Ta architektura referencyjna ilustruje sposób projektowania infrastruktury dla obciążeń zwirtualizowanych i konteneryzowanych o wysokiej dostępności w scenariuszach pakietu Office zdalnego/oddziału (ROBO).
Architektura
Pobierz plik programu Visio z tą architekturą.
Przepływ pracy
Architektura obejmuje następujące możliwości:
- Azure Stack HCI (20H2). Azure Stack HCI to hiperkonwergentne rozwiązanie klastra infrastruktury (HCI), które hostuje zwirtualizowane obciążenia systemu Windows i Linux oraz ich magazyn w hybrydowym środowisku lokalnym. Rozproszony klaster może składać się z czterech do 16 węzłów fizycznych.
- Monitor udziału plików. Monitor udziału plików jest udziałem bloku komunikatów serwera (SMB), który klaster trybu failover używa jako głosowania w kworum klastra. Począwszy od systemu Windows Server 2019, w tym celu można użyć dysku USB podłączonego do routera .
- Azure Arc. Oparta na chmurze usługa, która rozszerza model zarządzania oparty na Resource Manager platformy Azure na zasoby inne niż platformy Azure, w tym maszyny wirtualne, klastry Kubernetes i konteneryzowane bazy danych.
- Azure Policy. Usługa oparta na chmurze, która ocenia zasoby platformy Azure i zasoby lokalne za pomocą integracji z usługą Azure Arc, porównując właściwości z dostosowywalnymi regułami biznesowymi.
- Azure Monitor. Usługa oparta na chmurze, która maksymalizuje dostępność i wydajność aplikacji i usług, zapewniając kompleksowe rozwiązanie do zbierania, analizowania i działania na telemetrii ze środowisk w chmurze i środowiskach lokalnych.
- Microsoft Defender dla chmury. Microsoft Defender for Cloud to ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia stan zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze — niezależnie od tego, czy znajdują się na platformie Azure, czy nie — i lokalnie.
- Azure Automation. Azure Automation oferuje opartą na chmurze usługę automatyzacji i konfiguracji, która obsługuje spójne zarządzanie w środowiskach platformy Azure i innych niż azure.
- Śledzenie zmian i spis. Funkcja Azure Automation, która śledzi zmiany na serwerach z systemem Windows Server i Linux hostowanych na platformie Azure, lokalnie i innych środowiskach w chmurze, aby ułatwić określenie problemów operacyjnych i środowiskowych z oprogramowaniem zarządzanym przez Menedżera pakietów dystrybucji.
- Update Management. Funkcja Azure Automation, która usprawnia zarządzanie aktualizacjami systemu operacyjnego dla maszyn z systemem Windows Server i Linux na platformie Azure, w środowiskach lokalnych i w innych środowiskach w chmurze.
- Azure Backup. Usługa Azure Backup udostępnia proste, bezpieczne i ekonomiczne rozwiązania do wykonywania kopii zapasowych danych i odzyskiwania ich z chmury platformy Microsoft Azure.
- Azure Site Recovery. Usługa oparta na chmurze, która pomaga zapewnić ciągłość działania dzięki zachowaniu ciągłości działania aplikacji biznesowych i obciążeń podczas awarii. Site Recovery zarządza replikacją i trybem failover obciążeń działających zarówno na maszynach fizycznych, jak i wirtualnych między ich lokacją główną a lokalizacją dodatkową.
- Azure File Sync. Usługa oparta na chmurze, która może synchronizować i buforować zawartość udziałów plików platformy Azure przy użyciu serwerów z systemem Windows w środowiskach platformy Azure i innych niż azure.
- Replika magazynu. Technologia systemu Windows Server, która umożliwia replikację woluminów między serwerami lub klastrami na potrzeby odzyskiwania po awarii.
Składniki
Kluczowe technologie używane do implementowania tej architektury:
- Automatyzacja
- Azure Site Recovery
- Azure Arc
- Azure Backup
- Azure Container Registry
- Azure Files
- Azure Monitor
- Azure Policy
- Microsoft Defender for Cloud
Szczegóły scenariusza
Potencjalne przypadki użycia
Typowe zastosowania tej architektury obejmują następujące scenariusze zdalnego pakietu Office/oddziału (ROBO):
- Zaimplementuj obciążenia brzegowe o wysokiej dostępności oparte na kontenerach i zwirtualizowane aplikacje niezbędne dla działania firmy w ekonomiczny sposób.
- Niższy całkowity koszt posiadania (TCO) za pośrednictwem rozwiązań certyfikowanych przez firmę Microsoft, automatyzacji opartej na chmurze, scentralizowanego zarządzania i scentralizowanego monitorowania.
- Kontrolowanie i inspekcja zabezpieczeń i zgodności przy użyciu ochrony opartej na wirtualizacji, certyfikowanego sprzętu i usług opartych na chmurze.
Zalecenia
Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.
Używaj przełączników bez przełączania usługi Azure Stack HCI i uproszczonego kworum w celu uzyskania wysokiej dostępności i ekonomicznej infrastruktury ROBO.
W scenariuszach ROBO podstawową kwestią biznesową jest minimalizacja kosztów. Jednak wiele obciążeń ROBO ma najwyższy poziom krytyczny z bardzo małą tolerancją dla przestojów. Usługa Azure Stack HCI oferuje optymalne rozwiązanie, oferując zarówno odporność, jak i efektywność kosztową. Za pomocą rozwiązania Azure Stack HCI można zastosować wbudowaną odporność technologii Bezpośrednie miejsca do magazynowania i klastra trybu failover w celu zaimplementowania wysokiej dostępności zasobów obliczeniowych, magazynu i infrastruktury sieciowej na potrzeby konteneryzowanych i zwirtualizowanych obciążeń ROBO. W przypadku ekonomicznej efektywności można używać tylko dwóch węzłów klastra z tylko czterema dyskami i 64 gigabajtami (GB) pamięci na węzeł. Aby jeszcze bardziej zminimalizować koszty, można używać bez przełączania połączeń między węzłami, eliminując w ten sposób potrzebę nadmiarowego przełącznika urządzeń. Aby sfinalizować konfigurację klastra, można zaimplementować monitor udziału plików po prostu przy użyciu dysku USB podłączonego do routera, który hostuje pasma z węzłów klastra. Aby uzyskać maksymalną odporność, w klastrze 2-węzłowym można skonfigurować woluminy Bezpośrednie miejsca do magazynowania z zagnieżdżonym dublowaniem dwukierunkowym lub przyspieszoną parzystością dublowania zagnieżdżonego. W przeciwieństwie do tradycyjnego dublowania dwukierunkowego, te opcje tolerują wiele równoczesnych awarii sprzętowych bez utraty danych.
Uwaga
W przypadku odporności zagnieżdżonej klaster 2-węzłowy i wszystkie jego woluminy pozostaną w trybie online po awarii jednego węzła i pojedynczego dysku w węźle ocalałym.
W pełni zintegruj wdrożenia rozwiązania Azure Stack HCI z platformą Azure, aby zminimalizować TCO w scenariuszach ROBO.
W ramach rodziny produktów usługi Azure Stack rozwiązanie Azure Stack HCI jest z natury zależne od platformy Azure. W związku z tym, aby zoptymalizować funkcje i obsługę, należy zarejestrować go w ciągu 30 dni od wdrożenia pierwszego klastra usługi Azure Stack HCI. Ten proces generuje odpowiedni zasób usługi Azure Resource Manager, który skutecznie rozszerza płaszczyznę zarządzania platformy Azure na usługę Azure Stack HCI i automatycznie włącza Azure Portal oparte na monitorowaniu, obsłudze i funkcjach rozliczeń.
Aby zminimalizować obciążenie związane z zarządzaniem klastrem i obciążeniem usługi Azure Stack HCI, należy również rozważyć użycie następujących usług platformy Azure, które zapewniają następujące możliwości:
- Azure Monitor. Zbiera dane telemetryczne generowane przez klastry i ich maszyny wirtualne na potrzeby monitorowania, analizy i alertów.
- Azure Automation, funkcja Update Management. Służy do zautomatyzowanego wdrażania i raportowania poprawek maszyny wirtualnej usługi Azure Stack HCI.
- Azure Automation, Change Tracking i funkcja spisu. Śledzenie zmian konfiguracji maszyny wirtualnej rozwiązania Azure Stack HCI.
- Azure Automation DSC. Automatyzowanie żądanej konfiguracji stanu maszyn wirtualnych usługi Azure Stack HCI.
- Azure Backup. Zarządzanie kopiami zapasowymi maszyn wirtualnych usługi Azure Stack HCI i ich obciążeń.
- Azure Site Recovery. Implementowanie i organizowanie odzyskiwania po awarii dla maszyn wirtualnych usługi Azure Stack HCI.
- Azure File Sync. Synchronizowanie i warstwowe udziały plików hostowane w klastrach usługi Azure Stack HCI.
- Azure Kubernetes Service (AKS). Implementowanie orkiestracji kontenerów.
Aby dodatkowo korzystać z możliwości platformy Azure, możesz rozszerzyć zakres integracji usługi Azure Arc z zwirtualizowanymi i konteneryzowanymi obciążeniami usługi Azure Stack HCI, implementując następujące funkcje:
- Serwery z obsługą usługi Azure Arc. Służy do obsługi zwirtualizowanych obciążeń z uruchomionymi maszynami wirtualnymi rozwiązania Azure Stack HCI.
- Usługi danych z obsługą usługi Azure Arc. Służy do konteneryzowanych Azure SQL Managed Instance lub Hiperskala PostgreSQL działających w usłudze AKS i hostowanych przez maszyny wirtualne usługi Azure Stack HCI.
Przestroga
Usługa AKS w usługach danych z obsługą usługi Azure Stack HCI i Azure Arc jest dostępna w wersji zapoznawczej podczas publikowania tej architektury referencyjnej.
Zakres usługi Azure Arc rozszerzony na maszyny wirtualne usługi Azure Stack HCI pozwala zautomatyzować ich konfigurację przy użyciu rozszerzeń maszyn wirtualnych platformy Azure i ocenić ich zgodność z przepisami branżowymi i standardami firmowymi przy użyciu Azure Policy.
Korzystaj z ochrony opartej na wirtualizacji usługi Azure Stack HCI, certyfikowanych sprzętu i usług opartych na chmurze, aby zwiększyć stan zabezpieczeń i zgodności w scenariuszach ROBO.
Scenariusze ROBO stanowią unikatowe wyzwania związane z zabezpieczeniami i zgodnością. Bez — ani w najlepszym razie — ograniczona lokalna obsługa IT i brak dedykowanych centrów danych, szczególnie ważne jest, aby chronić obciążenia przed zagrożeniami wewnętrznymi i zewnętrznymi. Możliwości usługi Azure Stack HCI i jej integracja z usługami platformy Azure mogą rozwiązać ten problem.
Certyfikowany sprzęt usługi Azure Stack HCI zapewnia wbudowaną obsługę bezpiecznego rozruchu, ujednoliconego rozszerzalnego interfejsu układowego (UEFI) i modułu TPM (Trusted Platform Module). Te technologie w połączeniu z zabezpieczeniami opartymi na wirtualizacji (VBS) pomagają chronić obciążenia wrażliwe na zabezpieczenia. Szyfrowanie dysków funkcją BitLocker umożliwia szyfrowanie woluminów Bezpośrednie miejsca do magazynowania magazynowanych, podczas gdy szyfrowanie SMB zapewnia automatyczne szyfrowanie podczas przesyłania, ułatwiając zgodność ze standardami, takimi jak Federal Information Processing Standard 140-2 (FIPS 140-2) i Health Insurance Portability and Accountability Act (HIPAA).
Ponadto możesz dołączyć maszyny wirtualne usługi Azure Stack HCI w usłudze Microsoft Defender for Cloud w celu aktywowania analizy behawioralnej opartej na chmurze, wykrywania zagrożeń i korygowania, zgłaszania alertów i raportowania. Podobnie, dołączając maszyny wirtualne usługi Azure Stack HCI w usłudze Azure Arc, możesz użyć Azure Policy do oceny zgodności z przepisami branżowymi i standardami firmowymi.
Zagadnienia do rozważenia
Platforma Microsoft Azure Well-Architected Framework to zestaw wskazówek, które są przestrzegane w tej architekturze referencyjnej. Poniższe zagadnienia są oprawione w kontekście tych zestawów.
Niezawodność
Niezawodność zapewnia, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Omówienie filaru niezawodności.
Zagadnienia dotyczące niezawodności obejmują:
- Ulepszona szybkość naprawy woluminu Bezpośrednie miejsca do magazynowania (nazywana również ponowną synchronizacją). Bezpośrednie miejsca do magazynowania zapewnia automatyczną ponowną synchronizację po zdarzeniach wpływających na dostępność dysków puli magazynów, takich jak zamykanie węzła klastra lub zlokalizowane awarie sprzętu. Usługa Azure Stack HCI implementuje rozszerzony proces ponownego synchronizowania , który działa znacznie bardziej szczegółowo niż Windows Server 2019 i znacznie zmniejsza czas ponownej synchronizacji. Minimalizuje to potencjalny wpływ wielu nakładających się awarii sprzętowych.
- Wybór monitora klastra trybu failover. Lekki monitor oparty na dysku USB eliminuje zależności od niezawodnej łączności z Internetem, która jest wymagana podczas korzystania z konfiguracji monitora w chmurze.
Zabezpieczenia
Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.
Zagadnienia dotyczące zabezpieczeń obejmują:
- Podstawowe zabezpieczenia usługi Azure Stack HCI. Skorzystaj ze składników sprzętowych usługi Azure Stack HCI (takich jak Bezpieczny rozruch, UEFI i TPM), aby utworzyć bezpieczną podstawę dla zabezpieczeń na poziomie maszyny wirtualnej usługi Azure Stack HCI, w tym funkcji Device Guard i Credential Guard. Użyj Windows Admin Center kontroli dostępu opartej na rolach, aby delegować zadania zarządzania, postępując zgodnie z zasadą najniższych uprawnień.
- Zaawansowane zabezpieczenia usługi Azure Stack HCI. Zastosuj punkty odniesienia zabezpieczeń firmy Microsoft do klastrów usługi Azure Stack HCI i ich obciążeń systemu Windows Server przy użyciu Active Directory Domain Services (AD DS) z zasady grupy. Możesz użyć usługi Microsoft Advanced Threat Analytics (ATA) do wykrywania i korygowania zagrożeń cybernetycznych przeznaczonych dla kontrolerów domeny usług AD DS zapewniających usługi uwierzytelniania w klastrach Azure Stack HCI i ich obciążeniach systemu Windows Server.
Optymalizacja kosztów
Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.
Zagadnienia dotyczące optymalizacji kosztów obejmują:
- Połączenia między klastrami opartymi na przełącznikach i przełącznikach. Topologia połączenia między przełącznikami składa się z nadmiarowych połączeń między kartami z pojedynczym portem lub dwoma portami zdalnego bezpośredniego dostępu do pamięci (RDMA) w każdym węźle (który tworzy pełną siatkę), z każdym węzłem podłączonym bezpośrednio do każdego innego węzła. Chociaż jest to proste do zaimplementowania w klastrze 2-węzłowym, większe klastry wymagają dodatkowych kart sieciowych na sprzęcie każdego węzła.
- Model rozliczeń w stylu chmury. Cennik rozwiązania Azure Stack HCI jest zgodny z miesięcznym modelem rozliczeniowym subskrypcji z główną stawką na procesor fizyczny w klastrze usługi Azure Stack HCI.
Przestroga
Chociaż nie ma wymagań dotyczących licencjonowania oprogramowania lokalnego dla węzłów klastra hostowania infrastruktury usługi Azure Stack HCI, maszyny wirtualne usługi Azure Stack HCI mogą wymagać poszczególnych licencji systemu operacyjnego. W przypadku korzystania z innych usług platformy Azure mogą być również naliczane dodatkowe opłaty za użycie.
Efektywność operacyjna
Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.
Zagadnienia dotyczące doskonałości operacyjnej obejmują:
- Uproszczone środowisko aprowizacji i zarządzania przy użyciu Windows Admin Center. Kreator tworzenia klastra w Windows Admin Center udostępnia interfejs oparty na kreatorze, który przeprowadzi Cię przez proces tworzenia klastra usługi Azure Stack HCI. Podobnie Windows Admin Center upraszcza proces zarządzania maszynami wirtualnymi usługi Azure Stack HCI.
- Możliwości automatyzacji. Usługa Azure Stack HCI oferuje szeroką gamę możliwości automatyzacji z aktualizacjami systemu operacyjnego połączonymi z aktualizacjami pełnego stosu, takimi jak oprogramowanie układowe i sterowniki dostarczane przez dostawców i partnerów usługi Azure Stack HCI. W przypadku aktualizacji systemu operacyjnego Cluster-Aware aktualizacji systemu operacyjnego są uruchamiane nienadzorowane, podczas gdy obciążenia usługi Azure Stack HCI pozostają w trybie online. Powoduje to bezproblemowe przejścia między węzłami klastra, które eliminują wpływ na ponowne uruchomienie po poprawce. Usługa Azure Stack HCI oferuje również obsługę zautomatyzowanej aprowizacji klastra i zarządzania maszynami wirtualnymi przy użyciu Windows PowerShell. Można uruchomić Windows PowerShell lokalnie z jednego z serwerów usługi Azure Stack HCI lub zdalnie z komputera zarządzania. Integracja z Azure Automation i usługą Azure Arc ułatwia szeroką gamę dodatkowych scenariuszy automatyzacji dla zwirtualizowanych i konteneryzowanych obciążeń.
- Zmniejszona złożoność zarządzania. Połączenie bez przełącznika eliminuje ryzyko awarii urządzenia przełącznika i potrzeby ich konfiguracji i zarządzania.
Efektywność wydajności
Efektywność wydajności to możliwość skalowania obciążenia w celu zaspokojenia zapotrzebowania użytkowników w wydajny sposób. Aby uzyskać więcej informacji, zobacz Omówienie filaru wydajności.
Zagadnienia dotyczące wydajności obejmują:
- Odporność magazynu a wydajność użycia i wydajność. Planowanie woluminów usługi Azure Stack HCI obejmuje identyfikację optymalnej równowagi między odpornością, wydajnością użycia i wydajnością. Wyzwanie wynika z faktu, że maksymalizacja jednej z tych cech zwykle ma negatywny wpływ na co najmniej jedno z pozostałych dwóch. Na przykład zwiększenie odporności zmniejsza pojemność do użycia, podczas gdy wynikowa wydajność może się różnić w zależności od typu odporności. W przypadku zagnieżdżonych woluminów dublowanych dwukierunkowych lub zagnieżdżonych woluminów parzystości przyspieszonej parzystości wyższa odporność prowadzi do niższej wydajności w porównaniu z tradycyjnym dublowaniem dwukierunkowym. Jednocześnie zagnieżdżony wolumin dublowany dwukierunkowo zapewnia lepszą wydajność niż zagnieżdżony wolumin parzystości przyspieszonej parzystości dublowania, ale kosztem niższej wydajności użycia.
- Bezpośrednie miejsca do magazynowania konfiguracji dysku. Bezpośrednie miejsca do magazynowania obsługuje dyski twarde (HDD), dyski półprzewodnikowe (SSD) i typy dysków NVMe. Typ dysku ma bezpośredni wpływ na wydajność magazynu ze względu na różnice w właściwościach wydajności między poszczególnymi typami i mechanizmem buforowania, który jest integralną częścią konfiguracji Bezpośrednie miejsca do magazynowania. W zależności od obciążeń usługi Azure Stack HCI i ograniczeń budżetowych można zmaksymalizować wydajność, zmaksymalizować pojemność lub zaimplementować konfigurację dysku, która zapewnia równowagę między wydajnością a pojemnością.
- Optymalizacja buforowania magazynu. Bezpośrednie miejsca do magazynowania zapewnia wbudowaną, trwałą, w czasie rzeczywistym, odczyt i zapis, pamięć podręczną po stronie serwera, która maksymalizuje wydajność magazynu. Pamięć podręczna powinna mieć rozmiar i skonfigurować tak, aby pomieścić działający zestaw aplikacji i obciążeń. Ponadto usługa Azure Stack HCI jest zgodna z pamięcią podręczną odczytu udostępnionego woluminu klastra (CSV). Użycie pamięci systemowej do buforowania odczytów może zwiększyć wydajność funkcji Hyper-V.
- Optymalizacja wydajności obliczeniowej. Usługa Azure Stack HCI oferuje obsługę przyspieszania jednostki przetwarzania graficznego (GPU), która jest przeznaczona dla obciążeń sztucznej inteligencji/uczenia maszynowego o wysokiej wydajności , które są kierowane do scenariuszy brzegowych.
- Optymalizacja wydajności sieci. W ramach projektu należy uwzględnić prognozowaną alokację przepustowości ruchu podczas określania optymalnej konfiguracji sprzętu sieciowego. Obejmuje to aprowizowanie wymagań dotyczących przepustowości minimalnej bez przełączania między połączeniami.
Następne kroki
Dokumentacja produktu:
- Informacje o usłudze Site Recovery
- omówienie Azure Automation State Configuration
- Azure Kubernetes Service
- Omówienie usługi Azure Monitor
- omówienie Śledzenie zmian i spis
- Zarządzanie zarejestrowanymi serwerami przy użyciu Azure File Sync
- Omówienie rozwiązania Update Management
- Co to są usługi danych z obsługą usługi Azure Arc?
- Co to są serwery z obsługą usługi Azure Arc?
- Co to jest usługa Azure Backup?
Moduły usługi Microsoft Learn:
- Konfigurowanie plików platformy Azure i Azure File Sync
- Konfigurowanie usługi Azure Monitor
- Projektowanie rozwiązania do odzyskiwania lokacji na platformie Azure
- Wprowadzenie do serwerów z obsługą usługi Azure Arc
- Wprowadzenie do usług danych z obsługą usługi Azure Arc
- Wprowadzenie do usługi Azure Kubernetes Service
- Dbanie o aktualność maszyn wirtualnych
- Ochrona ustawień maszyny wirtualnej za pomocą usługi Azure Automation State Configuration
- Ochrona maszyn wirtualnych za pomocą usługi Azure Backup
Powiązane zasoby
- Projekt architektury hybrydowej
- Opcje hybrydowe platformy Azure
- Usługa Azure Automation w środowisku hybrydowym
- Usługa State Configuration w usłudze Azure Automation
- Korzystanie z klastrów rozproszonych usługi Azure Stack HCI w celu odzyskiwania po awarii
- Optymalizowanie administrowania wystąpieniami SQL Server w środowiskach lokalnych i wielochmurowych przy użyciu usługi Azure Arc