Referentiearchitectuur voor lokale basislijn in Azure

Lokaal in Azure

Azure Arc

Azure Key Vault

Azure Monitor

Microsoft Defender for Cloud

Deze referentiearchitectuur van de basislijn biedt workloadagnostische richtlijnen en aanbevelingen voor het configureren van de lokale infrastructuur van Azure 2311 en hoger om een betrouwbaar platform te bieden voor maximaal beschikbare gevirtualiseerde en containerworkloads. In deze architectuur worden de resourceonderdelen en clusterontwerpkeuzes beschreven voor de fysieke machines die lokale reken-, opslag- en netwerkmogelijkheden bieden. Ook wordt beschreven hoe u Azure-services gebruikt om het dagelijkse beheer van Azure Local te vereenvoudigen voor bewerkingen op schaal.

Zie de inhoud in het navigatiemenu van de Lokale Azure-workloads voor meer informatie over patronen van workloadarchitectuur die zijn geoptimaliseerd voor uitvoering in Azure Local.

Deze architectuur is een uitgangspunt voor het gebruik van het netwerkontwerp van opslagswitche om een lokaal Azure-exemplaar met meerdere knooppunten te implementeren. De workloadtoepassingen die zijn geïmplementeerd op een lokaal Azure-exemplaar, moeten goed worden ontworpen. Goed ontworpen workloadtoepassingen moeten worden geïmplementeerd met behulp van meerdere exemplaren of hoge beschikbaarheid (HA) van kritieke workloadservices en geschikte BCDR-besturingselementen (Business Continuity and Disaster Recovery) hebben. Deze BCDR-besturingselementen omvatten regelmatige back-ups en mogelijkheden voor noodherstelfailover. Als u zich wilt richten op het HCI-infrastructuurplatform (Hyperconverged Infrastructure), worden deze aspecten van het ontwerp van workloads opzettelijk uitgesloten van dit artikel.

Zie de Azure Local Well-Architected Framework-servicehandleidingvoor meer informatie over richtlijnen en aanbevelingen voor de vijf pijlers van het Azure Well-Architected Framework.

Artikelindeling

Architecture	Ontwerpbeslissingen	Well-Architected Framework-benadering
▪ Architectuur ▪ Onderdelen ▪ Platformbronnen ▪ Platform-ondersteunende resources ▪ Scenariodetails ▪ Azure Arc gebruiken met Azure Local ▪ Profiteren van de standaardbeveiligingsconfiguratie van Azure Local ▪ Mogelijke gebruiksvoorbeelden ▪ Dit scenario implementeren	▪ ▪ fysieke schijfstations ▪ Netwerkontwerp ▪ Toezicht ▪ Updatebeheer	▪ Betrouwbaarheid ▪ Veiligheid ▪ Kostenoptimalisatie ▪ Operationele uitmuntendheid ▪ Prestatie-efficiëntie

Tip

Deze lokale Azure-sjabloon laat zien hoe u een Arm-sjabloon (Azure Resource Manager) en parameterbestand gebruikt om een overgeschakelde implementatie met meerdere servers van Azure Local te implementeren. In het Bicep-voorbeeld ziet u ook hoe u een Bicep-sjabloon gebruikt om een lokaal Azure-exemplaar en de bijbehorende vereisten-resources te implementeren.

Architecture

In het architectuurdiagram ziet u een lokale Azure-omgeving die is verbonden met Azure. De on-premises omgeving bevat een lokaal Azure-cluster met meerdere knooppunten. Het cluster is verbonden met dubbele ToR-switches voor netwerkconnectiviteit. In de Azure-omgeving ziet u verschillende Azure-services die zijn geïntegreerd met Azure Local. Deze services omvatten Azure Arc, Azure Monitor, Azure Key Vault, Azure Policy, Microsoft Defender for Cloud, Azure Update Manager, Azure Backup en Azure Site Recovery.

Zie Verwante resources voor meer informatie.

Components

Deze architectuur bestaat uit fysieke serverhardware die u kunt gebruiken voor het implementeren van lokale Azure-exemplaren op on-premises of edge-locaties. Om de platformmogelijkheden te verbeteren, integreert Azure Local met Azure Arc en andere Azure-services die ondersteunende resources bieden. Azure Local biedt een flexibel platform voor het implementeren, beheren en gebruiken van gebruikerstoepassingen of bedrijfssystemen. Platformbronnen en -services worden beschreven in de volgende secties.

Platformbronnen

• Azure Local is een HCI-oplossing die on-premises of in edge-locaties wordt geïmplementeerd en gebruikmaakt van hardware- en netwerkinfrastructuur van fysieke servers. Azure Local biedt een platform voor het implementeren en beheren van gevirtualiseerde workloads, zoals virtuele machines (VM's), Kubernetes-clusters en andere services die Azure Arc inschakelt. Lokale Azure-exemplaren kunnen worden geschaald van een implementatie met één machine tot maximaal 16 fysieke machines met behulp van gevalideerde, geïntegreerde of premium hardwarecategorieën die oem-partners (original equipment manufacturer) bieden. In deze architectuur biedt Azure Local het kernplatform voor het hosten en beheren van gevirtualiseerde en containerworkloads on-premises of aan de rand.

• Azure Arc is een cloudservice die het beheermodel uitbreidt op basis van Resource Manager naar lokale Azure-locaties en andere niet-Azure-locaties. Azure Arc gebruikt Azure als besturings- en beheervlak om het beheer van verschillende resources mogelijk te maken, zoals VM's, Kubernetes-clusters en containergegevens en machine learning-services. In deze architectuur maakt Azure Arc gecentraliseerd beheer en beheer mogelijk van resources die zijn geïmplementeerd op Azure Local via het Azure-besturingsvlak.

• Azure Key Vault- is een cloudservice die u kunt gebruiken om geheimen veilig op te slaan en te openen. Een geheim is alles waartoe u de toegang strikt wilt beperken, zoals API-sleutels, wachtwoorden, certificaten, cryptografische sleutels, lokale beheerdersreferenties en BitLocker-herstelsleutels. In deze architectuur beveiligt Key Vault gevoelige informatie en referenties die worden gebruikt door workloads en infrastructuuronderdelen in Azure Local.

• Cloudwitness is een functie die gebruikmaakt van Azure Storage om te fungeren als een failoverclusterquorum. Azure Local (alleen twee machine-instanties) maakt gebruik van een cloud witness als de quorum voor stemmen, wat zorgt voor HA voor het cluster. Het opslagaccount en de witness-configuratie worden gemaakt tijdens het implementatieproces van de Lokale Azure-cloud. In deze architectuur biedt cloudwitness quorum voor clusters met twee knooppunten om hoge beschikbaarheid te behouden.

• Azure Update Manager is een geïntegreerde service die is ontworpen voor het beheren en beheren van updates voor Azure Local. U kunt Updatebeheer gebruiken voor het beheren van workloads die zijn geïmplementeerd in Azure Local, inclusief updatenaleving van gastbesturingssystemen voor Windows- en Linux-VM's die kunnen worden ingeschakeld met behulp van Azure Policy. Met deze geïntegreerde benadering wordt patchbeheer gecentraliseerd in Azure, on-premises omgevingen en andere cloudplatforms via één dashboard. In deze architectuur biedt Update Manager gecentraliseerd update- en patchbeheer voor zowel infrastructuur als workloads.

Platform-ondersteunende resources

• Azure Monitor is een cloudservice voor het verzamelen, analyseren en uitvoeren van diagnostische logboeken en telemetrie van cloud- en on-premises workloads. U kunt Azure Monitor gebruiken om de beschikbaarheid en prestaties van uw toepassingen en services te maximaliseren via een bewakingsoplossing. Implementeer Inzichten voor Azure Local om het maken van de Azure Monitor-regel voor gegevensverzameling (DCR) te vereenvoudigen en bewaking van lokale Azure-exemplaren in te schakelen. In deze architectuur biedt Azure Monitor bewaking en telemetrie voor lokale Azure-clusters en -workloads.

• Azure Policy is een service die Azure- en on-premises resources evalueert. Azure Policy evalueert resources via integratie met Azure Arc met behulp van de eigenschappen van deze resources naar bedrijfsregels, ook wel beleidsdefinities genoemd, om naleving of mogelijkheden te bepalen die u kunt gebruiken om de configuratie van VM-gasten toe te passen via beleidsinstellingen. In deze architectuur biedt Azure Policy een controle- en nalevingsmogelijkheid voor de beveiligingsconfiguratie van het besturingssysteem van lokale Azure-machines. De instellingen worden voortdurend toegepast met behulp van driftbesturing.

• Defender for Cloud is een beveiligingsbeheersysteem voor infrastructuur. Het verbetert de beveiligingspostuur van datacenters en biedt geavanceerde bedreigingsbeveiliging voor hybride workloads, ongeacht of ze zich in Azure of elders bevinden, en in on-premises omgevingen. In deze architectuur biedt Defender for Cloud beveiligingsbewaking en bedreigingsbeveiliging voor workloads die worden uitgevoerd in Azure Local.

• Azure Backup is een cloudservice die een veilige en rendabele oplossing biedt voor het maken van back-ups van gegevens en het herstellen van de Microsoft Cloud. Azure Backup Server wordt gebruikt om een back-up te maken van VM's die zijn geïmplementeerd in Azure Local en deze op te slaan in de Backup-service. In deze architectuur beveiligt Azure Backup gegevens en schakelt u herstel in voor virtuele machines die worden gehost op Azure Local.

• Azure Site Recovery is een DR-service die BCDR-mogelijkheden biedt door zakelijke apps en workloads in staat te stellen een failover uit te voeren als er een noodgeval of storing is. Site Recovery beheert replicatie en failover van workloads die worden uitgevoerd op fysieke servers en VM's tussen hun primaire site (on-premises) en een secundaire locatie (Azure). In deze architectuur maakt Site Recovery herstel na noodgevallen en failover mogelijk voor workloads die worden uitgevoerd op Azure Local.

Scenariodetails

In de volgende secties vindt u meer informatie over de scenario's en mogelijke use cases voor deze referentiearchitectuur. Deze secties bevatten een lijst met bedrijfsvoordelen en voorbeeldresourcetypen voor werkbelastingen die u kunt implementeren in Azure Local.

Azure Arc gebruiken met Azure Local

Azure Local kan rechtstreeks worden geïntegreerd met Azure door Azure Arc te gebruiken om de totale eigendomskosten (TCO) en operationele overhead te verlagen. Azure Local wordt geïmplementeerd en beheerd via Azure, dat ingebouwde integratie van Azure Arc biedt via de implementatie van de Azure Arc-resourcebrug onderdeel. Dit onderdeel wordt uitgerold als onderdeel van het cloudimplementatieproces van de Azure Local-instance. Lokale Azure-machines worden ingeschreven bij Azure Arc voor servers als een vereiste voor het starten van de cloudimplementatie van uw Lokale Azure-exemplaar. Tijdens de implementatie worden verplichte extensies op elke computer geïnstalleerd, zoals Levenscyclusbeheer, Microsoft Edge-apparaatbeheer en telemetrie- en diagnostische extensies. U kunt Azure Monitor en Log Analytics na de implementatie gebruiken om de oplossing te bewaken door Insights in te schakelen voor Azure Local. Functie-updates voor Azure Local worden elke zes maanden uitgebracht om de klantervaring te verbeteren. Updates voor Azure Local worden gecontroleerd en beheerd met Updatebeheer.

U kunt workloadresources, zoals Azure Arc-VM's, AKS met Azure Arc en Azure Virtual Desktop-sessiehosts die gebruikmaken van Azure Portal implementeren door een aangepaste locatie van een Lokaal Azure-exemplaar te selecteren als het doel voor de implementatie van de workload. Deze onderdelen bieden gecentraliseerd beheer, beheer en ondersteuning. Als u actieve Software Assurance hebt voor uw bestaande kernlicenties voor Windows Server Datacenter, kunt u de kosten verder verlagen door Azure Hybrid Benefit toe te passen op lokale Azure-, Windows Server-VM's en AKS-clusters. Deze optimalisatie helpt bij het effectief beheren van kosten voor deze services.

Azure en Azure Arc-integratie breiden de mogelijkheden van Azure-gevirtualiseerde en containergebruikstaken uit met de volgende oplossingen:

• Lokale Azure-VM's voor traditionele toepassingen of services die worden uitgevoerd op VM's in Azure Local.

• AKS in Azure Local voor toepassingen of services in containers die baat hebben bij het gebruik van Kubernetes als hun indelingsplatform.

• Virtual Desktop om uw sessiehosts te implementeren voor Virtual Desktop-workloads in Azure Local (on-premises). U kunt het besturings- en beheervlak in Azure gebruiken om het maken en configureren van de hostgroep te initiëren.

• Met Azure Arc ingeschakelde gegevensservices voor azure SQL Managed Instance in containers.

• Azure Arc-enabled Azure Container Apps voor het uitvoeren van containergebaseerde toepassingen en microservices. U kunt deze implementeren met behulp van de Container Apps-extensie voor Kubernetes, waarmee u verbonden Container Apps-omgevingen kunt inrichten. Nadat deze is ingeschakeld op een AKS-cluster, kunt u services zoals Azure Functions uitvoeren. Ter ondersteuning van gebeurtenisgestuurd schalen kunt u desgewenst de Kubernetes Event-Driven KEDA-extensie (Autoscaling) installeren.

• De Azure Event Grid-extensie voor Azure Arc voor Kubernetes voor het implementeren van de Event Grid-broker en Event Grid-operator onderdelen. Deze implementatie maakt mogelijkheden mogelijk, zoals Event Grid-onderwerpen en -abonnementen voor gebeurtenisverwerking.

• machine learning met Azure Arc met een AKS-cluster dat is geïmplementeerd in Azure Local als rekendoel om Azure Machine Learning uit te voeren. U kunt deze methode gebruiken om machine learning-modellen aan de rand te trainen of te implementeren.

Met Azure Arc verbonden workloads bieden verbeterde Azure-consistentie en automatisering voor lokale Azure-implementaties, zoals het automatiseren van de configuratie van gastbesturingssystemen met azure-extensies voor lokale VM's of het evalueren van naleving van branchevoorschriften of bedrijfsstandaarden via Azure Policy. U kunt Azure Policy activeren via de Azure portal of infrastructuur-als-codeautomatisering (IaC).

Profiteren van de standaardbeveiligingsconfiguratie van Azure Local

De standaardbeveiligingsconfiguratie van Azure Local biedt een diepgaande verdedigingsstrategie om de kosten voor beveiliging en naleving te vereenvoudigen. De implementatie en het beheer van IT-services voor retail-, productie- en externe kantoorscenario's biedt unieke uitdagingen op het gebied van beveiliging en naleving. Het beveiligen van workloads tegen interne en externe bedreigingen is cruciaal in omgevingen met beperkte IT-ondersteuning of een gebrek aan of toegewezen datacenters. Azure Local heeft standaardbeveiligingsbeveiliging en diepgaande integratie met Azure-services om u te helpen deze uitdagingen aan te pakken.

Azure Local-certified hardware zorgt voor ingebouwde ondersteuning voor Beveiligd opstarten, Unified Extensible Firmware Interface (UEFI) en TPM (Trusted Platform Module). Gebruik deze technologieën in combinatie met beveiliging op basis van virtualisatie (VBS) om uw beveiligingsgevoelige workloads te beschermen. U kunt BitLocker-stationsversleuteling gebruiken om opstartschijfvolumes en Storage Spaces Direct-volumes in rusttoestand te versleutelen. Server Message Block-versleuteling (SMB) biedt automatische versleuteling van verkeer tussen fysieke machines in het cluster (op het opslagnetwerk) en ondertekening van SMB-verkeer tussen de fysieke machines van het cluster en andere systemen. SMB-versleuteling helpt ook relayaanvallen te voorkomen en vereenvoudigt de naleving van regelgevingsstandaarden.

U kunt lokale Azure-VM's onboarden in Defender for Cloud- om gedragsanalyses in de cloud, detectie van bedreigingen en herstel, waarschuwingen en rapportage te activeren. Beheer lokale azure-VM's in Azure Arc, zodat u Azure Policy kunt gebruiken om hun naleving van branchevoorschriften en bedrijfsstandaarden te evalueren.

Mogelijke gebruiksvoorbeelden

Typische gebruiksvoorbeelden voor Azure Local zijn het uitvoeren van HA-workloads op on-premises of edge-locaties. Azure Local biedt een platform om te voldoen aan vereisten zoals de volgende mogelijkheden:

• Een cloud-verbonden oplossing bieden die on-premises is geïmplementeerd om te voldoen aan vereisten voor regelgeving, gegevenssoevereiniteit, naleving of latentie.

• Implementeer en beheer gevirtualiseerde of containergebaseerde workloads die zijn geïmplementeerd op één of meerdere edge-locaties. Met deze mogelijkheid kunnen bedrijfskritieke toepassingen en services op een flexibele, rendabele en schaalbare manier werken.

• Verminder de TCO door een oplossing te implementeren die is gecertificeerd door Microsoft en de hardware-OEM-partners. Deze oplossing maakt gebruik van een modern implementatieproces in de cloud en biedt een gecentraliseerd beheer- en bewakingservaring van Azure.

• Een gecentraliseerde inrichtingsmogelijkheid bieden met behulp van Azure en Azure Arc. Met deze functionaliteit kunt u workloads consistent en veilig implementeren op meerdere locaties. Hulpprogramma's zoals Azure Portal, De Azure CLI of IaC-sjablonen (ARM-sjablonen, Bicep en Terraform) verbeteren automatisering en herhaalbaarheid. Deze aanpak maakt snelle implementatie en beheer van AKS-clusters (Azure Kubernetes Service) mogelijk voor containerworkloads en lokale Azure-VM's voor traditionele gevirtualiseerde workloads.

• Voldoen aan strikte beveiligings-, nalevings- en controlevereisten. Azure Local wordt geïmplementeerd met een beveiligd beveiligingspostuur dat standaard is geconfigureerd, ook wel standaard beveiligd genoemd. Azure Local bevat gecertificeerde hardware, Secure Boot, TPM, VBS, Credential Guard en afgedwongen beleid voor toepassingsbeheer. Azure Local biedt de mogelijkheid om te integreren met moderne cloudservices voor beveiliging en bedreigingsbeheer, zoals Microsoft Defender voor Cloud en Microsoft Sentinel. Deze integratie biedt uitgebreide mogelijkheden voor detectie en respons (XDR) en SIEM (Security Information Event Management).

Opties voor clusterontwerp

Begrijp de prestatie- en betrouwbaarheidseisen voor workloads. Voor veerkracht begrijpt u de verwachtingen voor het platform en de workloads om te blijven werken tijdens hardware- of knooppuntfouten. Definieer ook hersteltijddoelstelling (RTO) en RPO (Recovery Point Objective) voor uw herstelstrategie. Houd rekening met de vereisten voor rekenkracht, geheugen en opslag voor alle workloads die zijn geïmplementeerd op het lokale Azure-exemplaar. Verschillende kenmerken van de workload zijn van invloed op het besluitvormingsproces:

• De architectuurmogelijkheden van de centrale verwerkingseenheid (CPU), waaronder functies van hardwarebeveiligingstechnologie, het aantal CPU's, de gigahertzfrequentie (GHz) (snelheid) en het aantal kernen voor elke CPU-socket.

• Gpu-vereisten (Graphics Processing Unit) van de workload, zoals voor AI of machine learning, deductie of grafische rendering.

• Het geheugen voor elke machine of de hoeveelheid fysiek geheugen die nodig is om de werkbelasting uit te voeren.

• Het aantal fysieke machines in het exemplaar dat 1 tot 16 machines op schaal heeft. Het maximum aantal fysieke machines is vier wanneer u de switch-architectuur voor opslag gebruikt.

  • Als u de rekentolerantie wilt behouden, moet u ten minste N+1 fysieke machines met capaciteit in het exemplaar reserveren. Met deze strategie kunt u knooppunten leegmaken voor updates of herstel na plotselinge storingen, zoals stroomstoringen of hardwarefouten.

  • Voor bedrijfskritieke of bedrijfskritieke workloads kunt u overwegen om fysieke N+2-machines te reserveren om de tolerantie te vergroten. Als bijvoorbeeld twee fysieke machines in het exemplaar offline zijn, kan de workload online blijven. Deze aanpak biedt tolerantie voor scenario's waarin een computer waarop een workload wordt uitgevoerd offline gaat tijdens een geplande updateprocedure en resulteert in twee fysieke exemplaren tegelijk offline zijn.

• Vereisten voor tolerantie, capaciteit en prestaties van opslag:

  • Herstellingsvermogen: U wordt aangeraden drie of meer fysieke machines te implementeren om spiegeling in drie richtingen in te schakelen, die drie kopieën van de gegevens biedt, voor de infrastructuur en gebruikersvolumes. Spiegeling in drie richtingen verhoogt de prestaties en de maximale betrouwbaarheid voor opslag.

  • Capaciteit: De totale vereiste bruikbare opslag na aftrek van fouttolerantie of kopieën wordt in aanmerking genomen. Dit aantal is ongeveer 33% van de onbewerkte opslagruimte van uw capaciteitslaagschijven wanneer u spiegeling in drie richtingen gebruikt.

  • Voorstelling: Invoer-/uitvoerbewerkingen per seconde (IOPS) van het platform waarmee de mogelijkheden voor opslagdoorvoer voor de workload worden bepaald wanneer deze wordt vermenigvuldigd met de blokgrootte van de toepassing.

Als u een lokale Azure-implementatie wilt ontwerpen en plannen, raden we u aan om het hulpprogramma Voor lokale grootte van Azure te gebruiken en een nieuw project te maken voor het aanpassen van de grootte van uw lokale Azure-exemplaren. Bij het gebruik van het hulpprogramma voor groottebepaling moet u inzichten hebben in uw workloadvereisten. Wanneer u rekening houdt met het aantal en de grootte van workload-VM's die op uw exemplaar worden uitgevoerd, moet u rekening houden met factoren zoals het aantal vCPU's, geheugenvereisten en de benodigde opslagcapaciteit voor de VM's.

In de sectie Voorkeuren van de groottebepalings-tool wordt u begeleid bij vragen die betrekking hebben op het systeemtype, waaronder Premier Solution, Integrated System of Validated Node, en CPU-familieopties. Het helpt u ook bij het selecteren van uw tolerantievereisten voor het exemplaar. Volg deze aanbevelingen om veerkrachtigheidsniveaus in te stellen:

• Reserveer een capaciteit ter waarde van minimaal N+1 fysieke machines, of ten minste één knooppunt, binnen de instantie. Deze aanpak zorgt ervoor dat u oplossingsupdates kunt toepassen door elk knooppunt één voor één leeg te maken en opnieuw op te starten, zonder dat er uitvaltijd van de werkbelasting ontstaat.

• Reserveer een capaciteit ter waarde van N+2 fysieke machines binnen de instantie voor extra veerkracht. Met deze optie kan het systeem bestand zijn tegen een machinefout tijdens een update of een andere onverwachte gebeurtenis die tegelijkertijd van invloed is op twee computers. Het zorgt er ook voor dat er voldoende capaciteit is in het exemplaar om de workload uit te voeren op de resterende onlinecomputers.

Voor dit scenario is het gebruik van spiegeling in drie richtingen vereist voor gebruikersvolumes. Dit is de standaardinstelling voor exemplaren met drie of meer fysieke machines.

