Tato referenční architektura podle směrného plánu poskytuje pokyny a doporučení nezávislé na úlohách pro konfiguraci místní, verze 23H2, verze 2311 a novější infrastruktury azure, která zajišťuje spolehlivou platformu, která dokáže nasazovat a spravovat vysoce dostupné virtualizované a kontejnerizované úlohy. Tato architektura popisuje komponenty prostředků a volby návrhu clusteru pro fyzické uzly, které poskytují místní výpočetní, úložné a síťové funkce. Popisuje také, jak pomocí služeb Azure zjednodušit a zjednodušit každodenní správu Azure Local.
Další informace o vzorech architektury úloh, které jsou optimalizované pro spouštění v místním prostředí Azure, najdete v obsahu umístěném v místní nabídce místní úlohy Azure navigační nabídce.
Tato architektura je výchozím bodem pro použití návrhu sítě s přepínačem úložiště k nasazení místní instance Azure s více uzely. Aplikace úloh nasazené v místní instanci Azure by měly být dobře navrženy. Dobře navržené aplikace úloh musí být nasazeny pomocí více instancí nebo vysoké dostupnosti všech důležitých služeb úloh a musí mít odpovídající kontroly provozní kontinuity a zotavení po havárii (BCDR). Tyto kontroly BCDR zahrnují pravidelné zálohování a možnosti převzetí služeb při selhání zotavení po havárii. Pokud se chcete zaměřit na platformu infrastruktury HCI, tyto aspekty návrhu úloh jsou záměrně vyloučené z tohoto článku.
Další informace o pokynech a doporučeních pro pět pilířů architektury Azure Well-Architected najdete v průvodcislužbou
Rozložení článku
| Architektura | Rozhodnutí o návrhu | přístup Well-Architected Framework |
|---|---|---|
| ▪ architektury ▪ potenciální případy použití ▪ podrobnosti o scénáři ▪ prostředky platformy ▪ prostředky podporující platformu ▪ Nasazení tohoto scénáře |
▪ možnosti návrhu clusteru ▪ fyzické diskové jednotky ▪ návrhu sítě ▪ ▪ |
▪ spolehlivost ▪ zabezpečení ▪ optimalizace nákladů ▪ efektivita provozu ▪ efektivity výkonu |
Spropitné
místní šablona Azure ukazuje, jak pomocí šablony Azure Resource Management (šablony ARM) a souboru parametrů nasadit přepnulé nasazení azure Local s více servery. Alternativně příklad Bicep ukazuje, jak pomocí šablony Bicep nasadit místní instanci Azure a její požadované prostředky.
Architektura
Další informace naleznete v tématu Související prostředky.
Potenciální případy použití
Mezi typické případy použití pro Azure Local patří možnost spouštět úlohy vysoké dostupnosti (HA) v místních nebo hraničních umístěních, které poskytují řešení pro řešení požadavků na úlohy. Můžeš:
Poskytnutí hybridního cloudového řešení nasazeného místně za účelem řešení suverenity dat, regulace a dodržování předpisů nebo požadavků na latenci.
Nasaďte a spravujte virtualizované úlohy s vysokou dostupností nebo hraniční úlohy založené na kontejnerech, které jsou nasazené v jednom umístění nebo ve více umístěních. Tato strategie umožňuje, aby důležité obchodní aplikace a služby fungovaly odolným, nákladově efektivním a škálovatelným způsobem.
Snížit celkové náklady na vlastnictví (TCO) pomocí řešení certifikovaných microsoftem, cloudovým nasazením, centralizovanou správou a monitorováním a upozorňováním.
Zajištění centralizované funkce zřizování pomocí Azure a Azure Arc k konzistentnímu a bezpečnému nasazování úloh napříč několika umístěními Nástroje, jako jsou Azure Portal, Azure CLI nebo šablony infrastruktury jako kódu (IaC), používají Kubernetes pro kontejnerizaci nebo tradiční virtualizaci úloh k řízení automatizace a opakovatelnosti.
Dodržování striktních požadavků na zabezpečení, dodržování předpisů a audit Služba Azure Local je nasazená s nakonfigurovaným stavem posíleného zabezpečení ve výchozím nastavení nebo zabezpečení ve výchozím nastavení. Azure Local zahrnuje certifikovaný hardware, zabezpečené spouštění, čip TPM (Trusted Platform Module), zabezpečení na základě virtualizace (VBS), ochranu Credential Guard a vynucené zásady řízení aplikací v programu Windows Defender. Integruje se také s moderními cloudovými službami zabezpečení a správy hrozeb, jako je Microsoft Defender pro cloud a Microsoft Sentinel.
Podrobnosti scénáře
Následující části obsahují další informace o scénářích a potenciálních případech použití pro tuto referenční architekturu. Tyto části obsahují seznam obchodních výhod a ukázkových typů prostředků úloh, které můžete nasadit v Azure Local.
Použití Služby Azure Arc s místním Prostředím Azure
Azure Local se přímo integruje s Azure pomocí Služby Azure Arc, aby se snížily náklady na vlastnictví a provozní režii. Azure Local se nasazuje a spravuje prostřednictvím Azure, která poskytuje integrovanou integraci Azure Arc prostřednictvím nasazení komponenty mostu prostředků Azure Arc. Tato komponenta se instaluje během procesu nasazení clusteru HCI. Uzly místního clusteru Azure jsou zaregistrované ve službě Azure Arc pro servery jako předpoklad pro zahájení cloudového nasazení clusteru. Během nasazování se povinná rozšíření nainstalují na každý uzel clusteru, jako je správce životního cyklu, správa zařízení Microsoft Edge a telemetrie a diagnostika. Azure Monitor a Log Analytics můžete použít k monitorování clusteru HCI po nasazení povolením přehledů pro Azure Local. aktualizace funkcí pro místní Azure se vydávají pravidelně, aby se zlepšilo uživatelské prostředí. Aktualizace se řídí a spravují prostřednictvím Azure Update Manageru.
Prostředky úloh, jako jsou virtuální počítače Azure Arc, azure Kubernetes Service (AKS) s podporou Azure Arc a relace služby Azure Virtual Desktop hostují, které používají Azure Portal, výběrem vlastního umístění místní instance Azure jako cíl nasazení úloh. Tyto komponenty poskytují centralizovanou správu, správu a podporu. Pokud máte ve stávajících licencích jádra Windows Serveru Datacenter aktivní Software Assurance, můžete náklady dále snížit použitím zvýhodněného hybridního využití Azure na místní virtuální počítače Azure, virtuální počítače s Windows Serverem a clustery AKS. Tato optimalizace pomáhá efektivně spravovat náklady na tyto služby.
Integrace Azure a Azure Arc rozšiřují možnosti místních virtualizovaných a kontejnerizovaných úloh Azure, aby zahrnovaly:
virtuální počítače Azure Arc pro tradiční aplikace nebo služby, které běží na virtuálních počítačích v Azure Local.
AKS v Azure Local pro kontejnerizované aplikace nebo služby, které využívají výhod používání Kubernetes jako platformy orchestrace.
azure Virtual Desktopu nasazení hostitelů relací pro úlohy Azure Virtual Desktopu v místním prostředí Azure (místní). K zahájení vytváření a konfigurace fondu hostitelů můžete použít řídicí rovinu a rovinu správy v Azure.
datových služeb s podporou Služby Azure Arc pro kontejnerizovanou službu Azure SQL Managed Instance nebo server Azure Database for PostgreSQL, který používá AKS s podporou služby Azure Arc hostovanou v Azure Local.
Rozšíření Azure Event Grid s podporou služby Azure Arc pro Kubernetes pro nasazení zprostředkovatele Event Gridu a operátora Event Gridu komponent. Toto nasazení umožňuje možnosti, jako jsou témata Event Gridu a odběry pro zpracování událostí.
strojového učení s podporou Azure Arc s clusterem AKS, který je nasazený v Azure Local jako cílový výpočetní objekt pro spouštění služby Azure Machine Learning. Tento přístup můžete použít k trénování nebo nasazování modelů strojového učení na hraničních zařízeních.
Úlohy připojené ke službě Azure Arc poskytují vylepšenou konzistenci a automatizaci Azure pro místní nasazení Azure, jako je automatizace konfigurace hostovaného operačního systému s rozšířeními virtuálních počítačů Azure Arc nebo vyhodnocení dodržování předpisů v odvětví nebo firemních standardů prostřednictvím azure Policy. Azure Policy můžete aktivovat prostřednictvím webu Azure Portal nebo automatizace IaC.
