName $resourceGroupName -DiskName $osDiskName

#Initialize virtual machine configuration
$VirtualMachine = New-AzureRmVMConfig -VMName $virtualMachineName -VMSize $virtualMachineSize

#Use the Managed Disk Resource Id to attach it to the virtual machine. Please change the OS type to linux if OS disk has linux OS
$VirtualMachine = Set-AzureRmVMOSDisk -VM $VirtualMachine -ManagedDiskId $disk.Id -CreateOption Attach -Linux

#Create a public IP for the VM  
$publicIp = New-AzureRmPublicIpAddress -Name ($VirtualMachineName.ToLower()+'_ip') -ResourceGroupName $resourceGroupName -Location $snapshot.Location -AllocationMethod Dynamic

#Get the virtual network where virtual machine will be hosted
$vnet = Get-AzureRmVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

#Create NIC in the first subnet of the virtual network 
$nic = New-AzureRmNetworkInterface -Name ($VirtualMachineName.ToLower()+'_nic') -ResourceGroupName $resourceGroupName -Location $snapshot.Location -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $publicIp.Id

$VirtualMachine = Add-AzureRmVMNetworkInterface -VM $VirtualMachine -Id $nic.Id

#Create the virtual machine with Managed Disk
New-AzureRmVM -VM $VirtualMachine -ResourceGroupName $resourceGroupName -Location $snapshot.Location

清理部署

Remove-AzureRmResourceGroup -Name myResourceGroup

脚本说明
命令 说明

Get-AzureRmSnapshot 使用快照名称获取快照。

New-AzureRmDiskConfig
创建磁盘配置。 在磁盘创建过程中将使用此配置。

New-AzureRmDisk
创建托管磁盘。

New-AzureRmVMConfig
创建 VM 配置。 此配置包括 VM 名称、操作系统和管理凭据等信息。 在创建 VM 期间将使用此配置。

Set-AzureRmVMOSDisk
将托管磁盘作为 OS 磁盘附加到虚拟机

New-AzureRmPublicIpAddress
创建公共 IP 地址。

New-AzureRmNetworkInterface
创建网络接口。

New-AzureRmVM
创建虚拟机。

Remove-AzureRmResourceGroup
删除资源组中的所有资源

1.2 非托管磁盘创建快照（创建Blob的快照）

快照是在某个时间点拍摄的blob的只读版本。创建快照后，可以读取，复制或删除快照，但不能修改快照。快照提供了一种备份blob的方法，因为它在某个时刻出现。

页blob和snaphot快照具有相同的名称，仅通过创建时间和VHDurl区分。
通过将快照提升到基本blob的位置，但其源代码将被一个可以读取和写入的副本覆盖，来还原早期版本的blob。快照仍然存在。

2 VM可用性集

同一个项目中的多个虚拟机建议穿件在同一个可用性集中，防止平台在维护过程中的单点故障。

如果虚拟机几乎都是相同的，并且对应用程序的用途是一样的，我们建议针对每个应用程序层配置可用性集。 如果将两个不同的层置于同一可用性集中，则同一应用程序层中的所有虚拟机可以同时重启。 通过在可用性集中为每个层配置至少两个虚拟机，可以确保每个层中至少有一个虚拟机可用。

2.1 更新域

对于给定的可用性集，默认情况下会分配五个非用户可配置的更新域（可以增加 Resource Manager 部署以最多提供 20 个更新域），以指示可同时重新启动的虚拟机和底层物理硬件组。 在单个可用性集中配置了 5 个以上的虚拟机时，第 6 个虚拟机将放置在第 1 个虚拟机所在的更新域中，第 7 个虚拟机将放置在第 2 个虚拟机所在的更新域中，依此类推。 在计划内维护期间，更新域的重启顺序可能不会按序进行，但一次只重启一个更新域。 重启的更新域有 30 分钟的时间进行恢复，此时间过后，就会在另一更新域上启动维护操作。

2.2 容错域

容错域定义一组共用一个通用电源和网络交换机的虚拟机。 默认情况下，在可用性集中配置的虚拟机隔离在 Resource Manager 部署的最多三个容错域（经典部署的两个容错域）中。 虽然将虚拟机置于可用性集中并不能让应用程序免受特定于操作系统或应用程序的故障的影响，但可以限制潜在物理硬件故障、网络中断或电源中断的影响。

