Azure Stack Hub 集成系统的数据中心集成规划注意事项
如果对 Azure Stack Hub 集成系统感兴趣,则应了解有关部署的主要规划注意事项,以及系统如何适应数据中心。 本文简要概述了这些注意事项,帮助你为 Azure Stack Hub 集成系统做出重要的基础结构决策。 了解这些注意事项有助于在与 OEM 硬件供应商合作时,将 Azure Stack Hub 部署到您的数据中心。
注意
Azure Stack Hub 集成系统只能从授权的硬件供应商那里购买。
若要部署 Azure Stack Hub,需要在部署开始之前向解决方案提供商提供规划信息,以帮助该过程快速顺利进行。 所需的信息范围涉及网络、安全和标识信息,其中包含许多重要决策,这些决策可能需要来自许多不同的领域和决策者的知识。 你需要组织中的多个团队的人员,以确保在部署之前准备好所有必需的信息。 与硬件供应商交谈时收集这些信息可能会有所帮助,因为他们或许会提供有益的建议。
在研究和收集所需信息时,可能需要对网络环境进行一些部署前配置更改。 这些更改可能包括保留 Azure Stack Hub 解决方案的 IP 地址空间,以及配置路由器、交换机和防火墙,以准备连接到新的 Azure Stack Hub 解决方案交换机。 请确保安排好领域专家来协助你进行规划。
容量规划注意事项
评估用于获取的 Azure Stack Hub 解决方案时,会做出硬件配置选择,这直接影响到 Azure Stack Hub 解决方案的整体容量。 其中包括 CPU、内存密度、存储配置和整体解决方案规模(例如服务器数)的经典选择。 与传统虚拟化解决方案不同,用于确定可用容量的这些组件的简单算术不适用。 第一个原因是,Azure Stack Hub 旨在托管解决方案本身中的基础结构或管理组件。 第二个原因是,通过更新解决方案的软件,以最大程度地减少租户工作负荷中断的方式,保留一些解决方案容量以支持复原能力。
Azure Stack Hub 容量规划器电子表格 帮助你通过两种方式为规划容量做出明智的决策。 第一种是通过选择硬件产品并尝试将各种资源进行组合。 第二种方法是定义 Azure Stack Hub 打算运行的工作负载,以查看可支持它的可用硬件 SKU。 最后,电子表格旨在作为指南来帮助做出与 Azure Stack Hub 规划和配置相关的决策。
电子表格无意作为你自己调查和分析的替代品。 Microsoft对电子表格中提供的信息不作任何表示或暗示的陈述或保证。
管理注意事项
Azure Stack Hub 是一个密封系统,从权限和网络角度锁定基础结构。 网络访问控制列表(ACL)用于阻止所有未经授权的传入流量和基础结构组件之间的所有不必要的通信。 此系统使未经授权的用户访问系统变得困难。
对于日常管理和操作,没有对基础结构的不受限制的管理员访问权限。 Azure Stack Hub 操作员必须通过管理员门户或 Azure 资源管理器(通过 PowerShell 或 REST API)管理系统。 其他管理工具(如 Hyper-V Manager 或故障转移群集管理器)无法访问系统。 为了帮助保护系统,无法在 Azure Stack Hub 基础结构的组件内安装第三方软件(例如代理)。 通过 PowerShell 或 REST API 实现与外部管理和安全软件的互操作性。
如果需要更高级别的访问权限来排查未通过警报中介步骤解决的问题,请联系Microsoft支持部门。 通过支持,可以通过一种方法为系统提供临时的完全管理员访问权限,以便执行更高级的操作。
身份注意事项
选择标识提供者
需要考虑要用于 Azure Stack Hub 部署的标识提供者,Microsoft Entra ID 或 AD FS。 部署后无法切换标识提供者,而无需进行完整的系统重新部署。 如果你没有 Microsoft Entra 帐户,并且使用了云解决方案提供商提供的帐户,若你决定更换提供商并改用其他 Microsoft Entra 帐户,你需要联系你的解决方案提供商,并自费重新部署该解决方案。
标识提供者选择与租户虚拟机(VM)、标识系统、使用的帐户或他们是否可以加入 Active Directory 域等没有任何影响。 这些因素是分开的。
可以使用同一Microsoft Entra 租户或 Active Directory 部署多个 Azure Stack Hub 系统。
AD FS 与 Graph 集成
