Sdílet prostřednictvím

Aspekty plánování integrace datacenter pro integrované systémy Služby Azure Stack Hub

  • Článek

Pokud vás zajímá integrovaný systém Služby Azure Stack Hub, měli byste porozumět hlavním aspektům plánování týkajícím se nasazení a způsobu, jakým systém zapadá do vašeho datacentra. Tento článek obsahuje základní přehled těchto aspektů, které vám pomůžou při rozhodování o důležité infrastruktuře pro integrované systémy Služby Azure Stack Hub. Pochopení těchto aspektů pomáhá při práci s dodavatelem hardwaru OEM při nasazování služby Azure Stack Hub do vašeho datacentra.

Poznámka

Integrované systémy služby Azure Stack Hub je možné zakoupit pouze od autorizovaných dodavatelů hardwaru.

Pokud chcete nasadit Službu Azure Stack Hub, musíte před zahájením nasazení poskytnout poskytovateli řešení informace o plánování, aby se proces rychle a hladce rozběhl. Požadované informace napříč sítěmi, zabezpečením a identitou s mnoha důležitými rozhodnutími, která mohou vyžadovat znalosti z mnoha různých oblastí a rozhodovacích pravomocí. K zajištění připravenosti všech požadovaných informací před nasazením budete potřebovat lidi z více týmů ve vaší organizaci. Může vám pomoct mluvit s dodavatelem hardwaru při shromažďování těchto informací, protože může mít užitečné rady.

Při zkoumání a shromažďování požadovaných informací možná budete muset provést určité změny konfigurace před nasazením v síťovém prostředí. Tyto změny můžou zahrnovat rezervaci adresních prostorů IP pro řešení Azure Stack Hub a také konfiguraci směrovačů, přepínačů a bran firewall pro přípravu připojení k novým přepínačům řešení Azure Stack Hub. Ujistěte se, že máte odborníka na předmětnou oblast, která vám pomůže s plánováním.

Aspekty plánování kapacity

Při vyhodnocování řešení Azure Stack Hub pro získání provedete volby konfigurace hardwaru, které mají přímý vliv na celkovou kapacitu řešení Azure Stack Hub. Patří sem klasické volby procesoru, hustoty paměti, konfigurace úložiště a celkového škálování řešení (například počet serverů). Na rozdíl od tradičního virtualizačního řešení se jednoduchá aritmetika těchto komponent k určení použitelné kapacity nevztahuje. Prvním důvodem je, že služba Azure Stack Hub je navržená tak, aby hostovala infrastrukturu nebo komponenty pro správu v rámci samotného řešení. Druhým důvodem je, že některá kapacita řešení je vyhrazená pro podporu odolnosti tím, že aktualizuje software řešení způsobem, který minimalizuje přerušení úloh tenanta.

Tabulka plánovače kapacity služby Azure Stack Hub vám pomůže učinit informovaná rozhodnutí o plánování kapacity dvěma způsoby. První možností je vybrat nabídku hardwaru a pokusit se přizpůsobit kombinaci prostředků. Druhou možností je definování úlohy, kterou má služba Azure Stack Hub spustit, aby zobrazila dostupné hardwarové skladové položky, které ho podporují. Tabulka je nakonec určená jako vodítko, které vám pomůže při rozhodování souvisejících s plánováním a konfigurací služby Azure Stack Hub.

Tabulka není určená jako náhrada za vlastní šetření a analýzu. Společnost Microsoft neposkytuje žádné vyjádření ani záruky, výslovné ani předpokládané, pokud jde o informace uvedené v tabulce.

Důležité informace o správě

Azure Stack Hub je zapečetěný systém, ve kterém je infrastruktura uzamčená jak z hlediska oprávnění, tak sítě. Seznamy řízení přístupu k síti (ACL) se použijí k blokování veškerého neautorizovaného příchozího provozu a veškeré zbytečné komunikace mezi komponentami infrastruktury. Tento systém znesnadňuje neoprávněným uživatelům přístup k systému.

Pro každodenní správu a provoz neexistuje neomezený přístup správce k infrastruktuře. Operátoři služby Azure Stack Hub musí spravovat systém prostřednictvím portálu pro správu nebo prostřednictvím Azure Resource Manageru (prostřednictvím PowerShellu nebo rozhraní REST API). K tomu systému nemají přístup jiné nástroje pro správu, jako je Hyper-V Manager nebo Správce clusteru převzetí služeb při selhání. Kvůli ochraně systému není možné instalovat software třetích stran (například agenty) do komponent infrastruktury služby Azure Stack Hub. Interoperabilita s externí správou a softwarem zabezpečení probíhá prostřednictvím PowerShellu nebo rozhraní REST API.

