Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Local amplía Azure a la infraestructura propiedad del cliente mediante Azure Arc, lo que permite que las aplicaciones modernas y tradicionales se ejecuten de forma coherente en ubicaciones distribuidas o perimetrales. La solución proporciona una experiencia de administración unificada con Azure y admite una amplia gama de hardware validado de asociados de Microsoft de confianza. Puede utilizar las capacidades de Azure Local y Azure Arc para mantener los sistemas empresariales y los datos de las aplicaciones en las instalaciones con el fin de abordar la soberanía de los datos, la regulación y el cumplimiento, y los requisitos de latencia.
En este artículo se da por supuesto que comprende los sistemas híbridos y tiene conocimientos prácticos de Azure Local. La guía de este artículo proporciona recomendaciones arquitectónicas que se alinean con los principios de los pilares de Azure Well-Architected Framework.
Ámbito de la tecnología
Esta revisión se centra en las decisiones relacionadas entre sí para los siguientes recursos de Azure:
- Azure Local (plataforma), 2311 y versiones posteriores
- Máquinas virtuales locales de Azure (carga de trabajo)
Note
En este artículo se describe el ámbito anterior y se proporcionan listas de comprobación y recomendaciones organizadas por arquitectura de plataforma y arquitectura de carga de trabajo. Los problemas de la plataforma son responsabilidad de los administradores de la plataforma. Los problemas de carga de trabajo son responsabilidad del operador de carga de trabajo y de los desarrolladores de aplicaciones. Estos roles y responsabilidades son distintos, pero en función de la estructura de la organización podrían ser propiedad de un equipo o de equipos y personas independientes. Tenga en cuenta esa distinción al aplicar las instrucciones.
Esta guía no se centra en tipos de recursos específicos que puede implementar en Azure Local, como máquinas virtuales locales de Azure, Azure Kubernetes Service (AKS) y Azure Virtual Desktop. Al implementar estos tipos de recursos en Azure Local, consulte la guía de carga de trabajo correspondiente para diseñar soluciones que cumplan los requisitos empresariales.
Reliability
El propósito del pilar Fiabilidad es proporcionar una funcionalidad continuada mediante la creación de suficiente resiliencia y la capacidad de recuperarse rápidamente de los fallos.
Los principios de diseño de confiabilidad de proporcionan una estrategia de diseño de alto nivel aplicada a componentes individuales, flujos del sistema y al sistema en su conjunto.
En las implementaciones de nube híbrida, el objetivo es reducir los efectos de un error de componente. Use estas listas de comprobación de diseño y sugerencias de configuración para reducir el impacto de un error de componente para las cargas de trabajo que implemente en Azure Local.
Es importante distinguir entre la confiabilidad de la plataforma y la confiabilidad de la carga de trabajo. La confiabilidad de la carga de trabajo tiene una dependencia en la plataforma. Los propietarios o desarrolladores de aplicaciones deben diseñar aplicaciones que puedan ofrecer los objetivos de confiabilidad definidos.
Lista de comprobación de diseño de cargas de trabajo
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Fiabilidad. Determine su relevancia para los requisitos empresariales a la vez que tenga en cuenta el rendimiento de Azure Local. Amplíe la estrategia para incluir más enfoques según sea necesario.
(Arquitectura de la plataforma de Azure Local y arquitectura de carga de trabajo) Defina los objetivos de confiabilidad de la carga de trabajo.
Establezca los objetivos de nivel de servicio (SLO) para que pueda evaluar los destinos de disponibilidad. Calcule los SLO como porcentaje, como 99,9%, 99,95% o 99,995%, que refleje el tiempo de actividad de la carga de trabajo. Tenga en cuenta que este cálculo no se basa solo en las métricas de la plataforma que emite la instancia de Azure Local o la carga de trabajo. Para obtener una medición de destino completa, tenga en cuenta los factores con matices que se cuantifican, como el tiempo de inactividad esperado durante las versiones, las operaciones rutinarias, la compatibilidad u otros factores específicos de la carga de trabajo o específicos de la organización.
Los acuerdos de nivel de servicio (SLA) proporcionados por Microsoft suelen influir en los cálculos de SLO. Pero Microsoft no proporciona un Acuerdo de Nivel de Servicio para el tiempo de actividad y la conectividad de las instancias de Azure Local o la carga de trabajo implementada, ya que Microsoft no controla la confiabilidad del centro de datos del cliente (como la alimentación y la refrigeración) o las personas y procesos que administran la plataforma.
(Arquitectura de la plataforma de Azure Local) Considere cómo afectan el rendimiento y las operaciones a la confiabilidad.
El rendimiento degradado de la instancia o sus dependencias puede hacer que la plataforma de Azure Local no esté disponible. Por ejemplo:
Sin un planeamiento adecuado de la capacidad de carga de trabajo, es difícil asignar derechos a las instancias de Azure Local en la fase de diseño, lo que es un requisito para que la carga de trabajo pueda cumplir los objetivos de confiabilidad deseados. Use la herramienta de definición de tamaño de Azure Local durante el diseño de la instancia. Considere el requisito mínimo de N+1 para el número de máquinas si necesita máquinas virtuales de alta disponibilidad. En el caso de las cargas de trabajo críticas o críticas para la empresa, considere la posibilidad de usar un número N+2 de máquinas para el tamaño de instancia si la resistencia es fundamental.
La confiabilidad de la plataforma depende del rendimiento de las dependencias críticas de la plataforma, como los tipos de disco físico. Debe elegir los tipos de disco adecuados para sus requisitos. En el caso de las cargas de trabajo que necesitan almacenamiento de baja latencia y alto rendimiento, se recomienda una configuración de almacenamiento de todo flash (solo NVMe/SSD). Para el proceso de uso general, una configuración de almacenamiento híbrido (NVMe o SSD para caché y HDD para capacidad) podría proporcionar más espacio de almacenamiento. La desventaja es que los discos giratorios tienen un rendimiento significativamente menor si la carga de trabajo supera el conjunto de trabajo de la caché y los HDD tienen un tiempo medio entre errores menor en comparación con las unidades NVMe y SSD. Para más información, revise la sección unidades de disco físico de la arquitectura de referencia de línea de base local de Azure.
Eficiencia del rendimiento describe estos ejemplos con más detalle.
Las operaciones de Azure Local incorrectas pueden afectar a la aplicación de revisiones y actualizaciones, las pruebas y la coherencia de las implementaciones. Estos son algunos ejemplos:
Si la plataforma de Azure Local no evoluciona con el firmware, los controladores y las innovaciones más recientes del fabricante de equipos originales de hardware (OEM), es posible que la plataforma no aproveche las características de resistencia más recientes. Aplique periódicamente actualizaciones de firmware y controladores OEM de hardware. Para más información, consulte Actualizaciones de extensión del Generador de soluciones para Azure Local o hable con el asociado oem de hardware para obtener actualizaciones de firmware y controladores.
Debe probar el entorno de destino para la conectividad, el hardware y la administración de identidades y acceso antes de la implementación. De lo contrario, puede implementar la solución de Azure Local en un entorno inestable, lo que puede crear problemas de confiabilidad. Puede usar la herramienta del comprobador de entorno en modo independiente para detectar problemas, incluso antes de que el hardware de la instancia esté disponible.
Para obtener instrucciones operativas, consulte Excelencia operativa.
(Arquitectura de la plataforma de Azure Local) Proporcione tolerancia a errores a la instancia y sus dependencias de infraestructura.
Opciones de diseño de almacenamiento. Para la mayoría de las implementaciones, la opción predeterminada para "crear automáticamente volúmenes de carga de trabajo e infraestructura" es suficiente. Si selecciona la opción avanzada: "crear solo volúmenes de infraestructura necesarios", configure la tolerancia a errores de volumen adecuada en espacios de almacenamiento directo en función de los requisitos de carga de trabajo. Estas decisiones influyen en las capacidades de rendimiento, capacidad y resistencia de los volúmenes. Por ejemplo, un reflejo triple aumenta la confiabilidad y el rendimiento de las instancias con tres o más máquinas. Para obtener más información, consulte Tolerancia a errores para la eficiencia del almacenamiento y Creación de discos virtuales y volúmenes de espacios de almacenamiento directo.
Arquitectura de red. Use una topología de red validada para implementar Azure Local. Las instancias de varias máquinas, con cuatro o más máquinas físicas, requieren el diseño de "almacenamiento conmutado". Las instancias con dos o tres máquinas pueden usar opcionalmente el diseño "sin conmutador de almacenamiento". Independientemente del tamaño de la instancia, se recomienda usar conmutadores de doble parte superior del bastidor (ToR) para las intenciones de administración y proceso (vínculos superiores norte y sur) para proporcionar una mayor tolerancia a errores. La topología de doble ToR también proporciona resiliencia durante las operaciones de mantenimiento del conmutador (actualización de firmware). Para más información, consulte Topologías de red validadas.
(Arquitectura de carga de trabajo) Cree redundancia para proporcionar resistencia.
Considere una carga de trabajo que implemente en una sola instancia de Azure Local como una implementación con redundancia local. La instancia proporciona alta disponibilidad en el nivel de plataforma, pero debe recordar que implementa la instancia "en un único bastidor". Por tanto, para casos de uso críticos para la empresa o la misión, se recomienda implementar varias instancias de una carga de trabajo o servicio en dos o más instancias de Azure Local independientes, idealmente en ubicaciones físicas separadas.
Use patrones de alta disponibilidad estándar del sector para cargas de trabajo, por ejemplo un diseño que proporciona replicación de datos sincrónica o asincrónica activa y pasiva (como SQL Server Always On). Otro ejemplo es una tecnología de equilibrio de carga de red externa (NLB) que puede enrutar las solicitudes de usuario a través de varias instancias de carga de trabajo que se ejecutan en instancias locales de Azure que se implementan en ubicaciones físicas independientes. Considere la posibilidad de usar un dispositivo NLB externo asociado. O bien evalúe las opciones de equilibrio de carga que admiten el enrutamiento de tráfico para servicios híbridos y locales, como una instancia de Azure Application Gateway que use Azure ExpressRoute o un túnel VPN para conectarse a un servicio local.
Para más información, consulte Implementación de instancias de cargas de trabajo en varias instancias de Azure Local.
(Arquitectura de carga de trabajo) Planee y pruebe la capacidad de recuperación en función del objetivo de punto de recuperación de la carga de trabajo (RPO) y los objetivos de tiempo de recuperación (RTO).
Tenga un plan de recuperación ante desastres bien documentado. Pruebe los pasos de recuperación con regularidad para asegurarse de que los procesos y los planes de continuidad empresarial sean válidos. Determine si Azure Site Recovery es una opción viable para proteger las máquinas virtuales que se ejecutan en Azure Local. Para más información, consulte Protección de cargas de trabajo de máquina virtual con Azure Site Recovery en Azure Local (versión preliminar).
(Arquitectura de carga de trabajo) Configure y pruebe periódicamente los procedimientos de copia de seguridad y restauración de cargas de trabajo.
Los requisitos empresariales para la recuperación y retención de datos impulsan la estrategia para las copias de seguridad de cargas de trabajo. Una estrategia completa incluye consideraciones para los datos persistentes del sistema operativo (SO) y de la aplicación de cargas de trabajo, con la capacidad de restaurar datos individuales (a un momento dado) de nivel de archivo y de nivel de carpeta. Configure las directivas de retención de copia de seguridad en función de los requisitos de cumplimiento y recuperación de datos, que determinan el número y la antigüedad de los puntos de recuperación de datos disponibles. Explore Azure Backup como opción para habilitar copias de seguridad de nivel de host o de invitado de máquina virtual para Azure Local. Revise las soluciones de protección de datos de los asociados del proveedor de software independiente de Backup cuando sea pertinente. Para más información, consulte Guía y procedimientos recomendados de Azure Backup y Azure Backup para Azure Local.
Recomendaciones de configuración
| Recommendation | Benefit |
|---|---|
| Para escenarios empresariales o críticos, implemente arquitecturas de cargas de trabajo de varias regiones para permitir ventanas de mantenimiento al aplicar actualizaciones para reducir el riesgo. | Para escenarios empresariales o críticos (con objetivos de SLO muy estrictos o bajos) considere la posibilidad de implementar ventanas de mantenimiento al aplicar actualizaciones. Por ejemplo, realice una conmutación en caso de fallo de cargas de trabajo críticas para la empresa entre instancias de Azure Local activas o pasivas, como parte de la capacidad de recuperación ante desastres y continuidad de negocio (BC/DR). El uso de un enfoque de conmutación por error de carga de trabajo reduce los riesgos operativos al aplicar actualizaciones a Azure Local, dado que la resistencia de cualquier clúster de conmutación por error se reduce temporalmente cuando los nodos físicos se purgan y reinician (uno por uno) durante las operaciones de mantenimiento. |
| Reserve el equivalente de un disco de capacidad por espacio por máquina dentro del grupo de almacenamiento de Espacios de almacenamiento directo. | Si decide crear volúmenes de carga de trabajo después de implementar una instancia de Azure Local (opción avanzada: "crear volúmenes de infraestructura necesarios solo"), se recomienda dejar 5% a 10% de la capacidad total del grupo sin asignar en el grupo de almacenamiento. Esta capacidad reservada y sin usar permite a Espacios de almacenamiento directo reparar "en contexto" cuando se produce un error en un disco físico, lo que mejora la resistencia y el rendimiento de los datos si se produce un error en el disco físico. |
| Asegúrese de que todas las máquinas físicas tienen acceso de red a la lista de puntos de conexión HTTPS de salida necesarios para Azure Local y Azure Arc. | Para administrar, supervisar y operar de forma confiable instancias de Azure Local o recursos de carga de trabajo, los puntos de conexión de red salientes necesarios deben tener acceso, ya sea directamente o a través de un servidor proxy. Una interrupción temporal no afecta al estado de ejecución de la carga de trabajo, pero puede afectar a la capacidad de administración. |
| Si opta por crear volúmenes de cargas de trabajo (discos virtuales) manualmente, use el tipo de resistencia más adecuado para maximizar la resistencia y el rendimiento de la carga de trabajo. Para los volúmenes de usuario que cree manualmente después de implementar la instancia, cree una ruta de acceso de almacenamiento para los volúmenes de Azure. El volumen puede almacenar archivos de configuración de máquina virtual de carga de trabajo, discos duros virtuales de máquina virtual (VHD) e imágenes de máquina virtual a través de la ruta de acceso de almacenamiento. | En el caso de las instancias de Azure Local con tres o más máquinas, considere la posibilidad de usar un reflejo triple para proporcionar las funcionalidades de rendimiento y resistencia más altas. Se recomienda usar volúmenes reflejados para cargas de trabajo críticas o críticas para la empresa. |
| Considere la posibilidad de implementar reglas de antiafinidad de carga de trabajo para asegurarse de que las máquinas virtuales que hospedan varias instancias del mismo servicio se ejecutan en hosts físicos independientes. Este concepto es similar a "conjuntos de disponibilidad" en Azure. | Haga que todos los componentes sean redundantes. Para cargas de trabajo críticas o críticas para la empresa, use varias máquinas virtuales locales de Azure o conjuntos de réplicas de Kubernetes o pods para implementar varias instancias de sus aplicaciones o servicios. Este enfoque aumenta la resistencia si se produce una interrupción no planeada de una sola máquina física. |
Security
El propósito del pilar seguridad es proporcionar garantías de confidencialidad, integridad y disponibilidad a la carga de trabajo.
Los principios de diseño de seguridad proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos aplicando enfoques al diseño técnico de Azure Local.
Azure Local es un producto seguro de forma predeterminada que tiene más de 300 configuraciones de seguridad habilitadas durante el proceso de implementación en la nube. La configuración de seguridad predeterminada proporciona una línea base de seguridad coherente para asegurarse de que los dispositivos se inician en un estado correcto conocido. Y puede usar controles de protección contra desfase para proporcionar administración a escala.
Entre las características de seguridad predeterminadas de Azure Local se incluyen la configuración de seguridad del sistema operativo protegida, el control de aplicaciones, el cifrado de volúmenes a través de BitLocker, la rotación de secretos, las cuentas de usuario integradas locales y Microsoft Defender for Cloud. Para obtener más información, consulte Revisión de características de seguridad.
Lista de comprobación de diseño de cargas de trabajo
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Seguridad. Identifique vulnerabilidades y controles para mejorar la posición de seguridad. Amplíe la estrategia para incluir más enfoques según sea necesario.
(Arquitectura de la plataforma de Azure Local) Revise las líneas base de seguridad. Azure Local y los estándares de seguridad proporcionan una guía de línea de base para reforzar la posición de seguridad de la plataforma y las cargas de trabajo hospedadas. Si la carga de trabajo necesita cumplir con regulaciones de cumplimiento normativo específicas, tenga en cuenta los estándares de seguridad normativos, como los estándares de seguridad de datos del sector de tarjetas de pago y el Estándar federal de procesamiento de información 140.
La configuración predeterminada proporcionada por la plataforma de Azure Local habilita las características de seguridad, incluidos los controles de identidad, el filtrado de red y el cifrado. Esta configuración forma una buena línea de base de seguridad para una instancia de Azure Local recién aprovisionada. Puede personalizar cada configuración en función de los requisitos de seguridad de la organización.
Asegúrese de detectar y proteger frente al desfase de configuración de seguridad no deseado.
(Arquitectura de la plataforma de Azure Local) Detecte, evite y responda a amenazas. Supervise continuamente el entorno de Azure Local y proteja frente a amenazas existentes y en evolución.
Se recomienda habilitar Defender for Cloud en Azure Local. Habilite el plan básico de Defender for Cloud (nivel gratuito) mediante Defender Cloud Security Posture Management para supervisar e identificar los pasos que puede seguir para proteger la plataforma local de Azure, junto con otros recursos de Azure y Azure Arc.
Para beneficiarse de las características de seguridad mejoradas, incluidas las alertas de seguridad para servidores individuales y máquinas virtuales locales de Azure, habilite Microsoft Defender para servidores en las máquinas de instancia local de Azure y en las máquinas virtuales locales de Azure.
Use Defender for Cloud para medir la posición de seguridad de las cargas de trabajo y las máquinas de Azure Local. Defender for Cloud proporciona un único panel de experiencia de vidrio para ayudar a administrar el cumplimiento de la seguridad.
Use Defender para servidores para supervisar las máquinas virtuales hospedadas en busca de amenazas y configuraciones incorrectas. También puede habilitar las funcionalidades de detección y respuesta de puntos de conexión en máquinas de Azure Local.
Considere la posibilidad de agregar datos de inteligencia sobre amenazas e seguridad de todos los orígenes a una solución centralizada de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel.
(Arquitectura de la plataforma de Azure Local y arquitectura de carga de trabajo) Cree la segmentación para contener el radio de explosión. Hay varias estrategias para lograr la segmentación.
Identity. Mantenga separados los roles y las responsabilidades de la plataforma y la carga de trabajo. Permitir que solo las identidades autorizadas realicen las operaciones específicas que se alinean con sus roles designados. Los administradores de la plataforma de Azure Local usan las credenciales de dominio local y Azure para realizar tareas de plataforma. Los operadores de carga de trabajo y los desarrolladores de aplicaciones administran la seguridad de las cargas de trabajo. Para simplificar la delegación de permisos, use roles de control de acceso basado en rol (RBAC) integrados de Azure Local, como "Administrador de Azure Local" para administradores de plataformas y "Colaborador de máquina virtual de Azure Local" o "Lector de máquinas virtuales de Azure Local" para operadores de carga de trabajo. Para más información sobre las acciones de rol integradas específicas, consulte la documentación de RBAC de Azure para roles híbridos y multinube.
Network. Aísle las redes si es necesario. Por ejemplo, puede aprovisionar varias redes lógicas que usan redes de área local virtuales independientes (vLAN) e intervalos de direcciones de red. Al usar este enfoque, asegúrese de que la red de administración pueda llegar a cada red lógica y vLAN para que las máquinas de Azure Local puedan comunicarse con las redes vLAN a través de los conmutadores ToR o las puertas de enlace. Esta configuración es necesaria para la administración de disponibilidad de la carga de trabajo, como permitir que los agentes de administración de infraestructura se comuniquen con el sistema operativo invitado de la carga de trabajo.
Revise Recomendaciones para crear una estrategia de segmentación para obtener información adicional.
(Arquitectura de la plataforma de Azure Local y arquitectura de carga de trabajo) Use un proveedor de identidades de confianza para controlar el acceso. Se recomienda Microsoft Entra ID para todos los fines de autenticación y autorización. Si es necesario, puede unir una carga de trabajo a un dominio de Windows Server Active Directory local. Aproveche las características que admiten contraseñas seguras, autenticación multifactor, RBAC y controles para la administración de secretos.
(Arquitectura de la plataforma de Azure Local y arquitectura de carga de trabajo) Aísle, filtre y bloquee el tráfico de red. Es posible que tenga un caso de uso de carga de trabajo que requiera redes virtuales, microsegmentación a través de grupos de seguridad de red, directivas de calidad de servicio o encadenamiento de aplicaciones virtuales para que pueda incorporar dispositivos asociados para el filtrado. Si tiene esta carga de trabajo, consulte consideraciones de red definidas por software para patrones de referencia de red para obtener una lista de las características y funcionalidades admitidas que proporciona Network Controller .
(Arquitectura de carga de trabajo) Cifre los datos para protegerse frente a alteraciones. Cifre los datos en tránsito, los datos en reposo y los datos en uso.
El cifrado de datos en reposo está habilitado en volúmenes de datos que se crean durante la implementación. Estos volúmenes de datos incluyen volúmenes de infraestructura y volúmenes de cargas de trabajo. Para obtener más información, consulte Administrar el cifrado de BitLocker.
Use el lanzamiento de confianza para máquinas virtuales de Azure Local para mejorar la seguridad de las máquinas virtuales Gen 2 utilizando características de los sistemas operativos modernos, como el Arranque Seguro, que puede usar un Módulo de Plataforma de Confianza Virtual.
Operacionalice la administración de secretos. En función de los requisitos de la organización, cambie las credenciales asociadas a la identidad de usuario de implementación para Azure Local. Para obtener más información, consulte Gestión de la rotación de secretos.
(Arquitectura de la plataforma de Azure Local) Aplicar controles de seguridad. Use Azure Policy para auditar y aplicar directivas integradas, como "Las directivas de control de aplicaciones deben aplicarse de forma coherente" o "Se deben implementar volúmenes cifrados". Puede usar estas directivas de Azure para auditar la configuración de seguridad y evaluar el estado de cumplimiento de Azure Local. Para obtener ejemplos de las directivas disponibles, consulte Directivas de Azure.
(Arquitectura de carga de trabajo) Mejora de la posición de seguridad de la carga de trabajo con directivas integradas. Para evaluar las máquinas virtuales locales de Azure que se ejecutan en Azure Local, puede aplicar directivas integradas a través de la prueba comparativa de seguridad, Azure Update Manager o la extensión de configuración de invitado de Azure Policy. Puede usar varias directivas para comprobar las condiciones siguientes:
- Instalación del agente de Log Analytics
- Actualizaciones del sistema obsoletas que deben estar actualizadas con las revisiones de seguridad más recientes
- Evaluación de vulnerabilidades y posibles mitigaciones
- Uso de protocolos de comunicación seguros
Recomendaciones de configuración
| Recommendation | Benefit |
|---|---|
| Use la configuración de controles de línea base de seguridad y desfase para aplicar y mantener la configuración de seguridad en las máquinas de instancia. | Estas configuraciones ayudan a protegerse frente a cambios no deseados y desfase porque actualizan automáticamente la configuración de seguridad cada 90 minutos para aplicar la posición de seguridad prevista de Azure Local. |
| Utilice Application Control en Azure Local. | El control de aplicaciones reduce la superficie expuesta a ataques de Azure Local. Use Azure Portal o PowerShell para ver la configuración de directivas y los modos de directiva de control. Las directivas de control de aplicaciones ayudan a controlar qué controladores y aplicaciones pueden ejecutarse en el sistema. |
| Habilite el cifrado de volumen a través de BitLocker para la protección de cifrado de datos en reposo. | BitLocker protege los volúmenes de datos y del sistema operativo mediante el cifrado de los volúmenes compartidos de instancia que se crean en Azure Local. BitLocker usa cifrado XTS-AES de 256 bits. Se recomienda mantener habilitada la configuración predeterminada de cifrado de volumen durante la implementación en la nube de Azure Local para todos los volúmenes de datos. |
| Exporte las claves de recuperación de BitLocker para almacenarlas en una ubicación segura externa de la instancia de Azure Local. | Es posible que necesite claves de BitLocker durante acciones específicas de solución de problemas o recuperación. Se recomienda exportar, guardar y realizar copias de seguridad de claves de cifrado para volúmenes de datos y sistema operativo de cada instancia de Azure Local mediante el cmdlet de PowerShell "Get-AsRecoveryKeyInfo". Guarde las claves en una ubicación externa segura, como Azure Key Vault. |
| Use una solución de administración de eventos e información de seguridad (SIEM) para aumentar las funcionalidades de supervisión y alertas de seguridad. Para ello, puede incorporar servidores habilitados para Azure Arc (máquinas de plataforma de Azure Local) a Microsoft Sentinel. Como alternativa, si usa una solución SIEM diferente, configure el reenvío de syslog de eventos de seguridad a la solución elegida. | Reenvíe los datos de eventos de seguridad mediante el reenvío de Microsoft Sentinel o syslog para proporcionar funcionalidades de alertas e informes mediante la integración con una solución SIEM administrada por el cliente. |
| Use la firma del bloque de mensajes del servidor (SMB) para mejorar la protección de datos en tránsito, que está habilitada en la "configuración de seguridad predeterminada". | La firma del bloque de mensajes del servidor (SMB) permite firmar digitalmente el tráfico SMB entre una plataforma local de Azure y sistemas externos a la plataforma (norte o sur). Configure la firma para el tráfico SMB externo entre la plataforma de Azure Local y otros sistemas para ayudar a evitar ataques de retransmisión. |
| Utilice la configuración de cifrado del Bloque de Mensajes del Servidor (SMB) para mejorar la protección de datos en tránsito, que está habilitada en la "configuración de seguridad predeterminada". | El cifrado del bloque de mensajes del servidor (SMB) para la configuración del tráfico en la instancia controla el cifrado del tráfico entre las máquinas físicas de la instancia local de Azure (este o oeste) en la red de almacenamiento. |
Optimización de costos
La optimización de costes se centra en detectar patrones de gasto, priorizar inversiones en áreas críticas y optimizar en otras para ajustarse al presupuesto de la organización al tiempo que se cumplen los requisitos empresariales.
Los principios de diseño de optimización de costes proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos y hacer inconvenientes según sea necesario en el diseño técnico relacionado con Azure Local y su entorno.
Lista de comprobación de diseño de cargas de trabajo
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Optimización de costes para inversiones. Ajuste el diseño para que la carga de trabajo esté alineada con el presupuesto asignado para la carga de trabajo. El diseño debe usar las funcionalidades adecuadas de Azure, supervisar las inversiones y encontrar oportunidades para optimizar con el tiempo.
Azure Local incurre en costes de hardware, licencias de software, cargas de trabajo, máquinas virtuales invitadas (Windows Server o Linux) y otros servicios en la nube integrados, como Azure Monitor y Defender for Cloud.
(Arquitectura de la plataforma de Azure Local y arquitectura de carga de trabajo) Calcule los costes realistas como parte del modelado de costes. Use la calculadora de precios de Azure para seleccionar y configurar servicios como Azure Local, Azure Arc y AKS en Azure Local. Experimente con varias configuraciones y opciones de pago para modelar los costes.
(Arquitectura de la plataforma de Azure Local y arquitectura de carga de trabajo) Optimice el coste del hardware de Azure Local. Elija un asociado OEM de hardware que se alinee con sus requisitos empresariales y comerciales. Para explorar la lista certificada de máquinas validadas, sistemas integrados y soluciones premier, consulte Catálogo de soluciones de Azure Local. Comunique las características, el tamaño, la cantidad y el rendimiento de la carga de trabajo con el asociado de hardware para que pueda asignar derechos a una solución de hardware rentable para el tamaño de la instancia y el equipo de Azure Local.
(Arquitectura de la plataforma de Azure Local) Optimice los costes de licencia. El software de Azure Local tiene licencia y se factura por "por núcleo físico de CPU". Use licencias principales locales existentes con Ventaja híbrida de Azure para reducir los costes de licencias de las cargas de trabajo de Azure Local, como las máquinas virtuales de Azure Local que ejecutan Windows Server, SQL Server o AKS y Azure Arc habilitado para Azure SQL Managed Instance. Para más información, consulte Calculadora de costes de la Ventaja híbrida de Azure.
(Arquitectura de la plataforma de Azure Local) Ahorre en los costes del entorno. Evalúe si las siguientes opciones pueden ayudar a optimizar el uso de los recursos.
Aproveche los programas de descuento que ofrece Microsoft. Considere la posibilidad de usar la Ventaja híbrida de Azure para reducir el coste de ejecutar cargas de trabajo de Azure Local y Windows Server. Para obtener más información, consulte Ventaja híbrida de Azure para Azure Local.
Explore las ofertas promocionales. Aproveche las ventajas de la evaluación gratuita de Azure Local 60 días después del registro para obtener una prueba inicial de conceptos o validaciones.
(Arquitectura de la plataforma de Azure Local) Ahorre en costes operativos.
Evalúe las opciones de tecnología para aplicar revisiones, actualizar y otras operaciones. Update Manager es gratuito para instancias locales de Azure y máquinas virtuales locales de Azure para obtener más información, consulte Preguntas más frecuentes sobre Update Manager y precios de Update Manager.
Evalúe los costes relacionados con la observabilidad. Configure reglas de alertas y reglas de recopilación de datos (DCR) para satisfacer las necesidades de supervisión y auditoría. La cantidad de datos que ingiere la carga de trabajo, procesa y conserva directamente los costes. Optimice mediante directivas de retención inteligentes, limitando el número y la frecuencia de las alertas y eligiendo el nivel de almacenamiento adecuado para almacenar los registros. Para más información, consulte Guía de optimización de costes para Log Analytics.
(Arquitectura de carga de trabajo) Evaluar la densidad sobre el aislamiento. Use AKS en Azure Local para mejorar la densidad y simplificar la administración de cargas de trabajo para permitir que las aplicaciones contenedorizadas se escalen en varios centros de datos o ubicaciones perimetrales. Azure Kubernetes Service (AKS) en Azure Local se incluye como parte de los precios locales de Azure para más información, consulte Precios de AKS en Azure Local.
Recomendaciones de configuración
| Recommendation | Benefit |
|---|---|
| Use la Ventaja híbrida de Azure para Azure Local si tiene licencias del centro de datos de Windows Server con Software Assurance. | Con Ventaja híbrida de Azure para Azure Local, puede maximizar el valor de las licencias locales y modernizar la infraestructura existente a Azure Local sin coste adicional. |
| Elija el complemento de suscripción de Windows Server o traiga su propia licencia para licenciar y active las máquinas virtuales de Windows Server y úselas en Azure Local. Para más información, consulte Licencia de máquinas virtuales de Windows Server en Azure Local. | Aunque puede usar los métodos de activación y licencias de Windows Server existentes disponibles, opcionalmente, puede habilitar el "complemento de suscripción de Windows Server" disponible solo para que Azure Local suscriba licencias de invitado de Windows Server a través de Azure, que se cobra por el número total de núcleos físicos en la instancia de Azure Local. |
| Use la ventaja comprobación de Azure para máquinas virtuales extendida a Azure Local para que las cargas de trabajo exclusivas de Azure admitidas puedan funcionar fuera de la nube. | Esta ventaja está habilitada de forma predeterminada en Azure Local 2311 o posterior. Use esta ventaja para que las máquinas virtuales puedan funcionar en otros entornos y cargas de trabajo de Azure pueden beneficiarse de ofertas que solo están disponibles en Azure, como actualizaciones de seguridad extendidas habilitadas por Azure Arc. |
Excelencia operativa
La excelencia operativa se centra principalmente en los procedimientos para las prácticas de desarrollo , la observabilidad y la administración de versiones.
Los principios de diseño de Excelencia Operativa proporcionan una estrategia de diseño de alto nivel para alcanzar los objetivos relacionados con los requisitos operativos del flujo de trabajo.
La supervisión y el diagnóstico son fundamentales. Puede usar métricas para medir las estadísticas de rendimiento y solucionar problemas rápidamente. Para más información sobre cómo solucionar problemas, consulte Principios de diseño de excelencia operativa y Recopilación de registros de diagnóstico para Azure Local.
Lista de comprobación de diseño de cargas de trabajo
Inicie su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para la Excelencia Operativa para definir los procesos de observabilidad, pruebas y despliegue relacionados con Azure Local.
(Arquitectura de la plataforma de Azure Local) Aumente la compatibilidad de Azure Local. La observabilidad está habilitada de forma predeterminada en el momento de la implementación. Estas funcionalidades mejoran la compatibilidad de la plataforma. La telemetría y la información de diagnóstico se comparten de forma segura desde la plataforma mediante la extensión AzureEdgeTelemetryAndDiagnostics , que se instala en todas las máquinas locales de Azure de forma predeterminada. Para más información, consulte Observabilidad de Azure Local.
(Arquitectura de la plataforma de Azure Local) Use los servicios de Azure para reducir la complejidad operativa y aumentar la escala de administración. Azure Local se integra con Azure para habilitar servicios como Update Manager para aplicar revisiones a la plataforma y Azure Monitor para la supervisión y las alertas. Puede usar Azure Arc y Azure Policy para administrar la configuración de seguridad y la auditoría de cumplimiento. Implemente Defender for Cloud para ayudar a administrar amenazas cibernéticas y vulnerabilidades. Use Azure como plano de control para estos procesos operativos y procedimientos para ayudar a reducir la complejidad, mejorar la eficiencia de la escala y mejorar la coherencia de la administración.
(Arquitectura de carga de trabajo) Planee los requisitos de intervalo de red de direcciones IP para cargas de trabajo de antemano. Azure Local proporciona una plataforma para implementar y administrar cargas de trabajo virtualizadas o en contenedores. Tenga en cuenta también los requisitos de dirección IP para las redes lógicas que usa la carga de trabajo. Revise estos recursos:
Arquitectura de referencia de red y requisitos de IP de Azure Local (plataforma)
Las cargas de trabajo implementadas en Azure Local requieren redes lógicas. Para obtener ejemplos específicos, consulte Requisitos de red para clústeres de AKS, Redes lógicas para máquinas virtuales locales de Azure y Virtual Desktop con Azure Local.
(Configuración de la carga de trabajo) Habilite la supervisión y las alertas de las cargas de trabajo que implemente en Azure Local. Puede usar Azure Monitor para máquinas virtuales o VM Insights para máquinas virtuales locales de Azure o usar Container Insights y clústeres de AKS administrados de Prometheus.
Evalúe si debe usar un área de trabajo centralizada de Log Analytics para la carga de trabajo. Para obtener un ejemplo de un receptor de registro compartido (ubicación de datos), consulte Recomendaciones de supervisión y administración de cargas.
(Arquitectura de la plataforma de Azure Local) Use técnicas de validación adecuadas para una implementación segura. Use la herramienta del comprobador de entorno en modo independiente para evaluar la preparación del entorno de destino antes de implementar una solución de Azure Local. Esta herramienta valida la configuración adecuada de los requisitos previos de conectividad, hardware, Windows Server Active Directory, redes y integración de Azure Arc.
(Arquitectura de la plataforma de Azure Local) Infórmese y manténgase al día. Use el catálogo de soluciones de Azure Local para mantenerse al día con las últimas innovaciones de OEM de hardware para las implementaciones de instancias de Azure Local. Considere la posibilidad de usar soluciones Premium para beneficiarse de la integración adicional, las funcionalidades de implementación llave en clave y una experiencia de actualización simplificada.
Use Update Manager para actualizar la plataforma y administrar el sistema operativo, los agentes principales y los servicios, incluidas las extensiones de solución. Manténgase al día y considere la posibilidad de usar la opción "Habilitar actualización automática" siempre que sea posible para las extensiones.
Recomendaciones de configuración
| Recommendation | Benefit |
|---|---|
|
Habilite Monitor Insights en instancias de Azure Local para mejorar la supervisión y las alertas mediante funcionalidades nativas de Azure. Insights puede supervisar las características clave de Azure Local mediante los contadores de rendimiento de instancia y los canales de registro de eventos recopilados por la regla de recopilación de datos (DCR). Para determinadas infraestructuras de hardware, como Dell APEX, puede visualizar eventos de hardware en tiempo real. Para obtener más información, consulte Cuadernos de características. |
Azure administra Insights, por lo que siempre está actualizado, es escalable en varias instancias y es muy personalizable. Insights proporciona acceso a libros predeterminados con métricas básicas, junto con libros especializados creados para supervisar características clave de Azure Local. Esta característica proporciona supervisión casi en tiempo real. Puede crear gráficos y visualización personalizada mediante la agregación y la funcionalidad de filtro. También puede configurar reglas de alerta personalizadas. El coste de Insights se basa en la cantidad de datos ingeridos y la configuración de retención de datos del área de trabajo de Log Analytics. Al habilitar Azure Local Insights, se recomienda usar el DCR creado por la experiencia de creación de Insights. El prefijo del nombre de DCR es AzureStackHCI-. Está configurado para recopilar solo los datos necesarios. |
|
Configure las alertas y las reglas de procesamiento de alertas en función de los requisitos de la organización. Reciba una notificación de los cambios en el estado, las métricas, los registros u otros tipos de datos de observabilidad. - Alertas de estado - Alertas de log - Alertas de métricas Para obtener más información, consulte Reglas recomendadas para las alertas de métricas. |
Integre las alertas de Monitor con Azure Local para obtener varias ventajas clave sin coste adicional. Obtenga una supervisión casi en tiempo real y personalice las alertas para notificar al equipo o administrador correctos la corrección. Puede recopilar una lista completa de métricas para los recursos de proceso, almacenamiento y red en Azure Local. Realice operaciones lógicas avanzadas en los datos de registro y evalúe las métricas de la instancia de Azure Local a intervalos regulares. |
| Use la característica de actualización para integrar y administrar varios aspectos de la solución de Azure Local en un solo lugar. Para más información, consulte Acerca de las actualizaciones en Azure Local. | El orquestador de actualizaciones se instala durante la implementación inicial de la instancia de Azure Local. Esta característica automatiza las actualizaciones y las operaciones de administración. Para mantener Azure Local en un estado admitido, asegúrese de actualizar las instancias con una cadencia regular para pasar a nuevas compilaciones de línea base cuando estén disponibles. Este método proporciona nuevas funcionalidades y mejoras en la plataforma. Para más información sobre los trenes de versión, la cadencia de las actualizaciones y la ventana de soporte técnico de cada compilación de línea base, consulte Información de la versión local de Azure. |
| Para ayudar con aptitudes prácticas, laboratorios, eventos de entrenamiento, demostraciones de productos o proyectos de prueba de concepto, considere la posibilidad de usar Jumpstart de Azure Arc. Implemente rápidamente Azure Local sin necesidad de hardware físico mediante una máquina virtual en Azure para implementar la solución. |
LocalBox admite implementaciones virtualizadas de Azure Local para habilitar pruebas rápidas y evaluación de las funcionalidades más recientes de los productos perimetrales de Azure, como la integración nativa de Azure Arc y AKS en un espacio aislado independiente. Puede implementar este espacio aislado en una suscripción de Azure mediante una máquina virtual que admita la virtualización anidada para emular una instancia de Azure Local dentro de una máquina virtual de Azure. Obtenga características de Azure Local como la nueva característica de implementación en la nube con un esfuerzo manual mínimo. Para obtener más información, consulte el blog de Microsoft Tech Community. |
Eficiencia del rendimiento
La eficiencia del rendimiento consiste en mantener la experiencia del usuario incluso cuando hay un aumento de la carga mediante la administración de la capacidad. La estrategia incluye el escalado de recursos, la identificación y la optimización de posibles cuellos de botella y la optimización del rendimiento máximo.
Los principios de diseño eficiencia del rendimiento proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos de capacidad con respecto al uso esperado.
Lista de comprobación de diseño de cargas de trabajo
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Eficiencia del rendimiento. Defina una línea base basada en indicadores clave para Azure Local.
(Arquitectura de la plataforma de Azure Local) Use el hardware validado de Azure Local o los sistemas integrados de las ofertas de asociados OEM. Considere la posibilidad de usar los generadores de soluciones prémium en el catálogo de Azure Local para optimizar el rendimiento del entorno de Azure Local.
(Arquitectura de almacenamiento de la plataforma de Azure Local) Elija los tipos de disco físico adecuados para las máquinas de Azure Local en función de los requisitos de rendimiento y capacidad de la carga de trabajo. Para cargas de trabajo de alto rendimiento que requieren baja latencia y almacenamiento de alto rendimiento, considere la posibilidad de usar una configuración de almacenamiento de todo flash (solo NVMe/SSD). Para los requisitos de proceso de uso general o de gran capacidad de almacenamiento, considere la posibilidad de usar el almacenamiento híbrido (SSD o NVMe para el nivel de caché y los HDD para el nivel de capacidad), lo que podría proporcionar una mayor capacidad de almacenamiento.
(Arquitectura de la plataforma de Azure Local) Use la herramienta de definición de tamaño de Azure Local durante la fase de diseño de instancia (anterior a la implementación). Las instancias de Azure Local deben tener el tamaño adecuado mediante el uso de los requisitos de capacidad, rendimiento y resistencia de la carga de trabajo como entradas. El tamaño determina el número máximo de máquinas físicas que se pueden desconectar simultáneamente (cuórum de clúster), como cualquier evento planeado (mantenimiento) o no planeado (error de energía o hardware). Para más información, consulte Introducción al modo de cuórum.
(Arquitectura de la plataforma de Azure Local) Use soluciones basadas en todo flash (NVMe o SSD) para cargas de trabajo que tengan requisitos de alto rendimiento o baja latencia. Estas cargas de trabajo incluyen, entre otras, tecnologías de base de datos transaccionales, clústeres de AKS de producción o cualquier carga de trabajo de misión crítica o crítica para la empresa que tenga requisitos de almacenamiento de baja latencia o alto rendimiento. Utilice implementaciones all-flash para maximizar el rendimiento del almacenamiento. All-NVMe o todas las configuraciones de SSD (especialmente a una escala muy pequeña) mejoran la eficiencia del almacenamiento y maximizan el rendimiento porque no se usan unidades como un nivel de caché. Para obtener más información, consulte Almacenamiento totalmente en flash.
(Arquitectura de la plataforma de Azure Local) Establezca una base de referencia de rendimiento para el almacenamiento de instancias de Azure Local antes de implementar cargas de trabajo de producción. Configure las Supervisar las características de Azure Local con Insights para supervisar el rendimiento de una sola instancia de Azure Local o varias instancias simultáneamente.
(Arquitectura de la plataforma de Azure Local) Considere la posibilidad de usar la característica de desduplicación y compresión monitor for Resilient File System (ReFS) después de habilitar Insights para la instancia de Azure Local. Determine si debe usar esta característica en función del uso y los requisitos de capacidad de almacenamiento de cargas de trabajo. Esta característica proporciona supervisión para el ahorro de desduplicación y compresión de ReFS, el impacto en el rendimiento y los trabajos. Para obtener más información, consulte Supervisión de la desduplicación y compresión de ReFS.
Como requisito mínimo, planee reservar un valor de
1 x physical machines (N+1)de capacidad en toda la instancia para asegurarse de que las máquinas de instancia se pueden purgar cuando realizan actualizaciones a través de Update Management. Considere la posibilidad de reservar2 physical machines (N+2)de capacidad de máquinas de trabajo para casos de uso críticos para la empresa o críticos para la empresa.
Recomendaciones de configuración
| Recommendation | Benefit |
|---|---|
| Si selecciona la opción avanzada para "crear volúmenes de infraestructura solo" durante la implementación de la instancia de Azure Local, se recomienda crear los discos virtuales mediante la creación de reflejo al crear volúmenes de cargas de trabajo para cargas de trabajo con un uso intensivo del rendimiento. | Esta recomendación beneficia a las cargas de trabajo que tienen requisitos de latencia estrictos o que necesitan un alto rendimiento con una combinación de operaciones aleatorias de lectura y escritura/salida por segundo (IOPS), como bases de datos de SQL Server, clústeres de Kubernetes u otras máquinas virtuales sensibles al rendimiento. Implemente los VHD de carga de trabajo en volúmenes que usan la creación de reflejo para maximizar el rendimiento y la resistencia. El reflejo es más rápido que cualquier otro tipo de resiliencia. |
| Considere la posibilidad de usar DiskSpd para probar las funcionalidades de rendimiento del almacenamiento de cargas de trabajo de la instancia de Azure Local. También puede usar VMFleet para generar la carga y medir el rendimiento de un subsistema de almacenamiento. Evalúe si debe usar VMFleet para medir el rendimiento del subsistema de almacenamiento. |
Establezca una base de referencia para el rendimiento de la instancia de Azure Local antes de implementar cargas de trabajo de producción. DiskSpd permite a los administradores probar el rendimiento de almacenamiento de la instancia mediante varios parámetros de línea de comandos. La función principal de DiskSpd es emitir operaciones de lectura y escritura y métricas de rendimiento de salida, como latencia, rendimiento e IOPS. |
Tradeoffs
Existen inconvenientes de diseño con los enfoques descritos en las listas de comprobación del pilar. Estos son algunos ejemplos de ventajas e inconvenientes.
La redundancia de creación aumenta los costes
Comprenda los requisitos de la carga de trabajo por adelantado, como los objetivos de tiempo de recuperación de la carga de trabajo (RTO) y los objetivos de punto de recuperación (RPO) y los requisitos de rendimiento de almacenamiento (IOPS y rendimiento), al diseñar y adquirir el hardware para una solución local de Azure. Para implementar cargas de trabajo de alta disponibilidad, se recomienda un mínimo de una instancia de tres máquinas, lo que permite la creación de reflejo triple para volúmenes y datos de cargas de trabajo. En el caso de los recursos de proceso, asegúrese de implementar un mínimo de "N+1 número de máquinas físicas", que reserva la capacidad de una "sola máquina por valor de espacio" en la instancia en todo momento. En el caso de las cargas de trabajo de misión crítica o críticas para la empresa, considere la posibilidad de reservar "N+2 nodos de capacidad" para aumentar la resistencia. Por ejemplo, si dos máquinas de la instancia están sin conexión, la carga de trabajo puede permanecer en línea. Este enfoque proporciona una mayor resistencia para un escenario como, por ejemplo, si una carga de trabajo que ejecuta una máquina se desconecta durante un procedimiento de actualización planeado (lo que da lugar a que dos máquinas estén sin conexión simultáneamente).
Para cargas de trabajo críticas o críticas para la empresa, se recomienda implementar dos o más instancias de Azure Local independientes e implementar varias instancias de los servicios de carga de trabajo en las instancias independientes. Use un patrón de diseño de carga de trabajo que aproveche las tecnologías de replicación de datos y equilibrio de carga de aplicaciones. Por ejemplo, los grupos de disponibilidad always-on de SQL Server usan la replicación de base de datos sincrónica o asincrónica para lograr destinos RTO y RTO bajos en instancias independientes de diferentes centros de datos.
Por lo tanto, un aumento de la resistencia de la carga de trabajo y una disminución en los objetivos de RTO y RPO aumenta los costes y requiere aplicaciones bien diseñadas y rigor operativo.
Proporcionar escalabilidad sin un planeamiento eficaz de cargas de trabajo aumenta los costes
El ajuste de tamaño de instancia incorrecto puede dar lugar a una capacidad insuficiente o a una rentabilidad reducida de la inversión (ROI) si el hardware está sobreaprovisionado. Ambos escenarios afectan a los costes.
El aumento de la capacidad equivale a mayores costes. Durante la fase de diseño de la instancia de Azure Local, es necesario planear correctamente las funcionalidades y el número de máquinas de instancia en función de los requisitos de capacidad de la carga de trabajo. Por lo tanto, debe comprender los requisitos de carga de trabajo (vCPU, memoria, almacenamiento y X número de máquinas virtuales) y permitir cierto espacio adicional además del crecimiento proyectado. Puede realizar un gesto para agregar la máquina cuando use un diseño de "almacenamiento conmutado". Pero puede tardar mucho tiempo en obtener más hardware después de la implementación. Y un gesto de nota de complemento es más complejo que cambiar el tamaño del hardware de instancia y el número de máquinas (máximo 16 máquinas) correctamente durante la implementación inicial.
Hay desventajas si sobreaprovisiona la especificación de hardware de la máquina y selecciona el número incorrecto de máquinas (tamaño de la instancia). Por ejemplo, si los requisitos de carga de trabajo son mucho más pequeños que la capacidad general de la instancia y el hardware está infrautilizado durante el período de garantía de hardware, el valor de ROI podría disminuir.
Directivas de Azure
Azure proporciona un amplio conjunto de directivas integradas relacionadas con Azure Local y sus dependencias. Algunas de las recomendaciones anteriores se pueden auditar mediante Azure Policy. Por ejemplo, puede comprobar si:
- Las redes de host y máquina virtual deben estar protegidas.
- Se deben implementar volúmenes cifrados.
- Las directivas de control de aplicaciones deben aplicarse de forma coherente.
- Se deben cumplir los requisitos principales protegidos.
Revise las directivas integradas de Azure Local. Defender for Cloud tiene nuevas recomendaciones que muestran el estado de cumplimiento de las directivas integradas. Para más información, consulte Directivas integradas para Azure Security Center.
Si la carga de trabajo se ejecuta en máquinas virtuales locales de Azure que implementa en Azure Local, considere la posibilidad de usar directivas integradas, como denegar la creación o modificación de licencias de actualizaciones de seguridad extendidas. Para más información, consulte Definiciones de directivas integradas para cargas de trabajo habilitadas para Azure Arc.
Considere la posibilidad de crear directivas personalizadas para proporcionar gobernanza adicional para los recursos locales de Azure y las máquinas virtuales locales de Azure que implemente en una instancia local de Azure. Por ejemplo:
- Auditoría del registro de host de Azure Local con Azure
- Asegurarse de que los hosts ejecutan la versión más reciente del sistema operativo
- Comprobación de los componentes de hardware necesarios y las configuraciones de red
- Comprobación de la habilitación de los servicios de Azure necesarios y la configuración de seguridad
- Confirmación de la instalación de extensiones necesarias
- Evaluación de la implementación de clústeres de Kubernetes e integración de AKS
Recomendaciones de Azure Advisor
Azure Advisor es un consultor en la nube personalizado que le ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure.
Para más información, consulte Azure Advisor.
Arquitectura de ejemplo
Arquitectura básica que muestra las recomendaciones clave: arquitectura de referencia de línea base de Azure Local.
Pasos siguientes
Tenga en cuenta los siguientes artículos del Centro de arquitectura de Azure como recursos que muestran las recomendaciones resaltadas en este artículo.
- Arquitectura básica que muestra las recomendaciones clave: arquitectura de referencia de línea base de Azure Local.
- Si su organización necesita un enfoque híbrido, seleccione cuidadosamente las opciones de diseño relacionadas con una arquitectura de red híbrida. Para obtener más información, consulte Diseño de arquitectura híbrida.
Cree conocimientos de implementación mediante la siguiente documentación del producto de Azure Local:
Revise la Guía de Cloud Adoption Framework:
La metodología de preparación de Cloud Adoption Framework guía a los clientes cuando preparan su entorno para la adopción de la nube. En la metodología se incluyen aceleradores técnicos como zonas de aterrizaje de Azure, que son los bloques de creación de cualquier entorno de adopción de la nube de Azure. Revise los artículos siguientes para obtener más información sobre cómo preparar el entorno para una nube híbrida.