如果选择使用 AD FS 作为标识提供者部署 Azure Stack Hub,则必须通过联合信任将 Azure Stack Hub 上的 AD FS 实例与现有的 AD FS 实例集成。 此集成允许现有 Active Directory 林中的标识使用 Azure Stack Hub 中的资源进行身份验证。
还可以将 Azure Stack Hub 中的 Graph 服务与现有的 Active Directory 集成。 通过此集成,可以在 Azure Stack Hub 中管理 Role-Based 访问控制(RBAC)。 委托对资源的访问权限时,Graph 组件将使用 LDAP 协议在现有 Active Directory 林中查找用户帐户。
下图显示了集成的 AD FS 和 Graph 流量流。
显示 AD FS 和 Graph 流量流程的示意图 
许可模型
必须确定要使用的许可模型。 可用选项取决于是否将 Azure Stack Hub 部署为连接到 Internet 的环境:
- 对于连接的部署,可以选择即用即付或基于容量的许可模式。 即用即付需要连接到 Azure 以报告使用情况,然后通过 Azure 商业计费。
- 如果部署与 Internet 断开连接的 Azure Stack,只能使用基于容量的许可模式。
有关许可模型的详细信息,请参阅 Microsoft Azure Stack Hub 打包和定价。
命名决策
需要考虑如何规划 Azure Stack Hub 命名空间,尤其是区域名称和外部域名。 面向公众终结点的 Azure Stack Hub 部署的外部完全限定域名(FQDN)是这两个名称的组合:<区域>。<fqdn>。 例如 east.cloud.fabrikam.com。 在此示例中,Azure Stack Hub 门户可在以下 URL 中使用:
https://portal.east.cloud.fabrikam.comhttps://adminportal.east.cloud.fabrikam.com
重要
为 Azure Stack Hub 部署选择的区域名称必须是唯一的,并且将显示在门户地址中。
下表汇总了这些域命名决策。
| 名字 | 描述 |
|---|---|
| 区域名称 | 第一个 Azure Stack Hub 区域的名称。 此名称用作 Azure Stack Hub 管理的公共虚拟 IP 地址(VIP)的 FQDN 的一部分。 通常,区域名称将是物理位置标识符,例如数据中心位置。 区域名称必须仅包含介于 0-9 之间的字母和数字。 不允许使用特殊字符(如 -、#等)。 |
| 外部域名 | 包含面向外部的 VIP 的终结点的域名系统 (DNS) 区域名称。 在这些公共 VIP 的 FQDN 中使用。 |
| 专用(内部)域名 | 在 Azure Stack Hub 上创建的用于基础结构管理的域(和内部 DNS 区域)的名称。 |
证书要求
对于部署,需要为面向公众的终结点提供安全套接字层(SSL)证书。 概括而言,证书具有以下要求:
- 可以使用单个通配符证书,也可以使用一组专用证书,然后仅对存储和 Key Vault 等终结点使用通配符。
- 证书可由公共受信任的证书颁发机构(CA)或客户管理的 CA 颁发。
有关部署 Azure Stack Hub 所需的 PKI 证书以及如何获取这些证书的详细信息,请参阅 Azure Stack Hub 公钥基础结构证书要求。
重要
提供的 PKI 证书信息应作为参考指南使用。 在获取 Azure Stack Hub 的任何 PKI 证书之前,请与 OEM 硬件合作伙伴合作。 他们将提供更详细的证书指南和要求。
时间同步
必须选择用于同步 Azure Stack Hub 的特定时间服务器。 时间同步对于 Azure Stack Hub 及其基础结构角色至关重要,因为它用于生成 Kerberos 票证。 Kerberos 票证用于内部服务的相互身份验证。
必须为时间同步服务器指定 IP。 尽管基础结构中的大多数组件都可以解析 URL,但有些组件仅支持 IP 地址。 如果使用断开连接的部署选项,则必须在公司网络上指定一个时间服务器,以确保可以从 Azure Stack Hub 中的基础结构网络访问该服务器。
重要
如果您的时间服务器不是基于 Windows 的 NTP 服务器,则需要在 IP 地址的末尾追加 ,0x8。 例如,10.1.1.123,0x8。
将 Azure Stack Hub 连接到 Azure
对于混合云方案,需要计划如何将 Azure Stack Hub 连接到 Azure。 有两种受支持的方法将 Azure Stack Hub 中的虚拟网络连接到 Azure 中的虚拟网络:
