Partilhar via

Perspetiva do Azure Well-Architected Framework no Azure Stack HCI

  • Artigo

O Azure Stack HCI é uma plataforma de infraestrutura hiperconvergente (HCI) que fornece armazenamento local, recursos de rede e recursos de computação. Você pode usar o Azure Stack HCI para criar e gerenciar máquinas virtuais (VMs) Windows e Linux, clusters Kubernetes para cargas de trabalho em contêineres e outros serviços habilitados para Azure Arc. A plataforma usa o Azure para implantação e gerenciamento simplificados, o que fornece uma experiência de gerenciamento unificada e consistente por meio do Azure Arc. Você pode usar os recursos do Azure Stack HCI e do Azure Arc para manter os sistemas de negócios e os dados de aplicativos no local para atender aos requisitos de soberania, regulamentação e conformidade de dados e latência.

Este artigo pressupõe que você tenha uma compreensão de sistemas híbridos e tenha conhecimento prático do Azure Stack HCI. As diretrizes neste artigo fornecem recomendações de arquitetura mapeadas para os princípios dos pilares do Azure Well-Architected Framework.

Importante

Como usar este guia

Cada seção tem uma lista de verificação de projeto que apresenta áreas arquitetônicas de preocupação, juntamente com estratégias de projeto localizadas para o escopo da tecnologia.

Também estão incluídas recomendações sobre as capacidades tecnológicas que podem ajudar a materializar essas estratégias. As recomendações não representam uma lista exaustiva de todas as configurações disponíveis para o Azure Stack HCI e suas dependências. Em vez disso, eles listam as principais recomendações mapeadas para as perspetivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.

Arquitetura fundamental que demonstra as principais recomendações:
Arquitetura de referência de linha de base HCI do Azure Stack.

Âmbito da tecnologia

Esta análise concentra-se nas decisões inter-relacionadas para os seguintes recursos do Azure:

  • Azure Stack HCI (plataforma), versão 23H2 e posterior
  • Azure Arc VMs (carga de trabalho)

Nota

Este artigo aborda o escopo anterior e fornece listas de verificação e recomendações organizadas por arquitetura de plataforma e arquitetura de carga de trabalho. As preocupações com a plataforma são da responsabilidade dos administradores da plataforma. As preocupações com a carga de trabalho são de responsabilidade do operador da carga de trabalho e dos desenvolvedores de aplicativos. Estas funções e responsabilidades são distintas e podem pertencer a equipas ou indivíduos separados. Tenha essa distinção em mente ao aplicar as orientações.

Esta orientação não se concentra em tipos de recursos específicos que você pode implantar no Azure Stack HCI, como VMs do Azure Arc, Serviço Kubernetes do Azure (AKS) e Área de Trabalho Virtual do Azure. Ao implantar esses tipos de recursos no Azure Stack HCI, consulte as respetivas diretrizes de carga de trabalho para projetar soluções que atendam aos seus requisitos de negócios.

Fiabilidade

O objetivo do pilar Confiabilidade é fornecer funcionalidade contínua, construindo resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.

Os princípios de projeto de confiabilidade fornecem uma estratégia de projeto de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.

Em implantações de nuvem híbrida, o objetivo é reduzir os efeitos de uma falha de componente. Use estas listas de verificação de design e sugestões de configuração para diminuir o impacto de uma falha de componente para cargas de trabalho que você implanta no Azure Stack HCI.

É importante distinguir entre confiabilidade da plataforma e confiabilidade da carga de trabalho. A confiabilidade da carga de trabalho depende da plataforma. Os proprietários ou desenvolvedores de aplicativos devem projetar aplicativos que possam fornecer as metas de confiabilidade definidas.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente o desempenho do Azure Stack HCI. Alargar a estratégia de modo a incluir mais abordagens, conforme necessário.

  • (Arquitetura da plataforma HCI do Azure Stack e arquitetura de carga de trabalho) Defina metas de confiabilidade da carga de trabalho.

    • Defina seus objetivos de nível de serviço (SLOs) para que você possa avaliar as metas de disponibilidade. Calcule SLOs como uma porcentagem, como 99,9%, 99,95% ou 99,995%, que reflita o tempo de atividade da carga de trabalho. Lembre-se de que esse cálculo não se baseia apenas nas métricas da plataforma que o cluster HCI do Azure Stack ou a carga de trabalho emite. Para obter uma medição de destino abrangente, considere fatores matizados que são quantificados, como tempo de inatividade esperado durante lançamentos, operações de rotina, capacidade de suporte ou outros fatores específicos da carga de trabalho ou da organização.

    • Os contratos de nível de serviço (SLAs) fornecidos pela Microsoft geralmente influenciam os cálculos de SLO. Mas a Microsoft não fornece um SLA para o tempo de atividade e a conectividade dos clusters HCI do Azure Stack ou a carga de trabalho implantada, porque a Microsoft não controla a confiabilidade do datacenter do cliente (como energia e refrigeração) ou as pessoas e os processos que administram a plataforma.

  • (Arquitetura da plataforma Azure Stack HCI) Considere como o desempenho e as operações afetam a confiabilidade.

    O desempenho degradado do cluster ou suas dependências podem tornar a plataforma HCI do Azure Stack indisponível. Por exemplo:

    • Sem um planejamento adequado da capacidade de carga de trabalho, é um desafio dimensionar corretamente os clusters HCI do Azure Stack na fase de design, que é um requisito para que a carga de trabalho possa atender às metas de confiabilidade desejadas. Use a ferramenta de dimensionador HCI do Azure Stack durante o design do cluster. Considere o "requisito mínimo N+1 para o número de nós" se precisar de VMs altamente disponíveis. Para cargas de trabalho críticas para os negócios ou de missão crítica, considere o uso de um "número N+2 de nós" para o tamanho do cluster se a resiliência for fundamental.

