Editar

Uso de la interconexión sin conmutador de Azure Stack HCI y el cuórum ligero para oficinas remotas o sucursales

Azure Arc
Azure Monitor
Azure Policy
Microsoft Defender for Cloud
Azure Stack HCI

En esta arquitectura de referencia se muestra cómo diseñar la infraestructura de cargas de trabajo virtualizadas y en contenedores de alta disponibilidad en escenarios de oficinas y sucursales remotas (ROBO).

Arquitectura

Diagrama que ilustra un escenario ROBO de Azure Stack HCI, con un clúster de dos nodos de Azure Stack HCI mediante una interconexión sin conmutador y un cuórum basado en USB. El clúster usa una serie de servicios de Azure, incluido Azure Arc que proporciona la capacidad de implementar Azure Policy, Azure Automation (que incluye la funcionalidad de administración de actualizaciones de Azure), Azure Monitor, Azure File Sync, el adaptador de red de Azure, Microsoft Defender for Cloud, Azure Backup, Azure Site Recovery y la réplica de almacenamiento.

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

La arquitectura incorpora las siguientes funcionalidades:

  • Azure Stack HCI (20H2) . Azure Stack HCI es una solución de clúster de infraestructura hiperconvergida (HCI) que hospeda cargas de trabajo de Windows y Linux virtualizadas, así como su almacenamiento en un entorno local híbrido. El clúster extendido puede constar de entre 4 y 16 nodos físicos.
  • Testigo de recurso compartido de archivos . Un testigo de recurso compartido de archivos es un recurso compartido del Bloque de mensajes del servidor (SMB) que el clúster de conmutación por error usa como voto en el cuórum del clúster. A partir de Windows Server 2019, es posible usar una unidad USB conectada a un enrutador para este fin.
  • Azure Arc. Un servicio basado en la nube que amplía el modelo de administración basado en Azure Resource Manager a recursos que no son de Azure, como máquinas virtuales, clústeres de Kubernetes y bases de datos contenedorizadas.
  • Azure Policy . Un servicio basado en la nube que evalúa los recursos locales y de Azure a través de la integración con Azure Arc, para lo cual compara las propiedades con las reglas de negocio personalizables.
  • Azure Monitor. Servicio basado en la nube que maximiza la disponibilidad y el rendimiento de las aplicaciones y los servicios con una completa solución que permite recopilar y analizar datos de telemetría tanto en entornos locales como en la nube, así como actuar sobre estos.
  • Microsoft Defender for Cloud. Microsoft Defender for Cloud es un sistema unificado de administración de seguridad de la infraestructura que fortalece la posición de seguridad de los centros de datos y proporciona una protección contra amenazas avanzada de todas las cargas de trabajo híbridas que se encuentran en la nube, ya sea que estén en Azure o no, y en el entorno local.
  • Azure Automation . Azure Automation ofrece un servicio de configuración y de automatización basado en la nube que facilita una administración coherente en los entornos que se encuentren dentro y fuera de Azure.
  • Seguimiento de cambios e inventario . Característica de Azure Automation que realiza un seguimiento de los cambios en servidores Linux y Windows Server hospedados en Azure, en el entorno local y en otros entornos de nube para ayudarle a identificar problemas operativos y del entorno con el software administrado por el administrador de paquetes de distribución.
  • Update Management . Característica de Azure Automation que simplifica la administración de actualizaciones del sistema operativo de las máquinas Windows Server y Linux en Azure, en entornos locales y en otros entornos de nube.
  • Azure Backup . El servicio Azure Backup proporciona soluciones sencillas, seguras y rentables tanto para realizar copias de seguridad de datos de la nube de Microsoft Azure como para recuperarlos.
  • Azure Site Recovery . Servicio basado en la nube que ayuda a garantizar la continuidad empresarial al mantener las aplicaciones y las cargas de trabajo empresariales en funcionamiento durante las interrupciones. Site Recovery administra la replicación y la conmutación por error de las cargas de trabajo que se ejecutan en máquinas físicas y virtuales entre su sitio primario y una ubicación secundaria.
  • Azure File Sync. Servicio basado en la nube que puede sincronizar y almacenar en caché contenido de recursos compartidos de archivos de Azure mediante Windows Server en entornos de Azure y que no son de Azure.
  • Réplica de almacenamiento . Tecnología de Windows Server que permite la replicación de volúmenes entre servidores o clústeres para la recuperación ante desastres.

