共用方式為


Azure Stack Hub 整合系統的數據中心整合規劃考慮

如果您對 Azure Stack Hub 整合系統感興趣,您應該瞭解部署的主要規劃考慮,以及系統如何融入數據中心。 本文提供這些考慮的高階概觀,可協助您為 Azure Stack Hub 整合式系統做出重要的基礎結構決策。 了解這些考慮有助於在將 Azure Stack Hub 部署至資料中心時,與 OEM 硬體廠商合作。

注意

Azure Stack Hub 整合式系統只能從授權的硬體廠商購買。

若要部署 Azure Stack Hub,您需要先將規劃資訊提供給解決方案提供者,再開始部署,以協助程式快速順暢地進行。 所需的資訊範圍涵蓋網路、安全性和身分識別資訊,其中包含許多可能需要來自不同領域和決策者的知識的重要決策。 您需要組織中多個小組的人員,以確保您在部署之前已備妥所有必要的資訊。 它有助於與硬體廠商交談,同時收集這項資訊,因為它們可能有有用的建議。

在研究並收集必要資訊時,您可能需要對網路環境進行一些預先部署組態變更。 這些變更可能包括保留 Azure Stack Hub 解決方案的IP位址空間,以及設定路由器、交換器和防火牆,以準備連線到新的 Azure Stack Hub 解決方案交換器。 請務必安排主題領域專家協助您進行規劃。

容量規劃考慮

當您評估 Azure Stack Hub 解決方案以取得時,您會做出硬體組態選擇,這直接影響到 Azure Stack Hub 解決方案的整體容量。 其中包括 CPU、記憶體密度、記憶體組態和整體解決方案規模的傳統選擇(例如伺服器數目)。 與傳統虛擬化解決方案不同,用來判斷可用容量的簡單算術並不適用。 第一個原因是 Azure Stack Hub 已建構為在解決方案本身內裝載基礎結構或管理元件。 第二個原因是,解決方案會保留部分容量,以更新軟體來支持系統復原能力,並將租戶工作負載的中斷降到最低。

Azure Stack Hub 容量規劃工具電子錶格 可協助您以兩種方式針對規劃容量做出明智的決策。 第一個是選擇硬體方案,並嘗試配合資源組合。 第二個是定義 Azure Stack Hub 打算執行的工作負載,以檢視可支援它的可用硬體 SKU。 最後,電子試算表旨在作為指南,以協助做出與 Azure Stack Hub 規劃和設定相關的決策。

電子表格不是用來替代您自己的調查和分析。 Microsoft對電子表格內提供的資訊,不具明示或默示的陳述或擔保。

管理考慮

Azure Stack Hub 是一個高度安全且封閉的系統,從許可權和網路層面來看,其基礎結構已被鎖定。 網路訪問控制清單 (ACL) 會套用至封鎖所有未經授權的連入流量,以及基礎結構元件之間所有不必要的通訊。 此系統使得未經授權的用戶難以存取系統。

針對日常管理和作業,基礎結構沒有不受限制的系統管理員存取權。 Azure Stack Hub 操作員必須透過系統管理員入口網站或透過 Azure Resource Manager 管理系統(透過 PowerShell 或 REST API)。 其他管理工具無法存取系統,例如 Hyper-V 管理員或故障轉移叢集管理員。 為了協助保護系統,無法在 Azure Stack Hub 基礎結構的元件內安裝第三方軟體(例如代理程式)。 與外部管理和安全性軟體的互操作性是透過PowerShell或REST API進行。

當您需要較高層級的存取權以排解未透過警示調解步驟解決的問題時,請聯絡 Microsoft 支援服務。 透過支援,有一種方法可為系統提供暫時的完整系統管理員存取權,以進行更進階的作業。

身分考量

選擇識別提供者

您必須考慮要用於 Azure Stack Hub 部署的識別提供者,Microsoft Entra ID 或 AD FS。 部署后,您無法在部署后切換身分識別提供者,而不需要進行完整的系統重新部署。 如果您沒有Microsoft Entra 帳戶,而且使用雲端解決方案提供者提供給您的帳戶,而如果您決定切換提供者並使用不同的Microsoft Entra 帳戶,您必須連絡解決方案提供者,以您的成本重新部署解決方案。

您的身分識別提供者選擇與租用戶虛擬機(VM)、身分識別系統、所使用的帳戶,或者他們能否加入 Active Directory 網域等無關。 這些事情是分開的。

您可以使用相同的Microsoft Entra 租使用者或 Active Directory 來部署多個 Azure Stack Hub 系統。

AD FS 和 Graph 整合

如果您選擇使用 AD FS 作為識別提供者部署 Azure Stack Hub,您必須透過同盟信任,將 Azure Stack Hub 上的 AD FS 實例與現有的 AD FS 實例整合。 此整合可讓現有 Active Directory 樹系中的身分識別向 Azure Stack Hub 中的資源進行驗證。

您也可以將 Azure Stack Hub 中的 Graph 服務與現有的 Active Directory 整合。 此整合可讓您在 Azure Stack Hub 中管理 Role-Based 存取控制 (RBAC)。 委派資源存取權時,Graph 元件會使用LDAP通訊協定來查閱現有Active Directory 樹系中的用戶帳戶。

下圖顯示整合式 AD FS 和 Graph 的流量模式。

顯示 AD FS 和圖形資料流 的圖表

授權模型

您必須決定要使用的授權模型。 可用的選項取決於您部署連線至因特網的 Azure Stack Hub:

如需授權模型的詳細資訊,請參閱 Microsoft Azure Stack Hub 封裝和定價

命名決策

你必須思考你想要如何規劃 Azure Stack Hub 命名空間,特別是區域名稱和外部網域名稱。 面向公共的端點中 Azure Stack Hub 部署的外部完整權限域名(FQDN)是由這兩個名稱組合而成:<區域>。<fqdn>。 例如,east.cloud.fabrikam.com。 在此範例中,Azure Stack Hub 入口網站可在下列 URL 中使用:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

重要

您為 Azure Stack Hub 部署選擇的區域名稱必須是唯一的,而且會出現在入口網站位址中。

下表摘要說明這些網域命名決策。

名字 描述
區域名稱 第一個 Azure Stack Hub 區域的名稱。 此名稱會作為 Azure Stack Hub 所管理之公用虛擬 IP 位址 (VIP) 的 FQDN 的一部分。 一般而言,區域名稱會是實體位置標識符,例如數據中心位置。

區域名稱必須只包含介於 0-9 之間的字母和數位。 不允許任何特殊字元(例如 -#等等)。
外部域名 面向外部 VIP 的端點的網域名稱系統 (DNS) 區域名稱。 用於這些公用VIP的完整網域名稱中。
私人(內部)網域名稱 在 Azure Stack Hub 上建立以進行基礎結構管理的網域名稱(和內部 DNS 區域)。

憑證需求

若要進行部署,您必須為公開端點提供安全套接字層 (SSL) 憑證。 概括而言,憑證具有下列需求:

  • 您可以使用單一通配符憑證,或使用一組專用憑證,然後只針對記憶體和 Key Vault 等端點使用通配符。
  • 憑證可由公用信任的證書頒發機構單位 (CA) 或客戶管理的 CA 發行。

如需部署 Azure Stack Hub 所需的 PKI 憑證,以及如何取得憑證的詳細資訊,請參閱 Azure Stack Hub 公鑰基礎結構憑證需求

重要

提供的 PKI 憑證資訊應作為一般指引使用。 取得 Azure Stack Hub 的任何 PKI 憑證之前,請先與您的 OEM 硬體合作夥伴合作。 他們會提供更詳細的憑證指引和需求。

時間同步處理

您必須選擇用來同步處理 Azure Stack Hub 的特定時間伺服器。 時間同步處理對於 Azure Stack Hub 及其基礎結構角色至關重要,因為它用來產生 Kerberos 票證。 Kerberos 票證可用來相互驗證內部服務。

您必須為時間同步處理伺服器指定IP。 雖然基礎結構中的大部分元件都可以解析 URL,但有些元件只支援 IP 位址。 如果您使用無網路的部署選項,您必須指定您確信可以從 Azure Stack Hub 的基礎結構網路連線到的公司網路上的時間伺服器。

重要

如果您的時間伺服器不是 Windows 型 NTP 伺服器,您必須附加 ,0x8 IP 位址的結尾。 例如,10.1.1.123,0x8

將 Azure Stack Hub 連線至 Azure

針對混合式雲端案例,您必須規劃如何將 Azure Stack Hub 連線至 Azure。 有兩種支援的方法可將 Azure Stack Hub 中的虛擬網路連線至 Azure 中的虛擬網路:

