リモート オフィスまたはブランチ オフィス用に Azure Stack HCI のスイッチレス相互接続と軽量クォーラムを使用する

Arc
Monitor
ポリシー
Azure Security Center
Azure Stack HCI

この参照アーキテクチャでは、リモート オフィス/ブランチ オフィス (ROBO) のシナリオで、高可用性の仮想化されコンテナー化されたワークロードのインフラストラクチャを設計する方法について説明します。

アーキテクチャ

スイッチレス相互接続と USB ベースのクォーラムを使用する 2 ノード Azure Stack HCI クラスターを含む Azure Stack HCI ROBO のシナリオを示す図。このクラスターは、いくつかの Azure サービスを活用しています。サービスには、Azure Policy を実装する機能を提供する Azure Arc、Azure 更新管理機能を含む Azure Automation、Azure Monitor、Azure File Sync、Azure Network Adapter、Microsoft Defender for Cloud、Azure Backup、Azure Site Recovery、記憶域レプリカが含まれます。

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

このアーキテクチャには、次の機能が組み込まれています。

  • Azure Stack HCI (20H2) 。 Azure Stack HCI は、オンプレミスのハイブリッド環境で仮想化された Windows および Linux のワークロードとそのストレージをホストするハイパーコンバージド インフラストラクチャ (HCI) クラスター ソリューションです。 ストレッチされたクラスターは、4 ~16 個の物理ノードで構成できます。
  • ファイル共有監視 ファイル共有監視は、フェールオーバー クラスターがクラスター クォーラムの投票として使用するサーバー メッセージ ブロック (SMB) 共有です。 Windows Server 2019 以降では、この目的のためにルーター に接続されている USB ドライブ を使用することができます。
  • Azure Arc。クラウドベースのサービスにより、Azure Resource Manager ベースの管理モデルは仮想マシン (VM)、Kubernetes クラスター、コンテナー化データベースなど Azure 以外のリソースにまで拡張されます。
  • Azure Policy 。 プロパティをカスタマイズ可能なビジネス ルールと比較することで、Azure とオンプレミスのリソースを Azure Arc との統合によって評価するクラウドベースのサービス。
  • Azure Monitor。 クラウドベースのサービスは、クラウドおよびオンプレミス環境からテレメトリを収集、分析し、それに対応する包括的なソリューションを提供することで、アプリケーションやサービスの可用性とパフォーマンスを最大限に高めます。
  • Microsoft Defender for Cloud Microsoft Defender for Cloud は、データ センターのセキュリティ体制を強化する統合インフラストラクチャ セキュリティ管理システムであり、クラウド上 (Azure 上かどうかに関係なく) とオンプレミスのハイブリッド ワークロード全体に高度な脅威保護を提供します。
  • Azure Automation Azure Automation は、Azure 環境と非 Azure 環境を一貫性をもって管理するクラウドベースのオートメーションと構成サービスを提供します。
  • 変更履歴とインベントリ Azure Automation の機能は、Azure やオンプレミスなどのクラウド環境でホストされている Windows マシンや Linux サーバー上で変更を追跡することで、配布パッケージ マネージャーによって管理されているソフトウェアの運用上の問題と環境上の問題を特定するのに役立ちます。
  • Update Management . Azure Automation の機能を使用すると、Azure、オンプレミス環境、およびその他のクラウド環境で、Azure での Windows サーバーや Linux マシンに対するオペレーティング システムの管理を円滑にできます。
  • Azure Backup Azure Backup サービスは、データをバックアップし、それを Microsoft Azure クラウドから回復するための、シンプルで安全かつコスト効率の高いソリューションを提供します。
  • Azure Site Recovery クラウドベースのサービスにより、機能停止中でもビジネス アプリとワークロードの実行状態を維持することで、ビジネス継続性を確保できます。 Site Recovery は、物理マシンと仮想マシンの両方で実行されているワークロードのレプリケーションとフェールオーバーをプライマリサイトと2次拠点の間で管理します。
  • Azure File Sync。Azure および Azure 以外の環境で Windows サーバーを使用して、Azure ファイル共有のコンテンツを同期およびキャッシュする、クラウドベースのサービス。
  • Storage Replica サーバー間またはクラスター間でディザスター リカバリーのためにボリュームのレプリケーションを可能にする Windows Server テクノロジ。

コンポーネント

このアーキテクチャの実装に使用される主要テクノロジ:

シナリオの詳細

考えられるユース ケース

このアーキテクチャの一般的な用途には、次のリモート オフィス/ブランチ オフィス (ROBO) シナリオがあります。

  • 高可用性、コンテナー ベースのエッジ ワークロード、仮想化されたビジネスに不可欠なアプリケーションを、コスト効率の良い方法で実装します。
  • Microsoft 認定ソリューション、クラウドベースの自動化、一元化された管理、一元的なモニターにより、総保有コスト (TCO) が削減されます。
  • 仮想化ベースの保護、認定されたハードウェア、およびクラウドベースのサービスを使用して、セキュリティとコンプライアンスを制御し、モニターします。

推奨事項

ほとんどのシナリオには、次の推奨事項が適用されます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

高可用性とコスト効率の良い ROBO インフラストラクチャには、Azure Stack HCI のスイッチレス相互接続と軽量のクォーラムを使用します。

ROBO のシナリオでは、ビジネス上の主な懸念は、コストを最小限に抑えることです。 しかし、多くの ROBO ワークロードは非常に重要であり、ダウンタイムの許容範囲はほとんどありません。 Azure Stack HCI は、回復性とコスト効果の両方を提供することで、最適なソリューションを提供します。 Azure Stack HCI を使用すると、記憶域スペース ダイレクト および フェールオーバー クラスタリング テクノロジの組み込みの回復性を適用して、コンテナー化および仮想化された ROBO ワークロードのための高可用性コンピューティング、記憶域、およびネットワーク インフラストラクチャを実装できます。 コスト効果を高めるために、4 つのディスクと 1 ノードあたり 64 ギガバイト (GB) のメモリのみを備えた 2 つのクラスター ノードを使用できます。 コストをさらに最小限に抑えるために、ノード間でスイッチレス相互接続を使用すると、冗長なスイッチ デバイスの必要性をなくすことができます。 クラスター構成を完了するには、クラスター ノードからアップリンクをホストしているルーターに接続される USB ドライブを使用するだけでファイル共有監視を実装できます。 2 ノードクラスターでは、回復性を最大にするために、 入れ子になった双方向ミラー、または入れ子になったミラー アクセラレータのいずれかを使用して記憶域スペース ダイレク トボリュームを構成することができます。 従来の双方向ミラーリングとは異なり、これらのオプションでは、データを失うことなく、複数のハードウェア障害が同時に許容されます。

注意

入れ子になった回復性を使用すると、故障しなかったノード上で 1 つのノードと 1 つのディスクで障害が発生した場合に、2 ノードクラスターとそのすべてのボリュームがオンラインのままになります。

Azure Stack HCI デプロイを Azure と完全に統合して、ROBO シナリオの TCO を最小化します。

Azure Stack 製品ファミリの一部として、Azure Stack HCI は本質的に Azure に依存しています。 そのため、機能とサポートを最適化するには、最初の Azure Stack HCI クラスターを展開してから 30 日以内に登録する必要があります。 このプロセスにより、対応する Azure Resource Manager リソースが生成されます。Azure 管理プレーンが Azure Stack HCI に効率的に拡張され、Azure portal ベースのモニタリング、サポート、および課金機能が自動的に有効になります。

Azure Stack HCI クラスターとワークロード管理のオーバーヘッドを最小限に抑えるには、次の Azure サービスを使用することも検討する必要があります。これにより、次の機能が提供されます。

Azure の機能をさらに活用するために、次の機能を実装することにより Azure Arc の統合範囲を、Azure Stack HCI の仮想化されコンテナー化されたワークロードに拡張することができます。

  • Azure Arc対応サーバー Azure Stack HCI VM を実行する、仮想化されたワークロードに使用します。
  • Azure Arc 対応データ サービス Azure Stack HCI VM でホストされ、AKS で実行される、コンテナー化された Azure SQL Managed Instance または PostgresSQL ハイパースケールに対して使用します。

注意事項

この参照アーキテクチャを公開する時点では、Azure Stack HCI と Azure Arc 対応データ サービスの AKS はプレビュー段階にあります。

Azure Stack HCI VM に拡張された Azure Arc の範囲内で、Azure VM 拡張機能を使用して構成を自動化 できます。また、Azure Policyを使用して、業界の規制や企業標準への準拠を評価することができます。

Azure Stack HCI の仮想化ベースの保護、認定されたハードウェア、クラウドベースのサービスを 活用して、ROBO シナリオでのセキュリティとコンプライアンスの態勢を強化します。

ROBO シナリオには、セキュリティとコンプライアンスに関する独自の課題があります。 ローカル IT サポートがないかまたは制限されいて、専用データセンターがない場合は、内部と外部の両方の脅威からワークロードを保護することが特に重要です。 Azure Stack HCI の機能と Azure サービスとの統合により、この問題に対処できます。

