Использование бесключаемого взаимодействия Azure Stack HCI и упрощенного кворума для удаленного офиса или филиала

В этой эталонной архитектуре показано, как спроектировать инфраструктуру для высокодоступных виртуализированных и контейнерных рабочих нагрузок в сценариях удаленного офиса или филиала (ROBO).

Архитектура

Скачайте файл Visio этой архитектуры.

Рабочий процесс

Архитектура включает в себя следующие возможности:

• Azure Stack HCI (20H2). Azure Stack HCI — это кластерное решение гиперконвергентной инфраструктуры (HCI), в котором размещаются виртуализированные рабочие нагрузки Windows и Linux и их хранилище в гибридной локальной среде. Растянутый кластер может состоять из четырех-16 физических узлов.
• Файловый ресурс-свидетель. Файловый ресурс-свидетель — это общий ресурс SMB, который отказоустойчивый кластер использует в качестве голоса в кворуме кластера. Начиная с Windows Server 2019, для этой цели можно использовать USB-накопитель, подключенный к маршрутизатору .
• Azure Arc. Облачная служба, которая расширяет модель управления на основе Resource Manager Azure для ресурсов, не относящихся к Azure, включая виртуальные машины, кластеры Kubernetes и контейнерные базы данных.
• Политика Azure. Облачная служба, которая оценивает azure и локальные ресурсы через интеграцию с Azure Arc путем сравнения свойств с настраиваемыми бизнес-правилами.
• Azure Monitor. Облачная служба, которая обеспечивает максимальную доступность и производительность приложений и служб, предоставляя комплексное решение для сбора, анализа и использования данных телеметрии из облачных и локальных сред.
• Microsoft Defender для облака. Microsoft Defender для облака — это единая система управления безопасностью инфраструктуры, которая повышает уровень безопасности центров обработки данных и обеспечивает расширенную защиту от угроз в гибридных рабочих нагрузках в облаке ( независимо от того, находится ли они в Azure) и в локальной среде.
• служба автоматизации Azure. Служба автоматизации Azure — это облачная служба автоматизации и настройки, которая поддерживает согласованное управление в Azure и других средах.
• Отслеживание изменений и инвентаризация. Функция служба автоматизации Azure, которая отслеживает изменения на серверах Windows Server и Linux, размещенных в Azure, локальных и других облачных средах, чтобы помочь выявить операционные и экологические проблемы с программным обеспечением, управляемым диспетчером пакетов распространения.
• Управление обновлениями. Функция служба автоматизации Azure, которая упрощает управление обновлениями ОС для компьютеров Windows Server и Linux в Azure, в локальных средах и в других облачных средах.
• Azure Backup. Служба Azure Backup предоставляет простые, безопасные и экономичные решения для резервного копирования и восстановления данных из облака Microsoft Azure.
• Azure Site Recovery. Облачная служба, которая помогает обеспечить непрерывность бизнес-процессов, поддерживая работу бизнес-приложений и рабочих нагрузок во время простоя. Site Recovery управляет репликацией и отработкой отказа рабочих нагрузок, выполняющихся на физических и виртуальных машинах между их основным сайтом и дополнительным расположением.
• Синхронизация файлов Azure. Облачная служба, которая может синхронизировать и кэшировать содержимое общих папок Azure, используя Серверы Windows в средах Azure и вне Azure.
• Реплика хранилища. Технология Windows Server, которая обеспечивает репликацию томов между серверами или кластерами для аварийного восстановления.

