Perspectiva del marco de trabajo bien diseñado de Azure en Azure Stack HCI
Azure Stack HCI es una plataforma de infraestructura hiperconvergida (HCI) que proporciona almacenamiento local, recursos de red y recursos de proceso. Puede usar Azure Stack HCI para crear y administrar máquinas virtuales (VM) Windows y Linux, clústeres de Kubernetes para cargas de trabajo en contenedores y otros servicios habilitados para Azure Arc. La plataforma usa Azure para una implementación y administración simplificadas, que proporciona una experiencia de administración unificada y coherente a través de Azure Arc. Puede usar las funcionalidades de Azure Stack HCI y Azure Arc para mantener los sistemas empresariales y los datos de aplicaciones en el entorno local para abordar los requisitos de soberanía, regulación y cumplimiento de los datos y latencia.
En este artículo se da por supuesto que conoce los sistemas híbridos y tiene conocimientos prácticos de Azure Stack HCI. Las instrucciones de este artículo proporcionan recomendaciones arquitectónicas que se asignan a los principios de los pilares de Azure Well-Architected Framework.
Importante
Cómo usar esta guía
Cada sección tiene una lista de comprobación de diseño que presenta áreas de interés arquitectónicas junto con estrategias de diseño localizadas al ámbito tecnológico.
También se incluyen recomendaciones sobre las funcionalidades tecnológicas que pueden ayudar a materializar esas estrategias. Las recomendaciones no representan una lista exhaustiva de todas las configuraciones disponibles para Azure Stack HCI y sus dependencias. En su lugar, enumeran las recomendaciones clave asignadas a las perspectivas de diseño. Use las recomendaciones para compilar la prueba de concepto o optimizar los entornos existentes.
Arquitectura fundamental que muestra las recomendaciones clave:
Arquitectura de referencia de línea base de Azure Stack HCI.
Ámbito de la tecnología
Esta revisión se centra en las decisiones relacionadas entre sí para los siguientes recursos de Azure:
- Azure Stack HCI (plataforma), versión 23H2 y posteriores
- Máquinas virtuales de Azure Arc (carga de trabajo)
Nota:
En este artículo se describe el ámbito anterior y se proporcionan listas de comprobación y recomendaciones organizadas por arquitectura de plataforma y arquitectura de carga de trabajo. Los problemas de la plataforma son responsabilidad de los administradores de la plataforma. Los problemas de carga de trabajo son responsabilidad del operador de carga de trabajo y de los desarrolladores de aplicaciones. Estos roles y responsabilidades son distintos y pueden ser propiedad de equipos o personas independientes. Tenga en cuenta esa distinción al aplicar las instrucciones.
Esta guía no se centra en tipos de recursos específicos que se pueden implementar en Azure Stack HCI, como máquinas virtuales de Azure Arc, Azure Kubernetes Service (AKS) y Azure Virtual Desktop. Al implementar estos tipos de recursos en Azure Stack HCI, consulte la guía de carga de trabajo correspondiente para diseñar soluciones que cumplan los requisitos empresariales.
Confiabilidad
El propósito del pilar confiabilidad es proporcionar funcionalidad continua mediante la creación de una resistencia suficiente y la capacidad de recuperarse rápidamente de los errores.
Los principios de diseño de confiabilidad proporcionan una estrategia de diseño de alto nivel aplicada a componentes individuales, flujos del sistema y al sistema en su conjunto.
En las implementaciones de nube híbrida, el objetivo es reducir los efectos de un error de componente. Use estas listas de comprobación de diseño y sugerencias de configuración para reducir el impacto de un error de componente para las cargas de trabajo que implemente en Azure Stack HCI.
Es importante distinguir entre la confiabilidad de la plataforma y la confiabilidad de la carga de trabajo. La confiabilidad de la carga de trabajo tiene una dependencia en la plataforma. Los propietarios o desarrolladores de aplicaciones deben diseñar aplicaciones que puedan ofrecer los objetivos de confiabilidad definidos.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para confiabilidad. Determine su relevancia para los requisitos empresariales a la vez que tenga en cuenta el rendimiento de Azure Stack HCI. Amplíe la estrategia para incluir más enfoques según sea necesario.
(Arquitectura de la plataforma y arquitectura de carga de trabajo de Azure Stack HCI) Defina los objetivos de confiabilidad de la carga de trabajo.
Establezca los objetivos de nivel de servicio (SLO) para que pueda evaluar los destinos de disponibilidad. Calcule los SLO como un porcentaje, como el 99,9 %, el 99,95 % o el 99,995 %, que refleje el tiempo de actividad de la carga de trabajo. Tenga en cuenta que este cálculo no se basa solo en las métricas de la plataforma que emite el clúster o la carga de trabajo de Azure Stack HCI. Para obtener una medición de destino completa, tenga en cuenta los factores con matices que se cuantifican, como el tiempo de inactividad esperado durante las versiones, las operaciones rutinarias, la compatibilidad u otros factores específicos de la carga de trabajo o específicos de la organización.
Los acuerdos de nivel de servicio (SLA) proporcionados por Microsoft suelen influir en los cálculos de SLO. Pero Microsoft no proporciona un Acuerdo de Nivel de Servicio para el tiempo de actividad y la conectividad de los clústeres de Azure Stack HCI o la carga de trabajo implementada, ya que Microsoft no controla la confiabilidad del centro de datos del cliente (como la alimentación y la refrigeración) o las personas y procesos que administran la plataforma.
(Arquitectura de la plataforma azure Stack HCI) Considere cómo afectan el rendimiento y las operaciones a la confiabilidad.
El rendimiento degradado del clúster o sus dependencias puede hacer que la plataforma de Azure Stack HCI no esté disponible. Por ejemplo:
Sin un planeamiento adecuado de la capacidad de carga de trabajo, es difícil asignar derechos a los clústeres de Azure Stack HCI en la fase de diseño, que es un requisito para que la carga de trabajo pueda cumplir los objetivos de confiabilidad deseados. Use la herramienta de tamañor de Azure Stack HCI durante el diseño del clúster. Tenga en cuenta el requisito mínimo "N+1 para el número de nodos" si necesita máquinas virtuales de alta disponibilidad. En el caso de las cargas de trabajo críticas o críticas para la empresa, considere la posibilidad de usar un "número N+2 de nodos" para el tamaño del clúster si la resistencia es fundamental.
