Modifier

Utilisez l’interconnexion sans commutateur Azure Stack HCI et le quorum léger pour ROBO (Remote Office/Branch Office)

Azure Arc
Azure Monitor
Azure Policy
Microsoft Defender pour le cloud
Azure Stack HCI

Cette architecture de référence montre comment concevoir une infrastructure pour les charges de travail virtualisées et en conteneur à haut niveau de disponibilité dans les scénarios ROBO (Remote Office/Branch Office).

Architecture

Diagramme illustrant un scénario Azure Stack HCI ROBO, avec un cluster Azure Stack HCI à deux nœuds utilisant une interconnexion sans commutateur et un quorum USB. Le cluster utilise plusieurs services Azure, dont Azure Arc qui permet d’implémenter Azure Policy, Azure Automation, qui inclut la fonctionnalité de gestion des mises à jour Azure, Azure Monitor, Azure File Sync, Carte réseau Azure, Microsoft Defender pour le cloud, Sauvegarde Azure, Azure Site Recovery et Réplica de stockage.

Téléchargez un fichier Visio de cette architecture.

Workflow

Cette architecture intègre les fonctionnalités suivantes :

  • Azure Stack HCI (20H2) . Azure Stack HCI est une solution de cluster d’infrastructure hyperconvergée qui héberge des charges de travail Windows et Linux virtualisées et leur stockage dans un environnement local hybride. Le cluster étiré peut comporter entre quatre et 16 nœuds physiques.
  • Témoin de partage de fichiers . Un témoin de partage de fichiers est un partage SMB (Server Message Block) que le cluster de basculement utilise comme vote dans le quorum de cluster. À partir de Windows Server 2019, il est possible d’utiliser un lecteur USB connecté à un routeur à cet effet.
  • Azure Arc. Service basé sur le cloud qui étend le modèle de gestion basé sur Azure Resource Manager aux ressources non-Azure, notamment les machines virtuelles, les clusters Kubernetes et les bases de données conteneurisées.
  • Azure Policy . Service basé sur le cloud qui évalue les ressources Azure et locales grâce à l’intégration dans Azure Arc en comparant les propriétés à des règles métier personnalisables.
  • Azure Monitor. Service basé sur le cloud qui optimise la disponibilité et les performances de vos applications et services en fournissant une solution complète pour collecter, analyser et utiliser la télémétrie de vos environnements cloud et locaux.
  • Microsoft Defender pour le cloud. Microsoft Defender pour le cloud est un système unifié de gestion de la sécurité de l’infrastructure qui renforce la posture de sécurité de vos centres de données et fournit une protection avancée contre les menaces sur vos charges de travail hybrides dans le cloud (dans Azure ou non), ainsi qu’en local.
  • Azure Automation . Azure Automation offre un service d’automatisation et de configuration cloud prenant en charge une gestion cohérente de vos environnements Azure et non-Azure.
  • Suivi des modifications et inventaire . Fonctionnalité d’Azure Automation qui effectue le suivi des modifications apportées aux serveurs Windows Server et Linux hébergés sur Azure, locales et d’autres environnements cloud pour vous aider à identifier les problèmes opérationnels et environnementaux liés aux logiciels gérés par le gestionnaire de package de distribution.
  • Update Management . Fonctionnalité d’Azure Automation qui rationalise la gestion des mises à jour de système d’exploitation de vos machines Windows Server et Linux dans Azure, des environnements locaux et d’autres environnements cloud.
  • Sauvegarde Azure . Le service de sauvegarde Azure fournit des solutions simples, sécurisées et rentables pour sauvegarder vos données et les récupérer à partir du cloud Microsoft Azure.
  • Azure Site Recovery . Service basé sur le cloud qui permet d’assurer la continuité de l’activité en maintenant l’exécution des charges de travail et applications métier lors des interruptions. Site Recovery gère la réplication et le basculement des charges de travail exécutées sur des machines physiques et virtuelles entre leur site principal et un emplacement secondaire.
  • Azure File Sync. Service basé sur le cloud qui peut synchroniser et mettre en cache le contenu des partages de fichiers Azure à l’aide de serveurs Windows dans vos environnements Azure et non-Azure.
  • Réplica de stockage . Technologie Windows Server qui permet la réplication de volumes entre des serveurs ou des clusters pour la récupération d’urgence.

