Tato referenční architektura ukazuje, jak používat Azure Arc ke správě, údržbě a monitorování instancí SQL Serveru v místních a multicloudových prostředích.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Komponenty
Architektura se skládá z následujících komponent a možností:
- SQL Server. Tato datová platforma poskytuje širokou škálu možností vývojových jazyků, datových typů, místních nebo cloudových prostředí a operačních systémů.
- Azure Arc. Tato cloudová služba rozšiřuje model správy založený na Azure Resource Manageru na prostředky mimo Azure, včetně virtuálních počítačů, clusterů Kubernetes a kontejnerizovaných databází.
- Servery s podporou Azure Arc. Tato hybridní služba umožňuje spravovat počítače s Windows a Linuxem hostované mimo Azure ve vaší podnikové síti nebo jiném poskytovateli cloudu. Podobá se tomu, jak spravujete nativní virtuální počítače Azure.
- SQL Server s podporou Služby Azure Arc Tato část serverů s podporou Azure Arc rozšiřuje služby Azure na instance SQL Serveru hostované mimo Azure v datacentru zákazníka, na hraničních zařízeních nebo v prostředí s více cloudy.
- Kubernetes. Jedná se o přenosnou a rozšiřitelnou opensourcovou platformu pro správu a orchestraci kontejnerizovaných úloh.
- Azure Kubernetes Service. Jedná se o službu, která usnadňuje nasazení spravovaného clusteru Kubernetes v Azure.
- Azure Kubernetes Service (AKS) v MístnímAzure . Jedná se o implementaci AKS, která automatizuje spouštění kontejnerizovaných aplikací ve velkém měřítku v Azure Local.
- Kubernetes s podporou Azure Arc Tato hybridní služba umožňuje zjednodušit nasazení a správu clusterů Kubernetes uvnitř Nebo mimo Azure.
- datových služeb s podporou Služby Azure Arc. Tato hybridní služba umožňuje spouštět datové služby Azure místně, na hraničních zařízeních a ve veřejných cloudech pomocí Kubernetes a infrastruktury podle vašeho výběru.
- Spravovaná instance Azure SQL Tato inteligentní a škálovatelná cloudová databázová služba kombinuje nejširší kompatibilitu databázového stroje SQL Serveru se všemi výhodami plně spravované a evergreen platformy jako služby.
- Spravovaná instance SQL s podporou Služby Azure Arc Tuto datovou službu Azure SQL můžete vytvořit podle vaší volby infrastruktury, která hostuje datové služby s podporou Služby Azure Arc.
- VMware vSphere s podporou služby Azure Arc je služba Azure Arc, která vám pomůže zjednodušit správu hybridních IT aktiv distribuovaných napříč VMware vSphere a Azure.
- System Center Virtual Machine Manager (SCVMM) s podporou Služby Azure Arc je služba Azure Arc, která vám pomůže zjednodušit správu hybridních IT aktiv distribuovaných napříč spravovaným prostředím SCVMM a Azure.
- Azure Resource Manager. Azure Resource Manager je služba nasazování a správy pro Azure. Poskytuje úroveň správy, která vám umožňuje vytvářet, aktualizovat a odstraňovat prostředky v účtu Azure. K zabezpečení a uspořádání prostředků po nasazení používáte funkce správy, jako je řízení přístupu, zámky a značky.
- Azure Monitor Tato cloudová služba maximalizuje dostupnost a výkon aplikací a služeb tím, že poskytuje komplexní řešení pro shromažďování, analýzu a činnost na telemetrii z azure a umístění mimo Azure.
- Log Analytics: Toto je primární nástroj na webu Azure Portal pro psaní dotazů protokolu a interaktivní analýzu jejich výsledků.
- Microsoft Sentinel. Jedná se o škálovatelné, nativní cloudové řešení, správu událostí zabezpečení (SIEM) a řešení pro orchestraci zabezpečení (SOAR).