La confiabilidad de la plataforma depende del rendimiento de las dependencias críticas de la plataforma, como los tipos de disco físicos. Debe elegir los tipos de disco adecuados para sus requisitos. En el caso de las cargas de trabajo que necesitan almacenamiento de baja latencia y alto rendimiento, se recomienda una configuración de almacenamiento de todo flash (solo NVMe/SSD). Para el proceso de uso general, una configuración de almacenamiento híbrido (NVMe o SSD para caché y HDD para capacidad) podría proporcionar más espacio de almacenamiento. Pero la desventaja es que los discos giratorios tienen un rendimiento significativamente menor si la carga de trabajo supera el conjunto de trabajo de caché y los HDD tienen un tiempo medio mucho menor entre el valor de error en comparación con NVMe/SSD.
Eficiencia del rendimiento describe estos ejemplos con más detalle.
Las operaciones incorrectas de Azure Stack HCI pueden afectar a la aplicación de revisiones y actualizaciones, pruebas y coherencia de las implementaciones. Estos son algunos ejemplos:
Si la plataforma Azure Stack HCI no evoluciona con el firmware, los controladores y las innovaciones más recientes del fabricante de equipos originales de hardware (OEM), es posible que la plataforma no aproveche las características de resistencia más recientes. Aplique periódicamente actualizaciones de firmware y controladores OEM de hardware. Para más información, consulte Catálogo de soluciones de Azure Stack HCI.
Debe probar el entorno de destino para la conectividad, el hardware y la administración de identidades y acceso antes de la implementación. De lo contrario, puede implementar la solución azure Stack HCI en un entorno inestable, lo que puede crear problemas de confiabilidad. Puede usar la herramienta del comprobador de entorno en modo independiente para detectar problemas, incluso antes de que el hardware del clúster esté disponible.
Para obtener instrucciones operativas, consulte Excelencia operativa.
(Arquitectura de la plataforma azure Stack HCI) Proporcione tolerancia a errores al clúster y sus dependencias de infraestructura.
Opciones de diseño de almacenamiento. Para la mayoría de las implementaciones, la opción predeterminada para "crear automáticamente volúmenes de carga de trabajo e infraestructura" es suficiente. Si selecciona la opción avanzada: "crear volúmenes de infraestructura necesarios solo", configure la tolerancia a errores de volumen adecuada en Espacios de almacenamiento directo en función de los requisitos de la carga de trabajo. Estas decisiones influyen en las capacidades de rendimiento, capacidad y resistencia de los volúmenes. Por ejemplo, un reflejo triple aumenta la confiabilidad y el rendimiento de los clústeres con tres o más nodos. Para obtener más información, consulte Tolerancia a errores para la eficiencia del almacenamiento y Creación de Espacios de almacenamiento directo discos virtuales y volúmenes.
Arquitectura de red. Use una topología de red validada para implementar Azure Stack HCI. Los clústeres de varios nodos, con cuatro o más nodos físicos, requieren el diseño de "almacenamiento conmutado". Los clústeres con dos o tres nodos pueden usar opcionalmente el diseño "sin conmutador de almacenamiento". Independientemente del tamaño del clúster, se recomienda usar conmutadores de doble parte superior del bastidor (ToR) para las intenciones de administración y proceso (vínculos superiores norte y sur) para proporcionar una mayor tolerancia a errores. La topología de doble tor también proporciona resistencia durante las operaciones de mantenimiento del conmutador (actualización de firmware). Para obtener más información, consulte Topologías de red validadas.
(Arquitectura de carga de trabajo) Cree redundancia para proporcionar resistencia.
Considere la posibilidad de implementar una carga de trabajo en un único clúster de Azure Stack HCI como una implementación con redundancia local. El clúster proporciona alta disponibilidad en el nivel de plataforma, pero debe recordar que implementa el clúster "en un único bastidor". Por lo tanto, para casos de uso críticos para la empresa o críticos, se recomienda implementar varias instancias de una carga de trabajo o servicio en dos o más clústeres de Azure Stack HCI independientes, idealmente en ubicaciones físicas independientes.
Use patrones de alta disponibilidad estándar del sector para cargas de trabajo, por ejemplo, un diseño que proporcione replicación de datos sincrónicas o pasivas activas o pasivas (como SQL Server AlwaysOn). Otro ejemplo es una tecnología de equilibrio de carga de red externa (NLB) que puede enrutar las solicitudes de usuario a través de varias instancias de carga de trabajo que se ejecutan en clústeres de Azure Stack HCI que se implementan en ubicaciones físicas independientes. Considere la posibilidad de usar un dispositivo NLB externo asociado. O evalúe las opciones de equilibrio de carga que admiten el enrutamiento de tráfico para servicios híbridos y locales, como una instancia de puerta de enlace de App de Azure lication que usa Azure ExpressRoute o un túnel VPN para conectarse a un servicio local.
Para más información, consulte Implementación de instancias de cargas de trabajo en varios clústeres de Azure Stack HCI.
(Arquitectura de carga de trabajo) Planee y pruebe la capacidad de recuperación en función del objetivo de punto de recuperación de la carga de trabajo (RPO) y los objetivos de tiempo de recuperación (RTO).
Tener un plan de recuperación ante desastres bien documentado. Pruebe los pasos de recuperación con regularidad para asegurarse de que los procesos y los planes de continuidad empresarial sean válidos. Determine si Azure Site Recovery es una opción viable para proteger las máquinas virtuales que se ejecutan en Azure Stack HCI. Para más información, consulte Protección de cargas de trabajo de máquina virtual con Azure Site Recovery en Azure Stack HCI (versión preliminar).
(Arquitectura de carga de trabajo) Configure y pruebe periódicamente los procedimientos de copia de seguridad y restauración de cargas de trabajo.