站点到站点:通过 IPsec(IKE v1 和 IKE v2)建立虚拟专用网络(VPN)连接。 这种类型的连接需要 VPN 设备或路由和远程访问服务(RRAS)。 有关 Azure 中的 VPN 网关的详细信息,请参阅 关于 VPN 网关。 通过此隧道的通信已加密且安全。 但是,带宽受隧道的最大吞吐量限制(100-200 Mbps)。
出站 NAT:默认情况下,Azure Stack Hub 中的所有 VM 都将通过出站 NAT 连接到外部网络。 在 Azure Stack Hub 中创建的每个虚拟网络都分配有一个公共 IP 地址。 无论 VM 是直接分配公共 IP 地址还是位于具有公共 IP 地址的负载均衡器后面,它都将使用虚拟网络的 VIP 通过出站 NAT 进行出站访问。 此方法仅适用于由 VM 启动并发往外部网络(Internet 或 Intranet)的通信。 它不能用于从外部与 VM 通信。
混合连接选项
对于混合连接,请务必考虑要提供的部署类型及其部署位置。 需要考虑是否需要隔离每个租户的网络流量,以及是否具有 Intranet 或 Internet 部署。
单租户 Azure Stack Hub:至少从网络角度看,这种 Azure Stack Hub 部署看起来就像是一个租户。 可以有多个租户订阅,但与任何 Intranet 服务一样,所有流量都会通过同一网络传输。 来自一个订阅的网络流量通过与另一个订阅相同的网络连接传输,无需通过加密隧道隔离。
多租户 Azure Stack Hub:在 Azure Stack Hub 的部署中,每个租户订阅的流量,特别是那些要向 Azure Stack Hub 之外的网络发送的流量,必须与其他租户的网络流量隔离。
Intranet 部署:位于企业 Intranet 上的 Azure Stack Hub 部署,通常位于专用 IP 地址空间和一个或多个防火墙后面。 公共 IP 地址不是真正公开的,因为它们不能直接通过公共 Internet 路由。
Internet 部署:这种 Azure Stack Hub 部署连接到公共 Internet,并针对公共 VIP 范围使用可通过 Internet 路由的公共 IP 地址。 部署仍可以位于防火墙后面,但公共 VIP 范围可以直接从公共 Internet 和 Azure 访问。
下表总结了具有优点、缺点和用例的混合连接方案。
| 场景 | 连接方法 | 优点 | 缺点 | 适用于 |
|---|---|---|---|---|
| 单租户 Azure Stack Hub、Intranet 部署 | 出站 NAT | 更好的带宽,以便更快地传输。 易于实现;不需要网关。 | 流量未加密;堆栈外部没有隔离或加密。 | 同等信任所有租户的企业部署。 与 Azure 之间建立了 Azure ExpressRoute 线路的企业。 |
| 多租户 Azure Stack Hub,内联网部署 | 站点到站点 VPN | 从租户 VNet 到目标的流量是安全的。 | 带宽受站点到站点 VPN 隧道的限制。 需要虚拟网络中的网关和目标网络上的 VPN 设备。 |
必须避免其他租户访问其部分租户流量的企业部署。 |
| 单租户 Azure Stack Hub、Internet 部署 | 出站 NAT | 更好的带宽,以便更快地传输。 | 流量未加密;堆栈外部没有隔离或加密。 | 托管方案,其中的租户获取自身的 Azure Stack Hub 部署,并与 Azure Stack Hub 环境之间建立专用线路。 例如,ExpressRoute 和多协议标签切换(MPLS)。 |
| 多租户 Azure Stack Hub,Internet 部署 | 站点到站点 VPN | 从租户 VNet 到目标的流量是安全的。 | 带宽受站点到站点 VPN 隧道的限制。 需要虚拟网络中的网关和目标网络上的 VPN 设备。 |
提供商想要提供多租户云的托管方案,其中租户不相互信任,并且流量必须加密。 |
使用 ExpressRoute
对于单租户 Intranet 和多租户方案,可以通过 ExpressRoute 将 Azure Stack Hub 连接到 Azure。 需要通过连接提供商预配 ExpressRoute 线路。
下图显示了用于单租户场景的 ExpressRoute,其中“客户连接”是 ExpressRoute 线路。
单租户 ExpressRoute 场景图示 
下图显示了多租户方案的 ExpressRoute。