De uitvoer van het hulpprogramma Voor lokaal aanpassen van Azure is een lijst met aanbevolen hardwareoplossingS-SKU's die de vereiste workloadcapaciteit en tolerantievereisten voor platformen kunnen bieden op basis van de invoerwaarden in het Sizer-project. Voor meer informatie over beschikbare OEM-hardwarepartneroplossingen, zie de Azure Local solutions catalog. Neem contact op met uw voorkeursleverancier van hardwareoplossingen of uw systeemintegratiepartner (SI) om de juiste grootte van de SKU's voor oplossingen te bepalen die aan uw vereisten voldoen.

Fysieke schijfstations

Storage Spaces Direct ondersteunt meerdere typen fysieke schijven die verschillen in prestaties en capaciteit. Wanneer u een lokaal Azure-exemplaar ontwerpt, neemt u contact op met de door u gekozen HARDWARE OEM-partner om de meest geschikte typen fysieke schijven te bepalen om te voldoen aan de capaciteits- en prestatievereisten van uw workload. Voorbeelden hiervan zijn draaiende harde schijven (HDD's) of SSD's (Solid State Drives) en NVMe-stations (Non-Volatile Memory Express). Deze stations worden vaak flashstations of persistent geheugenopslag (PMem) genoemd, ook wel bekend als SCM (Storage Class Memory).

De betrouwbaarheid van het platform is afhankelijk van de prestaties van kritieke platformafhankelijkheden, zoals fysieke schijftypen. Zorg ervoor dat u de juiste schijftypen kiest voor uw vereisten. Gebruik all-flash-opslagoplossingen zoals NVMe-stations of SSD's voor workloads met vereisten voor hoge prestaties of lage latentie. Deze workloads omvatten, maar zijn niet beperkt tot zeer transactionele databasetechnologieën, productie-AKS-clusters of bedrijfskritieke of bedrijfskritieke workloads die opslagvereisten met lage latentie of hoge doorvoer hebben. Gebruik all-flash-implementaties om de opslagprestaties te maximaliseren. All-NVMe- of all-SSD-configuraties, vooral op kleine schaal, verbeteren de opslagefficiëntie en maximaliseren de prestaties omdat er geen schijven worden gebruikt als cachelaag. Zie All-flash-opslagvoor meer informatie.

Het diagram toont een cluster met meerdere knooppunten. Elk knooppunt heeft twee netwerkadapters voor opslag en twee voor beheer en rekenkracht. De opslagadapters maken verbinding met een opslagnetwerk. De beheer- en rekenadapters maken verbinding met een beheer- en rekennetwerk. Onder de netwerklaag toont het diagram de opslagstack. Het begint met fysieke schijven onderaan, waaronder NVMe-schijven in de cachelagen en SSD's in de capaciteitslagen. Boven de schijven bevindt zich de Opslagruimten Direct-opslaggroep. De volgende laag in deze sectie is het ReFS-bestandssysteem op een CSV. De volgende laag bevat virtuele schijven voor VM's. De bovenste laag toont twee VM's, met een pijl die aangeeft dat ze live kunnen worden gemigreerd tussen de knooppunten.

Het type fysieke schijfstation is van invloed op de prestaties van uw clusteropslag. Het type schijf varieert op basis van de prestatiekenmerken van elk schijftype en het cachemechanisme dat u kiest. Het type fysieke schijfstation is een integraal onderdeel van het ontwerp en de configuratie van Opslagruimten Direct. Afhankelijk van de lokale workloadvereisten en budgetbeperkingen van Azure kunt u ervoor kiezen om de prestaties te maximaliseren, de capaciteit te maximaliseren of een configuratie van het type gemengde schijf te implementeren waarmee de prestaties en capaciteit worden verdeeld.

Voor algemene workloads waarvoor permanente opslag met een grote capaciteit is vereist, kan een hybride opslagconfiguratie de meest bruikbare opslag bieden, zoals het gebruik van NVMe-stations of HDD's voor de cachelaag en HDD's voor capaciteit. De afweging is dat draaiende schijven lagere prestaties en doorvoermogelijkheden hebben in vergelijking met flashstations. Deze beperkingen kunnen van invloed zijn op de opslagprestaties als uw werkbelasting de cachewerkset overschrijdt. HDD's hebben ook een lagere gemiddelde tijd tussen storingen vergeleken met NVMe-stations en SSD's.

Opslagruimten Direct biedt een ingebouwde, permanente cache aan de serverzijde die zowel lees- als schrijfbewerkingen ondersteunt. Deze cache maximaliseert de opslagprestaties. Grootte en configuratie van de cache voor de werkset van uw toepassingen en workloads. Virtuele schijven of volumes van Opslagruimten Direct worden gebruikt in combinatie met csv-leescache (Cluster Shared Volume) in het geheugen om Hyper-V prestaties te verbeteren. Deze combinatie is met name effectief voor niet-gebufferde invoertoegang tot VHD-bestanden (virtuele harde schijf) of virtuele hardeschijf v2-bestanden (VHDX).

Tip

Voor workloads met hoge prestaties of latentiegevoelige workloads raden we u aan een all-flash-opslagconfiguratie (alle NVMe of alle SSD's) en een clustergrootte van drie of meer fysieke machines te gebruiken. Als u dit ontwerp implementeert met de standaardopslagconfiguratie instellingen, wordt spiegeling in drie richtingen gebruikt voor de infrastructuur en gebruikersvolumes. Deze implementatiestrategie biedt de hoogste prestaties en tolerantie. Wanneer u een all-NVMe- of all-SSD-configuratie gebruikt, profiteert u van de volledige bruikbare opslagcapaciteit van elke flashstation. In tegenstelling tot hybride of gemengde NVMe- en SSD-instellingen is er geen capaciteit gereserveerd voor caching wanneer u één stationstype gebruikt. Deze configuratie zorgt voor een optimaal gebruik van uw opslagbronnen. Zie Volumes plannen als de prestaties het belangrijkst zijnvoor meer informatie over het verdelen van prestaties en capaciteit om te voldoen aan uw workloadvereisten.

Netwerkontwerp

Netwerkontwerp is de algehele rangschikking van onderdelen binnen de fysieke infrastructuur en logische configuraties van het netwerk. U kunt dezelfde fysieke NIC-poorten (Network Interface Card) gebruiken voor alle combinaties van beheer-, reken- en opslagnetwerkintenties. Het gebruik van dezelfde NIC-poorten voor alle intentiegerelateerde doeleinden wordt een volledig geconvergeerde netwerkconfiguratie genoemd.

Een volledig geconvergeerde netwerkconfiguratie wordt ondersteund, maar de optimale configuratie voor prestaties en betrouwbaarheid is dat de opslagintentie toegewezen netwerkadapterpoorten gebruikt. Als gevolg hiervan biedt deze basislijnarchitectuur voorbeeldrichtlijnen voor het implementeren van een lokaal Azure-exemplaar met meerdere knooppunten met behulp van de netwerkarchitectuur met twee netwerkadapterpoorten die zijn geconvergeerd voor beheer- en rekenintenties en twee toegewezen netwerkadapterpoorten voor de opslagintentie. Zie Netwerkoverwegingen voor cloudimplementaties van Azure Localvoor meer informatie.

Deze architectuur vereist twee of meer fysieke machines en maximaal 16 machines op schaal. Voor elke machine zijn vier netwerkadapterpoorten vereist die zijn verbonden met twee ToR-switches (top-of-rack). De twee ToR-switches moeten worden verbonden via MLAG-koppelingen (Multi-Chassis Link Aggregation Group). De twee netwerkadapterpoorten die worden gebruikt voor het opslagintentieverkeer, moeten ondersteuning bieden voor RDMA-(Remote Direct Memory Access). Deze poorten vereisen een minimale koppelingssnelheid van 10 gigabit per seconde (Gbps), maar we raden een snelheid van 25 Gbps of hoger aan. De twee netwerkadapterpoorten die worden gebruikt voor de beheer- en rekenintenties, worden geconvergeerd met behulp van Set-technologie (Switch Embedded Teaming). SET-technologie biedt mogelijkheden voor koppelingredundantie en taakverdeling. Deze poorten vereisen een minimale koppelingssnelheid van 1 Gbps, maar we raden een snelheid van 10 Gbps of hoger aan.

Fysieke netwerktopologie

De volgende fysieke netwerktopologie toont de fysieke netwerkverbindingen tussen de lokale Azure-machines en netwerkonderdelen.

U hebt de volgende onderdelen nodig wanneer u een Azure-meerknooppuntimplementatie ontwerpt die gebruikmaakt van deze basislijnarchitectuur.

In de afbeelding ziet u de fysieke netwerktopologie voor een Azure Local exemplaar met meerdere knooppunten dat gebruikmaakt van een opslaggeschakelde architectuur met dubbele ToR-switches. In het diagram worden de verbindingen tussen fysieke machines, ToR-switches en externe netwerken gemarkeerd. Het benadrukt redundantie en toegewezen RDMA-compatibele poorten voor opslagverkeer.

• Dual ToR-switches:

  • Dual ToR-netwerkswitches zijn vereist voor netwerktolerantie en voor de service of het toepassen van firmware-updates op de switches zonder uitvaltijd. Deze strategie voorkomt een single point of failure (SPoF).

  • De dubbele ToR-switches worden gebruikt voor de opslag, of oost-west, verkeer. Deze switches maken gebruik van twee toegewezen Ethernet-poorten met specifieke VLAN's (Virtual Local Area Networks) en PFC-verkeersklassen (Priority Flow Control) die zijn gedefinieerd om verliesloze RDMA-communicatie te bieden.

  • Deze switches maken verbinding met de fysieke machines via Ethernet-kabels.

• Twee of meer fysieke machines en maximaal 16 fysieke machines:

  • Elke machine is een fysieke server waarop het Azure Stack HCI-besturingssysteem wordt uitgevoerd.

  • Voor elke machine zijn in totaal vier netwerkadapterpoorten vereist: twee RDMA-poorten voor opslag en twee netwerkadapterpoorten voor beheer- en rekenverkeer.

  • Opslag maakt gebruik van de twee toegewezen RDMA-compatibele netwerkadapterpoorten die verbinding maken met één pad naar elk van de twee ToR-switches. Deze benadering biedt redundantie op koppelingspad en toegewezen bandbreedte met prioriteit voor SMB Direct-opslagverkeer.

  • Beheer en compute maakt gebruik van twee netwerkadapterpoorten die één pad naar elk van de twee ToR-switches bieden voor koppelingspadredundantie.

• Externe connectiviteit:

  • Dual ToR-switches maken verbinding met het externe netwerk, zoals uw interne LAN (Corporate Local Area Network), om toegang te bieden tot de vereiste uitgaande URL's met behulp van uw randnetwerkapparaat. Dit apparaat kan een firewall of router zijn. Met deze switches wordt verkeer gerouteerd dat in en uit het lokale Azure-exemplaar gaat of verkeer ten noorden van het zuiden.

  • Connectiviteit van extern noord-zuidverkeer ondersteunt de intentie en rekenintenties voor clusterbeheer. Deze netwerkconfiguratie wordt bereikt met behulp van twee switchpoorten en twee netwerkadapterpoorten voor elke machine die worden geconvergeerd via SET en een virtuele switch binnen Hyper-V om tolerantie te garanderen. Deze onderdelen bieden externe connectiviteit voor lokale Azure-VM's en andere workloadresources die zijn geïmplementeerd in de logische netwerken die zijn gemaakt in Resource Manager met behulp van Azure Portal, de Azure CLI of IaC-sjablonen.

Logische netwerktopologie

De topologie van het logische netwerk toont een overzicht van hoe netwerkgegevens tussen apparaten stromen, ongeacht hun fysieke verbindingen.

In het volgende voorbeeld ziet u een samenvatting van de logische installatie voor deze basislijnarchitectuur voor opslag met meerdere knooppunten voor Azure Local.