Azure Stack HCI 認定ハードウェアによって、セキュアブート、Unified Extensible Firmware Interface (UEFI)、およびトラステッド プラットフォーム モジュール (TPM) のサポートが組み込まれています。 これらのテクノロジを の仮想化ベースのセキュリティ (VBS)と組み合わせることで、セキュリティを重視するワークロードを保護できます。 BitLocker ドライブ暗号化を使用すると、保存されている記憶域スペース ダイレクト ボリュームを暗号化できます。SMB 暗号化によって転送中の自動暗号化が可能になり、Federal Information Processing Standards 140-2 (FIPS 140-2) や医療保険の携行性と責任に関する法律 (HIPAA) などの標準への準拠が容易になります。

さらに、Microsoft Defender for Cloud で Azure Stack HCI VM をオンボードして、クラウドベースの行動分析、脅威検出、および修復、アラート、およびレポートを有効にすることができます。 同様に、Azure Arc で Azure Stack HCI VM をオンボードすることで、 Azure Policy を使用して、業界の規制や企業標準へのコンプライアンスを評価することができます。

考慮事項

Microsoft Azure Well-Architected フレームワークは、この参照アーキテクチャの基になっている一連の基本原則です。 以下の考慮事項は、これらの原則のコンテキストで構成されています。

[信頼性]

信頼性により、顧客に確約したことをアプリケーションで確実に満たせるようにします。 詳細については、「信頼性の重要な要素の概要」を参照してください。

主な考慮事項は次のとおりです。

  • 記憶域スペース ダイレクト ボリュームの修復速度の向上(再同期とも言われます) 記憶域スペース ダイレクトでは、クラスター ノードのシャットダウンや、ローカライズされたハードウェア障害など、記憶域プール ディスクの可用性に影響を与える、次のイベントの自動再同期が提供されます。 Azure Stack HCI は、Windows Server 2019 よりも細かい粒度で動作する強化された再同期プロセスを実装し、再同期操作の時間を大幅に短縮します。 これにより、複数の重複するハードウェア障害による潜在的な影響が最小限に抑えられます。
  • フェールオーバー クラスタリング監視の選択。 軽量の USB ドライブ ベースの監視は、クラウド監視ベースの構成を使用する場合に必要となる、高信頼性インターネット接続への依存を排除します。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

セキュリティに関する考慮事項は次のとおりです。

  • Azure Stack HCI 基本セキュリティ Azure Stack HCI ハードウェア コンポーネント (セキュア ブート、UEFI、TPM など) を利用して、 Azure Stack HCI VM レベルのセキュリティ (Device Guard、Credential Guard など) のためのセキュリティで保護された基盤を構築します。 Windows 管理センターのロールベースのアクセス制御を使用して、最小限の特権の原則に従って管理タスクを委任します。
  • Azure Stack HCI の高度なセキュリティ グループ ポリシーで Active Directory Domain Services (AD DS) を使用して、Azure Stack HCI クラスターとその Windows Server ワークロードに Microsoft セキュリティ ベースラインを適用します。 Microsoft Advanced Threat Analytics (ATA) を使用して、Azure Stack HCI クラスターとその Windows Server ワークロードに認証サービスを提供する AD DS ドメイン コントローラーを対象とするサイバー脅威を検出して修復することができます。

コストの最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

コストの最適化に関する考慮事項は次のとおりです。

  • スイッチレスとスイッチベースのクラスターの相互接続。 スイッチレス相互接続トポロジは、各ノード上の単一ポートまたはデュアルポートのリモート ダイレクト メモリ アクセス (RDMA) アダプター間の冗長接続で構成されます。各ノードは、他のすべてのノードに直接接続されています。 これは 2 ノード クラスターで実装するのは簡単ですが、大規模なクラスターでは、各ノードのハードウェアに追加のネットワーク アダプターが必要です。
  • クラウドスタイルの課金モデル。 Azure Stack HCI の価格は、月次サブスクリプションの課金モデルに従います。Azure Stack HCI クラスターでは物理プロセッサ コアあたりの料金が定額です。

注意事項

Azure Stack HCI インフラストラクチャをホストするクラスター ノードに対してオンプレミス ソフトウェア ライセンスの要件はありませんが、Azure Stack HCI VM では個別の OS ライセンスが必要になる場合があります。 他の Azure サービスを使用する場合は、追加の使用料金が適用されることもあります。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。

運用上の優れた考慮事項は次のとおりです。

  • Windows 管理センターでのプロビジョニングと管理のエクスペリエンスが簡素化されました。 Windows 管理センターの クラスターの作成ウィザード は、Azure Stack HCI クラスターを作成するためのウィザードベースのインターフェイスを備えています。 同様に、 Windows 管理センターでは、Azure Stack HCI VMを管理するプロセスが簡略化されています。
  • 自動化機能 Azure Stack HCI は、さまざまな自動化機能を提供しており、OS の更新プログラムと、Azure Stack HCI ベンダーおよびパートナーによって提供されるファームウェアやドライバーを含むフルスタック更新プログラムを組み合わせたものです。 クラスター対応更新 (CAU) では、Azure Stack HCI ワークロードがオンラインのまま になっている間に OS の更新プログラムが無人で実行されます。 これにより、パッチ適用後の再起動による影響をなくすクラスター ノードがシームレスに移行されます。 また、Azure Stack HCI は、Windows PowerShell を使用して 自動クラスター プロビジョニング および VM 管理 のサポートも提供します。 Windows PowerShell は、いずれかの Azure Stack HCI サーバーからローカルで実行するか、管理コンピューターからリモートで実行することができます。 Azure Automation および Azure Arc との統合により、仮想化されたコンテナー化された ワークロードに対するさまざまな追加の自動化シナリオが容易になります。
  • 管理の複雑さの軽減 スイッチレス相互接続によって、スイッチ デバイスの障害のリスクがなくなり、構成と管理が必要になります。

パフォーマンス効率

パフォーマンス効率とは、ユーザーによって行われた要求に合わせて効率的な方法でワークロードをスケーリングできることです。 詳細については、「パフォーマンス効率の柱の概要」を参照してください。

パフォーマンスの効率に関する考慮事項は次のとおりです。

  • 記憶域の回復性は、使用効率との比較、パフォーマンスとの比較 になります。 Azure Stack HCI ボリュームの計画では、回復性、使用効率、およびパフォーマンスの最適なバランスを特定する必要があります。 これらの特性の 1 つを最大にすると、通常、他の 2 つのうちの少なくとも 1 つに悪影響を与えます。 たとえば、回復性を向上させると使用可能な容量が減少しますが、パフォーマンスは回復性の種類によって異なります。 入れ子になった双方向ミラー ボリュームまたは入れ子になったミラー アクセラレータ パリティ ボリュームの場合、回復性が高くなると、従来の双方向のミラーリングと比較して容量効率が低下します。 同時に、入れ子になった双方向ミラー ボリュームは、入れ子になったミラー アクセラレータ パリティ ボリュームよりも優れたパフォーマンスを提供しますが、使用効率は低くなります。
  • 記憶域スペース ダイレクトのディスク構成 記憶域スペース ダイレクトでは、ハードディスクドライブ (HDD)、ソリッド ステート ドライブ (SSD)、および NVMe ドライブの種類がサポートされています。 ドライブの種類は、各種類のパフォーマンス特性の違いによってストレージのパフォーマンスに直接影響します。また、キャッシュ メカニズムは記憶域スペース ダイレクト構成の不可欠な要素です。 Azure Stack HCI のワークロードと予算の制約によっては、パフォーマンスを最大化したり、 容量を最大化したり、パフォーマンスと容量間のバランスを取るドライブ構成を実装したりすることができます。
  • ストレージのキャッシュの最適化 記憶域スペース ダイレクトには、ストレージのパフォーマンスを最大化する、 組み込み、永続的、読み取り、書き込みのサーバー側キャッシュ が用意されています。 キャッシュは、アプリケーションとワークロードのワーキングセットに対応するようにサイズを設定し、構成する必要があります。 さらに、Azure Stack HCIは、クラスターの共有ボリューム (CSV) のインメモリ読み取りキャッシュと互換性があります。 システム メモリを使用して読み取りをキャッシュすると、Hyper-V パフォーマンスを向上させることができます。
  • 計算パフォーマンスの最適化 Azure Stack HCI は、エッジ シナリオに適した高パフォーマンスの AI/ML ワーク ロードを対象とするグラフィックス処理ユニット (GPU) アクセラレータのサポートを提供します。
  • ネットワーク パフォーマンスの最適化 設計の一部として、最適なネットワーク ハードウェア構成を決定する際には、予想される トラフィック帯域幅割り当て を含めるようにしてください。 これには、 スイッチレス相互接続の最小帯域幅要件のアドレス指定のプロビジョニングが含まれます。

次のステップ

製品ドキュメント:

Microsoft Learn モジュール: