Referenční architektura standardních hodnot Azure

Místní azure

Azure Arc

Azure Key Vault

Azure Monitor

Microsoft Defender for Cloud

Tato referenční architektura podle směrného plánu poskytuje pokyny a doporučení nezávislé na úlohách pro konfiguraci místní infrastruktury Azure 2311 a novější, která poskytuje spolehlivou platformu pro vysoce dostupné virtualizované a kontejnerizované úlohy. Tato architektura popisuje komponenty prostředků a možnosti návrhu clusteru pro fyzické počítače, které poskytují možnosti místního výpočetního prostředí, úložiště a sítě. Popisuje také, jak pomocí služeb Azure zjednodušit každodenní správu Azure Local pro operace ve velkém měřítku.

Další informace o vzorech architektury úloh, které jsou optimalizované pro spouštění v místním prostředí Azure, najdete v obsahu umístěném v místní nabídce místní úlohy Azure navigační nabídce.

Tato architektura je výchozím bodem pro použití návrhu sítě s přepínačem úložiště k nasazení místní instance Azure s více uzly. Aplikace úloh nasazené v místní instanci Azure by měly být dobře navrženy. Dobře navržené aplikace úloh musí být nasazeny pomocí několika instancí nebo vysoké dostupnosti (HA) všech důležitých služeb úloh a musí mít odpovídající kontrolní mechanismy provozní kontinuity a zotavení po havárii (BCDR). Tyto ovládací prvky BCDR zahrnují pravidelné zálohování a možnosti obnovení po havárii. Pokud se chcete zaměřit na hyperkonvergovanou platformu infrastruktury (HCI), tyto aspekty návrhu úloh jsou záměrně vyloučené z tohoto článku.

Další informace o pokynech a doporučeních pro pět pilířů architektury Azure Well-Architected najdete v průvodcislužbou Azure Local Well-Architected Framework .

Rozložení článku

Architecture	Rozhodnutí o návrhu	přístup Well-Architected Framework
▪ Architektura ▪ Součásti ▪ Prostředky platformy ▪ Prostředky podporující platformu ▪ Podrobnosti scénáře ▪ Použití Azure Arc s lokálním Azure ▪ Využití výchozí konfigurace zabezpečení Azure ▪ potenciální případy použití ▪ Nasazení tohoto scénáře	▪ možnosti návrhu clusteru ▪ fyzické diskové jednotky ▪ Návrh sítě ▪ Monitorování ▪ Správa aktualizací	▪ Spolehlivost ▪ Bezpečnost ▪ Optimalizace nákladů ▪ Efektivita provozu ▪ Efektivita výkonu

Tip

Tato místní šablona Azure ukazuje, jak pomocí šablony Azure Resource Manageru (šablony ARM) a souboru parametrů nasadit přepnulé nasazení Azure Local s více servery. Příklad Bicep také ukazuje, jak pomocí šablony Bicep nasadit místní instanci Azure a její požadované prostředky.

Architecture

Diagram architektury znázorňuje místní místní prostředí Azure připojené k Azure. Místní prostředí obsahuje místní cluster Azure s více uzly. Cluster je připojený ke dvěma přepínačům ToR pro připojení k síti. Prostředí Azure zobrazuje několik služeb Azure, které se integrují s místním Prostředím Azure. Mezi tyto služby patří Azure Arc, Azure Monitor, Azure Key Vault, Azure Policy, Microsoft Defender for Cloud, Azure Update Manager, Azure Backup a Azure Site Recovery.

Další informace naleznete v tématu Související zdroje informací.

Components

Tato architektura se skládá z hardwaru fyzického serveru, který můžete použít k nasazení místních instancí Azure v místních nebo hraničních umístěních. Kvůli vylepšení možností platformy se Azure Local integruje se službou Azure Arc a dalšími službami Azure, které poskytují podpůrné prostředky. Azure Local poskytuje odolnou platformu pro nasazení, správu a provoz uživatelských aplikací nebo obchodních systémů. Prostředky a služby platformy jsou popsány v následujících částech.

Prostředky platformy

• Azure Local je řešení HCI, které je nasazené místně nebo v hraničních umístěních a používá hardware a síťovou infrastrukturu fyzického serveru. Azure Local poskytuje platformu pro nasazení a správu virtualizovaných úloh, jako jsou virtuální počítače, clustery Kubernetes a další služby, které Azure Arc umožňuje. Místní instance Azure se můžou škálovat z nasazení jednoho počítače na maximálně 16 fyzických počítačů pomocí ověřených, integrovaných nebo prémiových kategorií hardwaru, které poskytují partneři výrobce OEM (Original Equipment Manufacturer). V této architektuře azure Local poskytuje základní platformu pro hostování a správu virtualizovaných a kontejnerizovaných úloh místně nebo na hraničních zařízeních.

• Azure Arc je cloudová služba, která rozšiřuje model správy založený na Resource Manageru na místní a další umístění mimo Azure. Azure Arc používá Azure jako řídicí rovinu a rovinu správy, která umožňuje správu různých prostředků, jako jsou virtuální počítače, clustery Kubernetes a kontejnerizovaná data a služby strojového učení. V této architektuře Azure Arc umožňuje centralizovanou správu a správu prostředků nasazených v Azure Local prostřednictvím řídicí roviny Azure.

• azure Key Vault je cloudová služba, pomocí které můžete bezpečně ukládat tajné kódy a přistupovat k nim. Tajný kód je vše, na co chcete úzce omezit přístup, jako jsou klíče rozhraní API, hesla, certifikáty, kryptografické klíče, přihlašovací údaje místního správce a obnovovací klíče BitLockeru. V této architektuře key Vault zabezpečuje citlivé informace a přihlašovací údaje používané úlohami a komponentami infrastruktury v Azure Local.

• Cloudový svědek je funkce, která používá Azure Storage jako kvorum pro převzetí služeb při selhání clusteru. Místní Azure (jenom dvě instance počítačů) používá jako kvorum pro hlasování cloudového svědka, který zajišťuje vysokou dostupnost clusteru. Konfigurace účtu úložiště a určující kopie clusteru se vytvoří během procesu nasazení místního cloudu Azure. V této architektuře poskytuje cloudový svědek kvorum pro clustery se dvěma uzly, pro zajištění vysoké dostupnosti.

• Azure Update Manager je jednotná služba navržená pro správu a řízení aktualizací pro místní Azure. Pomocí Update Manageru můžete spravovat úlohy nasazené v Místním prostředí Azure, včetně dodržování předpisů aktualizací hostovaného operačního systému pro virtuální počítače s Windows a Linuxem, které je možné povolit pomocí azure Policy. Tento jednotný přístup centralizuje správu oprav napříč Azure, místními prostředími a dalšími cloudovými platformami prostřednictvím jednoho řídicího panelu. V této architektuře poskytuje Update Manager centralizovanou správu aktualizací a oprav pro infrastrukturu i úlohy.

Prostředky podporující platformu

• Azure Monitor je cloudová služba pro shromažďování, analýzu a zpracování diagnostických protokolů a telemetrie z cloudových a místních úloh. Azure Monitor můžete použít k maximalizaci dostupnosti a výkonu aplikací a služeb prostřednictvím řešení monitorování. Nasaďte přehledy pro Azure Local, abyste zjednodušili vytváření pravidla shromažďování dat Služby Azure Monitor (DCR) a povolili monitorování místních instancí Azure. V této architektuře azure Monitor poskytuje monitorování a telemetrii pro místní clustery a úlohy Azure.

• Azure Policy je služba, která vyhodnocuje prostředky Azure a místní prostředky. Azure Policy vyhodnocuje prostředky prostřednictvím integrace s Azure Arc pomocí vlastností těchto prostředků do obchodních pravidel, označovaných jako definice zásad, k určení dodržování předpisů nebo možností, které můžete použít k použití konfigurace hosta virtuálního počítače prostřednictvím nastavení zásad. V této architektuře poskytuje Azure Policy možnost auditu a dodržování předpisů pro konfiguraci zabezpečení operačního systému místních počítačů Azure. Nastavení se neustále aplikují pomocí řízení posunu.

• Defender for Cloud je systém pro správu zabezpečení infrastruktury. Vylepšuje stav zabezpečení datacenter a poskytuje pokročilou ochranu před hrozbami pro hybridní úlohy, ať už se nacházejí v Azure nebo jinde a v místních prostředích. V této architektuře poskytuje Defender for Cloud monitorování zabezpečení a ochranu před hrozbami pro úlohy spuštěné v Azure Local.

• Azure Backup je cloudová služba, která poskytuje bezpečné a nákladově efektivní řešení pro zálohování dat a jejich obnovení z Microsoft Cloudu. Azure Backup Server slouží k zálohování virtuálních počítačů nasazených v místním Azure a jejich ukládání do služby Backup. V této architektuře Azure Backup chrání data a umožňuje obnovení virtuálních počítačů hostovaných v Azure Local.

• Azure Site Recovery je služba pro obnovení po havárii, která poskytuje schopnosti BCDR tím, že umožňuje podnikovým aplikacím a úlohám zajistit pokračování provozu v případě katastrofy nebo výpadku. Site Recovery spravuje replikaci a převzetí služeb při selhání úloh, které běží na fyzických serverech a virtuálních počítačích mezi jejich primární lokalitou (místně) a sekundárním umístěním (Azure). V této architektuře Site Recovery umožňuje obnovení po havárii a přepnutí do zálohy pro úlohy spuštěné v Azure Local.

Podrobnosti scénáře

Následující části obsahují další informace o scénářích a potenciálních případech použití pro tuto referenční architekturu. Tyto části obsahují seznam obchodních výhod a ukázkových typů prostředků úloh, které můžete nasadit v Azure Local.

Použití Služby Azure Arc s místním Prostředím Azure

Azure Local se přímo integruje s Azure pomocí Azure Arc, aby se snížily celkové náklady na vlastnictví (TCO) a provozní režijní náklady. Azure Local se nasazuje a spravuje prostřednictvím Azure, která poskytuje integrovanou integraci Azure Arc prostřednictvím nasazení komponenty mostu prostředků Azure Arc. Tato komponenta se nasadí jako součást procesu nasazení cloudu místní instance Azure. Místní počítače Azure jsou zaregistrované ve službě Azure Arc pro servery jako předpoklad pro spuštění cloudového nasazení místní instance Azure. Během nasazování se povinná rozšíření instalují na každý počítač, jako je Správce životního cyklu, Správa zařízení Microsoft Edge a telemetrická data a diagnostická rozšíření. K monitorování řešení můžete použít Azure Monitor a Log Analytics po nasazení tím, že povolíte Přehledy pro Azure Local. Aktualizace funkcí pro Azure Local se vydávají každých šest měsíců, aby se zlepšilo uživatelské prostředí. Aktualizace pro Místní Azure se řídí a spravují pomocí Update Manageru.

Prostředky úloh, jako jsou virtuální počítače Azure Arc, AKS s podporou Služby Azure Arc a hostitelé relací služby Azure Virtual Desktop , které používají Azure Portal, můžete nasadit výběrem vlastního umístění místní instance Azure jako cíle pro nasazení úloh. Tyto komponenty poskytují centralizovanou správu, správu a podporu. Pokud máte ve stávajících licencích jádra Windows Serveru Datacenter aktivní Software Assurance, můžete náklady dále snížit použitím zvýhodněného hybridního využití Azure na místní virtuální počítače Azure, virtuální počítače s Windows Serverem a clustery AKS. Tato optimalizace pomáhá efektivně spravovat náklady na tyto služby.

Integrace Azure a Azure Arc rozšiřují možnosti místních virtualizovaných a kontejnerizovaných úloh Azure, aby zahrnovaly následující řešení:

• Místní virtuální počítače Azure pro tradiční aplikace nebo služby spuštěné ve virtuálních počítačích v Azure Local.

• AKS v Azure Local pro kontejnerizované aplikace nebo služby, které využívají výhod používání Kubernetes jako platformy orchestrace.

• Virtual Desktop pro nasazení hostitelů relací pro úlohy služby Virtual Desktop v místním prostředí Azure (místní). K zahájení vytváření a konfigurace fondu hostitelů můžete použít řídicí rovinu a rovinu správy v Azure.

• Datové služby s podporou Azure Arc pro kontejnerizovanou spravovanou instanci Azure SQL

• Azure Container Apps s podporou Azure Arc ke spouštění aplikací založených na kontejnerech a mikroslužeb Můžete ho nasadit pomocí rozšíření Container Apps pro Kubernetes, které umožňuje zřizování připojených prostředí Container Apps. Po povolení v clusteru AKS můžete spouštět služby, jako je Azure Functions. Pokud chcete podporovat škálování řízené událostmi, můžete volitelně nainstalovat rozšíření Kubernetes Event-Driven automatického škálování (KEDA ).

• Rozšíření Azure Event Grid s podporou služby Azure Arc pro Kubernetes pro nasazení zprostředkovatele Event Gridu a operátora Event Gridu komponent. Toto nasazení umožňuje možnosti, jako jsou témata Event Gridu a odběry pro zpracování událostí.

• strojového učení s podporou Azure Arc s clusterem AKS, který je nasazený v Azure Local jako cílový výpočetní objekt pro spouštění služby Azure Machine Learning. Tento přístup můžete použít k trénování nebo nasazování modelů strojového učení na hraničních zařízeních.

Úlohy připojené ke službě Azure Arc poskytují vylepšenou konzistenci a automatizaci Azure pro místní nasazení Azure, jako je automatizace konfigurace hostovaného operačního systému pomocí rozšíření místních virtuálních počítačů Azure nebo vyhodnocení souladu s oborovými předpisy nebo firemními standardy prostřednictvím služby Azure Policy. Azure Policy můžete aktivovat prostřednictvím Azure Portal nebo automatizace infrastruktury jako kódu (IaC).

Využití výchozí konfigurace zabezpečení Azure

Výchozí konfigurace zabezpečení Azure Local poskytuje podrobnou strategii pro zjednodušení nákladů na zabezpečení a dodržování předpisů. Nasazení a správa IT služeb pro maloobchodní, výrobní a vzdálené kancelářské scénáře představují jedinečné výzvy týkající se zabezpečení a dodržování předpisů. Zabezpečení úloh proti interním a externím hrozbám je zásadní v prostředích s omezenou podporou IT nebo chybějícími nebo vyhrazenými datovými centry. Azure Local má výchozí posílení zabezpečení a hlubokou integraci se službami Azure, které vám pomůžou tyto problémy vyřešit.

Místní certifikovaný hardware Azure zajišťuje integrovanou podporu zabezpečeného spouštění, sjednoceného rozhraní UEFI (Unified Extensible Firmware Interface) a čipu TPM (Trusted Platform Module). Tyto technologie můžete používat v kombinaci se zabezpečením založeným na virtualizaci (VBS), které pomáhají chránit úlohy citlivé na zabezpečení. BitLocker Drive Encryption umožňuje šifrovat svazky spouštěcích disků a svazky Storage Spaces Direct v klidovém stavu. Šifrování protokolu SMB (Server Message Block) zajišťuje automatické šifrování provozu mezi fyzickými počítači v clusteru (v síti úložiště) a podepisování provozu SMB mezi fyzickými počítači clusteru a jinými systémy. Šifrování SMB také pomáhá předcházet útokům na přenos a usnadňuje dodržování zákonných standardů.

Místní virtuální počítače Azure můžete připojit v Defenderu pro cloud k aktivaci cloudové analýzy chování, detekce hrozeb a nápravy, upozorňování a generování sestav. Spravujte místní virtuální počítače Azure ve službě Azure Arc, abyste mohli pomocí služby Azure Policy vyhodnotit jejich soulad s oborovými předpisy a firemními standardy.

Potenciální případy použití

Mezi obvyklé případy použití pro Azure Local patří spouštění úloh vysoké dostupnosti v místních nebo hraničních umístěních. Azure Local poskytuje platformu pro řešení požadavků, jako jsou například následující funkce:

• Poskytněte řešení připojené k cloudu, které je nasazené místně pro řešení suverenity dat, regulace a dodržování předpisů nebo požadavků na latenci.

• Nasaďte a spravujte úlohy virtualizované s vysokou dostupností nebo kontejnery nasazené v jednom nebo několika hraničních umístěních. Tato funkce umožňuje, aby důležité obchodní aplikace a služby fungovaly odolným, nákladově efektivním a škálovatelným způsobem.

• Snižte náklady na vlastnictví nasazením řešení certifikovaného Microsoftem a jeho hardwarovými partnery OEM. Toto řešení používá moderní cloudový proces nasazení a poskytuje centralizovanou správu a monitorování konzistentní s Azure.

• Poskytuje centralizované možnosti zřizování pomocí Azure a Azure Arc. Tato funkce umožňuje konzistentní a bezpečné nasazení úloh napříč několika umístěními. Nástroje, jako jsou Azure Portal, Azure CLI nebo šablony IaC (šablony ARM, Bicep a Terraform), zlepšují automatizaci a opakovatelnost. Tento přístup umožňuje rychlé nasazení a správu clusterů Azure Kubernetes Service (AKS) pro kontejnerizované úlohy a místní virtuální počítače Azure pro tradiční virtualizované úlohy.

• Dodržování striktních požadavků na zabezpečení, dodržování předpisů a audit Azure Local se nasadí s nakonfigurovaným stavem posíleného zabezpečení, který se standardně označuje jako secure-by-default. Azure Local zahrnuje certifikovaný hardware, zabezpečené spouštění, TPM, VBS, Credential Guard a vynucené zásady řízení aplikací. Azure Local má možnost integrace s moderními cloudovými službami zabezpečení a správy hrozeb, jako je Microsoft Defender pro cloud a Microsoft Sentinel. Tato integrace poskytuje rozšířené možnosti detekce a odezvy (XDR) a správy událostí zabezpečení (SIEM).

Možnosti návrhu clusteru

Seznamte se s požadavky na výkon a spolehlivost úloh. Z hlediska odolnosti je důležité porozumět očekáváním, aby platforma a úlohy pokračovaly v provozu během selhání hardwaru nebo uzlů. Definujte také cíl doby obnovení (RTO) a cíl bodu obnovení (RPO) pro vaši strategii obnovení. Faktor v požadavcích na výpočetní prostředky, paměť a úložiště pro všechny úlohy nasazené v místní instanci Azure Na rozhodovací proces má vliv několik charakteristik úlohy:

• Funkce architektury procesoru (CPU), včetně funkcí technologie hardwarového zabezpečení, počtu procesorů, frekvence gigahertzu (GHz) a počtu jader pro každý soket procesoru.

• Požadavky na grafický procesor (GPU) úlohy, například pro AI nebo strojové učení, odvozování nebo vykreslování grafiky.

• Paměť pro každý počítač nebo množství fyzické paměti potřebné ke spuštění úlohy.

• Počet fyzickýchpočítačůch Maximální počet fyzických počítačů je čtyři, když použijete architekturu sítě bez přepínače úložiště.

  • Pokud chcete zachovat odolnost výpočetních prostředků, musíte v instanci rezervovat alespoň N+1 fyzické počítače, které stojí za kapacitu. Tato strategie umožňuje vyprázdnění uzlů pro aktualizace nebo obnovení z náhlého výpadku, jako jsou výpadky napájení nebo selhání hardwaru.

  • Pro důležité obchodní nebo klíčové úlohy zvažte rezervaci fyzických počítačů N+2, které stojí za účelem zvýšení odolnosti. Pokud jsou například dva fyzické počítače v instanci offline, může úloha zůstat online. Tento přístup poskytuje odolnost proti chybám ve scénářích, ve kterých počítač, na kterém běží úloha, přejde během plánovaného postupu aktualizace do režimu offline a výsledkem je, že dva fyzické počítače instance jsou současně offline.

• Požadavky na odolnost úložiště, kapacitu a výkon:

  • Odolnost: Doporučujeme nasadit tři nebo více fyzických počítačů, abyste povolili trojcestné zrcadlení, které poskytuje tři kopie dat pro infrastrukturu a uživatelské svazky. Třícestné zrcadlení zvyšuje výkon a maximální spolehlivost úložiště.

  • Kapacita: Celková požadovaná využitelná kapacita úložiště po zohlednění odolnosti proti chybám nebo kopií. Toto číslo je přibližně 33% nezpracovaného prostoru úložiště disků vrstvy kapacity při použití trojcestného zrcadlení.

  • Představení: Vstupně-výstupní operace za sekundu (IOPS) platformy, která určuje možnosti propustnosti úložiště pro úlohu při vynásobení velikostí bloku aplikace.

Pokud chcete navrhnout a naplánovat místní nasazení Azure, doporučujeme použít nástroj Pro místní nastavení velikosti Azure a vytvořit nový projekt pro určení velikosti místních instancí Azure. Použití nástroje pro změnu velikosti vyžaduje, abyste porozuměli vašim požadavkům na pracovní zatížení. Při zvažování počtu a velikosti virtuálních počítačů úloh spuštěných ve vaší instanci nezapomeňte zvážit faktory, jako je počet virtuálních procesorů, požadavky na paměť a potřebná kapacita úložiště pro virtuální počítače.

Oddíl Předvolby nástroje pro změnu velikosti vás provede dotazy týkajícími se typu systému, včetně Premier Solution, Integrated System nebo Validated Node a možností CPU Family. Pomůže vám také vybrat požadavky na odolnost instance. Pokud chcete nastavit úrovně odolnosti, postupujte podle těchto doporučení:

• V rámci instance si zarezervujte kapacitu v hodnotě pro nejméně N+1 fyzických počítačů nebo pro jeden uzel. Tento přístup zajišťuje, že můžete aktualizace řešení použít tak, že vyprázdníte a restartujete každý uzel po jednom, aniž by to způsobilo výpadky úloh.

• Zarezervujte si kapacitu odpovídající N+2 fyzickým počítačům v rámci instance pro zvýšení odolnosti. Tato možnost umožňuje systému odolat selhání počítače během aktualizace nebo jiné neočekávané události, která má vliv na dva počítače současně. Zajišťuje také, že je v instanci dostatek kapacity, aby úloha běžela na zbývajících online počítačích.

Tento scénář vyžaduje použití třícestného zrcadlení pro uživatelské svazky, což je výchozí hodnota pro instance, které mají tři nebo více fyzických počítačů.

Výstupem nástroje pro místní nastavení velikosti Azure je seznam doporučených skladových položek hardwarového řešení, které můžou poskytovat požadované požadavky na kapacitu úloh a odolnost platformy na základě vstupních hodnot v projektu Sizer. Další informace o dostupných hardwarových partnerských řešeních OEM najdete v katalogu místních řešení Azure. Pokud chcete správně upravit velikost skladových položek řešení tak, aby splňovaly vaše požadavky, obraťte se na svého preferovaného poskytovatele hardwarového řešení nebo partnera pro integraci systému (SI).

Fyzické diskové jednotky

Prostory úložiště s přímým přístupem podporují více typů fyzických disků, které se liší v výkonu a kapacitě. Při návrhu místní instance Azure spolupracujte se zvoleným partnerem OEM hardwaru a určete nejvhodnější typy fyzických disků, které splňují požadavky na kapacitu a výkon vaší úlohy. Mezi příklady patří rotující pevné disky (HDD) nebo jednotky SSD (Solid-State Drive) a disky NVMe (Non-Volatile Memory Express). Tyto jednotky se často označují jako flash disky nebo trvalé úložiště paměti (PMem), které se označuje jako paměť třídy úložiště (SCM).

Spolehlivost platformy závisí na výkonu kritických závislostí platformy, jako jsou typy fyzických disků. Ujistěte se, že jste pro své požadavky zvolili správné typy disků. Pro úlohy, které mají požadavky na vysokou nebo nízkou latenci, používejte řešení all-flash storage, jako jsou jednotky NVMe nebo disky SSD. Mezi tyto úlohy patří mimo jiné vysoce transakční databázové technologie, produkční clustery AKS nebo úlohy kritické pro důležité obchodní účely, které mají požadavky na úložiště s nízkou latencí nebo vysokou propustností. K maximalizaci výkonu úložiště použijte nasazení typu all-flash. All-NVMe nebo all-SSD konfigurace disků, zejména v malém měřítku, zlepšují efektivitu úložiště a maximalizují výkon, protože se žádné disky nepoužívají jako vrstva mezipaměti. Další informace naleznete v tématu All-Flash úložiště.

Diagram znázorňuje cluster s více uzly. Každý uzel má dva síťové adaptéry pro úložiště a dva pro správu a výpočetní prostředky. Adaptéry úložiště se připojují k síti úložiště. Adaptéry pro správu a výpočetní prostředky se připojují ke správě a výpočetní síti. Diagram pod vrstvou sítě znázorňuje zásobník úložiště. Začíná fyzickými disky v dolní části, které zahrnují disky NVMe ve vrstvách mezipaměti a ssd ve vrstvách kapacity. Nad disky je úložný pool Storage Spaces Direct. Další vrstvou v této části je souborový systém ReFS na CSV. Další vrstva obsahuje virtuální disky pro virtuální počítače. Horní vrstva zobrazuje dva virtuální počítače se šipkou, která označuje, že se dají migrovat za provozu mezi uzly.

Typ fyzické diskové jednotky ovlivňuje výkon úložiště clusteru. Druh disku se liší v závislosti na charakteristikách výkonu jednotlivých typů disků a mechanismu cache, který zvolíte. Typ fyzické diskové jednotky je nedílnou součástí jakéhokoli návrhu a konfigurace Prostorů úložiště s přímým přístupem. V závislosti na požadavcích na místní úlohy Azure a omezení rozpočtu se můžete rozhodnout maximalizovat výkon, maximalizovat kapacitu nebo implementovat konfiguraci typu smíšené jednotky, která vyrovnává výkon a kapacitu.

Pro úlohy pro obecné účely, které vyžadují trvalé úložiště s velkou kapacitou, může hybridní konfigurace úložiště poskytovat nejpotřebnější úložiště, jako je použití jednotek NVMe nebo disků SSD pro vrstvu mezipaměti a pevné disky pro kapacitu. Kompromisem je, že rotující disky mají nižší výkon a možnosti propustnosti v porovnání s flash disky. Tato omezení můžou ovlivnit výkon úložiště, pokud vaše úloha překročí pracovní sadu mezipaměti. Pevné disky mají také nižší střední dobu mezi hodnotou selhání v porovnání s jednotkami NVMe a disky SSD.

Prostory úložiště s přímým přístupem poskytují integrovanou trvalou mezipaměť na straně serveru , která podporuje operace čtení i zápisu. Tato mezipaměť maximalizuje výkon úložiště. Velikost a konfigurace mezipaměti tak, aby vyhovovala pracovní sadě aplikací a úloh. Virtuální disky Storage Spaces Direct, nebo svazky, se používají v kombinaci se sdílenou mezipamětí clusteru (CSV) v paměti ke zlepšení výkonu Hyper-V. Tato kombinace je zvlášť účinná pro nepřipojený vstupní přístup k souborům virtuálního pevného disku (VHD) nebo virtuálního pevného disku v2 (VHDX).

Tip

Pro úlohy citlivé na vysoký výkon nebo latenci doporučujeme použít konfiguraci all-flash úložiště (všechny NVMe nebo všechny SSD) a velikost clusteru tří nebo více fyzických počítačů. Nasazení tohoto návrhu s výchozím nastavením konfigurace úložiště používá trojcestné zrcadlení pro infrastrukturu a uživatelské svazky. Tato strategie nasazení poskytuje nejvyšší výkon a odolnost. Pokud používáte konfiguraci all-NVMe nebo all-SSD, můžete využít plnou využitelnou kapacitu úložiště jednotlivých flash disků. Na rozdíl od hybridních nebo smíšených nastavení NVMe a SSD není při použití jednoho typu jednotky vyhrazená kapacita pro ukládání do mezipaměti. Tato konfigurace zajišťuje optimální využití vašich prostředků úložiště. Další informace o tom, jak vyvážit výkon a kapacitu tak, aby splňovaly vaše požadavky na úlohy, najdete v tématu Plánování svazků – pokud záleží na výkonu nejvíce.

Návrh sítě

Návrh sítě je celkové uspořádání součástí v rámci fyzické infrastruktury sítě a logických konfigurací. Stejné porty karty fyzického síťového rozhraní (NIC) můžete použít pro všechny kombinace záměrů sítě pro správu, výpočetní prostředky a úložiště. Použití stejných portů síťové karty pro všechny účely související se záměrem se označuje jako plně konvergovaná síťová konfigurace.

Podporuje se plně konvergovaná síťová konfigurace, ale optimální konfigurace pro výkon a spolehlivost je pro záměr úložiště používat vyhrazené porty síťového adaptéru. V důsledku toho tato základní architektura poskytuje příklad návodu, jak nasadit místní instanci Azure s více uzly pomocí architektury úložiště a připojené sítě se dvěma porty síťového adaptéru, konvergované pro správní a výpočetní účely, a dva vyhrazené porty síťového adaptéru pro účely úložiště. Další informace najdete v tématu Aspekty sítě pro cloudová nasazení místníchAzure .

Tato architektura vyžaduje dva nebo více fyzických počítačů a maximálně 16 počítačů ve velkém měřítku. Každý počítač vyžaduje čtyři porty síťového adaptéru, které jsou připojené ke dvěma přepínačům ToR (Top-of-Rack). Dva přepínače ToR by měly být vzájemně propojené prostřednictvím agregační skupiny více skřisní (MLAG). Dva porty síťového adaptéru používané pro přenosy záměru úložiště musí podporovat vzdálený přímý přístup do paměti (RDMA). Tyto porty vyžadují minimální rychlost propojení 10 gigabitů za sekundu (Gb/s), ale doporučujeme rychlost 25 Gb/s nebo vyšší. Dva porty síťového adaptéru používané pro záměry správy a výpočetních prostředků se konvergují pomocí technologie SET (Switch Embedded Teaming). Technologie SET poskytuje možnosti redundance propojení a vyrovnávání zatížení. Tyto porty vyžadují minimální rychlost propojení 1 Gb/s, ale doporučujeme rychlost 10 Gb/s nebo vyšší.

Topologie fyzické sítě

Následující topologie fyzické sítě zobrazuje fyzická síťová připojení mezi místními počítači Azure a síťovými komponentami.

Pro návrh víceuzlového úložiště, které využívá tuto základní návrh architektury a přepínané místní nasazení Azure, potřebujete následující komponenty.

Obrázek znázorňuje topologii fyzické sítě pro místní instanci Azure s více uzly, která používá přepínanou architekturu úložiště se dvěma ToR přepínači. Diagram zvýrazňuje propojení mezi fyzickými počítači, přepínači ToR a externími sítěmi. Zdůrazňuje redundanci a vyhrazené porty podporující RDMA pro provoz úložiště.

• Přepínače Duální toR:

  • Síťové přepínače Dual ToR jsou vyžadovány pro odolnost sítě a pro službu nebo použití aktualizací firmwaru na přepínače bez výpadků. Tato strategie brání jedinému bodu selhání (SPoF).

  • Duální přepínače ToR se používají pro provoz úložiště nebo východ-západ. Tyto přepínače používají dva vyhrazené ethernetové porty, které mají specifické sítě VLAN (Storage Virtual Local Area Network) a třídy provozu řízení toku priority (PFC), které jsou definované pro zajištění bezeztrátové komunikace RDMA.

  • Tyto přepínače se připojují k fyzickým počítačům prostřednictvím ethernetových kabelů.

• Dva nebo více fyzických počítačů a maximálně 16 fyzických počítačů:

  • Každý počítač je fyzický server, na kterém běží operační systém Azure Stack HCI.

  • Každý počítač vyžaduje celkem čtyři porty síťového adaptéru: dva porty podporující RDMA pro úložiště a dva porty síťového adaptéru pro správu a výpočetní provoz.

  • Úložiště používá dva vyhrazené porty síťového adaptéru podporující RDMA, které se připojují s jednou cestou ke každému ze dvou přepínačů ToR. Tento přístup poskytuje redundanci cesty propojení a vyhrazenou šířku pásma určenou pro přenosy úložiště SMB Direct.

  • Správa a výpočetní prostředky používají dva porty síťového adaptéru, které poskytují jednu cestu ke každému ze dvou přepínačů ToR pro redundanci link-path.

• Externí připojení:

  • Duální ToR přepínače se připojují k externí síti, například k interní podnikové místní síti (LAN), aby poskytovaly přístup k požadovaným odchozím adresám URL a využívají vaše hraniční síťové zařízení. Toto zařízení může být brána firewall nebo směrovač. Tyto přepínače směrují provoz, který směřuje do místní instance Azure nebo z provozu na severu a na jih.

  • Připojení externího provozu na sever podporuje záměr správy clusteru a výpočetní záměry. Tato konfigurace sítě se dosahuje pomocí dvou portů přepínače a dvou portů síťového adaptéru pro každý počítač, který se konverguje přes SET a virtuální přepínač v rámci Hyper-V k zajištění odolnosti. Tyto komponenty poskytují externí připojení pro místní virtuální počítače Azure a další prostředky úloh nasazené v logických sítích vytvořených v Resource Manageru pomocí webu Azure Portal, Azure CLI nebo šablon IaC.

Topologie logické sítě

Topologie logické sítě ukazuje přehled o tom, jak síťová data proudí mezi zařízeními bez ohledu na jejich fyzická připojení.

Následující příklad ukazuje souhrn logické konfigurace přepínané základní architektury úložišť s více uzly pro Azure Local.

Diagram znázorňuje topologii logické sítě pro místní instanci Azure s více uzly, která používá přepnulou architekturu úložiště. Znázorňuje tok síťového provozu mezi komponentami. Diagram znázorňuje dva fyzické uzly, z nichž každý má několik síťových adaptérů. Síť ATC se používá k definování záměrů pro provoz správy, výpočetní a úložný provoz. Záměry správy a výpočetní záměry se konvergují na virtuální přepínač, který používá SET. Záměr úložiště používá vyhrazené adaptéry podporující RDMA. Diagram také znázorňuje logické sítě pro virtuální počítače a připojení k externí síti prostřednictvím přepínačů ToR.

• Přepínače Duální toR:

  • Před nasazením clusteru je potřeba nakonfigurovat dva síťové přepínače ToR s požadovanými ID sítě VLAN, maximálním nastavením přenosové jednotky a konfigurací přemostění datacenter pro porty pro správu, výpočetní výkon a úložiště . Další informace najdete v tématu požadavky na fyzickou síť pro místníAzure nebo požádejte o pomoc dodavatele hardwaru přepínače nebo partnera SI.

• Network ATC:

  • Azure Local používá přístup ATC sítě k použití automatizace sítě a konfigurace sítě založené na záměru.

  • Azure Local používá přístup ATC sítě k použití automatizace sítě a konfigurace sítě založené na záměru.

  • Síťová ATC je navržená tak, aby zajistila optimální konfiguraci sítě a tok provozu pomocí záměrů síťového provozu. Síťová ATC definuje, které porty fyzického síťového adaptéru se používají pro různé záměry (nebo typy) síťového provozu, jako je správa clusteru, výpočetní výkon úloh a záměry úložiště clusteru.

  • Zásady založené na záměru zjednodušují požadavky na konfiguraci sítě tím, že automatizují konfiguraci sítě počítače na základě vstupů parametrů zadaných v rámci procesu nasazení místního cloudu Azure.

• Externí komunikace:

  • Když fyzické počítače nebo úlohy potřebují komunikovat externě prostřednictvím podnikové sítě LAN, internetu nebo jiné služby, směrují se přes duální přepínače ToR.

  • Když dva přepínače ToR slouží jako zařízení vrstvy 3, starají se o směrování a zajišťují připojení i mimo klastr k hraničnímu zařízení, jako je brána firewall nebo směrovač.

  • Záměr sítě pro správu používá konvergované virtuální rozhraní týmu SET, které umožňuje externí komunikaci IP adresy správy clusteru a prostředků řídicí roviny.

  • Pro záměr výpočetní sítě můžete v Azure vytvořit jednu nebo více logických sítí s konkrétními ID sítí VLAN pro vaše prostředí. Prostředky úloh, jako jsou virtuální počítače, používají tato ID k udělení přístupu k fyzické síti. Logické sítě používají dva porty fyzického síťového adaptéru, které konvergují pomocí týmu SET pro účely výpočtů a správy.

• Provoz úložiště:

  • Fyzické počítače vzájemně komunikují pomocí dvou vyhrazených portů síťového adaptéru, které jsou připojené k přepínačům ToR, aby poskytovaly vysokou šířku pásma a odolnost provozu úložiště.

  • Porty úložiště SMB1 a SMB2 se připojují ke dvěma samostatným nesměrovatelným sítím (neboli vrstvě 2). Každá síť má nakonfigurované konkrétní ID sítě VLAN, které musí odpovídat konfiguraci portů přepínače v přepínačích ToR výchozí ID sítě VLAN úložiště: 711 a 712.

  • Na dvou portech síťového adaptéru pro úložné záměry v operačním systému Azure Stack HCI není nakonfigurovaná žádná výchozí brána.

  • Každý uzel clusteru má přístup k možnostem Prostorů úložiště s přímým přístupem ke clusteru, jako jsou vzdálené fyzické jednotky, které se používají ve fondu úložiště, virtuálních discích a svazcích. Přístup k těmto funkcím se usnadňuje prostřednictvím protokolu SMB-Direct RDMA přes dva porty vyhrazeného síťového adaptéru úložiště, které jsou dostupné v každém počítači. Smb Multichannel se používá k odolnosti.

  • Tato konfigurace poskytuje dostatečnou rychlost přenosu dat pro operace související s úložištěm, například udržování konzistentních kopií dat pro zrcadlené svazky.

Požadavky na síťový přepínač

Vaše ethernetové přepínače musí splňovat různé specifikace vyžadované službou Azure Local a nastavené institutem IEEE SA (Institute of Electrical and Electronics Engineers Standards Association). Například pro přepnutá nasazení úložiště s více uzly se síť úložiště používá pro RDMA přes RoCE v2 nebo iWARP. Tento proces vyžaduje pfc IEEE 802.1Qbb k zajištění bezeztrátové komunikace pro třídy provozu úložiště. Přepínače ToR musí poskytovat podporu IEEE 802.1Q pro sítě VLAN a IEEE 802.1AB pro protokol Link Layer Discovery Protocol.

Pokud plánujete použít existující síťové přepínače pro místní nasazení Azure, projděte si seznam povinných standardů a specifikací IEEE, které síťové přepínače a konfigurace musí poskytovat. Při nákupu nových síťových přepínačů si projděte seznam modelů přepínačů certifikovaných dodavatelem hardwaru, které podporují požadavky na místní síť Azure.

Požadavky na IP adresu

V nasazení s přepnutím úložiště s více uzly se počet potřebných IP adres zvýší přidáním každého fyzického počítače až na maximálně 16 fyzických počítačů v rámci jednoho clusteru. Pokud například chcete nasadit konfiguraci azure Local se dvěma uzly úložiště se dvěma uzly, infrastruktura clusteru vyžaduje přidělení minimálně 11 x IP adres. Pokud používáte mikros segmentaci nebo softwarově definované sítě, vyžaduje se více IP adres. Další informace najdete v tématu Kontrola požadavků na IP adresy úložiště se dvěma uzly pro místníAzure .

Při návrhu a plánování požadavků na IP adresy pro Místní Azure nezapomeňte zohlednit další IP adresy nebo rozsahy sítě potřebné pro vaši úlohu nad rámec těch, které jsou potřeba pro místní instanci a komponenty infrastruktury Azure. Pokud plánujete nasadit AKS v Azure Local, přečtěte si téma AKS povolené požadavky na síť Azure Arc.

Odchozí síťové připojení

Před nasazením řešení je důležité porozumět požadavkům na odchozí síťové připojení v Azure Local a zohlednit tyto požadavky do plánu návrhu a implementace. Odchozí síťové připojení je potřeba, aby služba Azure Local mohla komunikovat s Azure a Azure Arc pro operace správy a řídicí roviny. Například odchozí připojení je nezbytné ke zřízení prostředků s podporou Azure Arc, jako jsou místní virtuální počítače Azure nebo clustery AKS, a k používání služeb pro správu Azure, jako je Update Manager a Azure Monitor.

Počáteční plánování a hloubková kontrola pro povolení síťové komunikace s požadovanými veřejnými koncovými body je velmi důležitá, když integrujete Azure Local do stávající místní sítě datacentra. Tento požadavek je zvlášť důležitý, pokud máte nakonfigurovaná striktní pravidla výchozího přenosu dat na zařízeních proxy serveru nebo brány firewall. Pokud kontrolní mechanismy zabezpečení sítě zahrnují kontrolní technologie SSL (Secure Sockets Layer), mějte na paměti, že kontrola SSL není podporovaná pro komunikaci místní sítě Azure.

Proč záleží na odchozím síťovém připojení

Odchozí síťové připojení se vyžaduje z místní instance Azure. Tento požadavek zahrnuje fyzické počítače, zařízení mostu prostředků Azure Arc , clustery AKS a místní virtuální počítače Azure, pokud používáte Azure Arc pro správu hostovaného operačního systému virtuálního počítače. Tato zařízení mají místní agenty nebo služby, které se připojují k veřejným koncovým bodům pomocí odchozího síťového přístupu pro komunikaci v reálném čase, což umožňuje připojení k poskytovatelům prostředků roviny správy a řídicí roviny, kteří běží v Azure. Například odchozí připojení je nezbytné pro operátory, aby mohli používat Azure Portal, Azure CLI nebo nástroje IaC, jako jsou ARM, Bicep nebo šablony Terraformu pro zřizování prostředků, jejich správu nebo provádění obou akcí. Azure a most prostředků Azure Arc fungují v kombinaci s prostředkem vlastního umístění vaší místní instance Azure. Tato kombinace umožňuje cílit na konkrétní místní instanci Azure pro všechny operace CRUD prostředku (vytvoření, čtení, aktualizace nebo odstranění) pro prostředky úloh s podporou Azure Arc.

Pokud chcete povolit připojení, nakonfigurujte bránu firewall, proxy server nebo internetovou výstupní technologii, nebo jejich kombinaci, k povolení odchozího přístupu k požadovaným veřejným koncovým bodům. Zvažte následující klíčové aspekty požadavků na místní odchozí síť Azure:

• Azure Local nepodporuje kontrolu paketů SSL/TLS na žádné síťové cesty z místních instancí Azure do veřejných koncových bodů. Kromě toho služba Private Link a Azure ExpressRoute nepodporují připojení k požadovaným veřejným koncovým bodům. Další informace najdete v tématu Požadavky brány firewall pro Azure místní.

• Zvažte použití brány Azure Arc ke zjednodušení požadavků na připojení. Tento přístup výrazně snižuje počet požadovaných koncových bodů, které je potřeba přidat do brány firewall nebo pravidel proxy serveru pro nasazení a správu místního prostředí Azure.

• Když nasadíte Azure Local pomocí proxy serveru k řízení a správě přístupu k odchozímu přenosu dat z internetu, zkontrolujte požadavky na proxy server.

Monitoring

Přehledy pro Azure Local jsou založené na Azure Monitoru a Log Analytics, což zajišťuje vždy aktuální, škálovatelné řešení, které je vysoce přizpůsobitelné. Insights poskytuje přístup k výchozím sešitům se základními metrikami a specializovanými sešity vytvořenými pro monitorování klíčových funkcí Azure Local. Tyto komponenty poskytují řešení monitorování téměř v reálném čase a umožňují vytváření grafů, přizpůsobení vizualizací prostřednictvím agregace a filtrování a konfigurace vlastních pravidel upozornění služby Resource Health.

Pokud chcete vylepšit monitorování a upozorňování, povolte přehledy služby Azure Monitor v místním prostředí Azure. Přehledy se můžou škálovat pro monitorování a správu více místních instancí prostřednictvím prostředí konzistentního s Azure. Insights využívá čítače výkonu clusteru a kanály protokolu událostí k monitorování klíčových místních funkcí Azure. Řadič domény nakonfigurovaný prostřednictvím služby Azure Monitor a Log Analytics shromažďuje protokoly.

Správa aktualizací

Místní instance Azure a nasazené prostředky úloh, jako jsou místní virtuální počítače Azure, je potřeba pravidelně aktualizovat a opravovat. Pravidelným používáním aktualizací zajistíte, aby vaše organizace zachovala silný stav zabezpečení. Zlepšíte také celkovou spolehlivost a možnosti podpory vašich aktiv. Doporučujeme používat automatická a pravidelná ruční hodnocení pro včasné zjišťování a použití oprav zabezpečení a aktualizací operačního systému.

Aktualizace infrastruktury

Azure Local se průběžně aktualizuje, aby se zlepšilo uživatelské prostředí a zavedlo nové funkce. Aktualizace funkcí se doručují každých šest měsíců prostřednictvím release cyklů, přičemž nové verze jsou vydávány v dubnu (YY04) a v říjnu (YY10). Kromě běžných aktualizací funkcí azure Local přijímá měsíční kumulativní aktualizace, které zahrnují vylepšení zabezpečení a spolehlivosti operačního systému a také aktualizace rozšíření a agentů.

Update Manager je služba Azure, kterou můžete použít k použití, zobrazení a správě aktualizací pro místní Azure. Tato služba poskytuje mechanismus pro zobrazení všech místních instancí Azure v celé infrastruktuře a hraničních umístěních, které používají Azure Portal k zajištění centralizovaného prostředí správy. Další informace najdete v následujících zdrojích informací:

• Informace o místní verzi Azure
• Tempo místního životního cyklu Azure
• Kontrola fází aktualizace místního Azure
• Použijte Update Manager k aktualizaci Azure Local

Je důležité pravidelně kontrolovat nové aktualizace ovladačů a firmwaru, například každé tři až šest měsíců. Pokud pro místní hardware Azure používáte verzi kategorie Premier Solution, jsou aktualizace balíčků SBE (Solution Builder Extension) integrované s Update Managerem, aby se zajistilo zjednodušené prostředí aktualizací. Pokud používáte ověřené uzly nebo kategorii integrovaného systému, může být nutné stáhnout a spustit balíček aktualizace specifické pro OEM, který obsahuje aktualizace firmwaru a ovladačů pro váš hardware. Pokud chcete zjistit, jak se aktualizace dodávají pro váš hardware, obraťte se na svého hardwarového OEM nebo partnera SI.

Opravy operačního systému hostujícího pracovní úlohy

Místní virtuální počítače Azure nasazené v Azure Local můžete zaregistrovat do Update Manageru , abyste zajistili jednotné prostředí správy oprav pomocí stejného mechanismu, který se používá k aktualizaci fyzických počítačů místní instance Azure. Pomocí Update Manageru můžete vytvářet konfigurace údržby hosta. Tyto konfigurace řídí nastavení, jako je restartování restartování v případě potřeby, plán (data, časy a možnosti opakování) a dynamický (předplatné) nebo statický seznam místních virtuálních počítačů Azure pro rozsah. Tato nastavení řídí konfiguraci, kdy jsou v hostovaném operačním systému vašeho virtuálního počítače nainstalovány bezpečnostní záplaty operačního systému.

Considerations

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Reliability

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace naleznete v tématu Kontrolní seznam pro kontrolu spolehlivosti.

Identifikace potenciálních bodů selhání

Každá architektura je náchylná k selháním. Můžete předvídat selhání a připravit se na zmírnění rizik pomocí analýzy režimu selhání (FMA). Následující tabulka popisuje čtyři příklady potenciálních bodů selhání v této architektuře.

Component	Risk	Likelihood	Dopad a zmírnění rizik	Outage
Výpadek místní instance Azure	Selhání napájení, sítě, hardwaru nebo softwaru	Medium	Aby se předešlo dlouhodobému výpadku aplikace způsobenému selháním lokální instance Azure pro obchodně či kriticky důležité případy použití, měla by být vaše úloha navržena podle principů vysoké dostupnosti a zotavení po havárii. Můžete například použít standardní technologie replikace dat úloh k udržování více kopií trvalých stavových dat nasazených pomocí několika místních virtuálních počítačů Azure nebo instancí AKS nasazených v samostatných místních instancích Azure a v samostatných fyzických umístěních.	Potenciální výpadek
Výpadek místního fyzického počítače Azure	Selhání napájení, hardwaru nebo softwaru	Medium	Pokud chcete zabránit dlouhodobému výpadku aplikace způsobenému selháním jednoho místního počítače Azure, vaše místní instance Azure by měla mít více fyzických počítačů. Požadavky na kapacitu úloh během fáze návrhu clusteru určují počet fyzických počítačů. Doporučujeme mít tři nebo více fyzických počítačů. Doporučujeme také použít třícestné zrcadlení, což je výchozí režim odolnosti úložiště pro clustery se třemi nebo více fyzickými počítači. Pokud chcete zabránit SPoF a zvýšit odolnost úloh, nasaďte několik instancí úlohy pomocí dvou nebo více místních virtuálních počítačů Azure nebo podů kontejnerů, které běží na několika pracovních uzlech AKS. Pokud jeden počítač selže, místní virtuální počítače a aplikační služby Azure se restartují na zbývajících online fyzických počítačích v clusteru.	Potenciální výpadek
Místní virtuální počítač Azure nebo pracovní uzel AKS (úloha)	Misconfiguration	Medium	Uživatelé aplikace se nemůžou přihlásit nebo získat přístup k aplikaci. Identifikace chybných konfigurací během nasazování Pokud k těmto chybám dojde během aktualizace konfigurace, tým DevOps musí vrátit změny zpět. V případě potřeby můžete virtuální počítač znovu nasadit. Nasazení opětovného nasazení trvá méně než 10 minut, ale může trvat déle podle typu nasazení.	Potenciální výpadek
Připojení k Azure	Výpadek sítě	Medium	Místní Azure vyžaduje síťové připojení k Azure, aby byly k dispozici operace řídicí roviny. Pokud například chcete zřídit nové místní virtuální počítače Azure nebo clustery AKS, nainstalovat aktualizace řešení pomocí Update Manageru nebo monitorovat stav instance pomocí služby Azure Monitor. Pokud je připojení k Azure nedostupné, instance funguje v degradovaném stavu, kde tyto funkce nejsou dostupné. Stávající úlohy, které už běží na Azure Local, se budou nadále spouštět. Pokud se během 30 dnů neobnoví síťové připojení k Azure, instance zadá stav Mimo zásady, který může omezit funkčnost. Zařízení Azure resource bridge nesmí být offline déle než 45 dní, protože tato nečinnost může ovlivnit platnost bezpečnostního klíče používaného k autentizaci.	Operace správy nejsou k dispozici

Další informace naleznete v tématu Doporučení pro provádění FMA.

Cíle spolehlivosti

Tato část popisuje ukázkový scénář. Fiktivní zákazník, který se označuje jako Contoso Manufacturing , používá tuto referenční architekturu k nasazení Azure Local. Chtějí řešit své požadavky a nasazovat a spravovat úlohy místně. Společnost Contoso Manufacturing má cíl cíle na úrovni interní úrovně služeb (SLO) 99,8%, že zúčastněné strany obchodních a aplikačních aplikací souhlasí se svými službami.

• Cíl úrovně služby (SLO) 99.8% doba provozu nebo dostupnosti vede k následujícím obdobím povoleného výpadku nebo nedostupnosti pro aplikace nasazené pomocí lokálních virtuálních počítačů v Azure, které běží na Azure Local:

  • Týdně: 20 minut a 10 sekund

  • Měsíčně: 1 hodina, 26 minut a 56 sekund

  • Čtvrtletně: 4 hodiny, 20 minut a 49 sekund

  • Ročně: 17 hodin, 23 minut a 16 sekund

• , aby společnost Contoso Manufacturing pomohla splnit cíle cíle SLO, implementuje zásadu nejnižších oprávnění (PoLP), aby omezila počet správců místních instancí Azure na malou skupinu důvěryhodných a kvalifikovaných jednotlivců. Tento přístup pomáhá zabránit výpadkům kvůli neúmyslným nebo náhodným akcím provedeným s produkčními prostředky. Protokoly událostí zabezpečení pro místní řadiče domény služby Active Directory Domain Services (AD DS) se navíc monitorují, aby detekovaly a hlásily všechny změny členství ve skupinách uživatelských účtů, označované jako akce přidání a odebrání , pro skupinu správců místní instance Azure , která používá řešení SIEM. Monitorování zvyšuje spolehlivost a zlepšuje zabezpečení řešení.

  Další informace najdete v tématu Doporučení pro správu identit a přístupu.

• postupy kontroly striktních změn jsou zavedeny pro výrobní systémy společnosti Contoso Manufacturing. Tento proces vyžaduje, aby se všechny změny testovaly a ověřovaly v reprezentativním testovacím prostředí před implementací v produkčním prostředí. Všechny změny odeslané do procesu poradní rady pro týdenní změny musí zahrnovat podrobný plán implementace (nebo odkaz na zdrojový kód), skóre na úrovni rizika, komplexní plán vrácení zpět, testování po vydání a ověření a jasná kritéria úspěchu pro změnu, která se mají zkontrolovat nebo schválit.

  Další informace najdete v tématu Doporučení pro postupy bezpečného nasazení.

• Měsíční opravy zabezpečení a čtvrtletní aktualizace směrného plánu se použijí na produkční instance Azure Local až po jejich ověření předprodukčním prostředím. Update Manager a funkce aktualizace pracující s clustery automatizují proces použití migrace za provozu virtuálních počítačů za provozu, aby se minimalizovaly výpadky důležitých úloh během měsíčních operací údržby. Standardní provozní postupy společnosti Contoso Manufacturing vyžadují, aby se aktualizace zabezpečení, spolehlivosti nebo základního sestavení aplikovaly na všechny produkční systémy do čtyř týdnů od data vydání. Bez této zásady se produkční systémy trvale nemůžou držet aktuální s měsíčními aktualizacemi operačního systému a zabezpečení. Zastaralé systémy negativně ovlivňují spolehlivost a zabezpečení platformy.

  Další informace najdete v tématu Doporučení pro stanovení standardních hodnot zabezpečení.

• Společnost Contoso Manufacturing implementuje denní, týdenní a měsíční zálohy tak, aby se zachovalo posledních 6 dní denních záloh (pondělí až sobota), poslední 3 týdenní (každou neděli) a 3 měsíční zálohy, přičemž každá neděle ve 4. týdnu bude zachována, aby se stala zálohami měsíce 1, měsíce 2 a měsíce 3 pomocí plánu založeného na rolovacím kalendáři, který je zdokumentovaný a auditovatelný. Tento přístup splňuje požadavky společnosti Contoso Manufacturing na odpovídající rovnováhu mezi počtem dostupných bodů obnovení dat a snížením nákladů na službu úložiště mimo pracoviště nebo cloudového úložiště záloh.

  Další informace najdete v tématu Doporučení pro návrh strategie zotavení po havárii.

• procesy zálohování a obnovení dat se testují pro každý obchodní systém každých šest měsíců. Tato strategie zajišťuje, že procesy BCDR jsou platné a že firma je chráněná, pokud dojde k havárii datacentra nebo kyberzločinci.

  Další informace najdete v tématu Doporučení pro navrhování strategie testování spolehlivosti.

• Provozní procesy a postupy popsané výše v článku a doporučení v průvodci službami Well-Architected Framework pro místníAzure umožňují společnosti Contoso Manufacturing splnit svůj cíl 99.8% cíle ALO na úrovni SLO a efektivně škálovat a spravovat nasazení místních úloh Azure a úloh napříč několika výrobními lokalitami, které jsou distribuované po celém světě.

  Další informace najdete v tématu Doporučení pro definování cílů spolehlivosti.

Redundancy

Zvažte úlohu, kterou nasadíte v jedné místní instanci Azure, jako místně redundantní nasazení. Cluster poskytuje HA na úrovni platformy, ale je nutné nasadit cluster do jednoho racku. Pro důležité obchodní nebo klíčové případy použití doporučujeme nasadit více instancí úlohy nebo služby napříč dvěma nebo více samostatnými místními instancemi Azure, ideálně v samostatných fyzických umístěních.

Použijte vzory vysoké dostupnosti, které jsou standardem v oboru, pro úlohy, jež poskytují aktivní/pasivní replikaci, synchronní replikaci nebo asynchronní replikaci, jako je SQL Server Always On. Můžete také použít technologii vyrovnávání zatížení externí sítě (NLB), která směruje požadavky uživatelů napříč několika instancemi úloh, které běží v místních instancích Azure, které nasazujete v samostatných fyzických umístěních. Zvažte použití externího zařízení nlB partnera. Nebo můžete vyhodnotit možnosti vyrovnávání zatížení , které podporují směrování provozu pro hybridní a místní služby, například instanci služby Azure Application Gateway, která používá ExpressRoute nebo tunel VPN pro připojení k místní službě.

Další informace najdete v tématu Doporučení pro navrhování redundance.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu prozabezpečení .

• Bezpečný základ pro místní platformu Azure:Azure Local je standardně zabezpečený produkt, který používá ověřené hardwarové komponenty s čipem TPM, UEFI a zabezpečeným spouštěním k vytvoření zabezpečeného základu pro místní platformu Azure a zabezpečení úloh. Když je služba Azure Local nasazená s výchozím nastavením zabezpečení, má povolené řízení aplikací, ochranu Credential Guard a BitLocker. Pokud chcete zjednodušit delegování oprávnění pomocí nástroje PoLP, použijte místní předdefinované role řízení přístupu na základě role (RBAC), jako je Azure Local Administrator pro správce platforem a Přispěvatel místních virtuálních počítačů Azure nebo Místní čtenář virtuálních počítačů Azure pro operátory úloh.

• Výchozí nastavení zabezpečení: Azure Local použije výchozí nastavení zabezpečení pro místní instanci Azure během nasazování a umožňuje řízení odchylek , aby fyzické počítače zůstaly ve známém dobrém stavu. Výchozí nastavení zabezpečení můžete použít ke správě zabezpečení clusteru, řízení odchylek a nastavení zabezpečeného základního serveru v clusteru.

• Protokoly událostí zabezpečení:Předávání místních syslogů Azure se integruje s řešeními pro monitorování zabezpečení načtením relevantních protokolů událostí zabezpečení pro agregaci a ukládání událostí pro uchovávání ve vaší vlastní platformě SIEM.

• Ochrana před hrozbami a ohroženími zabezpečení:Defender for Cloud chrání vaši místní instanci Azure před různými hrozbami a ohroženími zabezpečení. Tato služba pomáhá zlepšit stav zabezpečení místního prostředí Azure a může chránit před stávajícími a vyvíjejícími se hrozbami.

• Detekce a náprava hrozeb:Microsoft Advanced Threat Analytics detekuje a opravuje hrozby, jako jsou hrozby, které cílí na službu AD DS, které poskytují ověřovací služby počítačům místní instance Azure a jejich úlohám virtuálních počítačů s Windows Serverem.

• Izolace sítě: v případě potřeby izolovat sítě. Můžete například zřídit několik logických sítí, které používají samostatné sítě VLAN a rozsahy síťových adres. Při použití tohoto přístupu se ujistěte, že se síť pro správu může spojit s každou logickou sítí a sítí VLAN, aby fyzické počítače místní instance Azure mohly komunikovat se sítěmi VLAN prostřednictvím přepínačů nebo bran ToR. Tato konfigurace se vyžaduje pro správu úlohy, jako je například povolení komunikace agentů pro správu infrastruktury s hostujícím operačním systémem úloh.

  Další informace najdete v tématu Doporučení k vytvoření strategie segmentace.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu proOptimalizace nákladů .

• Model fakturace ve stylu cloudu pro licencování: Místní ceny Azure se řídí modelem fakturace měsíčního předplatného s plochou sazbou pro každé jádro fyzického procesoru v místní instanci Azure. Pokud používáte jiné služby Azure, budou se účtovat další poplatky za využití. Pokud vlastníte místní základní licence pro edici Windows Server Datacenter s aktivním programem Software Assurance, můžete si tyto licence vyměnit za aktivaci místní instance Azure a poplatků za předplatné virtuálního počítače s Windows Serverem.

• Automatické opravy hosta virtuálního počítače pro místní virtuální počítače Azure: Tato funkce pomáhá snížit režii ručních oprav a souvisejících nákladů na údržbu. Tato akce pomáhá nejen zabezpečit systém, ale také optimalizuje přidělování prostředků a přispívá k celkové efektivitě nákladů.

• Konsolidace monitorování nákladů: Ke konsolidaci nákladů na monitorování použijte Azure Local Insights a opravu pomocí Update Manageru pro Azure Local. Azure Local Insights využívá Azure Monitor k poskytování bohatých metrik a možností upozorňování. Komponenta správce životního cyklu Azure Local se integruje s Update Managerem, aby se zjednodušila úloha zachování clusterů up-to-date sloučením pracovních postupů aktualizací pro různé komponenty do jednoho prostředí. Využijte Azure Monitor a Update Manager k optimalizaci přidělování prostředků a přispívání k celkové efektivitě nákladů.

  Další informace najdete v tématu Doporučení pro optimalizaci času zaměstnanců.

• Počáteční kapacita a růst úloh: Při plánování místního nasazení Azure zvažte počáteční kapacitu úloh, požadavky na odolnost a budoucí růst. Zvažte, jestli použití architektury bez přepínače úložiště se dvěma, třemi nebo čtyřmi uzly může snížit náklady, jako je například odebrání nutnosti pořízení síťových přepínačů třídy úložiště. Nákup síťových přepínačů extra třídy úložiště může být nákladnou součástí nových nasazení místní instance Azure. Místo toho můžete použít existující přepínače pro správu a výpočetní sítě, které zjednodušují infrastrukturu. Pokud vaše kapacita a odolnost úloh není potřeba škálovat nad rámec konfigurace se čtyřmi uzly, zvažte použití stávajících přepínačů pro správu a výpočetní sítě a použití architektury bez přepínače úložiště k nasazení Azure Local.

  Další informace najdete v tématu Doporučení pro optimalizaci nákladů na komponenty.

Tip

Pokud máte licence Windows Server Datacenter s aktivním Software Assurance, můžete snížit náklady prostřednictvím zvýhodněného programu Azure Hybrid Benefit. Další informace najdete v tématu Zvýhodněné hybridní využití Azure pro místníAzure.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace naleznete v tématu kontrolní seznam pro kontrolu efektivity provozu.

• Zjednodušené prostředí pro zřizování a správu integrované s Azure:Cloudové nasazení v Azure poskytuje rozhraní řízené průvodcem, které ukazuje, jak vytvořit místní instanci Azure. Podobně Azure zjednodušuje proces správy místních instancí Azure a místních virtuálních počítačů Azure. Nasazení místní instance Azure na portálu můžete automatizovat pomocí této šablony ARM. Použití šablon poskytuje konzistenci a automatizaci pro nasazení Azure Local ve velkém měřítku, konkrétně v hraničních scénářích, jako jsou maloobchodní prodejny nebo výrobní lokality, které vyžadují místní instanci Azure ke spouštění důležitých obchodních úloh.

• Možnosti automatizace pro Azure Virtual Machines: Azure Local poskytuje širokou škálu možností automatizace pro správu úloh, jako jsou místní virtuální počítače Azure. Mezi tyto funkce patří automatizované nasazení místních virtuálních počítačů Azure pomocí Azure CLI, šablon ARM nebo šablon Bicep. Aktualizace operačního systému virtuálního počítače se doručují prostřednictvím rozšíření Azure Arc pro aktualizace a Správce aktualizací, které platí pro každou místní instanci Azure. Azure Local také poskytuje podporu pro správu místních virtuálních počítačů Azure pomocí Azure CLI a místních virtuálních počítačů mimo Azure pomocí Windows PowerShellu. Příkazy Azure CLI můžete spouštět místně z jednoho z místních počítačů Azure nebo vzdáleně z počítače pro správu. Integrace se službou Azure Automation a Azure Arc usnadňuje širokou škálu dalších scénářů automatizace pro úlohy virtuálních počítačů prostřednictvím rozšíření Azure Arc.

  Další informace najdete v tématu Doporučení pro použitíIaC .

• Možnosti automatizace pro kontejnery v AKS: Azure Local poskytuje širokou škálu možností automatizace pro správu úloh, jako jsou kontejnery, v AKS. Nasazení clusterů AKS můžete automatizovat pomocí Azure CLI. Pomocí rozšíření Azure Arc pro Kubernetes aktualizujte clustery úloh AKS. AKS s podporou Azure Arc můžete spravovat také pomocí Azure CLI. Příkazy Azure CLI můžete spouštět místně z jednoho z místních počítačů Azure nebo vzdáleně z počítače pro správu. Integrace se službou Azure Arc pro širokou škálu scénářů automatizace pro kontejnerizované úlohy prostřednictvím rozšíření Azure Arc

  Další informace najdete v následujících zdrojích informací:

  • Doporučení pro povolení automatizace
  • Porovnání možností správy virtuálních počítačů v místním prostředí Azure

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace naleznete v tématu Kontrola návrhu kontrolní seznam pro zvýšení efektivity výkonu.

• Výkon úložiště úloh: Zvažte použití nástroje DiskSpd k otestování možností výkonu úložiště úloh místní instance Azure. Nástroj VMFleet můžete použít ke generování zatížení a měření výkonu subsystému úložiště. Určete, jestli byste k měření výkonu subsystému úložiště měli použít VMFleet .

  Před nasazením produkčních úloh doporučujeme vytvořit směrný plán pro výkon místních instancí Azure. DiskSpd používá různé parametry příkazového řádku, které správcům umožňují otestovat výkon úložiště clusteru. Hlavní funkcí DiskSpd je vydání operací čtení a zápisu a výstupních metrik výkonu, jako je latence, propustnost a vstupně-výstupní operace za sekundu.

  Další informace naleznete v tématu Doporučení pro testování výkonu.

• Odolnost úložiště úloh: Vezměte v úvahu výhody odolnosti úložiště, efektivity využití (nebo kapacity) a výkonu. Plánování místních svazků Azure zahrnuje identifikaci optimální rovnováhy mezi odolností, efektivitou využití a výkonem. Optimalizaci této rovnováhy může být obtížné, protože maximalizace jedné z těchto charakteristik má obvykle negativní vliv na jednu nebo více dalších charakteristik. Zvýšení odolnosti snižuje využitelnou kapacitu. V důsledku toho se výkon může lišit v závislosti na zvoleném typu odolnosti. Pokud je prioritou odolnost a výkon a když používáte tři nebo více fyzických počítačů, výchozí konfigurace úložiště využívá třícestné zrcadlení pro infrastrukturu i uživatelské svazky.

  Další informace najdete v tématu Doporučení pro plánování kapacity.

• Optimalizace výkonu sítě: Zvažte optimalizaci výkonu sítě. V rámci návrhu nezapomeňte při určování optimální konfigurace síťového hardwaru zahrnout předpokládané přidělení šířky pásma síťového provozu.

  K optimalizaci výkonu výpočetních prostředků v Azure Local můžete použít akceleraci GPU. Akcelerace GPU je užitečná pro vysoce výkonné úlohy umělé inteligence nebo strojového učení, které zahrnují přehledy dat nebo odvozování. Tyto úlohy vyžadují nasazení na hraničních místech z důvodu důležitých aspektů, jako jsou závažnost dat nebo požadavky na zabezpečení. V hybridním nasazení nebo místním nasazení je důležité vzít v úvahu požadavky na výkon úloh, včetně GPU. Tento přístup vám pomůže vybrat správné služby při návrhu a pořízení místních instancí Azure.

  Další informace najdete v tématu Doporučení pro výběr správných služeb.

Nasazení tohoto scénáře

Následující část obsahuje příklad seznamu úloh vysoké úrovně nebo typického pracovního postupu používaného k nasazení Azure Local, včetně požadovaných úloh a důležitých aspektů. Tento seznam pracovních postupů je určen pouze jako ukázkový průvodce. Nejedná se o vyčerpávající seznam všech požadovaných akcí, které se můžou lišit v závislosti na požadavcích organizace, zeměpisné oblasti nebo projektu.

V tomto scénáři vyžaduje projekt nebo použití nasazení hybridního cloudového řešení v místním nebo hraničním umístění, abyste mohli dodávat místní výpočetní prostředky pro zpracování dat. Je také potřeba udržovat prostředí pro správu a fakturaci konzistentní vzhledem k Azure. Další podrobnosti jsou popsány v části Potenciální případy použití tohoto článku. Zbývající kroky předpokládají, že Azure Local je zvolené řešení platformy infrastruktury pro projekt.

1. Shromážděte požadavky na pracovní zátěž a případy použití od příslušných zúčastněných stran. Tato strategie umožňuje projektu potvrdit, že funkce a možnosti Azure Local splňují požadavky na škálování úloh, výkon a funkčnost. Tento proces kontroly by měl zahrnovat pochopení škálování nebo velikosti úloh a požadovaných funkcí, jako jsou místní virtuální počítače Azure, AKS, Virtuální plocha nebo datové služby s podporou Azure Arc nebo služba Machine Learning s podporou Azure Arc. Hodnoty RTO úloh a RPO (cíle bodu obnovení) a další nefunkční požadavky (výkon a škálovatelnost zatížení) by měly být zdokumentovány jako součást tohoto kroku.

2. Projděte si výstup místního nástroje Azure pro určení velikosti pro doporučené řešení hardwarového partnera. Tento výstup obsahuje podrobnosti o doporučeném vytvoření a modelu fyzického serveru, počtu fyzických počítačů a specifikací pro konfiguraci procesoru, paměti a úložiště pro každý fyzický uzel pro nasazení a spouštění úloh.

3. Pomocí nástroje Pro místní nastavení velikosti Azure vytvořte nový projekt, který modeluje typ a škálování úloh. Tento projekt zahrnuje velikost a počet virtuálních počítačů a jejich požadavky na úložiště. Tyto podrobnosti se zadávají společně s volbami pro typ systému, upřednostňovanou řadu procesorů a požadavky na odolnost proti vysoké dostupnosti a odolnosti proti chybám úložiště, jak je vysvětleno v části Možnosti návrhu clusteru .

4. Projděte si výstup azure Local Sizer pro doporučené hardwarové partnerské řešení. Toto řešení obsahuje podrobnosti o doporučeném hardwaru fyzického serveru (make a model), počtu fyzických počítačů a specifikacích pro konfiguraci procesoru, paměti a úložiště pro každý fyzický uzel pro nasazení a spouštění úloh.

5. Obraťte se na partnera OEM nebo SI hardwaru a požádejte o další kvalifikaci vhodnosti doporučené verze hardwaru v porovnání s vašimi požadavky na úlohy. Pokud je k dispozici, použijte nástroje pro určení velikosti hardwaru specifické pro OEM pro požadované úlohy. Tento krok obvykle zahrnuje diskuze s hardwarovým výrobcem OEM nebo partnerem SI pro komerční aspekty řešení. Mezi tyto aspekty patří uvozovky, dostupnost hardwaru, doby předstihu a jakékoli profesionální nebo hodnotové služby, které partner poskytuje, aby vám pomohl urychlit váš projekt nebo obchodní výsledky.

6. Nasaďte dva přepínače ToR pro integraci sítě. V případě řešení vysoké dostupnosti vyžadují místní instance Azure nasazení dvou přepínačů ToR. Každý fyzický počítač vyžaduje čtyři síťové karty, z nichž dva musí být podporující RDMA, které poskytují dvě propojení z každého počítače na dva přepínače ToR. Dvě síťové karty, jedna připojená k jednotlivým přepínačům, se konvergují pro odchozí připojení na sever pro výpočetní a správu sítí. Další dvě síťové karty s podporou RDMA jsou vyhrazené pro datový provoz ve východo-západním směru. Pokud máte v úmyslu používat existující síťové přepínače, ujistěte se, že je v seznamu schválených síťových přepínačů podporovaných službou Azure Local.

7. Spolupracujte s hardwarovým partnerem OEM nebo SI a uspořádejte dodání hardwaru. Partner SI nebo vaši zaměstnanci pak musí hardware integrovat do místního datacentra nebo hraničního umístění, jako je racking a stacking hardwaru, fyzické sítě a kabeláž napájecích jednotek pro fyzické počítače.

8. Proveďte nasazení místní instance Azure. V závislosti na zvolené verzi řešení (Premier Solution, Integrated System nebo Validated Node) může hardwarový partner, partner SI nebo vaši zaměstnanci nasadit místní software Azure. Tento krok začíná onboardingem fyzického počítače s operačním systémem Azure Stack HCI na servery s podporou Azure Arc a spuštěním procesu nasazení místního cloudu Azure. Zákazníci a partneři můžou požádat o podporu přímo s Microsoftem na webu Azure Portal výběrem ikony Podpora a řešení potíží nebo kontaktováním partnera OEM nebo SI hardwaru v závislosti na povaze žádosti a kategorii hardwarového řešení.

   Tip

   Implementace referenčního systému systému Azure Stack HCI verze 23H2 ukazuje, jak nasadit přepnutá nasazení azure Local s více uzly pomocí šablony ARM a souboru parametrů. Alternativně ukázku bicep ukazuje, jak pomocí šablony Bicep nasadit místní instanci Azure, včetně požadovaných prostředků.

9. Nasaďte vysoce dostupné úlohy v Azure Local pomocí webu Azure Portal, rozhraní příkazového řádku nebo šablon ARM a Azure Arc pro automatizaci. Prostředek vlastního umístění nové místní instance Azure použijte jako cílovou oblast při nasazování prostředků úloh, jako jsou místní virtuální počítače Azure, AKS, hostitelé relací služby Virtual Desktop nebo jiné služby s podporou služby Azure Arc , které můžete povolit prostřednictvím rozšíření AKS a kontejnerizace v Místním prostředí Azure.

10. Nainstalujte měsíční aktualizace, abyste zlepšili zabezpečení a spolehlivost platformy. Pokud chcete udržovat místní instance Azure aktuální, je důležité nainstalovat aktualizace softwaru Microsoftu a aktualizace hardwaru ovladačů OEM a firmwaru. Tyto aktualizace zlepšují zabezpečení a spolehlivost platformy. Update Manager tyto aktualizace použije a poskytuje centralizované a škálovatelné řešení pro instalaci aktualizací v jednom clusteru nebo několika clusterech. Obraťte se na partnera OEM hardwaru a zjistěte proces instalace ovladačů hardwaru a aktualizací firmwaru, protože tento proces se může lišit v závislosti na zvoleném typu kategorie hardwarového řešení (Premier Solution, Integrated System nebo Validated Node). Další informace naleznete v tématu Aktualizace infrastruktury.

Související prostředky

• návrhu hybridní architektury
• hybridní možnosti Azure
• Optimalizace správy instancí SQL Serveru v místních a multicloudových prostředích pomocí služby Azure Arc

Další kroky

Dokumentace k produktu Microsoft Learn:

• Informace o místní verzi Azure
• AKS v Místním Azure
• Virtuální desktop na Azure Local
• Co je místní monitorování Azure?
• Ochrana úloh virtuálních počítačů pomocí Site Recovery v Azure Local
• Přehled služby Azure Monitor
• přehled řešení Change Tracking a inventáře
• Přehled Update Manageru
• Co jsou datové služby s podporou Azure Arc?
• Co jsou servery s podporou Azure Arc?
• Co je služba Backup?
• Přehled služby Azure Automation
• Azure Automation State Configuration
• Úvod do cílového výpočetního prostředí Kubernetes ve službě Machine Learning

Dokumentace k produktu Azure:

• Azure místní
• Azure Arc
• Úložiště klíčů
• azure Blob Storage
• Azure Monitor
• Azure Politika
• služby Azure Container Registry
• Defender for Cloud
• Obnova webu
• Backup

Školení k Microsoft Learn:

• Konfigurace služby Azure Monitor
• Navrhněte řešení zálohování a obnovy po havárii
• Seznámení se službou Azure Arc
• Úvod do AKS
• udržovat virtuální počítače aktualizované
• ochrana virtuálních počítačů pomocí služby Backup

Další zdroje informací:

• škálování nasazení modelu pomocí strojového učení kdekoli – blog technické komunity
• realizace strojového učení kdekoli s využitím AKS a strojového učení s podporou Azure Arc – blog technické komunity
• Strojové učení v hybridní a místní službě AKS s využitím strojového učení s podporou služby Azure Arc – blog technické komunity

Tato referenční architektura podle směrného plánu poskytuje pokyny a doporučení nezávislé na úlohách pro konfiguraci místní infrastruktury Azure 2311 a novější, která poskytuje spolehlivou platformu pro vysoce dostupné virtualizované a kontejnerizované úlohy. Tato architektura popisuje komponenty prostředků a možnosti návrhu clusteru pro fyzické počítače, které poskytují možnosti místního výpočetního prostředí, úložiště a sítě. Popisuje také, jak pomocí služeb Azure zjednodušit každodenní správu Azure Local pro operace ve velkém měřítku.

Další informace o vzorech architektury úloh, které jsou optimalizované pro spouštění v místním prostředí Azure, najdete v obsahu umístěném v místní nabídce místní úlohy Azure navigační nabídce.

Tato architektura je výchozím bodem pro použití návrhu sítě s přepínačem úložiště k nasazení místní instance Azure s více uzly. Aplikace úloh nasazené v místní instanci Azure by měly být dobře navrženy. Dobře navržené aplikace úloh musí být nasazeny pomocí několika instancí nebo vysoké dostupnosti (HA) všech důležitých služeb úloh a musí mít odpovídající kontrolní mechanismy provozní kontinuity a zotavení po havárii (BCDR). Tyto ovládací prvky BCDR zahrnují pravidelné zálohování a možnosti obnovení po havárii. Pokud se chcete zaměřit na hyperkonvergovanou platformu infrastruktury (HCI), tyto aspekty návrhu úloh jsou záměrně vyloučené z tohoto článku.

Další informace o pokynech a doporučeních pro pět pilířů architektury Azure Well-Architected najdete v průvodcislužbou Azure Local Well-Architected Framework .

Rozložení článku

Architecture	Rozhodnutí o návrhu	přístup Well-Architected Framework
▪ Architektura ▪ Součásti ▪ Prostředky platformy ▪ Prostředky podporující platformu ▪ Podrobnosti scénáře ▪ Použití Azure Arc s lokálním Azure ▪ Využití výchozí konfigurace zabezpečení Azure ▪ potenciální případy použití ▪ Nasazení tohoto scénáře	▪ možnosti návrhu clusteru ▪ fyzické diskové jednotky ▪ Návrh sítě ▪ Monitorování ▪ Správa aktualizací	▪ Spolehlivost ▪ Bezpečnost ▪ Optimalizace nákladů ▪ Efektivita provozu ▪ Efektivita výkonu

Tip

Tato místní šablona Azure ukazuje, jak pomocí šablony Azure Resource Manageru (šablony ARM) a souboru parametrů nasadit přepnulé nasazení Azure Local s více servery. Příklad Bicep také ukazuje, jak pomocí šablony Bicep nasadit místní instanci Azure a její požadované prostředky.

Architecture

Diagram architektury znázorňuje místní místní prostředí Azure připojené k Azure. Místní prostředí obsahuje místní cluster Azure s více uzly. Cluster je připojený ke dvěma přepínačům ToR pro připojení k síti. Prostředí Azure zobrazuje několik služeb Azure, které se integrují s místním Prostředím Azure. Mezi tyto služby patří Azure Arc, Azure Monitor, Azure Key Vault, Azure Policy, Microsoft Defender for Cloud, Azure Update Manager, Azure Backup a Azure Site Recovery.

Další informace naleznete v tématu Související zdroje informací.

Components

Tato architektura se skládá z hardwaru fyzického serveru, který můžete použít k nasazení místních instancí Azure v místních nebo hraničních umístěních. Kvůli vylepšení možností platformy se Azure Local integruje se službou Azure Arc a dalšími službami Azure, které poskytují podpůrné prostředky. Azure Local poskytuje odolnou platformu pro nasazení, správu a provoz uživatelských aplikací nebo obchodních systémů. Prostředky a služby platformy jsou popsány v následujících částech.

Prostředky platformy

• Azure Local je řešení HCI, které je nasazené místně nebo v hraničních umístěních a používá hardware a síťovou infrastrukturu fyzického serveru. Azure Local poskytuje platformu pro nasazení a správu virtualizovaných úloh, jako jsou virtuální počítače, clustery Kubernetes a další služby, které Azure Arc umožňuje. Místní instance Azure se můžou škálovat z nasazení jednoho počítače na maximálně 16 fyzických počítačů pomocí ověřených, integrovaných nebo prémiových kategorií hardwaru, které poskytují partneři výrobce OEM (Original Equipment Manufacturer). V této architektuře azure Local poskytuje základní platformu pro hostování a správu virtualizovaných a kontejnerizovaných úloh místně nebo na hraničních zařízeních.

• Azure Arc je cloudová služba, která rozšiřuje model správy založený na Resource Manageru na místní a další umístění mimo Azure. Azure Arc používá Azure jako řídicí rovinu a rovinu správy, která umožňuje správu různých prostředků, jako jsou virtuální počítače, clustery Kubernetes a kontejnerizovaná data a služby strojového učení. V této architektuře Azure Arc umožňuje centralizovanou správu a správu prostředků nasazených v Azure Local prostřednictvím řídicí roviny Azure.

• azure Key Vault je cloudová služba, pomocí které můžete bezpečně ukládat tajné kódy a přistupovat k nim. Tajný kód je vše, na co chcete úzce omezit přístup, jako jsou klíče rozhraní API, hesla, certifikáty, kryptografické klíče, přihlašovací údaje místního správce a obnovovací klíče BitLockeru. V této architektuře key Vault zabezpečuje citlivé informace a přihlašovací údaje používané úlohami a komponentami infrastruktury v Azure Local.

• Cloudový svědek je funkce, která používá Azure Storage jako kvorum pro převzetí služeb při selhání clusteru. Místní Azure (jenom dvě instance počítačů) používá jako kvorum pro hlasování cloudového svědka, který zajišťuje vysokou dostupnost clusteru. Konfigurace účtu úložiště a určující kopie clusteru se vytvoří během procesu nasazení místního cloudu Azure. V této architektuře poskytuje cloudový svědek kvorum pro clustery se dvěma uzly, pro zajištění vysoké dostupnosti.

• Azure Update Manager je jednotná služba navržená pro správu a řízení aktualizací pro místní Azure. Pomocí Update Manageru můžete spravovat úlohy nasazené v Místním prostředí Azure, včetně dodržování předpisů aktualizací hostovaného operačního systému pro virtuální počítače s Windows a Linuxem, které je možné povolit pomocí azure Policy. Tento jednotný přístup centralizuje správu oprav napříč Azure, místními prostředími a dalšími cloudovými platformami prostřednictvím jednoho řídicího panelu. V této architektuře poskytuje Update Manager centralizovanou správu aktualizací a oprav pro infrastrukturu i úlohy.

Prostředky podporující platformu

• Azure Monitor je cloudová služba pro shromažďování, analýzu a zpracování diagnostických protokolů a telemetrie z cloudových a místních úloh. Azure Monitor můžete použít k maximalizaci dostupnosti a výkonu aplikací a služeb prostřednictvím řešení monitorování. Nasaďte přehledy pro Azure Local, abyste zjednodušili vytváření pravidla shromažďování dat Služby Azure Monitor (DCR) a povolili monitorování místních instancí Azure. V této architektuře azure Monitor poskytuje monitorování a telemetrii pro místní clustery a úlohy Azure.

• Azure Policy je služba, která vyhodnocuje prostředky Azure a místní prostředky. Azure Policy vyhodnocuje prostředky prostřednictvím integrace s Azure Arc pomocí vlastností těchto prostředků do obchodních pravidel, označovaných jako definice zásad, k určení dodržování předpisů nebo možností, které můžete použít k použití konfigurace hosta virtuálního počítače prostřednictvím nastavení zásad. V této architektuře poskytuje Azure Policy možnost auditu a dodržování předpisů pro konfiguraci zabezpečení operačního systému místních počítačů Azure. Nastavení se neustále aplikují pomocí řízení posunu.

• Defender for Cloud je systém pro správu zabezpečení infrastruktury. Vylepšuje stav zabezpečení datacenter a poskytuje pokročilou ochranu před hrozbami pro hybridní úlohy, ať už se nacházejí v Azure nebo jinde a v místních prostředích. V této architektuře poskytuje Defender for Cloud monitorování zabezpečení a ochranu před hrozbami pro úlohy spuštěné v Azure Local.

• Azure Backup je cloudová služba, která poskytuje bezpečné a nákladově efektivní řešení pro zálohování dat a jejich obnovení z Microsoft Cloudu. Azure Backup Server slouží k zálohování virtuálních počítačů nasazených v místním Azure a jejich ukládání do služby Backup. V této architektuře Azure Backup chrání data a umožňuje obnovení virtuálních počítačů hostovaných v Azure Local.

• Azure Site Recovery je služba pro obnovení po havárii, která poskytuje schopnosti BCDR tím, že umožňuje podnikovým aplikacím a úlohám zajistit pokračování provozu v případě katastrofy nebo výpadku. Site Recovery spravuje replikaci a převzetí služeb při selhání úloh, které běží na fyzických serverech a virtuálních počítačích mezi jejich primární lokalitou (místně) a sekundárním umístěním (Azure). V této architektuře Site Recovery umožňuje obnovení po havárii a přepnutí do zálohy pro úlohy spuštěné v Azure Local.

Podrobnosti scénáře

Následující části obsahují další informace o scénářích a potenciálních případech použití pro tuto referenční architekturu. Tyto části obsahují seznam obchodních výhod a ukázkových typů prostředků úloh, které můžete nasadit v Azure Local.

Použití Služby Azure Arc s místním Prostředím Azure

Azure Local se přímo integruje s Azure pomocí Azure Arc, aby se snížily celkové náklady na vlastnictví (TCO) a provozní režijní náklady. Azure Local se nasazuje a spravuje prostřednictvím Azure, která poskytuje integrovanou integraci Azure Arc prostřednictvím nasazení komponenty mostu prostředků Azure Arc. Tato komponenta se nasadí jako součást procesu nasazení cloudu místní instance Azure. Místní počítače Azure jsou zaregistrované ve službě Azure Arc pro servery jako předpoklad pro spuštění cloudového nasazení místní instance Azure. Během nasazování se povinná rozšíření instalují na každý počítač, jako je Správce životního cyklu, Správa zařízení Microsoft Edge a telemetrická data a diagnostická rozšíření. K monitorování řešení můžete použít Azure Monitor a Log Analytics po nasazení tím, že povolíte Přehledy pro Azure Local. Aktualizace funkcí pro Azure Local se vydávají každých šest měsíců, aby se zlepšilo uživatelské prostředí. Aktualizace pro Místní Azure se řídí a spravují pomocí Update Manageru.

Prostředky úloh, jako jsou virtuální počítače Azure Arc, AKS s podporou Služby Azure Arc a hostitelé relací služby Azure Virtual Desktop , které používají Azure Portal, můžete nasadit výběrem vlastního umístění místní instance Azure jako cíle pro nasazení úloh. Tyto komponenty poskytují centralizovanou správu, správu a podporu. Pokud máte ve stávajících licencích jádra Windows Serveru Datacenter aktivní Software Assurance, můžete náklady dále snížit použitím zvýhodněného hybridního využití Azure na místní virtuální počítače Azure, virtuální počítače s Windows Serverem a clustery AKS. Tato optimalizace pomáhá efektivně spravovat náklady na tyto služby.

Integrace Azure a Azure Arc rozšiřují možnosti místních virtualizovaných a kontejnerizovaných úloh Azure, aby zahrnovaly následující řešení:

• Místní virtuální počítače Azure pro tradiční aplikace nebo služby spuštěné ve virtuálních počítačích v Azure Local.

• AKS v Azure Local pro kontejnerizované aplikace nebo služby, které využívají výhod používání Kubernetes jako platformy orchestrace.

• Virtual Desktop pro nasazení hostitelů relací pro úlohy služby Virtual Desktop v místním prostředí Azure (místní). K zahájení vytváření a konfigurace fondu hostitelů můžete použít řídicí rovinu a rovinu správy v Azure.

• Datové služby s podporou Azure Arc pro kontejnerizovanou spravovanou instanci Azure SQL

• Azure Container Apps s podporou Azure Arc ke spouštění aplikací založených na kontejnerech a mikroslužeb Můžete ho nasadit pomocí rozšíření Container Apps pro Kubernetes, které umožňuje zřizování připojených prostředí Container Apps. Po povolení v clusteru AKS můžete spouštět služby, jako je Azure Functions. Pokud chcete podporovat škálování řízené událostmi, můžete volitelně nainstalovat rozšíření Kubernetes Event-Driven automatického škálování (KEDA ).

• Rozšíření Azure Event Grid s podporou služby Azure Arc pro Kubernetes pro nasazení zprostředkovatele Event Gridu a operátora Event Gridu komponent. Toto nasazení umožňuje možnosti, jako jsou témata Event Gridu a odběry pro zpracování událostí.

• strojového učení s podporou Azure Arc s clusterem AKS, který je nasazený v Azure Local jako cílový výpočetní objekt pro spouštění služby Azure Machine Learning. Tento přístup můžete použít k trénování nebo nasazování modelů strojového učení na hraničních zařízeních.

Úlohy připojené ke službě Azure Arc poskytují vylepšenou konzistenci a automatizaci Azure pro místní nasazení Azure, jako je automatizace konfigurace hostovaného operačního systému pomocí rozšíření místních virtuálních počítačů Azure nebo vyhodnocení souladu s oborovými předpisy nebo firemními standardy prostřednictvím služby Azure Policy. Azure Policy můžete aktivovat prostřednictvím Azure Portal nebo automatizace infrastruktury jako kódu (IaC).

Využití výchozí konfigurace zabezpečení Azure

Výchozí konfigurace zabezpečení Azure Local poskytuje podrobnou strategii pro zjednodušení nákladů na zabezpečení a dodržování předpisů. Nasazení a správa IT služeb pro maloobchodní, výrobní a vzdálené kancelářské scénáře představují jedinečné výzvy týkající se zabezpečení a dodržování předpisů. Zabezpečení úloh proti interním a externím hrozbám je zásadní v prostředích s omezenou podporou IT nebo chybějícími nebo vyhrazenými datovými centry. Azure Local má výchozí posílení zabezpečení a hlubokou integraci se službami Azure, které vám pomůžou tyto problémy vyřešit.

Místní certifikovaný hardware Azure zajišťuje integrovanou podporu zabezpečeného spouštění, sjednoceného rozhraní UEFI (Unified Extensible Firmware Interface) a čipu TPM (Trusted Platform Module). Tyto technologie můžete používat v kombinaci se zabezpečením založeným na virtualizaci (VBS), které pomáhají chránit úlohy citlivé na zabezpečení. BitLocker Drive Encryption umožňuje šifrovat svazky spouštěcích disků a svazky Storage Spaces Direct v klidovém stavu. Šifrování protokolu SMB (Server Message Block) zajišťuje automatické šifrování provozu mezi fyzickými počítači v clusteru (v síti úložiště) a podepisování provozu SMB mezi fyzickými počítači clusteru a jinými systémy. Šifrování SMB také pomáhá předcházet útokům na přenos a usnadňuje dodržování zákonných standardů.

Místní virtuální počítače Azure můžete připojit v Defenderu pro cloud k aktivaci cloudové analýzy chování, detekce hrozeb a nápravy, upozorňování a generování sestav. Spravujte místní virtuální počítače Azure ve službě Azure Arc, abyste mohli pomocí služby Azure Policy vyhodnotit jejich soulad s oborovými předpisy a firemními standardy.

Potenciální případy použití

Mezi obvyklé případy použití pro Azure Local patří spouštění úloh vysoké dostupnosti v místních nebo hraničních umístěních. Azure Local poskytuje platformu pro řešení požadavků, jako jsou například následující funkce:

• Poskytněte řešení připojené k cloudu, které je nasazené místně pro řešení suverenity dat, regulace a dodržování předpisů nebo požadavků na latenci.

• Nasaďte a spravujte úlohy virtualizované s vysokou dostupností nebo kontejnery nasazené v jednom nebo několika hraničních umístěních. Tato funkce umožňuje, aby důležité obchodní aplikace a služby fungovaly odolným, nákladově efektivním a škálovatelným způsobem.

• Snižte náklady na vlastnictví nasazením řešení certifikovaného Microsoftem a jeho hardwarovými partnery OEM. Toto řešení používá moderní cloudový proces nasazení a poskytuje centralizovanou správu a monitorování konzistentní s Azure.

• Poskytuje centralizované možnosti zřizování pomocí Azure a Azure Arc. Tato funkce umožňuje konzistentní a bezpečné nasazení úloh napříč několika umístěními. Nástroje, jako jsou Azure Portal, Azure CLI nebo šablony IaC (šablony ARM, Bicep a Terraform), zlepšují automatizaci a opakovatelnost. Tento přístup umožňuje rychlé nasazení a správu clusterů Azure Kubernetes Service (AKS) pro kontejnerizované úlohy a místní virtuální počítače Azure pro tradiční virtualizované úlohy.

• Dodržování striktních požadavků na zabezpečení, dodržování předpisů a audit Azure Local se nasadí s nakonfigurovaným stavem posíleného zabezpečení, který se standardně označuje jako secure-by-default. Azure Local zahrnuje certifikovaný hardware, zabezpečené spouštění, TPM, VBS, Credential Guard a vynucené zásady řízení aplikací. Azure Local má možnost integrace s moderními cloudovými službami zabezpečení a správy hrozeb, jako je Microsoft Defender pro cloud a Microsoft Sentinel. Tato integrace poskytuje rozšířené možnosti detekce a odezvy (XDR) a správy událostí zabezpečení (SIEM).

Možnosti návrhu clusteru

Seznamte se s požadavky na výkon a spolehlivost úloh. Z hlediska odolnosti je důležité porozumět očekáváním, aby platforma a úlohy pokračovaly v provozu během selhání hardwaru nebo uzlů. Definujte také cíl doby obnovení (RTO) a cíl bodu obnovení (RPO) pro vaši strategii obnovení. Faktor v požadavcích na výpočetní prostředky, paměť a úložiště pro všechny úlohy nasazené v místní instanci Azure Na rozhodovací proces má vliv několik charakteristik úlohy:

• Funkce architektury procesoru (CPU), včetně funkcí technologie hardwarového zabezpečení, počtu procesorů, frekvence gigahertzu (GHz) a počtu jader pro každý soket procesoru.

• Požadavky na grafický procesor (GPU) úlohy, například pro AI nebo strojové učení, odvozování nebo vykreslování grafiky.

• Paměť pro každý počítač nebo množství fyzické paměti potřebné ke spuštění úlohy.

• Počet fyzickýchpočítačůch Maximální počet fyzických počítačů je čtyři, když použijete architekturu sítě bez přepínače úložiště.

  • Pokud chcete zachovat odolnost výpočetních prostředků, musíte v instanci rezervovat alespoň N+1 fyzické počítače, které stojí za kapacitu. Tato strategie umožňuje vyprázdnění uzlů pro aktualizace nebo obnovení z náhlého výpadku, jako jsou výpadky napájení nebo selhání hardwaru.

  • Pro důležité obchodní nebo klíčové úlohy zvažte rezervaci fyzických počítačů N+2, které stojí za účelem zvýšení odolnosti. Pokud jsou například dva fyzické počítače v instanci offline, může úloha zůstat online. Tento přístup poskytuje odolnost proti chybám ve scénářích, ve kterých počítač, na kterém běží úloha, přejde během plánovaného postupu aktualizace do režimu offline a výsledkem je, že dva fyzické počítače instance jsou současně offline.

• Požadavky na odolnost úložiště, kapacitu a výkon:

  • Odolnost: Doporučujeme nasadit tři nebo více fyzických počítačů, abyste povolili trojcestné zrcadlení, které poskytuje tři kopie dat pro infrastrukturu a uživatelské svazky. Třícestné zrcadlení zvyšuje výkon a maximální spolehlivost úložiště.

  • Kapacita: Celková požadovaná využitelná kapacita úložiště po zohlednění odolnosti proti chybám nebo kopií. Toto číslo je přibližně 33% nezpracovaného prostoru úložiště disků vrstvy kapacity při použití trojcestného zrcadlení.

  • Představení: Vstupně-výstupní operace za sekundu (IOPS) platformy, která určuje možnosti propustnosti úložiště pro úlohu při vynásobení velikostí bloku aplikace.

Pokud chcete navrhnout a naplánovat místní nasazení Azure, doporučujeme použít nástroj Pro místní nastavení velikosti Azure a vytvořit nový projekt pro určení velikosti místních instancí Azure. Použití nástroje pro změnu velikosti vyžaduje, abyste porozuměli vašim požadavkům na pracovní zatížení. Při zvažování počtu a velikosti virtuálních počítačů úloh spuštěných ve vaší instanci nezapomeňte zvážit faktory, jako je počet virtuálních procesorů, požadavky na paměť a potřebná kapacita úložiště pro virtuální počítače.

Oddíl Předvolby nástroje pro změnu velikosti vás provede dotazy týkajícími se typu systému, včetně Premier Solution, Integrated System nebo Validated Node a možností CPU Family. Pomůže vám také vybrat požadavky na odolnost instance. Pokud chcete nastavit úrovně odolnosti, postupujte podle těchto doporučení:

• V rámci instance si zarezervujte kapacitu v hodnotě pro nejméně N+1 fyzických počítačů nebo pro jeden uzel. Tento přístup zajišťuje, že můžete aktualizace řešení použít tak, že vyprázdníte a restartujete každý uzel po jednom, aniž by to způsobilo výpadky úloh.

• Zarezervujte si kapacitu odpovídající N+2 fyzickým počítačům v rámci instance pro zvýšení odolnosti. Tato možnost umožňuje systému odolat selhání počítače během aktualizace nebo jiné neočekávané události, která má vliv na dva počítače současně. Zajišťuje také, že je v instanci dostatek kapacity, aby úloha běžela na zbývajících online počítačích.

Tento scénář vyžaduje použití třícestného zrcadlení pro uživatelské svazky, což je výchozí hodnota pro instance, které mají tři nebo více fyzických počítačů.

Výstupem nástroje pro místní nastavení velikosti Azure je seznam doporučených skladových položek hardwarového řešení, které můžou poskytovat požadované požadavky na kapacitu úloh a odolnost platformy na základě vstupních hodnot v projektu Sizer. Další informace o dostupných hardwarových partnerských řešeních OEM najdete v katalogu místních řešení Azure. Pokud chcete správně upravit velikost skladových položek řešení tak, aby splňovaly vaše požadavky, obraťte se na svého preferovaného poskytovatele hardwarového řešení nebo partnera pro integraci systému (SI).

Fyzické diskové jednotky

Prostory úložiště s přímým přístupem podporují více typů fyzických disků, které se liší v výkonu a kapacitě. Při návrhu místní instance Azure spolupracujte se zvoleným partnerem OEM hardwaru a určete nejvhodnější typy fyzických disků, které splňují požadavky na kapacitu a výkon vaší úlohy. Mezi příklady patří rotující pevné disky (HDD) nebo jednotky SSD (Solid-State Drive) a disky NVMe (Non-Volatile Memory Express). Tyto jednotky se často označují jako flash disky nebo trvalé úložiště paměti (PMem), které se označuje jako paměť třídy úložiště (SCM).

Spolehlivost platformy závisí na výkonu kritických závislostí platformy, jako jsou typy fyzických disků. Ujistěte se, že jste pro své požadavky zvolili správné typy disků. Pro úlohy, které mají požadavky na vysokou nebo nízkou latenci, používejte řešení all-flash storage, jako jsou jednotky NVMe nebo disky SSD. Mezi tyto úlohy patří mimo jiné vysoce transakční databázové technologie, produkční clustery AKS nebo úlohy kritické pro důležité obchodní účely, které mají požadavky na úložiště s nízkou latencí nebo vysokou propustností. K maximalizaci výkonu úložiště použijte nasazení typu all-flash. All-NVMe nebo all-SSD konfigurace disků, zejména v malém měřítku, zlepšují efektivitu úložiště a maximalizují výkon, protože se žádné disky nepoužívají jako vrstva mezipaměti. Další informace naleznete v tématu All-Flash úložiště.

Diagram znázorňuje cluster s více uzly. Každý uzel má dva síťové adaptéry pro úložiště a dva pro správu a výpočetní prostředky. Adaptéry úložiště se připojují k síti úložiště. Adaptéry pro správu a výpočetní prostředky se připojují ke správě a výpočetní síti. Diagram pod vrstvou sítě znázorňuje zásobník úložiště. Začíná fyzickými disky v dolní části, které zahrnují disky NVMe ve vrstvách mezipaměti a ssd ve vrstvách kapacity. Nad disky je úložný pool Storage Spaces Direct. Další vrstvou v této části je souborový systém ReFS na CSV. Další vrstva obsahuje virtuální disky pro virtuální počítače. Horní vrstva zobrazuje dva virtuální počítače se šipkou, která označuje, že se dají migrovat za provozu mezi uzly.

Typ fyzické diskové jednotky ovlivňuje výkon úložiště clusteru. Druh disku se liší v závislosti na charakteristikách výkonu jednotlivých typů disků a mechanismu cache, který zvolíte. Typ fyzické diskové jednotky je nedílnou součástí jakéhokoli návrhu a konfigurace Prostorů úložiště s přímým přístupem. V závislosti na požadavcích na místní úlohy Azure a omezení rozpočtu se můžete rozhodnout maximalizovat výkon, maximalizovat kapacitu nebo implementovat konfiguraci typu smíšené jednotky, která vyrovnává výkon a kapacitu.

Pro úlohy pro obecné účely, které vyžadují trvalé úložiště s velkou kapacitou, může hybridní konfigurace úložiště poskytovat nejpotřebnější úložiště, jako je použití jednotek NVMe nebo disků SSD pro vrstvu mezipaměti a pevné disky pro kapacitu. Kompromisem je, že rotující disky mají nižší výkon a možnosti propustnosti v porovnání s flash disky. Tato omezení můžou ovlivnit výkon úložiště, pokud vaše úloha překročí pracovní sadu mezipaměti. Pevné disky mají také nižší střední dobu mezi hodnotou selhání v porovnání s jednotkami NVMe a disky SSD.

Prostory úložiště s přímým přístupem poskytují integrovanou trvalou mezipaměť na straně serveru , která podporuje operace čtení i zápisu. Tato mezipaměť maximalizuje výkon úložiště. Velikost a konfigurace mezipaměti tak, aby vyhovovala pracovní sadě aplikací a úloh. Virtuální disky Storage Spaces Direct, nebo svazky, se používají v kombinaci se sdílenou mezipamětí clusteru (CSV) v paměti ke zlepšení výkonu Hyper-V. Tato kombinace je zvlášť účinná pro nepřipojený vstupní přístup k souborům virtuálního pevného disku (VHD) nebo virtuálního pevného disku v2 (VHDX).

Tip

Pro úlohy citlivé na vysoký výkon nebo latenci doporučujeme použít konfiguraci all-flash úložiště (všechny NVMe nebo všechny SSD) a velikost clusteru tří nebo více fyzických počítačů. Nasazení tohoto návrhu s výchozím nastavením konfigurace úložiště používá trojcestné zrcadlení pro infrastrukturu a uživatelské svazky. Tato strategie nasazení poskytuje nejvyšší výkon a odolnost. Pokud používáte konfiguraci all-NVMe nebo all-SSD, můžete využít plnou využitelnou kapacitu úložiště jednotlivých flash disků. Na rozdíl od hybridních nebo smíšených nastavení NVMe a SSD není při použití jednoho typu jednotky vyhrazená kapacita pro ukládání do mezipaměti. Tato konfigurace zajišťuje optimální využití vašich prostředků úložiště. Další informace o tom, jak vyvážit výkon a kapacitu tak, aby splňovaly vaše požadavky na úlohy, najdete v tématu Plánování svazků – pokud záleží na výkonu nejvíce.

Návrh sítě

Návrh sítě je celkové uspořádání součástí v rámci fyzické infrastruktury sítě a logických konfigurací. Stejné porty karty fyzického síťového rozhraní (NIC) můžete použít pro všechny kombinace záměrů sítě pro správu, výpočetní prostředky a úložiště. Použití stejných portů síťové karty pro všechny účely související se záměrem se označuje jako plně konvergovaná síťová konfigurace.

Podporuje se plně konvergovaná síťová konfigurace, ale optimální konfigurace pro výkon a spolehlivost je pro záměr úložiště používat vyhrazené porty síťového adaptéru. V důsledku toho tato základní architektura poskytuje příklad návodu, jak nasadit místní instanci Azure s více uzly pomocí architektury úložiště a připojené sítě se dvěma porty síťového adaptéru, konvergované pro správní a výpočetní účely, a dva vyhrazené porty síťového adaptéru pro účely úložiště. Další informace najdete v tématu Aspekty sítě pro cloudová nasazení místníchAzure .

Tato architektura vyžaduje dva nebo více fyzických počítačů a maximálně 16 počítačů ve velkém měřítku. Každý počítač vyžaduje čtyři porty síťového adaptéru, které jsou připojené ke dvěma přepínačům ToR (Top-of-Rack). Dva přepínače ToR by měly být vzájemně propojené prostřednictvím agregační skupiny více skřisní (MLAG). Dva porty síťového adaptéru používané pro přenosy záměru úložiště musí podporovat vzdálený přímý přístup do paměti (RDMA). Tyto porty vyžadují minimální rychlost propojení 10 gigabitů za sekundu (Gb/s), ale doporučujeme rychlost 25 Gb/s nebo vyšší. Dva porty síťového adaptéru používané pro záměry správy a výpočetních prostředků se konvergují pomocí technologie SET (Switch Embedded Teaming). Technologie SET poskytuje možnosti redundance propojení a vyrovnávání zatížení. Tyto porty vyžadují minimální rychlost propojení 1 Gb/s, ale doporučujeme rychlost 10 Gb/s nebo vyšší.

Topologie fyzické sítě

Následující topologie fyzické sítě zobrazuje fyzická síťová připojení mezi místními počítači Azure a síťovými komponentami.

Pro návrh víceuzlového úložiště, které využívá tuto základní návrh architektury a přepínané místní nasazení Azure, potřebujete následující komponenty.

Obrázek znázorňuje topologii fyzické sítě pro místní instanci Azure s více uzly, která používá přepínanou architekturu úložiště se dvěma ToR přepínači. Diagram zvýrazňuje propojení mezi fyzickými počítači, přepínači ToR a externími sítěmi. Zdůrazňuje redundanci a vyhrazené porty podporující RDMA pro provoz úložiště.

• Přepínače Duální toR:

  • Síťové přepínače Dual ToR jsou vyžadovány pro odolnost sítě a pro službu nebo použití aktualizací firmwaru na přepínače bez výpadků. Tato strategie brání jedinému bodu selhání (SPoF).

  • Duální přepínače ToR se používají pro provoz úložiště nebo východ-západ. Tyto přepínače používají dva vyhrazené ethernetové porty, které mají specifické sítě VLAN (Storage Virtual Local Area Network) a třídy provozu řízení toku priority (PFC), které jsou definované pro zajištění bezeztrátové komunikace RDMA.

  • Tyto přepínače se připojují k fyzickým počítačům prostřednictvím ethernetových kabelů.

• Dva nebo více fyzických počítačů a maximálně 16 fyzických počítačů:

  • Každý počítač je fyzický server, na kterém běží operační systém Azure Stack HCI.

  • Každý počítač vyžaduje celkem čtyři porty síťového adaptéru: dva porty podporující RDMA pro úložiště a dva porty síťového adaptéru pro správu a výpočetní provoz.

  • Úložiště používá dva vyhrazené porty síťového adaptéru podporující RDMA, které se připojují s jednou cestou ke každému ze dvou přepínačů ToR. Tento přístup poskytuje redundanci cesty propojení a vyhrazenou šířku pásma určenou pro přenosy úložiště SMB Direct.

  • Správa a výpočetní prostředky používají dva porty síťového adaptéru, které poskytují jednu cestu ke každému ze dvou přepínačů ToR pro redundanci link-path.

• Externí připojení:

  • Duální ToR přepínače se připojují k externí síti, například k interní podnikové místní síti (LAN), aby poskytovaly přístup k požadovaným odchozím adresám URL a využívají vaše hraniční síťové zařízení. Toto zařízení může být brána firewall nebo směrovač. Tyto přepínače směrují provoz, který směřuje do místní instance Azure nebo z provozu na severu a na jih.

  • Připojení externího provozu na sever podporuje záměr správy clusteru a výpočetní záměry. Tato konfigurace sítě se dosahuje pomocí dvou portů přepínače a dvou portů síťového adaptéru pro každý počítač, který se konverguje přes SET a virtuální přepínač v rámci Hyper-V k zajištění odolnosti. Tyto komponenty poskytují externí připojení pro místní virtuální počítače Azure a další prostředky úloh nasazené v logických sítích vytvořených v Resource Manageru pomocí webu Azure Portal, Azure CLI nebo šablon IaC.

Topologie logické sítě

Topologie logické sítě ukazuje přehled o tom, jak síťová data proudí mezi zařízeními bez ohledu na jejich fyzická připojení.

Následující příklad ukazuje souhrn logické konfigurace přepínané základní architektury úložišť s více uzly pro Azure Local.

Diagram znázorňuje topologii logické sítě pro místní instanci Azure s více uzly, která používá přepnulou architekturu úložiště. Znázorňuje tok síťového provozu mezi komponentami. Diagram znázorňuje dva fyzické uzly, z nichž každý má několik síťových adaptérů. Síť ATC se používá k definování záměrů pro provoz správy, výpočetní a úložný provoz. Záměry správy a výpočetní záměry se konvergují na virtuální přepínač, který používá SET. Záměr úložiště používá vyhrazené adaptéry podporující RDMA. Diagram také znázorňuje logické sítě pro virtuální počítače a připojení k externí síti prostřednictvím přepínačů ToR.

• Přepínače Duální toR:

  • Před nasazením clusteru je potřeba nakonfigurovat dva síťové přepínače ToR s požadovanými ID sítě VLAN, maximálním nastavením přenosové jednotky a konfigurací přemostění datacenter pro porty pro správu, výpočetní výkon a úložiště . Další informace najdete v tématu požadavky na fyzickou síť pro místníAzure nebo požádejte o pomoc dodavatele hardwaru přepínače nebo partnera SI.

• Network ATC:

  • Azure Local používá přístup ATC sítě k použití automatizace sítě a konfigurace sítě založené na záměru.

  • Azure Local používá přístup ATC sítě k použití automatizace sítě a konfigurace sítě založené na záměru.

  • Síťová ATC je navržená tak, aby zajistila optimální konfiguraci sítě a tok provozu pomocí záměrů síťového provozu. Síťová ATC definuje, které porty fyzického síťového adaptéru se používají pro různé záměry (nebo typy) síťového provozu, jako je správa clusteru, výpočetní výkon úloh a záměry úložiště clusteru.

  • Zásady založené na záměru zjednodušují požadavky na konfiguraci sítě tím, že automatizují konfiguraci sítě počítače na základě vstupů parametrů zadaných v rámci procesu nasazení místního cloudu Azure.

• Externí komunikace:

  • Když fyzické počítače nebo úlohy potřebují komunikovat externě prostřednictvím podnikové sítě LAN, internetu nebo jiné služby, směrují se přes duální přepínače ToR.

  • Když dva přepínače ToR slouží jako zařízení vrstvy 3, starají se o směrování a zajišťují připojení i mimo klastr k hraničnímu zařízení, jako je brána firewall nebo směrovač.

  • Záměr sítě pro správu používá konvergované virtuální rozhraní týmu SET, které umožňuje externí komunikaci IP adresy správy clusteru a prostředků řídicí roviny.

  • Pro záměr výpočetní sítě můžete v Azure vytvořit jednu nebo více logických sítí s konkrétními ID sítí VLAN pro vaše prostředí. Prostředky úloh, jako jsou virtuální počítače, používají tato ID k udělení přístupu k fyzické síti. Logické sítě používají dva porty fyzického síťového adaptéru, které konvergují pomocí týmu SET pro účely výpočtů a správy.

• Provoz úložiště:

  • Fyzické počítače vzájemně komunikují pomocí dvou vyhrazených portů síťového adaptéru, které jsou připojené k přepínačům ToR, aby poskytovaly vysokou šířku pásma a odolnost provozu úložiště.

  • Porty úložiště SMB1 a SMB2 se připojují ke dvěma samostatným nesměrovatelným sítím (neboli vrstvě 2). Každá síť má nakonfigurované konkrétní ID sítě VLAN, které musí odpovídat konfiguraci portů přepínače v přepínačích ToR výchozí ID sítě VLAN úložiště: 711 a 712.

  • Na dvou portech síťového adaptéru pro úložné záměry v operačním systému Azure Stack HCI není nakonfigurovaná žádná výchozí brána.

  • Každý uzel clusteru má přístup k možnostem Prostorů úložiště s přímým přístupem ke clusteru, jako jsou vzdálené fyzické jednotky, které se používají ve fondu úložiště, virtuálních discích a svazcích. Přístup k těmto funkcím se usnadňuje prostřednictvím protokolu SMB-Direct RDMA přes dva porty vyhrazeného síťového adaptéru úložiště, které jsou dostupné v každém počítači. Smb Multichannel se používá k odolnosti.

  • Tato konfigurace poskytuje dostatečnou rychlost přenosu dat pro operace související s úložištěm, například udržování konzistentních kopií dat pro zrcadlené svazky.

Požadavky na síťový přepínač

Vaše ethernetové přepínače musí splňovat různé specifikace vyžadované službou Azure Local a nastavené institutem IEEE SA (Institute of Electrical and Electronics Engineers Standards Association). Například pro přepnutá nasazení úložiště s více uzly se síť úložiště používá pro RDMA přes RoCE v2 nebo iWARP. Tento proces vyžaduje pfc IEEE 802.1Qbb k zajištění bezeztrátové komunikace pro třídy provozu úložiště. Přepínače ToR musí poskytovat podporu IEEE 802.1Q pro sítě VLAN a IEEE 802.1AB pro protokol Link Layer Discovery Protocol.

Pokud plánujete použít existující síťové přepínače pro místní nasazení Azure, projděte si seznam povinných standardů a specifikací IEEE, které síťové přepínače a konfigurace musí poskytovat. Při nákupu nových síťových přepínačů si projděte seznam modelů přepínačů certifikovaných dodavatelem hardwaru, které podporují požadavky na místní síť Azure.

Požadavky na IP adresu

V nasazení s přepnutím úložiště s více uzly se počet potřebných IP adres zvýší přidáním každého fyzického počítače až na maximálně 16 fyzických počítačů v rámci jednoho clusteru. Pokud například chcete nasadit konfiguraci azure Local se dvěma uzly úložiště se dvěma uzly, infrastruktura clusteru vyžaduje přidělení minimálně 11 x IP adres. Pokud používáte mikros segmentaci nebo softwarově definované sítě, vyžaduje se více IP adres. Další informace najdete v tématu Kontrola požadavků na IP adresy úložiště se dvěma uzly pro místníAzure .

Při návrhu a plánování požadavků na IP adresy pro Místní Azure nezapomeňte zohlednit další IP adresy nebo rozsahy sítě potřebné pro vaši úlohu nad rámec těch, které jsou potřeba pro místní instanci a komponenty infrastruktury Azure. Pokud plánujete nasadit AKS v Azure Local, přečtěte si téma AKS povolené požadavky na síť Azure Arc.

Odchozí síťové připojení

Před nasazením řešení je důležité porozumět požadavkům na odchozí síťové připojení v Azure Local a zohlednit tyto požadavky do plánu návrhu a implementace. Odchozí síťové připojení je potřeba, aby služba Azure Local mohla komunikovat s Azure a Azure Arc pro operace správy a řídicí roviny. Například odchozí připojení je nezbytné ke zřízení prostředků s podporou Azure Arc, jako jsou místní virtuální počítače Azure nebo clustery AKS, a k používání služeb pro správu Azure, jako je Update Manager a Azure Monitor.

Počáteční plánování a hloubková kontrola pro povolení síťové komunikace s požadovanými veřejnými koncovými body je velmi důležitá, když integrujete Azure Local do stávající místní sítě datacentra. Tento požadavek je zvlášť důležitý, pokud máte nakonfigurovaná striktní pravidla výchozího přenosu dat na zařízeních proxy serveru nebo brány firewall. Pokud kontrolní mechanismy zabezpečení sítě zahrnují kontrolní technologie SSL (Secure Sockets Layer), mějte na paměti, že kontrola SSL není podporovaná pro komunikaci místní sítě Azure.

Proč záleží na odchozím síťovém připojení

Odchozí síťové připojení se vyžaduje z místní instance Azure. Tento požadavek zahrnuje fyzické počítače, zařízení mostu prostředků Azure Arc , clustery AKS a místní virtuální počítače Azure, pokud používáte Azure Arc pro správu hostovaného operačního systému virtuálního počítače. Tato zařízení mají místní agenty nebo služby, které se připojují k veřejným koncovým bodům pomocí odchozího síťového přístupu pro komunikaci v reálném čase, což umožňuje připojení k poskytovatelům prostředků roviny správy a řídicí roviny, kteří běží v Azure. Například odchozí připojení je nezbytné pro operátory, aby mohli používat Azure Portal, Azure CLI nebo nástroje IaC, jako jsou ARM, Bicep nebo šablony Terraformu pro zřizování prostředků, jejich správu nebo provádění obou akcí. Azure a most prostředků Azure Arc fungují v kombinaci s prostředkem vlastního umístění vaší místní instance Azure. Tato kombinace umožňuje cílit na konkrétní místní instanci Azure pro všechny operace CRUD prostředku (vytvoření, čtení, aktualizace nebo odstranění) pro prostředky úloh s podporou Azure Arc.

Pokud chcete povolit připojení, nakonfigurujte bránu firewall, proxy server nebo internetovou výstupní technologii, nebo jejich kombinaci, k povolení odchozího přístupu k požadovaným veřejným koncovým bodům. Zvažte následující klíčové aspekty požadavků na místní odchozí síť Azure:

• Azure Local nepodporuje kontrolu paketů SSL/TLS na žádné síťové cesty z místních instancí Azure do veřejných koncových bodů. Kromě toho služba Private Link a Azure ExpressRoute nepodporují připojení k požadovaným veřejným koncovým bodům. Další informace najdete v tématu Požadavky brány firewall pro Azure místní.

• Zvažte použití brány Azure Arc ke zjednodušení požadavků na připojení. Tento přístup výrazně snižuje počet požadovaných koncových bodů, které je potřeba přidat do brány firewall nebo pravidel proxy serveru pro nasazení a správu místního prostředí Azure.

• Když nasadíte Azure Local pomocí proxy serveru k řízení a správě přístupu k odchozímu přenosu dat z internetu, zkontrolujte požadavky na proxy server.

Monitoring

Přehledy pro Azure Local jsou založené na Azure Monitoru a Log Analytics, což zajišťuje vždy aktuální, škálovatelné řešení, které je vysoce přizpůsobitelné. Insights poskytuje přístup k výchozím sešitům se základními metrikami a specializovanými sešity vytvořenými pro monitorování klíčových funkcí Azure Local. Tyto komponenty poskytují řešení monitorování téměř v reálném čase a umožňují vytváření grafů, přizpůsobení vizualizací prostřednictvím agregace a filtrování a konfigurace vlastních pravidel upozornění služby Resource Health.

Pokud chcete vylepšit monitorování a upozorňování, povolte přehledy služby Azure Monitor v místním prostředí Azure. Přehledy se můžou škálovat pro monitorování a správu více místních instancí prostřednictvím prostředí konzistentního s Azure. Insights využívá čítače výkonu clusteru a kanály protokolu událostí k monitorování klíčových místních funkcí Azure. Řadič domény nakonfigurovaný prostřednictvím služby Azure Monitor a Log Analytics shromažďuje protokoly.

Správa aktualizací

Místní instance Azure a nasazené prostředky úloh, jako jsou místní virtuální počítače Azure, je potřeba pravidelně aktualizovat a opravovat. Pravidelným používáním aktualizací zajistíte, aby vaše organizace zachovala silný stav zabezpečení. Zlepšíte také celkovou spolehlivost a možnosti podpory vašich aktiv. Doporučujeme používat automatická a pravidelná ruční hodnocení pro včasné zjišťování a použití oprav zabezpečení a aktualizací operačního systému.

Aktualizace infrastruktury

Azure Local se průběžně aktualizuje, aby se zlepšilo uživatelské prostředí a zavedlo nové funkce. Aktualizace funkcí se doručují každých šest měsíců prostřednictvím release cyklů, přičemž nové verze jsou vydávány v dubnu (YY04) a v říjnu (YY10). Kromě běžných aktualizací funkcí azure Local přijímá měsíční kumulativní aktualizace, které zahrnují vylepšení zabezpečení a spolehlivosti operačního systému a také aktualizace rozšíření a agentů.

Update Manager je služba Azure, kterou můžete použít k použití, zobrazení a správě aktualizací pro místní Azure. Tato služba poskytuje mechanismus pro zobrazení všech místních instancí Azure v celé infrastruktuře a hraničních umístěních, které používají Azure Portal k zajištění centralizovaného prostředí správy. Další informace najdete v následujících zdrojích informací:

• Informace o místní verzi Azure
• Tempo místního životního cyklu Azure
• Kontrola fází aktualizace místního Azure
• Použijte Update Manager k aktualizaci Azure Local

Je důležité pravidelně kontrolovat nové aktualizace ovladačů a firmwaru, například každé tři až šest měsíců. Pokud pro místní hardware Azure používáte verzi kategorie Premier Solution, jsou aktualizace balíčků SBE (Solution Builder Extension) integrované s Update Managerem, aby se zajistilo zjednodušené prostředí aktualizací. Pokud používáte ověřené uzly nebo kategorii integrovaného systému, může být nutné stáhnout a spustit balíček aktualizace specifické pro OEM, který obsahuje aktualizace firmwaru a ovladačů pro váš hardware. Pokud chcete zjistit, jak se aktualizace dodávají pro váš hardware, obraťte se na svého hardwarového OEM nebo partnera SI.

Opravy operačního systému hostujícího pracovní úlohy

Místní virtuální počítače Azure nasazené v Azure Local můžete zaregistrovat do Update Manageru , abyste zajistili jednotné prostředí správy oprav pomocí stejného mechanismu, který se používá k aktualizaci fyzických počítačů místní instance Azure. Pomocí Update Manageru můžete vytvářet konfigurace údržby hosta. Tyto konfigurace řídí nastavení, jako je restartování restartování v případě potřeby, plán (data, časy a možnosti opakování) a dynamický (předplatné) nebo statický seznam místních virtuálních počítačů Azure pro rozsah. Tato nastavení řídí konfiguraci, kdy jsou v hostovaném operačním systému vašeho virtuálního počítače nainstalovány bezpečnostní záplaty operačního systému.

Considerations

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Reliability

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace naleznete v tématu Kontrolní seznam pro kontrolu spolehlivosti.

Identifikace potenciálních bodů selhání

Každá architektura je náchylná k selháním. Můžete předvídat selhání a připravit se na zmírnění rizik pomocí analýzy režimu selhání (FMA). Následující tabulka popisuje čtyři příklady potenciálních bodů selhání v této architektuře.

Component	Risk	Likelihood	Dopad a zmírnění rizik	Outage
Výpadek místní instance Azure	Selhání napájení, sítě, hardwaru nebo softwaru	Medium	Aby se předešlo dlouhodobému výpadku aplikace způsobenému selháním lokální instance Azure pro obchodně či kriticky důležité případy použití, měla by být vaše úloha navržena podle principů vysoké dostupnosti a zotavení po havárii. Můžete například použít standardní technologie replikace dat úloh k udržování více kopií trvalých stavových dat nasazených pomocí několika místních virtuálních počítačů Azure nebo instancí AKS nasazených v samostatných místních instancích Azure a v samostatných fyzických umístěních.	Potenciální výpadek
Výpadek místního fyzického počítače Azure	Selhání napájení, hardwaru nebo softwaru	Medium	Pokud chcete zabránit dlouhodobému výpadku aplikace způsobenému selháním jednoho místního počítače Azure, vaše místní instance Azure by měla mít více fyzických počítačů. Požadavky na kapacitu úloh během fáze návrhu clusteru určují počet fyzických počítačů. Doporučujeme mít tři nebo více fyzických počítačů. Doporučujeme také použít třícestné zrcadlení, což je výchozí režim odolnosti úložiště pro clustery se třemi nebo více fyzickými počítači. Pokud chcete zabránit SPoF a zvýšit odolnost úloh, nasaďte několik instancí úlohy pomocí dvou nebo více místních virtuálních počítačů Azure nebo podů kontejnerů, které běží na několika pracovních uzlech AKS. Pokud jeden počítač selže, místní virtuální počítače a aplikační služby Azure se restartují na zbývajících online fyzických počítačích v clusteru.	Potenciální výpadek
Místní virtuální počítač Azure nebo pracovní uzel AKS (úloha)	Misconfiguration	Medium	Uživatelé aplikace se nemůžou přihlásit nebo získat přístup k aplikaci. Identifikace chybných konfigurací během nasazování Pokud k těmto chybám dojde během aktualizace konfigurace, tým DevOps musí vrátit změny zpět. V případě potřeby můžete virtuální počítač znovu nasadit. Nasazení opětovného nasazení trvá méně než 10 minut, ale může trvat déle podle typu nasazení.	Potenciální výpadek
Připojení k Azure	Výpadek sítě	Medium	Místní Azure vyžaduje síťové připojení k Azure, aby byly k dispozici operace řídicí roviny. Pokud například chcete zřídit nové místní virtuální počítače Azure nebo clustery AKS, nainstalovat aktualizace řešení pomocí Update Manageru nebo monitorovat stav instance pomocí služby Azure Monitor. Pokud je připojení k Azure nedostupné, instance funguje v degradovaném stavu, kde tyto funkce nejsou dostupné. Stávající úlohy, které už běží na Azure Local, se budou nadále spouštět. Pokud se během 30 dnů neobnoví síťové připojení k Azure, instance zadá stav Mimo zásady, který může omezit funkčnost. Zařízení Azure resource bridge nesmí být offline déle než 45 dní, protože tato nečinnost může ovlivnit platnost bezpečnostního klíče používaného k autentizaci.	Operace správy nejsou k dispozici

Další informace naleznete v tématu Doporučení pro provádění FMA.

Cíle spolehlivosti

Tato část popisuje ukázkový scénář. Fiktivní zákazník, který se označuje jako Contoso Manufacturing , používá tuto referenční architekturu k nasazení Azure Local. Chtějí řešit své požadavky a nasazovat a spravovat úlohy místně. Společnost Contoso Manufacturing má cíl cíle na úrovni interní úrovně služeb (SLO) 99,8%, že zúčastněné strany obchodních a aplikačních aplikací souhlasí se svými službami.

• Cíl úrovně služby (SLO) 99.8% doba provozu nebo dostupnosti vede k následujícím obdobím povoleného výpadku nebo nedostupnosti pro aplikace nasazené pomocí lokálních virtuálních počítačů v Azure, které běží na Azure Local:

  • Týdně: 20 minut a 10 sekund

  • Měsíčně: 1 hodina, 26 minut a 56 sekund

  • Čtvrtletně: 4 hodiny, 20 minut a 49 sekund

  • Ročně: 17 hodin, 23 minut a 16 sekund

• , aby společnost Contoso Manufacturing pomohla splnit cíle cíle SLO, implementuje zásadu nejnižších oprávnění (PoLP), aby omezila počet správců místních instancí Azure na malou skupinu důvěryhodných a kvalifikovaných jednotlivců. Tento přístup pomáhá zabránit výpadkům kvůli neúmyslným nebo náhodným akcím provedeným s produkčními prostředky. Protokoly událostí zabezpečení pro místní řadiče domény služby Active Directory Domain Services (AD DS) se navíc monitorují, aby detekovaly a hlásily všechny změny členství ve skupinách uživatelských účtů, označované jako akce přidání a odebrání , pro skupinu správců místní instance Azure , která používá řešení SIEM. Monitorování zvyšuje spolehlivost a zlepšuje zabezpečení řešení.

  Další informace najdete v tématu Doporučení pro správu identit a přístupu.

• postupy kontroly striktních změn jsou zavedeny pro výrobní systémy společnosti Contoso Manufacturing. Tento proces vyžaduje, aby se všechny změny testovaly a ověřovaly v reprezentativním testovacím prostředí před implementací v produkčním prostředí. Všechny změny odeslané do procesu poradní rady pro týdenní změny musí zahrnovat podrobný plán implementace (nebo odkaz na zdrojový kód), skóre na úrovni rizika, komplexní plán vrácení zpět, testování po vydání a ověření a jasná kritéria úspěchu pro změnu, která se mají zkontrolovat nebo schválit.

  Další informace najdete v tématu Doporučení pro postupy bezpečného nasazení.

• Měsíční opravy zabezpečení a čtvrtletní aktualizace směrného plánu se použijí na produkční instance Azure Local až po jejich ověření předprodukčním prostředím. Update Manager a funkce aktualizace pracující s clustery automatizují proces použití migrace za provozu virtuálních počítačů za provozu, aby se minimalizovaly výpadky důležitých úloh během měsíčních operací údržby. Standardní provozní postupy společnosti Contoso Manufacturing vyžadují, aby se aktualizace zabezpečení, spolehlivosti nebo základního sestavení aplikovaly na všechny produkční systémy do čtyř týdnů od data vydání. Bez této zásady se produkční systémy trvale nemůžou držet aktuální s měsíčními aktualizacemi operačního systému a zabezpečení. Zastaralé systémy negativně ovlivňují spolehlivost a zabezpečení platformy.

  Další informace najdete v tématu Doporučení pro stanovení standardních hodnot zabezpečení.

• Společnost Contoso Manufacturing implementuje denní, týdenní a měsíční zálohy tak, aby se zachovalo posledních 6 dní denních záloh (pondělí až sobota), poslední 3 týdenní (každou neděli) a 3 měsíční zálohy, přičemž každá neděle ve 4. týdnu bude zachována, aby se stala zálohami měsíce 1, měsíce 2 a měsíce 3 pomocí plánu založeného na rolovacím kalendáři, který je zdokumentovaný a auditovatelný. Tento přístup splňuje požadavky společnosti Contoso Manufacturing na odpovídající rovnováhu mezi počtem dostupných bodů obnovení dat a snížením nákladů na službu úložiště mimo pracoviště nebo cloudového úložiště záloh.

  Další informace najdete v tématu Doporučení pro návrh strategie zotavení po havárii.

• procesy zálohování a obnovení dat se testují pro každý obchodní systém každých šest měsíců. Tato strategie zajišťuje, že procesy BCDR jsou platné a že firma je chráněná, pokud dojde k havárii datacentra nebo kyberzločinci.

  Další informace najdete v tématu Doporučení pro navrhování strategie testování spolehlivosti.

• Provozní procesy a postupy popsané výše v článku a doporučení v průvodci službami Well-Architected Framework pro místníAzure umožňují společnosti Contoso Manufacturing splnit svůj cíl 99.8% cíle ALO na úrovni SLO a efektivně škálovat a spravovat nasazení místních úloh Azure a úloh napříč několika výrobními lokalitami, které jsou distribuované po celém světě.

  Další informace najdete v tématu Doporučení pro definování cílů spolehlivosti.

Redundancy

Zvažte úlohu, kterou nasadíte v jedné místní instanci Azure, jako místně redundantní nasazení. Cluster poskytuje HA na úrovni platformy, ale je nutné nasadit cluster do jednoho racku. Pro důležité obchodní nebo klíčové případy použití doporučujeme nasadit více instancí úlohy nebo služby napříč dvěma nebo více samostatnými místními instancemi Azure, ideálně v samostatných fyzických umístěních.

Použijte vzory vysoké dostupnosti, které jsou standardem v oboru, pro úlohy, jež poskytují aktivní/pasivní replikaci, synchronní replikaci nebo asynchronní replikaci, jako je SQL Server Always On. Můžete také použít technologii vyrovnávání zatížení externí sítě (NLB), která směruje požadavky uživatelů napříč několika instancemi úloh, které běží v místních instancích Azure, které nasazujete v samostatných fyzických umístěních. Zvažte použití externího zařízení nlB partnera. Nebo můžete vyhodnotit možnosti vyrovnávání zatížení , které podporují směrování provozu pro hybridní a místní služby, například instanci služby Azure Application Gateway, která používá ExpressRoute nebo tunel VPN pro připojení k místní službě.

Další informace najdete v tématu Doporučení pro navrhování redundance.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu prozabezpečení .

• Bezpečný základ pro místní platformu Azure:Azure Local je standardně zabezpečený produkt, který používá ověřené hardwarové komponenty s čipem TPM, UEFI a zabezpečeným spouštěním k vytvoření zabezpečeného základu pro místní platformu Azure a zabezpečení úloh. Když je služba Azure Local nasazená s výchozím nastavením zabezpečení, má povolené řízení aplikací, ochranu Credential Guard a BitLocker. Pokud chcete zjednodušit delegování oprávnění pomocí nástroje PoLP, použijte místní předdefinované role řízení přístupu na základě role (RBAC), jako je Azure Local Administrator pro správce platforem a Přispěvatel místních virtuálních počítačů Azure nebo Místní čtenář virtuálních počítačů Azure pro operátory úloh.

• Výchozí nastavení zabezpečení: Azure Local použije výchozí nastavení zabezpečení pro místní instanci Azure během nasazování a umožňuje řízení odchylek , aby fyzické počítače zůstaly ve známém dobrém stavu. Výchozí nastavení zabezpečení můžete použít ke správě zabezpečení clusteru, řízení odchylek a nastavení zabezpečeného základního serveru v clusteru.

• Protokoly událostí zabezpečení:Předávání místních syslogů Azure se integruje s řešeními pro monitorování zabezpečení načtením relevantních protokolů událostí zabezpečení pro agregaci a ukládání událostí pro uchovávání ve vaší vlastní platformě SIEM.

• Ochrana před hrozbami a ohroženími zabezpečení:Defender for Cloud chrání vaši místní instanci Azure před různými hrozbami a ohroženími zabezpečení. Tato služba pomáhá zlepšit stav zabezpečení místního prostředí Azure a může chránit před stávajícími a vyvíjejícími se hrozbami.

• Detekce a náprava hrozeb:Microsoft Advanced Threat Analytics detekuje a opravuje hrozby, jako jsou hrozby, které cílí na službu AD DS, které poskytují ověřovací služby počítačům místní instance Azure a jejich úlohám virtuálních počítačů s Windows Serverem.

• Izolace sítě: v případě potřeby izolovat sítě. Můžete například zřídit několik logických sítí, které používají samostatné sítě VLAN a rozsahy síťových adres. Při použití tohoto přístupu se ujistěte, že se síť pro správu může spojit s každou logickou sítí a sítí VLAN, aby fyzické počítače místní instance Azure mohly komunikovat se sítěmi VLAN prostřednictvím přepínačů nebo bran ToR. Tato konfigurace se vyžaduje pro správu úlohy, jako je například povolení komunikace agentů pro správu infrastruktury s hostujícím operačním systémem úloh.

  Další informace najdete v tématu Doporučení k vytvoření strategie segmentace.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu proOptimalizace nákladů .

• Model fakturace ve stylu cloudu pro licencování: Místní ceny Azure se řídí modelem fakturace měsíčního předplatného s plochou sazbou pro každé jádro fyzického procesoru v místní instanci Azure. Pokud používáte jiné služby Azure, budou se účtovat další poplatky za využití. Pokud vlastníte místní základní licence pro edici Windows Server Datacenter s aktivním programem Software Assurance, můžete si tyto licence vyměnit za aktivaci místní instance Azure a poplatků za předplatné virtuálního počítače s Windows Serverem.

• Automatické opravy hosta virtuálního počítače pro místní virtuální počítače Azure: Tato funkce pomáhá snížit režii ručních oprav a souvisejících nákladů na údržbu. Tato akce pomáhá nejen zabezpečit systém, ale také optimalizuje přidělování prostředků a přispívá k celkové efektivitě nákladů.

• Konsolidace monitorování nákladů: Ke konsolidaci nákladů na monitorování použijte Azure Local Insights a opravu pomocí Update Manageru pro Azure Local. Azure Local Insights využívá Azure Monitor k poskytování bohatých metrik a možností upozorňování. Komponenta správce životního cyklu Azure Local se integruje s Update Managerem, aby se zjednodušila úloha zachování clusterů up-to-date sloučením pracovních postupů aktualizací pro různé komponenty do jednoho prostředí. Využijte Azure Monitor a Update Manager k optimalizaci přidělování prostředků a přispívání k celkové efektivitě nákladů.

  Další informace najdete v tématu Doporučení pro optimalizaci času zaměstnanců.

• Počáteční kapacita a růst úloh: Při plánování místního nasazení Azure zvažte počáteční kapacitu úloh, požadavky na odolnost a budoucí růst. Zvažte, jestli použití architektury bez přepínače úložiště se dvěma, třemi nebo čtyřmi uzly může snížit náklady, jako je například odebrání nutnosti pořízení síťových přepínačů třídy úložiště. Nákup síťových přepínačů extra třídy úložiště může být nákladnou součástí nových nasazení místní instance Azure. Místo toho můžete použít existující přepínače pro správu a výpočetní sítě, které zjednodušují infrastrukturu. Pokud vaše kapacita a odolnost úloh není potřeba škálovat nad rámec konfigurace se čtyřmi uzly, zvažte použití stávajících přepínačů pro správu a výpočetní sítě a použití architektury bez přepínače úložiště k nasazení Azure Local.

  Další informace najdete v tématu Doporučení pro optimalizaci nákladů na komponenty.

Tip

Pokud máte licence Windows Server Datacenter s aktivním Software Assurance, můžete snížit náklady prostřednictvím zvýhodněného programu Azure Hybrid Benefit. Další informace najdete v tématu Zvýhodněné hybridní využití Azure pro místníAzure.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace naleznete v tématu kontrolní seznam pro kontrolu efektivity provozu.

• Zjednodušené prostředí pro zřizování a správu integrované s Azure:Cloudové nasazení v Azure poskytuje rozhraní řízené průvodcem, které ukazuje, jak vytvořit místní instanci Azure. Podobně Azure zjednodušuje proces správy místních instancí Azure a místních virtuálních počítačů Azure. Nasazení místní instance Azure na portálu můžete automatizovat pomocí této šablony ARM. Použití šablon poskytuje konzistenci a automatizaci pro nasazení Azure Local ve velkém měřítku, konkrétně v hraničních scénářích, jako jsou maloobchodní prodejny nebo výrobní lokality, které vyžadují místní instanci Azure ke spouštění důležitých obchodních úloh.

• Možnosti automatizace pro Azure Virtual Machines: Azure Local poskytuje širokou škálu možností automatizace pro správu úloh, jako jsou místní virtuální počítače Azure. Mezi tyto funkce patří automatizované nasazení místních virtuálních počítačů Azure pomocí Azure CLI, šablon ARM nebo šablon Bicep. Aktualizace operačního systému virtuálního počítače se doručují prostřednictvím rozšíření Azure Arc pro aktualizace a Správce aktualizací, které platí pro každou místní instanci Azure. Azure Local také poskytuje podporu pro správu místních virtuálních počítačů Azure pomocí Azure CLI a místních virtuálních počítačů mimo Azure pomocí Windows PowerShellu. Příkazy Azure CLI můžete spouštět místně z jednoho z místních počítačů Azure nebo vzdáleně z počítače pro správu. Integrace se službou Azure Automation a Azure Arc usnadňuje širokou škálu dalších scénářů automatizace pro úlohy virtuálních počítačů prostřednictvím rozšíření Azure Arc.

  Další informace najdete v tématu Doporučení pro použitíIaC .

• Možnosti automatizace pro kontejnery v AKS: Azure Local poskytuje širokou škálu možností automatizace pro správu úloh, jako jsou kontejnery, v AKS. Nasazení clusterů AKS můžete automatizovat pomocí Azure CLI. Pomocí rozšíření Azure Arc pro Kubernetes aktualizujte clustery úloh AKS. AKS s podporou Azure Arc můžete spravovat také pomocí Azure CLI. Příkazy Azure CLI můžete spouštět místně z jednoho z místních počítačů Azure nebo vzdáleně z počítače pro správu. Integrace se službou Azure Arc pro širokou škálu scénářů automatizace pro kontejnerizované úlohy prostřednictvím rozšíření Azure Arc

  Další informace najdete v následujících zdrojích informací:

  • Doporučení pro povolení automatizace
  • Porovnání možností správy virtuálních počítačů v místním prostředí Azure

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace naleznete v tématu Kontrola návrhu kontrolní seznam pro zvýšení efektivity výkonu.

• Výkon úložiště úloh: Zvažte použití nástroje DiskSpd k otestování možností výkonu úložiště úloh místní instance Azure. Nástroj VMFleet můžete použít ke generování zatížení a měření výkonu subsystému úložiště. Určete, jestli byste k měření výkonu subsystému úložiště měli použít VMFleet .

  Před nasazením produkčních úloh doporučujeme vytvořit směrný plán pro výkon místních instancí Azure. DiskSpd používá různé parametry příkazového řádku, které správcům umožňují otestovat výkon úložiště clusteru. Hlavní funkcí DiskSpd je vydání operací čtení a zápisu a výstupních metrik výkonu, jako je latence, propustnost a vstupně-výstupní operace za sekundu.

  Další informace naleznete v tématu Doporučení pro testování výkonu.

• Odolnost úložiště úloh: Vezměte v úvahu výhody odolnosti úložiště, efektivity využití (nebo kapacity) a výkonu. Plánování místních svazků Azure zahrnuje identifikaci optimální rovnováhy mezi odolností, efektivitou využití a výkonem. Optimalizaci této rovnováhy může být obtížné, protože maximalizace jedné z těchto charakteristik má obvykle negativní vliv na jednu nebo více dalších charakteristik. Zvýšení odolnosti snižuje využitelnou kapacitu. V důsledku toho se výkon může lišit v závislosti na zvoleném typu odolnosti. Pokud je prioritou odolnost a výkon a když používáte tři nebo více fyzických počítačů, výchozí konfigurace úložiště využívá třícestné zrcadlení pro infrastrukturu i uživatelské svazky.

  Další informace najdete v tématu Doporučení pro plánování kapacity.

• Optimalizace výkonu sítě: Zvažte optimalizaci výkonu sítě. V rámci návrhu nezapomeňte při určování optimální konfigurace síťového hardwaru zahrnout předpokládané přidělení šířky pásma síťového provozu.

  K optimalizaci výkonu výpočetních prostředků v Azure Local můžete použít akceleraci GPU. Akcelerace GPU je užitečná pro vysoce výkonné úlohy umělé inteligence nebo strojového učení, které zahrnují přehledy dat nebo odvozování. Tyto úlohy vyžadují nasazení na hraničních místech z důvodu důležitých aspektů, jako jsou závažnost dat nebo požadavky na zabezpečení. V hybridním nasazení nebo místním nasazení je důležité vzít v úvahu požadavky na výkon úloh, včetně GPU. Tento přístup vám pomůže vybrat správné služby při návrhu a pořízení místních instancí Azure.

  Další informace najdete v tématu Doporučení pro výběr správných služeb.

Nasazení tohoto scénáře

Následující část obsahuje příklad seznamu úloh vysoké úrovně nebo typického pracovního postupu používaného k nasazení Azure Local, včetně požadovaných úloh a důležitých aspektů. Tento seznam pracovních postupů je určen pouze jako ukázkový průvodce. Nejedná se o vyčerpávající seznam všech požadovaných akcí, které se můžou lišit v závislosti na požadavcích organizace, zeměpisné oblasti nebo projektu.

V tomto scénáři vyžaduje projekt nebo použití nasazení hybridního cloudového řešení v místním nebo hraničním umístění, abyste mohli dodávat místní výpočetní prostředky pro zpracování dat. Je také potřeba udržovat prostředí pro správu a fakturaci konzistentní vzhledem k Azure. Další podrobnosti jsou popsány v části Potenciální případy použití tohoto článku. Zbývající kroky předpokládají, že Azure Local je zvolené řešení platformy infrastruktury pro projekt.

1. Shromážděte požadavky na pracovní zátěž a případy použití od příslušných zúčastněných stran. Tato strategie umožňuje projektu potvrdit, že funkce a možnosti Azure Local splňují požadavky na škálování úloh, výkon a funkčnost. Tento proces kontroly by měl zahrnovat pochopení škálování nebo velikosti úloh a požadovaných funkcí, jako jsou místní virtuální počítače Azure, AKS, Virtuální plocha nebo datové služby s podporou Azure Arc nebo služba Machine Learning s podporou Azure Arc. Hodnoty RTO úloh a RPO (cíle bodu obnovení) a další nefunkční požadavky (výkon a škálovatelnost zatížení) by měly být zdokumentovány jako součást tohoto kroku.

2. Projděte si výstup místního nástroje Azure pro určení velikosti pro doporučené řešení hardwarového partnera. Tento výstup obsahuje podrobnosti o doporučeném vytvoření a modelu fyzického serveru, počtu fyzických počítačů a specifikací pro konfiguraci procesoru, paměti a úložiště pro každý fyzický uzel pro nasazení a spouštění úloh.

3. Pomocí nástroje Pro místní nastavení velikosti Azure vytvořte nový projekt, který modeluje typ a škálování úloh. Tento projekt zahrnuje velikost a počet virtuálních počítačů a jejich požadavky na úložiště. Tyto podrobnosti se zadávají společně s volbami pro typ systému, upřednostňovanou řadu procesorů a požadavky na odolnost proti vysoké dostupnosti a odolnosti proti chybám úložiště, jak je vysvětleno v části Možnosti návrhu clusteru .

4. Projděte si výstup azure Local Sizer pro doporučené hardwarové partnerské řešení. Toto řešení obsahuje podrobnosti o doporučeném hardwaru fyzického serveru (make a model), počtu fyzických počítačů a specifikacích pro konfiguraci procesoru, paměti a úložiště pro každý fyzický uzel pro nasazení a spouštění úloh.

5. Obraťte se na partnera OEM nebo SI hardwaru a požádejte o další kvalifikaci vhodnosti doporučené verze hardwaru v porovnání s vašimi požadavky na úlohy. Pokud je k dispozici, použijte nástroje pro určení velikosti hardwaru specifické pro OEM pro požadované úlohy. Tento krok obvykle zahrnuje diskuze s hardwarovým výrobcem OEM nebo partnerem SI pro komerční aspekty řešení. Mezi tyto aspekty patří uvozovky, dostupnost hardwaru, doby předstihu a jakékoli profesionální nebo hodnotové služby, které partner poskytuje, aby vám pomohl urychlit váš projekt nebo obchodní výsledky.

6. Nasaďte dva přepínače ToR pro integraci sítě. V případě řešení vysoké dostupnosti vyžadují místní instance Azure nasazení dvou přepínačů ToR. Každý fyzický počítač vyžaduje čtyři síťové karty, z nichž dva musí být podporující RDMA, které poskytují dvě propojení z každého počítače na dva přepínače ToR. Dvě síťové karty, jedna připojená k jednotlivým přepínačům, se konvergují pro odchozí připojení na sever pro výpočetní a správu sítí. Další dvě síťové karty s podporou RDMA jsou vyhrazené pro datový provoz ve východo-západním směru. Pokud máte v úmyslu používat existující síťové přepínače, ujistěte se, že je v seznamu schválených síťových přepínačů podporovaných službou Azure Local.

7. Spolupracujte s hardwarovým partnerem OEM nebo SI a uspořádejte dodání hardwaru. Partner SI nebo vaši zaměstnanci pak musí hardware integrovat do místního datacentra nebo hraničního umístění, jako je racking a stacking hardwaru, fyzické sítě a kabeláž napájecích jednotek pro fyzické počítače.

8. Proveďte nasazení místní instance Azure. V závislosti na zvolené verzi řešení (Premier Solution, Integrated System nebo Validated Node) může hardwarový partner, partner SI nebo vaši zaměstnanci nasadit místní software Azure. Tento krok začíná onboardingem fyzického počítače s operačním systémem Azure Stack HCI na servery s podporou Azure Arc a spuštěním procesu nasazení místního cloudu Azure. Zákazníci a partneři můžou požádat o podporu přímo s Microsoftem na webu Azure Portal výběrem ikony Podpora a řešení potíží nebo kontaktováním partnera OEM nebo SI hardwaru v závislosti na povaze žádosti a kategorii hardwarového řešení.

   Tip

   Implementace referenčního systému systému Azure Stack HCI verze 23H2 ukazuje, jak nasadit přepnutá nasazení azure Local s více uzly pomocí šablony ARM a souboru parametrů. Alternativně ukázku bicep ukazuje, jak pomocí šablony Bicep nasadit místní instanci Azure, včetně požadovaných prostředků.

9. Nasaďte vysoce dostupné úlohy v Azure Local pomocí webu Azure Portal, rozhraní příkazového řádku nebo šablon ARM a Azure Arc pro automatizaci. Prostředek vlastního umístění nové místní instance Azure použijte jako cílovou oblast při nasazování prostředků úloh, jako jsou místní virtuální počítače Azure, AKS, hostitelé relací služby Virtual Desktop nebo jiné služby s podporou služby Azure Arc , které můžete povolit prostřednictvím rozšíření AKS a kontejnerizace v Místním prostředí Azure.

10. Nainstalujte měsíční aktualizace, abyste zlepšili zabezpečení a spolehlivost platformy. Pokud chcete udržovat místní instance Azure aktuální, je důležité nainstalovat aktualizace softwaru Microsoftu a aktualizace hardwaru ovladačů OEM a firmwaru. Tyto aktualizace zlepšují zabezpečení a spolehlivost platformy. Update Manager tyto aktualizace použije a poskytuje centralizované a škálovatelné řešení pro instalaci aktualizací v jednom clusteru nebo několika clusterech. Obraťte se na partnera OEM hardwaru a zjistěte proces instalace ovladačů hardwaru a aktualizací firmwaru, protože tento proces se může lišit v závislosti na zvoleném typu kategorie hardwarového řešení (Premier Solution, Integrated System nebo Validated Node). Další informace naleznete v tématu Aktualizace infrastruktury.

Související prostředky

• návrhu hybridní architektury
• hybridní možnosti Azure
• Optimalizace správy instancí SQL Serveru v místních a multicloudových prostředích pomocí služby Azure Arc

Další kroky

Dokumentace k produktu Microsoft Learn:

• Informace o místní verzi Azure
• AKS v Místním Azure
• Virtuální desktop na Azure Local
• Co je místní monitorování Azure?
• Ochrana úloh virtuálních počítačů pomocí Site Recovery v Azure Local
• Přehled služby Azure Monitor
• přehled řešení Change Tracking a inventáře
• Přehled Update Manageru
• Co jsou datové služby s podporou Azure Arc?
• Co jsou servery s podporou Azure Arc?
• Co je služba Backup?
• Přehled služby Azure Automation
• Azure Automation State Configuration
• Úvod do cílového výpočetního prostředí Kubernetes ve službě Machine Learning

Dokumentace k produktu Azure:

• Azure místní
• Azure Arc
• Úložiště klíčů
• azure Blob Storage
• Azure Monitor
• Azure Politika
• služby Azure Container Registry
• Defender for Cloud
• Obnova webu
• Backup

Školení k Microsoft Learn:

• Konfigurace služby Azure Monitor
• Navrhněte řešení zálohování a obnovy po havárii
• Seznámení se službou Azure Arc
• Úvod do AKS
• udržovat virtuální počítače aktualizované
• ochrana virtuálních počítačů pomocí služby Backup

Další zdroje informací:

• škálování nasazení modelu pomocí strojového učení kdekoli – blog technické komunity
• realizace strojového učení kdekoli s využitím AKS a strojového učení s podporou Azure Arc – blog technické komunity
• Strojové učení v hybridní a místní službě AKS s využitím strojového učení s podporou služby Azure Arc – blog technické komunity