In het diagram ziet u de logische netwerktopologie voor een Azure Local-instantie met meerdere knooppunten die gebruikmaakt van een storage switched architectuur. Het illustreert de stroom van netwerkverkeer tussen onderdelen. In het diagram ziet u twee fysieke knooppunten, elk met meerdere netwerkadapters. Netwerk-ATC wordt gebruikt om intenties te definiëren voor beheer-, reken- en opslagverkeer. De beheer- en rekenintenties worden geconvergeerd naar een virtuele switch die gebruikmaakt van een SET. De opslagintentie maakt gebruik van toegewezen RDMA-compatibele adapters. Het diagram toont ook logische netwerken voor VM's en de verbinding met het externe netwerk via de ToR-switches.

• Dual ToR-switches:

  • Voordat u het cluster implementeert, moeten de twee ToR-netwerkswitches worden geconfigureerd met de vereiste VLAN-id's, de maximuminstellingen voor de transmissie-eenheid en de configuratie voor het overbruggen van datacenters voor het beheer, de reken- en opslagpoorten . Zie voor meer informatie fysieke netwerkvereisten voor Azure Localof vraag uw leverancier van switchhardware of SI-partner om hulp.

• Netwerk-ATC:

  • Azure Local maakt gebruik van de Network ATC-benadering om netwerkautomatisering en op intentie gebaseerde netwerkconfiguratie toe te passen.

  • Azure Local maakt gebruik van de Network ATC-benadering om netwerkautomatisering en op intentie gebaseerde netwerkconfiguratie toe te passen.

  • Netwerk-ATC is ontworpen om een optimale netwerkconfiguratie en verkeersstroom te garanderen met behulp van netwerkverkeersintenties. Netwerk-ATC definieert welke fysieke netwerkadapterpoorten worden gebruikt voor de verschillende netwerkverkeersintenties (of typen), zoals voor clusterbeheer, workload berekenen en clusteropslagintenties .

  • Op intentie gebaseerd beleid vereenvoudigt de netwerkconfiguratievereisten door de netwerkconfiguratie van de machine te automatiseren op basis van parameterinvoer die zijn opgegeven als onderdeel van het implementatieproces van de Lokale Azure-cloud.

• Externe communicatie:

  • Wanneer de fysieke machines of workloads extern moeten communiceren door toegang te krijgen tot het bedrijfs-LAN, internet of een andere service, worden ze gerouteerd via de dubbele ToR-switches.

  • Wanneer de twee ToR-switches fungeren als Laag 3-apparaten, verwerken ze routering en bieden ze connectiviteit buiten het cluster aan het randapparaat, zoals uw firewall of router.

  • De intentie van het beheernetwerk maakt gebruik van de geconvergeerde set-team-virtuele interface, waarmee het IP-adres en de beheervlakbronnen van het cluster extern kunnen communiceren.

  • Voor de intentie van het rekennetwerk kunt u een of meer logische netwerken in Azure maken met de specifieke VLAN-id's voor uw omgeving. De workloadresources, zoals VM's, gebruiken deze id's om toegang te verlenen tot het fysieke netwerk. De logische netwerken gebruiken de twee fysieke netwerkadapterpoorten die zijn geconvergeerd met behulp van een SET-team voor de reken- en beheerintenties.

• Opslagverkeer:

  • De fysieke machines communiceren met elkaar met behulp van twee toegewezen netwerkadapterpoorten die zijn verbonden met de ToR-switches om hoge bandbreedte en tolerantie voor opslagverkeer te bieden.

  • De SMB1 - en SMB2-opslagpoorten maken verbinding met twee afzonderlijke niet-routable (of Layer 2)-netwerken. Elk netwerk heeft een specifieke VLAN-id geconfigureerd die moet overeenkomen met de configuratie van switchpoorten op de ToR-switches standaard VLAN-id's voor opslag: 711 en 712.

  • Er is geen standaardgateway geconfigureerd op de twee netwerkadapterpoorten voor opslagintenties binnen het Azure Stack HCI-besturingssysteem.

  • Elk clusterknooppunt heeft toegang tot de mogelijkheden van Opslagruimten Direct van het cluster, zoals externe fysieke schijven die worden gebruikt in de opslaggroep, virtuele schijven en volumes. Toegang tot deze mogelijkheden wordt mogelijk gemaakt via het SMB-Direct RDMA-protocol via de twee toegewezen netwerkadapterpoorten voor opslag die beschikbaar zijn op elke computer. SMB meerdere kanalen wordt gebruikt voor tolerantie.

  • Deze configuratie biedt voldoende snelheid voor gegevensoverdracht voor opslaggerelateerde bewerkingen, zoals het onderhouden van consistente kopieën van gegevens voor gespiegelde volumes.

Vereisten voor netwerkswitch

Uw Ethernet-switches moeten voldoen aan de verschillende specificaties die vereist zijn voor Azure Local en ingesteld door het Institute of Electrical and Electronics Engineers Standards Association (IEEE SA). Voor implementaties met meerdere knooppunten wordt het opslagnetwerk bijvoorbeeld gebruikt voor RDMA via RoCE v2 of iWARP. Voor dit proces is IEEE 802.1Qbb PFC vereist om verliesloze communicatie te garanderen voor de opslagverkeersklasse. Uw ToR-switches moeten ondersteuning bieden voor IEEE 802.1Q voor VLAN's en IEEE 802.1AB voor het Link Layer Discovery Protocol.

Als u van plan bent bestaande netwerkswitches te gebruiken voor een lokale Azure-implementatie, raadpleegt u de lijst met verplichte IEEE-standaarden en -specificaties die de netwerkswitches en -configuratie moeten bieden. Wanneer u nieuwe netwerkswitches aanschaft, bekijkt u de lijst met door de leverancier gecertificeerde switchmodellen voor hardware die ondersteuning bieden voor de vereisten van het lokale Azure-netwerk.

Vereisten voor IP-adressen

Bij een implementatie van opslag met meerdere knooppunten neemt het aantal BENODIGDe IP-adressen toe met de toevoeging van elke fysieke machine, tot maximaal 16 fysieke machines binnen één cluster. Als u bijvoorbeeld een opslagconfiguratie met twee knooppunten van Azure Local wilt implementeren, moet voor de clusterinfrastructuur minimaal 11 x IP-adressen worden toegewezen. Er zijn meer IP-adressen vereist als u microsegmentatie of softwaregedefinieerde netwerken gebruikt. Zie Ip-adresvereisten voor opslag met twee knooppunten controleren voor lokale Azure-voor meer informatie.

Wanneer u vereisten voor IP-adressen voor Azure Local ontwerpt en plant, moet u rekening houden met extra IP-adressen of netwerkbereiken die nodig zijn voor uw workload, buiten de vereisten voor de onderdelen van het lokale Azure-exemplaar en de infrastructuur. Als u van plan bent AKS te implementeren op Azure Local, raadpleegt u AKS ingeschakeld door azure Arc-netwerkvereisten.

Uitgaande netwerkconnectiviteit

Het is belangrijk om inzicht te hebben in de vereisten voor uitgaande netwerkconnectiviteit van Azure Local en deze vereisten in uw ontwerp- en implementatieplan te factoren voordat u de oplossing implementeert. Uitgaande netwerkconnectiviteit is vereist om Azure Local in staat te stellen om te communiceren met Azure en Azure Arc voor beheer- en besturingsvlakbewerkingen. Uitgaande connectiviteit is bijvoorbeeld nodig voor het inrichten van azure Arc-resources, zoals lokale azure-VM's of AKS-clusters, en voor het gebruik van Azure-beheerservices zoals Update Manager en Azure Monitor.

Planning en due diligence vooraf voor het inschakelen van netwerkcommunicatie naar de vereiste openbare eindpunten is van cruciaal belang wanneer u Azure Local integreert in een bestaand on-premises datacenternetwerk. Deze vereiste is vooral belangrijk als u strikte uitgaande regels hebt geconfigureerd op proxy- of firewallapparaten. Als uw netwerkbeveiligingscontroles ssl-inspectietechnologieën (Secure Sockets Layer) bevatten, moet u er ook rekening mee houden dat SSL-inspectie niet wordt ondersteund voor azure-lokale netwerkcommunicatie.

Waarom uitgaande netwerkconnectiviteit belangrijk is

Uitgaande netwerkconnectiviteit is vereist vanuit uw lokale Azure-exemplaar. Deze vereiste omvat de fysieke machines, het Azure Arc-resourcebrugapparaat , AKS-clusters en lokale Azure-VM's als u Azure Arc gebruikt voor het beheer van gastbesturingssystemen van vm's. Deze apparaten hebben lokale agents of diensten die verbinding maken met openbare eindpunten via uitgaande netwerktoegang voor communicatie in realtime, waardoor connectiviteit mogelijk is met de resourceproviders voor het beheer- en besturingsvlak die in Azure werkzaam zijn. Uitgaande connectiviteit is bijvoorbeeld nodig voor operators om de Azure-portal, de Azure CLI of IaC-hulpprogramma's zoals ARM-, Bicep- of Terraform-sjablonen te gebruiken om resources in te richten, ze te beheren of beide acties uit te voeren. Azure en de Azure Arc-resourcebrug werken samen met de aangepaste locatieresource van uw lokale Azure-instantie. Met deze combinatie kunt u zich richten op de specifieke lokale Azure-instantie voor resource CRUD-bewerkingen (maken, lezen, bijwerken of verwijderen) voor uw Azure Arc-workloadbronnen.

Als u connectiviteit wilt inschakelen, configureert u uw firewall, proxy of internetuitgangstechnologie of een combinatie van deze onderdelen om uitgaande toegang tot de vereiste openbare eindpunten toe te staan. Houd rekening met de volgende belangrijke overwegingen voor de vereisten voor een lokaal uitgaand Azure-netwerk.

• Azure Local biedt geen ondersteuning voor SSL-/TLS-pakketinspectie langs een van de netwerkpaden van uw lokale Azure-exemplaren naar de openbare eindpunten. Daarnaast worden Private Link en Azure ExpressRoute niet ondersteund voor de verbinding met de vereiste openbare eindpunten. Zie Firewall-vereisten voor lokale Azure-voor meer informatie.

• Overweeg het gebruik van de Azure Arc-gateway om de connectiviteitsvereisten te vereenvoudigen. Deze aanpak vermindert het aantal vereiste eindpunten dat moet worden toegevoegd aan uw firewall- of proxyregels voor de implementatie en het beheer van Azure Local aanzienlijk.

• Wanneer u Azure Local implementeert met behulp van een proxyserver om de toegang tot uitgaand internetverkeer te regelen en te beheren, controleert u de proxyvereisten.

Monitoring

Inzichten voor Azure Local zijn gebaseerd op Azure Monitor en Log Analytics, wat zorgt voor een altijd up-to-date, schaalbare oplossing die zeer aanpasbaar is. Inzichten biedt toegang tot standaardwerkmappen met basisgegevens, samen met gespecialiseerde werkmappen die zijn gemaakt voor het bewaken van de belangrijkste functies van Azure Local. Deze onderdelen bieden een bijna realtime bewakingsoplossing en maken het mogelijk om grafieken te maken, visualisaties aan te passen via aggregatie en filtering en configuratie van aangepaste waarschuwingsregels voor resourcestatus.

Als u de bewaking en waarschuwingen wilt verbeteren, schakelt u Azure Monitor Insights in op Azure Local. Inzichten kunnen worden geschaald om meerdere on-premises exemplaren te bewaken en te beheren via een consistente Azure-ervaring. Insights maakt gebruik van clusterprestatiemeteritems en gebeurtenislogboekkanalen om de belangrijkste lokale Azure-functies te bewaken. De DCR die is geconfigureerd via Azure Monitor en Log Analytics verzamelt de logboeken.

Updatebeheer

Lokale Azure-exemplaren en de geïmplementeerde workloadresources, zoals lokale azure-VM's, moeten regelmatig worden bijgewerkt en gepatcht. Door regelmatig updates toe te passen, zorgt u ervoor dat uw organisatie een sterke beveiligingspostuur behoudt. U verbetert ook de algehele betrouwbaarheid en ondersteuning van uw activa. U wordt aangeraden automatische en periodieke handmatige evaluaties te gebruiken voor vroege detectie en toepassing van beveiligingspatches en besturingssysteemupdates.

Infrastructuurupdates

Azure Local wordt continu bijgewerkt om de klantervaring te verbeteren en nieuwe functies en functionaliteit te introduceren. Functie-updates worden elke zes maanden geleverd via releasetreinen, met nieuwe versies die zijn uitgebracht in april (YY04) en oktober (Y10). Naast regelmatige functie-updates ontvangt Azure Local maandelijkse cumulatieve updates met verbeteringen in de beveiliging en betrouwbaarheid van het besturingssysteem, evenals updates voor extensies en agents.

Update Manager is een Azure-service die u kunt gebruiken om updates voor Azure Local toe te passen, weer te geven en te beheren. Deze service biedt een mechanisme voor het weergeven van alle lokale Azure-exemplaren in uw hele infrastructuur en edge-locaties die gebruikmaken van Azure Portal om een gecentraliseerde beheerervaring te bieden. Zie de volgende bronnen voor meer informatie:

• Informatie over lokale release van Azure
• Frequentie van lokale levenscyclus van Azure
• Updatefasen van lokale Azure- controleren
• Updatebeheer gebruiken om Azure Local bij te werken

Het is belangrijk om regelmatig te controleren op nieuwe stuurprogramma- en firmware-updates, zoals om de drie tot zes maanden. Als u een Premier Solution-categorieversie gebruikt voor uw lokale Azure-hardware, zijn de SBE-pakketupdates (Solution Builder Extension) geïntegreerd met Update Manager om een vereenvoudigde update-ervaring te bieden. Als u gevalideerde knooppunten of een geïntegreerde systeemcategorie gebruikt, is er mogelijk een vereiste om een OEM-specifiek updatepakket te downloaden en uit te voeren dat de firmware- en stuurprogramma-updates voor uw hardware bevat. Neem contact op met de OEM- of SI-partner van uw hardware om te bepalen hoe updates voor uw hardware worden geleverd.

Patching van gastbesturingssysteem voor workloads

U kunt lokale Azure-VM's inschrijven die in Azure Local zijn geïmplementeerd in Updatebeheer om een uniforme patchbeheerervaring te bieden met behulp van hetzelfde mechanisme dat wordt gebruikt voor het bijwerken van de fysieke machines van het Lokale Azure-exemplaar. U kunt Updatebeheer gebruiken om configuraties voor gastonderhoud te maken. Met deze configuraties kunt u instellingen beheren, zoals de instelling Opnieuw opstarten, indien nodig, de planning (datums, tijden en herhalingsopties) en een dynamische (abonnement) of statische lijst van de lokale Azure-VM's voor het bereik. Deze instellingen bepalen de configuratie voor wanneer beveiligingspatches voor besturingssystemen worden geïnstalleerd in het gastbesturingssysteem van uw workload-VM.

Considerations

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Well-Architected Framework voor meer informatie.

Reliability

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Controlelijst ontwerpbeoordeling voor betrouwbaarheidvoor meer informatie.

De mogelijke storingspunten identificeren

Elke architectuur is vatbaar voor fouten. U kunt anticiperen op fouten en voorbereid zijn met oplossingen door faalmodusanalyse (FMA) te gebruiken. In de volgende tabel worden vier voorbeelden van mogelijke storingspunten in deze architectuur beschreven.

Component	Risk	Likelihood	Impact en risicobeperking	Outage
Azure Local Instance-storing	Stroom-, netwerk-, hardware- of softwarefout	Medium	Om te voorkomen dat een langdurige applicatie-uitval wordt veroorzaakt door het falen van een Azure-local instance voor bedrijfskritieke use cases, moet uw workload worden ontworpen volgens de principes voor hoge beschikbaarheid en herstel na noodgevallen. U kunt bijvoorbeeld industriestandaard technologieën voor workloadgegevensreplicatie gebruiken om meerdere kopieën van permanente statusgegevens te onderhouden die zijn geïmplementeerd met behulp van meerdere lokale Azure-VM's of AKS-exemplaren die zijn geïmplementeerd op afzonderlijke Lokale Azure-exemplaren en op afzonderlijke fysieke locaties.	Mogelijke storing
Azure Local-storing van één fysieke machine	Stroom-, hardware- of softwarefout	Medium	Om een langdurige toepassingsstoring te voorkomen die wordt veroorzaakt door de fout van één lokale Azure-machine, moet uw Lokale Azure-exemplaar meerdere fysieke machines hebben. De capaciteitsvereisten voor uw workload tijdens de ontwerpfase van het cluster bepalen het aantal fysieke machines. U wordt aangeraden drie of meer fysieke machines te hebben. We raden u ook aan om spiegeling in drie richtingen te gebruiken. Dit is de standaardmodus voor opslagtolerantie voor clusters met drie of meer fysieke machines. Als u een SPoF wilt voorkomen en de tolerantie van workloads wilt verhogen, implementeert u meerdere exemplaren van uw workload met behulp van twee of meer lokale Azure-VM's of containerpods die worden uitgevoerd op meerdere AKS-werkknooppunten. Als één machine uitvalt, worden de lokale azure-VM's en workload- of toepassingsservices opnieuw opgestart op de resterende online fysieke machines in het cluster.	Mogelijke storing
Lokale Azure-VM of AKS-werkknooppunt (workload)	Misconfiguration	Medium	Toepassingsgebruikers kunnen zich niet aanmelden of de toepassing openen. Identificeer onjuiste configuraties tijdens de implementatie. Als deze fouten optreden tijdens een configuratie-update, moet het DevOps-team wijzigingen terugdraaien. U kunt de VM indien nodig opnieuw implementeren. Het opnieuw implementeren duurt minder dan 10 minuten, maar kan langer duren op basis van het type implementatie.	Mogelijke storing
Connectiviteit met Azure	Netwerkstoring	Medium	Azure Local vereist dat netwerkconnectiviteit met Azure beschikbaar is voor besturingsvlakbewerkingen. Als u bijvoorbeeld nieuwe lokale Azure-VM's of AKS-clusters wilt inrichten, oplossingsupdates wilt installeren met Updatebeheer of de status van het exemplaar wilt bewaken met behulp van Azure Monitor. Als de connectiviteit met Azure niet beschikbaar is, werkt het exemplaar in een gedegradeerde status, waarbij deze mogelijkheden niet beschikbaar zijn. Bestaande workloads die al worden uitgevoerd op Azure Local, blijven echter actief. Als de netwerkverbinding met Azure niet binnen 30 dagen wordt hersteld, voert het exemplaar de status Out Of Policy in, waardoor de functionaliteit kan worden beperkt. Het Azure-resourcebrugapparaat kan langer dan 45 dagen niet offline zijn , omdat deze inactiviteit van invloed kan zijn op de geldigheid van de beveiligingssleutel die wordt gebruikt voor verificatie.	Beheerbewerkingen zijn niet beschikbaar

Zie Aanbevelingen voor het uitvoeren van FMA voor meer informatie.

Betrouwbaarheidsdoelen

In deze sectie wordt een voorbeeldscenario beschreven. Een fictieve klant, bekend als Contoso Manufacturing , gebruikt deze referentiearchitectuur om Azure Local te implementeren. Ze willen hun vereisten aanpakken en workloads on-premises implementeren en beheren. Contoso Manufacturing heeft een intern SLO-doel (Service Level Objective) van 99,8% dat belanghebbenden van bedrijven en toepassingen akkoord gaan met hun services.

• Een SLO van 99,8% uptime of beschikbaarheid resulteert in de volgende perioden van toegestane downtime of onbeschikbaarheid voor de toepassingen die zijn geïmplementeerd met behulp van lokale Azure-VM's die worden uitgevoerd op Azure Local:

  • Wekelijks: 20 minuten en 10 seconden

  • Maandelijks: 1 uur, 26 minuten en 56 seconden

  • Kwartaal: 4 uur, 20 minuten en 49 seconden

  • Jaarlijks: 17 uur, 23 minuten en 16 seconden

• Om te helpen voldoen aan de SLO-doelen, implementeert Contoso Manufacturing het principe van minimale bevoegdheid (PoLP) om het aantal lokale Azure-exemplaarbeheerders te beperken tot een kleine groep vertrouwde en gekwalificeerde personen. Deze aanpak helpt downtime te voorkomen vanwege onbedoelde of per ongeluk uitgevoerde acties op productiebronnen. Bovendien worden de beveiligingsgebeurtenislogboeken voor on-premises AD DS-domeincontrollers (Active Directory Domain Services) bewaakt om wijzigingen in groepslidmaatschappen van gebruikersaccounts, ook wel acties toevoegen en verwijderen genoemd, te detecteren en te rapporteren voor de groep Beheerders van lokale Exemplaren van Azure die een SIEM-oplossing gebruikt. Bewaking verhoogt de betrouwbaarheid en verbetert de beveiliging van de oplossing.

  Zie Aanbevelingen voor identiteits- en toegangsbeheervoor meer informatie.

• strikte procedures voor wijzigingsbeheer zijn ingesteld voor de productiesystemen van Contoso Manufacturing. Dit proces vereist dat alle wijzigingen vóór de implementatie in productie worden getest en gevalideerd in een representatieve testomgeving. Alle wijzigingen die zijn ingediend bij het wekelijkse wijzigingsadviesbordproces, moeten een gedetailleerd implementatieplan (of koppeling naar broncode) bevatten, een score op risiconiveau, een uitgebreid terugdraaiplan, tests na de release en verificatie, en duidelijke succescriteria voor een wijziging die moet worden beoordeeld of goedgekeurd.

  Zie Aanbevelingen voor veilige implementatieproceduresvoor meer informatie.

• Maandelijkse beveiligingspatches en driemaandelijkse basislijnupdates worden pas toegepast op lokale Azure-productie-exemplaren nadat ze zijn gevalideerd door de preproductieomgeving. Updatebeheer en de functie voor het bijwerken van clusters automatiseren het proces van het gebruik van livemigratie van vm's om downtime voor bedrijfskritieke workloads tijdens de maandelijkse onderhoudsbewerkingen te minimaliseren. Voor de standaardbesturingssystemen van Contoso Manufacturing is vereist dat er binnen vier weken na de releasedatum beveiligings-, betrouwbaarheids- of basislijnbuildupdates worden toegepast op alle productiesystemen. Zonder dit beleid kunnen productiesystemen voortdurend niet op de hoogte blijven van maandelijkse besturingssysteem- en beveiligingsupdates. Verouderde systemen hebben een negatieve invloed op de betrouwbaarheid en beveiliging van het platform.

  Zie Aanbevelingen voor het instellen van een beveiligingsbasislijnvoor meer informatie.

• Contoso Manufacturing implementeert dagelijkse, wekelijkse en maandelijkse back-ups om de laatste 6 x dagen van dagelijkse back-ups (maandagen tot zaterdagen), de laatste 3 x wekelijks (elke zondag) en 3 x maandelijkse back-ups te behouden, waarbij elke zondag 4 wordt bewaard om de maand 1, maand 2 en 3 back-ups te worden met behulp van een doorlopend kalenderschema dat is gedocumenteerd en controleerbaar wordt. Deze benadering voldoet aan de vereisten voor Contoso Manufacturing voor een adequate balans tussen het aantal beschikbare gegevensherstelpunten en het verlagen van de kosten voor de offsite- of cloudback-upopslagservice.