Componentes

Tecnologías clave que se usan para implementar esta arquitectura:

Detalles del escenario

Posibles casos de uso

Entre los usos típicos de esta arquitectura se incluyen los siguientes escenarios de Oficina remota o sucursal (ROBO):

  • Implementación de cargas de trabajo perimetrales de alta disponibilidad basadas en contenedores, y aplicaciones virtualizadas esenciales para la empresa de una manera rentable.
  • Menor costo total de propiedad (TCO) a través de soluciones certificadas por Microsoft, automatización basada en la nube, administración centralizada y supervisión centralizada.
  • Control y auditoría de la seguridad y el cumplimiento mediante protección basada en virtualización, hardware certificado y servicios basados en la nube.

Recomendaciones

Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Use el cuórum ligero y la interconexión sin conmutador de Azure Stack HCI para la infraestructura ROBO de alta disponibilidad y rentabilidad.

En los escenarios ROBO, una preocupación empresarial principal es minimizar los costos. Sin embargo, muchas cargas de trabajo ROBO son de vital importancia y con muy poca tolerancia a tiempos de inactividad. Azure Stack HCl ofrece la solución óptima, ya que proporciona resistencia y rentabilidad. Con Azure Stack HCl, puede aplicar la resistencia integrada de Espacios de almacenamiento directo y las tecnologías de clústeres de conmutación por error para implementar la infraestructura de proceso, almacenamiento y red de alta disponibilidad para las cargas de trabajo ROBO virtualizadas y contenedorizadas. En cuanto a rentabilidad, puede usar tan solo dos nodos de clúster con cuatro discos y 64 gigabytes (GB) de memoria por nodo. Para reducir aún más los costos, puede usar interconexiones sin conmutador entre nodos, lo que elimina la necesidad de dispositivos de conmutación redundantes. Para finalizar la configuración del clúster, puede implementar un testigo de recurso compartido de archivos simplemente con una unidad USB conectada a un enrutador que hospede vínculos superiores desde los nodos del clúster. Para obtener la máxima resistencia, en un clúster de dos nodos tiene la opción de configurar volúmenes de Espacios de almacenamiento directo con reflejo bidireccional anidado o paridad acelerada de reflejo anidado. A diferencia de la creación de reflejo bidireccional tradicional, estas opciones toleran varios errores de hardware simultáneos sin pérdida de datos.

Nota

Con la resistencia anidada, un clúster de dos nodos y todos sus volúmenes permanecerán en línea después de un error de un único nodo y un único disco en el nodo superviviente.

Integre completamente las implementaciones de Azure Stack HCI con Azure para minimizar el TCO en escenarios ROBO.

Como parte de la familia de productos de Azure Stack, Azure Stack HCI depende de forma inherente de Azure. Por lo tanto, para optimizar las características y el soporte técnico, debe registrarlo en un plazo de 30 días a partir de la implementación del primer clúster de Azure Stack HCl. Este proceso genera un recurso de Azure Resource Manager correspondiente, que extiende eficazmente el plano de administración de Azure a Azure Stack HCl y habilita automáticamente la supervisión basada en Azure Portal, la compatibilidad y la funcionalidad de facturación.

Para minimizar la sobrecarga de administración de cargas de trabajo y clústeres de Azure Stack HCI, también debe considerar la posibilidad de usar los siguientes servicios de Azure, que proporcionan las funcionalidades siguientes:

Para aprovechar aún más las funcionalidades de Azure, puede ampliar el ámbito de la integración de Azure Arc con las cargas de trabajo virtualizadas y contenedorizadas de Azure Stack HCl mediante la implementación de la funcionalidad siguiente:

Precaución

AKS en Azure Stack HCl y los servicios de datos habilitados para Azure Arc se encuentran en versión preliminar en el momento de publicar esta arquitectura de referencia.

Con el ámbito de Azure Arc ampliado a las VM de Azure Stack HCI, podrá automatizar su configuración mediante las extensiones de VM de Azure y evaluar su cumplimiento con la normativa del sector y los estándares corporativos mediante Azure Policy.

Aproveche la protección basada en virtualización de Azure Stack HCI, el hardware certificado y los servicios basados en la nube para mejorar la seguridad y el cumplimiento normativo en los escenarios ROBO.

Los escenarios ROBO presentan desafíos únicos para la seguridad y el cumplimiento. Sin soporte técnico de TI o, como mucho, con soporte técnico de TI limitado, y sin centros de datos dedicados, es especialmente importante proteger sus cargas de trabajo de amenazas internas y externas. Las funcionalidades de Azure Stack HCl y su integración con los servicios de Azure pueden solucionar este problema.

El hardware certificado de Azure Stack HCI garantiza la compatibilidad integrada con el arranque seguro, con Unified Extensible Firmware Interface (UEFI) y con el Módulo de plataforma segura (TPM). Estas tecnologías, combinadas con seguridad basada en virtualización (VBS), ayudan a proteger las cargas de trabajo sensibles a la seguridad. El Cifrado de unidad BitLocker le permite cifrar volúmenes de Espacios de almacenamiento directo en reposo mientras el cifrado SMB proporciona cifrado automático en tránsito, que facilita el cumplimiento de estándares como el Estándar federal de procesamiento de información 140-2 (FIPS 140-2) y la Ley de transferibilidad y responsabilidad de seguros médicos (HIPAA).

Además, puede incorporar las máquinas virtuales de Azure Stack HCI en Microsoft Defender for Cloud para activar el análisis de comportamiento basado en la nube, la detección y la corrección de amenazas, las alertas y los informes. Del mismo modo, al incorporar las VM de Azure Stack HCI en Azure Arc, obtiene la capacidad de usar Azure Policy para evaluar su cumplimiento con normativas del sector y estándares corporativos.

Consideraciones

El Marco de buena arquitectura de Microsoft Azure es un conjunto de principios de orientación que se siguen en esta arquitectura de referencia. Las consideraciones siguientes se enmarcan en el contexto de estos principios.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.

Las consideraciones de confiabilidad incluyen:

  • Mayor velocidad de reparación de los volúmenes de Espacios de almacenamiento directo (también conocida como resincronización). Espacios de almacenamiento directo proporciona resincronización automática después de los eventos que afectan a la disponibilidad de los discos del bloque de almacenamiento, como el apagado de un nodo de clúster o un error de hardware localizado. Azure Stack HCI implementa un proceso de resincronización mejorado que funciona con una granularidad mucho más fina que Windows Server 2019 y reduce significativamente el tiempo de la operación de resincronización. Esto minimiza el impacto potencial de varios errores de hardware superpuestos.
  • Selección del testigo de clústeres de conmutación por error. El testigo basado en unidad USB ligera elimina las dependencias de la conectividad de Internet confiable que son necesarias cuando se usa la configuración basada en el testigo en la nube.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

Las consideraciones de seguridad incluyen:

  • Seguridad básica de Azure Stack HCI. Aproveche los componentes de hardware de Azure Stack HCI (como el arranque seguro, UEFI y TPM) para crear una base segura para la seguridad de nivel de VM de Azure Stack HCI, que incluye Device Guard y Credential Guard. Use el control de acceso basado en rol de Windows Admin Center para delegar las tareas de administración siguiendo el principio de privilegios mínimos.
  • Seguridad avanzada de Azure Stack HCl. Aplique las bases de referencia de seguridad de Microsoft a los clústeres de Azure Stack HCI y sus cargas de trabajo de Windows Server mediante Active Directory Domain Services (AD DS) con la directiva de grupo. Puede usar Microsoft Advanced Threat Analytics (ATA) para detectar y corregir ciberamenazas dirigidas a controladores de dominio de AD DS y proporcionar servicios de autenticación para clústeres de Azure Stack HCI y sus cargas de trabajo de Windows Server.

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

Las consideraciones de optimización de costos incluyen:

  • Interconexiones de clústeres sin conmutador frente a basadas en conmutador. La topología de interconexión sin conmutador consta de conexiones redundantes entre adaptadores de acceso directo a memoria remota (RDMA) de un solo puerto o de dos puertos en cada nodo (que forman una malla completa), donde cada nodo se conecta directamente a cada uno de los demás nodos. Aunque esto es sencillo de implementar en un clúster de dos nodos, los clústeres más grandes requieren adaptadores de red adicionales en el hardware de cada nodo.
  • Modelo de facturación de estilo de nube. Los precios de Azure Stack HCl siguen el modelo de facturación de suscripción mensual, con una tarifa plana por núcleo de procesador físico en un clúster de Azure Stack HCl.