Využití výchozí konfigurace zabezpečení Azure
Výchozí konfigurace zabezpečení Azure Local poskytuje podrobnou strategii pro zjednodušení nákladů na zabezpečení a dodržování předpisů. Nasazení a správa IT služeb pro maloobchodní, výrobní a vzdálené kancelářské scénáře představují jedinečné výzvy týkající se zabezpečení a dodržování předpisů. Zabezpečení úloh proti interním a externím hrozbám je zásadní v prostředích s omezenou podporou IT nebo chybějícími nebo vyhrazenými datovými centry. Azure Local má výchozí posílení zabezpečení a hlubokou integraci se službami Azure, které vám pomůžou tyto problémy vyřešit.
Místní certifikovaný hardware Azure zajišťuje integrovanou podporu zabezpečeného spouštění, sjednoceného rozhraní UEFI (Unified Extensible Firmware Interface) a TPM. Tyto technologie používejte v kombinaci s VBS, které pomáhají chránit úlohy citlivé na zabezpečení. Nástroj BitLocker Drive Encryption můžete použít k šifrování svazků spouštěcích disků a prostorů úložiště s přímým přístupem k neaktivním uloženým svazkům. Šifrování protokolu SMB (Server Message Block) zajišťuje automatické šifrování provozu mezi servery v clusteru (v síti úložiště) a podepisování provozu SMB mezi uzly clusteru a jinými systémy. Šifrování SMB také pomáhá předcházet útokům na přenos a usnadňuje dodržování zákonných standardů.
Místní virtuální počítače Azure můžete připojit v Defenderu pro cloud k aktivaci cloudové analýzy chování, detekce hrozeb a nápravy, upozorňování a generování sestav. Spravujte místní virtuální počítače Azure ve službě Azure Arc, abyste mohli použít azure Policy k vyhodnocení jejich dodržování oborových předpisů a podnikových standardů.
Součásti
Tato architektura se skládá z hardwaru fyzického serveru, který můžete použít k nasazení místních instancí Azure v místních nebo hraničních umístěních. Kvůli vylepšení možností platformy se Azure Local integruje se službou Azure Arc a dalšími službami Azure, které poskytují podpůrné prostředky. Azure Local poskytuje odolnou platformu pro nasazení, správu a provoz uživatelských aplikací nebo obchodních systémů. Prostředky a služby platformy jsou popsány v následujících částech.
Prostředky platformy
Architektura vyžaduje následující povinné prostředky a komponenty:
Azure Local je hyperkonvergované řešení infrastruktury (HCI), které je nasazené místně nebo v hraničních umístěních pomocí hardwaru a síťové infrastruktury fyzického serveru. Azure Local poskytuje platformu pro nasazení a správu virtualizovaných úloh, jako jsou virtuální počítače, clustery Kubernetes a další služby povolené službou Azure Arc. Místní instance Azure se můžou škálovat z nasazení s jedním uzlem na maximálně šestnáct uzlů pomocí ověřených, integrovaných nebo prémiových hardwarových kategorií, které poskytují partneři výrobce OEM (Original Equipment Manufacturer).
Azure Arc je cloudová služba, která rozšiřuje model správy založený na Azure Resource Manageru na místní a další umístění mimo Azure. Azure Arc používá Azure jako řídicí rovinu a rovinu správy, která umožňuje správu různých prostředků, jako jsou virtuální počítače, clustery Kubernetes a kontejnerizovaná data a služby strojového učení.
azure Key Vault je cloudová služba, pomocí které můžete bezpečně ukládat tajné kódy a přistupovat k nim. Tajný kód je vše, na co chcete úzce omezit přístup, jako jsou klíče rozhraní API, hesla, certifikáty, kryptografické klíče, přihlašovací údaje místního správce a obnovovací klíče BitLockeru.
clusteru s kopií cloudu je funkce azure Storage, která funguje jako kvorum clusteru s podporou převzetí služeb při selhání. Uzly místního clusteru Azure používají toto kvorum pro hlasování, což zajišťuje vysokou dostupnost clusteru. Konfigurace účtu úložiště a určující kopie clusteru se vytvoří během procesu nasazení místního cloudu Azure.
Update Manager je jednotná služba navržená pro správu a řízení aktualizací pro místní Azure. Pomocí Update Manageru můžete spravovat úlohy nasazené v Místním prostředí Azure, včetně dodržování předpisů aktualizací hostovaného operačního systému pro virtuální počítače s Windows a Linuxem. Tento jednotný přístup zjednodušuje správu oprav napříč Azure, místními prostředími a dalšími cloudovými platformami prostřednictvím jednoho řídicího panelu.
Prostředky podporující platformu
Architektura zahrnuje následující volitelné podpůrné služby pro vylepšení možností platformy:
Monitor je cloudová služba pro shromažďování, analýzu a zpracování diagnostických protokolů a telemetrie z cloudových a místních úloh. Monitorování můžete použít k maximalizaci dostupnosti a výkonu aplikací a služeb prostřednictvím komplexního řešení monitorování. Nasaďte přehledy pro Azure Local, abyste zjednodušili vytváření pravidla shromažďování dat monitorování (DCR) a rychle povolili monitorování místních instancí Azure.
azure Policy je služba, která vyhodnocuje prostředky Azure a místní prostředky. Azure Policy vyhodnocuje prostředky prostřednictvím integrace se službou Azure Arc pomocí vlastností těchto prostředků pro obchodní pravidla, označovaná jako definice zásad , k určení dodržování předpisů nebo možností, které můžete použít k použití konfigurace hosta virtuálního počítače pomocí nastavení zásad.
Defender for Cloud je komplexní systém správy zabezpečení infrastruktury. Vylepšuje stav zabezpečení vašich datacenter a poskytuje pokročilou ochranu před hrozbami pro hybridní úlohy, ať už se nacházejí v Azure nebo jinde a v místních prostředích.
azure Backup je cloudová služba, která poskytuje jednoduché, bezpečné a nákladově efektivní řešení pro zálohování dat a jejich obnovení z Microsoft Cloudu. Azure Backup Server slouží k zálohování virtuálních počítačů nasazených v místním Azure a jejich ukládání do služby Backup.
Site Recovery je služba zotavení po havárii, která poskytuje možnosti BCDR tím, že umožňuje, aby obchodní aplikace a úlohy převzaly služby při selhání, pokud dojde k havárii nebo výpadku. Site Recovery spravuje replikaci a převzetí služeb při selhání úloh, které běží na fyzických serverech a virtuálních počítačích mezi jejich primární lokalitou (místně) a sekundárním umístěním (Azure).
Možnosti návrhu clusteru
Při návrhu místní instance Azure je důležité porozumět požadavkům na výkon a odolnost úloh. Mezi tyto požadavky patří doba obnovení (RTO) a časy cíle bodu obnovení (RPO), výpočetní prostředky (CPU), paměť a požadavky na úložiště pro všechny úlohy nasazené v místní instanci Azure. Na rozhodovací proces má vliv několik charakteristik úlohy, mezi které patří:
Funkce architektury procesoru (CPU), včetně funkcí technologie hardwarového zabezpečení, počtu procesorů, frekvence GHz (rychlost) a počtu jader na soket procesoru.
Požadavky na grafický procesor (GPU) úlohy, například pro AI nebo strojové učení, odvozování nebo vykreslování grafiky.
Paměť na uzel nebo množství fyzické paměti potřebné ke spuštění úlohy.
Počet fyzických uzlů v clusteru, které jsou ve velkém měřítku 1 až 16 uzlů. Maximální počet uzlů je tři při použití síťové architektury bez přepínače úložiště.
Pokud chcete zachovat odolnost výpočetních prostředků, musíte v clusteru rezervovat alespoň N+1 uzly, které stojí za kapacitu. Tato strategie umožňuje vyprázdnění uzlů pro aktualizace nebo obnovení z náhlého výpadku, jako jsou výpadky napájení nebo selhání hardwaru.
Pro důležité obchodní nebo klíčové úlohy zvažte rezervaci uzlů N+2 za účelem zvýšení odolnosti. Pokud jsou například dva uzly v clusteru offline, může úloha zůstat online. Tento přístup poskytuje odolnost proti chybám ve scénářích, ve kterých uzel, na kterém běží úloha, přejde během plánované procedury aktualizace do režimu offline a výsledkem je, že dva uzly jsou současně offline.
Požadavky na odolnost úložiště, kapacitu a výkon:
odolnost: Doporučujeme nasadit tři nebo více uzlů, abyste umožnili trojcestné zrcadlení, které poskytuje tři kopie dat pro infrastrukturu a uživatelské svazky. Třícestné zrcadlení zvyšuje výkon a maximální spolehlivost úložiště.
Kapacita: Je třeba vzít v úvahu celkové využitelné úložiště po odolnosti proti chybám nebo kopie. Toto číslo je přibližně 33% nezpracovaného prostoru úložiště disků vrstvy kapacity při použití trojcestného zrcadlení.
výkonu: Vstupně-výstupní operace za sekundu (IOPS) platformy, které určují možnosti propustnosti úložiště pro úlohu při vynásobení velikostí bloku aplikace.
Pokud chcete navrhnout a naplánovat místní nasazení Azure, doporučujeme použít nástroj místní velikosti Azure a vytvořit Nový projekt pro určení velikosti clusterů HCI. Použití nástroje pro změnu velikosti vyžaduje, abyste porozuměli vašim požadavkům na úlohy. Při zvažování počtu a velikosti virtuálních počítačů úloh spuštěných v clusteru nezapomeňte zvážit faktory, jako je počet virtuálních procesorů, požadavky na paměť a potřebná kapacita úložiště pro virtuální počítače.
Nástroj pro změnu velikosti Předvolby části vás provede dotazy týkajícími se typu systému (Premier, Integrated System nebo Validated Node) a možností řady procesorů. Pomůže vám také vybrat požadavky na odolnost clusteru. Nezapomeňte:
V rámci clusteru si zarezervujte minimálně N+1 uzly, které stojí za kapacitu nebo jeden uzel.
Zarezervujte si kapacitu N+2 uzlů v rámci clusteru, aby se zajistila dodatečná odolnost. Tato možnost umožňuje systému odolat selhání uzlu během aktualizace nebo jiné neočekávané události, která ovlivňuje dva uzly současně. Zajišťuje také, že v clusteru je dostatek kapacity, aby úloha běžela na zbývajících online uzlech.
Tento scénář vyžaduje použití třícestného zrcadlení pro uživatelské svazky, což je výchozí nastavení pro clustery, které mají tři nebo více fyzických uzlů.
Výstupem nástroje pro místní nastavení velikosti Azure je seznam doporučených skladových položek hardwarového řešení, které můžou poskytovat požadované požadavky na kapacitu úloh a odolnost platformy na základě vstupních hodnot v projektu Sizer. Další informace o dostupných hardwarových partnerských řešeních OEM najdete v tématu katalogu místních řešení Azure. Pokud chcete pomoct s právy na skladové položky řešení, aby splňovaly vaše požadavky, obraťte se na svého preferovaného poskytovatele hardwarového řešení nebo partnera pro integraci systému (SI).
Fyzické diskové jednotky
Prostory úložiště s přímým přístupem podporují více typů fyzických disků, které se liší v výkonu a kapacitě. Při návrhu místní instance Azure spolupracujte se zvoleným partnerem OEM hardwaru a určete nejvhodnější typy fyzických disků, které splňují požadavky na kapacitu a výkon vaší úlohy. Mezi příklady patří rotující pevné disky (HDD) nebo jednotky SSD (Solid State Drive) a NVMe. Tyto jednotky se často nazývají flash diskynebo trvalé paměti (PMem), což se označuje jako paměť třídy úložiště (SCM).
Spolehlivost platformy závisí na výkonu kritických závislostí platformy, jako jsou typy fyzických disků. Ujistěte se, že jste pro své požadavky zvolili správné typy disků. Pro úlohy s vysokým výkonem nebo nízkou latencí používejte řešení úložiště typu all-flash, jako jsou jednotky NVMe nebo SSD. Mezi tyto úlohy patří mimo jiné vysoce transakční databázové technologie, produkční clustery AKS nebo úlohy kritické pro důležité obchodní účely, které mají požadavky na úložiště s nízkou latencí nebo vysokou propustností. K maximalizaci výkonu úložiště použijte nasazení typu all-flash. All-NVMe konfigurace jednotek nebo jednotek SSD, zejména v malém měřítku, zlepšení efektivity úložiště a maximalizace výkonu, protože žádné jednotky se nepoužívají jako úroveň mezipaměti. Další informace najdete v
Pro úlohy pro obecné účely hybridní konfiguraci úložiště, jako jsou jednotky NVMe nebo disky SSD pro mezipaměť a pevné disky pro kapacitu, můžou poskytnout více místa úložiště. Nevýhodou je, že rotující disky mají nižší výkon, pokud vaše úloha překročí pracovní sadu mezipamětia pevné disky mají nižší střední dobu mezi hodnotou selhání v porovnání s jednotkami NVMe a SSD.
Výkon úložiště clusteru je ovlivněn typem fyzické diskové jednotky, který se liší podle charakteristik výkonu jednotlivých typů jednotek a mechanismu ukládání do mezipaměti, který zvolíte. Typ fyzické diskové jednotky je nedílnou součástí jakéhokoli návrhu a konfigurace Prostorů úložiště s přímým přístupem. V závislosti na požadavcích na místní úlohy Azure a omezení rozpočtu se můžete rozhodnout maximalizovat výkon, maximalizovat kapacitunebo implementovat konfiguraci typu smíšené jednotky, která vyrovnává výkon a kapacitu.
Prostory úložiště s přímým přístupem poskytují integrovanou, trvalou, trvalou, v reálném čase, čtení, zápis, mezipaměť na straně serveru, která maximalizuje výkon úložiště. Mezipaměť by měla mít velikost a nakonfigurovanou tak, aby vyhovovala pracovní sadě vašich aplikací a úloh. Prostory úložiště s přímým přístupem nebo svazkyse používají v kombinaci s mezipamětí sdíleného svazku clusteru (CSV) v paměti, aby se zlepšil výkon Hyper-V výkonu, zejména pro nepřipojený vstupní přístup k souborům virtuálního pevného disku (VHD) nebo virtuálního pevného disku v2 (VHDX).
Spropitné
Pro úlohy citlivé na vysoký výkon nebo latenci doporučujeme použít konfiguraci all-flash úložiště (všechny NVMe nebo všechny SSD) a velikost clusteru tří nebo více fyzických uzlů. Nasazení tohoto návrhu s výchozím nastavením konfigurace úložiště používá trojcestné zrcadlení pro infrastrukturu a uživatelské svazky. Tato strategie nasazení poskytuje nejvyšší výkon a odolnost. Pokud používáte konfiguraci all-NVMe nebo all-SSD, můžete využít plnou využitelnou kapacitu úložiště jednotlivých flash disků. Na rozdíl od hybridních nebo smíšených nastavení NVMe + SSD neexistuje žádná kapacita vyhrazená pro ukládání do mezipaměti. Tím se zajistí optimální využití vašich prostředků úložiště. Další informace o tom, jak vyvážit výkon a kapacitu tak, aby splňovaly vaše požadavky na úlohy, najdete v tématu Plánování svazků – pokud záleží na výkonu nejvíce.
Návrh sítě
Návrh sítě je celkové uspořádání součástí v rámci fyzické infrastruktury sítě a logických konfigurací. Stejné porty karty fyzického síťového rozhraní (NIC) můžete použít pro všechny kombinace záměrů sítě pro správu, výpočetní prostředky a úložiště. Použití stejných portů síťové karty pro všechny účely související se záměrem se nazývá plně konvergované síťové konfigurace.
Přestože se podporuje plně konvergovaná síťová konfigurace, optimální konfigurace výkonu a spolehlivosti je pro záměr úložiště používat vyhrazené porty síťového adaptéru. Tato základní architektura proto poskytuje ukázkové pokyny pro nasazení místní instance Azure s více uzlů pomocí síťové architektury s přepínačem úložiště se dvěma porty síťového adaptéru, které jsou konvergované pro záměry správy a výpočetních prostředků a dva vyhrazené porty síťového adaptéru pro záměr úložiště. Další informace najdete v tématu Aspekty sítě pro cloudová nasazení místníchAzure .
Tato architektura vyžaduje dva nebo více fyzických uzlů a maximálně 16 uzlů ve velkém měřítku. Každý uzel vyžaduje čtyři porty síťového adaptéru, které jsou připojené ke dvěma přepínačům ToR (Top-of-Rack). Dva přepínače ToR by měly být vzájemně propojené prostřednictvím agregační skupiny více skřisní (MLAG). Dva porty síťového adaptéru používané pro přenosy záměru úložiště musí podporovat vzdálený přímý přístup do paměti (RDMA). Tyto porty vyžadují minimální rychlost propojení 10 Gb/s, ale doporučujeme rychlost 25 Gb/s nebo vyšší. Dva porty síťového adaptéru používané pro správu a výpočetní záměry se konvergují pomocí technologie SET (Switch Embedded Teaming). Technologie SET poskytuje možnosti redundance propojení a vyrovnávání zatížení. Tyto porty vyžadují minimální rychlost propojení 1 Gb/s, ale doporučujeme rychlost 10 Gb/s nebo vyšší.
Topologie fyzické sítě
Následující topologie fyzické sítě ukazuje skutečná fyzická připojení mezi uzly a síťovými komponentami.
Při návrhu úložiště s více uzely, které přepnulo místní nasazení Azure, které používá tuto základní architekturu, potřebujete následující komponenty:
Přepínače Duální toR:
Síťové přepínače Dual ToR jsou vyžadovány pro odolnost sítě a schopnost obsluhovat nebo instalovat aktualizace firmwaru na přepínače bez výpadků. Tato strategie brání jedinému bodu selhání (SPoF).
Duální přepínače ToR se používají pro provoz úložiště nebo východ-západ. Tyto přepínače používají dva vyhrazené ethernetové porty, které mají specifické sítě VLAN (Storage Virtual Local Area Network) a třídy provozu řízení toku priority (PFC), které jsou definované pro zajištění bezeztrátové komunikace RDMA.
Tyto přepínače se připojují k uzlům prostřednictvím ethernetových kabelů.
Dva nebo více fyzických uzlů a maximálně 16 uzlů:
Každý uzel je fyzický server, na kterém běží operační systém Azure Stack HCI.
Každý uzel vyžaduje celkem čtyři porty síťového adaptéru: dva porty podporující RDMA pro úložiště a dva porty síťového adaptéru pro správu a výpočetní provoz.
Úložiště používá dva vyhrazené porty síťového adaptéru podporující RDMA, které se připojují s jednou cestou ke každému ze dvou přepínačů ToR. Tento přístup poskytuje redundanci cesty propojení a vyhrazenou šířku pásma určenou pro přenosy úložiště SMB Direct.
Správa a výpočetní prostředky používají dva porty síťového adaptéru, které poskytují jednu cestu ke každému ze dvou přepínačů ToR pro redundanci link-path.
Externí připojení:
Duální toR přepínače se připojují k externí síti, jako je vaše interní podniková síť LAN, a poskytuje tak přístup k požadovaným odchozím adresám URL pomocí hraničního síťového zařízení. Toto zařízení může být brána firewall nebo směrovač. Tyto přepínače směrují provoz, který směřuje do místní instance Azure nebo z provozu na severu a na jih.
Připojení externího provozu na sever podporuje záměr správy clusteru a výpočetní záměry. Toho dosáhnete pomocí dvou portů přepínače a dvou portů síťového adaptéru na uzel, které jsou konvergované prostřednictvím seskupování vložených přepínačů (SET) a virtuálního přepínače v rámci Hyper-V k zajištění odolnosti. Tyto komponenty pracují s externím připojením pro virtuální počítače Azure Arc a další prostředky úloh nasazené v logických sítích vytvořených v Resource Manageru pomocí webu Azure Portal, rozhraní příkazového řádku nebo šablon IaC.
Topologie logické sítě
Topologie logické sítě ukazuje přehled o tom, jak síťová data proudí mezi zařízeními bez ohledu na jejich fyzická připojení.
Souhrn logického nastavení pro tuto architekturu s přepnutím standardních hodnot úložiště s více uzely pro Azure Local je následující:
Přepínače Duální toR:
- Před nasazením clusteru je potřeba nakonfigurovat dva síťové přepínače ToR s požadovanými ID sítě VLAN, maximálním nastavením přenosové jednotky a konfigurací přemostění datacenter prosprávy
, výpočetních aportů úložiště. Další informace najdete v tématu požadavky na fyzickou síť pro místníAzure nebo požádejte o pomoc dodavatele hardwaru přepínače nebo partnera SI.
- Před nasazením clusteru je potřeba nakonfigurovat dva síťové přepínače ToR s požadovanými ID sítě VLAN, maximálním nastavením přenosové jednotky a konfigurací přemostění datacenter prosprávy
Azure Local používá přístup ATC sítě k použití automatizace sítě a konfigurace sítě založené na záměru.
Síťová ATC je navržená tak, aby zajistila optimální konfiguraci sítě a tok provozu pomocí záměrů síťového provozu . Síťová ATC definuje, které porty fyzických síťových adaptérů se používají pro různé záměry (nebo typy) síťového provozu, například prosprávu clusteru
, výpočetních a záměry úložištěclusteru .Zásady založené na záměru zjednodušují požadavky na konfiguraci sítě tím, že automatizují konfiguraci sítě uzlů na základě vstupů parametrů zadaných v rámci procesu nasazení místního cloudu Azure.
Externí komunikace:
Když uzly nebo úlohy potřebují komunikovat externě přes podnikovou síť LAN, internet nebo jinou službu, směrují se pomocí dvou přepínačů ToR. Tento proces je popsaný v předchozí části topologie fyzické sítě.
Když dva přepínače ToR fungují jako zařízení vrstvy 3, zpracovávají směrování a poskytují připojení nad clusterem k hraničnímu hraničnímu zařízení, jako je brána firewall nebo směrovač.
Záměr sítě pro správu používá konvergované virtuální rozhraní týmu SET, které umožňuje externí komunikaci IP adresy správy clusteru a prostředků řídicí roviny.
Pro záměr výpočetní sítě můžete v Azure vytvořit jednu nebo více logických sítí s konkrétními ID sítí VLAN pro vaše prostředí. Prostředky úloh, jako jsou virtuální počítače, používají tato ID k udělení přístupu k fyzické síti. Logické sítě používají dva porty fyzického síťového adaptéru konvergované pomocí týmu SET pro záměry výpočetních prostředků a správy.
Provoz úložiště:
Fyzické uzly vzájemně komunikují pomocí dvou vyhrazených portů síťového adaptéru, které jsou připojené k přepínačům ToR, aby poskytovaly vysokou šířku pásma a odolnost provozu úložiště.
Porty SMB1 a smb2 úložiště se připojují ke dvěma samostatným nesměrovatelným sítím (nebo vrstvě 2). Každá síť má nakonfigurované konkrétní ID sítě VLAN, které musí odpovídat konfiguraci portů přepínače v přepínačích ToR výchozí ID sítě VLAN úložiště: 711 a 712.
Na dvou portech síťového adaptéru záměru úložiště v operačním systému Azure Stack HCI není nakonfigurovaná žádná výchozí brána.
Každý uzel má přístup k možnostem Prostorů úložiště s přímým přístupem ke clusteru, jako jsou vzdálené fyzické disky používané ve fondu úložiště, virtuálních discích a svazcích. Přístup k těmto funkcím se usnadňuje prostřednictvím protokolu SMB-Direct RDMA přes dva porty vyhrazeného síťového adaptéru úložiště, které jsou dostupné v každém uzlu. Smb Multichannel se používá k odolnosti.
Tato konfigurace poskytuje dostatečnou rychlost přenosu dat pro operace související s úložištěm, například udržování konzistentních kopií dat pro zrcadlené svazky.
Požadavky na síťový přepínač
Vaše ethernetové přepínače musí splňovat různé specifikace vyžadované službou Azure Local a nastavené institutem IEEE SA (Institute of Electrical and Electronics Engineers Standards Association). Například pro přepnutá nasazení úložiště s více uzlu se síť úložiště používá pro RDMA přes RoCE v2 nebo iWARP. Tento proces vyžaduje pfc IEEE 802.1Qbb k zajištění bezeztrátové komunikace pro třídy provozu úložiště. Přepínače ToR musí poskytovat podporu IEEE 802.1Q pro sítě VLAN a IEEE 802.1AB pro protokol Link Layer Discovery Protocol.
Pokud plánujete použít existující síťové přepínače pro místní nasazení Azure, projděte si seznam povinných standardů a specifikací IEEE, které síťové přepínače a konfigurace musí poskytovat. Při nákupu nových síťových přepínačů si projděte seznam modelů přepínačů certifikovaných dodavatelem hardwaru, které podporují požadavky na místní síť Azure.
Požadavky na IP adresu
V případě přepnutí úložiště s více uzly se počet potřebných IP adres zvýší přidáním každého fyzického uzlu až na maximálně 16 uzlů v rámci jednoho clusteru. Pokud například chcete nasadit konfiguraci azure Local se dvěma uzly úložiště se dvěma uzly, infrastruktura clusteru vyžaduje přidělení minimálně 11 x IP adres. Pokud používáte mikrosegmentaci nebo softwarově definované sítě, je potřeba více IP adres. Další informace najdete v tématu Kontrola požadavků na IP adresy úložiště se dvěma uzly pro místníAzure .
Při návrhu a plánování požadavků na IP adresy pro místní Azure nezapomeňte počítat s dalšími IP adresami nebo rozsahy sítě potřebnými pro vaše úlohy nad rámec těch, které jsou potřeba pro místní instanci Azure a komponenty infrastruktury. Pokud plánujete nasadit AKS v Azure Local, přečtěte si téma AKS povolené požadavky na síť Azure Arc.
Monitorování
Pokud chcete vylepšit monitorování a upozorňování, povolte Monitorování přehledů v místnímAzure. Přehledy se můžou škálovat pro monitorování a správu několika místních clusterů pomocí konzistentního prostředí Azure. Insights využívá čítače výkonu clusteru a kanály protokolu událostí k monitorování klíčových místních funkcí Azure. Protokoly shromažďuje řadič domény nakonfigurovaný prostřednictvím služby Monitor a Log Analytics.
Přehledy pro Azure Local se vytvářejí pomocí služby Monitor a Log Analytics, což zajišťuje vždy up-toškálovatelné škálovatelné řešení, které je vysoce přizpůsobitelné. Insights poskytuje přístup k výchozím sešitům se základními metrikami a specializovanými sešity vytvořenými pro monitorování klíčových funkcí Azure Local. Tyto komponenty poskytují řešení monitorování téměř v reálném čase a umožňují vytváření grafů, přizpůsobení vizualizací prostřednictvím agregace a filtrování a konfigurace vlastních pravidel upozornění služby Resource Health.
Správa aktualizací
Místní instance Azure a nasazené prostředky úloh, jako jsou virtuální počítače Azure Arc, je potřeba pravidelně aktualizovat a opravovat. Pravidelným používáním aktualizací zajistíte, aby vaše organizace zachovala silný stav zabezpečení a zlepšila celkovou spolehlivost a možnosti podpory vašich aktiv. Doporučujeme používat automatická a pravidelná ruční hodnocení pro včasné zjišťování a použití oprav zabezpečení a aktualizací operačního systému.
Aktualizace infrastruktury
Azure Local se průběžně aktualizuje, aby se zlepšilo uživatelské prostředí a přidaly nové funkce. Tento proces se spravuje prostřednictvím trénů vydaných verzí, které poskytují nové standardní buildy čtvrtletně. Základní buildy se použijí na místní instance Azure, aby byly aktuální. Kromě běžných aktualizací základního sestavení se Azure Local aktualizuje o měsíční aktualizace zabezpečení a spolehlivosti operačního systému.
Update Manager je služba Azure, kterou můžete použít k použití, zobrazení a správě aktualizací pro místní Azure. Tato služba poskytuje mechanismus pro zobrazení všech místních instancíAzure v celé infrastruktuře a hraničních umístěních pomocí webu Azure Portal k zajištění centralizovaného prostředí pro správu. Další informace najdete v následujících zdrojích informací:
Je důležité pravidelně kontrolovat nové aktualizace ovladačů a firmwaru, například každé tři až šest měsíců. Pokud pro místní hardware Azure používáte verzi kategorie řešení Premier, aktualizace balíčků rozšíření Solution Builderu jsou integrované s Update Managerem a poskytují tak zjednodušené prostředí aktualizací. Pokud používáte ověřené uzly nebo kategorii integrovaného systému, může být nutné stáhnout a spustit balíček aktualizace specifické pro OEM, který obsahuje aktualizace firmwaru a ovladačů pro váš hardware. Pokud chcete zjistit, jak se aktualizace dodávají pro váš hardware, obraťte se na svého hardwarového OEM nebo partnera SI.
Opravy hostovaného operačního systému úloh
Virtuální počítače Azure Arc, které jsou nasazené v místním prostředí Azure, můžete zaregistrovat pomocí azure Update Manageru (AUM) zajistit jednotné prostředí správy oprav pomocí stejného mechanismu, který se používá k aktualizaci fyzických uzlů místního clusteru Azure. AUM můžete použít k vytvoření konfigurace údržby hosta. Tyto konfigurace řídí nastavení, jako je nastavení restartování, restartování v případě potřeby, plán (data, časy a možnosti opakování) a dynamický (předplatné) nebo statický seznam virtuálních počítačů Azure Arc pro rozsah. Tato nastavení řídí konfiguraci, kdy jsou v hostovaném operačním systému virtuálního počítače vašeho virtuálního počítače nainstalované opravy zabezpečení operačního systému.
Úvahy
Tyto aspekty implementují pilíře architektury Azure Well-Architected Framework, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace najdete v tématu rozhraní Microsoft Azure Well-Architected Framework.
Spolehlivost
Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v tématu Přehled pilíře spolehlivosti.
Identifikace potenciálních bodů selhání
Každá architektura je náchylná k selháním. Můžete předvídat selhání a připravit se na zmírnění rizik pomocí analýzy režimu selhání. Následující tabulka popisuje čtyři příklady potenciálních bodů selhání v této architektuře:
| Komponenta | Riziko | Pravděpodobnost | Účinek/ zmírnění rizik / poznámka | Výpadek |
|---|---|---|---|---|
| Výpadek místní instance Azure | Selhání napájení, sítě, hardwaru nebo softwaru | Středně | Pokud chcete zabránit dlouhodobému výpadku aplikace způsobenému selháním místní instance Azure pro obchodní nebo klíčové případy použití, měli byste svou úlohu navrhovat pomocí principů vysoké dostupnosti a zotavení po havárii. Můžete například použít standardní technologie replikace dat úloh k udržování více kopií trvalých stavových dat nasazených pomocí několika virtuálních počítačů Azure Arc nebo instancí AKS nasazených v samostatných místních instancích Azure a v samostatných fyzických umístěních. | Potenciální výpadek |
| Výpadek místního fyzického uzlu Azure | Selhání napájení, hardwaru nebo softwaru | Středně | Aby se zabránilo dlouhodobému výpadku aplikace způsobenému selháním jednoho místního počítače Azure, měla by vaše místní instance Azure obsahovat několik fyzických uzlů. Požadavky na kapacitu úloh během fáze návrhu clusteru určují počet uzlů. Doporučujeme mít tři nebo více uzlů. Doporučujeme také použít třícestné zrcadlení, což je výchozí režim odolnosti úložiště pro clustery se třemi nebo více uzly. Pokud chcete zabránit SPoF a zvýšit odolnost úloh, nasaďte několik instancí úloh pomocí dvou nebo více virtuálních počítačů Azure Arc nebo podů kontejnerů, které běží v několika pracovních uzlech AKS. Pokud jeden uzel selže, virtuální počítače a úlohy a aplikační služby Azure Arc se restartují na zbývajících online fyzických uzlech v clusteru. | Potenciální výpadek |
| Virtuální počítač Azure Arc nebo pracovní uzel AKS (úloha) | Špatně nakonfigurovat | Středně | Uživatelé aplikace se nemůžou přihlásit nebo získat přístup k aplikaci. Během nasazování by se měly zachytit chybné konfigurace. Pokud k těmto chybám dojde během aktualizace konfigurace, tým DevOps musí vrátit změny zpět. V případě potřeby můžete virtuální počítač znovu nasadit. Nasazení opětovného nasazení trvá méně než 10 minut, ale může trvat déle podle typu nasazení. | Potenciální výpadek |
| Připojení k Azure | Výpadek sítě | Středně | Cluster se musí pravidelně spojit s řídicí rovinou Azure za účelem fakturace, správy a monitorování. Pokud váš cluster ztratí připojení k Azure, funguje v degradovaném stavu. Pokud například váš cluster ztratí připojení k Azure, není možné nasadit nové virtuální počítače Azure Arc ani clustery AKS. Stávající úlohy, které běží v clusteru HCI, se budou dál spouštět, ale připojení byste měli obnovit do 48 až 72 hodin, aby se zajistilo nepřerušované fungování. | Žádný |
Další informace najdete v tématu Doporučení k provádění analýzy režimu selhání.
Cíle spolehlivosti
Tato část popisuje ukázkový scénář. Fiktivní zákazník s názvem Contoso Manufacturing používá tuto referenční architekturu k nasazení Azure Local. Chtějí řešit své požadavky a nasazovat a spravovat úlohy místně. Společnost Contoso Manufacturing má cíl cíle na úrovni interní úrovně služeb (SLO) 99,8%, že zúčastněné strany obchodních a aplikačních aplikací souhlasí se svými službami.
