適用於 Azure VMware 解決方案 企業級案例的平臺自動化
企業級登陸區域使用一系列自動化和DevOps的最佳做法。 這些最佳做法可協助部署 Azure VMware 解決方案 私人雲端。 本指南提供初始部署 Azure VMware 解決方案 的部署考慮概觀。 它也提供作業自動化的指引。 此實作遵循 雲端採用架構的架構和最佳做法,著重於針對規模設計。
此解決方案是由兩個主要部分所組成。 第一個部分是 Azure VMware 解決方案 部署和自動化做法的指引。 第二個部分是一組開放原始碼成品,可加以調整,以協助您部署私人雲端。 雖然此解決方案旨在開始端對端自動化旅程,但貴組織可以根據本文中的考慮,決定要手動部署哪些元件。
Azure VMware 解決方案 登陸區域加速器自動化的設計目的是協助您開始使用此存放庫中的範本和腳本來部署 Azure VMware 解決方案。 在部署之前,建議您先檢閱範本,以瞭解已部署的資源和相關聯的成本。
本文涵蓋下列領域的考慮和建議:
- Azure VMware 解決方案 的部署選項,包括手動和自動化。
- 自動化規模考慮和實作詳細數據。
- 私人雲端內 VMware SDDC 層級自動化的考慮。
- 建議 從企業登陸區域延伸的自動化方法。
- 用於部署和管理的自動化技術考慮,例如 Azure CLI、Azure Resource Manager、Bicep 和 PowerShell。
部署策略
Azure VMware 解決方案 可以手動部署或使用策劃的自動化工具。
手動部署
您可以透過 Azure 入口網站 以圖形方式設定及部署 Azure VMware 解決方案 私人雲端。 此選項適用於較小的部署。 如果您想要以可重複的方式部署大規模 Azure VMware 解決方案 拓撲,請考慮自動化部署。 您也可以設定私人雲端的連線能力,然後透過 Azure 入口網站 手動調整。
考量因素:
- 您可以針對初始試驗和小規模環境使用 手動部署 。 您也可以在現有自動化或基礎結構即程式代碼做法不存在的地方使用它們。
- 當您透過 Azure 入口網站、Azure CLI 或 Azure PowerShell 模組部署 Azure VMware 解決方案 時,您會看到解決方案中有關數據保護的一系列條款和條件。 如果您是直接使用 Azure Resource Manager API 或透過 Azure Resource Manager 或 Bicep 範本進行部署,請考慮在部署自動化之前先檢閱這些 條款和條件 。
- 針對視需要啟動的隨選環境,請考慮將 Azure VMware 解決方案 私人雲端建立程式自動化,以限制手動互動的數量。
- 您可以使用 Azure 入口網站 內目標資源群組的 [部署] 刀鋒視窗來監視私人雲端建立程式。 部署私人雲端之後,請先確認其處於 [成功 ] 狀態,再繼續進行。 如果私人雲端顯示 [失敗 ] 狀態,您可能無法連線到 vCenter Server。 可能需要移除和重新部署私人雲端。
建議:
- 如果您選擇手動部署方法,請務必記錄您用來布建私人雲端的設定。 部署之後, 請下載您用於檔用途的部署範本 。 此範本成品包含用來部署私人雲端的 ARM 範本。 範本成品也有參數檔案,其中包含您選取的組態。
- 如果您要定期與 Azure 入口網站 中的私人雲端互動,建議您放置資源鎖定來限制資源刪除。 您也可以使用唯讀資源鎖定來限制調整作業。
自動化部署
您可以使用自動化部署,以可重複的方式部署 Azure VMware 解決方案 環境。 然後,您可以依需求設計和部署環境。 此使用方式會導致有效率的部署機制大規模推出多個環境和區域。 它們也提供低風險、隨選且可重複的部署程式。
自動化 Azure VMware 解決方案 實作選項
| 實作選項 | 描述 | GitHub 存放庫的部署連結 |
|---|---|---|
| 使用 Azure 的連線來部署 Azure VMware 解決方案 和相依性 | 此部署最適合布建新的 Azure VMware 解決方案 私人雲端。 這是完整的部署版本,可協助您建立所有不同的支援元件。 這些元件包括 Azure 連線能力、監視和附加元件。 有三個部署選項:Azure 入口網站 UI、PowerShell 和 Terraform。 每個部署選項可讓您選擇部署下列資源: ▪ Azure VMware 解決方案 私人雲端 ▪ 選擇 [新增] 或 [現有的虛擬網络] (VNet) ▪ 部署適用於 VPN 連線 的 Azure 路由伺服器 (選擇性) ▪ 部署 Azure VMware 解決方案 監控 (選擇性) ▪ 部署 HCX 和 SRM (選擇性 ) |
|
| 部署 Azure VMware 解決方案 而不連線至 Azure | 此部署較輕的版本。 它更適合概念證明(POC)或試驗。 它可讓您部署下列資源: ▪ 新的 Azure VMware 解決方案 私人雲端:(1) 自訂資源組名和私人雲端名稱,或 (2) 選擇現有的 Azure VMware 解決方案 私人雲端。 ▪ 部署 Azure VMware 解決方案 監視(選擇性)。 ▪ 部署 HCX 和 SRM (選擇性)。 |
考量因素:
- Azure VMware 解決方案 私人雲端部署可能需要數小時才能完成。 請考慮使用私人雲端上的 Azure Resource Manager 部署狀態或 status 屬性來監視此程式。 您可以使用部署管線,或透過PowerShell或 Azure CLI 以程序設計方式部署。 如果是,請確定已選取適當的逾時值,以配合私人雲端布建程式。
- 您可以事先根據網路拓撲和連線中的建議,預先為私人雲端和工作負載網路配置位址範圍。 然後,將它們新增至環境組態或參數檔案。 位址範圍重疊不會在部署時間進行驗證。 如果兩個私人雲端具有相同的位址範圍,這種缺乏驗證可能會導致問題。 如果範圍與 Azure 或內部部署中的現有網路重疊,也可能會發生問題。
- 您可以使用服務主體進行部署,以提供最低許可權的存取權。 您也可以使用 Azure 角色型存取控制 (RBAC) 來限制部署程式的存取。
- 您可以使用 DevOps策略 進行私人雲端部署,使用管線進行自動化且可重複的部署,而不需要依賴本機工具。
建議:
- 部署最少的私人雲端,然後視需要進行調整。
- 事先要求主機配額 或容量,以確保部署成功。
- 在部署子資源之前,請監視私人雲端部署程式與私人雲端的狀態。 私人雲端的進一步組態更新只能在私人雲端處於 成功 狀態后處理。 針對處於 失敗 狀態的私人雲端,建議您停止任何進一步的作業,並提出支援票證來解決。
- 在自動化部署內包含相關的資源鎖定,或確保這些資源鎖定是透過原則套用的。
自動化連線能力
部署 Azure VMware 解決方案 私人雲端之後,您可以透過 ExpressRoute 設定連線。 此建構集內描述的網路連線有兩個重要路徑:
- 透過虛擬網路閘道 連線 虛擬網路或 Azure 虛擬 WAN。
- Azure VMware 解決方案 與透過 Global Reach 的現有 ExpressRoute 之間的 連線 性。
如需建議網路拓撲的詳細資訊,請參閱 網路拓撲和連線能力。
考量因素:
- 您可以將 Azure VMware 解決方案 私人雲端連線到 Azure 虛擬網路或現有的 ExpressRoute。 此聯機會自動公告來自私人雲端內管理網路和工作負載網路的路由。 由於沒有就地重疊檢查,請考慮在連線之前驗證公告的網路。
- 您可以將 ExpressRoute 授權金鑰的名稱與它們所連線之資源的現有命名配置對齊。 這種對齊方式可讓您輕鬆識別相關的資源。
- ExpressRoute 虛擬網路閘道和 ExpressRoute 線路可能位於與私人雲端 Azure VMware 解決方案 不同的訂用帳戶中。 決定是否要讓單一服務主體能夠存取所有這些資源,或是否要將它們分開。
- 透過 Azure 入口網站 的 NSX-T 數據中心工作負載網路可以將基本網路資源部署到私人雲端,但 NSX-T 管理員可提供對 NSX-T 數據中心元件的更多控制。 建議您考慮透過網路區段需要何種程度的控制。
- 使用 Azure 入口網站 內的 NSX-T 數據中心工作負載網路來設定功能變數名稱系統 (DNS) 區域以進行私人 DNS 整合。
- 對於只需要單一層一閘道的網路拓撲,請使用 Azure 入口網站內的NSX-T 資料中心工作負載網路。
- 針對進階設定,您可以直接使用 NSX-T Manager。
- 請考慮網路管理員的技能層級。 如果您的網路管理員對 VMware NSX-T 數據中心知之甚少,請考慮改用 Azure 入口網站 來降低網路作業的風險。
建議:
- 如果您使用個別的服務主體進行 Azure VMware 解決方案 部署,而不是 ExpressRoute 組態,請使用 Azure 金鑰保存庫 或類似的秘密存放區,視需要在部署之間傳遞授權密鑰。
- 隨時可以透過 Azure VMware 解決方案 私人雲端完成的平行作業數目有限制。 對於定義許多 Azure VMware 解決方案 私人雲端子資源的範本,我們建議使用相依性以序列方式部署。
自動化規模
根據預設,Azure VMware 解決方案 叢集具有叢集規模所定義的固定主機數目。 您可以透過程式設計方式修改每個叢集調整,以便透過自動化相應縮小和相應放大。 此自動化可能是隨選、依排程或回應 Azure 監視器警示。
考量因素:
- 自動化向外延展可以提供更多隨選容量,但請務必考慮更多主機的成本。 這項成本僅限於提供給訂用帳戶的配額,但應該就地進行手動限制。
- 在自動化相應縮小之前,請考慮對叢集內所套用的工作負載和記憶體原則的影響。 例如,已指派 RAID-5 的工作負載無法調整為三個節點的叢集。 考慮記憶體和記憶體使用也很重要,因為此使用方式可能會封鎖相應縮小作業。
- 一次只能執行一個單一規模作業,因此請務必考慮多個叢集之間的調整作業協調流程。
- Azure VMware 解決方案 調整作業並非瞬間完成,您必須考慮將另一個節點新增至現有叢集所需的時間。
- 第三方解決方案和整合可能不會預期主機會持續移除和新增。 請考慮驗證所有第三方產品的行為。 此驗證可確保在新增或移除主機時,不需要執行更多步驟來重新整理或重新設定產品。
建議:
- 針對超出配額的相應縮小和向外延展作業,設定硬性限制。
- 事先要求配額 ,使其不會影響調整作業。 配額不是容量的保證,而是能夠部署至特定限制。 定期檢閱配額限制,以確保一律有前端。
- 請確定已監視任何自動化調整系統,並在調整作業完成時警示您。 此警示可確保沒有任何非預期的縮放事件。
- 在相應縮小作業之前,使用 Azure 監視器計量來確認叢集容量,以確保有足夠的前端。 請注意任何調整作業之前、期間和之後的CPU、記憶體和記憶體和記憶體。 這種對容量的關注可確保它不會影響服務等級協定 (SLA)。
Azure 整合
Azure VMware 解決方案 私人雲端也可以使用數個不同的 Azure 原生服務。 您可以在部署 Azure VMware 解決方案 中包含這些服務,或部署為個別元件。 在文章範圍之外時,建議您使用企業級登陸區域架構中的現有模式來與這些服務整合。
考量因素:
請考慮您計劃自動化之每個元件的部署生命週期。 依其生命週期緊密系結的群元件應分組在一起,以單一單位的形式進行部署。 使用不同的生命週期來分隔元件。
自動化工具
Azure VMware 解決方案 私人雲端存在於 Azure Resource Manager 內,透過數個不同的自動化工具提供互動。 從 Azure Resource Manager 規格產生的第一方 Microsoft 工具通常會在發行后不久支援功能。 從自動化的觀點來看,本文中的考慮是以可跨不同工具組套用的方式提供。
考量因素:
- 使用 Azure Resource Manager 和 Bicep 範本等宣告式工具,讓您可以將組態定義為單一成品。 Azure CLI 和 PowerShell 等命令行和腳本型工具需要逐步執行的方法,才能更符合手動部署。
- 您可以使用 Terraform 之類的第三方自動化工具來部署 Azure VMware 解決方案 和 Azure 原生服務。 請務必確定您想要在 Azure VMware 解決方案 內使用的功能目前包含在可用的資源內。
- 採取以腳本為基礎的部署方法時,請一律考慮失敗部署和適當監視的影響。 具體來說,針對 Azure VMware 解決方案,請考慮監視部署和私人雲端狀態。 如需監視 Azure VMware 解決方案 的詳細資訊,請參閱管理與監視 Azure VMware 解決方案。
建議:
- 使用 Azure CLI、PowerShell 或 Azure Resource Manager 或 Bicep 等宣告式範本,以自動化方式部署 Azure VMware 解決方案。
- 可能的話,請使用 假設 狀況來確認執行前的變更,暫停資源刪除以進行驗證。
DevOps 方法
您應該實作 Azure VMware 解決方案 部署自動化,作為一系列可重複的步驟,最好是透過工作流程或管線。 請務必將您計劃納入部署內的必要步驟範圍。 這些步驟可能包括:
- 私人雲端部署。
- ExpressRoute 網關聯機能力。
- Global Reach 連線能力。
- 簡化的 NSX-T 資料中心 DHCP、DNS 和區段建立。
部署私人雲端之後,您可以在私人雲端內部署資源。 如需詳細資訊,請參閱 VMware SDDC 平台自動化。
考量因素:
- 您可能有現有的自動化做法,或建置 DevOps 策略作為企業級登陸區域的一部分。 如果是,請考慮重複使用相同模式進行 Azure VMware 解決方案 部署,以全面保持一致的自動化樣式。
- 如需詳細資訊,請參閱企業級登陸區域 平臺自動化和 DevOps 檔。
VMware 平台自動化
在 Azure VMware 解決方案 私人雲端內,您也可以選擇將 vCenter Server 和 NSX-T 管理員內的資源建立自動化。 下列系列考慮會列出,以協助設計 VMware SDDC 層級自動化。
vCenter Server 自動化 - PowerCLI
考量因素:
- 使用 PowerCLI 來建立及設定虛擬機(VM)、資源集區和 VM 範本,讓您完全控制 vCenter Server。
- 由於 vCenter Server 只能透過私人連線或私人 IP 來使用,您必須在可看見 Azure VMware 解決方案 管理網路的電腦上執行 PowerCLI。 請考慮使用自我裝載代理程式來執行管線。 使用此代理程式,您可以在虛擬網路或 NSX-T 資料中心區段內的 VM 上執行 PowerCLI。
- 您可能無法存取特定作業,因為您受限於 Cloud 管理員 角色。 請考慮針對您計劃實作的自動化,針對雲端 管理員 許可權對應所需的許可權。
- 針對最低許可權存取,請考慮透過 Active Directory 整合使用 vCenter Server 層級自動化的服務帳戶。
NSX-T 數據中心自動化 - PowerCLI
考量因素:
- 在 Azure VMware 解決方案 私人雲端中,系統管理用戶預設具有 NSX-T 資料中心的系統管理存取權。 由於此預設存取權,請考慮透過 PowerCLI 或NSX-T資料中心 API 進行變更的影響。 不允許對 Microsoft 管理的元件進行修改,例如傳輸區域和層級零閘道,並建議注意。
- 執行 PowerCLI 的 VM 需要私人連線到 Azure VMware 解決方案 私人雲端,才能與 NSX-T 數據中心互動。
- 您可以透過 Azure Resource Manager 控制工作負載網路。 此控件可讓一部分作業透過 Azure Resource Manager API 完成,然後透過 Azure CLI 和 PowerShell 使用 Azure RBAC 來啟用作業,而不是 NSX-T 資料中心身分識別。
Terraform vSphere 和 NSX-T 數據中心提供者
考量因素:
- 您可以使用 適用於 Terraform 的 vSphere 和 NSX-T 資料中心 提供者來部署資源。 這些資源會以宣告式方式部署在私人雲端的範圍內。
- 當 Terraform 需要與 vCenter Server 和 NSX-T Manager 內的 API 端點通訊時,它必須具有私人連線到私人雲端管理網路。 請考慮從可路由傳送至私人雲端的 Azure 虛擬機進行部署。
vRealize 自動化和 vRealize 作業
考量因素:
- 您可以使用類似內部部署環境的 vRealize 自動化,讓您可以在 Azure VMware 解決方案 內自動佈建虛擬機。
- Azure VMware 解決方案 支援的部署模型有一定限制。 請考慮使用 vRealize 雲端管理,或裝載內部部署的 vRealize 自動化設備。
- 如同 PowerCLI,vRealize Automation 和 vRealize Operations 設備所在的環境需要 Azure VMware 解決方案 的私人連線。
工作負載層級自動化
在 Azure VMware 解決方案 上的個別工作負載內,您可以選擇在每個 VM 層級上設定自動化。 此自動化的達成方式與內部部署相同,且未達到本文的範圍。 此自動化的範例包括 Microsoft Configuration Manager、Chef、Puppet 和 Ansible。 您也可以使用內部部署代理程式對 VM 層級設定使用 Azure 自動化。
下一步
既然您已閱讀設計領域,請了解企業級案例中 Azure VMware 解決方案 的架構方法和實作。