Pokud potřebujete vyšší úroveň přístupu, obraťte se na podporu Microsoftu pro řešení potíží, které nejsou vyřešené prostřednictvím postupu mediace upozornění. Prostřednictvím podpory existuje metoda, která poskytuje dočasný úplný přístup správce k systému pro pokročilejší operace.

Úvahy o identitě

Volba zprostředkovatele identity

Budete muset zvážit, kterého zprostředkovatele identity chcete použít pro nasazení služby Azure Stack Hub, a to buď Microsoft Entra ID, nebo AD FS. Po nasazení nemůžete přepnout zprostředkovatele identity bez opětovného nasazení celého systému. Pokud nemáte účet Microsoft Entra a používáte účet, který vám poskytl poskytovatel cloudových řešení, a pokud se rozhodnete přepnout poskytovatele a použít jiný účet Microsoft Entra, budete muset kontaktovat svého poskytovatele řešení, aby řešení znovu nasadili za vás.

Vaše volba zprostředkovatele identity nemá žádný vliv na virtuální počítače tenanta, systém identit, účty, které používají, nebo jestli se můžou připojit k doméně služby Active Directory atd. Tyto věci jsou oddělené.

Můžete nasadit více systémů Azure Stack Hub se stejným tenantem Microsoft Entra nebo službou Active Directory.

Integrace služby AD FS a Microsoft Graphu

Pokud se rozhodnete nasadit službu Azure Stack Hub pomocí služby AD FS jako zprostředkovatele identity, musíte integrovat instanci SLUŽBY AD FS ve službě Azure Stack Hub se stávající instancí služby AD FS prostřednictvím vztahu důvěryhodnosti federace. Tato integrace umožňuje identitám v existující doménové struktuře Active Directory ověřování pomocí prostředků ve službě Azure Stack Hub.

Službu Graph můžete také integrovat do služby Azure Stack Hub se stávající službou Active Directory. Tato integrace umožňuje spravovat řízení přístupu Role-Based (RBAC) v Azure Stack Hub. Při delegovaném přístupu k prostředku vyhledá komponenta Graph uživatelský účet v existující doménové struktuře služby Active Directory pomocí protokolu LDAP.

Následující diagram znázorňuje integrovaný tok provozu služby AD FS a Graph.

diagram znázorňující tok provozu služby AD FS a Microsoft Graph

Model licencování

Musíte se rozhodnout, který model licencování chcete použít. Dostupné možnosti závisí na tom, jestli nasadíte Službu Azure Stack Hub připojenou k internetu:

  • U připojeného nasazení můžete zvolit buď licencování založené na průběžných platbách, nebo na základě kapacity. Platba podle využití vyžaduje připojení k Azure k hlášení využití, které se pak účtuje prostřednictvím komerce Azure.
  • Licencování na základě kapacity se podporuje pouze v případě, že nasadíte bez připojení k internetu.

Pro více informací o licenčních modelech si přečtěte sekci Balíčky a ceny služby Microsoft Azure Stack Hub.

Rozhodnutí o pojmenování

Budete se muset zamyslet nad tím, jak chcete naplánovat obor názvů služby Azure Stack Hub, zejména název oblasti a název externí domény. Externí plně kvalifikovaný název domény (FQDN) vašeho nasazení služby Azure Stack Hub pro veřejné koncové body je kombinací těchto dvou názvů: <regionu>.<FQDN>. Například east.cloud.fabrikam.com. V tomto příkladu budou portály služby Azure Stack Hub k dispozici na následujících adresách URL:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Důležitý

Název oblasti, kterou zvolíte pro nasazení služby Azure Stack Hub, musí být jedinečný a zobrazí se na adresách portálu.

Následující tabulka shrnuje tato rozhodnutí o pojmenování domény.

Jméno Popis
Název oblasti Název vaší první oblasti služby Azure Stack Hub. Tento název se používá jako součást plně kvalifikovaného názvu domény pro veřejné virtuální IP adresy (VIPs), které spravuje služba Azure Stack Hub. Název oblasti by obvykle byl identifikátor fyzického umístění, například umístění datového centra.

Název oblasti musí obsahovat pouze písmena a číslice od 0 do 9. Nejsou povoleny žádné speciální znaky (například -, #atd.).
Název externí domény Název zóny DNS (Domain Name System) pro koncové body s externími VIP. Používá se v plně kvalifikovaném názvu domény pro tyto veřejné virtuální IP adresy.
Privátní (interní) název domény Název domény (a interní zóny DNS) vytvořené ve službě Azure Stack Hub pro správu infrastruktury.