2.3 托管磁盘

通过确保可用性集中的 VM 的磁盘彼此之间完全隔离以避免单点故障，托管磁盘为可用性集提供了更佳的可靠性。 为此，会自动将磁盘放置在不同的存储容错域（存储群集）中，并使它们与 VM 容错域一致

2.4 非托管磁盘

存储帐户中，VM 的虚拟硬盘 (VHD) 以页 Blob 形式存储，只要遵循下方最佳做法即可：

• 将与同一 VM 关联的所有磁盘（OS 和数据）放置在同一存储帐户中
• 在向存储帐户添加更多 VHD
  之前，请查看存储帐户中非托管磁盘的数量限制：一块磁盘的IOPS为500次/秒，一个存储账号的吞吐量为20000次/秒
• 为可用性集中的每个 VM 使用单独的存储帐户。 同一可用性集中的多个 VM 不能共享存储帐户。 不同可用性集中的 VM
  共享存储帐户是可以接受的

3 存储账号限制说明

3.1 存储帐户的可伸缩性目标

资源	默认限制
每个区域的存储帐户数	200
最大存储帐户容量	500 TiB
每个存储帐户的 Blob 容器、Blob、文件共享、表、队列、实体或消息数上限	无限制
每个存储帐户的最大请求速率 每秒	20,000 个请求2
每个存储帐户的最大入口	如果已启用 RA-GRS/GRS，则为 5 Gbps；对于 LRS4，为 10 Gbps
每个存储帐户的最大出口	如果已启用 RA-GRS/GRS，则为 10 Gbps；对于 LRS4，为 15 Gbps

包括标准存储帐户和高级存储帐户。 如果需要的存储帐户超过 200 个，请通过 Azure 支持提出请求。 Azure 存储团队将评审你的业务案例，最多可以批准 250 个存储帐户。

如果需要扩大存储帐户的限制，请联系 Azure 支持。 Azure 存储团队会对请求进行审核，根据具体情况批准提高限制的请求。 通用和 Blob 存储帐户请求支持都可按请求提高容量、流入量/流出量和请求速率。 有关 Blob 存储帐户的新最大值。

仅受帐户入口/出口限制的约束。 入口是指发送到存储帐户的所有数据（请求）。 “传出”是指从存储帐户接收的所有数据（响应）。

Azure 存储冗余选项包括：

• RA-GRS：读取访问异地冗余存储。 如果已启用 RA-GRS，辅助位置的出口目标与主要位置的出口目标相同。
• GRS：异地冗余存储。
• LRS：本地冗余存储。
只使用 Azure 资源管理器执行管理操作时，以下限制适用。

资源	默认限制
存储帐户管理操作数（读取）	每 5 分钟 800 次
存储帐户管理操作数（写入）	每小时 200 次
存储帐户管理操作数（列出）	每 5 分钟 100 次

3.2 Blob 存储缩放目标

资源	目标
单个 blob 容器的最大大小	等同于最大存储帐户容量
块 Blob 或附加 Blob 中的块数上限	50,000 块
块 Blob 中块的最大大小	100 MiB
块 Blob 的最大大小 50,000 X 100 MiB	（约 4.75 TiB）
附加 Blob 中块的最大大小	4 MiB
附加 Blob 的最大大小 50,000 x 4 MiB	（约 195 GiB）
页 Blob 的最大大小	8 TiB
每个 blob 容器存储的访问策略的最大数目	5
单个 Blob 的目标吞吐量	每秒最多 60 MiB，或每秒最多 500 个请求

3.3 Azure 文件规模目标

有关 Azure 文件缩放和性能目标的详细信息

资源	目标
文件共享的最大大小	5 TiB
文件共享中文件最大大小	1 TiB
文件共享中的文件数上限	无限制
每个共享的最大 IOPS	1000 IOPS
每个文件共享的存储的访问策略的最大数目	5
每个存储帐户的最大请求速率	对于任何有效大小的文件，每秒 20,000 个请求3
单个文件共享的目标吞吐量	最高每秒 60 MiB
每个文件打开图柄的最大数目	2000 个打开图柄
共享快照的最大数目	200 个共享快照

3.4 Azure 队列存储缩放目标

资源	目标
单个队列的最大大小	500 TiB
队列中消息的最大大小	64 KiB
每个队列存储的访问策略的最大数目	5
每个存储帐户的最大请求速率	每秒 20,000 条消息，假定消息大小为 1 KiB
单个队列的目标吞吐量（1 KiB 消息）	每秒最多 2000 条消息

3.5 Azure 表存储缩放目标

资源	目标
单个表的最大大小	500 TiB
表实体的最大大小	1 MiB
表实体中属性的最大数目	255（包括 3 个系统属性：PartitionKey、RowKey 和 Timestamp）
每个表存储的访问策略的最大数目	5
每个存储帐户的最大请求速率	20,000 事务/秒（假定实体大小为 1 KiB）
单个表分区的目标吞吐量（1 KiB 实体）	每秒最多 2000 个实体

4 磁盘类型

下表针对托管磁盘和非托管磁盘比较了标准 HDD和高级 SSD，方便你确定要使用的具体层。

4.1 标准 HDD 磁盘

标准 HDD 磁盘受 HDD 支持，提供经济高效的存储。 标准 HDD 存储可以在一个数据中心进行本地复制，也可以通过主要数据中心和辅助数据中心实现异地冗余。

4.2 高级·SSD 磁盘

高级 SSD 磁盘受 SSD 支持，为运行 I/O 密集型工作负荷的 VM 提供高性能、低延迟的磁盘支持。 通常可以使用其大小在系列名称中包含“s”的高级 SSD 磁盘。 例如，有 Dv3 系列和 Dsv3 系列，可以将 Dsv3 系列用于高级 SSD 磁盘。

4.3 非托管磁盘

非托管磁盘是 VM 一直使用的传统类型的磁盘。 有了这些磁盘以后，即可创建自己的存储帐户并在创建磁盘时指定该存储帐户。 请确保不将太多磁盘置于同一存储帐户中，因为可能会超过存储帐户的可伸缩性目标（例如 20,000 IOPS），导致 VM 数受限。 使用非托管磁盘时，必须确定如何最大程度地使用一个或多个存储帐户，以便充分利用 VM 的性能。

4.4 托管磁盘

托管磁盘为用户在后台处理存储帐户的创建/管理，确保用户不需担心存储帐户的可伸缩性限制。 用户只需指定磁盘大小和性能层（标准/高级），Azure 就会自动创建和管理磁盘。 在添加磁盘或者扩展和缩减 VM 时，无需考虑所用的存储。
用户还可以按 Azure 区域在一个存储帐户中管理自定义映像，并使用这些映像在同一订阅中创建数百台 VM。

5 基于角色的访问控制 (RBAC)

通过所有服务-订阅、组、Azure active directory对所有资源做权限控制。

Azure AD 是一种基于 REST 的现代化服务，可提供对云应用程序的标识管理和访问控制功能。

Azure 订阅与 Azure Active Directory (Azure AD) 建立了信任关系，即该订阅信任 Azure AD 对用户、服务和设备进行身份验证。

多个订阅可以信任同一个 Azure AD 目录，但每个订阅只能信任一个目录。

1 使用RBAC和Azure 门户管理访问权限：https://docs.azure.cn/zh-cn/role-based-access-control/role-assignments-portal

2 关于RBAC的角色定义：https://docs.azure.cn/zh-cn/role-based-access-control/rbac-and-directory-admin-roles

3 相关的操作实践：http://www.cnblogs.com/stonehe/p/8581479

5.1 订阅-角色管理

角色管理-设定用户角色（所有者，参与者，读者……）
所有服务-选择订阅-访问控制(IAM)- 选择“角色”即可看到一个包含所有内置角色和自定义角色的列表

5.2 AzureAD-访问资源

设定用户的访问资源

导航栏-Azure AD –用户-所有用户-选择单个用户-管理部分选择Azure资源-添加相应的资源给用户。

5.3 资源组-角色分配

在“访问控制(IAM)”（也称标识和访问管理）边栏选项卡上，可以查看谁可以访问此资源组。 请注意，有些角色的权限范围已划归到此资源，还有一些角色是从另一范围 (继承的)。 特定于资源组分配访问权限，或者从父订阅的分配继承访问权限。
导航栏-选择资源组-访问控制-设定可用访问改资源组的用户。

5.4 组

通过创建组，完成对资源的权限控制和继承。
所有服务-组-所有组-新建组、管理组-添加相应的用户来继承组的权限。