Компоненты

Основные технологии, используемые для реализации этой архитектуры:

• Служба автоматизации
• Azure Site Recovery
• Azure Arc
• Azure Backup
• Реестр контейнеров Azure
• Файлы Azure
• Azure Monitor
• Политика Azure
• Microsoft Defender для облака

Сведения о сценарии

Потенциальные варианты использования

Типичные варианты использования этой архитектуры включают следующие сценарии удаленного офиса или филиала (ROBO):

• Реализуйте высокодоступные пограничные рабочие нагрузки на основе контейнеров и виртуализированные бизнес-приложения экономичным способом.
• Снижение совокупной стоимости владения (TCO) за счет решений, сертифицированных Майкрософт, облачной автоматизации, централизованного управления и централизованного мониторинга.
• Контроль и аудит безопасности и соответствия требованиям с помощью защиты на основе виртуализации, сертифицированного оборудования и облачных служб.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Используйте коммутируемое соединение Azure Stack HCI и упрощенный кворум для высокодоступной и экономичной инфраструктуры ROBO.

В сценариях ROBO основной задачей бизнеса является минимизация затрат. Тем не менее, многие рабочие нагрузки ROBO крайне важны с очень малой терпимостью к простоям. Azure Stack HCI предлагает оптимальное решение, обеспечивая устойчивость и экономичность. С помощью Azure Stack HCI можно применить встроенную устойчивость технологий Локальные дисковые пространства и отказоустойчивой кластеризации, чтобы реализовать высокодоступную инфраструктуру вычислений, хранилищ и сети для контейнерных и виртуализированных рабочих нагрузок ROBO. Для экономичности можно использовать всего два узла кластера с четырьмя дисками и 64 ГБ памяти на узел. Чтобы еще больше свести к минимуму затраты, можно использовать бесключовые соединения между узлами, тем самым устраняя необходимость в избыточных устройствах переключения. Чтобы завершить настройку кластера, можно реализовать файловый ресурс-свидетель, просто используя USB-накопитель , подключенный к маршрутизатору, на котором размещаются исходящие каналы связи с узлами кластера. Для обеспечения максимальной устойчивости в кластере с двумя узлами можно настроить Локальные дисковые пространства тома с помощью вложенных двусторонних зеркало или вложенных зеркало ускорения четности. В отличие от традиционного двустороннего зеркального отображения, эти параметры допускают несколько одновременных сбоев оборудования без потери данных.

Полностью интегрируйте развертывания Azure Stack HCI с Azure, чтобы свести к минимуму стоимость владения в сценариях ROBO.

Как часть семейства продуктов Azure Stack, Azure Stack HCI по своей сути зависит от Azure. Поэтому для оптимизации функций и поддержки необходимо зарегистрировать его в течение 30 дней после развертывания первого кластера Azure Stack HCI. Этот процесс создает соответствующий ресурс azure Resource Manager, который эффективно расширяет плоскость управления Azure на Azure Stack HCI и автоматически включает функции мониторинга, поддержки и выставления счетов на основе портал Azure.

Чтобы свести к минимуму затраты на кластер Azure Stack HCI и управление рабочими нагрузками, следует также рассмотреть возможность использования следующих служб Azure, которые предоставляют следующие возможности:

• Azure Monitor. Собирает данные телеметрии, созданные кластерами и их виртуальными машинами для мониторинга, аналитики и оповещений.
• служба автоматизации Azure функция "Управление обновлениями". Используйте для автоматического развертывания исправлений виртуальной машины Azure Stack HCI и создания отчетов.
• функции служба автоматизации Azure, Отслеживание изменений и инвентаризации. Отслеживайте изменения конфигурации виртуальной машины Azure Stack HCI.
• служба автоматизации Azure DSC. Автоматизация настройки требуемого состояния виртуальных машин Azure Stack HCI.
• Azure Backup. Управление резервным копированием виртуальных машин Azure Stack HCI и их рабочих нагрузок.
• Azure Site Recovery. Реализуйте и управляйте аварийным восстановлением для виртуальных машин Azure Stack HCI.
• Синхронизация файлов Azure. Синхронизация и распределение общих папок, размещенных в кластерах Azure Stack HCI.
• Служба Azure Kubernetes (AKS). Реализуйте оркестрацию контейнеров.