Požadavky na certifikáty

Pro nasazení budete muset poskytnout certifikáty SSL (Secure Sockets Layer) pro veřejné koncové body. Na vysoké úrovni mají certifikáty následující požadavky:

  • Můžete použít jeden certifikát se zástupným znakem nebo můžete použít sadu vyhrazených certifikátů a pak používat zástupné znaky pouze pro koncové body, jako je úložiště a Key Vault.
  • Certifikáty může vydat veřejná důvěryhodná certifikační autorita (CA) nebo certifikační autorita spravovaná zákazníkem.

Další informace o tom, jaké certifikáty PKI jsou potřeba k nasazení služby Azure Stack Hub a jak je získat, najdete v tématu požadavky na certifikát infrastruktury veřejných klíčů služby Azure Stack Hub.

Důležitý

Poskytnuté informace o certifikátu PKI by se měly používat jako obecné pokyny. Než získáte certifikáty PKI pro Azure Stack Hub, obraťte se na svého hardwarového partnera OEM. Poskytnou podrobnější pokyny a požadavky na certifikáty.

Synchronizace času

Musíte zvolit konkrétní časový server, který se používá k synchronizaci služby Azure Stack Hub. Synchronizace času je kritická pro Azure Stack Hub a jeho infrastrukturní role, protože se používá ke generování lístků protokolu Kerberos. Lístky Kerberos se používají k ověřování interních služeb navzájem.

Je nutné zadat IP adresu pro server synchronizace času. I když většina komponent v infrastruktuře dokáže přeložit adresu URL, některé podporují pouze IP adresy. Pokud používáte možnost odpojeného nasazení, musíte zadat časový server ve vaší podnikové síti, ke kterému máte jistotu, že se můžete dostat ze sítě infrastruktury ve službě Azure Stack Hub.

Důležitý

Pokud váš časový server není server NTP se systémem Windows, musíte přidat ,0x8 ke konci IP adresy. Například 10.1.1.123,0x8.

Připojení služby Azure Stack Hub k Azure

V případě hybridních cloudových scénářů budete muset naplánovat, jak chcete připojit Azure Stack Hub k Azure. Existují dvě podporované metody připojení virtuálních sítí ve službě Azure Stack Hub k virtuálním sítím v Azure:

  • Site-to-site: Připojení virtuální privátní sítě (VPN) přes protokol IPsec (IKE v1 a IKE v2). Tento typ připojení vyžaduje zařízení VPN nebo službu směrování a vzdáleného přístupu (RRAS). Další informace o branách VPN v Azure najdete v tématu O službě VPN Gateway. Komunikace přes tento tunel je šifrovaná a zabezpečená. Šířka pásma je ale omezená maximální propustností tunelu (100–200 Mb/s).

  • odchozípřekladu adres (NAT): Ve výchozím nastavení budou mít všechny virtuální počítače ve službě Azure Stack Hub připojení k externím sítím přes odchozí překlad adres (NAT). Každá virtuální síť vytvořená ve službě Azure Stack Hub získá přiřazenou veřejnou IP adresu. Ať už je virtuální počítač přímo přiřazený k veřejné IP adrese nebo se nachází za nástrojem pro vyrovnávání zatížení s veřejnou IP adresou, bude mít odchozí přístup přes odchozí překlad adres (NAT) pomocí virtuální sítě. Tato metoda funguje pouze pro komunikaci, která je iniciovaná virtuálním počítačem a určená pro externí sítě (internet nebo intranet). Nejde ho použít ke komunikaci s virtuálním počítačem zvenčí.

Možnosti hybridního připojení

U hybridního připojení je důležité zvážit, jaký druh nasazení chcete nabídnout a kde se nasadí. Budete muset zvážit, jestli potřebujete izolovat síťový provoz na tenanta a jestli budete mít intranetové nebo internetové nasazení.

  • jednoinstanční Azure Stack Hub: Nasazení Azure Stack Hub, které vypadá z pohledu síťové infrastruktury, jako by to byl jeden tenant. Existuje mnoho předplatných tenantů, ale stejně jako jakákoli intranetová služba se veškerý provoz pohybuje ve stejných sítích. Síťový provoz z jednoho předplatného prochází přes stejné síťové připojení jako jiné předplatné a není potřeba izolovat prostřednictvím šifrovaného tunelu.

