Consideraciones sobre el planeamiento de la integración del centro de datos con los sistemas integrados de Azure Stack Hub
Si lo que le interesa es un sistema integrado de Azure Stack Hub, debe tener en cuenta las principales consideraciones para planear la implementación y el modo en que el sistema encaja en su centro de datos. En este artículo se proporciona información general de alto nivel sobre estas consideraciones para ayudarle a tomar importantes decisiones de infraestructura para los sistemas integrados de Azure Stack Hub. Entender estas consideraciones le ayudará a colaborar con su proveedor de hardware de OEM mientras este implementa Azure Stack Hub en su centro de datos.
Nota
Los sistemas integrados de Azure Stack Hub solo pueden adquirirse en los proveedores de hardware autorizados.
Para implementar Azure Stack Hub, debe proporcionar información de planeamiento al proveedor de soluciones antes de que comience la implementación a fin de facilitar el avance rápido y sencillo del proceso. La información requerida se extiende a través de redes, seguridad e información de identidad con muchas decisiones importantes, que pueden requerir conocimiento de diferentes áreas y de distintos responsables en la toma de decisiones. Necesitará a personas de varios equipos de su organización para asegurarse de que tiene lista toda la información necesaria antes de comenzar la implementación. Puede ser útil hablar con su proveedor de hardware mientras recopila esta información, ya que este podría aconsejarle.
Al investigar y recopilar la información necesaria, es posible que tenga que realizar algunos cambios en la configuración previa a la implementación en su entorno de red. Estos cambios podrían incluir la reserva de espacios de direcciones IP para la solución Azure Stack Hub así como la configuración de los enrutadores, conmutadores y firewalls para prepararlos para la conectividad con los nuevos conmutadores de la solución Azure Stack Hub. Asegúrese de tener al experto del área temática a mano para ayudarle con el planeamiento.
Consideraciones de planeamiento de capacidad
Al evaluar una solución de Azure Stack Hub para su adquisición, es necesario elegir opciones de configuración de hardware que tengan un impacto directo en la capacidad total de esta solución. Esto incluye las opciones clásicas de CPU, densidad de memoria, configuración de almacenamiento y escala de solución global (por ejemplo, el número de servidores). A diferencia de una solución de virtualización tradicional, la aritmética simple de estos componentes no es aplicable a la hora de determinar la capacidad utilizable. El primer motivo es que Azure Stack Hub se ha diseñado para hospedar los componentes de infraestructura o administración dentro de la propia solución. El segundo motivo es que parte de la capacidad de la solución se reserva en favor de la resistencia; el software de la solución se actualiza de forma que minimiza la interrupción de las cargas de trabajo del inquilino.
Use la hoja de cálculo de la herramienta de planeamiento de capacidad de Azure Stack Hub para que le ayude a tomar decisiones fundamentadas para planear la capacidad de dos formas. La primera es seleccionando una oferta de hardware e intentando ajustarse a una combinación de recursos. La segunda es mediante la definición de la carga de trabajo que se pretende que Azure Stack Hub ejecute para ver las SKU de hardware disponibles que pueden admitirlo. Por último, la hoja de cálculo está pensada como una guía para ayudar a tomar decisiones relacionadas con el planeamiento y configuración de Azure Stack Hub.
La hoja de cálculo no está pensada para que actúe como un sustituto de su propia investigación y análisis. Microsoft no ofrece ninguna manifestación o garantía, ni expresa ni implícita, con respecto a la información proporcionada en la hoja de cálculo.
Consideraciones de administración
Azure Stack Hub es un sistema sellado en el cual la infraestructura está bloqueada desde una perspectiva de red y de permisos. Las listas de control de acceso (ACL) de red se aplican para bloquear todo el tráfico entrante no autorizado y todas las comunicaciones innecesarias entre los componentes de infraestructura. Esto dificulta el acceso al sistema de los usuarios no autorizados.
Para la administración y las operaciones diarias, no hay ningún acceso de administrador a la infraestructura sin restricciones. Los operadores de Azure Stack Hub deben administrar el sistema mediante el portal del administrador o mediante Azure Resource Manager (con PowerShell o la API REST). No hay ningún acceso al sistema mediante otras herramientas de administración, como el Administrador de Hyper-V o el Administrador de clústeres de conmutación por error. Para ayudar a proteger el sistema, no se puede instalar software de terceros (por ejemplo, agentes) dentro de los componentes de la infraestructura de Azure Stack Hub. La interoperabilidad con el software de seguridad y la administración externa se produce a través de PowerShell o la API de REST.