- Microsoft Defender for Cloud. Tento jednotný systém správy zabezpečení infrastruktury posiluje stav zabezpečení vašich datacenter a poskytuje pokročilou ochranu před hrozbami napříč hybridními úlohami.
- Azure Backup. Služba Azure Backup poskytuje jednoduchá, zabezpečená a cenově výhodná řešení pro zálohování vašich dat a jejich obnovení z cloudu Microsoft Azure.
Podrobnosti scénáře
Obvyklá využití pro tuto architekturu:
- Posouzení konfigurace, dostupnosti, výkonu a dodržování předpisů sql Serveru s podporou Služby Azure Arc pomocí služby Azure Monitor
- Detekce a náprava bezpečnostních hrozeb, které cílí na SQL Server s podporou Služby Azure Arc, pomocí programu Microsoft Defender for Cloud a Microsoft Sentinel
- Automatizace nasazení a správy služby SQL Managed Instance s podporou Služby Azure Arc v místním a multicloudovém prostředí Kubernetes s podporou Služby Arc
- Automatizace nasazení a správy služby SQL Managed Instance s podporou služby Azure Arc ve službě Azure Kubernetes Service (AKS) v místním prostředí Azure
Doporučení
Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.
Posouzení, monitorování a optimalizace výkonu, dostupnosti, dodržování předpisů a zabezpečení instancí SQL Serveru s podporou Služby Azure Arc pomocí služeb Azure
Bez konzistentního, sjednoceného provozního modelu a modelu správy může správa jednotlivých instancí SQL Serveru vést k významným režijním nákladům. Bez správné sady nástrojů potřebujete pokročilé dovednosti a průběžné úsilí k identifikaci a udržování vysoce výkonné, odolné a zabezpečené konfigurace SQL Serveru. Je zvlášť důležité tyto výzvy vyřešit s tím, jak se vyvíjí prostředí obchodních technologií a stává se stále složitějším, protože několik instancí SQL Serveru běží na různých hardwarech v místních datacentrech, několika veřejných a privátních cloudech a hraničních zařízeních.
Můžete použít instance SQL Serveru s podporou služby Azure Arc hostované na fyzických a virtuálních počítačích umístěných mimo Azure, na kterých běží operační systém Windows nebo Linux s místně nainstalovaným agentem Connected Machine. Agent se nainstaluje automaticky při registraci instance SQL Serveru v Azure. Azure Arc používá agenta k navázání logického připojení mezi prostředkem mimo Azure a Azure. Po navázání tohoto připojení se prostředek mimo Azure automaticky stane hybridním prostředkem Azure s vlastní identitou a ID prostředku Azure Resource Manageru. Azure Resource Manager slouží jako rozhraní pro správu, které umožňuje vytvářet, upravovat a odstraňovat prostředky Azure. Jakmile arc povolíte prostředek mimo Azure, můžete pomocí Azure Resource Manageru usnadnit implementaci dalších služeb Azure, které zlepšují možnosti správy instancí SQL Serveru.
Poznámka:
Instalace agenta Azure Connected Machine Agent je také součástí implementace serverů s podporou Azure Arc. Při implementaci SQL Serveru s podporou Služby Azure Arc na serverech s podporou Azure Arc není potřeba instalovat.
Jakmile splníte všechny požadavky na SQL Server s podporou služby Azure Arc, včetně instalace agenta Log Analytics, budete mít automaticky možnost použít následující funkce Azure:
- Sql Server s podporou Služby Azure Arc na vyžádání Posouzení spoléhá na agenta Log Analytics ke shromažďování relevantních dat a jejich nahrání do pracovního prostoru služby Log Analytics, který určíte. S protokoly nahranými do pracovního prostoru spravuje řešení SQL Server Assessment Log Analytics analýzu dat a umožňuje zkontrolovat výsledky přímo na webu Azure Portal. Kdykoli je to možné, řešení také poskytuje doporučení týkající se potenciálních vylepšení. Výsledky analýzy jsou uspořádány do čtyř kategorií: kvalita posouzení, zabezpečení a dodržování předpisů, dostupnost a kontinuita a výkon a škálovatelnost. Agent Log Analytics vyhledává aktualizace v pravidelných intervalech a automaticky je nahrává do pracovního prostoru služby Log Analytics, aby se zajistilo, že výsledky, které kontrolujete, jsou aktuální.
Poznámka:
Agent Log Analytics se běžně označuje jako agent Microsoft Monitoring Agent (MMA).
- Pokročilé zabezpečení dat pro SQL Server s podporou Služby Azure Arc Tato funkce pomáhá zjišťovat a opravovat anomálie zabezpečení a hrozby pro instance SQL Serveru s podporou služby Azure Arc. Stejně jako sql Assessment na vyžádání, abyste povolili SQL Server s podporou Služby Azure Arc, musíte na server, který je hostitelem instance SQL Serveru, nainstalovat agenta Log Analytics. Abyste mohli automaticky definovat rozsah shromažďování dat a analyzovat, musíte také povolit funkci Microsoft Defenderu for Cloud v programu Microsoft Defender for Cloud. Výsledky této analýzy si můžete projít v programu Microsoft Defender for Cloud a po nasazení služby Microsoft Sentinel ji můžete použít k dalšímu prošetření výstrah zabezpečení přímo na webu Azure Portal.
Automatizace nasazení a správy služby SQL Managed Instance s podporou služby Azure Arc v místních a multicloudových prostředích
Spravovaná instance SQL s podporou Služby Azure Arc se stane kontejnerizovaným nasazením spuštěným nad datovými službami s podporou Služby Azure Arc. K hostování nasazení můžete použít následující možnosti:
- Datové služby s podporou Azure Arc v clusteru Kubernetes s podporou Azure Arc Kubernetes s podporou Azure Arc podporuje širokou škálu distribucí Kubernetes hostovaných v cloudových nebo místních prostředích na virtuálních nebo fyzických serverech.
- Datové služby s podporou Azure Arc v clusteru AKS hostované v místní fyzické instanci Azure Local.
Obě možnosti podporují ekvivalentní funkce související s SQL Serverem, protože tyto možnosti spoléhají na vrstvu datových služeb s podporou Služby Azure Arc. Pokud ale používáte Azure Local, měli byste implementovat AKS, protože to zjednodušuje implementaci a správu infrastruktury Kubernetes a jejích úloh.
Sql Managed Instance s podporou služby Azure Arc nabízí téměř 100% kompatibilitu s nejnovějším databázovým strojem SQL Serveru. To usnadňuje migraci metodou "lift and shift" do datových služeb s podporou služby Azure Arc s minimálními změnami aplikací a databází.
Spravovaná instance SQL s podporou Služby Azure Arc spoléhá na kontroler dat Azure Arc k navázání a údržbě logického připojení k řídicí rovině Azure Resource Manageru. Kontroler dat se stane skupinou podů spuštěných v místním clusteru Kubernetes nebo AKS. Pody orchestrují správu a provozní úlohy služby SQL Managed Instance, jako je zřizování a rušení zřízení, automatické převzetí služeb při selhání, aktualizace, škálování, zálohování a obnovení a monitorování.