  • víceklientské služby Azure Stack Hub: Nasazení služby Azure Stack Hub, ve kterém musí být provoz každého předplatného tenanta svázaný se sítěmi, které jsou externí do služby Azure Stack Hub, izolované od síťového provozu jiných tenantů.

  • nasazení intranetu: Nasazení služby Azure Stack Hub, které je umístěno na podnikovém intranetu, obvykle v privátním IP adresním prostoru a za jedním nebo více firewally. Veřejné IP adresy nejsou skutečně veřejné, protože se nedají směrovat přímo přes veřejný internet.

  • nasazení internetu: Nasazení služby Azure Stack Hub, které je připojené k veřejnému internetu a používá veřejné IP adresy směrovatelné pro veřejný rozsah virtuálních IP adres. Nasazení může být stále za bránou firewall, ale rozsah veřejných virtuálních IP adres je přímo dostupný z veřejného internetu a Azure.

Následující tabulka shrnuje scénáře hybridního připojení pomocí výhod, nevýhod a případů použití.

Scénář Metoda připojení Výhody Nevýhody Dobré pro
Jednotenantní Azure Stack Hub, nasazení intranetu Odchozí překlad adres (NAT) Lepší šířka pásma pro rychlejší přenosy. Jednoduché implementovat; nejsou vyžadovány žádné brány. Síťový provoz není šifrovaný; žádná izolace ani šifrování mimo komunikační vrstvu. Podniková nasazení, ve kterých jsou všichni tenanti stejně důvěryhodní.

Podniky, které mají připojení Azure ExpressRoute k Azure.
Víceklientský Azure Stack Hub, intranetové nasazení Site-to-site VPN Provoz z virtuální sítě tenanta do cíle je zabezpečený. Šířka pásma je omezená tunelem VPN typu site-to-site.

Vyžaduje bránu ve virtuální síti a zařízení VPN v cílové síti.		 Podniková nasazení, ve kterých musí být provoz některých tenantů zabezpečený před jinými tenanty.
Azure Stack Hub s jedním tenantem, nasazení přes internet Odchozí překlad adres (NAT) Lepší šířka pásma pro rychlejší přenosy. Provoz není šifrovaný; žádná izolace ani šifrování mimo zásobník. Scénáře hostování, ve kterých tenant získá vlastní nasazení služby Azure Stack Hub a vyhrazený okruh do prostředí služby Azure Stack Hub. Například ExpressRoute a Multiprotocol Label Switching (MPLS).
Vícetenantní Azure Stack Hub, internetové nasazení VPN mezi lokalitami Provoz z virtuální sítě tenanta do cíle je zabezpečený. Šířka pásma je omezená tunelem VPN typu site-to-site.

Vyžaduje bránu ve virtuální síti a zařízení VPN v cílové síti.		 Scénáře hostování, kdy poskytovatel chce nabídnout cloud s více tenanty, kde si tenanti navzájem nedůvěřují a provoz musí být šifrovaný.

Použití ExpressRoute

Azure Stack Hub můžete připojit k Azure prostřednictvím ExpressRoute pro scénáře intranetu s jedním tenantem i s více tenanty. Budete potřebovat zřízený okruh ExpressRoute prostřednictvím poskytovatele připojení.

Následující diagram znázorňuje ExpressRoute pro scénář s jedním tenantem (kde "Připojení zákazníka" je okruh ExpressRoute).

diagram znázorňující scénář ExpressRoute s jedním tenantem

Následující diagram znázorňuje ExpressRoute pro scénář s více tenanty.

diagram znázorňující scénář ExpressRoute s více tenanty

Externí monitorování

Pokud chcete získat jediné zobrazení všech výstrah z nasazení a zařízení služby Azure Stack Hub a integrovat výstrahy do stávajících pracovních postupů správy IT pro vytváření lístků, můžete integrovat službu Azure Stack Hub s externími řešeními pro monitorování datacenter.

Součástí řešení Azure Stack Hub je hostitel životního cyklu hardwaru počítač mimo službu Azure Stack Hub, na kterém běží nástroje pro správu poskytované dodavatelem OEM pro hardware. Ve vašem datacentru můžete využít tyto nástroje nebo jiná řešení, která se přímo integrují se stávajícími řešeními monitorování.

Následující tabulka shrnuje seznam aktuálně dostupných možností.

Oblast Externí řešení monitorování
Software služby Azure Stack Hub Management Pack pro Azure Stack Hub pro nástroj Operations Manager
Nagios plug-in
Volání rozhraní API založená na REST
Fyzické servery (BMC přes IPMI) Hardwarový OEM – Sada pro správu dodavatelů pro Operations Manager
Řešení poskytované dodavatelem hardwaru OEM
Dodavatel hardwaru Nagios plug-ins.
Řešení monitorování podporované partnerem OEM (zahrnuto)
Síťová zařízení (SNMP) Discovery síťových zařízení Operations Manager
Řešení poskytované dodavatelem hardwaru OEM
Nagios plug-in pro přepínače
Monitorování zdraví předplatného nájemce System Center Management Pack pro Windows Azure

Všimněte si následujících požadavků:

  • Používané řešení musí být bez agentů. Agenty třetích stran nemůžete instalovat do komponent služby Azure Stack Hub.
  • Pokud chcete použít System Center Operations Manager, vyžaduje se Operations Manager 2012 R2 nebo Operations Manager 2016.

Zálohování a zotavení po havárii

Plánování zálohování a zotavení po havárii zahrnuje plánování základní infrastruktury služby Azure Stack Hub, která hostuje virtuální počítače IaaS a služby PaaS, a pro aplikace a data tenantů. Naplánujte si tyto věci samostatně.

Ochrana komponent infrastruktury

Komponenty infrastruktury Azure Stack Hub můžete zálohovat do sdílené složky SMB, kterou zadáte:

  • Budete potřebovat externí sdílenou složku SMB na existujícím souborovém serveru se systémem Windows nebo na zařízení třetí strany.
  • Stejnou sdílenou složku použijte pro zálohování síťových přepínačů a hostitele životního cyklu hardwaru. Dodavatel hardwaru OEM vám pomůže poskytnout pokyny pro zálohování a obnovení těchto komponent, protože jsou externí pro Azure Stack Hub. Zodpovídáte za spouštění pracovních postupů zálohování na základě doporučení dodavatele OEM.

Pokud dojde ke katastrofické ztrátě dat, můžete pomocí zálohování infrastruktury obnovit data nasazení, například:

  • Vstupy a identifikátory nasazení
  • Účty služeb
  • Kořenový certifikát certifikační autority
  • Federované prostředky (v odpojených nasazeních)
  • Plány, nabídky, předplatná a kvóty
  • Zásady RBAC a přiřazení rolí
  • Tajné kódy služby Key Vault

Varování

Ve výchozím nastavení je vaše razítko služby Azure Stack Hub nakonfigurované jenom s jedním účtem CloudAdmin. Pokud dojde ke ztrátě, ohrožení zabezpečení nebo uzamčení přihlašovacích údajů účtu, nejsou k dispozici žádné možnosti obnovení. Ztratíte přístup k privilegovanému koncovému bodu a dalším prostředkům.

Důrazně doporučujeme, abyste vytvářet další účty CloudAdmin, abyste se vyhnuli opětovnému nasazení kolku na vlastní náklady. Ujistěte se, že tyto přihlašovací údaje dokumentujete na základě pokynů vaší společnosti.

Ochrana aplikací tenanta na virtuálních počítačích IaaS

Azure Stack Hub neshromádí aplikace a data tenanta. Musíte naplánovat zálohování a obnovu po havárii na externí cíl mimo Azure Stack Hub. Ochrana tenanta je aktivita řízená tenantem. U virtuálních počítačů IaaS můžou tenanti používat technologie hosta k ochraně složek souborů, dat aplikací a stavu systému. Jako podnikový poskytovatel nebo poskytovatel služeb ale můžete chtít nabídnout řešení zálohování a obnovení ve stejném datacentru nebo externě v cloudu.

Pokud chcete zálohovat virtuální počítače iaaS s Linuxem nebo Windows, musíte k ochraně souborů, složek, stavu operačního systému a dat aplikací použít zálohovací produkty s přístupem k hostovanému operačnímu systému. Můžete použít Azure Backup, System Center Datacenter Protection Manager nebo podporované produkty třetích stran.

Pokud chcete replikovat data do sekundárního umístění a orchestrovat převzetí služeb při selhání aplikace v případě havárie, můžete použít Azure Site Recovery nebo podporované produkty třetích stran. Aplikace, které podporují nativní replikaci, jako je Microsoft SQL Server, také můžou replikovat data do jiného umístění, kde je aplikace spuštěná.

Víc se uč

  • Informace o případech použití, nákupech, partnerech a dodavatelích hardwaru OEM najdete na stránce produktu Azure Stack Hubu.
  • Informace o plánu a geografické dostupnosti integrovaných systémů služby Azure Stack Hub najdete v dokumentu white paper: Azure Stack Hub: Rozšíření služby Azure.

Další kroky

modely připojení nasazení služby Azure Stack Hub