Upravit

Použití bezpínového propojení a zjednodušeného kvora služby Azure Stack HCI pro vzdálenou kancelář nebo pobočku

Azure Arc
Azure Monitor
Azure Policy
Microsoft Defender for Cloud
Azure Stack HCI

Tato referenční architektura ukazuje, jak navrhovat infrastrukturu pro vysoce dostupné virtualizované a kontejnerizované úlohy ve scénářích s příkazem Robo (Remote Office/Branch Office).

Architektura

Diagram znázorňující scénář Azure Stack HCI ROBO s clusterem Azure Stack HCI se dvěma uzly s využitím bezpínacího propojení a kvora založeného na USB Cluster používá řadu služeb Azure, včetně Služby Azure Arc, která poskytuje možnost implementace Azure Policy, Azure Automation, což zahrnuje funkce správy aktualizací Azure, Azure Monitor, Synchronizace souborů Azure, Síťový adaptér Azure Microsoft Defender pro. Cloud, Azure Backup, Azure Site Recovery a Replika úložiště.

Stáhněte si soubor aplikace Visio s touto architekturou.

Pracovní postup

Architektura zahrnuje následující možnosti:

  • Azure Stack HCI (20H2) Azure Stack HCI je řešení clusteru hyperkonvergované infrastruktury (HCI), které hostuje virtualizované úlohy Windows a Linux a jejich úložiště v hybridním místním prostředí. Roztažený cluster se může skládat ze čtyř až 16 fyzických uzlů.
  • Určující sdílená složka. Určující sdílená složka je sdílená složka smb (Server Message Block), kterou cluster s podporou převzetí služeb při selhání používá jako hlas v kvoru clusteru. Od Windows Serveru 2019 je k tomuto účelu možné použít USB flash disk připojený ke směrovači .
  • Azure Arc. Cloudová služba, která rozšiřuje model správy založený na Azure Resource Manager na prostředky mimo Azure, včetně virtuálních počítačů, clusterů Kubernetes a kontejnerizovaných databází.
  • Azure Policy. Cloudová služba, která vyhodnocuje Azure a místní prostředky prostřednictvím integrace se službou Azure Arc porovnáním vlastností s přizpůsobitelnými obchodními pravidly.
  • Azure Monitor. Cloudová služba, která maximalizuje dostupnost a výkon vašich aplikací a služeb tím, že poskytuje komplexní řešení pro shromažďování, analýzu a akce na základě telemetrie z cloudových a místních prostředí.
  • Microsoft Defender pro cloud. Microsoft Defender for Cloud je jednotný systém správy zabezpečení infrastruktury, který posiluje stav zabezpečení vašich datových center a poskytuje pokročilou ochranu před hrozbami napříč hybridními úlohami v cloudu – bez ohledu na to, jestli jsou v Azure nebo ne – a místně.
  • Azure Automation. Azure Automation poskytuje cloudovou službu pro automatizaci a konfiguraci, která podporuje konzistentní správu napříč prostředími Azure i mimo Azure.
  • Sledování změn a inventář. Funkce Azure Automation, která sleduje změny na serverech s Windows Serverem a Linuxem hostovaných v Azure, v místním prostředí a dalších cloudových prostředích, aby vám pomohla určit provozní problémy a problémy prostředí se softwarem spravovaným správcem distribučních balíčků.
  • Update Management. Funkce Azure Automation, která zjednodušuje správu aktualizací operačního systému pro počítače s Windows Serverem a Linuxem v Azure, v místních prostředích a v dalších cloudových prostředích.
  • Azure Backup. Služba Azure Backup poskytuje jednoduchá, zabezpečená a cenově výhodná řešení pro zálohování vašich dat a jejich obnovení z cloudu Microsoft Azure.
  • Azure Site Recovery. Cloudová služba, která pomáhá zajistit kontinuitu podnikových procesů tím, že udržuje obchodní aplikace a úlohy spuštěné během výpadků. Site Recovery spravuje replikaci a převzetí služeb při selhání úloh spuštěných na fyzických i virtuálních počítačích mezi primární lokalitou a sekundární lokalitou.
  • Synchronizace souborů Azure. Cloudová služba, která může synchronizovat a ukládat obsah sdílených složek Azure do mezipaměti pomocí Windows Serverů napříč prostředími Azure i mimo Azure.
  • Replika úložiště. Technologie Windows Serveru, která umožňuje replikaci svazků mezi servery nebo clustery pro zotavení po havárii.

