Migrálási infrastruktúra üzembe helyezése

  • Cikk
  • 34 perc alatt elolvasható

Ez a cikk bemutatja, hogy a fiktív Contoso vállalat hogyan készíti elő a helyszíni infrastruktúrát a migráláshoz, állítja be az Azure-infrastruktúrát a migrálás előkészítésekor, és futtatja a vállalatot hibrid környezetben.

Ha ezt a példát használja a saját infrastruktúra-migrálási erőfeszítéseinek megtervezéséhez, vegye figyelembe, hogy a megadott mintaarchitektúra a Contoso-ra jellemző. Tekintse át a szervezet üzleti igényeit, struktúráját és műszaki követelményeit, amikor fontos infrastruktúra-döntéseket hoz az előfizetések tervezéséről vagy a hálózati architektúráról.

Az, hogy a cikkben ismertetett összes elemre szüksége lesz-e, a migrálási stratégiától függ. Előfordulhat például, hogy egy kevésbé összetett hálózati struktúra szükséges, ha csak natív felhőbeli alkalmazásokat hoz létre az Azure-ban.

Áttekintés

Mielőtt a Contoso az Azure-ba migrálhatna, rendkívül fontos előkészíteni az Azure-infrastruktúrát. A Contosónak általában hat területre kell gondolnia:

  • 1. lépés: Azure-előfizetések. Hogyan vásárolja meg az informatikai rendszer az Azure-t, és hogyan használhatja az Azure platformot és szolgáltatásokat?
  • 2. lépés: Hibrid identitás. Hogyan felügyeli és szabályozza az informatikai rendszer a helyszíni és az Azure-erőforrásokhoz való hozzáférést a migrálás után? Hogyan terjeszti ki vagy helyezi át az informatikai rendszer az identitáskezelést a felhőbe?
  • 3. lépés: Vészhelyreállítás és rugalmasság. Hogyan biztosítja az informatikai rendszer, hogy az alkalmazások és az infrastruktúra rugalmasak legyenek kimaradások és katasztrófák esetén?
  • 4. lépés: Hálózat. Hogyan kell megtervezni egy hálózati infrastruktúrát, és kapcsolatot létesíteni a helyszíni adatközpont és az Azure között?
  • 5. lépés: Biztonság. Hogyan biztosítja az informatikai rendszer a hibrid üzembe helyezést?
  • 6. lépés: Irányítás. Hogyan tartja az informatikai csapat az üzembe helyezést a biztonsági és irányítási követelményeknek megfelelően?

Előkészületek

Mielőtt elkezdenénk áttekinteni az infrastruktúrát, érdemes elolvasni néhány háttérinformációt a releváns Azure-képességekről:

Helyszíni architektúra

Az alábbi ábrán a Contoso jelenlegi helyszíni infrastruktúrája látható.

A Contoso architektúrájának ábrája.1. ábra: A Contoso helyszíni architektúrája.

  • A Contoso egy fő adatközponttal rendelkezik New Yorkban, a keleti Egyesült Államok.
  • Három további helyi fiókiroda is létezik az Egyesült Államokban.
  • A fő adatközpont száloptikás Metro Ethernet-kapcsolattal (500 Mbps) csatlakozik az internethez.
  • Minden ág helyileg csatlakozik az internethez üzleti szintű kapcsolatokon keresztül, IPsec VPN-alagutakkal vissza a fő adatközponthoz. Ez a megközelítés lehetővé teszi a teljes hálózat állandó csatlakoztatását, és optimalizálja az internetkapcsolatot.
  • A fő adatközpont teljesen virtualizált a VMware-rel. A Contoso két, a vCenter Server 6.5 által felügyelt ESXi 6.5 virtualizálási gazdagéppel rendelkezik.
  • A Contoso az Active Directoryt használja a belső hálózat identitáskezelési és DNS-kiszolgálóihoz.
  • Az adatközpont tartományvezérlői VMware virtuális gépeken futnak. A helyi fiókirodákban lévő tartományvezérlők fizikai kiszolgálókon futnak.

1. lépés: Az Azure megvásárlása és előfizetése

A Contosónak meg kell határoznia, hogyan vásárolhatja meg az Azure-t, hogyan kezelheti az előfizetéseket, és hogyan licencelheti a szolgáltatásokat és erőforrásokat.

Az Azure megvásárlása

A Contoso regisztrál egy Nagyvállalati Szerződés. Ez a szerződés előzetes pénzügyi kötelezettségvállalást jelent az Azure felé, amely feljogosítja a Contoso-t olyan előnyök megszerzésére, mint a rugalmas számlázási lehetőségek és az optimalizált díjszabás.

A részletek a következők:

  • A Contoso felbecsülte éves Azure-kiadásait. Amikor a Contoso aláírta a szerződést, az első évet teljes egészében kifizette.
  • A Contosónak az év vége előtt minden kötelezettségvállalást fel kell használnia, vagy el kell veszítenie a dollár értékét.
  • Ha valamilyen okból a Contoso túllépi a kötelezettségvállalását, és többet költ, a Microsoft számlával fogja számlázni a különbséget.
  • A vállalt kapacitások felett felmerülő költségek felszámítása a Contoso szerződésében szereplő díjakon történik. A túlköltés nem jár extra költségekkel.

Előfizetések kezelése

Miután kifizette az Azure-t, a Contosónak meg kell határoznia, hogyan kezelheti az Azure-előfizetéseket. Mivel a Contoso rendelkezik EA-val, nincs korlátozva a létrehozható Azure-előfizetések száma. Az Azure Nagyvállalati Szerződés-regisztráció határozza meg, hogy a vállalat hogyan alakítja és használja az Azure-szolgáltatásokat, és meghatározza az alapvető irányítási struktúrát.

Első lépésként a Contoso egy vállalati szerkezetet definiált a regisztrációjához. A Contoso az Azure Nagyvállalati állványok útmutatójával segített megérteni és megtervezni az állványokat.

A Contoso egyelőre úgy döntött, hogy funkcionális megközelítést alkalmaz az előfizetések kezelésére:

  • A vállalaton belül egyetlen informatikai részleget fog használni, amely szabályozza az Azure költségvetését. Ez lesz az egyetlen csoport, amely előfizetésekkel rendelkezik.
  • A Contoso a jövőben kiterjeszti ezt a modellt, hogy más vállalati csoportok is csatlakozhassanak részlegekként a regisztrációs hierarchiában.
  • Az informatikai részlegen belül a Contoso két előfizetést Production és Development.
  • Ha a Contosónak a jövőben több előfizetésre lesz szüksége, az előfizetések hozzáférését, szabályzatait és megfelelőségét is kezelnie kell. A Contoso ezt úgy teszi meg, hogy az Azure felügyeleti csoportjait egy további rétegként mutatja be az előfizetések felett.

A vállalati hierarchia ábrája.2. ábra: Vállalati hierarchia.

Licencelés vizsgálata

Az előfizetések konfigurálása után a Contoso megtekintheti a Microsoft-licencelést. A licencelési stratégia a Contoso által az Azure-ba migrálni kívánt erőforrásoktól, valamint a virtuális gépek és szolgáltatások azure-beli kiválasztásától és üzembe helyezésétől függ.

Azure Hybrid Benefit

A virtuális gépek Azure-ban való üzembe helyezéséhez a standard rendszerképek tartalmaznak egy licencet, amely percről percre megterheli a Contoso-t a használt szoftverért. A Contoso azonban hosszú távú Microsoft-ügyfélként fenntartotta az EA-kat és nyitott licenceket a Frissítési Garanciával.

Azure Hybrid Benefit költséghatékony módszert biztosít a migráláshoz. Lehetővé teszi, hogy a Contoso a Frissítési Garanciával lefedett Windows Server Datacenter és Standard kiadású licencek konvertálásával vagy újbóli használatával mentse az Azure-beli virtuális gépeket és SQL Server számítási feladatokat. Ez lehetővé teszi, hogy a Contoso alacsonyabb alapszámítási díjat fizessen a virtuális gépekért és SQL Server. További információ: Azure Hybrid Benefit.

Licenchordozhatóság

A Licencalapú mobilitás a Frissítési Garancián keresztül rugalmasságot biztosít a Microsoft mennyiségi licencelési ügyfeleinek, például a Contoso-nak, hogy aktív frissítési garanciával rendelkező jogosult kiszolgálóalkalmazásokat telepítsenek az Azure-ban. Így nem szükséges új licenceket vásárolniuk. A meglévő licencek hordozhatósági költségek nélkül és egyszerűen helyezhetők üzembe az Azure-ban. További információ: License Mobility through Software Assurance on Azure.

Fenntartott példányok kiszámítható számítási feladatokhoz

A kiszámítható számítási feladatoknak mindig elérhetőnek kell lenniük a futó virtuális gépeken, például az üzletági alkalmazásokban, például egy SAP ERP-rendszerben. A kiszámíthatatlan számítási feladatok változók, például olyan virtuális gépek, amelyek nagy igény esetén és kikapcsolva vannak, ha alacsony a kereslet.