Components

Technologies clés utilisées pour implémenter cette architecture :

Détails du scénario

Cas d’usage potentiels

Les utilisations courantes de cette architecture incluent les scénarios ROBO (Remote Office/Branch Office) suivants :

  • Implémentation des charges de travail de périphérie basées sur des conteneurs et des applications métier virtualisées, de manière rentable.
  • Réduction du coût total de possession (TCO) par le biais de solutions certifiées Microsoft, de l’automatisation basée sur le cloud, de la gestion centralisée et de la surveillance centralisée.
  • Contrôle et audit de la sécurité et de la conformité à l’aide de la protection basée sur la virtualisation, du matériel certifié et des services cloud.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Utilisez l’interconnexion sans commutation Azure Stack HCI et le quorum léger pour une infrastructure ROBO hautement disponible et économique.

Dans les scénarios ROBO, le principal problème de l’entreprise est de réduire les coûts. Pourtant, de nombreuses charges de travail ROBO sont de plus en plus critiques, avec une faible tolérance pour les temps d’arrêt. Azure Stack HCI offre la solution optimale en offrant à la fois résilience et rentabilité. Grâce à Azure Stack HCI, vous pouvez appliquer la résilience intégrée des espaces de stockage direct et les technologies de clustering de basculement pour implémenter une infrastructure de calcul, de stockage et de réseau hautement disponible pour les charges de travail ROBO conteneurisées et virtualisées. Pour des raisons de rentabilité, l’utilisation de deux nœuds de cluster avec seulement quatre disques et 64 Go de mémoire par nœud est suffisante. Pour réduire davantage les coûts, vous pouvez utiliser des interconnexions sans commutateur entre les nœuds, éliminant ainsi le besoin de périphériques de commutation redondants. Pour finaliser la configuration du cluster, vous pouvez implémenter un témoin de partage de fichiers simplement en utilisant une clé USB connectée à un routeur qui héberge les liaisons montantes des nœuds du cluster. Pour une résilience maximale, sur un cluster à 2 nœuds, vous avez la possibilité de configurer les volumes espaces de stockage direct avec soit un miroir bidirectionnel imbriqué, soit une parité accélérée par miroir imbriqué. Contrairement à la mise en miroir bidirectionnelle traditionnelle, ces options tolèrent de multiples défaillances matérielles simultanées sans perte de données.

Notes

Avec la résilience imbriquée, un cluster à 2 nœuds et tous ses volumes restent en ligne après la défaillance d’un nœud unique et d’un disque unique sur le nœud survivant.

Intégrez entièrement les déploiements Azure Stack HCI dans Azure pour réduire le coût total de possession dans les scénarios ROBO.

Dans le cadre de la famille de produits Azure Stack, Azure Stack HCI dépend fondamentalement d’Azure. Par conséquent, pour optimiser les fonctionnalités et la prise en charge, vous devez l’inscrire dans les 30 jours suivant le déploiement de votre premier cluster Azure Stack HCI. Ce processus génère une ressource Azure Resource Manager correspondante, qui étend effectivement le plan de gestion Azure à Azure Stack HCI et active automatiquement la surveillance basée sur le portail Azure, le support et la fonctionnalité de facturation.

Pour minimiser les frais de gestion du cluster Azure Stack HCI et de la charge de travail, vous devez également envisager d’utiliser les services Azure suivants, qui fournissent les capacités correspondantes :

Pour tirer parti des fonctionnalités Azure, vous pouvez agrandir l’étendue de l’intégration d’Azure Arc aux charges de travail en conteneur et virtualisées Azure Stack HCI en implémentant les fonctionnalités suivantes :

Attention

AKS sur Azure Stack HCI et les services de données compatibles avec Azure Arc sont disponibles en préversion lors de la publication de cette architecture de référence.

Avec l’étendue d’Azure Arc définie jusqu’aux machines virtuelles Azure Stack HCI, vous pouvez automatiser leur configuration à l’aide d’extensions de machine virtuelle Azure et évaluer leur conformité avec les réglementations du secteur et les normes de l’entreprise à l’aide d’Azure Policy.

Exploitez la protection basée sur la virtualisation Azure Stack HCI, le matériel certifié et les services basés sur le cloud pour améliorer la sécurité et la conformité dans les scénarios ROBO.

Les scénarios ROBO présentent des défis uniques en termes de sécurité et de conformité. Sans (ou au mieux avec) un support informatique local limité et l’absence de centres de centres dédiés, il est particulièrement important de protéger leurs charges de travail contre les menaces internes et externes. Les fonctionnalités d’Azure Stack HCI et l’intégration de cette solution aux services Azure peuvent résoudre ce problème.