    • A confiabilidade da plataforma depende do desempenho das dependências críticas da plataforma, como tipos de disco físico. Você deve escolher os tipos de disco certos para suas necessidades. Para cargas de trabalho que precisam de armazenamento de baixa latência e alta taxa de transferência, recomendamos uma configuração de armazenamento totalmente flash (somente NVMe/SSD). Para computação de uso geral, uma configuração de armazenamento híbrido (NVMe ou SSDs para cache e HDDs para capacidade) pode fornecer mais espaço de armazenamento. Mas a contrapartida é que os discos giratórios têm um desempenho significativamente menor se a sua carga de trabalho exceder o conjunto de trabalho do cache, e os HDDs têm um tempo médio muito menor entre o valor de falha em comparação com NVMe/SSDs.

      A Eficiência de Desempenho descreve esses exemplos com mais detalhes.

    Operações inadequadas do Azure Stack HCI podem afetar patches e atualizações, testes e consistência de implantações. Seguem-se alguns exemplos:

    • Se a plataforma Azure Stack HCI não evoluir com o firmware, drivers e inovações mais recentes do fabricante de equipamento original de hardware (OEM), a plataforma pode não aproveitar os recursos de resiliência mais recentes. Aplique atualizações de driver e firmware OEM de hardware regularmente. Para obter mais informações, consulte Catálogo de soluções HCI do Azure Stack.

    • Você deve testar o ambiente de destino para conectividade, hardware e gerenciamento de identidade e acesso antes da implantação. Caso contrário, você pode implantar a solução Azure Stack HCI em um ambiente instável, o que pode criar problemas de confiabilidade. Você pode usar a ferramenta de verificação ambiental no modo autônomo para detetar problemas, mesmo antes de o hardware do cluster estar disponível.

      Para obter orientação operacional, consulte Excelência operacional.

  • (Arquitetura da plataforma Azure Stack HCI) Fornecer tolerância a falhas para o cluster e suas dependências de infraestrutura.

    • Opções de projeto de armazenamento. Para a maioria das implantações, a opção padrão para "criar automaticamente volumes de carga de trabalho e infraestrutura" é suficiente. Se você selecionar a opção avançada: "criar apenas os volumes de infraestrutura necessários", configure a tolerância a falhas de volume apropriada no Storage Spaces Direct com base nos requisitos da carga de trabalho. Essas decisões influenciam o desempenho, a capacidade e os recursos de resiliência dos volumes. Por exemplo, um espelho de três vias aumenta a confiabilidade e o desempenho para clusters com três ou mais nós. Para obter mais informações, consulte Tolerância a falhas para eficiência de armazenamento e Criar discos virtuais e volumes diretos de espaços de armazenamento.

    • Arquitetura de rede. Use uma topologia de rede validada para implantar o Azure Stack HCI. Clusters de vários nós, com quatro ou mais nós físicos, exigem o design "comutado de armazenamento". Clusters com dois ou três nós podem, opcionalmente, usar o design "armazenamento sem comutação". Independentemente do tamanho do cluster, recomendamos que você use switches dual top of rack (ToR) para as intenções de gerenciamento e computação (uplinks norte e sul) para fornecer maior tolerância a falhas. A topologia ToR dupla também fornece resiliência durante as operações de manutenção do switch (atualização de firmware). Para obter mais informações, consulte Topologias de rede validadas.

  • (Arquitetura de carga de trabalho) Crie redundância para fornecer resiliência.

  • (Arquitetura de carga de trabalho) Planeje e teste a capacidade de recuperação com base nas metas RPO (Recovery Point Objetive, objetivo de ponto de recuperação) e RTO (Recovery Time Objetive, objetivo de tempo de recuperação) da carga de trabalho.

    Tenha um plano de recuperação de desastres bem documentado. Teste as etapas de recuperação regularmente para garantir que seus planos e processos de continuidade de negócios sejam válidos. Determine se o Azure Site Recovery é uma opção viável para proteger VMs executadas no Azure Stack HCI. Para obter mais informações, consulte Proteger cargas de trabalho de VM com o Azure Site Recovery no Azure Stack HCI (visualização).

  • (Arquitetura de carga de trabalho) Configure e teste regularmente os procedimentos de backup e restauração da carga de trabalho.

    Os requisitos de negócios para recuperação e retenção de dados orientam a estratégia para backups de carga de trabalho. Uma estratégia abrangente inclui considerações para dados persistentes de carga de trabalho, sistema operacional (SO) e aplicativo, com a capacidade de restaurar dados individuais (point-in-time) no nível de arquivo e no nível de pasta. Configure as políticas de retenção de backup com base em seus requisitos de conformidade e recuperação de dados, que determinam o número e a idade dos pontos de recuperação de dados disponíveis. Explore o Backup do Azure como uma opção para habilitar backups de nível de host ou de convidado de VM para o Azure Stack HCI. Analise as soluções de proteção de dados de parceiros de fornecedores de software independentes de backup, quando relevante. Para obter mais informações, consulte Diretrizes e práticas recomendadas do Backup do Azure e Backup do Azure para Azure Stack HCI.

Recomendações

Recomendação Benefício
Reserve o equivalente a um disco de capacidade de espaço por nó dentro do pool de armazenamento do Storage Spaces Direct. Se você optar por criar volumes de carga de trabalho depois de implantar um cluster HCI do Azure Stack (opção Avançada: "criar somente volumes de infraestrutura necessários"), recomendamos que você deixe de 5% a 10% da capacidade total do pool não alocada no pool de armazenamento. Essa capacidade reservada e não utilizada, ou gratuita, permite que o Storage Spaces Direct repare "in-loco" quando um disco físico falha, o que melhora a resiliência e o desempenho dos dados se ocorrer uma falha no disco físico.
Certifique-se de que todos os nós físicos tenham acesso à rede à lista de pontos de extremidade HTTPS de saída necessários para o Azure Stack HCI e o Azure Arc. Para gerenciar, monitorar e operar de forma confiável clusters HCI do Azure Stack ou recursos de carga de trabalho, os pontos de extremidade de rede de saída necessários devem ter acesso, diretamente ou por meio de um servidor proxy. Uma interrupção temporária não afeta o status de execução da carga de trabalho, mas pode afetar a capacidade de gerenciamento.
Se você optar por criar volumes de carga de trabalho (discos virtuais) manualmente, use o tipo de resiliência mais apropriado para maximizar a resiliência e o desempenho da carga de trabalho. Para quaisquer volumes de usuário criados manualmente depois de implantar o cluster, crie um caminho de armazenamento para os volumes no Azure. O volume pode armazenar arquivos de configuração de VM de carga de trabalho, VHDs (discos rígidos virtuais) de VM e imagens de VM por meio do caminho de armazenamento. Para clusters HCI do Azure Stack com três ou mais nós, considere usar um espelho de três vias para fornecer os mais altos recursos de resiliência e desempenho. Recomendamos que você use volumes espelhados para cargas de trabalho críticas para os negócios ou de missão crítica.
Considere a implementação de regras de antiafinidade de carga de trabalho para garantir que as VMs que hospedam várias instâncias do mesmo serviço sejam executadas em hosts físicos separados. Este conceito é semelhante a "conjuntos de disponibilidade" no Azure. Torne todos os componentes redundantes. Para cargas de trabalho críticas para os negócios ou de missão crítica, use várias VMs do Azure Arc ou conjuntos de réplicas ou pods do Kubernetes para implantar várias instâncias de seus aplicativos ou serviços. Essa abordagem aumenta a resiliência se ocorrer uma interrupção não planejada de um único nó físico.

Segurança

O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.

Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas, aplicando abordagens ao design técnico do Azure Stack HCI.

O Azure Stack HCI é um produto seguro por padrão que tem mais de 300 configurações de segurança habilitadas durante o processo de implantação na nuvem. As configurações de segurança padrão fornecem uma linha de base de segurança consistente para garantir que os dispositivos comecem em um bom estado. E você pode usar controles de proteção contra desvio para fornecer gerenciamento em escala.

Os recursos de segurança padrão no Azure Stack HCI incluem configurações de segurança do sistema operacional protegido, Controle de Aplicativo do Windows Defender, criptografia de volume via BitLocker, rotação secreta, contas de usuário internas locais e Microsoft Defender for Cloud. Para obter mais informações, consulte Revisar recursos de segurança.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança. Identificar vulnerabilidades e controles para melhorar a postura de segurança. Alargar a estratégia de modo a incluir mais abordagens, conforme necessário.

  • (Arquitetura da plataforma Azure Stack HCI) Analise as linhas de base de segurança. O Azure Stack HCI e os padrões de segurança fornecem orientação de linha de base para fortalecer a postura de segurança da plataforma e das cargas de trabalho hospedadas. Se sua carga de trabalho precisar estar em conformidade com regulamentações específicas de conformidade regulamentar, considere os padrões de segurança regulamentares, como os Padrões de Segurança de Dados do Setor de Cartões de Pagamento e o Padrão Federal de Processamento de Informações 140.

    As configurações padrão fornecidas pela plataforma Azure Stack HCI habilitam recursos de segurança, incluindo controles de identidade, filtragem de rede e criptografia. Essas configurações formam uma boa linha de base de segurança para um cluster HCI do Azure Stack recém-provisionado. Você pode personalizar cada configuração com base em seus requisitos de segurança organizacionais.

    Certifique-se de detetar e proteger contra desvios indesejados de configuração de segurança.

  • (Arquitetura da plataforma Azure Stack HCI) Detete, previna e responda a ameaças. Monitore continuamente o ambiente HCI do Azure Stack e proteja-se contra ameaças existentes e em evolução.

    Recomendamos que você habilite o Defender for Cloud no Azure Stack HCI. Habilite o plano básico do Defender for Cloud (camada gratuita) usando o Gerenciamento de Postura de Segurança do Defender Cloud para monitorar e identificar as etapas que você pode executar para proteger sua plataforma HCI do Azure Stack, juntamente com outros recursos do Azure e do Azure Arc.

    Para se beneficiar dos recursos de segurança aprimorados, incluindo alertas de segurança para servidores individuais e VMs do Azure Arc, habilite o Microsoft Defender for Servers em seus nós de cluster HCI do Azure Stack e VMs do Azure Arc.

    • Use o Defender for Cloud para medir a postura de segurança dos nós e cargas de trabalho HCI do Azure Stack. O Defender for Cloud oferece um painel único de experiência para ajudar a gerenciar a conformidade de segurança.

    • Use o Defender for Servers para monitorar as VMs hospedadas em busca de ameaças e configurações incorretas. Você também pode habilitar os recursos de deteção e resposta de ponto de extremidade nos nós HCI do Azure Stack.

    • Considere agregar dados de segurança e inteligência de ameaças de todas as fontes em uma solução centralizada de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel.

  • (Arquitetura da plataforma HCI do Azure Stack e arquitetura de carga de trabalho) Crie segmentação para conter o raio de explosão. Existem várias estratégias para alcançar a segmentação.

    • Identidade. Mantenha as funções e responsabilidades da plataforma e da carga de trabalho separadas. Permita que apenas identidades autorizadas realizem as operações específicas que se alinham com suas funções designadas. Os administradores da plataforma Azure Stack HCI usam credenciais do Azure e de domínio local para executar tarefas da plataforma. Operadores de carga de trabalho e desenvolvedores de aplicativos gerenciam a segurança da carga de trabalho. Para simplificar a delegação de permissões, use as funções internas de controle de acesso baseado em função (RBAC) do Azure Stack HCI, como 'Azure Stack HCI Administrator' para administradores de plataforma e 'Azure Stack HCI VM Contributor' ou 'Azure Stack HCI VM Reader' para operadores de carga de trabalho. Para obter mais informações sobre ações de função internas específicas, consulte a documentação do RBAC do Azure para funções híbridas e multicloud.

    • Rede. Isole redes, se necessário. Por exemplo, você pode provisionar várias redes lógicas que usam redes locais virtuais (vLANs) separadas e intervalos de endereços de rede. Ao usar essa abordagem, certifique-se de que a rede de gerenciamento possa alcançar cada rede lógica e vLAN para que os nós de cluster HCI do Azure Stack possam se comunicar com as redes vLAN por meio dos switches ou gateways ToR. Essa configuração é necessária para o gerenciamento de disponibilidade da carga de trabalho, como permitir que os agentes de gerenciamento de infraestrutura se comuniquem com o SO convidado da carga de trabalho.

    • Analise as Recomendações para criar uma estratégia de segmentação para obter informações adicionais.

  • (Arquitetura da plataforma HCI do Azure Stack e arquitetura de carga de trabalho) Use um provedor de identidade confiável para controlar o acesso. Recomendamos o Microsoft Entra ID para todos os fins de autenticação e autorização. Você pode associar uma carga de trabalho a um domínio do Ative Directory do Windows Server local, se necessário. Aproveite os recursos que suportam senhas fortes, autenticação multifator, RBAC e controles para o gerenciamento de segredos.

  • (Arquitetura da plataforma HCI do Azure Stack e arquitetura de carga de trabalho) Isole, filtre e bloqueie o tráfego de rede. Você pode ter um caso de uso de carga de trabalho que exija redes virtuais, microssegmentação por meio de grupos de segurança de rede, políticas de qualidade de serviço de rede ou encadeamento de dispositivos virtuais para que você possa trazer dispositivos parceiros para filtragem. Se você tiver essa carga de trabalho, consulte Considerações de rede definidas por software para padrões de referência de rede para obter uma lista dos recursos e capacidades suportados que o Controlador de Rede fornece.

  • (Arquitetura de carga de trabalho) Criptografe dados para proteger contra adulteração. Criptografe dados em trânsito, dados em repouso e dados em uso.

    • A criptografia de dados em repouso é habilitada em volumes de dados criados durante a implantação. Esses volumes de dados incluem volumes de infraestrutura e volumes de carga de trabalho. Para obter mais informações, consulte Gerenciar criptografia BitLocker.

    • Use a inicialização confiável para VMs do Azure Arc para melhorar a segurança das VMs Gen 2 usando recursos do sistema operacional de sistemas operacionais modernos, como a Inicialização Segura, que pode usar um Módulo de Plataforma Confiável virtual.

  • Operacionalizar a gestão secreta. Com base em seus requisitos organizacionais, altere as credenciais associadas à identidade do usuário de implantação para o Azure Stack HCI. Para obter mais informações, consulte Gerenciar rotação de segredos.

  • (Arquitetura da plataforma Azure Stack HCI) Aplique controles de segurança. Use a Política do Azure para auditar e aplicar políticas internas, como "As políticas de controle de aplicativos devem ser aplicadas de forma consistente" ou "Volumes criptografados devem ser implementados". Você pode usar essas políticas do Azure para auditar as configurações de segurança e avaliar o status de conformidade do Azure Stack HCI. Para obter exemplos das políticas disponíveis, consulte Políticas do Azure.

  • (Arquitetura de carga de trabalho) Melhore a postura de segurança da carga de trabalho com políticas integradas. Para avaliar as VMs do Azure Arc que são executadas no Azure Stack HCI, você pode aplicar políticas internas por meio do benchmark de segurança, do Azure Update Manager ou da extensão de configuração de convidado da Política do Azure. Você pode usar várias políticas para verificar as seguintes condições:

    • Instalação do agente do Log Analytics
    • Atualizações de sistema desatualizadas que precisam estar atualizadas com os patches de segurança mais recentes
    • Avaliação da vulnerabilidade e potenciais mitigações
    • Utilização de protocolos de comunicação seguros

Recomendações

Recomendação Benefício
Use as configurações de linha de base de segurança e controles de desvio para aplicar e manter as configurações de segurança nos nós do cluster. Essas configurações ajudam a proteger contra alterações indesejadas e desvios porque atualizam automaticamente as configurações de segurança a cada 90 minutos para impor a postura de segurança pretendida do Azure Stack HCI.
Use o Controle de Aplicativo do Windows Defender no Azure Stack HCI. O Controle de Aplicativo do Windows Defender reduz a superfície de ataque do Azure Stack HCI. Use o portal do Azure ou o PowerShell para exibir configurações de política e modos de política de controle. As políticas de Controle de Aplicativo do Windows Defender ajudam a controlar quais drivers e aplicativos podem ser executados em seu sistema.
Habilite a criptografia de volume via BitLocker para proteção de criptografia de dados em repouso. O BitLocker protege o SO e os volumes de dados encriptando os volumes partilhados de cluster criados no Azure Stack HCI. O BitLocker usa criptografia XTS-AES de 256 bits. Recomendamos que você mantenha a configuração padrão de criptografia de volume habilitada durante a implantação na nuvem do Azure Stack HCI para todos os volumes de dados.
Exporte chaves de recuperação do BitLocker para armazená-las em um local seguro externo ao cluster HCI do Azure Stack. Você pode precisar de chaves BitLocker durante ações específicas de solução de problemas ou recuperação. Recomendamos que você exporte, salve e faça backup de chaves de criptografia para SO e volumes de dados de cada cluster HCI do Azure Stack por meio do cmdlet do PowerShell 'Get-AsRecoveryKeyInfo'. Salve as chaves em um local externo seguro, como o Azure Key Vault.
Use uma solução SIEM para aumentar os recursos de monitoramento e alerta de segurança. Para fazer isso, você pode integrar servidores habilitados para Azure Arc (nós da plataforma Azure Stack HCI) ao Microsoft Sentinel. Como alternativa, se você usar uma solução SIEM diferente, configure o encaminhamento syslog de eventos de segurança para a solução escolhida. Encaminhe dados de eventos de segurança usando o Microsoft Sentinel ou o encaminhamento syslog para fornecer recursos de alerta e emissão de relatórios por meio da integração com uma solução SIEM gerenciada pelo cliente.
Use a assinatura SMB (Server Message Block) para aprimorar a proteção de dados em trânsito, que é habilitada nas "configurações de segurança padrão". A assinatura SMB permite que você assine digitalmente o tráfego SMB entre uma plataforma HCI do Azure Stack e sistemas externos à plataforma (norte ou sul). Configure a assinatura para tráfego SMB externo entre a plataforma HCI do Azure Stack e outros sistemas para ajudar a evitar ataques de retransmissão.
Use a configuração de criptografia SMB para aprimorar a proteção de dados em trânsito, que é habilitada nas "configurações de segurança padrão". A configuração de criptografia SMB para tráfego em cluster controla a criptografia de tráfego entre nós físicos no cluster HCI do Azure Stack (leste ou oeste) em sua rede de armazenamento.

Otimização de Custos

A Otimização de Custos concentra-se na deteção de padrões de gastos, priorizando investimentos em áreas críticas e otimizando em outras para atender ao orçamento da organização e, ao mesmo tempo, atender aos requisitos de negócios.

Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado ao Azure Stack HCI e seu ambiente.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para otimização de custos para investimentos. Ajuste o design para que a carga de trabalho esteja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos certos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.

O Azure Stack HCI incorre em custos de hardware, licenciamento de software, cargas de trabalho, licenciamento de VMs convidadas (Windows Server ou Linux) e outros serviços de nuvem integrados, como o Azure Monitor e o Defender for Cloud.

  • (Arquitetura da plataforma HCI do Azure Stack e arquitetura de carga de trabalho) Estimar custos realistas como parte da modelagem de custos. Use a calculadora de preços do Azure para selecionar e configurar serviços como Azure Stack HCI, Azure Arc e AKS no Azure Stack HCI. Experimente várias configurações e opções de pagamento para modelar custos.

  • (Arquitetura da plataforma HCI do Azure Stack e arquitetura de carga de trabalho) Otimize o custo do hardware HCI do Azure Stack. Escolha um parceiro OEM de hardware que esteja alinhado com os seus requisitos comerciais e de negócios. Para explorar a lista certificada de nós validados, sistemas integrados e soluções premier, consulte Catálogo de soluções HCI do Azure Stack. Comunique as características, tamanho, quantidade e desempenho da carga de trabalho com seu parceiro de hardware para que você possa dimensionar corretamente uma solução de hardware econômica para os nós HCI do Azure Stack e o tamanho do cluster.

  • (Arquitetura da plataforma Azure Stack HCI) Otimize os seus custos de licenciamento. O software Azure Stack HCI é licenciado e cobrado "por núcleo de CPU física". Use licenças principais locais existentes com o Benefício Híbrido do Azure para reduzir os custos de licenciamento para cargas de trabalho HCI do Azure Stack, como VMs do Azure Arc que executam o Windows Server, SQL Server ou AKS e a Instância Gerenciada SQL do Azure habilitada para Azure Arc. Para obter mais informações, consulte Calculadora de custos do Benefício Híbrido do Azure.

  • (Arquitetura da plataforma Azure Stack HCI) Poupe nos custos ambientais. Avalie se as opções a seguir podem ajudar a otimizar o uso de recursos.

    • Aproveite os programas de desconto que a Microsoft oferece. Considere usar o Benefício Híbrido do Azure para reduzir o custo de execução de cargas de trabalho do Azure Stack HCI e do Windows Server. Para obter mais informações, consulte Benefício Híbrido do Azure para Azure Stack HCI.

    • Explore ofertas promocionais. Aproveite a avaliação gratuita de 60 dias do Azure Stack HCI após o registro para obter a prova inicial de conceitos ou validações.

  • (Arquitetura da plataforma Azure Stack HCI) Poupe nos custos operacionais.

    • Avalie as opções de tecnologia para aplicação de patches, atualizações e outras operações. O Update Manager é gratuito para clusters HCI do Azure Stack que têm o Azure Hybrid Benefit e o gerenciamento de VM do Azure Arc habilitados. Para obter mais informações, consulte Perguntas frequentes sobre o Update Manager e Preços do Update Manager.

    • Avaliar os custos relacionados com a observabilidade. Configure regras de alerta e regras de coleta de dados (DCRs) para atender às suas necessidades de monitoramento e auditoria. A quantidade de dados que sua carga de trabalho ingere, processa e retém influencia diretamente os custos. Otimize usando políticas de retenção inteligentes, limitando o número e a frequência de alertas e escolhendo o nível de armazenamento certo para armazenar logs. Para obter mais informações, consulte Diretrizes de otimização de custos para o Log Analytics.

  • (Arquitetura de carga de trabalho) Avalie a densidade sobre o isolamento. Use o AKS no Azure Stack HCI para melhorar a densidade e simplificar o gerenciamento de carga de trabalho para que você possa habilitar aplicativos em contêineres para escalar em vários datacenters ou pontos de presença. Para obter mais informações, consulte AKS on Azure Stack HCI pricing.

Recomendações

Recomendação Benefício
Use o Benefício Híbrido do Azure para HCI do Azure Stack se você tiver licenças do Windows Server Datacenter com o Software Assurance. Com o Benefício Híbrido do Azure para Azure Stack HCI, você pode maximizar o valor de suas licenças locais e modernizar sua infraestrutura existente para o Azure Stack HCI sem custo adicional.
Escolha o complemento de assinatura do Windows Server ou traga sua própria licença para licenciar e ativar as VMs do Windows Server e usá-las no Azure Stack HCI. Para obter mais informações, consulte Licenciar VMs do Windows Server no Azure Stack HCI. Embora você possa usar quaisquer licenças existentes do Windows Server e métodos de ativação disponíveis, opcionalmente, você pode habilitar o "complemento de assinatura do Windows Server" disponível para o Azure Stack HCI apenas para assinar licenças de convidado do Windows Server por meio do Azure, que é cobrado pelo número total de núcleos físicos no cluster HCI do Azure Stack.
Use o benefício de verificação do Azure para VMs estendido ao Azure Stack HCI para que as cargas de trabalho exclusivas do Azure com suporte possam funcionar fora da nuvem. Esse benefício é habilitado por padrão no Azure Stack HCI versão 23H2 ou posterior. Use esse benefício para que as VMs possam operar em outros ambientes do Azure e as cargas de trabalho possam se beneficiar de ofertas disponíveis somente no Azure, como as Atualizações de Segurança Estendidas habilitadas pelo Azure Arc.

Excelência Operacional

A Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento, observabilidade e gerenciamento de releases.

Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para alcançar essas metas para os requisitos operacionais da carga de trabalho.

A monitorização e o diagnóstico são fundamentais. Você pode usar métricas para medir estatísticas de desempenho e solucionar e corrigir problemas rapidamente. Para obter mais informações sobre como solucionar problemas, consulte Princípios de design da Excelência Operacional e Coletar logs de diagnóstico para o Azure Stack HCI.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de design para Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados ao Azure Stack HCI.

  • (Arquitetura da plataforma Azure Stack HCI) Aumente a capacidade de suporte do Azure Stack HCI. A observabilidade é ativada por padrão no momento da implantação. Esses recursos aumentam a capacidade de suporte da plataforma. As informações de telemetria e diagnóstico são compartilhadas com segurança da plataforma usando a extensão AzureEdgeTelemetryAndDiagnostics , que é instalada em todos os nós de cluster HCI do Azure Stack por padrão. Para obter mais informações, consulte Observabilidade do Azure Stack HCI.

  • (Arquitetura da plataforma Azure Stack HCI) Use os serviços do Azure para reduzir a complexidade operacional e aumentar a escala de gerenciamento. O Azure Stack HCI é integrado ao Azure para habilitar serviços como o Update Manager para aplicar patches na plataforma e o Azure Monitor para monitoramento e alertas. Você pode usar o Azure Arc e a Política do Azure para gerenciar a configuração de segurança e a auditoria de conformidade. Implemente o Defender for Cloud para ajudar a gerenciar ameaças cibernéticas e vulnerabilidade. Use o Azure como o plano de controle para esses processos e procedimentos operacionais para ajudar a reduzir a complexidade, melhorar a eficiência de escala e melhorar a consistência do gerenciamento.

  • (Arquitetura de carga de trabalho) Planeje os requisitos de intervalo de rede de endereços IP para cargas de trabalho com antecedência. O Azure Stack HCI fornece uma plataforma para implantar e gerenciar cargas de trabalho virtualizadas ou em contêineres. Considere também os requisitos de endereço IP para redes lógicas que sua carga de trabalho usa. Veja estes recursos:

  • (Configuração da carga de trabalho) Habilite o monitoramento e o alerta para cargas de trabalho que você implanta no Azure Stack HCI. Você pode usar o Azure Monitor para máquinas virtuais ou o VM Insights para VMs Arc ou usar o Container Insights e clusters gerenciados do Prometheus AKS.

    Avalie se você deve usar um espaço de trabalho centralizado do Log Analytics para sua carga de trabalho. Para obter um exemplo de um coletor de log compartilhado (local de dados), consulte Recomendações de gerenciamento e monitoramento de carga de trabalho.

  • (Arquitetura da plataforma Azure Stack HCI) Use técnicas de validação adequadas para uma implantação segura. Use a ferramenta de verificação ambiental no modo autônomo para avaliar a prontidão do ambiente de destino antes de implantar uma solução HCI do Azure Stack. Essa ferramenta valida a configuração adequada dos pré-requisitos de conectividade, hardware, Ative Directory do Windows Server, redes e integração do Azure Arc necessários.

  • (Arquitetura da plataforma Azure Stack HCI) Mantenha-se atualizado e atualizado. Use o catálogo de soluções HCI do Azure Stack para se manter atualizado com as mais recentes inovações OEM de hardware para implantações de cluster HCI do Azure Stack. Considere o uso de soluções premium para se beneficiar de integração extra, recursos de implantação turn-key e uma experiência de atualização simplificada.

    Use o Update Manager para atualizar a plataforma e gerenciar o sistema operacional, os principais agentes e os serviços, incluindo extensões de solução. Mantenha-se atualizado e considere usar a configuração "Ativar atualização automática" sempre que possível para extensões.

Recomendações

Recomendação Benefício
Habilite o Monitor Insights em clusters HCI do Azure Stack para aprimorar o monitoramento e o alerta usando recursos nativos do Azure.

O Insights pode monitorar os principais recursos do Azure Stack HCI usando os contadores de desempenho do cluster e os canais de log de eventos coletados pelo DCR.

Para determinadas infraestruturas de hardware, como o Dell APEX, você pode visualizar eventos de hardware em tempo real.

Para obter mais informações, consulte Pastas de trabalho de recursos.		 O Azure gere o Insights, por isso está sempre atualizado, é escalável em vários clusters e é altamente personalizável.

O Insights fornece acesso a pastas de trabalho padrão com métricas básicas, juntamente com pastas de trabalho especializadas que são criadas para monitorar os principais recursos do Azure Stack HCI. Este recurso fornece monitoramento quase em tempo real. Você pode criar gráficos e visualização personalizada usando a agregação e a funcionalidade de filtro. Você também pode configurar regras de alerta personalizadas.

O custo do Insights é baseado na quantidade de dados ingeridos e nas configurações de retenção de dados do espaço de trabalho do Log Analytics. Quando você habilita o Azure Stack HCI Insights, recomendamos que você use o DCR criado pela experiência de criação do Insights. O prefixo do nome DCR é AzureStackHCI-. Ele está configurado para coletar apenas os dados necessários.
Configure alertas e configure as regras de processamento de alertas com base nos seus requisitos organizacionais. Seja notificado sobre alterações na integridade, métricas, logs ou outros tipos de dados de observabilidade.

- Alertas de saúde
- Alertas de registo
- Alertas de métricas

Para obter mais informações, consulte Regras recomendadas para alertas métricos.		 Integre alertas do Monitor com o Azure Stack HCI para obter vários benefícios importantes sem custo extra. Obtenha monitoramento quase em tempo real e personalize alertas para notificar a equipe ou o administrador certo para correção.

Você pode coletar uma lista abrangente de métricas para recursos de computação, armazenamento e rede no Azure Stack HCI. Execute operações lógicas avançadas em seus dados de log e avalie as métricas do seu sistema Azure Stack HCI em intervalos regulares.
Use o recurso de atualização para integrar e gerenciar vários aspetos da solução HCI do Azure Stack em um só lugar. Para obter mais informações, consulte Sobre atualizações no Azure Stack HCI. O orquestrador de atualizações é instalado durante a implantação inicial do cluster HCI do Azure Stack. Esse recurso automatiza atualizações e operações de gerenciamento. Para manter o Azure Stack HCI em um estado com suporte, certifique-se de atualizar seus clusters em uma cadência regular para mover para novas compilações de linha de base quando estiverem disponíveis. Esse método fornece novos recursos e melhorias para a plataforma.

Para obter mais informações sobre trens de versão, a cadência de atualizações e a janela de suporte de cada compilação de linha de base, consulte Informações de versão 23H2 do Azure Stack HCI.
Para ajudar com qualificação prática, laboratórios, eventos de treinamento, demonstrações de produtos ou projetos de prova de conceito, considere o uso do Jumpstart HCIBox. Implante rapidamente o Azure Stack HCI sem a necessidade de hardware físico usando uma VM no Azure para implantar a solução. O HCIBox dá suporte ao Azure Stack HCI versão 23H2 para permitir testes rápidos e avaliação dos recursos mais recentes dos produtos de borda do Azure, como a integração nativa do Azure Arc e AKS em uma área restrita independente.

Você pode implantar essa área restrita em uma assinatura do Azure usando uma VM que ofereça suporte à virtualização aninhada para emular um cluster HCI do Azure Stack dentro de uma VM do Azure. Obtenha os recursos HCI do Azure Stack, como o novo recurso de implantação de nuvem, com o mínimo de esforço manual.

Para obter mais informações, consulte o blog da Microsoft Tech Community.

Eficiência de Desempenho

A Eficiência de Desempenho consiste em manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento de capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar potenciais gargalos e otimizar para obter o máximo desempenho.

Os princípios de design de Eficiência de Desempenho fornecem uma estratégia de projeto de alto nível para atingir essas metas de capacidade em relação ao uso esperado.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Eficiência de desempenho. Defina uma linha de base baseada em indicadores-chave para o Azure Stack HCI.

  • (Arquitetura da plataforma Azure Stack HCI) Use o hardware validado pelo Azure Stack HCI ou sistemas integrados de ofertas de parceiros OEM. Considere usar os construtores de soluções premium no catálogo HCI do Azure Stack para otimizar o desempenho do seu ambiente HCI do Azure Stack.

  • (Arquitetura de armazenamento da plataforma Azure Stack HCI) Escolha os tipos de disco físico certos para os nós de cluster HCI do Azure Stack com base nos requisitos de desempenho e capacidade da carga de trabalho. Para cargas de trabalho de alto desempenho que exigem baixa latência e armazenamento de alta taxa de transferência, considere o uso de uma configuração de armazenamento totalmente flash (somente NVMe/SSD). Para computação de uso geral ou requisitos de grande capacidade de armazenamento, considere o uso de armazenamento híbrido (SSD ou NVMe para a camada de cache e HDDs para a camada de capacidade), o que pode fornecer maior capacidade de armazenamento.

  • (Arquitetura da plataforma Azure Stack HCI) Use a ferramenta de dimensionador HCI do Azure Stack durante a fase de design de cluster (pré-implantação). Os clusters HCI do Azure Stack devem ser dimensionados adequadamente usando os requisitos de capacidade, desempenho e resiliência da carga de trabalho como entradas. O tamanho determina o número máximo de nós físicos que podem estar offline simultaneamente (quórum de cluster), como quaisquer eventos planejados (manutenção) ou não planejados (falha de energia ou hardware). Para obter mais informações, consulte Visão geral do quórum de cluster.

  • (Arquitetura da plataforma Azure Stack HCI) Use soluções baseadas em flash (NVMe ou SSD) para cargas de trabalho com requisitos de alto desempenho ou baixa latência. Essas cargas de trabalho incluem, mas não estão limitadas a, tecnologias de banco de dados altamente transacionais, clusters AKS de produção ou quaisquer cargas de trabalho de missão crítica ou críticas para os negócios com requisitos de armazenamento de baixa latência ou alta taxa de transferência. Use implantações totalmente flash para maximizar o desempenho do armazenamento. As configurações totalmente NVMe ou SSD (especialmente em uma escala muito pequena) melhoram a eficiência do armazenamento e maximizam o desempenho porque nenhuma unidade é usada como uma camada de cache. Para obter mais informações, consulte Armazenamento baseado em flash.

  • (Arquitetura da plataforma Azure Stack HCI) Estabeleça uma linha de base de desempenho para o armazenamento de cluster HCI do Azure Stack antes de implantar cargas de trabalho de produção. Configure os recursos do Monitor Azure Stack HCI com o Insights para monitorar o desempenho de um único cluster HCI do Azure Stack ou de vários clusters simultaneamente.

  • (Arquitetura da plataforma Azure Stack HCI) Considere usar o recurso de desduplicação e compactação do Monitor for Resilient File System (ReFS) depois de habilitar o Insights para o cluster HCI do Azure Stack. Determine se você deve usar esse recurso com base na carga de trabalho, armazenamento, uso e requisitos de capacidade. Esse recurso fornece monitoramento para economia de desduplicação e compactação do ReFS, impacto no desempenho e trabalhos. Para obter mais informações, consulte Monitorar a desduplicação e a compactação do ReFS.

    Como requisito mínimo, planeje reservar 1 x physical nodes (N+1) capacidade em todo o cluster para garantir que os nós do cluster possam ser drenados quando executarem atualizações por meio do Gerenciamento de Atualizações. Considere reservar 2 physical nodes (N+2) o trabalho de capacidade dos nós para casos de uso críticos para os negócios ou de missão crítica.

Recomendações

Recomendação Benefício
Se você selecionar a opção avançada para "criar apenas volumes de infraestrutura" durante a implantação do cluster HCI do Azure Stack, recomendamos que você crie os discos virtuais usando o espelhamento ao criar volumes de carga de trabalho para cargas de trabalho de alto desempenho. Essa recomendação beneficia cargas de trabalho que têm requisitos estritos de latência ou que precisam de alta taxa de transferência com uma combinação de operações aleatórias de entrada/saída de leitura e gravação por segundo (IOPs), como bancos de dados SQL Server, clusters Kubernetes ou outras VMs sensíveis ao desempenho. Implante os VHDs da carga de trabalho em volumes que usam espelhamento para maximizar o desempenho e a resiliência. O espelhamento é mais rápido do que qualquer outro tipo de resiliência.
Considere usar o DiskSpd para testar os recursos de desempenho de armazenamento de carga de trabalho do cluster HCI do Azure Stack.

Você também pode usar o VMFleet para gerar carga e medir o desempenho de um subsistema de armazenamento. Avalie se você deve usar o VMFleet para medir o desempenho do subsistema de armazenamento.		 Estabeleça uma linha de base para o desempenho do cluster HCI do Azure Stack antes de implantar cargas de trabalho de produção. O DiskSpd permite que os administradores testem o desempenho de armazenamento do cluster usando vários parâmetros de linha de comando. A principal função do DiskSpd é emitir operações de leitura e gravação e métricas de desempenho de saída, como latência, taxa de transferência e IOPs.

Vantagens e desvantagens

Há compensações de design com as abordagens descritas nas listas de verificação de pilares. Aqui estão alguns exemplos de vantagens e desvantagens.

Redundância de edifícios aumenta custos

  • Compreenda os requisitos da sua carga de trabalho antecipadamente, como os destinos RTO e RPO da carga de trabalho e os requisitos de desempenho de armazenamento (IOPs e taxa de transferência), ao projetar e adquirir o hardware para uma solução HCI do Azure Stack. Para implantar cargas de trabalho altamente disponíveis, recomendamos um mínimo de um cluster de três nós, que permite o espelhamento de três vias para volumes de carga de trabalho e dados. Para os recursos de computação, certifique-se de implantar um mínimo de "número N+1 de nós físicos", que reserva a capacidade de um "único nó de espaço" no cluster em todos os momentos. Para cargas de trabalho críticas para os negócios ou de missão crítica, considere reservar "capacidade de nós N+2" para fornecer maior resiliência. Por exemplo, se dois nós no cluster estiverem offline, a carga de trabalho poderá permanecer online. Essa abordagem fornece maior resiliência para um cenário, como, por exemplo, se um nó que executa a carga de trabalho ficar offline durante um procedimento de atualização planejado (resultando em dois nós offline simultaneamente).

  • Para cargas de trabalho críticas para os negócios ou de missão crítica, recomendamos que você implante dois ou mais clusters HCI do Azure Stack separados e implante várias instâncias de seus serviços de carga de trabalho nos clusters separados. Use um padrão de design de carga de trabalho que aproveite as tecnologias de replicação de dados e balanceamento de carga de aplicativos. Por exemplo, os grupos de disponibilidade sempre ativos do SQL Server usam replicação de banco de dados síncrona ou assíncrona para atingir destinos RTO e RTO baixos em clusters separados em datacenters diferentes.

  • Consequentemente, um aumento na resiliência da carga de trabalho e uma diminuição nas metas de RTO e RPO aumentam os custos e exigem aplicativos bem arquitetados e rigor operacional.

Fornecer escalabilidade sem um planejamento eficaz da carga de trabalho aumenta os custos

  • O dimensionamento incorreto do cluster pode levar a uma capacidade insuficiente ou a um retorno sobre o investimento (ROI) reduzido se o hardware for provisionado em excesso. Ambos os cenários afetam os custos.

  • O aumento da capacidade equivale a custos mais elevados. Durante a fase de design do cluster HCI do Azure Stack, é necessário um planejamento adequado para dimensionar corretamente os recursos e o número de nós de cluster com base nos requisitos de capacidade da carga de trabalho. Portanto, você deve entender os requisitos de carga de trabalho (vCPUs, memória, armazenamento e número X de VMs) e permitir algum espaço extra além do crescimento projetado. Você pode executar um gesto de nó adicional ao usar um design "comutado de armazenamento". Mas pode levar muito tempo para obter mais hardware após a implantação. E um gesto de adicionar nota é mais complexo do que dimensionar o hardware do cluster e o número de nós (máximo de 16 nós) adequadamente durante a implantação inicial.

  • Há desvantagens se você provisionar demais a especificação de hardware do nó e selecionar o número incorreto de nós (tamanho do cluster). Por exemplo, se os requisitos de carga de trabalho forem muito menores do que a capacidade geral do cluster e o hardware for subutilizado durante todo o período de garantia do hardware, o valor do ROI poderá diminuir.

Políticas do Azure

O Azure fornece um extenso conjunto de políticas internas relacionadas ao Azure Stack HCI e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio da Política do Azure. Por exemplo, pode verificar se:

  • As redes de host e VM devem ser protegidas.
  • Volumes criptografados devem ser implementados.
  • As políticas de controle de aplicativos devem ser aplicadas de forma consistente.
  • Os requisitos essenciais de segurança devem ser atendidos.

Analise as políticas internas do Azure Stack HCI. O Defender for Cloud tem novas recomendações que mostram o estado de conformidade para as políticas integradas. Para obter mais informações, consulte Políticas internas para a Central de Segurança do Azure.

Se sua carga de trabalho for executada em VMs do Azure Arc implantadas no Azure Stack HCI, considere políticas internas, como negar a criação ou modificação de licenças de Atualizações de Segurança Estendidas. Para obter mais informações, consulte Definições de política internas para cargas de trabalho habilitadas para Arco do Azure.

Considere a criação de políticas personalizadas para fornecer governança extra para os recursos HCI do Azure Stack e VMs do Azure Arc que você implanta em um cluster HCI do Azure Stack. Por exemplo:

  • Auditando o registro de host HCI do Azure Stack com o Azure
  • Garantir que os anfitriões executam a versão mais recente do SO
  • Verificação dos componentes de hardware e configurações de rede necessários
  • Verificando a habilitação dos serviços e configurações de segurança necessários do Azure
  • Confirmando a instalação das extensões necessárias
  • Avaliação da implantação de clusters Kubernetes e integração AKS

Recomendações do Assistente do Azure

O Azure Advisor é um consultor na cloud personalizado que o ajuda a seguir as melhores práticas para otimizar as suas implementações do Azure. Aqui estão algumas recomendações que podem ajudá-lo a melhorar a confiabilidade, a segurança, a relação custo-benefício, o desempenho e a excelência operacional de suas VMs.

Próximos passos