Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Local memperluas Azure ke infrastruktur milik pelanggan, memungkinkan eksekusi lokal aplikasi modern dan tradisional di seluruh lokasi terdistribusi. Solusi ini menawarkan pengalaman manajemen terpadu pada satu sarana kontrol dan mendukung berbagai perangkat keras yang divalidasi dari mitra Microsoft tepercaya. Anda dapat menggunakan kemampuan Azure Local dan Azure Arc untuk menjaga sistem bisnis dan data aplikasi tetap lokal untuk mengatasi kedaulatan data, peraturan dan kepatuhan, dan persyaratan latensi.
Artikel ini mengasumsikan Anda memiliki pemahaman tentang sistem hibrid dan memiliki pengetahuan kerja tentang Azure Local. Panduan dalam artikel ini memberikan rekomendasi arsitektur yang dipetakan ke prinsip pilar Azure Well-Architected Framework.
Penting
Cara menggunakan panduan ini
Setiap bagian memiliki daftar pengecekan desain yang menyajikan aspek arsitektur yang perlu diperhatikan serta strategi desain yang disesuaikan dengan cakupan teknologi.
Juga termasuk rekomendasi tentang kemampuan teknologi yang dapat membantu mewujudkan strategi tersebut. Rekomendasi tidak mewakili daftar lengkap semua konfigurasi yang tersedia untuk Azure Local dan dependensinya. Sebaliknya, mereka mencantumkan rekomendasi-rekomendasi kunci yang dipetakan berdasarkan perspektif desain. Gunakan rekomendasi untuk membangun bukti konsep Anda atau mengoptimalkan lingkungan Anda yang ada.
Arsitektur dasar yang menunjukkan rekomendasi utama:
Arsitektur referensi garis besar Azure Local.
Cakupan teknologi
Tinjauan ini berfokus pada keputusan yang saling terkait untuk sumber daya Azure berikut:
- Azure Local (platform), versi 23H2 dan yang lebih baru
- Azure Local VM (beban kerja)
Nota
Artikel ini membahas cakupan sebelumnya dan menyediakan daftar periksa dan rekomendasi yang diatur oleh arsitektur platform dan arsitektur beban kerja. Kekhawatiran platform adalah tanggung jawab administrator platform. Masalah beban kerja adalah tanggung jawab operator beban kerja dan pengembang aplikasi. Peran dan tanggung jawab ini berbeda, tetapi tergantung pada struktur organisasi Anda, peran dan tanggung jawab ini dapat dimiliki oleh satu tim, atau tim dan individu terpisah. Ingatlah perbedaan itu ketika Anda menerapkan panduan.
Panduan ini tidak berfokus pada jenis sumber daya tertentu yang dapat Anda sebarkan di Azure Local, seperti Azure Local VM, Azure Kubernetes Service (AKS), dan Azure Virtual Desktop. Saat Anda menyebarkan jenis sumber daya ini di Azure Local, lihat panduan beban kerja masing-masing untuk merancang solusi yang memenuhi persyaratan bisnis Anda.
Keandalan
Tujuan pilar Keandalan adalah untuk memberikan fungsionalitas berkelanjutan dengan membangun ketahanan yang cukup dan kemampuan untuk memulihkan dengan cepat dari kegagalan.
Prinsip desain Keandalan menyediakan strategi desain tingkat tinggi yang diterapkan untuk komponen individu, alur sistem, dan sistem secara keseluruhan.
Dalam penyebaran cloud hibrid, tujuannya adalah untuk mengurangi efek dari satu kegagalan komponen. Gunakan daftar periksa desain dan saran konfigurasi ini untuk mengurangi dampak kegagalan komponen untuk beban kerja yang Anda sebarkan di Azure Local.
Penting untuk membedakan antara keandalan platform dan keandalan beban kerja. Keandalan beban kerja memiliki dependensi pada platform. Pemilik atau pengembang aplikasi harus merancang aplikasi yang dapat memberikan target keandalan yang ditentukan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keandalan. Tentukan relevansinya dengan persyaratan bisnis Anda sambil mengingat performa Azure Local. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
(Arsitektur platform Lokal Azure dan arsitektur beban kerja) Tentukan target keandalan beban kerja.
Atur tujuan tingkat layanan (SLO) Anda sehingga Anda dapat mengevaluasi target ketersediaan. Hitung SLO sebagai persentase, seperti 99,9%, 99,95%, atau 99,995%, yang mencerminkan waktu aktif beban kerja. Perlu diingat bahwa perhitungan ini tidak hanya didasarkan pada metrik platform yang dikeluarkan instans atau beban kerja Azure Local. Untuk mendapatkan pengukuran target yang komprehensif, pertimbangkan faktor-faktor tambahan yang diukur, seperti waktu henti yang diharapkan selama rilis, operasi rutin, kemampuan dukung, atau faktor lain yang spesifik untuk beban kerja atau organisasi.
Perjanjian tingkat layanan (SLA) yang disediakan Microsoft sering memengaruhi perhitungan SLO. Tetapi Microsoft tidak menyediakan SLA untuk waktu aktif dan konektivitas instans Lokal Azure atau beban kerja yang disebarkan, karena Microsoft tidak mengontrol keandalan pusat data pelanggan (seperti daya dan pendinginan) atau orang-orang dan proses yang mengelola platform.
(Arsitektur platform Lokal Azure) Pertimbangkan bagaimana performa dan operasi memengaruhi keandalan.
Penurunan performa instans atau dependensinya dapat membuat platform Azure Local tidak tersedia. Contohnya:
Tanpa perencanaan kapasitas beban kerja yang tepat, sulit untuk menyesuaikan ukuran instans Azure Lokal pada tahap perancangan, yang merupakan persyaratan sehingga beban kerja dapat memenuhi target keandalan yang diinginkan. Gunakan Azure Local Sizer Tool selama desain instans. Pertimbangkan "Persyaratan minimum N+1 untuk jumlah komputer" jika Anda memerlukan VM yang sangat tersedia. Untuk beban kerja penting bisnis atau misi penting, pertimbangkan untuk menggunakan "jumlah komputer N+2" untuk ukuran instans jika ketahanan sangat penting.
Keandalan platform tergantung pada seberapa baik dependensi platform penting, seperti jenis disk fisik, berkinerja. Anda harus memilih jenis disk yang tepat untuk kebutuhan Anda. Untuk beban kerja yang membutuhkan penyimpanan latensi rendah dan throughput tinggi, kami merekomendasikan konfigurasi penyimpanan all-flash (hanya NVMe/SSD). Untuk komputasi tujuan umum, konfigurasi penyimpanan hibrid (NVMe atau SSD untuk cache dan HDD untuk kapasitas) mungkin menyediakan lebih banyak ruang penyimpanan. Tetapi kompromi adalah bahwa cakram berputar memiliki kinerja yang jauh lebih rendah jika beban kerja Anda melebihi set kerja cache, dan HDD memiliki waktu rata-rata antara kegagalan yang jauh lebih rendah dibandingkan dengan NVMe/SSD.
Efisiensi Performa menjelaskan contoh-contoh ini secara lebih rinci.
Operasi Azure Local yang tidak tepat dapat memengaruhi patching dan peningkatan, pengujian, dan konsistensi penyebaran. Berikut adalah beberapa contoh:
Jika platform Lokal Azure tidak berkembang dengan firmware, driver, dan inovasi produsen peralatan asli perangkat keras (OEM) terbaru, platform mungkin tidak memanfaatkan fitur ketahanan terbaru. Terapkan driver OEM perangkat keras dan pembaruan firmware secara teratur. Untuk informasi selengkapnya, lihat Pembaruan Ekstensi Penyusun Solusi untuk Azure Local atau bicarakan dengan mitra OEM perangkat keras Anda tentang cara mendapatkan pembaruan firmware dan driver.
Anda harus menguji lingkungan target untuk konektivitas, perangkat keras, dan manajemen identitas dan akses sebelum penyebaran Anda. Jika tidak, Anda dapat menyebarkan solusi Azure Local ke lingkungan yang tidak stabil, yang dapat menciptakan masalah keandalan. Anda dapat menggunakan alat pemeriksa lingkungan dalam mode mandiri untuk mendeteksi masalah, bahkan sebelum perangkat keras instans tersedia.
(Arsitektur platform Lokal Azure) Memberikan toleransi kesalahan pada instans dan dependensi infrastrukturnya.
Pilihan desain penyimpanan. Untuk sebagian besar penyebaran, opsi default untuk "secara otomatis membuat beban kerja dan volume infrastruktur" sudah cukup. Jika Anda memilih opsi lanjutan: "buat volume infrastruktur yang diperlukan saja", konfigurasikan toleransi kesalahan volume yang sesuai dalam Storage Spaces Direct berdasarkan persyaratan beban kerja Anda. Keputusan ini memengaruhi kemampuan performa, kapasitas, dan ketahanan volume. Misalnya, cermin tiga arah meningkatkan keandalan dan performa untuk instans dengan tiga komputer atau lebih. Untuk informasi selengkapnya, lihat Toleransi kesalahan untuk efisiensi penyimpanan dan Membuat disk dan volume virtual Storage Spaces Direct.
Arsitektur jaringan. Gunakan topologi jaringan yang divalidasi untuk menyebarkan Azure Local. Instans multi-mesin, dengan empat atau beberapa komputer fisik, memerlukan desain "penyimpanan yang dialihkan". Instans dengan dua atau tiga komputer dapat secara opsional menggunakan desain "tanpa sakelar penyimpanan". Terlepas dari ukuran instans, kami sarankan Anda menggunakan sakelar ToR ganda untuk tujuan manajemen dan komputasi (uplink utara dan selatan) demi meningkatkan toleransi kesalahan. Topologi ToR ganda juga memberikan ketahanan selama operasi layanan pengalihan (pembaruan firmware). Untuk informasi selengkapnya, lihat Topologi jaringan yang divalidasi.
(Arsitektur beban kerja) Bangun redundansi untuk memberikan ketahanan.
Pertimbangkan beban kerja yang Anda sebarkan pada satu instans Azure Local sebagai penyebaran redundan lokal. Instans menyediakan ketersediaan tinggi di tingkat platform, tetapi Anda harus ingat bahwa Anda mengimplementasikan instans "dalam satu rak". Oleh karena itu, untuk kasus penggunaan penting bisnis atau misi-kritis, kami sarankan Anda menyebarkan beberapa instans beban kerja atau layanan di dua atau beberapa instans Lokal Azure terpisah, idealnya di lokasi fisik terpisah.
Gunakan pola ketersediaan tinggi standar industri untuk beban kerja, misalnya desain yang menyediakan replikasi data sinkron atau asinkron aktif/pasif (seperti SQL Server Always On). Contoh lain adalah teknologi penyeimbangan beban jaringan eksternal (NLB) yang dapat merutekan permintaan pengguna di beberapa instans beban kerja yang berjalan pada instans Lokal Azure yang Anda sebarkan di lokasi fisik terpisah. Pertimbangkan untuk menggunakan perangkat NLB eksternal mitra. Atau evaluasi opsi penyeimbangan beban yang mendukung perutean lalu lintas untuk layanan hibrid dan lokal, seperti instans Azure Application Gateway yang menggunakan Azure ExpressRoute atau terowongan VPN untuk menyambungkan ke layanan lokal.
Untuk informasi selengkapnya, lihat Menyebarkan instans beban kerja di beberapa instans Lokal Azure.
(Arsitektur beban kerja) Rencanakan dan uji pemulihan berdasarkan target tujuan titik pemulihan beban kerja (RPO) dan tujuan waktu pemulihan (RTO).
Memiliki rencana pemulihan bencana yang terdokumen dengan baik. Uji langkah-langkah pemulihan secara teratur untuk memastikan bahwa rencana dan proses kelangsungan bisnis Anda valid. Tentukan apakah Azure Site Recovery adalah pilihan yang layak untuk melindungi VM yang berjalan di Azure Local. Untuk informasi selengkapnya, lihat Melindungi beban kerja VM dengan Azure Site Recovery di Azure Local (pratinjau).
(Arsitektur beban kerja) Konfigurasikan dan uji prosedur pencadangan dan pemulihan beban kerja secara teratur.
Persyaratan bisnis untuk pemulihan dan retensi data mendorong strategi untuk pencadangan beban kerja. Strategi komprehensif mencakup pertimbangan untuk sistem operasi beban kerja (OS) dan data persisten aplikasi, dengan kemampuan untuk memulihkan data tingkat file dan tingkat folder individual (point-in-time). Konfigurasikan kebijakan retensi cadangan berdasarkan persyaratan pemulihan dan kepatuhan data Anda, yang menentukan jumlah dan usia titik pemulihan data yang tersedia. Jelajahi Azure Backup sebagai opsi untuk mengaktifkan pencadangan tingkat host atau tingkat tamu VM untuk Azure Local. Tinjau solusi perlindungan data dari mitra vendor perangkat lunak independen Backup jika relevan. Untuk informasi selengkapnya, lihat Panduan dan praktik terbaik Azure Backup dan Azure Backup untuk Azure Local.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Untuk skenario bisnis atau misi penting, terapkan arsitektur beban kerja multi-wilayah, untuk memungkinkan jendela pemeliharaan saat menerapkan pembaruan untuk mengurangi risiko. | Untuk skenario bisnis atau misi penting (dengan target SLO yang sangat ketat / rendah) pertimbangkan untuk menerapkan jendela pemeliharaan saat menerapkan pembaruan. Misalnya, lakukan failover pada beban kerja bisnis yang penting antara instans Azure Lokal aktif/pasif sebagai bagian dari kemampuan pemulihan bencana dan kelangsungan bisnis (BC/DR) Anda. Menggunakan pendekatan failover beban kerja mengurangi risiko operasional saat menerapkan pembaruan ke Azure Local, mengingat ketahanan kluster failover untuk sementara berkurang ketika node fisik dikosongkan dan dimulai ulang (satu per satu) selama operasi layanan. |
| Cadangkan setara dengan satu ruang disk kapasitas per komputer dalam kumpulan penyimpanan Storage Spaces Direct. | Jika Anda memilih untuk membuat volume beban kerja setelah menyebarkan instans Lokal Azure (Opsi lanjutan: "buat volume infrastruktur yang diperlukan saja"), kami sarankan Anda membiarkan 5% hingga 10% dari total kapasitas kumpulan yang tidak dialokasikan di grup penyimpanan. Kapasitas yang dicadangkan dan tidak digunakan, atau gratis ini memungkinkan Ruang Penyimpanan Langsung untuk memperbaiki "di tempat" ketika disk fisik gagal, yang meningkatkan ketahanan dan performa data jika kegagalan disk fisik terjadi. |
| Pastikan bahwa semua komputer fisik memiliki akses jaringan ke daftar titik akhir HTTPS keluar yang diperlukan untuk Azure Local dan Azure Arc. | Untuk mengelola, memantau, dan mengoperasikan instans Lokal Azure atau sumber daya beban kerja dengan andal, titik akhir jaringan keluar yang diperlukan harus memiliki akses, baik secara langsung atau melalui server proksi. Gangguan sementara tidak memengaruhi status beban kerja yang sedang berjalan tetapi dapat memengaruhi pengelolaan. |
| Jika Anda memilih untuk membuat volume beban kerja (disk virtual) secara manual, gunakan jenis ketahanan yang paling tepat untuk memaksimalkan ketahanan dan performa beban kerja. Untuk volume pengguna apa pun yang Anda buat secara manual setelah menyebarkan instans, buat jalur penyimpanan untuk volume di Azure. Volume dapat menyimpan file konfigurasi VM beban kerja, hard disk virtual VM (VHD), dan gambar VM melalui jalur penyimpanan. | Untuk instans Azure Local dengan tiga komputer atau lebih, pertimbangkan untuk menggunakan cermin tiga arah untuk memberikan kemampuan ketahanan dan performa tertinggi. Kami menyarankan agar Anda menggunakan volume cermin untuk beban kerja yang penting bagi bisnis atau misi penting. |
| Pertimbangkan untuk menerapkan aturan anti-afinitas beban kerja untuk memastikan bahwa VM yang menghosting beberapa instans layanan yang sama berjalan pada host fisik terpisah. Konsep ini mirip dengan "set ketersediaan" di Azure. | Buat semua komponen redundan. Untuk beban kerja yang penting bagi bisnis atau misi penting, gunakan beberapa VM Lokal Azure atau set replika Kubernetes atau pod untuk menyebarkan beberapa instans aplikasi atau layanan Anda. Pendekatan ini meningkatkan ketahanan jika pemadaman yang tidak diencana dari satu komputer fisik terjadi. |
Keamanan
Tujuan pilar Keamanan adalah untuk memberikan jaminan kerahasiaan, integritas, dan ketersediaan terhadap beban kerja.
Prinsip desain Keamanan menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dengan menerapkan pendekatan pada desain teknis Azure Local.
Azure Local adalah produk aman secara default yang mengaktifkan lebih dari 300 pengaturan keamanan selama proses penyebaran cloud. Pengaturan keamanan default menyediakan garis besar keamanan yang konsisten untuk memastikan bahwa perangkat dimulai dalam keadaan baik yang diketahui. Dan Anda dapat menggunakan kontrol perlindungan penyimpangan untuk menyediakan manajemen dalam skala besar.
Fitur keamanan default di Azure Local mencakup pengaturan keamanan OS yang diperkuat, Kontrol Aplikasi, enkripsi volume melalui BitLocker, rotasi rahasia, akun pengguna bawaan lokal, dan Pertahanan Microsoft untuk Cloud. Untuk informasi selengkapnya, lihat Meninjau fitur keamanan.
Daftar periksa desain
Mulailah strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keamanan. Identifikasi kerentanan dan kontrol untuk meningkatkan postur keamanan. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
(Arsitektur platform Lokal Azure) Tinjau garis besar keamanan. Azure Local dan standar keamanan memberikan panduan garis besar untuk memperkuat postur keamanan platform dan beban kerja yang dihosting. Jika beban kerja Anda perlu mematuhi peraturan kepatuhan tertentu, pertimbangkan standar keamanan, seperti Standar Keamanan Data Industri Kartu Pembayaran dan Standar Pemrosesan Informasi Federal 140.
Pengaturan default yang disediakan platform Lokal Azure memungkinkan fitur keamanan, termasuk kontrol identitas, pemfilteran jaringan, dan enkripsi. Pengaturan ini membentuk garis besar keamanan yang baik untuk instans Azure Local yang baru disediakan. Anda dapat menyesuaikan setiap pengaturan berdasarkan persyaratan keamanan organisasi Anda.
Pastikan Anda mendeteksi dan melindungi dari penyimpangan konfigurasi keamanan yang tidak diinginkan.
(Arsitektur platform Lokal Azure) Mendeteksi, mencegah, dan merespons ancaman. Terus memantau lingkungan Lokal Azure dan melindungi dari ancaman yang ada dan berkembang.
Kami menyarankan agar Anda mengaktifkan Defender for Cloud di Azure Local. Aktifkan paket Defender for Cloud dasar (tingkat gratis) dengan menggunakan Defender Cloud Security Posture Management untuk memantau dan mengidentifikasi langkah-langkah yang dapat Anda ambil untuk mengamankan platform Lokal Azure Anda, bersama dengan sumber daya Azure dan Azure Arc lainnya.
Untuk mendapatkan manfaat dari fitur keamanan yang ditingkatkan, termasuk pemberitahuan keamanan untuk server individual dan Azure Local VM, aktifkan Pertahanan Microsoft untuk Server di komputer instans Lokal Azure dan VM Lokal Azure Anda.
Gunakan Defender for Cloud untuk mengukur postur keamanan komputer dan beban kerja Azure Local. Defender for Cloud menyediakan pengalaman terintegrasi untuk membantu mengelola kepatuhan terhadap keamanan.
Gunakan Defender untuk Server untuk memantau VM yang dihosting untuk ancaman dan kesalahan konfigurasi. Anda juga dapat mengaktifkan kemampuan deteksi dan respons titik akhir di komputer Lokal Azure.
Pertimbangkan untuk menggabungkan data inteligensi keamanan dan ancaman dari semua sumber ke dalam solusi informasi keamanan terpusat dan manajemen peristiwa (SIEM), seperti Microsoft Sentinel.
(Arsitektur Platform Lokal Azure dan arsitektur beban kerja) Buat segmentasi untuk membatasi radius ledakan. Ada beberapa strategi untuk mencapai segmentasi.
Identitas. Pisahkan peran dan tanggung jawab untuk platform dan beban kerja. Izinkan hanya identitas yang berwenang untuk melakukan operasi tertentu yang selaras dengan peran yang ditunjuk. Administrator platform Azure Local menggunakan kredensial domain Azure dan lokal untuk melakukan tugas platform. Operator beban kerja dan pengembang aplikasi mengelola keamanan beban kerja. Untuk menyederhanakan izin pendelegasian, gunakan peran kontrol akses berbasis peran (RBAC) bawaan Azure Local , seperti 'Administrator Lokal Azure' untuk administrator platform dan 'Kontributor VM Lokal Azure' atau 'Pembaca VM Lokal Azure' untuk operator beban kerja. Untuk informasi selengkapnya tentang tindakan peran bawaan tertentu, lihat Dokumentasi Azure RBAC untuk peran hibrid dan multicloud.
Jaringan. Isolasi jaringan jika diperlukan. Misalnya, Anda dapat menyediakan beberapa jaringan logis yang menggunakan jaringan area lokal virtual (vLAN) dan rentang alamat jaringan terpisah. Saat Anda menggunakan pendekatan ini, pastikan bahwa jaringan manajemen dapat menjangkau setiap jaringan logis dan vLAN sehingga komputer Lokal Azure dapat berkomunikasi dengan jaringan vLAN melalui sakelar tor atau gateway. Konfigurasi ini diperlukan untuk manajemen ketersediaan beban kerja, seperti memungkinkan agen manajemen infrastruktur berkomunikasi dengan OS tamu beban kerja.
Tinjau Rekomendasi untuk membangun strategi segmentasi untuk informasi tambahan.
(Arsitektur platform Lokal Azure dan arsitektur beban kerja) Gunakan penyedia identitas tepercaya untuk mengontrol akses. Kami merekomendasikan ID Microsoft Entra untuk semua tujuan autentikasi dan otorisasi. Anda dapat menggabungkan beban kerja ke domain Windows Server Active Directory lokal jika diperlukan. Manfaatkan fitur yang mendukung kata sandi yang kuat, autentikasi multifaktor, RBAC, dan kontrol untuk manajemen rahasia.
(Arsitektur platform Lokal Azure dan arsitektur beban kerja) Mengisolasi, memfilter, dan memblokir lalu lintas jaringan. Anda mungkin memiliki kasus penggunaan beban kerja yang memerlukan jaringan virtual, mikrosegmentasi melalui grup keamanan jaringan, kualitas jaringan kebijakan layanan, atau rantai appliance virtual sehingga Anda dapat membawa peralatan mitra untuk pemfilteran. Jika Anda memiliki beban kerja seperti itu, lihat pertimbangan untuk jaringan yang didefinisikan oleh perangkat lunak dalam pola referensi jaringan untuk daftar fitur dan kemampuan yang didukung yang disediakan oleh Pengontrol Jaringan.
(Arsitektur beban kerja) Mengenkripsi data untuk melindungi dari perubahan. Mengenkripsi data dalam perjalanan, data dalam keadaan diam, dan data yang digunakan.
Enkripsi data-at-rest diaktifkan pada volume data yang Anda buat selama penyebaran. Volume data ini mencakup volume infrastruktur dan volume beban kerja. Untuk informasi selengkapnya, lihat Mengelola enkripsi BitLocker.
Gunakan peluncuran tepercaya untuk VM Lokal Azure untuk meningkatkan keamanan VM Gen 2 dengan menggunakan fitur OS sistem operasi modern, seperti Boot Aman, yang dapat menggunakan Modul Platform Tepercaya virtual.
Mengopsisionalkan manajemen rahasia. Berdasarkan persyaratan organisasi Anda, ubah kredensial yang terkait dengan identitas pengguna penyebaran untuk Azure Local. Untuk informasi selengkapnya, lihat Mengelola rotasi rahasia.
(Arsitektur platform Lokal Azure) Menerapkan kontrol keamanan. Gunakan Azure Policy untuk mengaudit dan menerapkan kebijakan bawaan, seperti "Kebijakan kontrol aplikasi harus diberlakukan secara konsisten" atau "Volume terenkripsi harus diterapkan". Anda dapat menggunakan kebijakan Azure ini untuk mengaudit pengaturan keamanan dan menilai status kepatuhan Azure Local. Untuk contoh kebijakan yang tersedia, lihat Kebijakan Azure.
(Arsitektur beban kerja) Meningkatkan postur keamanan beban kerja dengan kebijakan bawaan. Untuk menilai Azure Local VM yang berjalan di Azure Local, Anda dapat menerapkan kebijakan bawaan melalui tolok ukur keamanan, Azure Update Manager, atau ekstensi konfigurasi tamu Azure Policy. Anda dapat menggunakan berbagai kebijakan untuk memeriksa kondisi berikut:
- Penginstalan agen Analitik Log
- Pembaruan sistem kedaluarsa yang perlu diperbarui dengan patch keamanan terbaru
- Penilaian kerentanan dan potensi mitigasi
- Penggunaan protokol komunikasi yang aman
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Gunakan pengaturan garis besar keamanan dan kontrol penyimpangan untuk menerapkan dan memelihara pengaturan keamanan pada komputer instans. | Konfigurasi ini membantu melindungi dari perubahan dan penyimpangan yang tidak diinginkan karena secara otomatis menyegarkan pengaturan keamanan setiap 90 menit untuk memberlakukan postur keamanan yang dimaksudkan dari Azure Local. |
| Gunakan Kontrol Aplikasi di Azure Local. | Kontrol Aplikasi mengurangi permukaan serangan Azure Local. Gunakan portal Microsoft Azure atau PowerShell untuk melihat pengaturan kebijakan dan mengontrol mode kebijakan. Kebijakan Kontrol Aplikasi membantu mengontrol driver dan aplikasi mana yang diizinkan untuk dijalankan pada sistem Anda. |
| Aktifkan enkripsi volume melalui BitLocker untuk perlindungan enkripsi data saat tidak aktif. | BitLocker melindungi OS dan volume data dengan mengenkripsi volume bersama instans yang dibuat di Azure Local. BitLocker menggunakan enkripsi XTS-AES 256-bit. Kami merekomendasikan agar Anda menjaga pengaturan default enkripsi volume tetap diaktifkan selama penyebaran cloud Azure Local untuk semua volume data. |
| Ekspor kunci pemulihan BitLocker untuk menyimpannya di lokasi aman yang berada di luar dari instans Azure Local. | Anda mungkin memerlukan kunci BitLocker selama tindakan pemecahan masalah atau pemulihan tertentu. Kami menyarankan agar Anda mengekspor, menyimpan, dan mencadangkan kunci enkripsi untuk OS dan volume data dari setiap instans Azure Local melalui cmdlet PowerShell 'Get-AsRecoveryKeyInfo'. Simpan kunci di lokasi eksternal yang aman, seperti Azure Key Vault. |
| Gunakan solusi manajemen peristiwa dan informasi keamanan (SIEM) untuk meningkatkan kemampuan pemantauan dan pemberitahuan keamanan. Untuk melakukannya, Anda dapat melakukan onboarding server dengan dukungan Azure Arc (komputer platform Lokal Azure) ke Microsoft Sentinel. Atau, jika Anda menggunakan solusi SIEM yang berbeda, konfigurasikan penerusan syslog peristiwa keamanan ke solusi yang dipilih. | Meneruskan data insiden keamanan dengan menggunakan Microsoft Sentinel atau menggunakan penerusan syslog untuk memberikan kemampuan pemberitahuan dan pelaporan melalui integrasi dengan solusi SIEM yang dikelola oleh pelanggan. |
| Gunakan penandatanganan Blok Pesan Server (SMB) untuk meningkatkan perlindungan data dalam transit, yang diaktifkan dalam "pengaturan keamanan default." | Penandatanganan Server Message Block (SMB) memungkinkan Anda menandatangani lalu lintas SMB secara digital antara platform Lokal Azure dan sistem di luar platform (utara atau selatan). Konfigurasikan penandatanganan untuk lalu lintas SMB eksternal antara platform Lokal Azure dan sistem lain untuk membantu mencegah serangan relai. |
| Gunakan pengaturan enkripsi Blok Pesan Server (SMB) untuk meningkatkan perlindungan data dalam transit, yang diaktifkan dalam "pengaturan keamanan default." | Enkripsi Blok Pesan Server (SMB) untuk pengaturan lalu lintas dalam instans mengontrol enkripsi lalu lintas antara komputer fisik di instans Azure Local (timur atau barat) di jaringan penyimpanan Anda. |
Pengoptimalan Biaya
Pengoptimalan Biaya berfokus pada mendeteksi pola pengeluaran, memprioritaskan investasi di area penting, dan mengoptimalkan area lainnya agar sesuai dengan anggaran organisasi sekaligus memenuhi persyaratan bisnis.
Prinsip desain Pengoptimalan Biaya menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dan membuat tradeoff seperlunya dalam desain teknis yang terkait dengan Azure Local dan lingkungannya.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk pengoptimalan biaya investasi. Sesuaikan desain sehingga beban kerja selaras dengan anggaran yang dialokasikan untuk beban kerja. Desain Anda harus menggunakan kemampuan Azure yang tepat, memantau investasi, dan menemukan peluang untuk dioptimalkan dari waktu ke waktu.
Azure Local dikenakan biaya untuk lisensi perangkat keras, lisensi perangkat lunak, beban kerja, VM tamu (Windows Server atau Linux), dan layanan cloud terintegrasi lainnya, seperti Azure Monitor dan Defender for Cloud.
(Arsitektur platform Lokal Azure dan arsitektur beban kerja) Perkirakan biaya realistis sebagai bagian dari pemodelan biaya. Gunakan kalkulator harga Azure untuk memilih dan mengonfigurasi layanan seperti Azure Local, Azure Arc, dan AKS di Azure Local. Bereksperimenlah dengan berbagai konfigurasi dan opsi pembayaran untuk memodelkan biaya.
(Arsitektur platform Lokal Azure dan arsitektur beban kerja) Optimalkan biaya perangkat keras Azure Local. Pilih mitra OEM perangkat keras yang selaras dengan persyaratan bisnis dan komersial Anda. Untuk menjelajahi daftar bersertifikat komputer yang divalidasi, sistem terintegrasi, dan solusi utama, lihat Katalog solusi Azure Local. Komunikasikan karakteristik, ukuran, kuantitas, dan performa beban kerja Anda dengan mitra perangkat keras Anda sehingga Anda dapat menyesuaikan solusi perangkat keras yang hemat biaya untuk komputer Lokal Azure dan ukuran instans.
(Arsitektur platform Lokal Azure) Optimalkan biaya lisensi Anda. Perangkat lunak Azure Local dilisensikan dan ditagih berdasarkan "per inti CPU fisik". Gunakan lisensi inti lokal yang ada dengan Azure Hybrid Benefit untuk mengurangi biaya lisensi untuk beban kerja Azure Local, seperti Azure Local VM yang menjalankan Windows Server, SQL Server, atau AKS dan Azure SQL Managed Instance dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat Kalkulator biaya Azure Hybrid Benefit.
(Arsitektur platform Lokal Azure) Menghemat biaya lingkungan. Evaluasi apakah opsi berikut dapat membantu mengoptimalkan penggunaan sumber daya Anda.
Manfaatkan program diskon yang ditawarkan Microsoft. Pertimbangkan untuk menggunakan Azure Hybrid Benefit untuk mengurangi biaya untuk menjalankan beban kerja Azure Local dan Windows Server. Untuk informasi selengkapnya, silakan merujuk ke Azure Hybrid Benefit untuk Azure Local.
Jelajahi penawaran promosi. Manfaatkan uji coba gratis Azure Local 60 hari setelah pendaftaran untuk bukti awal konsep atau validasi.
(Arsitektur platform Lokal Azure) Hemat biaya operasional.
Mengevaluasi opsi teknologi untuk patching, pembaruan, dan operasi lainnya. Manajer Pembaruan gratis untuk instans Azure Local yang mengaktifkan Azure Hybrid Benefit dan manajemen Azure Arc VM. Untuk informasi selengkapnya, lihat Faq Update Manager dan Harga Update Manager.
Mengevaluasi biaya yang terkait dengan pengamatan. Siapkan aturan pemberitahuan dan aturan pengumpulan data (DCR) untuk memenuhi kebutuhan pemantauan dan audit Anda. Jumlah data yang diserap, diproses, dan disimpan beban kerja Anda secara langsung memengaruhi biaya. Optimalkan dengan menggunakan kebijakan retensi cerdas, membatasi jumlah dan frekuensi pemberitahuan, dan memilih tingkat penyimpanan yang tepat untuk menyimpan log. Untuk informasi selengkapnya, lihat Panduan Pengoptimalan Biaya untuk Analitik Log.
(Arsitektur beban kerja) Mengevaluasi kepadatan dibandingkan isolasi. Gunakan AKS di Azure Local untuk meningkatkan kepadatan dan menyederhanakan manajemen beban kerja sehingga Anda dapat mengaktifkan aplikasi dalam kontainer untuk menskalakan di beberapa lokasi pusat data atau tepi. Untuk informasi selengkapnya, lihat Harga AKS di Azure Local.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Gunakan Azure Hybrid Benefit untuk Azure Local jika Anda memiliki lisensi Pusat Data Windows Server dengan Jaminan Perangkat Lunak. | Dengan Azure Hybrid Benefit for Azure Local, Anda dapat memaksimalkan nilai lisensi lokal Anda dan memodernisasi infrastruktur yang ada ke Azure Local tanpa biaya tambahan. |
| Pilih salah satu dari add-on langganan Windows Server atau bawa lisensi Anda sendiri untuk melisensikan dan mengaktifkan VM Windows Server dan menggunakannya di Azure Lokal. Untuk informasi selengkapnya, lihat Lisensi Windows Server VM di Azure Local. | Meskipun Anda dapat menggunakan lisensi dan metode aktivasi Windows Server yang ada yang tersedia, secara opsional, Anda dapat mengaktifkan "add-on langganan Windows Server" yang tersedia untuk Azure Local hanya untuk berlangganan lisensi tamu Windows Server melalui Azure yang dikenakan biaya untuk jumlah total inti fisik dalam instans Azure Local. |
| Gunakan manfaat verifikasi Azure untuk VM yang diperluas ke Azure Lokal sehingga beban kerja eksklusif Azure yang didukung dapat dioperasikan di luar cloud. | Manfaat ini diaktifkan secara default pada Azure Local versi 23H2 atau yang lebih baru. Gunakan manfaat ini sehingga VM dapat beroperasi di lingkungan dan beban kerja Azure lainnya dapat memperoleh manfaat dari penawaran yang hanya tersedia di Azure, seperti Pembaruan Keamanan Diperpanjang yang diaktifkan oleh Azure Arc. |
Keunggulan Operasi
Keunggulan Operasional terutama berfokus pada prosedur untuk praktik pengembangan, pengamatan, dan manajemen rilis.
Prinsip desain Keunggulan Operasional menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut untuk persyaratan operasional beban kerja.
Pemantauan dan diagnostik sangat penting. Anda dapat menggunakan metrik untuk mengukur statistik performa dan memecahkan masalah dan memulihkan masalah dengan cepat. Untuk informasi selengkapnya tentang cara memecahkan masalah, lihat Prinsip desain Keunggulan Operasional dan Mengumpulkan log diagnostik untuk Azure Local.
Daftar periksa desain
Mulailah strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Keunggulan Operasional untuk menentukan proses-proses terkait observabilitas, pengujian, dan penyebaran yang berhubungan dengan Azure Local.
(Arsitektur platform Lokal Azure) Meningkatkan dukungan Azure Local. Observability diaktifkan secara default pada saat pengaturan awal. Kemampuan ini meningkatkan dukungan platform. Informasi telemetri dan diagnostik dibagikan dengan aman dari platform dengan menggunakan ekstensi AzureEdgeTelemetryAndDiagnostics , yang diinstal pada semua komputer Lokal Azure secara default. Untuk informasi selengkapnya, lihat Pengamatan Lokal Azure.
(Arsitektur platform Lokal Azure) Gunakan layanan Azure untuk mengurangi kompleksitas operasional dan meningkatkan skala manajemen. Azure Local terintegrasi dengan Azure untuk mengaktifkan layanan seperti Update Manager untuk patching platform dan Azure Monitor untuk pemantauan dan pemberitahuan. Anda dapat menggunakan Azure Arc dan Azure Policy untuk mengelola konfigurasi keamanan dan audit kepatuhan. Terapkan Defender for Cloud untuk membantu mengelola ancaman dan kerentanan cyber. Gunakan Azure sebagai sarana kontrol untuk proses dan prosedur operasional ini untuk membantu mengurangi kompleksitas, meningkatkan efisiensi skala, dan meningkatkan konsistensi manajemen.
(Arsitektur beban kerja) Rencanakan persyaratan rentang jaringan alamat IP untuk beban kerja terlebih dahulu. Azure Local menyediakan platform untuk menyebarkan dan mengelola beban kerja virtual atau kontainer. Pertimbangkan juga persyaratan alamat IP untuk jaringan logis yang digunakan beban kerja Anda. Selanjutnya, harap tinjau sumber daya ini:
Arsitektur referensi jaringan Azure Local (platform) dan persyaratan IP
Beban kerja yang disebarkan di Azure Local memerlukan jaringan logis. Untuk contoh tertentu, lihat Persyaratan jaringan untuk kluster AKS, Jaringan logis untuk Azure Local VM, dan Virtual Desktop dengan Azure Local.
(Konfigurasi beban kerja) Aktifkan pemantauan dan pemberitahuan untuk beban kerja yang Anda sebarkan di Azure Local. Anda dapat menggunakan Azure Monitor untuk komputer virtual, atau Wawasan VM untuk VM Lokal Azure, atau menggunakan Container Insights dan kluster AKS Prometheus terkelola.
Evaluasi apakah Anda harus menggunakan ruang kerja Log Analytics terpusat untuk beban kerja Anda. Untuk contoh penggunaan sink log bersama (lokasi data), lihat Rekomendasi manajemen dan pemantauan tugas.
(Arsitektur platform Lokal Azure) Gunakan teknik validasi yang tepat untuk penyebaran yang aman. Gunakan alat pemeriksa lingkungan dalam mode mandiri untuk menilai kesiapan lingkungan target sebelum Anda menyebarkan solusi Azure Local. Alat ini memvalidasi konfigurasi yang tepat dari konektivitas yang diperlukan, perangkat keras, Windows Server Active Directory, jaringan, dan prasyarat integrasi Azure Arc.
(Arsitektur platform Lokal Azure) Menjadi terkini dan tetap terbaru. Gunakan katalog solusi Azure Local untuk tetap terkini dengan inovasi OEM perangkat keras terbaru untuk penyebaran instans Lokal Azure. Pertimbangkan untuk menggunakan solusi premium untuk mendapatkan manfaat dari integrasi ekstra, kemampuan penyebaran turn-key, dan pengalaman pembaruan yang disederhanakan.
Gunakan Update Manager untuk memperbarui platform dan mengelola OS, agen inti, dan layanan, termasuk ekstensi solusi. Tetap terkini, dan pertimbangkan untuk menggunakan pengaturan "Aktifkan peningkatan otomatis" jika memungkinkan untuk ekstensi.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
|
Aktifkan Monitor Insights pada instans Azure Local untuk meningkatkan pemantauan dan pemberitahuan dengan menggunakan kemampuan Azure asli. Wawasan dapat memantau fitur utama Azure Lokal dengan menggunakan penghitung kinerja instans dan saluran log peristiwa yang dikumpulkan oleh aturan pengumpulan data (DCR). Untuk infrastruktur perangkat keras tertentu, seperti Dell APEX, Anda dapat memvisualisasikan peristiwa perangkat keras secara real time. Untuk informasi selengkapnya, lihat Buku kerja fitur. |
Azure mengelola Insight, sehingga selalu diperbarui, dapat diskalakan di beberapa instans, dan sangat dapat disesuaikan. Insight menyediakan akses ke buku kerja default dengan metrik dasar, bersama dengan buku kerja khusus yang dibuat untuk memantau fitur utama Azure Local. Fitur ini menyediakan pemantauan hampir real-time. Anda dapat membuat grafik dan visualisasi yang disesuaikan dengan menggunakan agregasi dan fungsionalitas filter. Anda juga dapat mengonfigurasi aturan pemberitahuan kustom. Biaya Insight didasarkan pada kuantitas data yang diserap dan pengaturan retensi data ruang kerja Analitik Log. Saat Anda mengaktifkan Azure Local Insights, kami sarankan Anda menggunakan DCR yang dibuat oleh pengalaman pembuatan Insight. Awalan nama DCR adalah AzureStackHCI-. Ini dikonfigurasi untuk mengumpulkan hanya data yang diperlukan. |
|
Siapkan pemberitahuan, dan konfigurasikan aturan pemrosesan pemberitahuan berdasarkan persyaratan organisasi Anda. Dapatkan pemberitahuan tentang perubahan kesehatan, metrik, log, atau jenis data pengamatan lainnya. - Pemberitahuan kesehatan - Pemberitahuan log - Pemberitahuan metrik Untuk informasi selengkapnya, lihat Aturan yang direkomendasikan untuk pemberitahuan metrik. |
Integrasikan pemberitahuan Monitor dengan Azure Local untuk mendapatkan beberapa manfaat utama tanpa biaya tambahan. Dapatkan pemantauan nyaris waktu nyata dan sesuaikan pemberitahuan untuk memberi tahu tim atau admin yang tepat untuk perbaikan. Anda dapat mengumpulkan daftar metrik komprehensif untuk sumber daya komputasi, penyimpanan, dan jaringan di Azure Local. Lakukan operasi logika tingkat lanjut pada data log Anda dan evaluasi metrik instans Azure Local Anda secara berkala. |
| Gunakan fitur pembaruan untuk mengintegrasikan dan mengelola berbagai aspek solusi Azure Local di satu tempat. Untuk informasi selengkapnya, lihat Tentang pembaruan di Azure Local. | Orkestrator pembaruan diinstal selama penyebaran instans Azure Lokal awal. Fitur ini mengotomatiskan pembaruan dan operasi manajemen. Untuk menjaga Azure Local dalam status yang didukung, pastikan Anda memutakhirkan instans Anda secara berkala untuk beralih ke versi dasar baru saat tersedia. Metode ini memberikan kemampuan dan peningkatan baru pada platform. Untuk informasi selengkapnya tentang jalur rilis, frekuensi pembaruan, dan jendela dukungan dari setiap build dasar, lihat informasi rilis Azure Local versi 23H2. |
| Untuk membantu keterampilan praktis, lab, acara pelatihan, demo produk, atau proyek proof-of-concept, pertimbangkan untuk menggunakan Azure Arc Jumpstart. Sebarkan Azure Local dengan cepat tanpa perlu perangkat keras fisik dengan menggunakan VM di Azure untuk menyebarkan solusi. |
LocalBox mendukung Azure Local versi 23H2 untuk mengaktifkan pengujian cepat dan evaluasi kemampuan terbaru produk edge Azure, seperti integrasi Azure Arc dan AKS asli dalam kotak pasir mandiri. Anda dapat menyebarkan kotak pasir ini ke langganan Azure dengan menggunakan VM yang mendukung virtualisasi berlapis untuk meniru instans Lokal Azure di dalam Azure VM. Dapatkan fitur Azure Local seperti fitur penyebaran cloud baru dengan upaya manual minimal. Untuk informasi selengkapnya, lihat blog Komunitas Teknologi Microsoft. |
Efisiensi Performa
Efisiensi Performa adalah tentang mempertahankan pengalaman pengguna bahkan ketika ada peningkatan beban dengan mengelola kapasitas. Strategi ini mencakup penskalaan sumber daya, mengidentifikasi dan mengoptimalkan potensi hambatan, dan mengoptimalkan performa puncak.
Prinsip desain Efisiensi Performa menyediakan strategi desain tingkat tinggi untuk mencapai tujuan kapasitas tersebut terhadap penggunaan yang diharapkan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Efisiensi Performa. Tentukan garis besar yang didasarkan pada indikator utama untuk Azure Local.
(Arsitektur platform Lokal Azure) Gunakan perangkat keras yang divalidasi Azure Local atau sistem terintegrasi dari penawaran mitra OEM. Pertimbangkan untuk menggunakan penyusun solusi premium di katalog Lokal Azure untuk mengoptimalkan performa lingkungan Lokal Azure Anda.
(Arsitektur penyimpanan platform Lokal Azure) Pilih jenis disk fisik yang tepat untuk komputer Azure Local berdasarkan performa beban kerja dan persyaratan kapasitas Anda. Untuk beban kerja berkinerja tinggi yang memerlukan latensi rendah dan penyimpanan throughput tinggi, pertimbangkan untuk menggunakan konfigurasi penyimpanan all-flash (hanya NVMe/SSD). Untuk komputasi tujuan umum atau persyaratan kapasitas penyimpanan besar, pertimbangkan untuk menggunakan penyimpanan hibrid (SSD atau NVMe untuk tingkat cache dan HDD untuk tingkat kapasitas), yang mungkin memberikan peningkatan kapasitas penyimpanan.
(Arsitektur platform Lokal Azure) Gunakan alat azure Local sizer selama fase desain instans (pra-penyebaran). Instans Azure Local harus berukuran tepat dengan menggunakan kapasitas beban kerja, performa, dan persyaratan ketahanan sebagai input. Ukuran menentukan jumlah maksimum komputer fisik yang dapat offline secara bersamaan (kuorum kluster), seperti peristiwa yang direncanakan (pemeliharaan) atau tidak direncanakan (kegagalan daya atau perangkat keras). Untuk informasi selengkapnya, lihat Gambaran umum kuorum kluster.
(Arsitektur platform Lokal Azure) Gunakan solusi berbasis all-flash (NVMe atau SSD) untuk beban kerja yang memiliki persyaratan performa tinggi atau latensi rendah. Beban kerja ini termasuk tetapi tidak terbatas pada teknologi basis data yang bertransaksi tinggi, kluster AKS produksi, atau beban kerja penting misi atau bisnis dengan latensi rendah atau persyaratan throughput penyimpanan tinggi. Gunakan penyebaran all-flash untuk memaksimalkan performa penyimpanan. konfigurasi All-NVMe atau semua SSD (terutama dalam skala yang sangat kecil) meningkatkan efisiensi penyimpanan dan memaksimalkan performa karena tidak ada drive yang digunakan sebagai tingkat cache. Untuk informasi selengkapnya, lihat Penyimpanan berbasis all-flash.
(Arsitektur platform Lokal Azure) Buat garis besar performa untuk penyimpanan instans Azure Local sebelum Anda menyebarkan beban kerja produksi. Konfigurasikan fitur Monitor Azure Local dengan Insights untuk memantau performa satu instans Azure Local atau beberapa instans secara bersamaan.
(Arsitektur platform Lokal Azure) Pertimbangkan untuk menggunakan fitur deduplikasi dan kompresi Monitor for Resilient File System (ReFS) setelah Anda mengaktifkan Insight untuk instans Lokal Azure. Tentukan apakah Anda harus menggunakan fitur ini berdasarkan penggunaan penyimpanan beban kerja dan persyaratan kapasitas Anda. Fitur ini menyediakan pemantauan untuk deduplikasi ReFS dan penghematan kompresi, dampak performa, dan pekerjaan. Untuk informasi lebih lanjut, lihat Memantau deduplikasi dan kompresi ReFS.
Sebagai persyaratan minimum, rencanakan untuk memesan kapasitas tambahan sebesar
1 x physical machines (N+1)di seluruh instans untuk memastikan bahwa mesin instans dapat dipindahkan tugasnya saat melakukan pembaruan melalui Manajemen Pembaruan. Pertimbangkan untuk mengalokasikan kapasitas kerja mesin2 physical machines (N+2)untuk kasus penggunaan yang penting bagi bisnis atau misi penting.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Jika Anda memilih opsi lanjutan untuk "membuat volume infrastruktur saja" selama penyebaran instans Azure Local, kami sarankan Anda membuat disk virtual dengan menggunakan pencerminan saat Anda membuat volume beban kerja untuk beban kerja intensif performa. | Rekomendasi ini menguntungkan beban kerja yang memiliki persyaratan latensi ketat atau yang membutuhkan throughput tinggi dengan campuran operasi input/output baca dan tulis acak per detik (IOP), seperti database SQL Server, kluster Kubernetes, atau VM sensitif performa lainnya. Sebarkan VHD beban kerja pada volume yang menggunakan pencerminan untuk memaksimalkan kinerja dan ketahanan sistem. Pencerminan lebih cepat daripada tipe ketahanan lainnya. |
| Pertimbangkan untuk menggunakan DiskSpd untuk menguji kemampuan performa penyimpanan beban kerja instans Azure Local. Anda juga dapat menggunakan VMFleet untuk menghasilkan beban dan mengukur performa subsistem penyimpanan. Evaluasi apakah Anda harus menggunakan VMFleet untuk mengukur performa subsistem penyimpanan. |
Buat garis besar untuk performa instans Azure Local sebelum Anda menyebarkan beban kerja produksi. DiskSpd memungkinkan administrator menguji performa penyimpanan instans dengan menggunakan berbagai parameter baris perintah. Fungsi utama DiskSpd adalah mengeluarkan operasi baca dan tulis dan metrik performa output, seperti latensi, throughput, dan IOP. |
Kompromi
Ada pertimbangan kompromi dalam desain dengan pendekatan yang dijelaskan dalam daftar periksa pilar. Berikut adalah beberapa contoh keuntungan dan kelemahannya.