Precaución

Aunque no hay ningún requisito de licencia de software local para los nodos de clúster que hospedan la infraestructura de Azure Stack HCl, las VM de Azure Stack HCI pueden requerir licencias de sistema operativo individuales. También se pueden aplicar cargos de uso adicionales si usa otros servicios de Azure.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

Las consideraciones sobre la excelencia operativa incluyen:

  • Experiencia simplificada de aprovisionamiento y administración con Windows Admin Center. El Asistente para crear clúster de Windows Admin Center proporciona una interfaz controlada por asistente que le guía en la creación de un clúster de Azure Stack HCl. Del mismo modo, Windows Admin Center simplifica el proceso de administración de VM de Azure Stack HCI.
  • Funcionalidades de automatización. Azure Stack HCI proporciona una amplia gama de funcionalidades de automatización, con actualizaciones del sistema operativo combinadas con actualizaciones de la pila completa, que incluyen el firmware y los controladores que proporcionan los proveedores y asociados de Azure Stack HCI. Con la Actualización compatible con clústeres (CAU), las actualizaciones del sistema operativo se ejecutan en modo desatendido mientras las cargas de trabajo de Azure Stack HCI permanecen en línea. Esto produce transiciones perfectas entre los nodos del clúster que eliminan el impacto de los reinicios posteriores a la revisión. Azure Stack HCl también ofrece compatibilidad con el aprovisionamiento de clústeres automatizado y la administración de VM mediante Windows PowerShell. Puede ejecutar Windows PowerShell localmente desde uno de los servidores de Azure Stack HCI o de forma remota desde un equipo de administración. La integración con Azure Automation y Azure Arc facilita una gran variedad de escenarios de automatización adicionales para las cargas de trabajo virtualizadas y contenedorizadas.
  • Complejidad reducida de la administración. La interconexión sin conmutador elimina el riesgo de errores en los dispositivos de conmutación, así como la necesidad de configuración y administración.

Eficiencia del rendimiento

La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar con el fin de satisfacer de manera eficiente las demandas que los usuarios hayan ejercido sobre ella. Para obtener más información, vea Resumen del pilar de eficiencia del rendimiento.

Las consideraciones de eficiencia del rendimiento incluyen:

  • Resistencia del almacenamiento frente a eficacia del uso y al rendimiento. La planeación de los volúmenes de Azure Stack HCI implica la identificación del equilibrio óptimo entre resistencia, eficacia del uso y rendimiento. El desafío se debe al hecho de que maximizar una de estas características suele tener un impacto negativo en al menos en una de las otras dos. Por ejemplo, al aumentar la resistencia disminuye la capacidad utilizable, mientras que el rendimiento resultante puede variar según el tipo de resistencia. En el caso de los volúmenes reflejados bidireccionales anidados o los volúmenes de paridad acelerada de reflejo anidados, una mayor resistencia reduce la eficacia de la capacidad en comparación con la creación de reflejo bidireccional tradicional. Al mismo tiempo, el volumen de reflejo bidireccional anidado ofrece un mejor rendimiento que el volumen de paridad acelerada de reflejo anidado, pero a costa de una eficiencia de uso inferior.
  • Configuración del disco de Espacios de almacenamiento directo. La característica Espacios de almacenamiento directo admite los tipos de unidades de disco duro (HDD), unidades de estado sólido (SSD) y unidades de NVMe. El tipo de unidad afecta directamente al rendimiento del almacenamiento debido a las diferencias en las características de rendimiento entre cada tipo, y al mecanismo de almacenamiento en caché, que es una parte integral de la configuración de Espacios de almacenamiento directo. En función de las cargas de trabajo y las restricciones de presupuesto de Azure Stack HCI, puede optar por maximizar el rendimiento, maximizar la capacidad o implementar una configuración de unidad que proporcione equilibrio entre el rendimiento y la capacidad.
  • Optimización de la memoria caché de almacenamiento. Espacios de almacenamiento directo proporciona una caché de servidor, de lectura y escritura, en tiempo real, persistente e integrada, que maximiza el rendimiento del almacenamiento. La memoria caché debe tener el tamaño y la configuración para acomodar el espacio de trabajo de las aplicaciones y las cargas de trabajo. Además, Azure Stack HCI es compatible con la caché de lectura en memoria de Volumen compartido de clúster (CSV). El uso de la memoria del sistema para las lecturas de caché puede mejorar el rendimiento de Hyper-V.
  • Optimización del rendimiento de proceso. Azure Stack HCl ofrece compatibilidad con la aceleración de la unidad de procesamiento de gráficos (GPU), dirigida a cargas de trabajo de inteligencia artificial/ML de alto rendimiento que están orientadas a escenarios perimetrales.
  • Optimización del rendimiento de redes. Como parte de su diseño, asegúrese de incluir la asignación de ancho de banda de tráfico proyectada al determinar la configuración de hardware de red óptima. Esto incluye las disposiciones que abordan los requisitos de ancho de banda mínimo de interconexión sin conmutador.

Pasos siguientes

Documentación del producto:

Módulos de Microsoft Learn: