Considérations relatives à la planification de l’intégration du centre de données pour les systèmes intégrés Azure Stack Hub
Si vous êtes intéressé par un système intégré Azure Stack Hub, vous devez comprendre les principales considérations de planification relatives au déploiement et à la façon dont le système s’intègre dans votre centre de données. Cet article fournit une vue d’ensemble générale de ces considérations pour vous aider à prendre des décisions importantes en matière d’infrastructure pour vos systèmes intégrés Azure Stack Hub. Une compréhension de ces considérations permet de travailler avec votre fournisseur de matériel OEM lors du déploiement d’Azure Stack Hub sur votre centre de données.
Remarque
Les systèmes intégrés Azure Stack Hub ne peuvent être achetés qu’auprès des fournisseurs de matériel autorisés.
Pour déployer Azure Stack Hub, vous devez fournir des informations de planification à votre fournisseur de solutions avant que le déploiement commence à aider le processus à passer rapidement et en douceur. Les informations requises sont réparties entre les réseaux, la sécurité et les informations d’identité avec de nombreuses décisions importantes qui peuvent nécessiter des connaissances de nombreux domaines et décideurs différents. Vous aurez besoin de personnes de plusieurs équipes de votre organisation pour vous assurer que toutes les informations requises sont prêtes avant le déploiement. Il peut aider à communiquer avec votre fournisseur de matériel tout en collectant ces informations, car ils peuvent avoir des conseils utiles.
Lors de la recherche et de la collecte des informations requises, vous devrez peut-être apporter des modifications de configuration de prédéploiement à votre environnement réseau. Ces modifications peuvent inclure la réservation d’espaces d’adressage IP pour la solution Azure Stack Hub, ainsi que la configuration de vos routeurs, commutateurs et pare-feu pour préparer la connectivité aux nouveaux commutateurs de solution Azure Stack Hub. Veillez à ce que l’expert de la zone d’objet soit aligné pour vous aider à planifier votre projet.
Considérations relatives à la planification de la capacité
Lorsque vous évaluez une solution Azure Stack Hub pour l’acquisition, vous effectuez des choix de configuration matérielle qui ont un impact direct sur la capacité globale de la solution Azure Stack Hub. Il s’agit notamment des choix classiques du processeur, de la densité de mémoire, de la configuration du stockage et de la mise à l’échelle globale de la solution (par exemple, le nombre de serveurs). Contrairement à une solution de virtualisation traditionnelle, l’arithmétique simple de ces composants pour déterminer la capacité utilisable ne s’applique pas. La première raison est qu’Azure Stack Hub est conçu pour héberger les composants d’infrastructure ou de gestion au sein de la solution elle-même. La deuxième raison est que certaines de la capacité de la solution sont réservées pour prendre en charge la résilience en mettant à jour le logiciel de la solution d’une manière qui réduit l’interruption des charges de travail des locataires.
La feuille de calcul planificateur de capacité Azure Stack Hub vous aide à prendre des décisions éclairées pour planifier la capacité de deux manières. La première consiste à sélectionner une offre matérielle et à tenter d’adapter une combinaison de ressources. La deuxième consiste à définir la charge de travail que Azure Stack Hub est destinée à exécuter pour afficher les références SKU matérielles disponibles qui peuvent la prendre en charge. Enfin, la feuille de calcul est destinée à vous aider à prendre des décisions relatives à la planification et à la configuration d’Azure Stack Hub.
La feuille de calcul n’est pas destinée à servir de substitut à votre propre investigation et analyse. Microsoft ne fait aucune représentation ni garantie, expresse ou implicite, concernant les informations fournies dans la feuille de calcul.
Considérations relatives à la gestion
Azure Stack Hub est un système scellé, où l’infrastructure est verrouillée à la fois du point de vue des autorisations et du réseau. Les listes de contrôle d’accès réseau (ACL) sont appliquées pour bloquer tout le trafic entrant non autorisé et toutes les communications inutiles entre les composants de l’infrastructure. Ce système rend difficile l’accès des utilisateurs non autorisés au système.
Pour la gestion et les opérations quotidiennes, il n’existe aucun accès administrateur illimité à l’infrastructure. Les opérateurs Azure Stack Hub doivent gérer le système via le portail d’administration ou via Azure Resource Manager (via PowerShell ou l’API REST). Il n'y a pas d'accès au système par les autres outils de gestion tels que Hyper-V Manager ou Failover Cluster Manager. Pour protéger le système, les logiciels tiers (par exemple, les agents) ne peuvent pas être installés à l’intérieur des composants de l’infrastructure Azure Stack Hub. L’interopérabilité avec les logiciels de gestion et de sécurité externes se produit via PowerShell ou l’API REST.