Чтобы еще больше воспользоваться возможностями Azure, можно расширить область интеграции Azure Arc на виртуализированные и контейнерные рабочие нагрузки Azure Stack HCI, реализовав следующие функции:

• Серверы с поддержкой Azure Arc. Используйте для виртуализированных рабочих нагрузок, на которые выполняются виртуальные машины Azure Stack HCI.
• Службы данных с поддержкой Azure Arc. Используйте для контейнерных Управляемый экземпляр SQL Azure или гипермасштабирования PostgreSQL, работающих в AKS и размещенных на виртуальных машинах Azure Stack HCI.

Расширив область использования Azure Arc на виртуальные машины Azure Stack HCI, вы сможете автоматизировать их настройку с помощью расширений виртуальной машины Azure и оценивать их соответствие отраслевым требованиям и корпоративным стандартам с помощью Политики Azure.

Используйте защиту на основе виртуализации Azure Stack HCI, сертифицированное оборудование и облачные службы для повышения безопасности и соответствия требованиям в сценариях ROBO.

Сценарии ROBO представляют уникальные проблемы с безопасностью и соответствием требованиям. При отсутствии (или в лучшем случае) ограниченной локальной ИТ-поддержки и отсутствии выделенных центров обработки данных особенно важно защитить рабочие нагрузки от внутренних и внешних угроз. Эту проблему можно решить с помощью возможностей Azure Stack HCI и его интеграции со службами Azure.

Оборудование, сертифицированное azure Stack HCI, обеспечивает встроенную поддержку безопасной загрузки, единого расширяемого интерфейса встроенного ПО (UEFI) и доверенного платформенного модуля (TPM). Эти технологии в сочетании с безопасностью на основе виртуализации (VBS) помогают защитить рабочие нагрузки, чувствительные к безопасности. Шифрование дисков BitLocker позволяет шифровать неактивные тома Локальные дисковые пространства, а шифрование SMB обеспечивает автоматическое шифрование при передаче, обеспечивая соответствие таким стандартам, как Федеральный стандарт обработки информации 140-2 (FIPS 140-2) и Закон о переносе и подотчетности медицинского страхования (HIPAA).

Кроме того, вы можете подключить виртуальные машины Azure Stack HCI в Microsoft Defender for Cloud для активации облачной аналитики поведения, обнаружения и устранения угроз, оповещений и создания отчетов. Аналогичным образом, путем подключения виртуальных машин Azure Stack HCI в Azure Arc вы получаете возможность использовать Политика Azure для оценки их соответствия отраслевым нормативным требованиям и корпоративным стандартам.

Рекомендации

Microsoft Azure Well-Architected Framework — это набор руководящих принципов, которые следуют в этой эталонной архитектуре. В контексте этих принципов рассматриваются следующие аспекты.

надежность;

Надежность гарантирует, что ваше приложение позволит вам выполнить ваши обязательства перед клиентами. Дополнительные сведения см. в статье Общие сведения о принципах надежности.

Ниже приведены рекомендации по обеспечению надежности.

• Улучшена Локальные дисковые пространства скорость восстановления тома (также называемая повторной синхронизацией). Локальные дисковые пространства обеспечивает автоматическую повторную синхронизацию следующих событий, влияющих на доступность дисков пула носителей, таких как завершение работы узла кластера или сбой локализованного оборудования. Azure Stack HCI реализует расширенный процесс повторной синхронизации , который работает с гораздо более точной степенью детализации, чем Windows Server 2019, и значительно сокращает время повторной синхронизации. Это сводит к минимуму потенциальное влияние нескольких перекрывающихся сбоев оборудования.
• Выбор следящего сервера отказоустойчивой кластеризации. Упрощенный свидетель на основе USB-накопителя устраняет зависимости от надежного подключения к Интернету, что требуется при использовании конфигурации на основе облачного следящего сервера.

