微软Azure云平台技术介绍

admin管理员组

文章数量:1531666

2023年12月29日发(作者：)

微软Azure云平台技术介绍

1

计算时代历经单机、客户端 / 服务器、Web、SOA，已经进入到 Services 的第五代，而这正是云计算到来的时刻，微软的云计算平台 Windows Azure，将云计算的操作系统、数据库及各种应用的集成平台，通过它，所有企业和机构可以不再受到各种数据与应用分散的挑战，可以更为自如地部署自己的服务与应用。

2017 年 5 月 12 日，微软通用企业部技术总监李浩明、微软资深架构师彭俊、云解决方案架构师魏衡等多位技术和产业专家，在 Azure Day 云思塾课堂上，分享了 Azure 典型业务场景，到虚拟机服务，网络和安全、存储、数据库 / 大数据、到 Azure 特色的认知服务等技术干货和产品，带领大家重新了解和认知了Azure 云计算从 IaaS 到 PaaS 的战略部署，掌握 Azure 的各个功能模块，跳开开发应用当中的各种坑。

Azure 基础服务和最佳实践—虚拟机

微软资深架构师彭俊为大家讲解了 Azure 虚拟机管理模式、虚拟机概述、虚拟机选型以及高可用与负载均衡，帮助客户了解如何搭建虚拟机能够实现系统的可扩展性，并且控制成本最优化。

2

Azure 支持两种模式：经典模式以及 Azure 资源管理器 (ARM) 模式。

经典模式中：每种资源作为单个管理单元运行。Azure 经典模式不允许创建资源组，这使得管理资源变得有些困难。在 ARM 模式中，资源可以被划分到称为资源组的单元中。ARM 模式还支持集中部署并管理虚拟机，频繁部署虚拟机，支持使用 ARM 模板部署虚拟机并能够给 Azure 资源打标记以通过编程接口访问虚拟机。

ARM 模式提供的最主要的优势之一是能够锁定无意删除的资源组。ARM 模式提供了两个锁定级别：CanNotDelete、ReadOnly。CanNotDelete 锁定级别允许用户读取并修改但不能删除 Azure 资源。ReadOnly 锁定级别仅允许用户读取资源。微软在 ARM 模式上花费了很多时间、经费，因此推荐采用

ARM 模式。

理解 Azure 使用虚拟机操作系统的不同系列性能以及应用场景对于虚拟机选型是很重要的，微软虚拟机系列中国区包括常规用途 A 系列、常规均衡 D 系列以及计算机优化 F 系列。

3

常规用途 A 系列：基准 CPU 计算能力，最高提供 8 核心 56G 内存以及 16X500iops 的磁盘能力。适用开发测试、生成服务器、代码存储库、低流量网战和 Web 应用程序、微服务、早期产品试验和小型数据库；

常规均衡 D 系列：1.6 倍于 A 系列 VM，高 CPU/ 内存比以及最多 140G 内存和本地高速缓存 SSD。适用于生产应用程序、需更多内存的应用程序、I/O 密集应用如高性能数据库；

计算机优化 F 系列：2 倍于 A 系列的 CU，Inter Turbo Boost 技术、本地高速缓存 SSD。适用于计算集中的服务如游戏、分析等，这也是最具性价比的虚拟机系列。

微软 Azure 虚拟机提供了业界独有的高可用单实例 SLA 和多种负载均衡方式，对于任何为所有磁盘使用高存储的单实例虚拟机，能保证有不少于 99.9% 的时间内具有虚拟机的连接性。同时，Azure 启动计算资源提前预付计划，即 EA 客户若拥有稳定并可预估的工作负载，且能够提前给出适用 Azure 计算能力的承诺和计划，则可享受高折扣，这对于有意使用 Azure 平台的用户来说可谓是一大利好消息！

Azure 基础服务和最佳实践—网络和安全

对于用户而言，保证网络的安全性至关重，微软在这方面也做了大量的努力。Azure 平台采用了多个层次来确保用户的应用和数据安全，在 Internet 流量进入 Azure 虚拟网络之前，Azure 平台本身将实施两层安全性：DDoS 保护和公共 IP 地址。

流量进入虚拟网络后，有许多功能将派上用场。 Azure 虚拟网络是客户连接其工作负荷的基础，也是应用基本网络层安全性的所在之处。 它是客户在 Azure 中的专用网络（虚拟网络覆盖），并具有以下功能和特性：

4

流量隔离：虚拟网络是 Azure 平台上的流量隔离边界。 一个虚拟网络中的虚拟机 (VM) 无法与不同虚拟网络中的 VM 直接通信，即使这两个虚拟网络是由同一个客户所创建。 隔离是一个非常关键的属性，可确保客户 VM 与通信在虚拟网络中保持私密性。

多层拓扑：虚拟网络允许客户通过分配子网并为工作负荷的不同元素或“层”指定独立地址空间，来定义多层拓扑。 这些逻辑分组和拓扑可让客户根据工作负荷类型来定义不同的访问策略，以及控制各层之间的流量。

跨界连接：客户可以在虚拟网络和多个本地站点或 Azure 中的其他虚拟网络之间创建跨界连接。 客户可以使用 VNet 对等互连、Azure VPN 网关、第三方网络虚拟设备或 ExpressRoute 来构造连接。 Azure

支持使用标准 IPsec/IKE 协议和 ExpressRoute 专用连接的站点到站点 (S2S) VPN。

NSG 允许客户根据所需的粒度（网络接口、单个 VM 或虚拟子网）创建规则 (ACL)。 客户可以从客户网络上的系统，通过跨界连接或直接 Internet 通信来允许或拒绝虚拟网络内的工作负荷，以控制访问。

UDR 和 IP 转发允许客户定义虚拟网络中不同层之间的通信路径。 客户可以部署防火墙、IDS/IPS 和其他虚拟设备，并通过这些安全设备来路由网络流量，以实施安全边界策略、审核和检查。

Azure 应用商店中的网络虚拟设备：Azure 应用商店和 VM 映像库中提供了防火墙、负载均衡器和

IDS/IPS 等安全设备。 客户可将这些设备部署到其虚拟网络，特别是安全边界（包括外围网络子网），以实现多层安全网络环境。

现场，云解决方案架构师魏衡演示了如何使用这些功能在 Azure 中构造外围网络体系结构：

5

同时，Azure 的 Vnet Peering 可以把 Azure 中不同的 Vnet 连接起来，打通多租户网络，Docker 环境中可以每个 Docker 设置一个 IP，方便用户进行业务部署。

Azure 基础服务和最佳实践—存储

微软 Azure 平台在存储设计上一直有着强一致性、多租户、全局性命名空间、高可用性和灾备以及可扩展性等高要求，微软资深架构师郭亚涛老师在现场自豪的说到，不同于其它模块，存储是平台上线时候才出现问题的地方，而在数据存储方面，微软十年没有出现过数据丢失问题！

微软 Azure 的存储架构：

6

Azure 目前有 6 种存储形式：对象存储（Blob）、表存储（Table）、队列存储（Queue）、文件存储（File）、磁盘存储（Disk）、以及高级存储（SSD）。

对象存储（Blob）：Azure Blob 存储是一种将非结构化数据作为对象存储在云中的服务，这些数据可以通过 HTTP 或 HTTPS 从世界各地进行访问，访问的权限可以设置为公开或者秘密。对象存储有三中类型







Block Blob：转为流处理优化，适合存储文件、媒体文件和备份文件

Append Blob：类似 Block Blob，优化了追加操作

Page Blob：随机存取（磁盘）

表存储（Table）：是给具结构化数据的应用程序存储与管理的一种存储服务，它在 Windows Azure 存储区中会以 Key-Value 键值对方式存储，并且由 Partition 来切割在 Windows Azure 存储区的存储7

位置。Azure Table 的最大容量是存储账户的容量，每一行数据的最大容量为 1MB，每个分区的吞吐量是 2000 个实体每秒（1KB），其读取操作使用 Partition Key+Row Key 效率最高。

队列存储（Queue）：用于在应用程序组建之间进行云消息传送，消息大小不超过 64KB 的实体对象，最长可保留 7 天，拥有 Peek Message 和 Get Message 两种消息处理方式，目标吞吐量 2000 消息每秒，存储账户限制 20000 消息每秒，且消息数量和列队总大小仅受限于存储账户大小。

文件存储（File）：Azure 存储服务中提供了基于 (SMB 的) 文件共享方案，即基于云存储的 SMB 2.1 和

SMB 3.0 文件共享。每个共享（Share）最大 5TB，目标吞吐量 60MB/s，Azure 文件共享可以直接

mount 到 Azure VM 的 Linux 和 Windows 虚拟机上进行访问。

磁盘存储（Disk）：Disk 基于页存储，单个磁盘最大能达到 1TB，标准磁盘吞吐量为 500IOPS*8KB，能限制存储账户中磁盘数量。

高级存储（SSD）：高级存储具有大带宽、低延迟等性能，每个 MV 最多达 32TB 的存储容量拥有

64000IOPS，每个磁盘最大 5000IOPS，拥有低于 1ms 的读延迟， 是适用于 Azure 虚拟机工作负荷的高性能存储。

设置多种保护机制 为存储安全保驾护航

Azure 在存储的安全性方面也做到了一个极致，它设置了 2 对 512bit 的存储账户密钥，存储帐户可通过基于角色的访问控制和 Azure Active Directory 实现安全保护。在应用程序和 Azure 之间传输数据时，用户可使用客户端加密、HTTPS 或 SMB 3.0 来保护数据。

8

Azure 的账户密钥、共享访问签名、容器级别访问策略、访问权限设置、客户端加密、跨源资源访问支持、以及服务端和虚拟机磁盘的加密设置，最大限度的保证用户的安全性设置，为程序的可持续性，做到无缝切换。

9

本文标签： 网络虚拟客户访问