Při plánování datových služeb s podporou Služby Azure Arc se musíte rozhodnout, jestli bude kontroler dat fungovat v režimu připojení přímo připojené nebo nepřímo připojené. Vaše rozhodnutí má důležité důsledky pro možnosti správy a množství dat odesílaných do Azure. Pokud jsou datové služby s podporou Azure Arc přímo připojené k Azure, můžete je spravovat pomocí standardních rozhraní a nástrojů založených na Azure Resource Manageru, včetně webu Azure Portal, rozhraní příkazového řádku Azure (CLI) nebo šablon Azure Resource Manageru. Pokud jsou datové služby s podporou Azure Arc nepřímo připojené k Azure, Azure Resource Manager poskytuje inventář jen pro čtení. Podobně je nutný režim Přímé připojení, pokud chcete datovým službám s podporou Microsoft Entra ID, Řízení přístupu na základě role v Azure (Azure RBAC) poskytnout služby Azure Arc s podporou Microsoft Entra ID, Azure RBAC nebo je integrovat se službami Azure, jako je Microsoft Defender pro cloud, Azure Monitor nebo Azure Backup.
Upozornění
Režim připojení nepřímo připojeného k Azure vyžaduje doručení minimálního množství dat do Azure pro účely inventáře a fakturace alespoň jednou za měsíc.
I když režim Nepřímo připojený nabízí omezenou funkčnost, umožňuje přizpůsobit celou řadu scénářů, které brání použití režimu Přímé připojení. To platí například pro místní datacentra, která blokují přímé externí připojení z důvodu obchodních nebo regulačních požadavků nebo kvůli obavám z externích útoků nebo exfiltrace dat. Poskytuje také podporu pro umístění hraničních lokalit s omezeným nebo žádným přímým připojením k internetu.
Mezi běžné možnosti služby SQL Managed Instance s podporou služby Azure Arc patří:
- Podpora automatizovaných aktualizací Microsoft často poskytuje aktualizace datových služeb s podporou služby Azure Arc prostřednictvím služby Microsoft Container Registry (MCR). To zahrnuje servisní opravy a nové funkce a poskytování podobného prostředí jako spravované datové služby Azure. Řídíte však plán nasazení a tempo.
- Elastické škálování. Architektura založená na kontejnerech ze své podstaty podporuje elastické škálování s omezeními, která závisí na kapacitě vaší infrastruktury. Tato funkce zahrnuje scénáře nárazového nárůstu, které mají nestálé potřeby, včetně ingestování a dotazování dat v reálném čase, v libovolném měřítku s dobou odezvy podsekundy.
- Samoobslužné zřizování Pomocí orchestrace založené na Kubernetes můžete databázi zřídit za několik sekund pomocí grafického rozhraní nebo nástrojů Azure CLI.
- Flexibilní monitorování a správa Pomocí služby SQL Managed Instance s podporou služby Azure Arc můžete shromažďovat a analyzovat protokoly a telemetrii z rozhraní API Kubernetes a implementovat místní monitorování pomocí řídicích panelů Kibana a Grafana. Máte také možnost zřídit a spravovat službu SQL Managed Instance s podporou služby Azure Arc pomocí řady standardních nástrojů pro správu SQL Serveru, včetně Azure Data Studia a Azure CLI, a nástrojů pro správu Kubernetes, jako jsou Helm a kubectl.
Vzhledem k tomu, že spravovaná instance SQL s podporou Azure Arc běží na Kubernetes s podporou Azure Arc nebo AKS v Azure Local, můžete také použít jejich možnosti správy, zabezpečení a dodržování předpisů, včetně:
- Podpora vynucení zásad za běhu pomocí Azure Policy pro Kubernetes a centralizovaného generování sestav odpovídajících dodržování předpisů zásad To vám například umožňuje vynutit příchozí přenos dat HTTPS v clusteru Kubernetes nebo zajistit, aby kontejnery naslouchaly jenom na povolených portech.
- Podpora nasazení konfigurací Kubernetes a AKS pomocí GitOps GitOps je postup automatizovaného nasazení kódu umístěného v úložišti Git. V tomto scénáři kód popisuje požadovaný stav konfigurace Kubernetes nebo AKS. Pomocí služby Azure Policy můžete vynutit konkrétní konfigurace založené na GitOps, které také poskytují centralizované generování sestav odpovídajících dodržování předpisů zásad.
Upozornění
Ověřte, že jsou k dispozici funkce Azure Arc, které chcete použít ve svém produkčním prostředí.