Le matériel certifié Azure Stack HCI intègre la prise en charge du démarrage sécurisé, d’UEFI (Unified Extensible Firmware Interface) et du Module de plateforme sécurisée (TPM). Ces technologies, associées à la sécurité basée sur la virtualisation (VBS), contribuent à protéger les charges de travail dont la sécurité est primordiale. Chiffrement de lecteur BitLocker vous permet de chiffrer des volumes espaces de stockage direct au repos, tandis que le chiffrement SMB assure le chiffrement automatique en transit, ce qui facilite la conformité à des normes telles que la norme FIPS 140-2 (Federal Information Processing Standard 140-2) et la norme HIPAA (Health Insurance Portability and Accountability Act).

En outre, vous pouvez intégrer les machines virtuelles Azure Stack HCI dans Microsoft Defender pour le cloud pour activer l’analytique comportementale basée sur le cloud, la détection des menaces, la correction, les alertes et les rapports. De même, en intégrant les machines virtuelles Azure Stack HCI dans Azure Arc, vous avez la possibilité d’utiliser Azure Policy pour évaluer la conformité avec les réglementations du secteur et les normes de l’entreprise.

Considérations

Le cadre de référence Microsoft Azure Well-Architected Framework est un ensemble de principes directeurs qui sont suivis dans cette architecture de référence. Les considérations suivantes s’inscrivent dans le contexte de ces principes.

Fiabilité

La fiabilité permet de s’assurer que votre application tient vos engagements auprès de vos clients. Pour plus d’informations, consultez la page Vue d’ensemble du pilier de fiabilité.

Éléments de fiabilité à prendre en compte :

  • Amélioration de la vitesse de réparation des volumes des espaces de stockage direct (également appelée resynchronisation). Espaces de stockage direct permet une resynchronisation automatique après des événements qui affectent la disponibilité des disques du pool de stockage, tels que l’arrêt d’un nœud de cluster ou une panne matérielle localisée. Azure Stack HCI implémente un processus de resynchronisation amélioré qui fonctionne à une granularité beaucoup plus fine que Windows Server 2019 et réduit considérablement le temps nécessaire à la resynchronisation. Cela réduit l’impact potentiel de plusieurs défaillances matérielles redondantes.
  • Sélection du témoin de clustering de basculement. Le témoin léger basé sur le lecteur USB élimine les dépendances à la fiabilité de la connectivité Internet, ce qui est nécessaire lors de l’utilisation de la configuration basée sur un témoin cloud.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

Éléments de sécurité à prendre en compte :

  • Sécurité de base Azure Stack HCI. Tirez parti des composants matériels Azure Stack HCI (tels que Secure Boot, UEFI et TPM) pour établir une base sûre pour la sécurité de machine virtuelle Azure Stack HCI, incluant Device Guard et Credential Guard. Utilisez le contrôle d’accès en fonction du rôle Windows Admin Center pour déléguer des tâches de gestion en suivant le principe du moindre privilège.
  • Sécurité avancée Azure Stack HCI. Appliquez les bases de sécurité Microsoft aux clusters Azure Stack HCI et à leurs charges de travail Windows Server en utilisant Active Directory Domain Services (AD DS) avec une stratégie de groupe. Vous pouvez utiliser Microsoft Advanced Threat Analytics (ATA) pour détecter et corriger les cyber-menaces ciblant les contrôleurs de domaine AD DS fournissant des services d'authentification aux clusters Azure Stack HCI et à leurs charges de travail Windows Server.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

Éléments à prendre en compte lors de l’optimisation des coûts :

  • Interconnexions de clusters sans commutateur et avec commutateur. La topologie d’interconnexion sans commutateur est constituée de connexions redondantes entre des adaptateurs d’accès direct à la mémoire à distance (RDMA) à un seul port ou à deux ports sur chaque nœud (qui forme une maille complète), chaque nœud étant directement connecté à chaque autre nœud. Bien que cela soit simple à implémenter dans un cluster à 2 nœuds, les clusters plus importants nécessitent l’installation physique d’adaptateurs réseau supplémentaires dans chaque nœud.
  • Modèle de facturation de type cloud. La tarification Azure Stack HCI suit le modèle de facturation à abonnement mensuel, avec un taux forfaitaire par cœur de processeur physique dans un cluster Azure Stack HCI.