  • 站對站:透過 IPsec (IKE v1 和 IKE v2) 的虛擬專用網 (VPN) 連線。 這種類型的連線需要 VPN 裝置或路由和遠端存取服務 (RRAS)。 如需 Azure 中 VPN 閘道的詳細資訊,請參閱 關於 VPN 閘道。 透過此通道的通訊會加密且安全。 不過,帶寬受限於通道的最大輸送量(100-200 Mbps)。

  • 輸出 NAT:根據預設,Azure Stack Hub 中的所有 VM 都會透過輸出 NAT 連線到外部網路。 在 Azure Stack Hub 中建立的每個虛擬網路都會獲指派公用 IP 位址。 無論 VM 是直接指派公用 IP 位址,還是位於具有公用 IP 位址的負載平衡器後方,都會使用虛擬網路的 VIP 透過輸出 NAT 進行輸出存取。 這個方法僅適用於由 VM 起始且目的地為外部網路的通訊(因特網或內部網路)。 它無法用來從外部與 VM 通訊。

混合式連線選項

對於混合式連線能力,請務必考慮您想要提供的部署類型,以及部署位置。 您必須考慮是否需要隔離每個租用戶的網路流量,以及您是否會有內部網路或因特網部署。

  • 單一租戶 Azure Stack Hub:至少從網路觀點來看,Azure Stack Hub 部署看起來就像是一個租戶。 有許多租使用者訂用帳戶,但就像任何內部網路服務一樣,所有流量都會透過相同的網路傳輸。 來自某個訂用帳戶的網路流量會透過與另一個訂用帳戶相同的網路連線移動,而且不需要透過加密通道隔離。

  • 多租戶 Azure Stack Hub:在 Azure Stack Hub 部署中,每個租戶訂用帳戶的流量前往 Azure Stack Hub 外部網路時,必須與其他租戶的網路流量隔離。

  • 內部網路部署:位於公司內部網路上的 Azure Stack Hub 部署,通常位於私人 IP 位址空間和一或多個防火牆後方。 公用IP位址不會真正公開,因為它們無法透過公用因特網直接路由傳送。

  • 網際網路部署:連線至公用網際網路的 Azure Stack Hub 部署,並使用公用 VIP 範圍的網際網路路由公用 IP 位址。 部署仍然可以位於防火牆後方,但公用虛擬 IP 範圍可以直接從公用網際網路和 Azure 存取。

下表摘要說明具有優點、缺點和使用案例的混合式連線案例。

場景 連接方法 優點 缺點 適合
單一租戶 Azure Stack Hub 內部網路部署 對外 NAT 更好的頻寬以提高傳輸速度。 簡單實作;不需要閘道。 流量未加密;堆疊外部沒有隔離或加密。 所有租使用者都相等信任的企業部署。

具有 Azure ExpressRoute 線路至 Azure 的企業。
多租戶 Azure Stack Hub,內部網路部署 站對站 VPN 從租使用者 VNet 到目的地的流量是安全的。 帶寬受限於站對站 VPN 通道。

需要虛擬網路中的閘道和目的地網路上的 VPN 裝置。
需要將部分租戶流量與其他租戶隔離保護的企業部署。
單租戶 Azure Stack Hub,互聯網部署 出站 NAT 更佳頻寬以便於更快速的傳輸。 流量未加密;堆疊外部沒有隔離或加密。 針對租戶的情境提供 Azure Stack Hub 部署和專用線路連接至 Azure Stack Hub 環境。 例如,ExpressRoute 和多協議標籤交換 (MPLS)。
多租戶 Azure Stack Hub,網際網路部署 站對站 VPN 從租使用者 VNet 到目的地的流量是安全的。 帶寬受限於站對站 VPN 通道。

需要虛擬網路中的閘道和目的地網路上的 VPN 裝置。
提供者想要提供多租戶雲端的托管方案,其中租戶互不信任,且流量必須加密。

使用 ExpressRoute

您可以透過 ExpressRoute,將 Azure Stack Hub 連線至 Azure,適用於單一租戶內部網路和多租戶場景。 您需要透過連線提供者 布建的 ExpressRoute 線路

下圖顯示單一租戶案例的 ExpressRoute,在此情境中,「客戶的連線」即為 ExpressRoute 線路。

顯示單一租使用者 ExpressRoute 案例的 圖表

下圖表顯示多租戶情境的 ExpressRoute。

顯示多租使用者 ExpressRoute 案例的圖表

外部監視

若要從 Azure Stack Hub 部署和裝置中獲得對所有警示的統一檢視,並將警示整合到現有的 IT 服務管理工作流程以進行票證,您可以 將 Azure Stack Hub 與外部資料中心監控解決方案整合

隨附於 Azure Stack Hub 解決方案中,硬體生命週期主機是 Azure Stack Hub 外部的電腦,可針對硬體執行 OEM 廠商提供的管理工具。 您可以使用這些工具或其他解決方案,直接與數據中心的現有監視解決方案整合。

下表摘要說明目前可用的選項清單。

面積 外部監視解決方案
Azure Stack Hub 軟體 適用於 Operations Manager 的 Azure Stack Hub 管理元件
Nagios 外掛程式
REST 型 API 呼叫
實體伺服器 (透過 IPMI 的 BMC) OEM 硬體 - Operations Manager 供應商管理套件
OEM 硬體廠商提供的解決方案
硬體廠商 Nagios 外掛程式。
OEM 合作夥伴支援的監視解決方案(包括)
網路裝置 (SNMP) Operations Manager 網路設備探索
OEM 硬體廠商提供的解決方案
Nagios 交換器外掛程式
租用戶訂用帳戶健康情況監視 適用於 Windows Azure System Center 管理元件

請注意下列需求:

  • 您使用的解決方案必須是無代理程式。 您無法在 Azure Stack Hub 元件內安裝第三方代理程式。
  • 如果您想要使用 System Center Operations Manager,則需要 Operations Manager 2012 R2 或 Operations Manager 2016。

備份和災害復原

規劃備份和災害復原牽涉到規劃裝載 IaaS VM 和 PaaS 服務的基礎 Azure Stack Hub 基礎結構,以及租使用者應用程式和數據。 個別規劃這些事項。

保護基礎結構元件

您可以將 Azure Stack Hub 基礎結構元件備份至您指定的 SMB 共用

  • 您需要現有 Windows 檔案伺服器或第三方裝置上的外部 SMB 檔案共用。
  • 請針對網路交換機和硬體生命週期主機的備份使用相同的共用。 您的 OEM 硬體廠商將協助提供這些元件的備份和還原指引,因為這些元件是 Azure Stack Hub 外部的。 您必須負責根據 OEM 廠商的建議來執行備份工作流程。

如果發生重大數據遺失,您可以使用基礎結構備份來重新配置部署數據,例如:

  • 部署輸入和標識碼
  • 服務帳戶
  • CA 根憑證
  • 聯邦資源(在未連線的部署中)
  • 方案、優惠、訂閱和配額
  • RBAC 原則和角色指派
  • Key Vault 秘密

警告

在預設情況下,您的 Azure Stack Hub 環境只會配置一個 CloudAdmin 帳戶。 如果帳戶認證遺失、遭入侵或鎖定,則沒有任何復原選項。 您將失去特殊許可權端點和其他資源的存取權。

強烈建議您建立額外的 CloudAdmin 帳戶 ,以避免自行重新部署系統印章而產生的費用。 請確定您根據公司的指導方針記錄這些認證。

保護 IaaS VM 上的租用戶應用程式

Azure Stack Hub 不會備份租使用者應用程式和數據。 您必須規劃 Azure Stack Hub 外部的目標備份和災害復原保護。 房客保護是由房客驅動的活動。 針對 IaaS VM,租使用者可以使用客體內部技術來保護檔案資料夾、應用程式數據和系統狀態。 不過,身為企業或服務提供者,您可能會想要在同一個數據中心或雲端外部提供備份和復原解決方案。

若要備份 Linux 或 Windows IaaS VM,您必須使用備份產品來存取客體作業系統,以保護檔案、資料夾、作業系統狀態和應用程式數據。 您可以使用 Azure 備份、System Center Datacenter Protection Manager 或支援的第三方產品。

若要將數據復寫到次要位置,並在發生災害時協調應用程式故障轉移,您可以使用 Azure Site Recovery 或支援的第三方產品。 此外,支援原生復寫的應用程式,例如 sql Server Microsoft,可以將數據復寫至應用程式執行所在的另一個位置。

瞭解更多資訊

  • 如需使用案例、購買、合作夥伴和 OEM 硬體廠商的相關信息,請參閱 Azure Stack Hub 產品頁面。
  • 如需 Azure Stack Hub 整合式系統藍圖和異地可用性的相關信息,請參閱白皮書:Azure Stack Hub:Azure的延伸模組。

後續步驟

Azure Stack Hub 部署連線模型