Póngase en contacto con el Soporte técnico de Microsoft si necesita un mayor nivel de acceso para la solución de problemas que no se resuelven mediante los pasos de mediación de alerta. Con la ayuda del soporte técnico, hay un método para proporcionar acceso de administrador completo temporal al sistema para realizar operaciones más avanzadas.
Consideraciones de identidad
Elegir el proveedor de identidades
Deberá tener en cuenta qué proveedor de identidades quiere usar para la implementación de Azure Stack Hub, ya sea Microsoft Entra id. o AD FS. No puede cambiar los proveedores de identidades tras la implementación sin volver a implementar todo el sistema. Si no posee la cuenta de Microsoft Entra y usa una cuenta proporcionada por el proveedor de soluciones en la nube y decide cambiar de proveedor y usar otra cuenta de Microsoft Entra, tendrá que ponerse en contacto con el proveedor de soluciones para volver a implementar la solución por su costo.
Su elección del proveedor de identidades no repercute en las máquinas virtuales de inquilinos, en el sistema de identidades, en las cuentas que utilizan o en si puede unirse a un dominio de Active Directory, etc. Estas cosas son independientes.
Puede implementar varios sistemas de Azure Stack Hub con el mismo inquilino de Microsoft Entra o Active Directory.
Integración de AD FS y Graph
Si decide implementar Azure Stack Hub mediante AD FS como proveedor de identidades, debe integrar la instancia de AD FS en Azure Stack Hub con una instancia existente de AD FS mediante una confianza de federación. Esta integración permite autenticar las identidades de un bosque de Active Directory existente con los recursos de Azure Stack Hub.
También puede integrar el servicio de Graph en Azure Stack Hub con la instancia de Active Directory existente. Esta integración le permite administrar el control de acceso basado en rol (RBAC) en Azure Stack Hub. Cuando se delega el acceso a un recurso, el componente de Graph busca la cuenta de usuario en el bosque de Active Directory existente mediante el protocolo LDAP.
El siguiente diagrama muestra el flujo de tráfico de AD FS y Graph integrado.
Modelo de licencia
Debe decidir qué modelo de licencia desea usar. Las opciones disponibles dependen de si implementa Azure Stack Hub conectado a Internet:
- Para una implementación conectada, puede elegir licencias de pago por uso o según la capacidad. El pago por uso requiere una conexión a Azure para informar del uso, que, a continuación, se factura a través del comercio de Azure.
- La licencia según la capacidad solo se admite si implementa desconectado desde Internet.
Para más información acerca de los modelos de licencias, consulte Paquetes y precios de Microsoft Azure Stack Hub.
Decisiones de nomenclaturas
Debe pensar en cómo desea planear el espacio de nombres de Azure Stack Hub, especialmente el nombre de la región y del dominio externo. El nombre de dominio completo (FQDN) externo de la implementación de Azure Stack Hub para puntos de conexión de acceso público es la combinación de estos dos nombres: <región>.<fqdn>. Por ejemplo, east.cloud.fabrikam.com. En este ejemplo, los portales de Azure Stack Hub estarían disponibles en las direcciones URL siguientes:
https://portal.east.cloud.fabrikam.comhttps://adminportal.east.cloud.fabrikam.com
Importante
El nombre de región que elija para su implementación de Azure Stack Hub debe ser único y se mostrará en las direcciones del portal.
En la tabla siguiente se resumen estas decisiones de nomenclatura de dominio.
| Nombre | Descripción |
|---|---|
| Nombre de la región | Nombre de su primera región de Azure Stack Hub. Este nombre se usa como parte del FQDN para las direcciones IP virtuales (VIP) públicas que administra Azure Stack Hub. Normalmente, el nombre de la región sería un identificador de ubicación física, como una ubicación de centro de datos. El nombre de la región debe consistir solo en letras y números entre 0 y 9. No se permiten caracteres especiales, como -, #, etc. |
| Nombre de dominio externo | Nombre de la zona de Sistema de nombres de dominio (DNS) para los puntos de conexión con direcciones VIP de uso externo. Se utiliza en el FQDN para estas VIP públicas. |
| Nombre de dominio (interno) privado | Nombre del dominio (y de la zona DNS interna) creado en Azure Stack Hub para la administración de la infraestructura. |
Requisitos de certificados
Para la implementación debe proporcionar los certificados de Capa de sockets seguros (SSL) para puntos de conexión de acceso público. En un nivel más alto, los certificados tienen los siguientes requisitos:
- Puede usar un único certificado comodín o bien un conjunto de certificados dedicados y utilizar caracteres comodín solo para los puntos de conexión, como el almacenamiento y Key Vault.