Membangun redundansi meningkatkan biaya
Pahami persyaratan beban kerja Anda di muka, seperti tujuan waktu pemulihan beban kerja (RTO) dan target tujuan titik pemulihan (RPO) dan persyaratan performa penyimpanan (IOP dan throughput), saat Anda merancang dan mendapatkan perangkat keras untuk solusi Azure Local. Untuk menyebarkan beban kerja dengan ketersediaan tinggi, kami merekomendasikan minimal instans yang terdiri dari tiga mesin, yang memungkinkan mirroring tiga arah untuk volume dan data beban kerja. Untuk sumber daya komputasi, pastikan Anda menyebarkan minimal "N+1 jumlah komputer fisik", yang mencadangkan kapasitas "satu mesin senilai ruang" dalam instans setiap saat. Untuk beban kerja yang penting bagi bisnis atau misi penting, pertimbangkan untuk menyediakan "kapasitas senilai mesin N+2" untuk memberikan peningkatan ketahanan. Misalnya, jika dua komputer dalam instans offline, beban kerja dapat tetap online. Pendekatan ini memberikan peningkatan ketahanan untuk skenario seperti, jika mesin yang menjalankan beban kerja tidak beroperasi selama prosedur pembaruan yang telah direncanakan (mengakibatkan dua mesin tidak beroperasi secara bersamaan).
Untuk beban kerja yang krusial untuk bisnis atau misi, kami sarankan Anda mengimplementasikan dua atau lebih instans Lokal Azure yang terpisah dan mengimplementasikan beberapa instans layanan beban kerja Anda di berbagai instans yang terpisah. Gunakan pola desain beban kerja yang memanfaatkan replikasi data dan teknologi penyeimbangan beban aplikasi. Misalnya, grup ketersediaan always-on SQL Server menggunakan replikasi database sinkron atau asinkron untuk mencapai target RTO dan RTO rendah di seluruh instans terpisah di pusat data yang berbeda.
Akibatnya, peningkatan ketahanan beban kerja dan penurunan target RTO dan RPO meningkatkan biaya dan membutuhkan aplikasi yang dirancang dengan baik dan kekakuan operasional.
Menyediakan skalabilitas tanpa perencanaan beban kerja yang efektif meningkatkan biaya
Penentuan ukuran instans yang salah dapat mengakibatkan kapasitas yang tidak memadai atau pengurangan pengembalian investasi (ROI) jika perangkat keras kelebihan pengadaan. Kedua skenario memengaruhi biaya.
Peningkatan kapasitas sama dengan biaya yang lebih tinggi. Selama fase desain instans Lokal Azure, perencanaan yang memadai diperlukan untuk memerintahkan kemampuan dan jumlah komputer instans berdasarkan persyaratan kapasitas beban kerja. Oleh karena itu, Anda harus memahami persyaratan beban kerja (vCPU, memori, penyimpanan, dan jumlah VM yang sesuai) dan memberikan kelonggaran tambahan selain pertumbuhan yang diproyeksikan. Anda dapat melakukan gerakan add-machine saat anda menggunakan desain "storage switched". Namun, bisa membutuhkan waktu yang lama untuk mendapatkan lebih banyak perangkat keras setelah penyebaran Anda. Dan isyarat penambahan catatan lebih kompleks daripada menentukan ukuran perangkat keras instans dan jumlah mesin (maksimum 16 mesin) dengan tepat selama penyebaran awal.
Ada kerugian jika Anda memprovisikan spesifikasi perangkat keras mesin secara berlebihan dan memilih jumlah komputer yang salah (ukuran instans). Misalnya, jika persyaratan beban kerja jauh lebih kecil daripada kapasitas keseluruhan instans dan perangkat keras kurang digunakan selama periode garansi perangkat keras, nilai ROI mungkin menurun.
Kebijakan Azure
Azure menyediakan serangkaian kebijakan bawaan yang luas yang terkait dengan Azure Local dan dependensinya. Beberapa rekomendasi sebelumnya dapat diaudit melalui Azure Policy. Misalnya, Anda dapat memeriksa apakah:
- Jaringan host dan VM harus dilindungi.
- Volume terenkripsi harus diimplementasikan.
- Kebijakan kontrol aplikasi harus diberlakukan secara konsisten.
- Persyaratan keamanan inti harus dipenuhi.
Tinjau kebijakan bawaan Azure Local. Defender for Cloud memiliki rekomendasi baru yang menunjukkan status kepatuhan untuk kebijakan bawaan. Untuk informasi selengkapnya, lihat Kebijakan bawaan untuk Azure Security Center.
Jika beban kerja Anda berjalan di Azure Local VM yang Anda sebarkan di Azure Local, pertimbangkan kebijakan bawaan, seperti menolak pembuatan atau modifikasi lisensi Pembaruan Keamanan diperpanjang. Untuk informasi selengkapnya, lihat Definisi kebijakan bawaan untuk beban kerja dengan dukungan Azure Arc.
Pertimbangkan untuk membuat kebijakan kustom untuk memberikan tata kelola tambahan untuk sumber daya Azure Local dan Azure Local VM yang Anda sebarkan pada instans Azure Local. Contohnya:
- Mengaudit pendaftaran host Lokal Azure dengan Azure
- Memastikan bahwa host menjalankan versi OS terbaru
- Memeriksa komponen perangkat keras dan konfigurasi jaringan yang diperlukan
- Memverifikasi pengaktifan layanan Azure dan pengaturan keamanan yang diperlukan
- Mengonfirmasi penginstalan ekstensi yang diperlukan
- Menilai penyebaran kluster Kubernetes dan integrasi AKS
Rekomendasi Azure Advisor
Azure Advisor adalah konsultan cloud yang dipersonalisasi yang membantu Anda mengikuti praktik terbaik untuk mengoptimalkan penyebaran Azure Anda. Berikut adalah beberapa rekomendasi yang dapat membantu Anda meningkatkan keandalan, keamanan, efektivitas biaya, performa, dan keunggulan operasional VM Anda.
Langkah selanjutnya
Pertimbangkan artikel berikut di Azure Architecture Center sebagai sumber daya yang menunjukkan rekomendasi yang disorot dalam artikel ini.
- Arsitektur dasar yang menunjukkan rekomendasi utama: Arsitektur referensi garis besar Azure Local.
- Jika organisasi Anda memerlukan pendekatan hibrid, pilih pilihan desain Anda dengan hati-hati yang terkait dengan arsitektur jaringan hibrid. Untuk informasi selengkapnya, lihat Desain arsitektur hibrid.
Bangun keahlian implementasi dengan menggunakan dokumentasi produk Azure Local berikut:
Tinjau panduan Cloud Adoption Framework:
Metodologi Framework Adopsi Cloud Ready membimbing pelanggan saat mereka menyiapkan lingkungan untuk adopsi cloud. Metodologi ini mencakup akselerator teknis seperti zona pendaratan Azure, yang merupakan blok penyusun dari lingkungan adopsi cloud Azure mana pun. Tinjau artikel berikut untuk detail selengkapnya tentang cara menyiapkan lingkungan Anda untuk cloud hibrid.