Důležité informace
Architektura Microsoft Azure Well-Architected Framework je sada hlavních principů, které jsou sledovány v této referenční architektuře. V kontextu těchto principů jsou uvedené následující aspekty.
Optimalizace nákladů
Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.
- Azure Arc pomáhá minimalizovat nebo dokonce eliminovat potřebu místních systémů pro správu a monitorování, což snižuje provozní složitost a náklady, zejména ve velkých, různorodých a distribuovaných prostředích. To pomáhá vyrovnávat další náklady spojené se službami souvisejícími se službou Azure Arc. Například pokročilé zabezpečení dat pro instanci SQL Serveru s podporou Služby Azure Arc vyžaduje funkci [Microsoft Defender for Cloud] v programu Microsoft Defender for Cloud, která má vliv na ceny.
- Kontejnerizace prostředí SQL Serveru pomocí služby SQL Arc s podporou služby SQL Managed Instance pomáhá zvýšit hustotu úloh a mobilitu. To usnadňuje efektivnější využití hardwaru, které má tendenci maximalizovat návratnost investic (ROI) a minimalizovat provozní náklady, což pomáhá urychlit iniciativy konsolidace datacenter.
Provozní dokonalost
Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.
Pokud chcete provést registraci jednotlivých instancí SQL Serveru s podporou služby Azure Arc, můžete interaktivně spustit skript dostupný přímo z webu Azure Portal. U rozsáhlých nasazení můžete spustit stejný skript bezobslužným způsobem pomocí instančního objektu Microsoft Entra.
Pokud chcete pomocí služby Azure Monitor provést posouzení konfigurace a stavu instancí SQL Serveru s podporou služby Azure Arc na vyžádání, musíte nasadit agenta Log Analytics na server, který je hostitelem této instance SQL Serveru. Toto nasazení můžete automatizovat ve velkém měřítku pomocí služby Azure Policy a povolit tak Azure Monitor pro virtuální počítače pro servery s podporou Služby Azure Arc.
Posouzení SQL na vyžádání a pokročilé zabezpečení dat jsou k dispozici pro instance SQL Serveru, které nejsou povolené službou Azure Arc. Azure Arc ale zjednodušuje zřizování a konfiguraci. Pomocí funkce rozšíření virtuálního počítače můžete například automatizovat nasazení agenta Log Analytics na servery hostující instance SQL Serveru.
Spravovaná instance SQL s podporou Služby Azure Arc sdílí základ kódu s nejnovější stabilní verzí SQL Serveru a poskytuje podporu stejné sady funkcí správy.
Efektivita výkonu
Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Další informace najdete v tématu Přehled pilíře efektivity výkonu.
Spravovaná instance SQL s podporou Služby Azure Arc sdílí základ kódu s nejnovější stabilní verzí SQL Serveru a poskytuje podporu stejné sady funkcí s vysokou škálovatelností a výkonem.
Při plánování nasazení služby SQL Managed Instance s podporou služby Azure Arc byste měli identifikovat správné množství výpočetních prostředků, paměti a úložiště, které bude nutné ke spuštění kontroleru dat Azure Arc a zamýšlených skupin serverů spravovaných instancí SQL. Mějte ale na paměti, že máte možnost rozšířit kapacitu základního clusteru Kubernetes nebo AKS v průběhu času přidáním dalších výpočetních uzlů nebo úložiště.
Kubernetes nebo AKS nabízí abstrakci vrstvy nad podkladovým zásobníkem virtualizace a hardwarem. Třídy úložiště implementují takovou abstrakci úložiště. Při zřizování podu musíte rozhodnout, jakou třídu úložiště se má použít pro její svazky. Vaše rozhodnutí je důležité z hlediska výkonu, protože nesprávná volba by mohla vést k neoptimálnímu výkonu. Při plánování nasazení služby SQL Managed Instance s podporou služby Azure Arc byste měli zvážit řadu faktorů ovlivňujících konfiguraci úložiště kubernetes-storage-class-faktory pro kontroler dat i databázové instance.
Spolehlivost
Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v tématu Přehled pilíře spolehlivosti.
Při použití služby SQL Managed Instance s podporou služby Azure Arc je plánování úložiště také důležité z hlediska odolnosti dat. Pokud dojde k selhání hardwaru, může nesprávná volba zavést riziko celkové ztráty dat. Abyste se takovým rizikům vyhnuli, měli byste zvážit řadu faktorů ovlivňujících konfiguraci úložiště kubernetes-storage-class-faktory pro kontroler dat i instance databáze.
Se službou SQL Managed Instance s podporou Azure Arc můžete nasadit jednotlivé databáze v jednom nebo více podech. Například cenová úroveň pro vývojáře nebo obecné účely implementuje jeden vzor podů, zatímco cenová úroveň s vysokou dostupností pro důležité obchodní informace implementuje model s více pody. Vysoce dostupná spravovaná instance Azure SQL používá skupiny dostupnosti AlwaysOn k replikaci dat z jedné instance do jiné synchronně nebo asynchronně.
Spravovaná instance SQL s podporou Služby Azure Arc sdílí základ kódu s nejnovější stabilní verzí SQL Serveru, která poskytuje podporu pro většinu funkcí s vysokou dostupností.
Spravovaná instance SQL s podporou Služby Azure Arc poskytuje automatické místní zálohy bez ohledu na režim připojení. V režimu Přímé připojení máte také možnost použít Službu Azure Backup pro dlouhodobé uchovávání záloh mimo lokalitu.
Zabezpečení
Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.
Spravovaná instance SQL s podporou Služby Azure Arc sdílí základ kódu s nejnovější stabilní verzí SQL Serveru a poskytuje podporu stejné sady funkcí zabezpečení.
Pokud používáte spravovanou instanci SQL s podporou Služby Arc, měli byste v režimu přímé připojení poskytnout řadiči dat přímý přístup k MCR, aby bylo možné usnadnit automatické upgrady a opravy. Alternativně máte možnost importovat image kontejnerů z MCR a zpřístupnit je v místním privátním registru kontejneru přístupném kontrolerem dat.
Agent připojených počítačů Azure komunikuje s Azure Arc přes port TCP 443 pomocí protokolu TLS (Transport Layer Security).
- Když je služba SQL Managed Instance s podporou služby Azure Arc v režimu přímé připojení, nemusíte otevírat žádné příchozí porty v hraničních místních datacentrech. Kontroler dat inicioval odchozí připojení zabezpečeným způsobem přes port TCP 443 pomocí protokolu TLS (Transport Layer Security).
Upozornění
Pokud chcete zvýšit zabezpečení přenášených dat do Azure, měli byste nakonfigurovat servery hostující instance SQL Serveru tak, aby používaly protokol TLS (Transport Layer Security) 1.2.
Další kroky
Dokumentace k produktům a službám:
- Technická dokumentace k SQL Serveru
- Přehled služby Azure Arc
- Co jsou servery s podporou služby Azure Arc?
- SQL Server s podporou Azure Arc
- Azure Kubernetes Service
- přehled místního řešení Azure
- Co je místní Kubernetes se službou Azure Kubernetes Service na místním prostředí Azure a Na Windows Serveru?
- Co je Kubernetes s podporou Azure Arc?
- Co jsou datové služby s podporou Azure Arc?
- Co je Azure SQL Managed Instance?
- Přehled služby SQL Managed Instance s podporou služby Azure Arc
- Co je Azure Resource Manager?
- Přehled služby Azure Monitor
- Přehled Log Analytics ve službě Azure Monitor
- Co je Microsoft Sentinel?
- Co je Microsoft Defender for Cloud?
- Co je služba Azure Backup?
Školicí materiály