Komponenty

Klíčové technologie použité k implementaci této architektury:

Podrobnosti scénáře

Potenciální případy použití

Mezi typická použití této architektury patří následující scénáře vzdálené kanceláře nebo pobočky (ROBO):

  • Nákladově efektivní implementace vysoce dostupných hraničních úloh založených na kontejnerech a virtualizovaných podnikových aplikací
  • Nižší celkové náklady na vlastnictví prostřednictvím řešení certifikovaných Microsoftem, cloudové automatizace, centralizované správy a centralizovaného monitorování
  • Řízení a auditování zabezpečení a dodržování předpisů pomocí ochrany založené na virtualizaci, certifikovaného hardwaru a cloudových služeb.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Pro vysoce dostupnou a nákladově efektivní infrastrukturu ROBO použijte bezpínové propojené a jednoduché kvorum Azure Stack HCI.

Ve scénářích ROBO je hlavním obchodním problémem minimalizace nákladů. Mnoho úloh ROBO je však nanejvýš kritických a prostojů je velmi málo tolerantní. Azure Stack HCI nabízí optimální řešení, protože nabízí odolnost a nákladovou efektivitu. Pomocí Azure Stack HCI můžete využít integrovanou odolnost technologií clusteringu Prostory úložiště s přímým přístupem a převzetí služeb při selhání a implementovat vysoce dostupné výpočetní, úložné a síťové infrastruktury pro kontejnerizované a virtualizované úlohy ROBO. Pro nákladovou efektivitu můžete použít jen dva uzly clusteru s pouze čtyřmi disky a 64 gigabajty (GB) paměti na uzel. Pokud chcete náklady ještě více minimalizovat, můžete mezi uzly použít bezpínací propojení, čímž eliminujete potřebu redundantních přepínacích zařízení. Pokud chcete dokončit konfiguraci clusteru, můžete implementovat určující sdílenou složku jednoduše pomocí jednotky USB připojené ke směrovači, který hostuje odchozí připojení z uzlů clusteru. Pro zajištění maximální odolnosti máte v clusteru se 2 uzly možnost nakonfigurovat Prostory úložiště s přímým přístupem svazky s vnořenou obousměrnou zrcadlenou paritou nebo vnořenou zrcadlenou akcelerovanou paritou. Na rozdíl od tradičního obousměrného zrcadlení tyto možnosti tolerují více souběžných selhání hardwaru bez ztráty dat.

Poznámka

S vnořenou odolností cluster se dvěma uzly a všechny jeho svazky zůstanou online po selhání jednoho uzlu a jednoho disku na přeživším uzlu.

Plně integrujte nasazení Azure Stack HCI s Azure, abyste minimalizovali celkových nákladů na vlastnictví ve scénářích ROBO.

Jako součást produktové řady Azure Stack je Azure Stack HCI ze své podstaty závislé na Azure. Proto pokud chcete optimalizovat funkce a podporu, musíte ji zaregistrovat do 30 dnů od nasazení prvního clusteru Azure Stack HCI. Tento proces vygeneruje odpovídající prostředek Azure Resource Manager, který efektivně rozšiřuje rovinu správy Azure na Azure Stack HCI a automaticky povolí funkce monitorování, podpory a fakturace na základě Azure Portal.

Pokud chcete minimalizovat režijní náklady na správu clusteru Azure Stack HCI a úloh, měli byste také zvážit použití následujících služeb Azure, které poskytují následující možnosti:

Pokud chcete využívat další výhody funkcí Azure, můžete rozšířit rozsah integrace Azure Arc na virtualizované a kontejnerizované úlohy Azure Stack HCI implementací následujících funkcí:

Upozornění

AKS ve službě Azure Stack HCI a datové služby s podporou Azure Arc jsou v době publikování této referenční architektury ve verzi Preview.

S rozšířením služby Azure Arc na virtuální počítače Azure Stack HCI budete moct automatizovat jejich konfiguraci pomocí rozšíření virtuálních počítačů Azure a vyhodnotit jejich soulad s oborovými předpisy a firemními standardy pomocí Azure Policy.

Využijte ochranu založenou na virtualizaci, certifikovaný hardware a cloudové služby Azure Stack HCI k vylepšení přístupu k zabezpečení a dodržování předpisů ve scénářích ROBO.

Scénáře ROBO představují jedinečné problémy se zabezpečením a dodržováním předpisů. Bez nebo v nejlepším případě omezené místní podpory IT a nedostatku vyhrazených datacenter je obzvláště důležité chránit jejich úlohy před interními i externími hrozbami. Tento problém můžou vyřešit funkce Azure Stack HCI a její integrace se službami Azure.

Certifikovaný hardware Azure Stack HCI zajišťuje integrovanou podporu zabezpečeného spouštění, rozhraní UEFI (Unified Extensible Firmware Interface) a čipu TPM (Trusted Platform Module). Tyto technologie v kombinaci se zabezpečením na základě virtualizace (VBS) pomáhají chránit úlohy citlivé na zabezpečení. Nástroj BitLocker Drive Encryption umožňuje šifrovat Prostory úložiště s přímým přístupem neaktivních uložených svazků, zatímco šifrování SMB zajišťuje automatické šifrování přenášených dat, což usnadňuje dodržování standardů, jako je standard FIPS 140-2 (Federal Information Processing Standard 140-2) a HIPAA (Health Insurance Portability and Accountability Act).

Kromě toho můžete nasadit virtuální počítače Azure Stack HCI do Microsoft Defender for Cloud a aktivovat tak cloudové analýzy chování, detekci a nápravu hrozeb, upozorňování a vytváření sestav. Podobně onboardingem virtuálních počítačů Azure Stack HCI ve službě Azure Arc získáte možnost používat Azure Policy k vyhodnocení jejich souladu s oborovými předpisy a firemními standardy.

Požadavky

Microsoft Azure Well-Architected Framework je sada hlavních zásad, které se v této referenční architektuře řídí. V kontextu těchto principů jsou zohledněny následující aspekty.

Spolehlivost

Spolehlivost zajišťuje, že vaše aplikace dokáže splnit závazky, které učiníte vůči zákazníkům. Další informace najdete v tématu Přehled pilíře spolehlivosti.

Mezi aspekty spolehlivosti patří:

  • Vyšší rychlost opravy svazků Prostory úložiště s přímým přístupem (označuje se také jako resynchronizace). Prostory úložiště s přímým přístupem poskytuje automatickou opětovnou synchronizaci událostí, které ovlivňují dostupnost disků fondu úložiště, jako je vypnutí uzlu clusteru nebo selhání lokalizovaného hardwaru. Azure Stack HCI implementuje vylepšený proces resynchronizace , který funguje s mnohem jemnější členitostí než Windows Server 2019 a výrazně zkracuje dobu operace resynchronizace. Tím se minimalizuje potenciální dopad několika překrývajících se selhání hardwaru.
  • Výběr určující clusteringu s podporou převzetí služeb při selhání Odlehčená kopie clusteru založená na USB flash disku eliminuje závislosti na spolehlivém připojení k internetu, které se vyžaduje při použití konfigurace založené na cloudové kopii clusteru.

Zabezpečení

Zabezpečení poskytuje záruku proti záměrným útokům a zneužití vašich cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Mezi aspekty zabezpečení patří:

  • Základní zabezpečení Azure Stack HCI. Využijte hardwarové komponenty Azure Stack HCI (jako je zabezpečené spouštění, UEFI a TPM) k vytvoření zabezpečeného základu pro zabezpečení na úrovni virtuálního počítače Azure Stack HCI, včetně ochrany Device Guard a Credential Guard. Pomocí Windows Admin Center řízení přístupu na základě role delegujte úlohy správy podle principu nejnižšího oprávnění.
  • Pokročilé zabezpečení Azure Stack HCI Použití standardních hodnot zabezpečení Microsoftu pro clustery Azure Stack HCI a jejich úlohy Windows Serveru pomocí Active Directory Domain Services (AD DS) s Zásady skupiny. Microsoft Advanced Threat Analytics (ATA) můžete použít k detekci a nápravě kybernetických hrozeb cílených na řadiče domény služby AD DS, které poskytují ověřovací služby clusterům Azure Stack HCI a jejich úlohám Windows Serveru.

Optimalizace nákladů

Optimalizace nákladů spočívá v hledání způsobů, jak snížit zbytečné výdaje a zlepšit provozní efektivitu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

Mezi aspekty optimalizace nákladů patří:

  • Propojení clusterů bez přepínačů a jejich propojení. Bezpínací propojovací topologie se skládá z redundantních připojení mezi adaptéry vzdáleného přímého přístupu do paměti (RDMA) s jedním portem nebo dvěma porty na každém uzlu (které tvoří úplnou síť), přičemž každý uzel je připojený přímo ke každému druhému uzlu. I když je implementace v clusteru se 2 uzly jednoduchá, větší clustery vyžadují další síťové adaptéry v hardwaru každého uzlu.
  • Model fakturace ve stylu cloudu. Ceny Za Azure Stack HCI se řídí modelem fakturace měsíčního předplatného s paušální sazbou za jádro fyzického procesoru v clusteru Azure Stack HCI.

Upozornění

I když pro uzly clusteru hostující infrastrukturu Azure Stack HCI neexistují žádné požadavky na licencování místního softwaru, virtuální počítače Azure Stack HCI můžou vyžadovat licence jednotlivých operačních systému. Pokud používáte jiné služby Azure, můžou se účtovat i další poplatky za využití.

Efektivita provozu

Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji v provozu v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

Mezi aspekty efektivity provozu patří:

  • Zjednodušené prostředí pro zřizování a správu s Windows Admin Center Průvodce vytvořením clusteru v Windows Admin Center poskytuje rozhraní řízené průvodcem, které vás provede vytvořením clusteru Azure Stack HCI. Podobně Windows Admin Center zjednodušuje proces správy virtuálních počítačů Azure Stack HCI.
  • Možnosti automatizace. Azure Stack HCI poskytuje širokou škálu možností automatizace s aktualizacemi operačního systému v kombinaci s kompletními aktualizacemi, včetně firmwaru a ovladačů poskytovaných dodavateli a partnery Azure Stack HCI. Díky aktualizaci Cluster-Aware (CAU) běží aktualizace operačního systému bezobslužně, dokud úlohy Azure Stack HCI zůstanou online. Výsledkem jsou bezproblémové přechody mezi uzly clusteru, které eliminují dopad restartování po opravě. Azure Stack HCI také nabízí podporu automatizovaného zřizování clusterů a správy virtuálních počítačů pomocí Windows PowerShell. Windows PowerShell můžete spustit místně z některého ze serverů Azure Stack HCI nebo vzdáleně z počítače pro správu. Integrace se službami Azure Automation a Azure Arc usnadňuje širokou škálu dalších scénářů automatizace pro virtualizované a kontejnerizované úlohy.
  • Menší složitost správy. Bezpínací propojení eliminuje riziko selhání přepínacích zařízení a potřebu jejich konfigurace a správy.

Efektivita výkonu

Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Další informace najdete v tématu Přehled pilíře efektivity výkonu.

Mezi aspekty efektivity výkonu patří:

  • Odolnost úložiště versus efektivita využití a výkon. Plánování svazků Azure Stack HCI zahrnuje identifikaci optimální rovnováhy mezi odolností, efektivitou využití a výkonem. Problém vyplývá ze skutečnosti, že maximalizace jedné z těchto charakteristik má obvykle negativní dopad alespoň na jednu ze zbývajících dvou vlastností. Například zvýšení odolnosti snižuje využitelnou kapacitu, zatímco výsledný výkon se může lišit v závislosti na typu odolnosti. V případě vnořených svazků s obousměrným zrcadlem nebo vnořených svazků akcelerované zrcadlené parity vede vyšší odolnost k nižší efektivitě kapacity v porovnání s tradičním obousměrným zrcadlením. Současně vnořený svazek s obousměrným zrcadlem nabízí lepší výkon než vnořený svazek akcelerované parity zrcadlení, ale za cenu nižší efektivity využití.
  • Prostory úložiště s přímým přístupem konfiguraci disku. Prostory úložiště s přímým přístupem podporuje pevné disky(HDD), jednotky SSD (Solid-State Drive) a typy jednotek NVMe. Typ jednotky přímo ovlivňuje výkon úložiště kvůli rozdílům v charakteristikách výkonu mezi jednotlivými typy a mechanismu ukládání do mezipaměti, který je nedílnou součástí konfigurace Prostory úložiště s přímým přístupem. V závislosti na úlohách Azure Stack HCI a omezeních rozpočtu můžete zvolit maximalizaci výkonu, maximální kapacitu nebo implementaci konfigurace jednotky, která zajistí rovnováhu mezi výkonem a kapacitou.
  • Optimalizace ukládání do mezipaměti úložiště. Prostory úložiště s přímým přístupem poskytuje integrovanou trvalou mezipaměť na straně serveru pro čtení a zápis v reálném čase, která maximalizuje výkon úložiště. Velikost mezipaměti by měla být nakonfigurovaná tak, aby vyhovovala pracovní sadě vašich aplikací a úloh. Kromě toho je Azure Stack HCI kompatibilní s mezipamětí čtení sdíleného svazku clusteru (CSV). Použití systémové paměti k ukládání čtení do mezipaměti může zlepšit výkon technologie Hyper-V.
  • Optimalizace výkonu výpočetních prostředků. Azure Stack HCI nabízí podporu akcelerace grafických procesorů (GPU), která cílí na vysoce výkonné úlohy AI/ML zaměřené na hraniční scénáře.
  • Optimalizace výkonu sítě. V rámci návrhu nezapomeňte při určování optimální konfigurace síťového hardwaru zahrnout předpokládané přidělení šířky pásma provozu. To zahrnuje i ustanovení o minimálních požadavcích na šířku pásma bez přepínání mezi připojeními.

Další kroky

Dokumentace k produktu:

Moduly Microsoft Learn: