Verwenden der Azure Stack HCI-Lösung mit Interconnect ohne Switches und einfachem Quorum für ROBO-Szenarios

Diese Referenzarchitektur veranschaulicht, wie Sie die Infrastruktur für hochverfügbare virtualisierte und containerisierte Workloads in ROBO-Szenarios (Remote Office/Branch Office, Remotebüro/Filiale) entwerfen.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

Die Architektur bietet die folgenden Funktionen:

• Azure Stack HCI (20H2) : Die Azure Stack HCI ist eine HCI-Clusterlösung (Hyper-Converged Infrastructure, hyperkonvergente Infrastruktur), mit der virtualisierte Windows- und Linux-Workloads und deren Speicher in einer lokalen Hybridumgebung gehostet werden. Der Stretched Cluster kann aus 4 bis 16 physischen Knoten bestehen.
• Dateifreigabenzeuge : Ein Dateifreigabenzeuge ist eine SMB-Freigabe (Server Message Block), die der Failovercluster als Stimme im Clusterquorum verwendet. Ab Windows Server 2019 ist es möglich, zu diesem Zweck ein USB-Laufwerk zu verwenden, das mit einem Router verbunden ist.
• Azure Arc. Dies ist ein cloudbasierter Dienst, der das auf dem Azure Resource Manager basierende Verwaltungsmodell um Nicht-Azure-Ressourcen erweitert (einschließlich virtueller Computer (VMs), Kubernetes-Cluster und containerisierter Datenbanken).
• Azure Policy : Dieser cloudbasierte Dienst wertet Azure-Ressourcen und lokale Ressourcen durch die Integration mit Azure Arc aus, indem Eigenschaften mit anpassbaren Geschäftsregeln verglichen werden.
• Azure Monitor. Hierbei handelt es sich um einen cloudbasierten Dienst, der die Verfügbarkeit und Leistung Ihrer Anwendungen und Dienste durch die Bereitstellung einer umfassenden Lösung für das Sammeln, Analysieren und Reagieren auf Telemetriedaten aus Ihren cloudbasierten und lokalen Umgebungen maximiert.
• Microsoft Defender for Cloud. Microsoft Defender für Cloud ist ein vereinheitlichtes Sicherheitsverwaltungssystem für Infrastrukturen, mit dem der Sicherheitsstatus Ihrer Rechenzentren gestärkt wird und ein erweiterter Schutz vor Bedrohungen für Ihre Hybridworkloads in der Cloud (in Azure oder anderswo) und in der lokalen Umgebung bereitgestellt wird.
• Azure Automation : Mit Azure Automation wird ein cloudbasierter Automatisierungs- und Konfigurationsdienst bereitgestellt, der eine einheitliche Verwaltung Ihrer Azure- und Nicht-Azure-Umgebungen unterstützt.
• Änderungsnachverfolgung und Bestand : Mit diesem Azure Automation-Feature können Sie Änderungen an Windows Server-Instanzen oder Linux-Servern nachverfolgen, die in Azure, lokal oder in anderen Cloudumgebungen gehostet werden, damit Sie Probleme hinsichtlich des Betriebs und der Umgebung mithilfe von Software ermitteln können, die vom Paket-Manager der Distribution verwaltet wird.
• Updateverwaltung . Dies ist ein Azure Automation-Feature, das die Verwaltung von Betriebssystemupdates für Windows Server- und Linux-Computer in Azure, lokalen Umgebungen und anderen Cloudumgebungen optimiert.
• Azure Backup : Der Azure Backup-Dienst bietet einfache, sichere und kostengünstige Lösungen, um Ihre Daten zu sichern und aus der Microsoft Azure-Cloud wiederherzustellen.
• Azure Site Recovery : Dieser cloudbasierte Dienst gewährleistet die Geschäftskontinuität, indem Geschäftsanwendungen und Workloads während Ausfällen weiter ausgeführt werden. Site Recovery verwaltet die Replikation und das Failover von auf physischen und virtuellen Computern ausgeführten Workloads zwischen dem primären und einem sekundären Standort.
• Azure-Dateisynchronisierung. Dies ist ein cloudbasierter Dienst, der Inhalte von Azure-Dateifreigaben mithilfe von Windows Server-Instanzen in Ihren Azure- und Nicht-Azure-Umgebungen synchronisieren und zwischenzuspeichern kann.
• Storage Replica : Dies ist eine Windows Server-Technologie, die die Replikation von Volumes zwischen Servern oder Clustern für die Notfallwiederherstellung ermöglicht.

Komponenten

Die wichtigsten für die Implementierung dieser Architektur verwendeten Technologien sind:

• Automation
• Azure Site Recovery
• Azure Arc
• Azure Backup
• Azure Container Registry
• Azure Files
• Azure Monitor
• Azure Policy
• Microsoft Defender für Cloud

Szenariodetails

Mögliche Anwendungsfälle

Typische Verwendungsmöglichkeiten für diese Architektur umfassen die folgenden Remote office/Branch Office (ROBO)-Szenarien:

• Implementieren hochverfügbarer, containerbasierter Edgeworkloads und virtualisierter, unternehmenskritischer Anwendungen auf kosteneffiziente Weise
• Reduzieren der Gesamtkosten (TCO) durch von Microsoft zertifizierte Lösungen, cloudbasierte Automatisierung, zentralisierte Verwaltung und zentralisierte Überwachung
• Steuern und Überwachen der Sicherheit und Compliance durch die Verwendung von virtualisierungsbasiertem Schutz, zertifizierter Hardware und cloudbasierter Dienste

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Verwenden von parameterlosem Interconnect und einfachem Quorum in Azure Stack HCI für hochverfügbare und kosteneffiziente ROBO-Infrastrukturen

In ROBO-Szenarios besteht ein primäres Unternehmensziel darin, die Kosten zu minimieren. Viele ROBO-Workloads sind allerdings äußerst wichtig und haben nur eine geringe Toleranz in Bezug auf Downtimes. Die Azure Stack HCI bietet die optimale Lösung, da sowohl Resilienz als auch Kosteneffizienz gewährleistet wird. Mithilfe der Azure Stack HCI können Sie die integrierte Resilienz des „Direkte Speicherplätze“-Features und Failoverclusteringtechnologien anwenden, um eine hochverfügbare Compute-, Speicher- und Netzwerkinfrastruktur für containerisierte und virtualisierte ROBO-Workloads zu implementieren. Aus Gründen der Kosteneffizienz können Sie bis zu zwei Clusterknoten mit nur vier Datenträgern und 64 Gigabyte (GB) Arbeitsspeicher pro Knoten verwenden. Sie können Interconnects ohne Switches zwischen Knoten nutzen, um die Kosten weiter zu minimieren. Auf diese Weise entfällt die Notwendigkeit der Verwendung redundanter Switchgeräte. Um die Clusterkonfiguration abzuschließen, können Sie einen Dateifreigabenzeugen einfach mithilfe eines USB-Laufwerks implementieren, das mit einem Router verbunden ist, der Uplinks von Clusterknoten hostet. Für maximale Resilienz können Sie in einem Cluster mit zwei Knoten Direkte Speicherplätze-Volumes entweder mit geschachtelter bidirektionaler Spiegelung oder Parität mit Beschleunigung per geschachtelter Spiegelung konfigurieren. Anders als bei der herkömmlichen bidirektionalen Spiegelung tolerieren diese Optionen mehrere gleichzeitige Hardwarefehler ohne Datenverlust.

Vollständiges Integrieren von Azure Stack HCI-Bereitstellungen mit Azure zum Minimieren der Gesamtkosten in ROBO-Szenarios

Als Teil der Azure Stack-Produktfamilie ist die Azure Stack HCI grundsätzlich von Azure abhängig. Daher müssen Sie die Azure Stack HCI zum Optimieren von Features und für den Support innerhalb von 30 Tagen nach der Bereitstellung Ihres ersten Azure Stack HCI-Clusters registrieren. Durch diesen Prozess wird eine entsprechende Azure Resource Manager-Ressource generiert, die die Azure-Verwaltungsebene effektiv auf die Azure Stack HCI erweitert und die auf dem Azure-Portal basierende Überwachung, den Support und die Abrechnungsfunktion automatisch aktiviert.

Wenn Sie den Verwaltungsaufwand im Zusammenhang mit Azure Stack HCI-Clustern und -Workloads minimieren möchten, sollten Sie auch die folgenden Azure-Dienste verwenden, die die folgenden Funktionen bereitstellen:

• Azure Monitor: Mit diesem Dienst können Sie Telemetriedaten zur Überwachung, Analyse sowie für Warnungen sammeln, die von Clustern und den zugehörigen VMs generiert werden.
• Updateverwaltungsfeature in Azure Automation: Verwenden Sie dieses Feature für die automatisierte Patchbereitstellung und Berichterstellung für Azure Stack HCI-VMs.
• Azure Automation, Änderungsnachverfolgung und das „Inventar“-Feature. Verfolgt Konfigurationsänderungen an Azure Stack HCI-VMs nach.
• Azure Automation DSC: Automatisieren Sie die Konfiguration des gewünschten Zustands von Azure Stack HCI-VMs.
• Azure Backup: Verwalten Sie die Sicherung von Azure Stack HCI-VMs und deren Workloads.
• Azure Site Recovery: Implementieren und orchestrieren Sie die Notfallwiederherstellung für Azure Stack HCI-VMs.
• Azure-Dateisynchronisierung. Synchronisieren Sie Dateifreigaben, die auf Azure Stack HCI-Clustern gehostet werden, und lagern Sie sie aus.
• Azure Kubernetes Service (AKS): Hiermit können Sie Containerorchestrierungen implementieren.

Sie können die Azure Arc-Integration auf die virtualisierten und containerisierten Azure Stack HCI-Workloads ausweiten, indem Sie die folgenden Funktionen implementieren, um so noch mehr von den Azure-Funktionen zu profitieren:

• Azure Arc-fähige Server: Wird für virtualisierte Workloads verwendet, die Azure Stack HCI-VMs ausführen.
• Azure Arc-fähige Datendienste: Wird für containerisierte Azure SQL Managed Instance- oder PostgreSQL Hyperscale-Instanzen in AKS verwendet, die von Azure Stack HCI-VMs gehostet werden.

Durch die Ausweitung von Azure Arc auf Azure Stack HCI-VMs können Sie deren Konfiguration mithilfe von Erweiterungen für Azure-VMs automatisieren und die Einhaltung von Branchenvorschriften und Unternehmensstandards mithilfe von Azure Policy bewerten.

Verwenden des virtualisierungsbasierten Azure Stack HCI-Schutzes, der zertifizierten Hardware und der cloudbasierten Dienste zum Erhöhen der Sicherheit und Compliance in ROBO-Szenarios

ROBO-Szenarios stellen besondere Herausforderungen in Bezug auf die Sicherheit und Compliance dar. Angesichts der fehlenden bzw. eingeschränkten IT-Unterstützung und des Mangels an dedizierten Rechenzentren ist es besonders wichtig, Workloads sowohl vor internen als auch vor externen Bedrohungen zu schützen. Die Azure Stack HCI-Funktionen und die Integration mit Azure-Diensten können dieses Problem beheben.

Die Azure Stack HCI-zertifizierte Hardware stellt die integrierte Unterstützung für den sicheren Start sowie für Unified Extensible Firmware Interface (UEFI) und Trusted Platform Module (TPM) sicher. Diese Technologien helfen in Kombination mit der virtualisierungsbasierten Sicherheit (VBS) dabei, sicherheitsrelevante Workloads zu schützen. Die BitLocker-Laufwerkverschlüsselung gewährleistet das Verschlüsseln von ruhenden Direkte Speicherplätze-Volumes und die SMB-Verschlüsselung die automatische Verschlüsselung während der Übertragung. Dies ermöglicht die Einhaltung von Standards wie Federal Information Processing Standard 140-2 (FIPS 140-2) und Health Insurance Portability and Accountability Act (HIPAA).

Außerdem können Sie Azure Stack HCI-VMs in Microsoft Defender for Cloud integrieren, um cloudbasierte Verhaltensanalysen, die Bedrohungserkennung sowie die Wartung, Warnung und die Berichtserstellung zu aktivieren. Zudem können Sie durch das Onboarding von Azure Stack HCI-VMs in Azure Arc Azure Policy verwenden, um in Bezug auf diese VMs die Einhaltung von Branchenvorschriften und Unternehmensstandards auszuwerten.

Überlegungen

Beim Microsoft Azure Well-Architected Framework handelt es sich um eine Reihe von Grundsätzen, die bei dieser Referenzarchitektur berücksichtigt wurden. Diese Grundsätze bilden den Rahmen für die folgenden Überlegungen.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.

Die Überlegungen in Bezug auf die Zuverlässigkeit umfassen Folgendes:

• Verbesserte Reparaturgeschwindigkeit von Direkte Speicherplätze-Volumes (auch Resync (erneute Synchronisierung) bezeichnet): Direkte Speicherplätze bieten die automatische erneute Synchronisierung nach Ereignissen, die sich auf die Verfügbarkeit von Speicherpooldatenträgern auswirken (z. B. das Herunterfahren eines Clusterknotens oder ein lokalisierter Hardwarefehler). Die Azure Stack HCI implementiert einen verbesserten Prozess für die erneute Synchronisierung, der mit einer viel feineren Granularität als Windows Server 2019 ausgeführt wird und die für die erneute Synchronisierung benötigte Zeit deutlich reduziert. Dadurch werden die potenziellen Auswirkungen mehrerer überlappender Hardwarefehler minimiert.
• Auswahl des Failoverclusteringzeugen: Der einfache, auf einem USB-Laufwerk basierende Zeuge eliminiert Abhängigkeiten von zuverlässiger Internetkonnektivität, die bei der Verwendung der cloudzeugenbasierten Konfiguration erforderlich ist.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Die Überlegungen zur Sicherheit umfassen Folgendes:

• Grundlegende Azure Stack HCI-Sicherheit: Nutzen Sie Azure Stack HCI-Hardwarekomponenten (z. B. sicherer Start, UEFI und TPM), um eine sichere Grundlage für die Sicherheit der Azure Stack HCI-VMs zu schaffen (einschließlich Device Guard und Credential Guard). Verwenden Sie die rollenbasierte Zugriffssteuerung von Windows Admin Center, um Verwaltungsaufgaben zu delegieren, indem Sie das Prinzip der geringsten Berechtigungen befolgen.
• Erweiterte Sicherheit in Bezug auf die Azure Stack HCI: Wenden Sie Microsoft-Sicherheitsbaselines auf Azure Stack HCI-Cluster und deren Windows Server-Workloads an, indem Sie Active Directory Domain Services (AD DS) mit Gruppenrichtlinie verwenden. Mit Microsoft Advanced Threat Analytics (ATA) können Sie Cyberbedrohungen ermitteln und beseitigen, die auf AD DS-Domänencontroller abzielen, die Authentifizierungsdienste für Azure Stack HCI-Cluster und deren Windows Server-Workloads bereitstellen.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Die Überlegungen zur Kostenoptimierung umfassen Folgendes:

• Clusterinterconnects ohne Switch im Vergleich zu switchbasierten Clusterinterconnects: Die Topologie in Bezug auf Interconnects ohne Switches beinhaltet redundante Verbindungen zwischen RDMA-Adaptern (Remote Direct Memory Access, Remotezugriff auf den direkten Speicher) mit einem bzw. zwei Ports pro Knoten (bildet ein vollständiges Mesh), wobei jeder Knoten direkt mit jedem anderen Knoten verbunden ist. Obwohl diese Option in einem Cluster mit zwei Knoten problemlos implementiert werden kann, erfordern größere Cluster zusätzliche Netzwerkadapter in der Hardware der einzelnen Knoten.
• Cloudbasiertes Abrechnungsmodell: Die Azure Stack HCI-Preise werden gemäß dem monatlichen Abonnementabrechnungsmodell mit einer Pauschalgebühr pro physischem Prozessor in einem Azure Stack HCI-Cluster berechnet.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Die Überlegungen zum optimalen Betrieb umfassen Folgendes:

• Vereinfachte Bereitstellung und Verwaltung mit Windows Admin Center: Der Clustererstellungs-Assistent in Windows Admin Center bietet eine assistentengesteuerte Schnittstelle, die Sie durch die Erstellung eines Azure Stack HCI-Clusters führt. Ebenso vereinfacht Windows Admin Center das Verwalten von Azure Stack HCI-VMs.
• Automatisierungsfunktionen: Die Azure Stack HCI bietet eine große Bandbreite an Automatisierungsfunktionen. Dabei werden Betriebssystemupdates mit Full-Stack-Updates (einschließlich Firmware und Treiber) kombiniert, die von Azure Stack HCI-Anbietern und Partnern bereitgestellt werden. Beim clusterfähigen Aktualisieren (Cluster-aware Updating, CAU) werden Betriebssystemupdates unbeaufsichtigt ausgeführt, während Azure Stack HCI-Workloads online bleiben. Dies führt zu nahtlosen Übergängen zwischen Clusterknoten, die Auswirkungen auf Neustarts nach dem Patchen ausschließen. Die Azure Stack HCI bietet mithilfe von Windows PowerShell auch Unterstützung für die automatisierte Clusterbereitstellung und VM-Verwaltung. Sie können Windows PowerShell lokal über einen Azure Stack HCI-Server oder remote über einen Verwaltungscomputer ausführen. Die Integration mit Azure Automation und Azure Arc ermöglicht eine Vielzahl zusätzlicher Automatisierungsszenarios für virtualisierte und containerisierte Workloads.
• Geringere Verwaltungskomplexität: Interconnects ohne Switches verhindern Fehler im Zusammenhang mit Switchgeräten und machen die Notwendigkeit der Konfiguration und Verwaltung dieser Geräte überflüssig.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Weitere Informationen finden Sie unter Übersicht über die Säule „Leistungseffizienz“.

Die Überlegungen zur Leistungseffizienz umfassen Folgendes:

• Speicherresilienz im Vergleich zur Nutzungseffizienz und zur Leistung: Die Planung für Azure Stack HCI-Volumes umfasst die Identifizierung der optimalen Balance zwischen Resilienz, Nutzungseffizienz und Leistung. Die Herausforderung ergibt sich aus der Tatsache, dass die Fokussierung auf eines dieser Merkmale in der Regel negative Auswirkungen auf mindestens eine der anderen beiden Eigenschaften hat. Wenn Sie beispielsweise die Resilienz erhöhen, wird die verwendbare Kapazität verringert, während die resultierende Leistung je nach Resilienztyp variieren kann. Im Fall von geschachtelten Volumes mit bidirektionaler Spiegelung oder geschachtelten Volumes mit Parität mit Beschleunigung per Spiegelung führt eine höhere Resilienz im Vergleich zur herkömmlichen bidirektionalen Spiegelung zu einer geringeren Kapazitätseffizienz. Gleichzeitig bietet das geschachtelte Volume mit bidirektionaler Spiegelung eine bessere Leistung als das geschachtelte Volume mit Parität mit Beschleunigung per Spiegelung, allerdings auf Kosten der geringeren Nutzungseffizienz.
• Konfiguration von Direkte Speicherplätze-Datenträgern: Direkte Speicherplätze unterstützen Festplattenlaufwerke (HDDs), SSD-Datenträger (Solid State Drives) und NVMe-Laufwerkstypen. Der Laufwerkstyp hat direkte Auswirkungen auf die Speicherleistung, da sich die Leistungsmerkmale der einzelnen Typen und der Cachingmechanismus unterscheiden, der integraler Bestandteil der Direkte Speicherplätze-Konfiguration ist. Abhängig von den Azure Stack HCI-Workloads und Budgetbeschränkungen können Sie die Leistung maximieren, die Kapazität maximieren oder eine Laufwerkskonfiguration implementieren, die ein Gleichgewicht zwischen Leistung und Kapazität bietet.
• Optimierung der Cachingleistung: Direkte Speicherplätze bieten einen integrierten, persistenten und serverseitigen Echtzeitcache für Lese- und Schreibvorgänge, der die Speicherleistung erhöht. Der Cache sollte entsprechend den von Ihnen genutzten Anwendungen und Workloads dimensioniert und konfiguriert werden. Außerdem ist die Azure Stack HCI mit dem CSV-In-Memory-Lesecache (Cluster Shared Volume, Freigegebenes Clustervolume) kompatibel. Die Verwendung von Systemarbeitsspeicher zum Zwischenspeichern von Lesevorgängen kann die Hyper-V-Leistung verbessern.
• Optimierung der Computeleistung: Die Azure Stack HCI bietet Unterstützung für die Beschleunigung des Grafikprozessors (Graphics Processing Unit, GPU) und zielt somit auf hochleistungsfähige KI-/ML-Workloads ab, die auf Edgeszenarios ausgerichtet sind.
• Optimierung der Netzwerkleistung: Stellen Sie im Rahmen Ihres Entwurfs sicher, dass Sie bei der Ermittlung der optimalen Konfiguration der Netzwerkhardware die erwartete Bandbreitenzuordnung hinsichtlich des Datenverkehrs einschließen. Dies umfasst auch Bereitstellungen zum Erfüllen der Mindestbandbreite für Interconnects ohne Switches.

Nächste Schritte

Produktdokumentation:

• Informationen zu Azure Site Recovery
• Übersicht über die Azure Automation-Zustandskonfiguration
• Azure Kubernetes Service
• Azure Monitor – Übersicht
• Übersicht über Änderungsnachverfolgung und Bestand
• Verwalten registrierter Server mit der Azure-Dateisynchronisierung
• Übersicht über die Updateverwaltung
• Was sind Azure Arc-fähige Datendienste (Vorschauversion)?
• Was sind Server mit Azure Arc-Unterstützung?
• Worum handelt es sich beim Azure Backup-Dienst?

Microsoft Learn-Module:

• Konfigurieren von Azure Files und Azure-Dateisynchronisierung
• Konfigurieren von Azure Monitor
• Entwerfen eine Sitewiederherstellungslösung in Azure
• Einführung in Azure Arc-fähige Server
• Einführung in Datendienste mit Azure Arc-Unterstützung
• Einführung in Azure Kubernetes Service
• Aktualisieren von virtuellen Computern
• Schützen Ihrer VM-Einstellungen mit Azure Automation State Configuration
• Schützen Ihrer virtuellen Computer mithilfe von Azure Backup

Zugehörige Ressourcen

• Entwurf einer Hybridarchitektur
• Azure-Hybridoptionen
• Azure Automation in einer Hybridumgebung
• Azure Automation State Configuration
• Verwenden von Stretched Clustern in der Azure Stack HCI für die Notfallwiederherstellung
• Optimieren der Verwaltung von SQL Server-Instanzen in lokalen und Multicloudumgebungen mithilfe von Azure Arc