显示多租户 ExpressRoute 方案关系图
外部监视
若要从 Azure Stack Hub 部署和设备获取所有警报的单个视图,并针对票证将警报集成到现有 IT 服务管理工作流,可将 Azure Stack Hub 与外部数据中心监视解决方案集成。
硬件生命周期主机包含在 Azure Stack Hub 解决方案中,它是在 Azure Stack Hub 外部运行 OEM 供应商为硬件提供的管理工具的计算机。 可以使用这些工具或其他直接与数据中心中的现有监视解决方案集成的解决方案。
下表汇总了当前可用选项的列表。
| 面积 | 外部监视解决方案 |
|---|---|
| Azure Stack Hub 软件 | 适用于 Operations Manager 的 Azure Stack Hub 管理包 Nagios 插件 基于 REST 的 API 调用 |
| 物理服务器(通过 IPMI 的 BMC) | OEM 硬件 - Operations Manager 供应商管理包 OEM 硬件供应商提供的解决方案 硬件供应商 Nagios 插件。 OEM 合作伙伴支持的监视解决方案(随附) |
| 网络设备(SNMP) | Operations Manager 网络设备发现 OEM 硬件供应商提供的解决方案 Nagios 交换机插件 |
| 租户订阅运行状况监视 | 适用于 Windows Azure 的 System Center 管理包 |
请注意以下要求:
- 你使用的解决方案必须是无代理的。 无法在 Azure Stack Hub 组件中安装第三方代理。
- 如果要使用 System Center Operations Manager,则需要 Operations Manager 2012 R2 或 Operations Manager 2016。
备份和灾难恢复
规划备份和灾难恢复涉及规划托管 IaaS VM 和 PaaS 服务的基础 Azure Stack Hub 基础结构,以及租户应用和数据。 单独规划这些事项。
保护基础结构组件
可将 Azure Stack Hub 基础结构组件备份到指定的 SMB 共享:
- 在现有的基于 Windows 的文件服务器或第三方设备上需要外部 SMB 文件共享。
- 将此同一共享用于网络交换机与硬件生命周期主机的备份。 OEM 硬件供应商将帮助提供这些组件的备份和还原指南,因为这些组件在 Azure Stack Hub 外部。 你负责根据 OEM 供应商的建议运行备份工作流。
如果发生灾难性数据丢失,可以使用基础结构备份来重新分配部署数据,例如:
- 部署输入和标识符
- 服务帐户
- CA 根证书
- 联合资源(在断开连接部署中)
- 计划、套餐、订阅和配额
- RBAC 策略和角色分配
- Key Vault 机密
警告
默认情况下,Azure Stack Hub 标记仅配置有一个 CloudAdmin 帐户。 如果帐户凭据丢失、泄露或锁定,则没有恢复选项。 你将失去对特权终结点和其他资源的访问权限。
强烈建议创建其他 CloudAdmin 帐户,以免自费重新部署标记。 请确保根据公司的准则记录这些凭据。
保护 IaaS VM 上的租户应用
Azure Stack Hub 不会备份租户应用和数据。 必须针对 Azure Stack Hub 的外部目标规划备份和灾难恢复保护。 租户保护是租户驱动的活动。 对于 IaaS 虚拟机,租户可以使用虚拟机内技术来保护文件夹、应用程序数据和系统状态。 但是,作为企业或服务提供商,你可能想要在同一数据中心或云外部提供备份和恢复解决方案。
若要备份 Linux 或 Windows IaaS VM,必须使用具有来宾操作系统访问权限的备份产品来保护文件、文件夹、操作系统状态和应用数据。 可以使用 Azure 备份、System Center Datacenter Protection Manager 或受支持的第三方产品。
若要将数据复制到辅助位置,并在发生灾难时协调应用程序故障转移,可以使用 Azure Site Recovery 或受支持的第三方产品。 此外,支持本机复制的应用(如 Microsoft SQL Server)可以将数据复制到运行应用的另一个位置。
了解更多信息
- 有关用例、购买、合作伙伴和 OEM 硬件供应商的信息,请参阅 Azure Stack Hub 产品页。
- 有关 Azure Stack Hub 集成系统的路线图和异地可用性的信息,请参阅白皮书:Azure Stack Hub:Azure的扩展。