Attention

Bien qu’il n’y ait aucune exigence de licence de logiciel local pour les nœuds de cluster hébergeant l’infrastructure Azure Stack HCI, les machines virtuelles Azure Stack HCI peuvent nécessiter des licences de SE individuelles. Des frais d’utilisation supplémentaires peuvent également s’appliquer si vous utilisez d’autres services Azure.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

Les considérations relatives à l’excellence opérationnelle sont les suivantes :

  • Expérience de configuration et de gestion simplifiée avec Windows Admin Center. L’Assistant Création d’un cluster de Windows Admin Center fournit une interface pilotée par un assistant pour vous guider tout au long du processus de création d’un cluster étendu Azure Stack HCI. De même, Windows Admin Center simplifie le processus de gestion des machines virtuelles Azure Stack HCI.
  • Fonctionnalités Automation. Azure Stack HCI offre une large gamme de fonctionnalités d’automatisation, avec des mises à jour du système d’exploitation associées à des mises à jour de pile complète, notamment des microprogrammes et des pilotes fournis par les fournisseurs et partenaires Azure Stack HCI. Avec la mise à jour adaptée aux clusters, les mises à jour du système d’exploitation s’exécutent sans assistance, tandis que les charges de travail Azure Stack HCI restent en ligne. Il en résulte des transitions transparentes entre les nœuds de cluster qui éliminent l’impact des redémarrages de mise à jour corrective. Azure Stack HCI offre également la prise en charge de l’approvisionnement des clusters automatisés et la gestion des machines virtuelles à l’aide de Windows PowerShell. Vous pouvez exécuter Windows PowerShell localement à partir de l’un des serveurs Azure Stack HCI ou à distance à partir d’un ordinateur de gestion. L’intégration à Azure Automation et Azure Arc facilite l’implémentation d’un large éventail de scénarios d’automatisation supplémentaires pour les charges de travail virtualisées et en conteneurs.
  • Réduction de la complexité de la gestion. L’interconnexion sans commutateur élimine le risque de défaillance des appareils de commutation et la nécessité de les configurer et de les gérer.

Efficacité des performances

L’efficacité des performances est la capacité de votre charge de travail à s’adapter à la demande des utilisateurs de façon efficace. Pour plus d’informations, consultez Vue d’ensemble du pilier d’efficacité des performances.

Les considérations relatives aux performances sont les suivantes :

  • Résilience du stockage par rapport à l’efficacité d’utilisation et aux performances. La planification des volumes Azure Stack HCI implique l’identification de l’équilibre optimal entre la résilience, l’efficacité de l’utilisation et les performances. En vérité, l’optimisation d’une de ces caractéristiques a généralement un impact négatif sur au moins une des deux autres. Par exemple, l’amélioration de la résilience réduit la capacité utilisable, tandis que les performances résultantes peuvent varier selon le type de résilience. Dans le cas de volumes en miroir bidirectionnels imbriqués ou de volumes de parité accélérés par mise en miroir imbriquée, une résilience plus élevée permet de réduire l’efficacité de la capacité par rapport à la mise en miroir bidirectionnelle traditionnelle. En même temps, le volume en miroir bidirectionnel imbriqué offre de meilleures performances que le volume de parité accéléré par mise en miroir imbriqué, mais au détriment de l’efficacité de l’utilisation.
  • Configuration de disques espaces de stockage direct. Espaces de stockage direct prend en charge les lecteurs de disque dur (HDD), les disques SSD (Solid-State Drives) et les lecteurs NVMe. Le type de disque a un impact direct sur les performances de stockage en raison des différences de caractéristiques de performance entre chaque type, et le mécanisme de mise en cache, qui fait partie intégrante de la configuration d’espaces de stockage direct. En fonction des charges de travail et des contraintes budgétaires d’Azure Stack HCI, vous pouvez choisir d’optimiser les performances, d’optimiser la capacité ou d’implémenter une configuration de lecteur qui assure l’équilibre entre les performances et la capacité.
  • Optimisation de la mise en cache du stockage. Espaces de stockage direct fournit une mise en cache intégrée, permanente, en temps réel, en lecture et en écriture côté serveur qui optimise les performances de stockage. Le cache doit être dimensionné et configuré pour prendre en charge le jeu de travail de vos applications et charges de travail. En outre, Azure Stack HCI est compatible avec le cache de lecture en mémoire du volume partagé de cluster (CSV). L’utilisation de la mémoire système pour le cache des lectures peut améliorer les performances d’Hyper-V.
  • Optimisation des performances de calcul. Azure Stack HCI offre une prise en charge de l’accélération de l’unité de traitement graphique (GPU, Graphical Processing Unit) ciblant les charges de travail IA/ML haute performance qui sont adaptées aux scénarios de périphérie.
  • Optimisation des performances de mise en réseau. Dans le cadre de votre conception, veillez à inclure l’allocation de bande passante du trafic projetée lors de la détermination de la configuration de votre matériel réseau optimal. Cela comprend les dispositions relatives à l’adressage de la bande passante minimale requise pour l’interconnexion.

Étapes suivantes

Documentation du produit :

Modules Microsoft Learn :