Contactez le support Microsoft lorsque vous avez besoin d’un niveau d’accès supérieur pour résoudre les problèmes qui ne sont pas résolus par le biais des étapes de médiation d’alerte. Grâce à la prise en charge, il existe une méthode permettant de fournir un accès administrateur complet temporaire au système pour des opérations plus avancées.
Considérations relatives à l’identité
Choisir un fournisseur d’identité
Vous devez prendre en compte le fournisseur d’identité que vous souhaitez utiliser pour le déploiement d’Azure Stack Hub, l’ID Microsoft Entra ou AD FS. Vous ne pouvez pas changer de fournisseur d’identité après le déploiement sans redéploiement complet du système. Si vous ne possédez pas le compte Microsoft Entra et que vous utilisez un compte fourni par votre fournisseur de solutions cloud, et si vous décidez de changer de fournisseur et d’utiliser un autre compte Microsoft Entra, vous devez contacter votre fournisseur de solutions pour redéployer la solution à votre coût.
Votre choix de fournisseur d’identité n’a aucune incidence sur les machines virtuelles clientes, le système d’identité, les comptes qu’ils utilisent ou s’ils peuvent rejoindre un domaine Active Directory, et ainsi de suite. Ces choses sont séparées.
Vous pouvez déployer plusieurs systèmes Azure Stack Hub avec le même locataire Microsoft Entra ou Active Directory.
Intégration d’AD FS et Graph
Si vous choisissez de déployer Azure Stack Hub à l’aide d’AD FS comme fournisseur d’identité, vous devez intégrer l’instance AD FS sur Azure Stack Hub à une instance AD FS existante via une approbation de fédération. Cette intégration permet aux identités d’une forêt Active Directory existante de s’authentifier auprès des ressources dans Azure Stack Hub.
Vous pouvez également intégrer le service Graph dans Azure Stack Hub à l’annuaire Active Directory existant. Cette intégration vous permet de gérer Role-Based contrôle d’accès (RBAC) dans Azure Stack Hub. Lorsque l’accès à une ressource est délégué, le composant Graph recherche le compte d’utilisateur dans la forêt Active Directory existante à l’aide du protocole LDAP.
Le diagramme suivant montre le flux de trafic AD FS et Graph intégré.
Diagramme montrant le flux de trafic AD FS et Graph 
Modèle de licence
Vous devez décider quel modèle de licence vous souhaitez utiliser. Les options disponibles dépendent du déploiement d’Azure Stack Hub connecté à Internet :
- Pour un déploiement connecté , vous pouvez choisir une licence basée sur le paiement à l’utilisation ou la capacité. Le paiement à l’utilisation nécessite une connexion à Azure pour signaler l’utilisation, qui est ensuite facturée via le commerce Azure.
- Seules les licences basées sur la capacité sont prises en charge si vous déployez déconnecté d'Internet.
Pour plus d’informations sur les modèles de licence, voir Empaquetage et tarification de Microsoft Azure Stack Hub.
Décisions d’attribution de noms
Vous devez réfléchir à la façon dont vous souhaitez planifier votre espace de noms Azure Stack Hub, en particulier le nom de la région et le nom de domaine externe. Le nom de domaine complet (FQDN) externe de votre déploiement Azure Stack Hub pour les points de terminaison publics est la combinaison de ces deux noms : <région>.<fqdn>. Par exemple, east.cloud.fabrikam.com. Dans cet exemple, les portails Azure Stack Hub sont disponibles dans les URL suivantes :
https://portal.east.cloud.fabrikam.comhttps://adminportal.east.cloud.fabrikam.com
Important
Le nom de région que vous choisissez pour votre déploiement Azure Stack Hub doit être unique et s’affiche dans les adresses du portail.
Le tableau suivant récapitule ces décisions d’affectation de noms de domaine.
| Nom | Description |
|---|---|
| Nom de la région | Nom de votre première région Azure Stack Hub. Ce nom est utilisé comme partie du nom de domaine pleinement qualifié pour les adresses IP virtuelles publiques (VIP) qu’Azure Stack Hub gère. En règle générale, le nom de la région est un identificateur d’emplacement physique tel qu’un emplacement de centre de données. Le nom de la région doit comporter uniquement des lettres et des chiffres compris entre 0 et 9. Aucun caractère spécial (comme -, #, et ainsi de suite) n’est autorisé. |
| Nom de domaine externe | Le nom de la zone Domain Name System (DNS) pour les points de terminaison avec des adresses IP virtuelles externes. Utilisé dans le nom de domaine complet pour ces adresses IP virtuelles publiques. |
| Nom de domaine privé (interne) | Nom du domaine (et de la zone DNS interne) créé sur Azure Stack Hub pour la gestion de l’infrastructure. |
Conditions requises pour les certificats
Pour le déploiement, vous devez fournir des certificats SSL (Secure Sockets Layer) pour les points de terminaison publics. À un niveau élevé, les certificats ont les exigences suivantes :
- Vous pouvez utiliser un certificat générique unique ou utiliser un ensemble de certificats dédiés, puis utiliser des caractères génériques uniquement pour les points de terminaison tels que le stockage et Key Vault.
- Les certificats peuvent être émis par une autorité de certification approuvée publique ou une autorité de certification gérée par le client.
Pour plus d’informations sur les certificats PKI requis pour déployer Azure Stack Hub et comment les obtenir, consultez exigences relatives aux certificats d’infrastructure à clé publique Azure Stack Hub.
Important
Les informations de certificat PKI fournies doivent être utilisées comme conseils généraux. Avant d’acquérir des certificats PKI pour Azure Stack Hub, collaborez avec votre partenaire matériel OEM. Ils fournissent des instructions et des exigences de certificat plus détaillées.
Synchronisation de l’heure
Vous devez choisir un serveur de temps spécifique utilisé pour synchroniser Azure Stack Hub. La synchronisation de temps est essentielle pour Azure Stack Hub et ses rôles d’infrastructure, car elle est utilisée pour générer des tickets Kerberos. Les tickets Kerberos sont utilisés pour authentifier les services internes entre eux.
Vous devez spécifier une adresse IP pour le serveur de synchronisation de temps. Bien que la plupart des composants de l’infrastructure puissent résoudre une URL, certaines prennent uniquement en charge les adresses IP. Si vous utilisez l’option de déploiement déconnecté, vous devez spécifier un serveur de temps sur votre réseau d’entreprise que vous êtes sûr de pouvoir accéder à partir du réseau d’infrastructure dans Azure Stack Hub.
Important
Si votre serveur de temps n’est pas un serveur NTP Windows, vous devez ajouter ,0x8 à la fin de l’adresse IP. Par exemple, 10.1.1.123,0x8.
Connecter Azure Stack Hub à Azure
Pour les scénarios de cloud hybride, vous devez planifier la façon dont vous souhaitez connecter Azure Stack Hub à Azure. Il existe deux méthodes prises en charge pour connecter des réseaux virtuels dans Azure Stack Hub à des réseaux virtuels dans Azure :
de site à site : connexion de réseau privé virtuel (VPN) via IPsec (IKE v1 et IKE v2). Ce type de connexion nécessite un périphérique VPN ou un service d’accès à distance (RRAS). Pour plus d’informations sur les passerelles VPN dans Azure, consultez À propos de la passerelle VPN. La communication sur ce tunnel est chiffrée et sécurisée. Toutefois, la bande passante est limitée par le débit maximal du tunnel (100 à 200 Mbits/s).
NAT sortant: Par défaut, toutes les machines virtuelles d’Azure Stack Hub auront une connectivité à des réseaux externes via NAT sortant. Chaque réseau virtuel créé dans Azure Stack Hub obtient une adresse IP publique qui lui est attribuée. Si la machine virtuelle se voit directement affecter une adresse IP publique ou se trouve derrière un équilibreur de charge avec une adresse IP publique, elle aura un accès sortant via le NAT de trafic sortant avec l’adresse IP virtuelle du réseau virtuel. Cette méthode fonctionne uniquement pour la communication initiée par la machine virtuelle et destinée aux réseaux externes (Internet ou intranet). Il ne peut pas être utilisé pour communiquer avec la machine virtuelle à partir de l’extérieur.
Options de connectivité hybride
Pour la connectivité hybride, il est important de prendre en compte le type de déploiement que vous souhaitez offrir et l’emplacement où il sera déployé. Vous devez déterminer si vous devez isoler le trafic réseau par locataire et si vous disposez d’un déploiement intranet ou Internet.
Azure Stack Hub à locataire unique: Un déploiement d’Azure Stack Hub qui, du point de vue du réseau, ressemble à un seul locataire. Il peut y avoir de nombreux abonnements clients, mais comme n’importe quel service intranet, tout le trafic transite sur les mêmes réseaux. Le trafic réseau d’un abonnement se déplace sur la même connexion réseau qu’un autre abonnement et n’a pas besoin d’être isolé via un tunnel chiffré.
Multi-tenant Azure Stack Hub : Déploiement d'Azure Stack Hub dans lequel le trafic de chaque abonnement de locataire destiné à des réseaux externes à Azure Stack Hub doit être isolé du trafic réseau des autres locataires.
déploiement intranet: déploiement Azure Stack Hub qui se trouve sur un intranet d’entreprise, généralement sur un espace d’adressage IP privé et derrière un ou plusieurs pare-feu. Les adresses IP publiques ne sont pas vraiment publiques, car elles ne peuvent pas être routées directement via l’Internet public.
Déploiement Internet : Un déploiement d'Azure Stack Hub qui est connecté à l'internet public et utilise des adresses IP publiques routables par internet pour la plage VIP publique. Le déploiement peut toujours se placer derrière un pare-feu, mais la plage d’adresses IP virtuelles publiques est directement accessible depuis l’internet public et Azure.
Le tableau suivant récapitule les scénarios de connectivité hybride avec les avantages, inconvénients et cas d’usage.
| Scénario | Méthode de connectivité | Avantages | Inconvénients | Bien pour |
|---|---|---|---|---|
| Déploiement intranet d’Azure Stack Hub à locataire unique | NAT de trafic sortant | Meilleure bande passante pour les transferts plus rapides. Simple à implémenter ; aucune passerelle n’est requise. | Trafic non chiffré ; aucune isolation ni chiffrement en dehors de la pile. | Déploiements d’entreprise où tous les clients sont fiables. Entreprises disposant d’un circuit Azure ExpressRoute vers Azure. |
| Déploiement intranet d’Azure Stack Hub multilocataire | VPN de site à site | Le trafic du réseau virtuel client vers la destination est sécurisé. | La bande passante est limitée par le tunnel VPN de site à site. Nécessite une passerelle dans le réseau virtuel et un périphérique VPN sur le réseau de destination. |
Les déploiements d’entreprise où certains trafics de client doivent être sécurisés par rapport aux autres clients. |
| Azure Stack Hub à locataire unique, déploiement Internet | NAT de trafic sortant | Meilleure bande passante pour les transferts plus rapides. | Trafic non chiffré ; aucune isolation ni chiffrement en dehors de la pile. | Scénarios d’hébergement où le locataire obtient son propre déploiement Azure Stack Hub et un circuit dédié à l’environnement Azure Stack Hub. Par exemple, ExpressRoute et Multiprotocol Label Switching (MPLS). |
| Azure Stack Hub mutualisé, déploiement par Internet | VPN de site à site | Le trafic du réseau virtuel client vers la destination est sécurisé. | La bande passante est limitée par le tunnel VPN de site à site. Nécessite une passerelle dans le réseau virtuel et un périphérique VPN sur le réseau de destination. |
Scénarios d’hébergement où le fournisseur souhaite offrir un cloud multilocataire, où les locataires ne font pas confiance les uns aux autres et que le trafic doit être chiffré. |
Utilisation d’ExpressRoute
Vous pouvez connecter Azure Stack Hub à Azure via ExpressRoute pour les scénarios intranet à locataire unique et multilocataire. Vous aurez besoin d’un circuit ExpressRoute approvisionné via un fournisseur de connectivité.
Le diagramme suivant montre ExpressRoute dans un scénario monolocataire (où la « connexion du client » est le circuit ExpressRoute).
Diagramme 
Le diagramme suivant montre ExpressRoute pour un scénario à plusieurs locataires.
Diagramme 
Supervision externe
Pour obtenir une vue unique de toutes les alertes de votre déploiement et de vos appareils Azure Stack Hub et pour intégrer des alertes dans des flux de travail de gestion des services informatiques existants pour la création de tickets, vous pouvez intégrer Azure Stack Hub à des solutions de supervision de centres de données externes.
Inclus avec la solution Azure Stack Hub, l’hôte du cycle de vie du matériel est un ordinateur en dehors d’Azure Stack Hub qui exécute des outils de gestion fournis par le fournisseur OEM pour le matériel. Vous pouvez utiliser ces outils ou d’autres solutions qui s’intègrent directement aux solutions de supervision existantes dans votre centre de données.