Cíl úrovně služby (SLO) 99.8% dobu provozu nebo dostupnosti vede k následujícím obdobím povoleného výpadku nebo nedostupnosti pro aplikace nasazené pomocí virtuálních počítačů Azure Arc, které běží v místním prostředí Azure:
Týdně: 20 minut a 10 sekund
Měsíčně: 1 hodina, 26 minut a 56 sekund
Čtvrtletně: 4 hodiny, 20 minut a 49 sekund
Ročně: 17 hodin, 23 minut a 16 sekund
, aby společnost Contoso Manufacturing pomohla splnit cíle cíle SLO, implementuje zásadu nejnižších oprávnění (PoLP), aby omezila počet správců místních instancí Azure na malou skupinu důvěryhodných a kvalifikovaných jednotlivců. Tento přístup pomáhá zabránit výpadkům kvůli neúmyslným nebo náhodným akcím provedeným s produkčními prostředky. Protokoly událostí zabezpečení pro místní řadiče domény služby Active Directory Domain Services (AD DS) se navíc monitorují, aby detekovaly a hlásily všechny změny členství ve skupinách uživatelských účtů, označované jako přidání a odebrání akcí, pro správce místní instance Azure skupinu pomocí řešení správy událostí zabezpečení (SIEM). Monitorování zvyšuje spolehlivost a zlepšuje zabezpečení řešení.
Další informace najdete v tématu Doporučení pro správu identit a přístupu.
postupy kontroly striktních změn jsou zavedeny pro výrobní systémy společnosti Contoso Manufacturing. Tento proces vyžaduje, aby se všechny změny testovaly a ověřovaly v reprezentativním testovacím prostředí před implementací v produkčním prostředí. Všechny změny odeslané do procesu poradní rady pro týdenní změny musí zahrnovat podrobný plán implementace (nebo odkaz na zdrojový kód), skóre na úrovni rizika, komplexní plán vrácení zpět, testování po vydání a ověření a jasná kritéria úspěchu pro změnu, která se mají zkontrolovat nebo schválit.
Další informace najdete v tématu Doporučení pro postupy bezpečného nasazení.
měsíční opravy zabezpečení a čtvrtletní aktualizace standardních hodnot se použijí na produkční místní instanci Azure až po jejich ověření předprodukčním prostředím. Update Manager a funkce aktualizace pracující s clustery automatizují proces použití migrace za provozu virtuálních počítačů za provozu, aby se minimalizovaly výpadky důležitých úloh během měsíčních operací údržby. Standardní provozní postupy společnosti Contoso Manufacturing vyžadují, aby se aktualizace zabezpečení, spolehlivosti nebo základního sestavení aplikovaly na všechny produkční systémy do čtyř týdnů od data vydání. Bez této zásady se produkční systémy trvale nemůžou držet aktuální s měsíčními aktualizacemi operačního systému a zabezpečení. Zastaralé systémy negativně ovlivňují spolehlivost a zabezpečení platformy.
Další informace najdete v tématu Doporučení pro stanovení standardních hodnot zabezpečení.
Contoso Manufacturing implementuje každý den, týdenní a měsíční zálohy zachovat posledních 6 x dnů denních záloh (pondělí až soboty), posledních 3 x týdenních záloh (každou neděli) a 3 × měsíční zálohy, přičemž každý neděle týden 4 se zachová, aby se stal měsícem 1, měsícem 2 a měsícem 3 zálohy pomocí plán založený na průběžném kalendáři, který je zdokumentovaný a auditovatelný. Tento přístup splňuje požadavky společnosti Contoso Manufacturing na odpovídající rovnováhu mezi počtem dostupných bodů obnovení dat a snížením nákladů na službu úložiště mimo pracoviště nebo cloudového úložiště záloh.
Další informace najdete v tématu Doporučení pro návrh strategie zotavení po havárii.
procesy zálohování a obnovení dat se testují pro každý obchodní systém každých šest měsíců. Tato strategie zajišťuje, že procesy BCDR jsou platné a že firma je chráněná, pokud dojde k havárii datacentra nebo kyberzločinci.
Další informace najdete v tématu Doporučení pro navrhování strategie testování spolehlivosti.
Provozní procesy a postupy popsané výše v článku a doporučení v průvodci službami Well-Architected Framework pro místníAzure umožňují společnosti Contoso Manufacturing splnit svůj cíl 99.8% cíle ALO na úrovni SLO a efektivně škálovat a spravovat nasazení místních úloh Azure a úloh napříč několika výrobními lokalitami, které jsou distribuované po celém světě.
Další informace najdete v tématu Doporučení pro definování cílů spolehlivosti.
Nadbytečnost
Zvažte úlohu, kterou nasadíte v jedné místní instanci Azure, jako místně redundantní nasazení. Cluster poskytuje vysokou dostupnost na úrovni platformy, ale cluster musíte nasadit do jednoho racku. Pro důležité obchodní nebo klíčové případy použití doporučujeme nasadit více instancí úlohy nebo služby napříč dvěma nebo více samostatnými místními instancemi Azure, ideálně v samostatných fyzických umístěních.
Pro úlohy, které poskytují aktivní/pasivní replikaci, synchronní replikaci nebo asynchronní replikaci, jako je SQL Server AlwaysOn, použijte standardní vzory vysoké dostupnosti. Můžete také použít technologii vyrovnávání zatížení externí sítě (NLB), která směruje požadavky uživatelů napříč několika instancemi úloh, které běží v místních instancích Azure, které nasazujete v samostatných fyzických umístěních. Zvažte použití externího zařízení nlB partnera. Nebo můžete vyhodnotit možnosti vyrovnávání zatížení , které podporují směrování provozu pro hybridní a místní služby, jako je instance služby Azure Application Gateway, která používá Azure ExpressRoute nebo tunel VPN pro připojení k místní službě.
Další informace najdete v tématu Doporučení pro navrhování redundance.
Bezpečnost
Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.
Mezi důležité informace o zabezpečení patří:
Zabezpečený základ pro místní platformu Azure: Místní Azure je bezpečný produkt, který používá ověřené hardwarové komponenty s čipem TPM, UEFI a zabezpečeným spouštěním k vytvoření zabezpečeného základu pro místní platformu Azure a zabezpečení úloh. Když je nasazený s výchozím nastavením zabezpečení, azure Local má povolené řízení aplikací v programu Windows Defender, ochranu Credential Guard a BitLocker. Pokud chcete zjednodušit delegování oprávnění pomocí nástroje PoLP, použijte místní předdefinované role řízení přístupu na základě role (RBAC) Azure, jako je místní správce Azure pro správce platformy a přispěvatele místních virtuálních počítačů Azure nebo čtenáře místních virtuálních počítačů Azure pro operátory úloh.
Výchozí nastavení zabezpečení: výchozí nastavení místního zabezpečení Azure použije výchozí nastavení zabezpečení pro místní instanci Azure během nasazování a umožňuje, aby uzly zůstaly ve známém dobrém stavu. Výchozí nastavení zabezpečení můžete použít ke správě zabezpečení clusteru, řízení odchylek a nastavení zabezpečeného základního serveru v clusteru.
protokoly událostí zabezpečení: předávání místních sys logů Azure se integruje s řešeními monitorování zabezpečení načtením relevantních protokolů událostí zabezpečení pro agregaci a ukládání událostí pro uchovávání ve vaší vlastní platformě SIEM.
Ochrana před hrozbami a ohroženími zabezpečení: Defender for Cloud chrání vaši místní instanci Azure před různými hrozbami a ohroženími zabezpečení. Tato služba pomáhá zlepšit stav zabezpečení místního prostředí Azure a může chránit před stávajícími a vyvíjejícími se hrozbami.
detekce a náprava hrozeb: Microsoft Advanced Threat Analytics detekuje a opravuje hrozby, jako jsou ty, které cílí na službu AD DS, které poskytují ověřovací služby uzlům místní instance Azure a jejich úlohám virtuálních počítačů s Windows Serverem.
izolace sítě: V případě potřeby izolujte sítě. Můžete například zřídit několik logických sítí, které používají samostatné sítě VLAN a rozsahy síťových adres. Při použití tohoto přístupu se ujistěte, že se síť pro správu může spojit s každou logickou sítí a sítí VLAN, aby uzly místní instance Azure mohly komunikovat se sítěmi VLAN prostřednictvím přepínačů nebo bran ToR. Tato konfigurace se vyžaduje pro správu úlohy, jako je například povolení komunikace agentů správy infrastruktury s hostujícím operačním systémem úloh.
Další informace najdete v tématu Doporučení k vytvoření strategie segmentace.
Optimalizace nákladů
Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.
Mezi důležité informace o optimalizaci nákladů patří:
model fakturace ve stylu cloudu pro licencování: Místní ceny Azure se řídí měsíčním fakturačním modelem předplatného s plochou sazbou na jádro fyzického procesoru v místní instanci Azure. Pokud používáte jiné služby Azure, budou se účtovat další poplatky za využití. Pokud vlastníte místní základní licence pro edici Windows Server Datacenter s aktivním programem Software Assurance, můžete si tyto licence vyměnit za aktivaci místní instance Azure a poplatků za předplatné virtuálního počítače s Windows Serverem.
automatických oprav hosta virtuálního počítače pro virtuální počítače Azure Arc: Tato funkce pomáhá snížit režii ručních oprav a souvisejících nákladů na údržbu. Tato akce pomáhá nejen zabezpečit systém, ale také optimalizuje přidělování prostředků a přispívá k celkové efektivitě nákladů.
konsolidace monitorování nákladů: Ke konsolidaci nákladů na monitorování použijte Insights pro místní Azure a opravy pomocí Update Manageru pro místníAzure . Funkce Insights využívá monitorování k poskytování bohatých metrik a možností upozorňování. Komponenta správce životního cyklu Azure Localintegrates s Update Managerem pro zjednodušení úlohy udržování clusterů v aktualizovaném stavu sloučením pracovních postupů aktualizací pro různé komponenty do jednoho prostředí. Pomocí nástroje Monitor a Update Manager optimalizujte přidělování prostředků a přispíváte k celkové efektivitě nákladů.
Další informace najdete v tématu Doporučení pro optimalizaci času zaměstnanců.
počáteční kapacita a růst úloh: Při plánování místního nasazení Azure zvažte počáteční kapacitu úloh, požadavky na odolnost a budoucí růst. Zvažte, jestli použití architektury bez přepínače úložiště se dvěma nebo třemi uzly může snížit náklady, jako je například odebrání nutnosti pořízení síťových přepínačů třídy úložiště. Nákup síťových přepínačů extra třídy úložiště může být nákladnou součástí nových nasazení místní instance Azure. Místo toho můžete použít existující přepínače pro správu a výpočetní sítě, což zjednodušuje infrastrukturu. Pokud vaše kapacita úloh a odolnost není potřeba škálovat nad rámec konfigurace se třemi uzly, zvažte, jestli můžete použít existující přepínače pro správu a výpočetní sítě a použít bezpínací architekturu úložiště se třemi uzly k nasazení Azure Local.
Další informace najdete v tématu Doporučení pro optimalizaci nákladů na komponenty.
Spropitné
Pokud máte licence windows Serveru Datacenter s aktivním programem Software Assurance, můžete ušetřit náklady s zvýhodněným hybridním využitím Azure. Další informace najdete v tématu Zvýhodněné hybridní využití Azure pro místníAzure.
Efektivita provozu
Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.
Mezi důležité informace o efektivitě provozu patří:
zjednodušené prostředí pro zřizování a správu integrované s Azure: Cloudové nasazení v Azure poskytuje rozhraní řízené průvodcem, které ukazuje, jak vytvořit místní instanci Azure. Podobně Azure zjednodušuje proces správy místních instancí Azure a virtuálních počítačů Azure Arc. Nasazení místní instance Azure na portálu můžete automatizovat pomocí šablony ARM. Tato šablona poskytuje konzistenci a automatizaci pro nasazení Azure Local ve velkém měřítku, konkrétně v hraničních scénářích, jako jsou maloobchodní prodejny nebo výrobní lokality, které vyžadují místní instanci Azure ke spouštění důležitých obchodních úloh.
možnosti automatizace pro virtuální počítače: Azure Local poskytuje širokou škálu možností automatizace pro správu úloh, jako jsou virtuální počítače Azure Arc, s automatizovaným nasazením virtuálních počítačů Azure Arc pomocí Azure CLI, ARM nebošablony Bicep , s aktualizacemi operačního systému virtuálního počítače pomocí rozšíření Azure Arc pro aktualizace a Azure Update Manageru aktualizovat každou místní instanci Azure. Azure Local také poskytuje podporu pro správu virtuálních počítačů Azure Arc pomocí Azure CLI a virtuálních počítačů mimo Azure Arc pomocí Windows PowerShellu. Příkazy Azure CLI můžete spouštět místně z jednoho z místních počítačů Azure nebo vzdáleně z počítače pro správu. Integrace s Azure Automation a Azure Arc usnadňuje širokou škálu dalších scénářů automatizace pro úlohy virtuálních počítačů prostřednictvím rozšíření Azure Arc.
Další informace najdete v tématu Doporučení pro použitíIaC .
možnosti automatizace pro kontejnery v AKS: Azure Local poskytuje širokou škálu možností automatizace pro správu úloh, jako jsou kontejnery, v AKS. Nasazení clusterů AKS můžete automatizovat pomocí azure CLI. Aktualizace clusterů úloh AKS pomocí rozšíření Azure Arc pro aktualizace Kubernetes. AKS s podporou služby Azure Arc můžete také spravovat pomocí Azure CLI. Příkazy Azure CLI můžete spouštět místně z jednoho z místních počítačů Azure nebo vzdáleně z počítače pro správu. Integrace se službou Azure Arc pro širokou škálu scénářů dodatečné automatizace pro kontejnerizované úlohy prostřednictvím rozšíření Azure Arc.
Další informace najdete v tématu Doporučení pro povoleníautomatizace .
Efektivita výkonu
Efektivita výkonu je schopnost vaší úlohy škálovat tak, aby splňovala požadavky, které na ni mají uživatelé efektivním způsobem. Další informace najdete v tématu Přehled pilíře efektivity výkonu.
Mezi důležité informace o efektivitě výkonu patří:
výkon úložiště úloh: Zvažte použití nástroje DiskSpd k otestování možností výkonu úložiště úloh místní instance Azure. Nástroj VMFleet můžete použít ke generování zatížení a měření výkonu subsystému úložiště. Vyhodnoťte, jestli byste k měření výkonu subsystému úložiště měli použít
VMFleet. Před nasazením produkčních úloh doporučujeme vytvořit směrný plán pro výkon místních instancí Azure. DiskSpd používá různé parametry příkazového řádku, které správcům umožňují otestovat výkon úložiště clusteru. Hlavní funkcí DiskSpd je vydání operací čtení a zápisu a výstupních metrik výkonu, jako je latence, propustnost a vstupně-výstupní operace za sekundu.
Další informace naleznete v tématu Doporučení pro testování výkonu.
odolnost úložiště úloh: Zvažte výhody odolnosti úložiště , efektivity využití (nebo kapacity) a výkonu. Plánování místních svazků Azure zahrnuje identifikaci optimální rovnováhy mezi odolností, efektivitou využití a výkonem. Optimalizaci této rovnováhy může být obtížné, protože maximalizace jedné z těchto charakteristik má obvykle negativní vliv na jednu nebo více dalších charakteristik. Zvýšení odolnosti snižuje využitelnou kapacitu. V důsledku toho se výkon může lišit v závislosti na vybraném typu odolnosti. Pokud je prioritou odolnost a výkon a když používáte tři nebo více uzlů, výchozí konfigurace úložiště využívá třícestné zrcadlení pro infrastrukturu i uživatelské svazky.
Další informace najdete v tématu Doporučení pro plánování kapacity.
optimalizace výkonu sítě: Zvažte optimalizaci výkonu sítě. V rámci návrhu nezapomeňte při určování
optimální konfigurace síťového hardwaru zahrnout přidělení šířky pásma síťového provozu. K optimalizaci výkonu výpočetních prostředků v Azure Local můžete použít akceleraci GPU. Akcelerace GPU je užitečná pro vysoce výkonné úlohy umělé inteligence nebo strojového učení, které zahrnují přehledy dat nebo odvozování. Tyto úlohy vyžadují nasazení v hraničních umístěních kvůli aspektům, jako jsou závažnost dat nebo požadavky na zabezpečení. V hybridním nasazení nebo místním nasazení je důležité vzít v úvahu požadavky na výkon úloh, včetně GPU. Tento přístup vám pomůže vybrat správné služby při návrhu a pořízení místních instancí Azure.
Další informace najdete v tématu Doporučení pro výběr správných služeb.
Nasazení tohoto scénáře
Následující část obsahuje příklad seznamu úloh vysoké úrovně nebo typického pracovního postupu používaného k nasazení Azure Local, včetně požadovaných úloh a důležitých aspektů. Tento seznam pracovních postupů je určen pouze jako ukázkový průvodce. Nejedná se o vyčerpávající seznam všech požadovaných akcí, které se můžou lišit v závislosti na požadavcích organizace, zeměpisné oblasti nebo projektu.
scénář: Existuje požadavek na nasazení hybridního cloudového řešení v místním nebo hraničním umístění k poskytování místních výpočetních prostředků pro možnosti zpracování dat a přání používat prostředí pro správu a fakturaci konzistentní s Azure. Další podrobnosti jsou popsány v potenciální případy použití části tohoto článku. Zbývající kroky předpokládají, že Azure Local je zvolené řešení platformy infrastruktury pro projekt.
Shromáždit požadavky na úlohy a případy použití od příslušných zúčastněných stran. Tato strategie umožňuje projektu potvrdit, že funkce a možnosti Azure Local splňují požadavky na škálování úloh, výkon a funkčnost. Tento proces kontroly by měl zahrnovat pochopení škálování nebo velikosti úloh a požadovaných funkcí, jako jsou virtuální počítače Azure Arc, AKS, Azure Virtual Desktop nebo datové služby s podporou Azure Arc nebo služba Machine Learning s podporou Služby Azure Arc. Hodnoty RTO úloh a cíle bodu obnovení (spolehlivost) a další nefunkční požadavky (škálovatelnost výkonu a zatížení) by se měly zdokumentovat jako součást tohoto kroku shromažďování požadavků.
zkontrolujte výstup místního velikostí Azure pro doporučenéhardwarového partnera. Tento výstup obsahuje podrobnosti o doporučeném vytvoření a modelu fyzického serveru, počtu fyzických uzlů a specifikací pro konfiguraci procesoru, paměti a úložiště jednotlivých fyzických uzlů, které jsou potřeba k nasazení a spouštění úloh.
pomocí nástroje místní velikosti Azure vytvořit nový projekt, který modeluje typ úlohy a škáluje. Tento projekt zahrnuje velikost a počet virtuálních počítačů a jejich požadavky na úložiště. Tyto podrobnosti se zadávají společně s volbami pro typ systému, upřednostňovanou řadu procesorů a požadavky na odolnost proti chybám pro vysokou dostupnost a odolnost úložiště, jak je vysvětleno v předchozí části volby návrhu clusteru části.
zkontrolujte výstup místního nástroje Pro velikost Azure pro doporučené hardwarové partnerské řešení. Toto řešení obsahuje podrobnosti o doporučeném hardwaru fyzického serveru (make a model), počtu fyzických uzlů a specifikacích pro konfiguraci procesoru, paměti a úložiště jednotlivých fyzických uzlů, které jsou potřeba k nasazení a spouštění úloh.
Kontaktujte hardwarového partnera OEM nebo SI, aby dále opravoval vhodnost doporučené verze hardwaru v porovnání s vašimi požadavky na úlohy. Pokud je k dispozici, použijte nástroje pro určení velikosti hardwaru specifické pro OEM pro požadované úlohy. Tento krok obvykle zahrnuje diskuze s hardwarovým výrobcem OEM nebo partnerem SI pro komerční aspekty řešení. Mezi tyto aspekty patří uvozovky, dostupnost hardwaru, doby předstihu a jakékoli profesionální nebo hodnotové služby, které partner poskytuje, aby vám pomohl urychlit váš projekt nebo obchodní výsledky.
Nasazení dvou přepínačů ToR pro integraci sítě. U řešení s vysokou dostupností clustery HCI vyžadují nasazení dvou přepínačů ToR. Každý fyzický uzel vyžaduje čtyři síťové karty, z nichž dva musí být schopné RDMA, které poskytují dvě propojení z každého uzlu na dva přepínače ToR. Dvě síťové karty, jedna připojená k jednotlivým přepínačům, se konvergují pro odchozí připojení na sever pro výpočetní a správu sítí. Další dvě síťové karty podporující RDMA jsou vyhrazené pro provoz úložiště – západ. Pokud máte v úmyslu používat existující síťové přepínače, ujistěte se, že je v seznamu schválených síťových přepínačů podporovaných službou Azure Local.
Spolupracovat s hardwarovým výrobcem OEM nebo partnerem SI, aby se zajistilo dodání hardwarového. Partner SI nebo vaši zaměstnanci pak musí hardware integrovat do místního datacentra nebo hraničního umístění, jako je racking a stacking hardwaru, fyzické sítě a kabeláž napájecích jednotek pro fyzické uzly.
provést nasazení místní instance Azure. V závislosti na zvolené verzi řešení (řešení Premier, integrovaný systém nebo ověřené uzly) může hardwarový partner, partner SI nebo vaši zaměstnanci nasadit místní software Azure. Tento krok začíná onboardingem fyzických uzlů s operačním systémem Azure Stack HCI na servery s podporou Azure Arc a spuštěním procesu nasazení místního cloudu Azure. Zákazníci a partneři můžou požádat o podporu přímo s Microsoftem na webu Azure Portal výběrem ikony podpora a řešení potíží nebo kontaktováním partnera OEM nebo SI hardwaru v závislosti na povaze žádosti a kategorii hardwarového řešení.
Spropitné
operačního systému Azure Stack HCI verze 23H2 ukazuje, jak nasadit přepnutou víceserverovou nasazení Azure Local pomocí šablony ARM a souboru parametrů. Alternativně ukázku bicep ukazuje, jak pomocí šablony Bicep nasadit místní instanci Azure, včetně požadovaných prostředků.Nasazení vysoce dostupných úloh v Azure Local pomocí webu Azure Portal, rozhraní příkazového řádku nebo šablon ARM + Azure Arc pro automatizaci. Při nasazení prostředků úloh, jako jsou virtuální počítače Azure Arc, AKS, hostitelé relací služby Azure Virtual Desktop nebo jiné služby s podporou Služby Azure Arc, které můžete povolit prostřednictvím rozšíření AKS a kontejnerizace v Místním prostředí Azure, použijte vlastní umístění prostředku nového clusteru HCI.
Instalace měsíčních aktualizací za účelem zlepšení zabezpečení a spolehlivosti platformy. Pokud chcete udržovat místní instance Azure aktuální, je důležité nainstalovat aktualizace softwaru Microsoftu a aktualizace hardwaru ovladačů OEM a firmwaru. Tyto aktualizace zlepšují zabezpečení a spolehlivost platformy. Update Manager aktualizace použije a poskytuje centralizované a škálovatelné řešení pro instalaci aktualizací v jednom clusteru nebo několika clusterech. Obraťte se na svého hardwarového partnera OEM a zjistěte proces instalace ovladačů hardwaru a aktualizací firmwaru, protože tento proces se může lišit v závislosti na zvoleném typu kategorie hardwarového řešení (řešení Premier, integrovaný systém nebo ověřené uzly). Další informace naleznete v tématu Aktualizace infrastruktury.
Související prostředky
- návrhu hybridní architektury
- hybridní možnosti Azure
- Automation v hybridním prostředí
- azure Automation State Configuration
- Optimalizace správy instancí SQL Serveru v místních a multicloudových prostředích pomocí služby Azure Arc
Další kroky
Dokumentace k produktu:
- operačního systému Azure Stack HCI verze 23H2
- AKS v Místním Azure
- Azure Virtual Desktopu pro místní Azure
- Co je místní monitorování Azure?
- Ochrana úloh virtuálních počítačů pomocí Site Recovery v Azure Local
- Přehled monitorování
- přehled řešení Change Tracking a inventáře
- Přehled
Update Manageru - Co jsou datové služby s podporou Azure Arc?
- Co jsou servery s podporou Azure Arc?
- Co je služba Backup?
Dokumentace k produktu pro podrobnosti o konkrétních službách Azure:
- místní Azure
- azure Arc
- služby Key Vault
- azure Blob Storage
- monitorování
- azure Policy
- služby Azure Container Registry
- Defender for Cloud
- Site Recovery
- zálohování
Moduly Microsoft Learn:
- konfigurace monitorování
- Návrh řešení site recovery v Azure
- Úvod k serverům s podporou Azure Arc
- Úvod do datových služeb s podporou Služby Azure Arc
- Úvod do AKS
- škálování nasazení modelu pomocí strojového učení kdekoli – blog technické komunity
- realizace strojového učení kdekoli s využitím AKS a strojového učení s podporou Azure Arc – blog technické komunity
- strojového učení v AKS pro hybridní a Stack HCI s využitím strojového učení s podporou Služby Arc – blog technické komunity
- Úvod do cílového výpočetního prostředí Kubernetes ve službě Machine Learning
- udržovat virtuální počítače aktualizované
- Ochrana nastavení virtuálního počítače pomocí konfigurace stavu služby Automation
- ochrana virtuálních počítačů pomocí služby Backup