- Los certificados los debe emitir una entidad de certificación (CA) de confianza pública o una entidad de certificación administrada por el cliente.
Para más información acerca de qué certificados de PKI se requieren para implementar Azure Stack Hub y cómo obtenerlos, consulte Requisitos de certificados de infraestructura de clave pública de Azure Stack Hub.
Importante
La información del certificado de PKI facilitada debe utilizarse como guía general. Antes de adquirir los certificados de PKI para Azure Stack Hub, trabaje con los asociados de hardware OEM. Le proporcionarán una orientación más detallada de los certificados y los requisitos.
Sincronización de la hora
Debe elegir un servidor horario específico que se usará para sincronizar Azure Stack Hub. La sincronización de hora es fundamental para Azure Stack Hub y sus roles de infraestructura porque se usa para generar vales de Kerberos. Los vales de Kerberos se usan para autenticar servicios internos entre sí.
Debe especificar una dirección IP para el servidor de sincronización de hora. Aunque la mayoría de los componentes de la infraestructura pueden resolver una dirección URL, algunos solo admiten direcciones IP. Si está usando la opción de implementación desconectada, debe especificar un servidor horario en la red corporativa para asegurarse de que se puede acceder desde la red de infraestructura de Azure Stack Hub.
Importante
Si el servidor horario no es un servidor NTP basado en Windows, tendrá que anexar ,0x8 al final de la dirección IP. Por ejemplo, 10.1.1.123,0x8.
Conexión de Azure Stack Hub a Azure
Para escenarios de nube híbridos, debe planear cómo conectar Azure Stack Hub a Azure. Hay dos métodos admitidos para conectar redes virtuales de Azure Stack Hub a redes virtuales de Azure:
De sitio a sitio: Una conexión de red privada virtual (VPN) sobre el protocolo de seguridad de Internet (IKE v1 e IKE v2). Este tipo de conexión requiere un dispositivo VPN o un servicio de enrutamiento y acceso remoto (RRAS). Para más información acerca de VPN Gateway, consulte Acerca de VPN Gateway. La comunicación a través de este túnel está cifrada y es segura. Sin embargo, el ancho de banda está limitado por el rendimiento máximo del túnel (de 100 a 200 Mbps).
NAT de salida: De forma predeterminada, todas las máquinas virtuales de Azure Stack Hub tendrán conectividad a redes externas a través de NAT de salida. Cada red virtual que se crea en Azure Stack Hub obtiene una dirección IP pública asignada. Si la máquina virtual se asigna directamente a una dirección IP pública o está detrás de un equilibrador de carga con una dirección IP pública, tendrá acceso de salida a través de NAT de salida mediante la dirección VIP de la red virtual. Este método funciona solo para la comunicación que inicia la máquina virtual y que se destina a redes externas (Internet o intranet). No se puede utilizar para comunicarse con la máquina virtual desde fuera.
Opciones de conectividad híbrida
Para la conectividad híbrida es importante tener en cuenta qué tipo de implementación desea ofrecer y donde se implementará. Debe tener en cuenta si necesita aislar el tráfico de red por inquilino y si tendrá una implementación de intranet o Internet.
Azure Stack Hub de inquilino único: una implementación de Azure Stack Hub que parece, al menos desde una perspectiva de la red, como si fuera un inquilino. Puede haber muchas suscripciones de inquilinos, pero al igual que con cualquier servicio de intranet, todo el tráfico se transmite a través de las mismas redes. El tráfico de red de una suscripción se transmite a través de la misma conexión de red que otra suscripción y no es necesario su aislamiento con un túnel cifrado.
Azure Stack Hub de varios inquilinos: implementación de Azure Stack Hub donde el tráfico de suscripción de cada inquilino que está limitado por redes externas a Azure Stack Hub debe aislarse del tráfico de red de otros inquilinos.
Implementación en intranet: una implementación de Azure Stack Hub que se encuentra en una intranet corporativa, normalmente en el espacio de direcciones IP privadas y detrás de uno o varios firewalls. Las direcciones IP públicas no son realmente públicas, ya que no se pueden enrutar directamente a través de la red pública de Internet.
Implementación en Internet: implementación de Azure Stack Hub que está conectada a la red pública de Internet y usa las direcciones IP públicas que se pueden redirigir por Internet para el intervalo de dirección VIP público. La implementación todavía puede ubicarse detrás de un firewall, pero el intervalo de dirección VIP público es accesible directamente desde Azure y la red pública de Internet.
En la tabla siguiente se resumen los escenarios de conectividad híbrida, con las ventajas, las desventajas y los casos de uso.
| Escenario | Método de conectividad | Ventajas | Desventajas | Bueno para |
|---|---|---|---|---|
| Azure Stack Hub de inquilino único, implementación en intranet | NAT de salida | Mejor ancho de banda para transferencias más rápidas. Fácil de implementar; no se necesitan puertas de enlace. | Tráfico no cifrado; sin aislamiento ni cifrado fuera de la pila. | Implementaciones empresariales en las que se confía por igual en todos los inquilinos. Empresas que tienen un circuito Azure ExpressRoute en Azure. |
| Azure Stack Hub de varios inquilinos, implementación en intranet | VPN de sitio a sitio | El tráfico de la red virtual del inquilino al destino es seguro. | El ancho de banda está limitado por el túnel VPN de sitio a sitio. Requiere una puerta de enlace en la red virtual y un dispositivo VPN en la red de destino. |
Implementaciones empresariales en las que cierto tráfico de inquilinos debe protegerse de otros inquilinos. |
| Azure Stack Hub de inquilino único, implementación en Internet | NAT de salida | Mejor ancho de banda para transferencias más rápidas. | Tráfico no cifrado; sin aislamiento ni cifrado fuera de la pila. | Escenarios de hospedaje en los que el inquilino obtiene su propia implementación de Azure Stack Hub y un circuito dedicado en el entorno de Azure Stack Hub. Por ejemplo, ExpressRoute y conmutación de etiquetas de multiprotocolo (MPLS). |
| Azure Stack Hub de varios inquilinos, implementación en Internet | VPN de sitio a sitio | El tráfico de la red virtual del inquilino al destino es seguro. | El ancho de banda está limitado por el túnel VPN de sitio a sitio. Requiere una puerta de enlace en la red virtual y un dispositivo VPN en la red de destino. |
Escenarios de hospedaje en los que el proveedor desea ofrecer una nube de varios inquilinos, donde los inquilinos no confían los unos en los otros y el tráfico debe cifrarse. |
Uso de ExpressRoute
Puede conectar Azure Stack Hub a Azure a través de ExpressRoute para escenarios de intranet de inquilino único y de varios inquilinos. Necesitará un circuito ExpressRoute aprovisionado a través de un proveedor de conectividad.
El siguiente diagrama muestra ExpressRoute para un escenario de inquilino único (donde "Conexión del cliente" es el circuito de ExpressRoute).
El siguiente diagrama muestra ExpressRoute para un escenario de varios inquilinos.
Supervisión externa
Para obtener una vista única de todas las alertas de la implementación y los dispositivos de Azure Stack Hub, así como para integrar las alertas en los flujos de trabajo existentes de administración de servicios de TI para el control de incidencias, puede integrar Azure Stack Hub con soluciones externas de supervisión de centros de datos.
Incluido con la solución de Azure Stack Hub, el host de ciclo de vida de hardware es un equipo situado fuera de Azure Stack Hub que ejecuta herramientas de administración proporcionadas por el distribuidor OEM para hardware. Puede usar estas herramientas u otras soluciones que se integran directamente con las soluciones de supervisión existentes en su centro de datos.