  Zie Aanbevelingen voor het ontwerpen van een DR-strategie voor meer informatie.

• processen voor back-up en herstel van gegevens worden elke zes maanden getest voor elk bedrijfssysteem. Deze strategie biedt zekerheid dat BCDR-processen geldig zijn en dat het bedrijf wordt beschermd als er zich een datacenterramp of cyberincident voordoet.

  Zie Aanbevelingen voor het ontwerpen van een strategie voor betrouwbaarheidstestsvoor meer informatie.

• De operationele processen en procedures die eerder in het artikel zijn beschreven, en de aanbevelingen in de Well-Architected Framework-servicehandleiding voor Azure Local, stellen Contoso Manufacturing in staat om te voldoen aan hun SLO-doel van 99,8% en om azure lokaal en workloadimplementaties effectief te schalen en te beheren op meerdere productielocaties die over de hele wereld worden gedistribueerd.

  Zie Aanbevelingen voor het definiëren van betrouwbaarheidsdoelenvoor meer informatie.

Redundancy

Overweeg een workload die u in één lokaal Azure-exemplaar implementeert als een lokaal redundante implementatie. Het cluster biedt hoge beschikbaarheid op platformniveau, maar je moet het cluster in één rack implementeren. Voor bedrijfskritieke of bedrijfskritieke gebruiksscenario's raden we u aan om meerdere exemplaren van een workload of service te implementeren in twee of meer afzonderlijke Lokale Azure-exemplaren, in het ideale geval op afzonderlijke fysieke locaties.

Gebruik industriestandaard, HA-patronen voor workloads die actieve/passieve replicatie, synchrone replicatie of asynchrone replicatie bieden, zoals SQL Server Always On. U kunt ook een nlB-technologie (External Network Load Balancing) gebruiken waarmee gebruikersaanvragen worden gerouteerd over de meerdere workloadexemplaren die worden uitgevoerd op lokale Azure-exemplaren die u op afzonderlijke fysieke locaties implementeert. Overweeg het gebruik van een extern NLB-apparaat van een partner. U kunt ook de opties voor taakverdeling evalueren die verkeersroutering ondersteunen voor hybride en on-premises services, zoals een Azure Application Gateway-exemplaar dat gebruikmaakt van ExpressRoute of een VPN-tunnel om verbinding te maken met een on-premises service.

Zie Aanbevelingen voor het ontwerpen van redundantievoor meer informatie.

Security

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie voor meer informatie controlelijst ontwerpbeoordeling voor Security.

• Een veilige basis voor het Lokale Azure-platform:Azure Local is een beveiligd standaardproduct dat gebruikmaakt van gevalideerde hardwareonderdelen met een TPM, UEFI en Secure Boot om een veilige basis te bouwen voor het lokale Azure-platform en de workloadbeveiliging. Wanneer Azure Local wordt geïmplementeerd met de standaardbeveiligingsinstellingen, is Toepassingsbeheer, Credential Guard en BitLocker ingeschakeld. Als u het delegeren van machtigingen wilt vereenvoudigen met behulp van poLP, gebruikt u lokale ingebouwde RBAC-rollen (op rollen gebaseerd toegangsbeheer), zoals Azure Local Administrator voor platformbeheerders en Azure Local VM-inzender of Azure Local VM Reader voor workloadoperators.

• Standaardbeveiligingsinstellingen: Azure Local past tijdens de implementatie standaardbeveiligingsinstellingen toe voor uw Lokale Azure-exemplaar en maakt driftbeheer mogelijk om de fysieke machines in een bekende goede staat te houden. U kunt de standaardinstellingen voor beveiliging gebruiken om clusterbeveiliging, driftbeheer en beveiligde kernserverinstellingen in uw cluster te beheren.

• Logboeken voor beveiligingsgebeurtenissen:Lokaal syslog-doorsturen van Azure kan worden geïntegreerd met beveiligingsbewakingsoplossingen door relevante beveiligingsgebeurtenislogboeken op te halen om gebeurtenissen te aggregeren en op te slaan voor retentie in uw eigen SIEM-platform.

• Bescherming tegen bedreigingen en beveiligingsproblemen:Defender for Cloud beschermt uw Lokale Azure-exemplaar tegen verschillende bedreigingen en beveiligingsproblemen. Deze service helpt de beveiligingspostuur van uw Lokale Azure-omgeving te verbeteren en kan bescherming bieden tegen bestaande en veranderende bedreigingen.

• Detectie en herstel van bedreigingen:Microsoft Advanced Threat Analytics detecteert en herstelt bedreigingen, zoals bedreigingen die gericht zijn op AD DS, die verificatieservices bieden aan lokale Azure-exemplaarmachines en hun Windows Server-VM-workloads.

• netwerkisolatie: netwerken isoleren indien nodig. U kunt bijvoorbeeld meerdere logische netwerken inrichten die gebruikmaken van afzonderlijke VLAN's en netwerkadresbereiken. Wanneer u deze aanpak gebruikt, moet u ervoor zorgen dat het beheernetwerk elk logisch netwerk en VLAN kan bereiken, zodat fysieke machines van Azure Local instance kunnen communiceren met de VLAN-netwerken via de ToR-switches of -gateways. Deze configuratie is vereist voor het beheer van de workload, zoals het toestaan van agents voor infrastructuurbeheer om te communiceren met het gastbesturingssysteem van de workload.

  Zie Aanbevelingen voor het bouwen van een segmentatiestrategievoor meer informatie.

Kostenoptimalisatie

Kostenoptimalisatie richt zich op manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie controlelijst ontwerpbeoordeling voor kostenoptimalisatievoor meer informatie.

• Factureringsmodel in cloudstijl voor licenties: Azure Local-prijzen volgen het factureringsmodel voor maandelijkse abonnementen met een vast tarief voor elke fysieke processorkern in een lokaal Azure-exemplaar. Er gelden extra gebruikskosten als u andere Azure-services gebruikt. Als u eigenaar bent van on-premises kernlicenties voor Windows Server Datacenter-editie met actieve Software Assurance, kunt u ervoor kiezen om deze licenties uit te wisselen voor het activeren van lokale Azure-exemplaren en abonnementskosten voor Windows Server-VM's.

• Automatische VM-gastpatching voor lokale Azure-VM's: Deze functie helpt de overhead van handmatig patchen en de bijbehorende onderhoudskosten te verminderen. Deze actie helpt niet alleen het systeem veiliger te maken, maar optimaliseert ook de toewijzing van resources en draagt bij aan de algehele kostenefficiëntie.

• Consolidatie van kostenbewaking: Als u bewakingskosten wilt consolideren, gebruikt u Azure Local Insights en patcht u met behulp van Update Manager voor Azure Local. Azure Local Insights maakt gebruik van Azure Monitor om uitgebreide metrische gegevens en waarschuwingsmogelijkheden te bieden. Het levenscyclusbeheeronderdeel van Azure Local kan worden geïntegreerd met Update Manager om de taak van het houden van uw clusters up-to-date te vereenvoudigen door updatewerkstromen voor verschillende onderdelen in één ervaring samen te voegen. Gebruik Azure Monitor en Update Manager om resourcetoewijzing te optimaliseren en bij te dragen aan de algehele kostenefficiëntie.

  Zie Aanbevelingen voor het optimaliseren van personeelstijdvoor meer informatie.

• Initiële workloadcapaciteit en groei: Wanneer u uw lokale Azure-implementatie plant, moet u rekening houden met uw initiële workloadcapaciteit, tolerantievereisten en toekomstige overwegingen voor groei. Overweeg of u een switchloze architectuur met twee, drie of vier knooppunten kunt gebruiken om kosten te verlagen, zoals het verwijderen van de noodzaak om netwerkswitches van opslagklasse aan te schaffen. Het aanschaffen van extra opslagklassenetwerkswitches kan een duur onderdeel zijn van nieuwe implementaties van lokale Azure-exemplaren. In plaats daarvan kunt u bestaande switches gebruiken voor beheer- en rekennetwerken, waardoor de infrastructuur eenvoudiger wordt. Als de capaciteit en veerkracht van uw werkbelasting niet groter zijn dan een configuratie met vier knooppunten, kunt u overwegen om bestaande switches voor het beheer- en rekennetwerk te gebruiken en de switcheloze opslagarchitectuur te gebruiken om Azure Local te implementeren.

  Zie Aanbevelingen voor het optimaliseren van de kosten van onderdelenvoor meer informatie.

Tip

U kunt de kosten verlagen via Azure Hybrid Benefit, als u Windows Server Datacenter-licenties hebt die actieve Software Assurance bevatten. Zie Azure Hybrid Benefit voor Azure Localvoor meer informatie.

Operationele uitmuntendheid

Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Zie controlelijst ontwerpbeoordeling voor Operational Excellencevoor meer informatie.

• Vereenvoudigde inrichtings- en beheerervaring geïntegreerd met Azure: De cloudimplementatie in Azure biedt een wizardgestuurde interface die laat zien hoe u een lokaal Azure-exemplaar maakt. Op dezelfde manier vereenvoudigt Azure het proces van het beheren van lokale Azure-exemplaren en lokale Azure-VM's. U kunt de implementatie op basis van de portal van het lokale Azure-exemplaar automatiseren met behulp van deze ARM-sjabloon. Het gebruik van sjablonen biedt consistentie en automatisering om Azure Local op schaal te implementeren, met name in edge-scenario's zoals winkels of productiesites waarvoor een Lokaal Azure-exemplaar is vereist om bedrijfskritieke workloads uit te voeren.

• Automatiseringsmogelijkheden voor virtuele Azure-machines: Azure Local biedt een breed scala aan automatiseringsmogelijkheden voor het beheren van workloads, zoals lokale Azure-VM's. Deze mogelijkheden omvatten de geautomatiseerde implementatie van lokale Azure-VM's met behulp van de Azure CLI, ARM-sjablonen of Bicep-sjablonen. Updates van vm-besturingssystemen worden geleverd via de Azure Arc-extensie voor updates en UpdateBeheer, die updates toepast op elk lokaal Azure-exemplaar. Azure Local biedt ook ondersteuning voor Azure Local VM-beheer met behulp van de Azure CLI en niet-Azure Lokale VM's met behulp van Windows PowerShell. U kunt de Azure CLI-opdrachten lokaal uitvoeren vanaf een van de lokale Azure-machines of op afstand vanaf een beheercomputer. Integratie met Azure Automation en Azure Arc vereenvoudigt een breed scala aan extra automatiseringsscenario's voor VM-workloads via Azure Arc-extensies.

  Zie Aanbevelingen voor het gebruik van IaC-voor meer informatie.

• Automatiseringsmogelijkheden voor containers in AKS: Azure Local biedt een breed scala aan automatiseringsmogelijkheden voor het beheren van workloads, zoals containers, op AKS. U kunt de implementatie van AKS-clusters automatiseren met behulp van de Azure CLI. Gebruik de Azure Arc-extensie voor Kubernetes-updates om AKS-workloadclusters bij te werken. U kunt AKS met Azure Arc ook beheren met behulp van de Azure CLI. U kunt de Azure CLI-opdrachten lokaal uitvoeren vanaf een van de lokale Azure-machines of op afstand vanaf een beheercomputer. Integreer met Azure Arc voor een breed scala aan extra automatiseringsscenario's voor containerworkloads via Azure Arc-extensies.

  Zie de volgende bronnen voor meer informatie:

  • Aanbevelingen voor het inschakelen van automatisering
  • Beheermogelijkheden van VM's vergelijken in Azure Local

Prestatie-efficiëntie

Prestatie-efficiëntie verwijst naar de mogelijkheid van uw workload om efficiënt te voldoen aan de behoeften van de gebruiker. Zie controlelijst ontwerpbeoordeling voor prestatie-efficiëntievoor meer informatie.