Безопасность

Безопасность обеспечивает гарантии от преднамеренных атак и злоупотреблений ценными данными и системами. Дополнительные сведения см. в статье Общие сведения о принципах безопасности.

Вопросы безопасности:

• Базовая безопасность Azure Stack HCI. Используйте аппаратные компоненты Azure Stack HCI (например, безопасную загрузку, UEFI и TPM) для создания безопасной основы безопасности на уровне виртуальных машин Azure Stack HCI, включая Device Guard и Credential Guard. Используйте Windows Admin Center управление доступом на основе ролей, чтобы делегировать задачи управления, следуя принципу минимальных привилегий.
• Расширенная безопасность Azure Stack HCI. Применение базовых показателей безопасности Майкрософт к кластерам Azure Stack HCI и их рабочим нагрузкам Windows Server с помощью доменные службы Active Directory (AD DS) с групповая политика. Вы можете использовать Microsoft Advanced Threat Analytics (ATA) для обнаружения и устранения киберугроз, направленных на контроллеры домена AD DS, предоставляющие службы проверки подлинности для кластеров Azure Stack HCI и их рабочих нагрузок Windows Server.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Рекомендации по оптимизации затрат:

• Межключение между кластерами без переключений и кластеров на основе коммутаторов. Топология взаимодействия без переключения состоит из избыточных подключений между адаптерами удаленного прямого доступа к памяти (RDMA) с одним или двумя портами на каждом узле (что формирует полную сетку), каждый из которых подключен непосредственно к каждому другому узлу. Хотя это легко реализовать в кластере с 2 узлами, для больших кластеров требуются дополнительные сетевые адаптеры в оборудовании каждого узла.
• Модель выставления счетов в стиле облака. Цены на Azure Stack HCI соответствуют модели выставления счетов за ежемесячную подписку с фиксированной ставкой на ядро физического процессора в кластере Azure Stack HCI.

эффективность работы;

Эффективность работы охватывает операционные процессы, которые развертывают приложение и сохраняют его работу в рабочей среде. Дополнительные сведения см. в статье Общие сведения о принципе эффективности операций.

Рекомендации по повышению эффективности работы включают в себя:

• Упрощенный процесс подготовки и управления с помощью Windows Admin Center. Мастер создания кластеров в Windows Admin Center предоставляет управляемый мастером интерфейс, который поможет вам создать кластер Azure Stack HCI. Аналогичным образом Windows Admin Center упрощает процесс управления виртуальными машинами Azure Stack HCI.
• Возможности автоматизации. Azure Stack HCI предоставляет широкий спектр возможностей автоматизации: обновления ОС в сочетании с обновлениями полного стека, включая встроенное ПО и драйверы, предоставляемые поставщиками и партнерами Azure Stack HCI. При обновлении Cluster-Aware (CAU) обновления ОС выполняются автоматически, а рабочие нагрузки Azure Stack HCI остаются в сети. Это приводит к простому переходу между узлами кластера, которые устраняют последствия перезагрузки после установки исправлений. Azure Stack HCI также предлагает поддержку автоматической подготовки кластера и управления виртуальными машинами с помощью Windows PowerShell. Вы можете запускать Windows PowerShell локально с одного из серверов Azure Stack HCI или удаленно с компьютера управления. Интеграция с служба автоматизации Azure и Azure Arc упрощает широкий спектр дополнительных сценариев автоматизации для виртуализированных и контейнерных рабочих нагрузок.
• Снижение сложности управления. Подключение без переключения исключает риск сбоев устройств коммутатора и необходимость их настройки и управления.

Уровень производительности

Уровень производительности — это способность вашей рабочей нагрузки масштабироваться в соответствии с требованиями, предъявляемыми к ней пользователями эффективным образом. Дополнительные сведения см. в статье Общие сведения о принципах эффективности производительности.

Ниже приведены рекомендации по повышению производительности.

• Устойчивость хранилища и эффективность использования, а также производительность. Планирование томов Azure Stack HCI включает определение оптимального баланса между устойчивостью, эффективностью использования и производительностью. Сложность заключается в том, что увеличение одной из этих характеристик обычно отрицательно сказывается как минимум на одной из остальных двух характеристик. Например, повышение устойчивости снижает пригодную для использования емкость, а результирующая производительность может отличаться в зависимости от типа устойчивости. В случае вложенных томов с двусторонним зеркало или вложенных томов зеркало с ускорением четности более высокая устойчивость приводит к снижению эффективности емкости по сравнению с традиционным двусторонним зеркальным отображением. В то же время вложенный том с двусторонним зеркало обеспечивает более высокую производительность, чем вложенный зеркало том с ускорением четности, но за счет более низкой эффективности использования.
• Локальные дисковые пространства конфигурации диска. Локальные дисковые пространства поддерживает жесткие диски (HDD), твердотельные накопители (SSD) и типы дисков NVMe. Тип диска напрямую влияет на производительность хранилища из-за различий в характеристиках производительности между каждым типом и механизмом кэширования, который является неотъемлемой частью конфигурации Локальные дисковые пространства. В зависимости от рабочих нагрузок Azure Stack HCI и ограничений бюджета можно увеличить производительность, увеличить емкость или реализовать конфигурацию диска, обеспечивающую баланс между производительностью и емкостью.
• Оптимизация кэширования хранилища. Локальные дисковые пространства предоставляет встроенный, постоянный кэш на стороне сервера в режиме реального времени для чтения и записи, который обеспечивает максимальную производительность хранилища. Размер кэша должен быть настроен для размещения рабочего набора приложений и рабочих нагрузок. Кроме того, Azure Stack HCI совместим с кэшем чтения общего тома кластера (CSV) в памяти. Использование системной памяти для кэширования операций чтения может повысить производительность Hyper-V.
• Оптимизация производительности вычислений. Azure Stack HCI предлагает поддержку ускорения графического процессора (GPU) для высокопроизводительных рабочих нагрузок искусственного интеллекта и машинного обучения , предназначенных для пограничных сценариев.
• Оптимизация производительности сети. В рамках проекта при определении оптимальной конфигурации сетевого оборудования обязательно включите прогнозируемый объем распределения пропускной способности трафика. Сюда входят требования к минимальной пропускной способности без переключения между соединениями.

Дальнейшие действия

Документация по продуктам:

• Сведения о Site Recovery
• Обзор службы "Настройка состояния службы автоматизации Azure"
• Служба Azure Kubernetes
• Общие сведения о службе Azure Monitor
• Общие сведения об отслеживании изменений и инвентаризации
• Управление зарегистрированными серверами в службе "Синхронизация файлов Azure"
• Общие сведения о службе "Управление обновлениями"
• Что такое службы данных с поддержкой Azure Arc?
• Что такое серверы с поддержкой Azure Arc?
• Что такое служба Azure Backup?

Модули Microsoft Learn:

• Настройка Файлов Azure и Синхронизации файлов Azure
• Настройка Azure Monitor
• Разработка решения по восстановлению сайта в Azure
• Введение в серверы с поддержкой Azure Arc
• Введение в службы данных с поддержкой Azure Arc
• Общие сведения о Службе Azure Kubernetes
• Обновление виртуальных машин
• Защита параметров виртуальных машин с помощью службы State Configuration службы автоматизации Azure
• Защита виртуальных машин с помощью Azure Backup

Связанные ресурсы

• Проектирование гибридной архитектуры
• Варианты гибридного использования Azure
• Использование службы автоматизации Azure в гибридной среде
• Служба автоматизации Azure — State Configuration
• Использование растянутых кластеров Azure Stack HCI для аварийного восстановления
• Оптимизация администрирования экземпляров SQL Server в локальных и многооблачных средах с помощью Azure Arc