Le tableau suivant récapitule la liste des options actuellement disponibles.
| Domaine | Solution de supervision externe |
|---|---|
| Logiciel Azure Stack Hub | Pack d’administration Azure Stack Hub pour Operations Manager Plug-in Nagios Appels d’API BASÉS sur REST |
| Serveurs physiques (BMC via IPMI) | Matériel OEM - Pack d’administration du fournisseur Operations Manager Solution fournie par le fournisseur de matériel OEM Plug-ins Nagios du fournisseur de matériel. Solution de supervision prise en charge par les partenaires OEM (incluse) |
| Périphériques réseau (SNMP) | Découverte des appareils réseau par Operations Manager Solution fournie par le fournisseur de matériel OEM Plug-in de commutateur Nagios |
| Surveillance de l’intégrité de l’abonnement client | Pack d’administration System Center pour Windows Azure |
Notez les exigences suivantes :
- La solution que vous utilisez doit être sans agent. Vous ne pouvez pas installer d’agents tiers à l’intérieur des composants Azure Stack Hub.
- Si vous souhaitez utiliser System Center Operations Manager, Operations Manager 2012 R2 ou Operations Manager 2016 est requis.
Sauvegarde et récupération d’urgence
La planification de la sauvegarde et de la récupération d’urgence implique la planification de l’infrastructure Azure Stack Hub sous-jacente qui héberge des machines virtuelles IaaS et des services PaaS, ainsi que pour les applications clientes et les données. Planifiez ces choses séparément.
Protéger les composants d’infrastructure
Vous pouvez sauvegarder les composants d’infrastructure Azure Stack Hub sur un partage SMB que vous spécifiez :
- Vous aurez besoin d’un partage de fichiers SMB externe sur un serveur de fichiers Windows existant ou un appareil tiers.
- Utilisez ce même partage pour la sauvegarde des commutateurs réseau et de l’hôte de gestion du cycle de vie du matériel. Votre fournisseur de matériel OEM vous aidera à fournir des conseils pour la sauvegarde et la restauration de ces composants, car ils sont externes à Azure Stack Hub. Vous êtes responsable de l’exécution des flux de travail de sauvegarde en fonction de la recommandation du fournisseur OEM.
Si une perte de données catastrophique se produit, vous pouvez utiliser la sauvegarde de l’infrastructure pour ressemer les données de déploiement, telles que :
- Entrées et identificateurs de déploiement
- Comptes de service
- Certificat racine d’autorité de certification
- Ressources fédérées (dans les déploiements déconnectés)
- Plans, offres, abonnements et quotas
- Stratégie RBAC et attributions de rôles
- Secrets de Key Vault
Avertissement
Par défaut, votre instance Azure Stack Hub est configurée avec un seul compte CloudAdmin. Il n’existe aucune option de récupération si les informations d’identification du compte sont perdues, compromises ou verrouillées. Vous perdez l’accès au point de terminaison privilégié et à d’autres ressources.
Il est fortement recommandé de créer des comptes CloudAdmin supplémentaires, afin d'éviter un redéploiement de votre cachet à vos frais. Veillez à documenter ces informations d’identification en fonction des instructions de votre entreprise.
Protéger les applications clientes sur des machines virtuelles IaaS
Azure Stack Hub ne sauvegarde pas les applications clientes et les données. Vous devez planifier la protection de sauvegarde et de récupération d’urgence vers une cible externe à Azure Stack Hub. La protection des locataires est une activité pilotée par le locataire. Pour les machines virtuelles IaaS, les locataires peuvent utiliser des technologies in-guest pour protéger les dossiers de fichiers, les données d’application et l’état du système. Toutefois, en tant que fournisseur de services ou d’entreprise, vous pouvez proposer une solution de sauvegarde et de récupération dans le même centre de données ou en externe dans un cloud.
Pour sauvegarder des machines virtuelles IaaS Linux ou Windows, vous devez utiliser des produits de sauvegarde avec accès au système d’exploitation invité pour protéger les données des fichiers, des dossiers, du système d’exploitation et des données d’application. Vous pouvez utiliser Sauvegarde Azure, System Center Datacenter Protection Manager ou des produits tiers pris en charge.
Pour répliquer des données vers un emplacement secondaire et orchestrer le basculement d’application en cas de sinistre, vous pouvez utiliser Azure Site Recovery ou des produits tiers pris en charge. En outre, les applications qui prennent en charge la réplication native, comme Microsoft SQL Server, peuvent répliquer des données vers un autre emplacement où l’application est en cours d’exécution.
Pour en savoir plus
- Pour plus d’informations sur les cas d’utilisation, l’achat, les partenaires et les fournisseurs de matériel OEM, consultez la page de produit Azure Stack Hub.
- Pour plus d’informations sur la feuille de route et la géo-disponibilité des systèmes intégrés Azure Stack Hub, consultez le livre blanc : Azure Stack Hub : Extension d’Azure.