En la tabla siguiente se resume la lista de opciones disponibles actualmente.
| Área | Solución de supervisión externa |
|---|---|
| Software de Azure Stack Hub | Módulo de administración de Azure Stack Hub para Operations Manager Complemento de Nagios Llamadas API basadas en REST |
| Servidores físicos (BMC a través de IPMI) | Hardware OEM: módulo de administración del distribuidor de Operations Manager Solución suministrada por el distribuidor de hardware OEM Complementos de Nagios del proveedor de hardware. Solución de supervisión admitida por el asociado de OEM (incluido) |
| Dispositivos de red (SNMP) | Detección de dispositivos de red de Operations Manager Solución suministrada por el distribuidor de hardware OEM Complemento conmutador de Nagios |
| Supervisión del estado de suscripción del inquilino | Módulo de administración de System Center para Windows Azure |
Tenga en cuenta los siguientes requisitos:
- La solución que use debe ser sin agente. No puede instalar agentes de terceros dentro de componentes de Azure Stack Hub.
- Si desea usar System Center Operations Manager, se requiere Operations Manager 2012 R2 u Operations Manager 2016.
Copia de seguridad y recuperación ante desastres
El planeamiento de la copia de seguridad y recuperación ante desastres implica planear tanto la infraestructura subyacente de Azure Stack Hub que hospeda máquinas virtuales de IaaS y servicios de PaaS como los datos y las aplicaciones de los inquilinos. Planee estas cuestiones por separado.
Protección de los componentes de infraestructura
Puede realizar una copia de seguridad de los componentes de infraestructura de Azure Stack Hub en el recurso compartido SMB que especifique:
- Necesitará un recurso compartido de archivos SMB externo en un servidor de archivos existente basado en Windows o un dispositivo de terceros.
- Use este mismo recurso compartido para la copia de seguridad de los conmutadores de red y el host del ciclo de vida del hardware. El distribuidor de hardware OEM le servirá como guía para la copia de seguridad y la restauración de estos componentes ya que son externos a Azure Stack Hub. Es responsable de ejecutar los flujos de trabajo de copia de seguridad según la recomendación del distribuidor de OEM.
Si se produce una pérdida de datos catastrófica, puede usar la copia de seguridad de la infraestructura para reinicializar los datos de implementación como:
- Entradas e identificadores de implementación
- Cuentas de servicio
- Certificado raíz de entidad de certificación
- Recursos federados (en implementaciones desconectadas)
- Planes, ofertas, suscripciones y cuotas
- Directiva de RBAC y asignaciones de rol
- Secretos en Key Vault
Advertencia
De forma predeterminada, el stamp de Azure Stack Hub se configura con una sola cuenta de CloudAdmin. No hay ninguna opción de recuperación si las credenciales de la cuenta se pierden, se ponen en peligro o se bloquean. Perderá el acceso al punto de conexión con privilegios y a otros recursos.
Se recomienda encarecidamentecrear cuentas de CloudAdmin adicionales para evitar la reimplementación del stamp a su costa. Asegúrese de documentar estas credenciales en función de las directrices de su empresa.
Protección de aplicaciones de inquilino en máquinas virtuales de IaaS
Azure Stack Hub no realiza copia de seguridad de los datos ni de las aplicaciones de inquilinos. Debe planear la copia de seguridad y la protección de recuperación ante desastres para un destino externo a Azure Stack Hub. La protección de inquilino es una actividad controlada por el inquilino. En el caso de las máquinas virtuales de IaaS, los inquilinos pueden usar tecnologías de invitado para proteger las carpetas de archivos, los datos de la aplicación y el estado de sistema. Sin embargo, como proveedor empresarial o de un servicio, puede que desee ofrecer una solución de copia de seguridad y recuperación en el mismo centro de datos o externamente en una nube.
Para realizar copia de seguridad de máquinas virtuales de Linux o IaaS de Windows, debe usar productos de copia de seguridad con acceso al sistema operativo del invitado para proteger el archivo, la carpeta, el estado del sistema operativo y los datos de la aplicación. Puede usar Azure Backup, System Center Data Protection Manager o los productos de terceros compatibles.
Para replicar datos en una ubicación secundaria y orquestar la conmutación por error de la aplicación si se produce un desastre, puede usar Azure Site Recovery o productos de terceros compatibles. Además, las aplicaciones que admitan la replicación nativa, por ejemplo, Microsoft SQL Server, pueden replicar datos a otra ubicación donde se ejecute la aplicación.
Más información
- Para obtener información acerca de los casos de uso, las compras, los asociados y los distribuidores de hardware de OEM, consulte la página del producto de Azure Stack Hub.
- Para más información sobre la hoja de ruta y la disponibilidad geográfica de los sistemas integrados de Azure Stack Hub, consulte las notas del producto: Azure Stack Hub: una extensión de Azure.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de