Los requisitos empresariales para la recuperación y retención de datos impulsan la estrategia para las copias de seguridad de cargas de trabajo. Una estrategia completa incluye consideraciones para los datos persistentes del sistema operativo (SO) y de la aplicación de cargas de trabajo, con la capacidad de restaurar datos individuales (a un momento dado) de nivel de archivo y de nivel de carpeta. Configure las directivas de retención de copia de seguridad en función de los requisitos de cumplimiento y recuperación de datos, que determinan el número y la antigüedad de los puntos de recuperación de datos disponibles. Explore Azure Backup como opción para habilitar copias de seguridad de nivel de host o de invitado de máquina virtual para Azure Stack HCI. Revise las soluciones de protección de datos de los asociados del proveedor de software independiente de Backup cuando sea pertinente. Para más información, consulte Guía y procedimientos recomendados de Azure Backup y Azure Backup para Azure Stack HCI.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Reserve el equivalente de un disco de capacidad por espacio por nodo dentro del grupo de almacenamiento de Espacios de almacenamiento directo. | Si decide crear volúmenes de carga de trabajo después de implementar un clúster de Azure Stack HCI (opción avanzada: "crear volúmenes de infraestructura necesarios solo"), se recomienda dejar del 5 % al 10 % de la capacidad total del grupo sin asignar en el grupo de almacenamiento. Esta capacidad reservada y sin usar permite a Espacios de almacenamiento directo reparar "en contexto" cuando se produce un error en un disco físico, lo que mejora la resistencia y el rendimiento de los datos si se produce un error en el disco físico. |
| Asegúrese de que todos los nodos físicos tengan acceso de red a la lista de puntos de conexión HTTPS de salida necesarios para Azure Stack HCI y Azure Arc. | Para administrar, supervisar y operar de forma confiable clústeres o recursos de carga de trabajo de Azure Stack HCI, los puntos de conexión de red salientes necesarios deben tener acceso, ya sea directamente o a través de un servidor proxy. Una interrupción temporal no afecta al estado de ejecución de la carga de trabajo, pero puede afectar a la capacidad de administración. |
| Si opta por crear volúmenes de cargas de trabajo (discos virtuales) manualmente, use el tipo de resistencia más adecuado para maximizar la resistencia y el rendimiento de la carga de trabajo. Para los volúmenes de usuario que cree manualmente después de implementar el clúster, cree una ruta de acceso de almacenamiento para los volúmenes de Azure. El volumen puede almacenar archivos de configuración de máquina virtual de carga de trabajo, discos duros virtuales de máquina virtual (VHD) e imágenes de máquina virtual a través de la ruta de acceso de almacenamiento. | En el caso de los clústeres de Azure Stack HCI con tres o más nodos, considere la posibilidad de usar un reflejo triple para proporcionar las funcionalidades de rendimiento y resistencia más altas. Se recomienda usar volúmenes reflejados para cargas de trabajo críticas o críticas para la empresa. |
| Considere la posibilidad de implementar reglas de antiafinidad de carga de trabajo para asegurarse de que las máquinas virtuales que hospedan varias instancias del mismo servicio se ejecutan en hosts físicos independientes. Este concepto es similar a "conjuntos de disponibilidad" en Azure. | Haga que todos los componentes sean redundantes. En el caso de las cargas de trabajo críticas o críticas para la empresa, use varias máquinas virtuales de Azure Arc o conjuntos de réplicas de Kubernetes o pods para implementar varias instancias de sus aplicaciones o servicios. Este enfoque aumenta la resistencia si se produce una interrupción no planeada de un solo nodo físico. |
Seguridad
El propósito del pilar seguridad es proporcionar garantías de confidencialidad, integridad y disponibilidad a la carga de trabajo.
Los principios de diseño de seguridad proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos aplicando enfoques al diseño técnico de Azure Stack HCI.
Azure Stack HCI es un producto seguro de forma predeterminada que tiene más de 300 configuraciones de seguridad habilitadas durante el proceso de implementación en la nube. La configuración de seguridad predeterminada proporciona una línea base de seguridad coherente para asegurarse de que los dispositivos se inician en un estado correcto conocido. Y puede usar controles de protección contra desfase para proporcionar administración a escala.
Entre las características de seguridad predeterminadas de Azure Stack HCI se incluyen la configuración de seguridad del sistema operativo protegido, el control de aplicaciones de Windows Defender, el cifrado de volumen a través de BitLocker, la rotación de secretos, las cuentas de usuario integradas locales y Microsoft Defender for Cloud. Para más información, consulte Revisión de las características de seguridad.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para seguridad. Identifique vulnerabilidades y controles para mejorar la posición de seguridad. Amplíe la estrategia para incluir más enfoques según sea necesario.
(Arquitectura de la plataforma azure Stack HCI) Revise las líneas base de seguridad. Azure Stack HCI y los estándares de seguridad proporcionan instrucciones de línea base para reforzar la posición de seguridad de la plataforma y las cargas de trabajo hospedadas. Si la carga de trabajo necesita cumplir con regulaciones de cumplimiento normativo específicas, tenga en cuenta los estándares de seguridad normativos, como los estándares de seguridad de datos del sector de tarjetas de pago y el Estándar federal de procesamiento de información 140.
La configuración predeterminada proporcionada por la plataforma Azure Stack HCI habilita las características de seguridad, incluidos los controles de identidad, el filtrado de red y el cifrado. Esta configuración forma una buena línea de base de seguridad para un clúster de Azure Stack HCI recién aprovisionado. Puede personalizar cada configuración en función de los requisitos de seguridad de la organización.
Asegúrese de detectar y proteger frente al desfase de configuración de seguridad no deseado.
(Arquitectura de la plataforma azure Stack HCI) Detecte, evite y responda a amenazas. Supervise continuamente el entorno de Azure Stack HCI y proteja frente a amenazas existentes y en evolución.
Se recomienda habilitar Defender for Cloud en Azure Stack HCI. Habilite el plan básico de Defender for Cloud (nivel gratuito) mediante Defender Cloud Security Posture Management para supervisar e identificar los pasos que puede seguir para proteger la plataforma de Azure Stack HCI, junto con otros recursos de Azure y Azure Arc.
Para beneficiarse de las características de seguridad mejoradas, incluidas las alertas de seguridad para servidores individuales y máquinas virtuales de Azure Arc, habilite Microsoft Defender para servidores en los nodos del clúster de Azure Stack HCI y las máquinas virtuales de Azure Arc.
Use Defender for Cloud para medir la posición de seguridad de los nodos y cargas de trabajo de Azure Stack HCI. Defender for Cloud proporciona un único panel de experiencia de vidrio para ayudar a administrar el cumplimiento de la seguridad.
Use Defender para servidores para supervisar las máquinas virtuales hospedadas en busca de amenazas y configuraciones incorrectas. También puede habilitar las funcionalidades de detección y respuesta de puntos de conexión en los nodos de Azure Stack HCI.
Considere la posibilidad de agregar datos de inteligencia sobre amenazas e seguridad de todos los orígenes a una solución centralizada de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel.
(Arquitectura de la plataforma y arquitectura de carga de trabajo de Azure Stack HCI) Cree la segmentación para contener el radio de explosión. Hay varias estrategias para lograr la segmentación.
Identidad. Mantenga separados los roles y las responsabilidades de la plataforma y la carga de trabajo. Permitir que solo las identidades autorizadas realicen las operaciones específicas que se alinean con sus roles designados. Los administradores de plataformas de Azure Stack HCI usan las credenciales de dominio local y Azure para realizar tareas de plataforma. Los operadores de carga de trabajo y los desarrolladores de aplicaciones administran la seguridad de las cargas de trabajo. Para simplificar los permisos de delegación, use roles integrados de control de acceso basado en rol (RBAC) de Azure Stack HCI, como "Administrador de Azure Stack HCI" para administradores de plataformas y "Colaborador de máquina virtual de Azure Stack HCI" o "Lector de vm de Azure Stack HCI" para operadores de carga de trabajo. Para más información sobre las acciones de rol integradas específicas, consulte la documentación de RBAC de Azure para roles híbridos y multinube.
Red. Aísle las redes si es necesario. Por ejemplo, puede aprovisionar varias redes lógicas que usan redes de área local virtuales independientes (vLAN) y intervalos de direcciones de red. Al usar este enfoque, asegúrese de que la red de administración pueda llegar a cada red lógica y vLAN para que los nodos de clúster de Azure Stack HCI puedan comunicarse con las redes vLAN a través de los conmutadores o puertas de enlace de ToR. Esta configuración es necesaria para la administración de disponibilidad de la carga de trabajo, como permitir que los agentes de administración de infraestructura se comuniquen con el sistema operativo invitado de la carga de trabajo.
Revise Recomendaciones para crear una estrategia de segmentación para obtener información adicional.
(Arquitectura de la plataforma y arquitectura de carga de trabajo de Azure Stack HCI) Use un proveedor de identidades de confianza para controlar el acceso. Se recomienda microsoft Entra ID para todos los fines de autenticación y autorización. Si es necesario, puede unir una carga de trabajo a un dominio de Windows Server Active Directory local. Aproveche las características que admiten contraseñas seguras, autenticación multifactor, RBAC y controles para la administración de secretos.
(Arquitectura de la plataforma y arquitectura de carga de trabajo de Azure Stack HCI) Aísle, filtre y bloquee el tráfico de red. Es posible que tenga un caso de uso de carga de trabajo que requiera redes virtuales, microsegmentación a través de grupos de seguridad de red, directivas de calidad de servicio o encadenamiento de aplicaciones virtuales para que pueda incorporar dispositivos asociados para el filtrado. Si tiene esta carga de trabajo, consulte consideraciones de red definidas por software para patrones de referencia de red para obtener una lista de las características y funcionalidades admitidas que proporciona Network Controller .
(Arquitectura de carga de trabajo) Cifre los datos para protegerse frente a alteraciones. Cifre los datos en tránsito, los datos en reposo y los datos en uso.
El cifrado de datos en reposo está habilitado en volúmenes de datos que se crean durante la implementación. Estos volúmenes de datos incluyen volúmenes de infraestructura y volúmenes de cargas de trabajo. Para obtener más información, consulte Administrar el cifrado de BitLocker.
Use el inicio de confianza para máquinas virtuales de Azure Arc para mejorar la seguridad de las máquinas virtuales gen 2 mediante características del sistema operativo de sistemas operativos modernos, como arranque seguro, que puede usar un módulo de plataforma segura virtual.
Operacionalice la administración de secretos. En función de los requisitos de la organización, cambie las credenciales asociadas a la identidad de usuario de implementación para Azure Stack HCI. Para obtener más información, consulte Administración de la rotación de secretos.
(Arquitectura de la plataforma azure Stack HCI) Aplicar controles de seguridad. Use Azure Policy para auditar y aplicar directivas integradas, como "Las directivas de control de aplicaciones deben aplicarse de forma coherente" o "Se deben implementar volúmenes cifrados". Puede usar estas directivas de Azure para auditar la configuración de seguridad y evaluar el estado de cumplimiento de Azure Stack HCI. Para obtener ejemplos de las directivas disponibles, consulte Directivas de Azure.
(Arquitectura de carga de trabajo) Mejora de la posición de seguridad de la carga de trabajo con directivas integradas. Para evaluar las máquinas virtuales de Azure Arc que se ejecutan en Azure Stack HCI, puede aplicar directivas integradas a través de la prueba comparativa de seguridad, Azure Update Manager o la extensión de configuración de invitado de Azure Policy. Puede usar varias directivas para comprobar las condiciones siguientes:
- Instalación del agente de Log Analytics
- Actualizaciones del sistema obsoletas que deben estar actualizadas con las revisiones de seguridad más recientes
- Evaluación de vulnerabilidades y posibles mitigaciones
- Uso de protocolos de comunicación seguros
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Use la configuración de la línea base de seguridad y los controles de desfase para aplicar y mantener la configuración de seguridad en los nodos del clúster. | Estas configuraciones ayudan a protegerse frente a cambios y desfase no deseados porque actualizan automáticamente la configuración de seguridad cada 90 minutos para aplicar la posición de seguridad prevista de Azure Stack HCI. |
| Use el control de aplicaciones de Windows Defender en Azure Stack HCI. | El control de aplicaciones de Windows Defender reduce la superficie expuesta a ataques de Azure Stack HCI. Use Azure Portal o PowerShell para ver la configuración de directivas y los modos de directiva de control. Las directivas de control de aplicaciones de Windows Defender ayudan a controlar qué controladores y aplicaciones pueden ejecutarse en el sistema. |
| Habilite el cifrado de volumen a través de BitLocker para la protección de cifrado de datos en reposo. | BitLocker protege los volúmenes de datos y del sistema operativo mediante el cifrado de los volúmenes compartidos del clúster que se crean en Azure Stack HCI. BitLocker usa cifrado XTS-AES de 256 bits. Se recomienda mantener habilitada la configuración predeterminada de cifrado de volumen durante la implementación en la nube de Azure Stack HCI para todos los volúmenes de datos. |
| Exporte las claves de recuperación de BitLocker para almacenarlas en una ubicación segura externa desde el clúster de Azure Stack HCI. | Es posible que necesite claves de BitLocker durante acciones específicas de solución de problemas o recuperación. Se recomienda exportar, guardar y realizar copias de seguridad de claves de cifrado para volúmenes de datos y sistema operativo de cada clúster de Azure Stack HCI mediante el cmdlet de PowerShell "Get-AsRecoveryKeyInfo". Guarde las claves en una ubicación externa segura, como Azure Key Vault. |
| Use una solución SIEM para aumentar las funcionalidades de supervisión y alertas de seguridad. Para ello, puede incorporar servidores habilitados para Azure Arc (nodos de plataforma de Azure Stack HCI) a Microsoft Sentinel. Como alternativa, si usa una solución SIEM diferente, configure el reenvío de syslog de eventos de seguridad a la solución elegida. | Reenvíe los datos de eventos de seguridad mediante el reenvío de Microsoft Sentinel o syslog para proporcionar funcionalidades de alertas e informes mediante la integración con una solución SIEM administrada por el cliente. |
| Use la firma del bloque de mensajes del servidor (SMB) para mejorar la protección de datos en tránsito, que está habilitada en la "configuración de seguridad predeterminada". | La firma de SMB permite firmar digitalmente el tráfico SMB entre una plataforma de Azure Stack HCI y sistemas externos a la plataforma (norte o sur). Configure la firma para el tráfico SMB externo entre la plataforma azure Stack HCI y otros sistemas para ayudar a evitar ataques de retransmisión. |
| Use la configuración de cifrado SMB para mejorar la protección de datos en tránsito, que está habilitada en la "configuración de seguridad predeterminada". | El cifrado SMB para el tráfico en clúster controla el cifrado del tráfico entre los nodos físicos del clúster de Azure Stack HCI (este o oeste) en la red de almacenamiento. |
Optimización de costos
La optimización de costos se centra en detectar patrones de gasto, priorizar las inversiones en áreas críticas y optimizar en otros usuarios para satisfacer el presupuesto de la organización al tiempo que cumple los requisitos empresariales.
Los principios de diseño de optimización de costos proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos y hacer inconvenientes según sea necesario en el diseño técnico relacionado con Azure Stack HCI y su entorno.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la optimización de costos para las inversiones. Ajuste el diseño para que la carga de trabajo esté alineada con el presupuesto asignado para la carga de trabajo. El diseño debe usar las funcionalidades adecuadas de Azure, supervisar las inversiones y encontrar oportunidades para optimizar con el tiempo.
Azure Stack HCI incurre en costos de licencias de hardware, licencias de software, cargas de trabajo, máquinas virtuales invitadas (Windows Server o Linux) y otros servicios en la nube integrados, como Azure Monitor y Defender for Cloud.
(Arquitectura de la plataforma y arquitectura de carga de trabajo de Azure Stack HCI) Calcule los costos realistas como parte del modelado de costos. Use la calculadora de precios de Azure para seleccionar y configurar servicios como Azure Stack HCI, Azure Arc y AKS en Azure Stack HCI. Experimente con varias configuraciones y opciones de pago para modelar los costos.
(Arquitectura de la plataforma y arquitectura de carga de trabajo de Azure Stack HCI) Optimice el costo del hardware de Azure Stack HCI. Elija un asociado oem de hardware que se alinee con sus requisitos empresariales y comerciales. Para explorar la lista certificada de nodos validados, sistemas integrados y soluciones premier, consulte el catálogo de soluciones de Azure Stack HCI. Comunique las características, el tamaño, la cantidad y el rendimiento de la carga de trabajo con el asociado de hardware para que pueda asignar derechos a una solución de hardware rentable para los nodos y el tamaño del clúster de Azure Stack HCI.
(Arquitectura de la plataforma azure Stack HCI) Optimice los costos de licencia. El software de Azure Stack HCI tiene licencia y se factura por "por núcleo físico de CPU". Use licencias principales locales existentes con Ventaja híbrida de Azure para reducir los costos de licencia de las cargas de trabajo de Azure Stack HCI, como las máquinas virtuales de Azure Arc que ejecutan Windows Server, SQL Server o AKS y Azure Arc habilitados para Azure SQL Instancia administrada. Para obtener más información, consulte Ventaja híbrida de Azure calculadora de costos.
(Arquitectura de la plataforma azure Stack HCI) Ahorre en los costos del entorno. Evalúe si las siguientes opciones pueden ayudar a optimizar el uso de los recursos.
Aproveche los programas de descuento que ofrece Microsoft. Considere la posibilidad de usar Ventaja híbrida de Azure para reducir el costo de ejecutar cargas de trabajo de Azure Stack HCI y Windows Server. Para más información, consulte Ventaja híbrida de Azure para Azure Stack HCI.
Explore las ofertas promocionales. Aproveche la evaluación gratuita de Azure Stack HCI de 60 días después del registro para obtener una prueba inicial de conceptos o validaciones.
(Arquitectura de la plataforma azure Stack HCI) Ahorre en costos operativos.
Evalúe las opciones de tecnología para aplicar revisiones, actualizar y otras operaciones. Update Manager es gratuito para los clústeres de Azure Stack HCI que tienen habilitada la administración de máquinas virtuales de Azure Arc y Ventaja híbrida de Azure. Para obtener más información, consulte Preguntas más frecuentes sobre Update Manager y Precios de Update Manager.
Evalúe los costos relacionados con la observabilidad. Configure reglas de alertas y reglas de recopilación de datos (DCR) para satisfacer las necesidades de supervisión y auditoría. La cantidad de datos que ingiere la carga de trabajo, procesa y conserva directamente los costos. Optimice mediante directivas de retención inteligentes, limitando el número y la frecuencia de las alertas y eligiendo el nivel de almacenamiento adecuado para almacenar los registros. Para más información, consulte Guía de optimización de costos para Log Analytics.
(Arquitectura de carga de trabajo) Evaluar la densidad sobre el aislamiento. Use AKS en Azure Stack HCI para mejorar la densidad y simplificar la administración de cargas de trabajo para permitir que las aplicaciones en contenedores se escalen en varios centros de datos o ubicaciones perimetrales. Para más información, consulte Precios de AKS en Azure Stack HCI.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Use Ventaja híbrida de Azure para Azure Stack HCI si tiene licencias de Windows Server Datacenter con Software Assurance. | Con Ventaja híbrida de Azure para Azure Stack HCI, puede maximizar el valor de las licencias locales y modernizar la infraestructura existente a Azure Stack HCI sin costo adicional. |
| Elija el complemento de suscripción de Windows Server o traiga su propia licencia para licenciar y active las máquinas virtuales de Windows Server y úselas en Azure Stack HCI. Para más información, consulte Licencia de máquinas virtuales de Windows Server en Azure Stack HCI. | Aunque puede usar cualquier licencia de Windows Server existente y métodos de activación disponibles, opcionalmente, puede habilitar el "complemento de suscripción de Windows Server" disponible para Azure Stack HCI solo para suscribir licencias de invitado de Windows Server a través de Azure, que se cobra por el número total de núcleos físicos en el clúster de Azure Stack HCI. |
| Use la ventaja comprobación de Azure para vm extendida a Azure Stack HCI para que las cargas de trabajo exclusivas de Azure admitidas puedan funcionar fuera de la nube. | Esta ventaja está habilitada de forma predeterminada en Azure Stack HCI versión 23H2 o posterior. Use esta ventaja para que las máquinas virtuales puedan funcionar en otros entornos y cargas de trabajo de Azure pueden beneficiarse de ofertas que solo están disponibles en Azure, como actualizaciones de seguridad extendidas habilitadas por Azure Arc. |
Excelencia operativa
La excelencia operativa se centra principalmente en los procedimientos para las prácticas de desarrollo, la observabilidad y la administración de versiones.
Los principios de diseño de excelencia operativa proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos para los requisitos operativos de la carga de trabajo.
La supervisión y el diagnóstico son fundamentales. Puede usar métricas para medir las estadísticas de rendimiento y solucionar problemas rápidamente. Para más información sobre cómo solucionar problemas, consulte Principios de diseño de excelencia operativa y Recopilación de registros de diagnóstico para Azure Stack HCI.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la excelencia operativa para definir procesos de observabilidad, pruebas e implementación relacionados con Azure Stack HCI.
(Arquitectura de la plataforma azure Stack HCI) Aumente la compatibilidad de Azure Stack HCI. La observabilidad está habilitada de forma predeterminada en el momento de la implementación. Estas funcionalidades mejoran la compatibilidad de la plataforma. La telemetría y la información de diagnóstico se comparten de forma segura desde la plataforma mediante la extensión AzureEdgeTelemetryAndDiagnostics , que se instala en todos los nodos del clúster de Azure Stack HCI de forma predeterminada. Para más información, consulte Observabilidad de Azure Stack HCI.
(Arquitectura de la plataforma azure Stack HCI) Use los servicios de Azure para reducir la complejidad operativa y aumentar la escala de administración. Azure Stack HCI se integra con Azure para habilitar servicios como Update Manager para aplicar revisiones a la plataforma y Azure Monitor para la supervisión y las alertas. Puede usar Azure Arc y Azure Policy para administrar la configuración de seguridad y la auditoría de cumplimiento. Implemente Defender for Cloud para ayudar a administrar amenazas cibernéticas y vulnerabilidades. Use Azure como plano de control para estos procesos operativos y procedimientos para ayudar a reducir la complejidad, mejorar la eficiencia de la escala y mejorar la coherencia de la administración.
(Arquitectura de carga de trabajo) Planee los requisitos de intervalo de red de direcciones IP para cargas de trabajo de antemano. Azure Stack HCI proporciona una plataforma para implementar y administrar cargas de trabajo virtualizadas o en contenedores. Tenga en cuenta también los requisitos de dirección IP para las redes lógicas que usa la carga de trabajo. Revise estos recursos:
Arquitectura de referencia de red y requisitos de IP de Azure Stack HCI (plataforma)
Las cargas de trabajo implementadas en Azure Stack HCI requieren redes lógicas. Para obtener ejemplos específicos, consulte Requisitos de red para clústeres de AKS, Redes lógicas para máquinas virtuales de Azure Arc y Virtual Desktop con Azure Stack HCI.
(Configuración de la carga de trabajo) Habilite la supervisión y las alertas de las cargas de trabajo que implemente en Azure Stack HCI. Puede usar Azure Monitor para máquinas virtuales o VM Insights para máquinas virtuales arc, o bien usar Container Insights y clústeres de AKS administrados de Prometheus.
Evalúe si debe usar un área de trabajo centralizada de Log Analytics para la carga de trabajo. Para obtener un ejemplo de un receptor de registro compartido (ubicación de datos), consulte Recomendaciones de supervisión y administración de cargas de trabajo.
(Arquitectura de la plataforma azure Stack HCI) Use técnicas de validación adecuadas para una implementación segura. Use la herramienta del comprobador de entorno en modo independiente para evaluar la preparación del entorno de destino antes de implementar una solución de Azure Stack HCI. Esta herramienta valida la configuración adecuada de los requisitos previos de conectividad, hardware, Windows Server Active Directory, redes y integración de Azure Arc.
(Arquitectura de la plataforma azure Stack HCI) Obtener corriente y mantenerse al día. Use el catálogo de soluciones de Azure Stack HCI para mantenerse al día con las últimas innovaciones de OEM de hardware para las implementaciones de clústeres de Azure Stack HCI. Considere la posibilidad de usar soluciones Premium para beneficiarse de la integración adicional, las funcionalidades de implementación llave en clave y una experiencia de actualización simplificada.
Use Update Manager para actualizar la plataforma y administrar el sistema operativo, los agentes principales y los servicios, incluidas las extensiones de solución. Manténgase al día y considere la posibilidad de usar la opción "Habilitar actualización automática" siempre que sea posible para las extensiones.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Habilite Monitor Insights en clústeres de Azure Stack HCI para mejorar la supervisión y las alertas mediante funcionalidades nativas de Azure. Insights puede supervisar las características clave de Azure Stack HCI mediante los contadores de rendimiento del clúster y los canales de registro de eventos recopilados por el DCR. Para determinadas infraestructuras de hardware, como Dell APEX, puede visualizar eventos de hardware en tiempo real. Para obtener más información, consulte Libros de características. |
Azure administra Insights, por lo que siempre está actualizado, es escalable en varios clústeres y es muy personalizable. Insights proporciona acceso a libros predeterminados con métricas básicas, junto con libros especializados creados para supervisar características clave de Azure Stack HCI. Esta característica proporciona supervisión casi en tiempo real. Puede crear gráficos y visualización personalizada mediante la agregación y la funcionalidad de filtro. También puede configurar reglas de alerta personalizadas. El costo de Insights se basa en la cantidad de datos ingeridos y la configuración de retención de datos del área de trabajo de Log Analytics. Al habilitar Azure Stack HCI Insights, se recomienda usar el DCR creado por la experiencia de creación de Insights. El prefijo del nombre dcR es AzureStackHCI-. Está configurado para recopilar solo los datos necesarios. |
| Configure las alertas y configure las reglas de procesamiento de alertas en función de los requisitos de la organización. Reciba una notificación de los cambios en el estado, las métricas, los registros u otros tipos de datos de observabilidad. - Alertas de estado - Alertas de registro - Alertas de métricas Para obtener más información, consulte Reglas recomendadas para las alertas de métricas. |
Integre las alertas de Monitor con Azure Stack HCI para obtener varias ventajas clave sin costo adicional. Obtenga una supervisión casi en tiempo real y personalice las alertas para notificar al equipo o administrador correctos la corrección. Puede recopilar una lista completa de métricas para los recursos de proceso, almacenamiento y red en Azure Stack HCI. Realice operaciones lógicas avanzadas en los datos de registro y evalúe las métricas del sistema de Azure Stack HCI a intervalos regulares. |
| Use la característica de actualización para integrar y administrar varios aspectos de la solución Azure Stack HCI en un solo lugar. Para más información, consulte Acerca de las actualizaciones en Azure Stack HCI. | El orquestador de actualizaciones se instala durante la implementación inicial del clúster de Azure Stack HCI. Esta característica automatiza las actualizaciones y las operaciones de administración. Para mantener Azure Stack HCI en un estado compatible, asegúrese de actualizar los clústeres con una cadencia regular para pasar a nuevas compilaciones de línea base cuando estén disponibles. Este método proporciona nuevas funcionalidades y mejoras en la plataforma. Para más información sobre los trenes de versión, la cadencia de las actualizaciones y la ventana de soporte técnico de cada compilación de línea de base, consulte Información de la versión 23H2 de Azure Stack HCI. |
| Para ayudar con aptitudes prácticas, laboratorios, eventos de entrenamiento, demostraciones de productos o proyectos de prueba de concepto, considere la posibilidad de usar Jumpstart HCIBox. Implemente rápidamente Azure Stack HCI sin necesidad de hardware físico mediante una máquina virtual en Azure para implementar la solución. | HCIBox admite la versión 23H2 de Azure Stack HCI para habilitar pruebas rápidas y evaluación de las últimas funcionalidades de los productos perimetrales de Azure, como la integración nativa de Azure Arc y AKS en un espacio aislado independiente. Puede implementar este espacio aislado en una suscripción de Azure mediante una máquina virtual que admita la virtualización anidada para emular un clúster de Azure Stack HCI dentro de una máquina virtual de Azure. Obtenga características de Azure Stack HCI como la nueva característica de implementación en la nube con un esfuerzo manual mínimo. Para obtener más información, consulte el blog de Microsoft Tech Community. |
Eficiencia del rendimiento
La eficiencia del rendimiento consiste en mantener la experiencia del usuario incluso cuando hay un aumento de la carga mediante la administración de la capacidad. La estrategia incluye el escalado de recursos, la identificación y la optimización de posibles cuellos de botella y la optimización del rendimiento máximo.
Los principios de diseño de eficiencia del rendimiento proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos de capacidad con respecto al uso esperado.
Diseño de una lista de comprobación
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la eficiencia del rendimiento. Defina una línea base basada en indicadores clave para Azure Stack HCI.
(Arquitectura de la plataforma azure Stack HCI) Use el hardware validado por Azure Stack HCI o los sistemas integrados de las ofertas de asociados oem. Considere la posibilidad de usar los generadores de soluciones Premium en el catálogo de Azure Stack HCI para optimizar el rendimiento del entorno de Azure Stack HCI.
(Arquitectura de almacenamiento de plataformas de Azure Stack HCI) Elija los tipos de disco físico adecuados para los nodos del clúster de Azure Stack HCI en función de los requisitos de rendimiento y capacidad de la carga de trabajo. Para cargas de trabajo de alto rendimiento que requieren baja latencia y almacenamiento de alto rendimiento, considere la posibilidad de usar una configuración de almacenamiento de todo flash (solo NVMe/SSD). Para los requisitos de proceso de uso general o de gran capacidad de almacenamiento, considere la posibilidad de usar el almacenamiento híbrido (SSD o NVMe para el nivel de caché y los HDD para el nivel de capacidad), lo que podría proporcionar una mayor capacidad de almacenamiento.
(Arquitectura de la plataforma azure Stack HCI) Use la herramienta de tamañor de Azure Stack HCI durante la fase de diseño del clúster (pre-implementación). Los clústeres de Azure Stack HCI deben tener el tamaño adecuado mediante el uso de los requisitos de capacidad, rendimiento y resistencia de la carga de trabajo como entradas. El tamaño determina el número máximo de nodos físicos que pueden estar sin conexión simultáneamente (cuórum de clúster), como cualquier evento planeado (mantenimiento) o no planeado (error de energía o hardware). Para más información, consulte Introducción al cuórum de clúster.
(Arquitectura de la plataforma azure Stack HCI) Use soluciones basadas en todo flash (NVMe o SSD) para cargas de trabajo que tengan requisitos de alto rendimiento o baja latencia. Estas cargas de trabajo incluyen, entre otras, tecnologías de base de datos muy transaccionales, clústeres de AKS de producción o cargas de trabajo críticas o críticas para la empresa con requisitos de almacenamiento de baja latencia o alto rendimiento. Use implementaciones all-flash para maximizar el rendimiento del almacenamiento. Las configuraciones all-NVMe o all-SSD (especialmente a una escala muy pequeña) mejoran la eficacia del almacenamiento y maximizan el rendimiento porque no se usan unidades como un nivel de caché. Para obtener más información, consulte Almacenamiento basado en todo flash.
(Arquitectura de la plataforma azure Stack HCI) Establezca una base de referencia de rendimiento para el almacenamiento de clústeres de Azure Stack HCI antes de implementar cargas de trabajo de producción. Configure las características de Azure Stack HCI de Monitor con Insights para supervisar el rendimiento de un único clúster de Azure Stack HCI o varios clústeres simultáneamente.
(Arquitectura de la plataforma azure Stack HCI) Considere la posibilidad de usar la característica de desduplicación y compresión monitor for Resilient File System (ReFS) después de habilitar Insights para el clúster de Azure Stack HCI. Determine si debe usar esta característica en función del uso y los requisitos de capacidad de almacenamiento de cargas de trabajo. Esta característica proporciona supervisión para el ahorro de desduplicación y compresión de ReFS, el impacto en el rendimiento y los trabajos. Para obtener más información, consulte Supervisión de la desduplicación y compresión de ReFS.
Como requisito mínimo, planee reservar
1 x physical nodes (N+1)la capacidad en todo el clúster para asegurarse de que los nodos del clúster se pueden purgar cuando realizan actualizaciones a través de Update Management. Considere la posibilidad de2 physical nodes (N+2)reservar nodos de trabajo de capacidad para casos de uso críticos para la empresa o críticos para la empresa.
Recomendaciones
| Recomendación | Prestación |
|---|---|
| Si selecciona la opción avanzada para "crear volúmenes de infraestructura solo" durante la implementación del clúster de Azure Stack HCI, se recomienda crear los discos virtuales mediante la creación de reflejo al crear volúmenes de carga de trabajo para cargas de trabajo con un uso intensivo del rendimiento. | Esta recomendación beneficia a las cargas de trabajo que tienen requisitos de latencia estrictos o que necesitan un alto rendimiento con una combinación de operaciones aleatorias de lectura y escritura/salida por segundo (IOPS), como bases de datos de SQL Server, clústeres de Kubernetes u otras máquinas virtuales sensibles al rendimiento. Implemente los VHD de carga de trabajo en volúmenes que usan la creación de reflejo para maximizar el rendimiento y la resistencia. La creación de reflejo es más rápida que cualquier otro tipo de resistencia. |
| Considere la posibilidad de usar DiskSpd para probar las funcionalidades de rendimiento del almacenamiento de cargas de trabajo del clúster de Azure Stack HCI. También puede usar VMFleet para generar la carga y medir el rendimiento de un subsistema de almacenamiento. Evalúe si debe usar VMFleet para medir el rendimiento del subsistema de almacenamiento. |
Establezca una línea base para el rendimiento del clúster de Azure Stack HCI antes de implementar cargas de trabajo de producción. DiskSpd permite a los administradores probar el rendimiento de almacenamiento del clúster mediante varios parámetros de línea de comandos. La función principal de DiskSpd es emitir operaciones de lectura y escritura y métricas de rendimiento de salida, como latencia, rendimiento e IOPS. |
Compromisos
Existen inconvenientes de diseño con los enfoques descritos en las listas de comprobación del pilar. Estos son algunos ejemplos de ventajas e inconvenientes.
La redundancia de creación aumenta los costos
Comprenda los requisitos de la carga de trabajo por adelantado, como los destinos de RTO y RPO de carga de trabajo y los requisitos de rendimiento de almacenamiento (IOPS y rendimiento), al diseñar y adquirir el hardware para una solución de Azure Stack HCI. Para implementar cargas de trabajo de alta disponibilidad, se recomienda un mínimo de un clúster de tres nodos, lo que permite la creación de reflejo triple para volúmenes y datos de cargas de trabajo. Para los recursos de proceso, asegúrese de implementar un mínimo de "N+1 número de nodos físicos", que reserva la capacidad de un "nodo único por valor de espacio" en el clúster en todo momento. En el caso de las cargas de trabajo críticas o críticas para la empresa, considere la posibilidad de reservar "N+2 nodos de capacidad" para proporcionar una mayor resistencia. Por ejemplo, si dos nodos del clúster están sin conexión, la carga de trabajo puede permanecer en línea. Este enfoque proporciona una mayor resistencia para un escenario como, por ejemplo, si una carga de trabajo que ejecuta un nodo se desconecta durante un procedimiento de actualización planeado (lo que da lugar a que dos nodos estén sin conexión simultáneamente).
En el caso de las cargas de trabajo críticas o críticas para la empresa, se recomienda implementar dos o más clústeres de Azure Stack HCI independientes e implementar varias instancias de los servicios de carga de trabajo en los clústeres independientes. Use un patrón de diseño de carga de trabajo que aproveche las tecnologías de replicación de datos y equilibrio de carga de aplicaciones. Por ejemplo, los grupos de disponibilidad always-on de SQL Server usan la replicación de base de datos sincrónica o asincrónica para lograr destinos RTO y RTO bajos en clústeres independientes en distintos centros de datos.
Por lo tanto, un aumento de la resistencia de la carga de trabajo y una disminución en los objetivos de RTO y RPO aumenta los costos y requiere aplicaciones bien diseñadas y rigor operativo.
Proporcionar escalabilidad sin un planeamiento eficaz de cargas de trabajo aumenta los costos
El ajuste de tamaño incorrecto del clúster puede dar lugar a una capacidad insuficiente o a una rentabilidad reducida de la inversión (ROI) si el hardware está sobreaprovisionado. Ambos escenarios afectan a los costos.
El aumento de la capacidad equivale a mayores costos. Durante la fase de diseño del clúster de Azure Stack HCI, es necesario planear correctamente las funcionalidades y el número de nodos de clúster en función de los requisitos de capacidad de carga de trabajo. Por lo tanto, debe comprender los requisitos de carga de trabajo (vCPU, memoria, almacenamiento y X número de máquinas virtuales) y permitir cierto espacio adicional además del crecimiento proyectado. Puede realizar un gesto de agregar nodo al usar un diseño de "almacenamiento conmutado". Pero puede tardar mucho tiempo en obtener más hardware después de la implementación. Y un gesto de nota de complemento es más complejo que cambiar el tamaño del hardware del clúster y el número de nodos (máximo 16 nodos) correctamente durante la implementación inicial.
Hay desventajas si sobreaprovisiona la especificación de hardware del nodo y selecciona el número incorrecto de nodos (tamaño del clúster). Por ejemplo, si los requisitos de carga de trabajo son mucho más pequeños que la capacidad general del clúster y el hardware está infrautilizado durante el período de garantía de hardware, el valor de ROI podría disminuir.
Directivas de Azure
Azure proporciona un amplio conjunto de directivas integradas relacionadas con Azure Stack HCI y sus dependencias. Algunas de las recomendaciones anteriores se pueden auditar mediante Azure Policy. Por ejemplo, puede comprobar si:
- Las redes de host y máquina virtual deben estar protegidas.
- Se deben implementar volúmenes cifrados.
- Las directivas de control de aplicaciones deben aplicarse de forma coherente.
- Se deben cumplir los requisitos principales protegidos.
Revise las directivas integradas de Azure Stack HCI. Defender for Cloud tiene nuevas recomendaciones que muestran el estado de cumplimiento de las directivas integradas. Para más información, consulte Directivas integradas para Azure Security Center.
Si la carga de trabajo se ejecuta en máquinas virtuales de Azure Arc que implementa en Azure Stack HCI, considere la posibilidad de usar directivas integradas, como denegar la creación o modificación de licencias de actualizaciones de seguridad extendidas. Para más información, consulte Definiciones de directivas integradas para cargas de trabajo habilitadas para Azure Arc.
Considere la posibilidad de crear directivas personalizadas para proporcionar gobernanza adicional para los recursos de Azure Stack HCI y las máquinas virtuales de Azure Arc que implemente en un clúster de Azure Stack HCI. Por ejemplo:
- Auditoría del registro de host de Azure Stack HCI con Azure
- Asegurarse de que los hosts ejecutan la versión más reciente del sistema operativo
- Comprobación de los componentes de hardware necesarios y las configuraciones de red
- Comprobación de la habilitación de los servicios de Azure necesarios y la configuración de seguridad
- Confirmación de la instalación de extensiones necesarias
- Evaluación de la implementación de clústeres de Kubernetes e integración de AKS
Recomendaciones de Azure Advisor
Azure Advisor es un consultor en la nube personalizado que ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure. Estas son algunas recomendaciones que pueden ayudarle a mejorar la confiabilidad, la seguridad, la rentabilidad, el rendimiento y la excelencia operativa de las máquinas virtuales.
Pasos siguientes
Tenga en cuenta los siguientes artículos del Centro de arquitectura de Azure como recursos que muestran las recomendaciones resaltadas en este artículo.
- Arquitectura básica que muestra las recomendaciones clave: arquitectura de referencia de línea base de Azure Stack HCI.
- Si su organización necesita un enfoque híbrido, seleccione cuidadosamente las opciones de diseño relacionadas con una arquitectura de red híbrida. Para obtener más información, consulte Diseño de arquitectura híbrida.
Cree conocimientos sobre implementación mediante la siguiente documentación del producto de Azure Stack HCI:
Revise la guía de Cloud Adoption Framework:
La metodología de preparación de Cloud Adoption Framework guía a los clientes cuando preparan su entorno para la adopción de la nube. En la metodología se incluyen aceleradores técnicos como zonas de aterrizaje de Azure, que son los bloques de creación de cualquier entorno de adopción de la nube de Azure. Revise los artículos siguientes para obtener más información sobre cómo preparar el entorno para una nube híbrida.