Az Azure Reserved Virtual Machine Instances diagramja.3. ábra: Fenntartott Azure-beli virtuálisgép-példányok.

Cserébe, hogy fenntartott példányokat használ bizonyos virtuálisgép-példányokhoz, amelyeket hosszú ideig fenn kell tartani, a Contoso kedvezményt és rangsorolt kapacitást is kaphat. Az Azure Reserved Virtual Machine Instances és a Azure Hybrid Benefit együttes használata akár 82 százalékkal is megtakaríthatja a Contosót a normál használatalapú fizetéses díjszabásból (2018 áprilisától).

2. lépés: Hibrid identitás kezelése

Az Azure-erőforrásokhoz való felhasználói hozzáférés identitás- és hozzáférés-kezeléssel való biztosítása és szabályozása fontos lépés az Azure-infrastruktúra összevonásában.

A Contoso úgy dönt, hogy kiterjeszti a helyszíni Active Directoryt a felhőbe, és nem egy új, különálló rendszert hoz létre az Azure-ban. Mivel a Contoso még nem használja a Microsoft 365-öt, ki kell építenie egy Azure AD példányt. Ha a Contoso a Microsoft 365-öt használná, már rendelkezne egy meglévő Azure AD bérlővel és címtárral, amelyet elsődleges Azure AD példányként használhatna.

További információ a Microsoft 365 identitásmodelljeiről és az Azure Active Directoryról. Azt is megtudhatja, hogyan társíthat vagy vehet fel Azure-előfizetést az Azure Active Directory-bérlőhöz.

Azure AD könyvtár létrehozása

A Contoso az Azure-előfizetés részét képező ingyenes Azure AD kiadást használja. A Contoso rendszergazdái létrehoznak egy Azure AD könyvtárat:

  1. A Azure Portal a create a resource Identity Azure Active Directory(Erőforrás-identitás>>létrehozása) című témakört.

  2. A Create könyvtárban megadják a címtár nevét, a kezdeti tartománynevet, valamint azt a régiót, ahol létre kell hozni a címtárat.

    Képernyőkép az Azure AD könyvtár létrehozására szolgáló beállításokról.

    4. ábra: Hozzon létre egy Azure AD könyvtárat.

Megjegyzés

A létrehozott címtárnak van egy kezdeti tartományneve az űrlapon domain-name.onmicrosoft.com. A név nem módosítható vagy törölhető. Ehelyett a rendszergazdáknak hozzá kell adniuk a regisztrált tartománynevét Azure AD.

A tartománynév hozzáadása

A standard tartománynév használatához a Contoso rendszergazdáinak egyéni tartománynévként kell hozzáadniuk azt Azure AD. Ennek köszönhetően lehetősége van ismerős felhasználóneveket kiosztani. A felhasználók például nem az e-mail-címmel, hanem az e-mail-címmel billg@contoso.com jelentkezhetnek billg@contosomigration.onmicrosoft.combe.

Egyéni tartománynév beállításához a rendszergazdák hozzáadják a címtárhoz, hozzáadnak egy DNS-bejegyzést, majd ellenőrzik a nevet Azure AD.

  1. Az Egyéni tartománynevek>– Egyéni tartomány hozzáadása területen felveszik a tartományt.

  2. Ahhoz, hogy DNS-bejegyzést használhassanak az Azure-ban, regisztrálniuk kell azt a tartományregisztrálójuknál:

    • Az Egyéni tartománynevek listában feljegyzi a név DNS-adatait. MX rekordot használ.
    • Hozzáférésre van szükségük a névkiszolgálóhoz. Bejelentkeznek a contoso.com tartományba, és létrehoznak egy új MX rekordot a Azure AD által megadott DNS-bejegyzéshez a feljegyzett adatok használatával.

  3. A DNS-rekordok propagálása után az Ellenőrzés lehetőséget választva ellenőrzik az egyéni tartománynevet a tartomány adatai között.

    Képernyőkép az Azure Active Directory D N S kiválasztásáról.

    5. ábra: A tartománynév ellenőrzése.

Helyszíni és Azure-beli csoportok és felhasználók konfigurálása

Most, hogy létrejött a Azure AD címtár, a Contoso rendszergazdáinak hozzá kell adniuk az alkalmazottakat helyi Active Directory csoportokhoz, amelyek szinkronizálva lesznek Azure AD. Ehhez olyan helyszíni csoportneveket érdemes használnia, amelyek egyeznek az Azure-beli erőforráscsoportok neveivel. Így könnyebben azonosíthatók az egyezések a szinkronizáláshoz.

Erőforráscsoportok létrehozása az Azure-ban

Az Azure-erőforráscsoportokkal az Azure-beli erőforrások csoportosíthatók. Az erőforráscsoport azonosítójának használatával az Azure műveleteket hajthat végre a csoportban lévő erőforrásokon.

Egy Azure-előfizetés több erőforráscsoportot is tartalmazhat. Egy erőforráscsoport egyetlen előfizetésben létezik. Emellett egyetlen erőforráscsoport több erőforrással is rendelkezhet. Egy erőforrás egyetlen erőforráscsoporthoz tartozik.

A Contoso rendszergazdái az alábbi táblázatban látható módon állítják be az Azure-erőforráscsoportokat.

Erőforráscsoport Részletek
ContosoCobRG Ez a csoport az üzletmenet folytonosságához kapcsolódó összes erőforrást tartalmazza. Tartalmazza azokat a tárolókat, amelyeket a Contoso az Azure Site Recovery szolgáltatáshoz és a Azure Backup szolgáltatáshoz fog használni.

Emellett a migráláshoz használt erőforrásokat is tartalmazza, beleértve az Azure Migrate-et és a Azure Database Migration Service.
ContosoDevRG Ez a csoport fejlesztési/tesztelési erőforrásokat tartalmaz.
ContosoFailoverRG Ez a csoport a feladatátvételi erőforrások kezdőzónájaként szolgál.
ContosoNetworkingRG Ez a csoport az összes hálózati erőforrást tartalmazza.
ContosoRG Ez a csoport az éles alkalmazásokhoz és adatbázisokhoz kapcsolódó erőforrásokat tartalmaz.

A rendszergazda az erőforráscsoportokat az alábbiak szerint hozza létre:

  1. Az Azure Portal >erőforráscsoportokban hozzáadnak egy csoportot.

  2. Minden csoporthoz megadnak egy nevet, egy előfizetést, amelyhez a csoport tartozik, valamint a régiót.

  3. Az erőforráscsoportok az Erőforráscsoportok listában jelennek meg.

    Képernyőkép az erőforráscsoportok listájáról

    6. ábra: Erőforráscsoportok.

Erőforráscsoportok skálázása

A jövőben a Contoso igény szerint további erőforráscsoportokat is hozzá fog adni. Meghatározhat például egy erőforráscsoportot az egyes alkalmazásokhoz vagy szolgáltatásokhoz, hogy azok egymástól függetlenül kezelhetők és védhetők legyenek.

Egyező biztonsági csoportok létrehozása a helyszínen

A helyi Active Directory példányban a Contoso rendszergazdái olyan biztonsági csoportokat állítottak be, amelyek neve megegyezik az Azure-erőforráscsoportok nevével.

Képernyőkép helyi Active Directory biztonsági csoportokról.7. ábra: Helyszíni Active Directory biztonsági csoportok.

Felügyeleti célokkal egy további csoportot is létrehoznak, amely hozzá lesz adva az összes többi csoporthoz. Ez a csoport hozzáféréssel fog rendelkezni az Azure-ban lévő összes erőforráscsoporthoz. Ehhez a csoporthoz korlátozott számú globális rendszergazda lesz hozzáadva.

Az Active Directory szinkronizálása

A Contoso egy közös azonosítót szeretne biztosítani a helyszíni és a felhőalapú erőforrások eléréséhez. Ehhez integrálja a helyi Active Directory-példányt Azure AD. Ezzel a modellel a felhasználók és a szervezetek egyetlen identitással férhetnek hozzá a helyszíni alkalmazásokhoz és felhőszolgáltatásokhoz, például a Microsoft 365-höz vagy több ezer más internetes webhelyhez. A rendszergazdák az Active Directory csoportjaival implementálhatják az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC).

Az integráció megkönnyítésére a Contoso az Azure AD Connect-eszközt használja. Amikor telepíti és konfigurálja az eszközt egy tartományvezérlőn, az szinkronizálja a helyi Active Directory identitásokat Azure AD.

Az eszköz letöltése

  1. A Azure Portal a Contoso rendszergazdái megnyitják az Azure Active Directoryt>Azure AD Csatlakoznak, és letöltik az eszköz legújabb verzióját a szinkronizáláshoz használt kiszolgálóra.

    Képernyőkép az Azure A D Connect letöltésére szolgáló hivatkozásról.

    8. ábra: A Azure AD Connect letöltése.

  2. A telepítést az AzureADConnect.msiExpress Settings használatával indítják el. Ez a leggyakoribb telepítés, amely egyerdős topológiához használható jelszókivonat-szinkronizálással a hitelesítéshez.

    Képernyőkép a Azure AD Csatlakozás varázslóról.

    9. ábra: Azure AD Csatlakozás varázsló.

  3. A Connect to Azure AD (Csatlakozás Azure AD) mezőben megadják a Azure AD (űrlapon admin@contoso.com vagy admin@contoso.onmicrosoft.com).

    Képernyőkép az Azure AD Connect varázsló Csatlakozás az Azure AD-hez lapjáról.

    10. ábra: Azure AD Csatlakozás varázsló: Csatlakozás Azure AD.

  4. Az AD DS-hez való csatlakozáskor megadják a helyszíni címtár hitelesítő adatait (az űrlapon CONTOSO\admin vagy contoso.com\admina ).

    Képernyőkép az Azure A D Connect varázsló Csatlakozás AD D S-hez lapjáról.

    11. ábra: Azure AD Csatlakozás varázsló: Csatlakozás az AD DS-hez.

  5. A rendszergazda a Konfigurálásra kész területen az Indítsa el a szinkronizálási folyamatot, amint a konfigurálás befejeződik lehetőséggel indíthatja azonnal a szinkronizálást. Ezután elvégzi a telepítést.

    Vegye figyelembe a következőket:

    • A Contoso közvetlen kapcsolattal rendelkezik az Azure-hoz. Ha a helyi Active Directory-példány proxy mögött található, tekintse át Azure AD kapcsolat hibaelhárítását.

    • Az első szinkronizálást követően a helyszíni Active Directory-objektumok az Azure AD-címtárban láthatók.

      Képernyőkép helyi Active Directory Azure Active Directoryban látható objektumokról.

      12. ábra: A Azure AD látható helyszíni Active Directory-objektumok.

    • A Contoso informatikai csapata minden csoportban képviselteti magát, és a szerepkörén alapul.

      Képernyőkép a csoporttagságról.

      13. ábra: Csoporttagság.

Az Azure RBAC beállítása

Az Azure RBAC részletes hozzáférés-kezelést tesz lehetővé az Azure-ban. Az Azure RBAC használatával csak annyi hozzáférést adhat a felhasználóknak, amennyi a feladatok elvégzéséhez szükséges. A megfelelő Azure-szerepkört hatókörszinten rendelheti hozzá a felhasználókhoz, csoportokhoz és alkalmazásokhoz. A szerepkörkiosztás hatóköre előfizetés, erőforráscsoport vagy egyetlen erőforrás is lehet.

A Contoso rendszergazdái ezután szerepköröket rendelnek a helyszínről szinkronizált Active Directory-csoportokhoz.

  1. Az erőforráscsoportban a ControlCobRGHozzáférés-vezérlés (IAM)>Szerepkör-hozzárendelés hozzáadása lehetőséget választják.

  2. A Szerepkör-hozzárendelési>szerepkör-közreműködő> hozzáadása területen kiválasztják a ContosoCobRG biztonsági csoportot a listából. A csoport ezután megjelenik a Kijelölt tagok listában.

  3. Ezt ugyanazokkal az engedélyekkel ismétlik meg a többi erőforráscsoporthoz ContosoAzureAdmins(kivéve) úgy, hogy közreműködői engedélyeket adnak hozzá az erőforráscsoportnak megfelelő biztonsági csoporthoz.

  4. ContosoAzureAdmins A biztonsági csoporthoz a Tulajdonos szerepkört rendelik hozzá.

    Képernyőkép a helyszíni Azure Active Directory-csoportokról.

    14. ábra: Szerepkörök hozzárendelése biztonsági csoportokhoz.

3. lépés: Rugalmasság tervezése

Régiók beállítása

Az Azure-erőforrások üzembe helyezése régiókban történik. A régiók földrajzi helyekre vannak rendezve. Az adattárolásra, a szuverenitásra, a megfelelőségre és a rugalmasságra vonatkozó követelmények a földrajzi határokon belül teljesülnek.

A régió adatközpontokból áll. Az adatközpontok egy adott késési értékkel definiált területen belül vannak üzembe helyezve, és egy dedikált, kis késésű regionális hálózaton keresztül kapcsolódnak.

A rugalmasság érdekében minden egyes Azure-régió párosítva van egy másik régióval. Olvasson utána az Azure-régióknak, és ismerje meg a régiók párosításának hátterét.

A Contoso úgy döntött, hogy a (Virginia államban található) régiót elsődleges régióként és Central US (Iowa) másodlagos régióként használja East US 2 , az alábbi okok miatt:

  • A Contoso adatközpontja New Yorkban található, és a Contoso a legközelebbi adatközponthoz képest számol a késéssel.
  • East US 2 A rendelkezik a Contoso által igényelt összes szolgáltatás és termék. Nem minden Azure-régió rendelkezik ugyanazokkal a termék- és szolgáltatásokkal. További információ: Azure-termékek régiónként.
  • Central USA az Azure párosított régiója.East US 2

Mivel hibrid környezetet szeretne, a Contosónak fontolóra kell vennie, hogyan építheti be a rugalmasságot és a vészhelyreállítási stratégiát a régiókialakításba. A legegyszerűbb stratégia egy egyrégiós üzemelő példány, amely az Azure platform olyan funkcióira támaszkodik, mint a tartalék tartományok és a regionális párosítás a rugalmasság érdekében. A legösszetettebb egy teljes aktív-aktív modell, amelyben a felhőszolgáltatások és az adatbázis üzembe helyezése és a felhasználók kiszolgálása két régióból történik.

A Contoso egy középutas megoldás bevezetése mellett döntött. Alkalmazásokat és erőforrásokat helyez üzembe egy elsődleges régióban, és megtartja az infrastruktúra teljes másolatát a másodlagos régióban. Ezzel a stratégiával a másolat készen áll arra, hogy teljes biztonsági mentésként működjön, ha teljes alkalmazáskatasztrófa vagy regionális hiba történik.

A rendelkezésre állás beállítása

Rendelkezésre állási csoportok

A rendelkezésre állási csoportok segítenek megvédeni az alkalmazásokat és az adatokat az adatközponton belüli helyi hardver- és hálózati kimaradásoktól. A rendelkezésre állási csoportok elosztják az Azure-beli virtuális gépeket az adatközponton belüli fizikai hardverek között.

A tartalék tartományok közös áramforrással és hálózati kapcsolóval rendelkező mögöttes hardvereket jelölnek az adatközponton belül. A rendelkezésre állási csoportokban lévő virtuális gépek a tartalék tartományok között vannak elosztva, hogy minimálisra csökkentsék az egyetlen hardver- vagy hálózati hiba által okozott kimaradást.

A frissítési tartományok a mögöttes hardverelemeket jelölik, amelyeken egyszerre végezhető karbantartás vagy újraindítás. A rendelkezésre állási csoportok a virtuális gépeket több frissítési tartomány között is elosztják, így biztosítva, hogy legalább egy példány folyamatosan fusson.

A Contoso a rendelkezésre állási csoportokat ott implementálja, ahol a virtuális gépek számítási feladatai nagy rendelkezésre állást igényelnek. További információ: Windows rendszerű virtuális gépek rendelkezésre állásának kezelése az Azure-ban.

Rendelkezésre állási zónák

Availability Zones segít megvédeni az alkalmazásokat és az adatokat a régión belüli teljes adatközpontot érintő hibáktól.

Minden rendelkezésre állási zóna egy egyedi fizikai helyet jelöl egy Azure-régión belül. Minden zóna egy vagy több, független energiaellátással, hűtéssel és hálózatkezeléssel felszerelt adatközpontból áll.

Minden engedélyezett régióban legalább három külön zóna található. A rendelkezésre állási zónák régión belüli fizikai elkülönítése védi az alkalmazásokat és az adatokat az adatközpontok meghibásodása esetén.

A Contoso Availability Zones fog használni, amikor az alkalmazásoknak nagyobb skálázhatóságra, rendelkezésre állásra és rugalmasságra van szükségük. További információ: Régiók és Availability Zones az Azure-ban.

Biztonsági mentés konfigurálása

Azure Backup

Az azure-beli virtuálisgép-lemezek biztonsági mentéséhez és visszaállításához használhatja a Azure Backup.

Azure Backup lehetővé teszi az Azure Storage-ban tárolt virtuálisgép-lemezképek automatikus biztonsági mentését. A biztonsági másolatok alkalmazáskonzisztensek, így biztosítják, hogy a biztonsági másolatok adatai tranzakciós szempontból konzisztensek legyenek, és hogy az alkalmazások a visszaállítás után elinduljanak.

Azure Backup támogatja a helyileg redundáns tárolást (LRS) a biztonsági mentési adatok több másolatának replikálásához egy adatközpontban helyi hardverhiba esetén. Regionális leállás esetén Azure Backup támogatja a georedundáns tárolást (GRS), amely a biztonsági mentési adatokat egy másodlagos párosított régióba replikálja.

Azure Backup titkosítja az átvitel alatt lévő adatokat az AES-256 használatával. Az inaktív adatokról biztonsági másolatot készít az Azure Storage titkosítása.

A Contoso az Azure Backup és a GRS használatával biztosítja, hogy a számítási feladatok adatairól biztonsági másolat készüljön, és probléma esetén gyorsan visszaállítható legyen. További információ: Az Azure-beli virtuális gépek biztonsági mentésének áttekintése.

Vészhelyreállítás beállítása

Azure Site Recovery

Az Azure Site Recovery segít biztosítani az üzletmenet folytonosságát azáltal, hogy az üzleti alkalmazások és számítási feladatok továbbra is futnak a regionális kimaradások során.

Az Azure Site Recovery folyamatosan replikálja az Azure-beli virtuális gépeket egy elsődleges régióból egy másodlagos régióba, így mindkét helyen biztosítja a funkcionális másolatokat. Leállás esetén az elsődleges régióban az alkalmazás vagy szolgáltatás feladatátvételt végez a másodlagos régióban replikált virtuálisgép-példányok használatára. Ez a feladatátvétel minimalizálja az esetleges fennakadásokat. Amikor a műveletek visszatérnek a normál állapotba, az alkalmazások vagy szolgáltatások feladat-visszavételt hajthatnak végre az elsődleges régióban lévő virtuális gépekre.

A Contoso az Azure Site Recovery fogja implementálni a kritikus fontosságú számítási feladatokban használt összes éles virtuális géphez, így minimális fennakadást biztosít az elsődleges régióban történő kimaradások során.

4. lépés: Hálózati infrastruktúra tervezése

A regionális kialakítással a Contoso készen áll a hálózati stratégia kialakítására. Végig kell gondolnia, hogy a helyszíni adatközpont és az Azure hogyan kapcsolódnak és kommunikálnak egymással, és hogyan alakítható ki a hálózati infrastruktúra az Azure-ban. A Contosónak konkrétan a következőket kell tennie:

  • Hibrid hálózati kapcsolatok tervezése. Határozza meg, hogyan fogja összekapcsolni a hálózatokat a helyszíni és az Azure-on keresztül.
  • Azure-beli hálózati infrastruktúra tervezése. El kell döntenie, hogyan helyezi üzembe a hálózatokat a régiókban. Hogyan kommunikálnak a hálózatok ugyanazon a régión belül és régiók között?
  • Azure-hálózatok tervezése és beállítása. Az Azure-hálózatok és -alhálózatok beállítása, és a tartalmaikkal kapcsolatos döntések meghozatala.

Hibrid hálózati kapcsolatok tervezése

A Contoso több architektúrát is figyelembe vett az Azure és a helyszíni adatközpont közötti hibrid hálózatkezeléshez . További információ: Megoldás választása a helyszíni hálózat Azure-hoz való csatlakoztatásához.

Emlékeztetőül: a Contoso helyszíni hálózati infrastruktúrája jelenleg a New York-i adatközpontból és a Egyesült Államok keleti felén található helyi ágakból áll. Minden hely üzleti szintű internetkapcsolattal rendelkezik. Ezután az egyes ágak egy IPsec VPN-alagúton keresztül csatlakoznak az adatközponthoz az interneten keresztül.

A Contoso hálózatának ábrája.15. ábra: A Contoso hálózat.

A Contoso a következő hibrid kapcsolat implementálása mellett döntött:

  1. Állítson be egy új helyek közötti VPN-kapcsolatot a New York-i Contoso adatközpont és a két Azure-régió között, East US 2 és Central US.
  2. Az Azure-beli virtuális hálózatokhoz kötött fiókirodai forgalom a Contoso fő adatközpontján halad át.
  3. Ahogy a Contoso vertikálisan felskálázza az Azure üzemelő példányt, létre fog hozni egy Azure ExpressRoute-kapcsolatot az adatközpont és az Azure-régiók között. Ebben az esetben a Contoso csak feladatátvételi célokra őrzi meg a HELYEK közötti VPN-kapcsolatot.

Csak VPN:

Képernyőkép a Contoso VPN-ről.16. ábra: A Contoso VPN.

VPN és ExpressRoute:

Képernyőkép a Contoso VPN-ről és az ExpressRoute-ról.17. ábra: Contoso VPN és ExpressRoute.

Az Azure hálózati infrastruktúra tervezése

A Contoso hálózati konfigurációjának biztonságossá és méretezhetővé kell tennie a hibrid üzembe helyezést. A Contoso hosszú távú megközelítést alkalmaz erre, és úgy tervez virtuális hálózatokat, hogy rugalmasak és nagyvállalati használatra készek legyenek. További információ: Virtuális hálózatok tervezése.

A két régió összekapcsolásához a Contoso egy hubok közötti hálózati modellt valósít meg. A Contoso minden régióban egy küllős modellt fog használni. A Contoso a hálózatok és központok összekapcsolásához Azure hálózati társviszony-létesítést alkalmaz.

Hálózati társviszony

Az Azure-beli virtuális hálózatok közötti társviszony-létesítés virtuális hálózatokat és központokat köt össze. A globális társviszony-létesítés lehetővé teszi a különböző régiókban található virtuális hálózatok vagy központok közötti kapcsolatokat. A helyi társviszony-létesítés ugyanabban a régióban köti össze a virtuális hálózatokat.

A virtuális hálózatok közötti társviszony-létesítés számos előnnyel jár:

  • A társított virtuális hálózatok közti hálózati adatforgalom nem nyilvános.
  • A virtuális hálózatok közötti forgalom a Microsoft gerinchálózatán belül marad. A virtuális hálózatok közötti kommunikációhoz nincs szükség nyilvános internetre, átjárókra vagy titkosításra.
  • A társviszony-létesítés alapértelmezett, kis késésű, nagy sávszélességű kapcsolatot biztosít a különböző virtuális hálózatok erőforrásai között.

Központok közötti modell régiók között

A Contoso minden régióban üzembe helyez egy központot. A hub egy azure-beli virtuális hálózat, amely a helyszíni hálózathoz való kapcsolódás központi pontjaként működik. A központi virtuális hálózatok globális virtuális hálózatok közötti társviszony-létesítésen keresztül csatlakoznak egymáshoz, ami összeköti a virtuális hálózatokat az Azure-régiók között. Az egyik régióban lévő központ társviszonyban van a másik régióban lévő partnerközponttal. A központ a régiója minden hálózatához társviszonyban áll, és az összes hálózati erőforráshoz tud csatlakozni.

Globális társviszony-létesítés diagramja.18. ábra: Globális társviszony-létesítés.

Küllős modell egy régión belül

A Contoso minden régióban különböző célokra helyez üzembe virtuális hálózatokat küllős hálózatokként a régióközpontból. A régión belüli virtuális hálózatok társviszony-létesítéssel csatlakoznak a központjukhoz és egymáshoz.

A központi hálózat tervezése

A küllős modellben a Contosónak át kellett gondolnia, hogyan lesz átirányítva a helyszíni adatközpontból és az internetről érkező forgalom. A Contoso így döntött úgy, hogy a hubok és Central US a központok útválasztását East US 2 is kezeli:

  • A Contoso olyan hálózatot tervez, amely vpn-rel engedélyezi az internetről és a vállalati hálózatról érkező forgalmat az Azure-ba.
  • A hálózati architektúrának két határa van, egy nem megbízható előtéri peremzóna és egy háttérbeli megbízható zóna.
  • A tűzfal minden zónában egy hálózati adapterrel rendelkezik, amely a megbízható zónákhoz való hozzáférést vezérli.
  • Az internetről érkező forgalom:
    • Az internetes forgalom egy terheléselosztott nyilvános IP-címre érkezik a szegélyhálózaton.
    • Ez a forgalom a tűzfalon halad át, és tűzfalszabályok vonatkoznak gombra.
    • A hálózati hozzáférés-vezérlés implementálása után a forgalom a megfelelő helyre lesz továbbítva a megbízható zónában.
    • A virtuális hálózat kimenő forgalmát a rendszer a felhasználó által megadott útvonalakon keresztül irányítja az internetre. A forgalom a tűzfalon keresztül lesz kényszerítve, és a Contoso-szabályzatokkal összhangban van megvizsgálva.
  • A Contoso-adatközpontból érkező forgalom:
    • A helyek közötti VPN- vagy ExpressRoute-alapú bejövő forgalom az Azure VPN-átjáró nyilvános IP-címére ér.
    • A forgalom áthalad a tűzfalon, és érvényesek rá a tűzfalszabályok.
    • A tűzfalszabályok alkalmazása után a forgalom egy belső terheléselosztóhoz (standard termékváltozat) továbbítja a megbízható belső zóna alhálózatán.
    • A megbízható alhálózatról a helyszíni adatközpontba a VPN-en keresztül érkező kimenő forgalom a tűzfalon keresztül lesz átirányítva. A rendszer a szabályokat alkalmazza, mielőtt a forgalom a helyek közötti VPN-kapcsolaton halad át.

Azure-hálózatok tervezése és beállítása

A hálózati és útválasztási topológia üzembe helyezésével a Contoso készen áll az Azure-hálózatok és alhálózatok beállítására:

  • A Contoso egy A osztályú magánhálózatot implementál az Azure-ban (10.0.0.0/8). Ez a helyszíni környezet miatt működik; jelenleg B osztályú privát címtérrel (172.160.0.0/16) rendelkezik. A Contoso biztos lehet abban, hogy nincs átfedés a címtartományok között.
  • A Contoso virtuális hálózatokat helyez üzembe az elsődleges és a másodlagos régiókban is.
  • A Contoso olyan elnevezési konvenciót használ, amely tartalmazza az előtagot VNET és a régió rövidítését EUS2 vagy CUS. Ezzel a szabványsal a központi hálózatok a régióban East US 2 és VNET-HUB-CUS a Central US régióban lesznek elnevezveVNET-HUB-EUS2.

Virtuális hálózatok a következőben: East US 2

East US 2 az az elsődleges régió, amelyet a Contoso az erőforrások és szolgáltatások üzembe helyezéséhez fog használni. A Contoso így tervez hálózatokat ebben a régióban:

  • Hub: A központi East US 2 virtuális hálózat a Contoso elsődleges kapcsolata a helyszíni adatközponttal.

  • Virtuális hálózatok: A küllős East US 2 virtuális hálózatok szükség esetén elkülöníthetők a számítási feladatoktól. A központi virtuális hálózat mellett a Contoso két küllős virtuális hálózattal is rendelkezik:East US 2

    • VNET-DEV-EUS2. Ez a virtuális hálózat egy teljesen működőképes hálózatot biztosít a fejlesztői/tesztelési csapatnak a fejlesztési projektekhez. Éles üzemi tesztterületként fog működni, és az üzemi infrastruktúrára támaszkodik.

    • VNET-PROD-EUS2. Az Azure IaaS éles összetevői ebben a hálózatban találhatóak majd.

    Minden virtuális hálózat saját egyedi címtérrel rendelkezik, átfedés nélkül. A Contoso hálózati címfordítás (NAT) nélkül kívánja konfigurálni az útválasztást.

  • Alhálózatok: Minden egyes alkalmazásszinthez minden hálózatban lesz egy alhálózat. Az éles hálózat minden alhálózata rendelkezik egyező alhálózattal a fejlesztési virtuális hálózatban. Az éles hálózat rendelkezik egy alhálózattal a tartományvezérlők számára.

Az alábbi táblázat a virtuális hálózatokat foglalja össze a következőben East US 2: .

Virtuális hálózat Tartomány Társ
VNET-HUB-EUS2 10.240.0.0/20 VNET-HUB-CUS2, VNET-DEV-EUS2, VNET-PROD-EUS2
VNET-DEV-EUS2 10.245.16.0/20 VNET-HUB-EUS2
VNET-PROD-EUS2 10.245.32.0/20 VNET-HUB-EUS2, VNET-PROD-CUS

Az elsődleges régió küllős modelljének ábrája.19. ábra: Küllős modell.

A hálózat alhálózatai East US 2 Hub (VNET-HUB-EUS2)

Alhálózat/zóna CIDR Használható IP-címek
IB-UntrustZone 10.240.0.0/24 251
IB-TrustZone 10.240.1.0/24 251
OB-UntrustZone 10.240.2.0/24 251
OB-TrustZone 10.240.3.0/24 251
GatewaySubnet 10.240.10.0/24 251

A fejlesztési hálózat alhálózatai East US 2 (VNET-DEV-EUS2)

A fejlesztői csapat a fejlesztési virtuális hálózatot használja éles próbaterületként. Három alhálózatot tartalmaz.

Alhálózat CIDR Címek Az alhálózaton
DEV-FE-EUS2 10.245.16.0/22 1019 Előtér-/webes szintű virtuális gépek
DEV-APP-EUS2 10.245.20.0/22 1019 Alkalmazásszintű virtuális gépek
DEV-DB-EUS2 10.245.24.0/23 507 Adatbázisszintű virtuális gépek

Az éles hálózat alhálózatai East US 2 (VNET-PROD-EUS2)

Az Azure IaaS-összetevők az éles hálózatban találhatók. Minden alkalmazásszintnek saját alhálózata van. Az alhálózatok megegyeznek a fejlesztői hálózatban lévőkkel, és egy alhálózatot ad hozzá a tartományvezérlőkhöz.

Alhálózat CIDR Címek Az alhálózaton
PROD-FE-EUS2 10.245.32.0/22 1019 Előtér-/webes szintű virtuális gépek
PROD-APP-EUS2 10.245.36.0/22 1019 Alkalmazásszintű virtuális gépek
PROD-DB-EUS2 10.245.40.0/23 507 Adatbázisszintű virtuális gépek
PROD-DC-EUS2 10.245.42.0/24 251 Tartományvezérlő virtuális gépek

A központi hálózati architektúra ábrája.20. ábra: Központi hálózati architektúra.

Virtuális hálózatok a (másodlagos régióban Central US )

Central US A a Contoso másodlagos régiója. A Contoso a következő módon építi fel a belső hálózatait:

  • Hub: A központi virtuális hálózat Central US a helyszíni adatközponthoz való csatlakozás másodlagos pontja. A küllős Central US virtuális hálózatok használatával szükség esetén elkülöníthetők a számítási feladatok, és a többi küllőtől elkülönítve kezelhetők.

  • Virtuális hálózatok: A Contoso két virtuális hálózattal fog rendelkezni:Central US

    • VNET-PROD-CUS: Egy termelési hálózat, amely másodlagos központnak tekinthető.
    • VNET-ASR-CUS: Egy virtuális hálózat, amely olyan helyként működik, ahol a virtuális gépek a helyszíni feladatátvétel után jönnek létre, vagy azure-beli virtuális gépek helyeként feladatátvételt hajtanak végre az elsődleges régióból a másodlagos régióba. Ez a hálózat hasonló az éles hálózatokhoz, de nincs rajta tartományvezérlő.

    A régió minden virtuális hálózata saját címtérrel rendelkezik, átfedés nélkül. A Contoso NAT nélküli útválasztást konfigurál.

  • Alhálózatok: Az alhálózatok kialakítása a következőhöz hasonlóan East US 2fog kinézni: .

The following table summarizes virtual networks in Central US.

Virtuális hálózat Tartomány Társ
VNET-HUB-CUS 10.250.0.0/20 VNET-HUB-EUS2, VNET-ASR-CUS, VNET-PROD-CUS
VNET-ASR-CUS 10.255.16.0/20 VNET-HUB-CUS, VNET-PROD-CUS
VNET-PROD-CUS 10.255.32.0/20 VNET-HUB-CUS, VNET-ASR-CUS, VNET-PROD-EUS2

Egy küllős modell ábrája egy párosított régióban.21. ábra: Küllős modell egy párosított régióban.

A központi hálózat alhálózatai Central US (VNET-HUB-CUS)

Alhálózat CIDR Használható IP-címek
IB-UntrustZone 10.250.0.0/24 251
IB-TrustZone 10.250.1.0/24 251
OB-UntrustZone 10.250.2.0/24 251
OB-TrustZone 10.250.3.0/24 251
GatewaySubnet 10.250.10.0/24 251

Az éles hálózat alhálózatai Central US (VNET-PROD-CUS)

Az elsődleges régióban (East US 2) lévő éles hálózattal párhuzamosan van egy éles hálózat a másodlagos régióban (Central US).

Alhálózat CIDR Címek Az alhálózaton
PROD-FE-CUS 10.255.32.0/22 1019 Előtérbeli/webes szintű virtuális gépek
PROD-APP-CUS 10.255.36.0/22 1019 Alkalmazásszintű virtuális gépek
PROD-DB-CUS 10.255.40.0/23 507 Adatbázisszintű virtuális gépek
PROD-DC-CUS 10.255.42.0/24 251 Tartományvezérlő virtuális gépek

A feladatátvételi Central US /helyreállítási hálózat alhálózatai (VNET-ASR-CUS)

A VNET-ASR-CUS hálózat a régiók közötti feladatátvételhez használatos. Az Azure-beli virtuális gépek régiók közötti feladatátvételét és feladat-visszavételét a Site Recovery végzi majd. Emellett Contoso-adatközpontként is működik az Azure-hálózatban a helyszínen maradó, de vészhelyreállítás céljából az Azure-ba feladatátvételt biztosító védett számítási feladatokhoz.

VNET-ASR-CUS A ugyanaz az alapszintű alhálózat, mint az éles virtuális hálózat, East US 2 de nincs szükség tartományvezérlői alhálózatra.

Alhálózat CIDR Címek Az alhálózaton
ASR-FE-CUS 10.255.16.0/22 1019 Előtérbeli/webes szintű virtuális gépek
ASR-APP-CUS 10.255.20.0/22 1019 Alkalmazásszintű virtuális gépek
ASR-DB-CUS 10.255.24.0/23 507 Adatbázisszintű virtuális gépek

A központi hálózati architektúra ábrája.22. ábra: Központi hálózati architektúra.

Társkapcsolatok konfigurálása

Az egyes régiókban lévő központ társviszonyban lesz a másik régióban lévő központtal és a központi régióban található összes virtuális hálózattal. Ez a konfiguráció lehetővé teszi a központok számára a kommunikációt és a régión belüli összes virtuális hálózat megtekintését. Vegye figyelembe, hogy a társviszony-létesítés kétoldalas kapcsolatot hoz létre. Az egyik az első virtuális hálózat kezdeményező társától, a másik pedig a második virtuális hálózattól származik.

Hibrid telepítés esetén a partnerek közötti forgalomnak láthatónak kell lennie a helyszíni adatközpont és az Azure közötti VPN-kapcsolaton. Ennek engedélyezéséhez a Contosónak adott beállításokat kell használnia a társviszony-kapcsolatokon. A küllős virtuális hálózatoktól a központon keresztül a helyszíni adatközpont felé irányuló kapcsolatok esetében a Contosónak engedélyeznie kell a forgalom továbbítását és a VPN-átjárók közötti áthaladásokat.

Tartományvezérlő

A hálózat tartományvezérlői esetében a Contoso azt szeretné, hogy a VNET-PROD-EUS2 forgalom a EUS2 központi/éles hálózat és a helyszíni VPN-kapcsolat között is áthaladjon. Ehhez a Contoso rendszergazdáinak engedélyeznie kell a következőket:

  1. Továbbított forgalom engedélyezése és Átjáró-átviteli konfigurációk engedélyezése a társkapcsolaton. A példánkban ez a kapcsolat a következőhöz VNET-HUB-EUS2VNET-PROD-EUS2: .

    Képernyőkép a továbbított forgalom engedélyezésére és az átjáróval történő adatátvitel engedélyezésére vonatkozó jelölőnégyzetek bejelölésével.

    23. ábra: Társviszony-kapcsolat.

  2. Engedélyezze a továbbított forgalmat , és használjon távoli átjárókat a társviszony-létesítés másik oldalán, a kapcsolatról VNET-PROD-EUS2 a másikra VNET-HUB-EUS2.

    Képernyőkép a továbbított forgalom engedélyezésére és a távoli átjárók használatára kijelölt jelölőnégyzetekről.

    24. ábra: Társviszony-kapcsolat.

  3. A helyszínen beállítanak egy statikus útvonalat, amely a helyi forgalmat a VPN-alagúton keresztül a virtuális hálózatra irányítja. A konfiguráció befejeződött azon az átjárón, amely a Contoso és az Azure közötti VPN-alagutat biztosítja. Útválasztási és távelérési szolgáltatást (RRAS) használnak a statikus útvonalhoz.

    Képernyőkép a statikus útvonal kiválasztásáról.

    25. ábra: Társviszony-kapcsolat.

Éles hálózatok

A küllős társhálózatok nem látják a másik régiókban lévő küllős társhálózatokat a központon keresztül. Ahhoz, hogy a Contoso mindkét régióban üzemelő hálózatai láthassanak egymással, a Contoso rendszergazdáinak közvetlen társviszony-kapcsolatot kell létrehozniuk a következőkhöz VNET-PROD-EUS2 : és VENT-PROD-CUS.

Közvetlen társviszony-kapcsolat létrehozásának ábrája.26. ábra: Közvetlen társviszony-létesítés létrehozása.

DNS beállítása

A virtuális hálózatokban az erőforrások üzembe helyezésekor több lehetősége is van a tartománynevek feloldására. Használhatja az Azure által biztosított névfeloldásokat, vagy DNS-kiszolgálókat is biztosíthat a megoldáshoz. A használt névfeloldás típusa attól függ, hogy az erőforrásoknak hogyan kell kommunikálniuk egymással. További információk az Azure DNS szolgáltatásról.

A Contoso rendszergazdája úgy döntött, hogy az Azure DNS szolgáltatás nem jó választás a hibrid környezetben. Ehelyett a helyszíni DNS-kiszolgálókat fogják használni. A részletek a következők:

  • Mivel ez egy hibrid hálózat, minden helyszíni és Azure-beli virtuális gépnek képesnek kell lennie feloldani a neveket a megfelelő működéshez. Ez azt jelenti, hogy az egyéni DNS-beállításokat az összes virtuális hálózatra alkalmazni kell.

  • A Contoso jelenleg tartományvezérlőket (TARTOMÁNYVEZÉRLŐket) helyez üzembe a Contoso adatközpontjában és a fiókirodákban. Az elsődleges DNS-kiszolgálók a következők contosodc1 : (172.16.0.10) és contosodc2 (172.16.0.1).

  • A virtuális hálózatok üzembe helyezése után a helyszíni tartományvezérlők DNS-kiszolgálóként lesznek konfigurálva a hálózatokban.

  • Ha a virtuális hálózathoz opcionális egyéni DNS van megadva, az Azure-beli rekurzív feloldók virtuális IP-címét 168.63.129.16 fel kell venni a listára. Ehhez a Contoso konfigurálja a DNS-kiszolgáló beállításait az egyes virtuális hálózatokon. A hálózat egyéni DNS-beállításai például a VNET-HUB-EUS2 következők:

    Képernyőkép az egyéni DNS konfigurációjáról.

    27. ábra: Egyéni DNS.

A helyszíni tartományvezérlők mellett a Contoso négy tartományvezérlőt is implementál az Azure-hálózatok támogatásához (régiónként kettő):

Régió DC Virtuális hálózat Alhálózat IP-cím
East US 2 contosodc3 VNET-PROD-EUS2 PROD-DC-EUS2 10.245.42.4
East US 2 contosodc4 VNET-PROD-EUS2 PROD-DC-EUS2 10.245.42.5
Central US contosodc5 VNET-PROD-CUS PROD-DC-CUS 10.255.42.4
Central US contosodc6 VNET-PROD-CUS PROD-DC-CUS 10.255.42.4

A helyszíni tartományvezérlők üzembe helyezése után a Contosónak mindkét régióban frissítenie kell a DNS-beállításokat, hogy az új tartományvezérlők szerepeljenek a DNS-kiszolgálók listáján.

Tartományvezérlők beállítása az Azure-ban

A hálózati beállítások frissítése után a Contoso rendszergazdája készen áll a tartományvezérlők kiépítésére az Azure-ban.

  1. A Azure Portal egy új Windows Server rendszerű virtuális gépet helyeznek üzembe a megfelelő virtuális hálózaton.

  2. Rendelkezésre állási csoportokat hoznak létre a virtuális gép minden helyén. A rendelkezésre állási csoportok biztosítják, hogy az Azure-háló elkülönítse a virtuális gépeket az Azure-régió különböző infrastruktúráira. A rendelkezésre állási csoportok azt is lehetővé teszik, hogy a Contoso jogosult legyen az Azure-beli virtuális gépek 99,95%-os szolgáltatói szerződésére (SLA).

    Egy rendelkezésre állási csoport létrehozását bemutató képernyőkép.

    28. ábra: Rendelkezésre állási csoport.

  3. A virtuális gép üzembe helyezését követően a rendszergazda megnyitja a gép hálózati adapterét. A magánhálózati IP-címet statikusra állítják be, és megadnak egy érvényes címet.

    A virtuális gép hálózati adapterének kapcsolatát bemutató képernyőkép.

    29. ábra: Virtuálisgép-hálózati adapter.

  4. Új adatlemezt csatolnak a virtuális géphez. Ez a lemez tartalmazza az Active Directory-adatbázist és a sysvol-megosztást.

    A lemez mérete határozza meg a támogatott IOPS-értéket. Idővel előfordulhat, hogy a lemezméretet a környezet növekedésével kell növelni.

    Megjegyzés

    A lemezt nem szabad írási/olvasási értékre állítani a gazdagép gyorsítótárazásához. Az Active Directory-adatbázis ezt nem támogatja.

    Képernyőkép egy Active Directory-lemezről.

    30. ábra: Egy Active Directory-lemez.

  5. A lemez hozzáadása után távoli asztali szolgáltatásokon keresztül csatlakoznak a virtuális géphez, és megnyitják Kiszolgálókezelő.

  6. A Fájl- és tárolási szolgáltatásokban futtatják az Új kötet varázslót. Biztosítják, hogy a meghajtóhoz az F vagy újabb betű legyen hozzárendelve a helyi virtuális gépen.

    Képernyőkép az Új kötet varázslóról.

    31. ábra: Új kötet varázsló.

  7. A Kiszolgálókezelőben a rendszergazda hozzáadja az Active Directory tartományi szolgáltatások szerepkört. Ezután tartományvezérlőként konfigurálja a virtuális gépet.

    A kiszolgálói szerepkör kiválasztását bemutató képernyőkép.

    32. ábra: A kiszolgálói szerepkör hozzáadása.

  8. A virtuális gép tartományvezérlőként való konfigurálása és újraindítása után megnyitják a DNS-kezelőt, és továbbítóként konfigurálják az Azure DNS-feloldót. Ez lehetővé teszi, hogy a tartományvezérlő továbbítsa azokat a DNS-lekérdezéseket, amelyeket az Azure DNS-ben nem tud feloldani.

    Képernyőkép a DNS-feloldó továbbítóként való konfigurálásáról.

    33. ábra: Az Azure DNS-feloldó konfigurálása.

  9. Frissítik az egyes virtuális hálózatok egyéni DNS-beállításait a virtuális hálózati régiónak megfelelő tartományvezérlővel. A helyszíni tartományvezérlőket felveszi a listára.

Az Active Directory beállítása

Az Active Directory a hálózat kritikus fontosságú szolgáltatása, és megfelelően kell konfigurálni. A Contoso rendszergazdái Active Directory-helyeket fognak létrehozni a Contoso adatközpontjához, valamint a East US 2 régiókhoz.Central US

  1. Két új helyet hoznak létre (AZURE-EUS2 és AZURE-CUS) az adatközpont helyével (contoso-datacenter).

  2. A helyek létrehozása után alhálózatokat hoznak létre a helyeken, hogy megfeleljenek a virtuális hálózatoknak és az adatközpontnak.

    Képernyőkép az adatközpont-alhálózatok létrehozásáról.

    34. ábra: Adatközpont-alhálózatok.

  3. Két webhelyhivatkozást hoznak létre, hogy mindent összekapcsoljanak. A tartományvezérlőket ezután át kell mozgatni a helyükre.

    Képernyőkép az adatközponti hivatkozások létrehozásáról.

    35. ábra: Adatközpont-hivatkozások.

  4. Megerősítik, hogy az Active Directory replikációs topológiája működik.

    Az adatközpont replikációs topológiájának képernyőképe.

    36. ábra: Adatközpont-replikáció.

Ha minden elkészült, a tartományvezérlők és helyek listája megjelenik a helyi Active Directory Felügyeleti központban.

Képernyőkép az Active Directory felügyeleti központról.37. ábra: Az Active Directory felügyeleti központ.

5. lépés: Irányítás tervezése

Az Azure egy számos irányítási vezérlőt biztosít a szolgáltatásokban és az Azure-platformon. További információkért tekintse meg az Azure szabályozási lehetőségeit.

Mivel az identitás- és hozzáférés-vezérlést konfigurálja, a Contoso már megkezdte a szabályozás és a biztonság néhány aspektusának életbe vetését. Nagyjából három területet kell figyelembe vennie:

  • Szabályzat: Azure Policy alkalmazza és érvényesíti az erőforrásokra vonatkozó szabályokat és hatásokat, hogy az erőforrások megfeleljenek a vállalati követelményeknek és SLA-knak.
  • Zárak: Az Azure lehetővé teszi az előfizetések, erőforráscsoportok és egyéb erőforrások zárolását, hogy csak az engedélyekkel rendelkezők módosíthassák őket.
  • Címkék: Az erőforrások címkékkel vezérelhetők, naplózhatók és kezelhetők. A címkék metaadatokat társítanak az erőforrásokhoz, amelyek az erőforrásokkal vagy a tulajdonosokkal kapcsolatos információkat szolgáltatnak.

Szabályzatok beállítása

A Azure Policy szolgáltatás a szabályzatdefinícióknak nem megfelelő erőforrások keresésével értékeli ki az erőforrásokat. Előfordulhat például, hogy olyan szabályzattal rendelkezik, amely csak bizonyos típusú virtuális gépeket engedélyez, vagy erőforrásokat igényel egy adott címkével.

A szabályzat adja meg a szabályzat definícióját, a szabályzat-hozzárendelés pedig a hatókört, amelyen a szabályzatot alkalmazni kell. A hatókör bármi lehet egy felügyeleti csoporttól egy erőforráscsoportig. Megtudhatja, hogyan hozhat létre és kezelhet szabályzatokat.

A Contoso két szabályzatot szeretne kezdeni. Egy szabályzatot szeretne, amely biztosítja, hogy az erőforrások csak a régiókban és Central US a East US 2 régiókban helyezhetők üzembe. Azt is szeretné, hogy egy szabályzat korlátozza a virtuálisgép-termékváltozatokat csak a jóváhagyott termékváltozatok számára. A cél, hogy ne lehessen költséges virtuálisgép-termékváltozatokat használni.

Az erőforrások régiókra való korlátozása

A Contoso a beépített Engedélyezett helyek szabályzatdefiníciót használja az erőforrás-régiók korlátozására.

  1. Az Azure Portalon válassza a Minden szolgáltatás lehetőséget, és keressen a Szabályzat kifejezésre.

  2. Válassza a Hozzárendelések>hozzárendelése szabályzatot.

  3. A szabályzatlistában válassza az Engedélyezett helyek lehetőséget.

  4. Állítsa a hatókört az Azure-előfizetés nevére, és válassza ki a két régiót az engedélyezési listában.

    Képernyőkép a szabályzattal definiált engedélyezett helyekről.

    38. ábra: Szabályzattal definiált engedélyezett helyek.

  5. Alapértelmezés szerint a szabályzat a Megtagadás beállítással van beállítva. Ez a beállítás azt jelenti, hogy ha valaki olyan üzembe helyezést indít el az előfizetésben, amely nem az adott East US 2 régióban vagy Central US régióban található, az üzembe helyezés sikertelen lesz. Ez történik, ha a Contoso-előfizetés egyik felhasználója megpróbál üzembe helyezést beállítani a következőben West US: .

    Képernyőkép egy hibás szabályzat hibájáról.

    39. ábra: Sikertelen szabályzat.

Adott virtuálisgép-termékváltozatok engedélyezése

A Contoso a beépített szabályzatdefinícióval Allow virtual machine SKUs korlátozza az előfizetésben létrehozható virtuális gépek típusait.

Képernyőkép a termékváltozatok kiválasztásáról.40. ábra: A szabályzat termékváltozata.

Szabályzatoknak való megfelelőség ellenőrzése

A szabályzatok azonnal érvénybe lépnek, és a Contoso ellenőrizheti az erőforrások megfelelőségét. Az Azure Portalon kattintson a Megfelelőség hivatkozásra. Megjelenik a megfelelőségi irányítópult. További részletekért lehatolást végezhet.

Képernyőkép a megfelelőségi irányítópultról.41. ábra: Szabályzatmegfelelés.

Zárolások beállítása

A Contoso már régóta az ITIL-keretrendszert használja a rendszerei felügyeletéhez. A keretrendszer egyik legfontosabb eleme a változáskezelés, és a Contoso gondoskodni szeretne róla, hogy a változáskezelés implementálva legyen az Azure-környezetben.

A Contoso zárolja az erőforrásokat. Minden éles vagy feladatátvételi összetevőnek írásvédett zárolással rendelkező erőforráscsoportban kell lennie. Ez azt jelenti, hogy az éles elemek módosításához vagy törléséhez a jogosult felhasználóknak el kell távolítaniuk a zárolást. A nem éles erőforráscsoportok zárolva lesznek CanNotDelete . Ez azt jelenti, hogy a jogosult felhasználók elolvashatnak vagy módosíthatnak egy erőforrást, de nem törölhetik azt.

Címkézés beállítása

A hozzáadott erőforrások nyomon követéséhez különösen fontos, hogy a Contoso az erőforrásokat a megfelelő részleggel, ügyféllel és környezettel társítsa. Az erőforrásokra és a tulajdonosokra vonatkozó információk megadása mellett a címkék lehetővé teszik a Contoso számára az erőforrások összesítését és csoportosítását, valamint az adatok visszatérítési célokra való felhasználását.

A Contosónak úgy kell vizualizálnia az Azure-eszközeit, hogy az üzleti szempontból ésszerű legyen, például szerepkör vagy részleg szerint. Az erőforrásoknak nem kell ugyanabban az erőforráscsoportban lenniük, hogy azonos címkével rendelkezzenek. A Contoso létrehoz egy címke-osztályozást, hogy mindenki ugyanazokat a címkéket használja.

Címke neve Érték
CostCenter 12345: Érvényes költséghelynek kell lennie az SAP-tól.
BusinessUnit Az üzleti egység neve (az SAP-ból). Egyezések CostCenter.
ApplicationTeam Email az alkalmazás támogatásának tulajdonosa csapatának aliasát.
CatalogName Az alkalmazás neve vagy SharedServicesaz erőforrás által támogatott szolgáltatáskatalógus szerint.
ServiceManager Az erőforrás ITIL-szolgáltatáskezelőjének e-mail-aliasa.
COBPriority A vállalkozás által a BCDR-hez beállított prioritás. Az értéke 1 és 5 között lehet.
ENV DEV, STGés PROD az engedélyezett értékek, amelyek a fejlesztést, az előkészítést és az éles környezetet jelölik.

Például:

Képernyőkép az Azure-címkékről.42. ábra: Azure-címkék.

A címke létrehozása után a Contoso visszatér, és új szabályzatdefiníciókat és hozzárendeléseket hoz létre, hogy kikényszerítse a szükséges címkék használatát a szervezetben.

6. lépés: Fontolja meg a biztonságot

A biztonság létfontosságú a felhőben, és az Azure biztonsági eszközök és képességek széles skáláját biztosítja. Ezek segítségével biztonságos megoldásokat hozhat létre a biztonságos Azure-platformon. További információ az Azure biztonságáról: Megbízható felhő .

A Contosónak néhány szempontot mérlegelnie kell:

  • A Microsoft Defender for Cloud egységes biztonsági felügyeletet és Microsoft Defender for Identity biztosít a hibrid felhőbeli számítási feladatokhoz. Használatával biztonsági szabályzatokat alkalmazhat a számítási feladatokra, korlátozhatja a fenyegetéseknek való kitettséget, valamint észlelheti és reagálhat a támadásokra.
  • Egy hálózati biztonsági csoport (NSG) a hálózati forgalmat azon biztonsági szabályok listája alapján szűri, amelyek engedélyezik vagy letiltják az Azure-beli virtuális hálózatokhoz csatlakoztatott erőforrások hálózati forgalmát.
  • Az Azure Disk Encryption egy olyan képesség, amellyel titkosíthatja Windows és Linux rendszerű IaaS virtuálisgép-lemezeit.

A Microsoft Defender for Cloud használata

A Contoso gyors áttekintést keres az új hibrid felhő biztonsági helyzetéről, és konkrétan az Azure-beli számítási feladatokról. Ennek eredményeképpen a Contoso úgy döntött, hogy az alábbi funkciókkal kezdi a Microsoft Defender for Cloud implementálását:

  • Központosított szabályzatkezelés
  • Folyamatos értékelés
  • Végrehajtható javaslatok

A szabályzatkezelés központosítása

A Contoso a központosított szabályzatkezeléssel biztosíthatja a biztonsági követelményeknek való megfelelést a biztonsági szabályzatok központi kezelésével a teljes környezetben. Egyszerűen és gyorsan implementálhat egy szabályzatot, amely az összes Azure-erőforrására vonatkozik.

Biztonsági szabályzatok kiválasztását bemutató képernyőkép.43. ábra: Biztonsági szabályzat.

A biztonság felmérése

A Contoso kihasználja a gépek, hálózatok, tárolók, adatok és alkalmazások biztonságát monitorozó folyamatos biztonsági felmérést a potenciális biztonsági problémák felderítéséhez.

A Defender for Cloud elemzi a Contoso számítási, infrastruktúra- és adaterőforrásainak biztonsági állapotát. Emellett elemzi az Azure-alkalmazások és -szolgáltatások biztonsági állapotát is. A folyamatos értékelés segít felderíteni a Contoso üzemeltetési csapatának a potenciális biztonsági problémákat, például a hiányzó biztonsági frissítésekkel rendelkező rendszereket vagy az elérhetővé vált hálózati portokat.

A Contoso gondoskodni szeretne arról, hogy az összes virtuális gép védett legyen. A Defender for Cloud segít ebben. Ellenőrzi a virtuális gépek állapotát, és rangsorolt és végrehajtható javaslatokat tesz a biztonsági rések elhárítására a biztonsági rések kihasználása előtt.

A virtuális gépek monitorozását bemutató képernyőkép.44. ábra: Monitorozás.

Hálózati biztonsági csoportok használata

A Contoso hálózati biztonsági csoportok használatával korlátozhatja a hálózati forgalmat egy virtuális hálózat erőforrásaira.

A hálózati biztonsági csoport egy biztonsági szabályokból álló listát tartalmaz, amelyek engedélyezik vagy megtagadják a bejövő vagy kimenő hálózati forgalmat a forrás vagy a cél IP-címe, illetve portok vagy protokollok alapján. Az alhálózatokra alkalmazott szabályok az adott alhálózatban minden erőforrásra vonatkoznak. A hálózati adapterek mellett ez az alhálózaton üzembe helyezett Azure-szolgáltatások példányait is jelenti.

Az alkalmazásbiztonsági csoportok (ASG-k) lehetővé teszik a hálózati biztonság konfigurálását az alkalmazásstruktúra természetes kiterjesztéseként. Ezután csoportosíthatja a virtuális gépeket, és ezek alapján határozhatja meg a hálózati biztonsági szabályzatokat.

A Contoso az ASG-k használatával nagy léptékben újra felhasználhatja a biztonsági szabályzatot az explicit IP-címek manuális karbantartása nélkül. A platform kezeli az explicit IP-címek és több szabálykészlet összetettségét, így a szervezet az üzleti logikára összpontosíthat. A Contoso megadhat egy ASG-t forrásként és célként egy biztonsági szabályban. A biztonsági szabályzat definiálása után a Contoso létrehozhat virtuális gépeket, és hozzárendelheti a virtuálisgép-hálózati adaptereket egy csoporthoz.

A Contoso az NSG-k és ASG-k kombinációját fogja implementálni. A Contoso aggódik az NSG-k kezelésével kapcsolatban. Emellett aggódik az NSG-k túlzott használata és az üzemeltetési személyzet összetettsége miatt is. A Contoso a következőket fogja elvégezni:

  • Az összes alhálózatra (észak/délre) irányuló és kimenő összes forgalomra NSG-szabály vonatkozik, kivéve a központi hálózatok átjáróalhálózatait.
  • A tűzfalakat és a tartományvezérlőket az alhálózati NSG-k és a hálózati adapterek NSG-i is védik.
  • Minden éles alkalmazáson lesznek ASG-k alkalmazva.

A Contoso létrehozott egy modellt, amely bemutatja, hogy ez a biztonsági konfiguráció hogyan fogja keresni az alkalmazásait.

A Contoso biztonsági modelljének ábrája.45. ábra: Biztonsági modell.

Az ASG-kkel társított NSG-k a legalacsonyabb jogosultsággal lesznek konfigurálva, így biztosítva, hogy csak az engedélyezett csomagok juthassanak a hálózat egyes részeiből a céljukhoz.

Művelet Name Forrás Cél Port
Allow AllowInternetToFE VNET-HUB-EUS1/IB-TrustZone APP1-FE 80, 443
Allow AllowWebToApp APP1-FE APP1-APP 80, 443
Allow AllowAppToDB APP1-APP APP1-DB 1433
Deny DenyAllInbound Bármelyik Bármelyik Bármelyik

Adatok titkosítása

Az Azure Disk Encryption integrálható az Azure Key Vault- és az előfizetés lemeztitkosítási kulcsainak és titkos kulcsainak szabályozásához és kezeléséhez. Biztosítja, hogy a virtuálisgép-lemezeken lévő összes adat titkosítva legyen az Azure Storage-ban.

A Contoso meghatározta, hogy egyes virtuális gépeket titkosítani kell. A Contoso titkosítást alkalmaz az ügyfelekkel, bizalmas vagy személyes adatokkal rendelkező virtuális gépekre.

Összegzés

Ebben a cikkben a Contoso beállít egy Azure-infrastruktúrát és -szabályzatot az Azure-előfizetéshez, a hibrid azonosításhoz, a vészhelyreállításhoz, a hálózathoz, a szabályozáshoz és a biztonsághoz.

A felhőbe való migráláshoz nem minden itt végrehajtott lépés szükséges. Ebben az esetben a Contoso olyan hálózati infrastruktúrát tervezett, amely minden típusú migrálást képes kezelni, miközben biztonságos, rugalmas és méretezhető.

Következő lépések

Az Azure-infrastruktúra beállítása után a Contoso készen áll a számítási feladatok felhőbe való migrálására. A migrálási mintákat és példákat áttekintve áttekintheti azokat a forgatókönyveket, amelyek ezt a mintainfrastruktúrát használják migrálási célként.