• Prestaties van workloadopslag: Overweeg het hulpprogramma DiskSpd te gebruiken om de prestaties van workloadopslagmogelijkheden van een lokaal Azure-exemplaar te testen. U kunt het hulpprogramma VMFleet gebruiken om belasting te genereren en de prestaties van een opslagsubsysteem te meten. Bepaal of u VMFleet moet gebruiken om de prestaties van het opslagsubsysteem te meten.

  U wordt aangeraden een basislijn vast te stellen voor de prestaties van uw lokale Azure-exemplaren voordat u productieworkloads implementeert. DiskSpd maakt gebruik van verschillende opdrachtregelparameters waarmee beheerders de opslagprestaties van het cluster kunnen testen. De belangrijkste functie van DiskSpd is het uitgeven van lees- en schrijfbewerkingen en metrische gegevens over uitvoerprestaties, zoals latentie, doorvoer en IOPS.

  Zie Aanbevelingen voor prestatietestsvoor meer informatie.

• Tolerantie voor workloadopslag: Houd rekening met de voordelen van opslagtolerantie, efficiëntie van gebruik (of capaciteit) en prestaties. Het plannen van lokale Azure-volumes omvat het identificeren van de optimale balans tussen tolerantie, gebruiksefficiëntie en prestaties. Het kan lastig zijn om dit evenwicht te optimaliseren, omdat het maximaliseren van een van deze kenmerken doorgaans een negatief effect heeft op een of meer van de andere kenmerken. Door de tolerantie te vergroten, wordt de bruikbare capaciteit verminderd. Als gevolg hiervan kunnen de prestaties variëren, afhankelijk van het gekozen tolerantietype. Wanneer tolerantie en prestaties de prioriteit hebben en wanneer u drie of meer fysieke machines gebruikt, maakt de standaardopslagconfiguratie gebruik van spiegeling in drie richtingen voor zowel infrastructuur- als gebruikersvolumes.

  Zie Aanbevelingen voor capaciteitsplanningvoor meer informatie.

• Optimalisatie van netwerkprestaties: Overweeg optimalisatie van netwerkprestaties. Zorg er als onderdeel van uw ontwerp voor dat u de bandbreedtetoewijzing voor geprojecteerd netwerkverkeer opneemt wanneer u de optimale netwerkhardwareconfiguratie bepaalt.

  Als u de rekenprestaties in Azure Local wilt optimaliseren, kunt u GPU-versnelling gebruiken. GPU-versnelling is nuttig voor high-performance AI- of machine learning-workloads die gegevensinzichten of deductie omvatten. Deze workloads vereisen implementatie op edge-locaties vanwege overwegingen zoals de ernst van gegevens of beveiligingsvereisten. In een hybride implementatie of on-premises implementatie is het belangrijk om rekening te houden met de prestatievereisten van uw workload, inclusief GPU's. Deze aanpak helpt u bij het selecteren van de juiste services wanneer u uw lokale Azure-exemplaren ontwerpt en aanschaft.

  Zie Aanbevelingen voor het selecteren van de juiste services voor meer informatie.

Dit scenario implementeren

De volgende sectie bevat een voorbeeldlijst met de taken op hoog niveau of een typische werkstroom die wordt gebruikt voor het implementeren van Azure Local, inclusief vereiste taken en overwegingen. Deze werkstroomlijst is alleen bedoeld als voorbeeldhandleiding. Het is geen volledige lijst met alle vereiste acties, die kunnen variëren op basis van organisatie-, geografische of projectspecifieke vereisten.

In dit scenario moet u voor een project of use-case een hybride cloudoplossing implementeren op een on-premises of edge-locatie om lokale berekeningen te leveren voor gegevensverwerking. Er is ook behoefte aan het onderhouden van azure-consistente beheer- en factureringservaringen. Meer informatie vindt u in de sectie Potentiële gebruiksvoorbeelden van dit artikel. In de resterende stappen wordt ervan uitgegaan dat Azure Local de gekozen infrastructuurplatformoplossing voor het project is.

1. Verzamel workload- en use-casevereisten van relevante belanghebbenden. Met deze strategie kan het project bevestigen dat de functies en mogelijkheden van Azure Local voldoen aan de workloadschaal, prestaties en functionaliteitsvereisten. Dit controleproces moet inzicht hebben in de schaal of grootte van de werkbelasting en de vereiste functies, zoals lokale Azure-VM's, AKS, Virtual Desktop of gegevensservices met Azure Arc of de Machine Learning-service met Azure Arc. De RTO- en RPO-waarden (betrouwbaarheid) van de werkbelasting en andere niet-functionele vereisten (schaalbaarheid van prestaties en belasting) moeten worden gedocumenteerd als onderdeel van deze stap.

2. Bekijk de uitvoer van de Azure Local Sizer voor de aanbevolen hardware partner oplossing. Deze uitvoer bevat details van de aanbevolen fysieke serverhardware en het model, het aantal fysieke machines en de specificaties voor de CPU, het geheugen en de opslagconfiguratie voor elk fysiek knooppunt om uw workloads te implementeren en uit te voeren.

3. Gebruik het hulpprogramma voor lokale sizing van Azure om een nieuw project te maken dat het workloadtype en de schaal modelleert. Dit project bevat de grootte en het aantal VM's en hun opslagvereisten. Deze details worden samen met opties voor het systeemtype, de voorkeurs-CPU-familie en uw tolerantievereisten voor fouttolerantie voor hoge beschikbaarheid en opslag ingevoerd, zoals wordt uitgelegd in de sectie Ontwerpopties voor clusters .

4. Bekijk de uitvoer van Azure Local Sizer voor de aanbevolen hardware partner oplossing. Deze oplossing bevat details van de aanbevolen fysieke serverhardware (merk en model), het aantal fysieke machines en de specificaties voor de CPU, het geheugen en de opslagconfiguratie voor elk fysiek knooppunt om uw workloads te implementeren en uit te voeren.

5. Neem contact op met de hardware-OEM of SI-partner om de geschiktheid van de aanbevolen hardwareversie te kwalificeren ten opzichte van uw workloadvereisten. Indien beschikbaar, gebruikt u OEM-specifieke groottehulpprogramma's om OEM-specifieke hardwaregroottevereisten te bepalen voor de beoogde werkbelastingen. Deze stap omvat doorgaans discussies met de hardware-OEM of SI-partner voor de commerciële aspecten van de oplossing. Deze aspecten omvatten offertes, beschikbaarheid van de hardware, levertijden en eventuele professionele of waardetoevoegende services die de partner biedt om uw project of bedrijfsresultaten te versnellen.

6. Implementeer twee ToR-switches voor netwerkintegratie. Voor HA-oplossingen moeten voor Lokale Azure-exemplaren twee ToR-switches worden geïmplementeerd. Voor elke fysieke machine zijn vier NIC's vereist, waarvan twee RDMA-geschikt zijn, die twee koppelingen van elke computer naar de twee ToR-switches biedt. Twee NIC's, één verbonden met elke switch, zijn geconvergeerd voor uitgaande noord-zuid-connectiviteit voor de reken- en beheernetwerken. De andere twee RDMA-compatibele NIC's zijn toegewezen voor het oost-west-opslagverkeer. Als u van plan bent bestaande netwerkswitches te gebruiken, moet u ervoor zorgen dat het merk en model van uw switches zich in de goedgekeurde lijst met netwerkswitches bevinden die worden ondersteund door azure Local.

7. Werk samen met de hardware-OEM of SI-partner om de levering van de hardware te regelen. De SI-partner of uw werknemers moeten vervolgens de hardware integreren in uw on-premises datacenter of edge-locatie, zoals het in racken en stapelen van de hardware, het fysieke netwerk en het bekabelen van de voedingseenheid voor de fysieke machines.

8. Voer de implementatie van het lokale Azure-exemplaar uit. Afhankelijk van de gekozen oplossingsversie (Premier Solution, Integrated System of Validated Node), kunnen de hardwarepartner, SI-partner of uw werknemers de lokale Azure-software implementeren. Deze stap begint met het onboarden van de fysieke machines van het Azure Stack HCI-besturingssysteem op servers met Azure Arc en vervolgens het implementatieproces van de lokale Azure-cloud te starten. Klanten en partners kunnen rechtstreeks een ondersteuningsaanvraag indienen bij Microsoft in De Azure-portal door het pictogram Ondersteuning en probleemoplossing te selecteren of door contact op te maken met hun HARDWARE-OEM of SI-partner, afhankelijk van de aard van de aanvraag en de categorie hardwareoplossing.

   Tip

   Het Azure Stack HCI-besturingssysteem, versie 23H2-systeemverwijzingsimplementatie , laat zien hoe u een overgeschakelde implementatie met meerdere knooppunten van Azure Local implementeert met behulp van een ARM-sjabloon en parameterbestand. U kunt ook het Bicep-voorbeeld laten zien hoe u een Bicep-sjabloon kunt gebruiken om een lokaal Exemplaar van Azure te implementeren, inclusief de vereiste resources.

9. Implementeer maximaal beschikbare workloads in Azure Local met behulp van Azure Portal, CLI of ARM + Azure Arc-sjablonen voor automatisering. Gebruik de aangepaste locatieresource van het nieuwe Lokale Azure-exemplaar als doelregio wanneer u workloadresources implementeert, zoals lokale Azure-VM's, AKS- en Virtual Desktop-sessiehosts of andere Azure Arc-services die u kunt inschakelen via AKS-extensies en containerisatie in Azure Local.

10. Installeer maandelijkse updates om de beveiliging en betrouwbaarheid van het platform te verbeteren. Als u uw lokale Azure-exemplaren up-to-date wilt houden, is het belangrijk om Microsoft-software-updates en hardware-OEM-stuurprogramma's en firmware-updates te installeren. Deze updates verbeteren de beveiliging en betrouwbaarheid van het platform. Update Manager past de updates toe en biedt een gecentraliseerde en schaalbare oplossing voor het installeren van updates in één cluster of meerdere clusters. Neem contact op met uw hardware-OEM-partner om het proces voor het installeren van hardwarestuurprogramma's en firmware-updates te bepalen, omdat dit proces kan variëren, afhankelijk van het type hardwareoplossingscategorie (Premier Solution, Integrated System of Validated Node). Zie Infrastructuurupdates voor meer informatie.

Verwante middelen

• ontwerp van hybride architectuur
• hybride opties van Azure
• Beheer van SQL Server-exemplaren in on-premises en omgevingen met meerdere clouds optimaliseren met behulp van Azure Arc

Volgende stappen

Microsoft Learn productdocumentatie:

• Informatie over lokale release van Azure
• AKS in lokale Azure-
• Virtual Desktop in Azure Local
• Wat is lokale bewaking van Azure?
• VM-workloads beveiligen met Behulp van Site Recovery in Azure Local
• Overzicht van Azure Monitor
• overzicht van wijzigingen bijhouden en inventaris
• Overzicht van Updatebeheer
• Wat zijn gegevensservices met Azure Arc?
• Wat zijn servers met Azure Arc?
• Wat is de Backup-service?
• Overzicht van Azure Automation
• Azure Automation State Configuration
• Inleiding tot Kubernetes-rekendoel in Machine Learning

Azure productdocumentatie

• Azure Lokaal
• Azure Arc
• Key Vault
• Azure Blob Storage-
• Azure Monitor
• Azure Policy
• Azure Container Registry-
• Defender for Cloud-
• Site Recovery
• Backup

Training voor Microsoft Learn:

• Azure Monitor configureren
• Een oplossing ontwerpen voor back-up en herstel na noodgevallen
• Inleiding tot Azure Arc
• Inleiding tot AKS-
• uw VM's bijgewerkt houden
• uw VM's beveiligen met back-up

Andere middelen:

• implementatie van schaalmodel met Machine Learning overal - Tech Community Blog
• Machine Learning overal realiseren met AKS- en Azure Arc-enabled Machine Learning - Tech Community Blog
• Machine learning in AKS hybrid en Azure Local met behulp van machine learning met Azure Arc - Tech Community-blog

Deze referentiearchitectuur van de basislijn biedt workloadagnostische richtlijnen en aanbevelingen voor het configureren van de lokale infrastructuur van Azure 2311 en hoger om een betrouwbaar platform te bieden voor maximaal beschikbare gevirtualiseerde en containerworkloads. In deze architectuur worden de resourceonderdelen en clusterontwerpkeuzes beschreven voor de fysieke machines die lokale reken-, opslag- en netwerkmogelijkheden bieden. Ook wordt beschreven hoe u Azure-services gebruikt om het dagelijkse beheer van Azure Local te vereenvoudigen voor bewerkingen op schaal.

Zie de inhoud in het navigatiemenu van de Lokale Azure-workloads voor meer informatie over patronen van workloadarchitectuur die zijn geoptimaliseerd voor uitvoering in Azure Local.

Deze architectuur is een uitgangspunt voor het gebruik van het netwerkontwerp van opslagswitche om een lokaal Azure-exemplaar met meerdere knooppunten te implementeren. De workloadtoepassingen die zijn geïmplementeerd op een lokaal Azure-exemplaar, moeten goed worden ontworpen. Goed ontworpen workloadtoepassingen moeten worden geïmplementeerd met behulp van meerdere exemplaren of hoge beschikbaarheid (HA) van kritieke workloadservices en geschikte BCDR-besturingselementen (Business Continuity and Disaster Recovery) hebben. Deze BCDR-besturingselementen omvatten regelmatige back-ups en mogelijkheden voor noodherstelfailover. Als u zich wilt richten op het HCI-infrastructuurplatform (Hyperconverged Infrastructure), worden deze aspecten van het ontwerp van workloads opzettelijk uitgesloten van dit artikel.

Zie de Azure Local Well-Architected Framework-servicehandleidingvoor meer informatie over richtlijnen en aanbevelingen voor de vijf pijlers van het Azure Well-Architected Framework.

Artikelindeling

Architecture	Ontwerpbeslissingen	Well-Architected Framework-benadering
▪ Architectuur ▪ Onderdelen ▪ Platformbronnen ▪ Platform-ondersteunende resources ▪ Scenariodetails ▪ Azure Arc gebruiken met Azure Local ▪ Profiteren van de standaardbeveiligingsconfiguratie van Azure Local ▪ Mogelijke gebruiksvoorbeelden ▪ Dit scenario implementeren	▪ ▪ fysieke schijfstations ▪ Netwerkontwerp ▪ Toezicht ▪ Updatebeheer	▪ Betrouwbaarheid ▪ Veiligheid ▪ Kostenoptimalisatie ▪ Operationele uitmuntendheid ▪ Prestatie-efficiëntie

Tip

Deze lokale Azure-sjabloon laat zien hoe u een Arm-sjabloon (Azure Resource Manager) en parameterbestand gebruikt om een overgeschakelde implementatie met meerdere servers van Azure Local te implementeren. In het Bicep-voorbeeld ziet u ook hoe u een Bicep-sjabloon gebruikt om een lokaal Azure-exemplaar en de bijbehorende vereisten-resources te implementeren.

Architecture

In het architectuurdiagram ziet u een lokale Azure-omgeving die is verbonden met Azure. De on-premises omgeving bevat een lokaal Azure-cluster met meerdere knooppunten. Het cluster is verbonden met dubbele ToR-switches voor netwerkconnectiviteit. In de Azure-omgeving ziet u verschillende Azure-services die zijn geïntegreerd met Azure Local. Deze services omvatten Azure Arc, Azure Monitor, Azure Key Vault, Azure Policy, Microsoft Defender for Cloud, Azure Update Manager, Azure Backup en Azure Site Recovery.

Zie Verwante resources voor meer informatie.

Components

Deze architectuur bestaat uit fysieke serverhardware die u kunt gebruiken voor het implementeren van lokale Azure-exemplaren op on-premises of edge-locaties. Om de platformmogelijkheden te verbeteren, integreert Azure Local met Azure Arc en andere Azure-services die ondersteunende resources bieden. Azure Local biedt een flexibel platform voor het implementeren, beheren en gebruiken van gebruikerstoepassingen of bedrijfssystemen. Platformbronnen en -services worden beschreven in de volgende secties.

Platformbronnen

• Azure Local is een HCI-oplossing die on-premises of in edge-locaties wordt geïmplementeerd en gebruikmaakt van hardware- en netwerkinfrastructuur van fysieke servers. Azure Local biedt een platform voor het implementeren en beheren van gevirtualiseerde workloads, zoals virtuele machines (VM's), Kubernetes-clusters en andere services die Azure Arc inschakelt. Lokale Azure-exemplaren kunnen worden geschaald van een implementatie met één machine tot maximaal 16 fysieke machines met behulp van gevalideerde, geïntegreerde of premium hardwarecategorieën die oem-partners (original equipment manufacturer) bieden. In deze architectuur biedt Azure Local het kernplatform voor het hosten en beheren van gevirtualiseerde en containerworkloads on-premises of aan de rand.

• Azure Arc is een cloudservice die het beheermodel uitbreidt op basis van Resource Manager naar lokale Azure-locaties en andere niet-Azure-locaties. Azure Arc gebruikt Azure als besturings- en beheervlak om het beheer van verschillende resources mogelijk te maken, zoals VM's, Kubernetes-clusters en containergegevens en machine learning-services. In deze architectuur maakt Azure Arc gecentraliseerd beheer en beheer mogelijk van resources die zijn geïmplementeerd op Azure Local via het Azure-besturingsvlak.

• Azure Key Vault- is een cloudservice die u kunt gebruiken om geheimen veilig op te slaan en te openen. Een geheim is alles waartoe u de toegang strikt wilt beperken, zoals API-sleutels, wachtwoorden, certificaten, cryptografische sleutels, lokale beheerdersreferenties en BitLocker-herstelsleutels. In deze architectuur beveiligt Key Vault gevoelige informatie en referenties die worden gebruikt door workloads en infrastructuuronderdelen in Azure Local.

• Cloudwitness is een functie die gebruikmaakt van Azure Storage om te fungeren als een failoverclusterquorum. Azure Local (alleen twee machine-instanties) maakt gebruik van een cloud witness als de quorum voor stemmen, wat zorgt voor HA voor het cluster. Het opslagaccount en de witness-configuratie worden gemaakt tijdens het implementatieproces van de Lokale Azure-cloud. In deze architectuur biedt cloudwitness quorum voor clusters met twee knooppunten om hoge beschikbaarheid te behouden.

• Azure Update Manager is een geïntegreerde service die is ontworpen voor het beheren en beheren van updates voor Azure Local. U kunt Updatebeheer gebruiken voor het beheren van workloads die zijn geïmplementeerd in Azure Local, inclusief updatenaleving van gastbesturingssystemen voor Windows- en Linux-VM's die kunnen worden ingeschakeld met behulp van Azure Policy. Met deze geïntegreerde benadering wordt patchbeheer gecentraliseerd in Azure, on-premises omgevingen en andere cloudplatforms via één dashboard. In deze architectuur biedt Update Manager gecentraliseerd update- en patchbeheer voor zowel infrastructuur als workloads.

Platform-ondersteunende resources

• Azure Monitor is een cloudservice voor het verzamelen, analyseren en uitvoeren van diagnostische logboeken en telemetrie van cloud- en on-premises workloads. U kunt Azure Monitor gebruiken om de beschikbaarheid en prestaties van uw toepassingen en services te maximaliseren via een bewakingsoplossing. Implementeer Inzichten voor Azure Local om het maken van de Azure Monitor-regel voor gegevensverzameling (DCR) te vereenvoudigen en bewaking van lokale Azure-exemplaren in te schakelen. In deze architectuur biedt Azure Monitor bewaking en telemetrie voor lokale Azure-clusters en -workloads.

• Azure Policy is een service die Azure- en on-premises resources evalueert. Azure Policy evalueert resources via integratie met Azure Arc met behulp van de eigenschappen van deze resources naar bedrijfsregels, ook wel beleidsdefinities genoemd, om naleving of mogelijkheden te bepalen die u kunt gebruiken om de configuratie van VM-gasten toe te passen via beleidsinstellingen. In deze architectuur biedt Azure Policy een controle- en nalevingsmogelijkheid voor de beveiligingsconfiguratie van het besturingssysteem van lokale Azure-machines. De instellingen worden voortdurend toegepast met behulp van driftbesturing.

• Defender for Cloud is een beveiligingsbeheersysteem voor infrastructuur. Het verbetert de beveiligingspostuur van datacenters en biedt geavanceerde bedreigingsbeveiliging voor hybride workloads, ongeacht of ze zich in Azure of elders bevinden, en in on-premises omgevingen. In deze architectuur biedt Defender for Cloud beveiligingsbewaking en bedreigingsbeveiliging voor workloads die worden uitgevoerd in Azure Local.

• Azure Backup is een cloudservice die een veilige en rendabele oplossing biedt voor het maken van back-ups van gegevens en het herstellen van de Microsoft Cloud. Azure Backup Server wordt gebruikt om een back-up te maken van VM's die zijn geïmplementeerd in Azure Local en deze op te slaan in de Backup-service. In deze architectuur beveiligt Azure Backup gegevens en schakelt u herstel in voor virtuele machines die worden gehost op Azure Local.

• Azure Site Recovery is een DR-service die BCDR-mogelijkheden biedt door zakelijke apps en workloads in staat te stellen een failover uit te voeren als er een noodgeval of storing is. Site Recovery beheert replicatie en failover van workloads die worden uitgevoerd op fysieke servers en VM's tussen hun primaire site (on-premises) en een secundaire locatie (Azure). In deze architectuur maakt Site Recovery herstel na noodgevallen en failover mogelijk voor workloads die worden uitgevoerd op Azure Local.

Scenariodetails

In de volgende secties vindt u meer informatie over de scenario's en mogelijke use cases voor deze referentiearchitectuur. Deze secties bevatten een lijst met bedrijfsvoordelen en voorbeeldresourcetypen voor werkbelastingen die u kunt implementeren in Azure Local.

Azure Arc gebruiken met Azure Local

Azure Local kan rechtstreeks worden geïntegreerd met Azure door Azure Arc te gebruiken om de totale eigendomskosten (TCO) en operationele overhead te verlagen. Azure Local wordt geïmplementeerd en beheerd via Azure, dat ingebouwde integratie van Azure Arc biedt via de implementatie van de Azure Arc-resourcebrug onderdeel. Dit onderdeel wordt uitgerold als onderdeel van het cloudimplementatieproces van de Azure Local-instance. Lokale Azure-machines worden ingeschreven bij Azure Arc voor servers als een vereiste voor het starten van de cloudimplementatie van uw Lokale Azure-exemplaar. Tijdens de implementatie worden verplichte extensies op elke computer geïnstalleerd, zoals Levenscyclusbeheer, Microsoft Edge-apparaatbeheer en telemetrie- en diagnostische extensies. U kunt Azure Monitor en Log Analytics na de implementatie gebruiken om de oplossing te bewaken door Insights in te schakelen voor Azure Local. Functie-updates voor Azure Local worden elke zes maanden uitgebracht om de klantervaring te verbeteren. Updates voor Azure Local worden gecontroleerd en beheerd met Updatebeheer.

U kunt workloadresources, zoals Azure Arc-VM's, AKS met Azure Arc en Azure Virtual Desktop-sessiehosts die gebruikmaken van Azure Portal implementeren door een aangepaste locatie van een Lokaal Azure-exemplaar te selecteren als het doel voor de implementatie van de workload. Deze onderdelen bieden gecentraliseerd beheer, beheer en ondersteuning. Als u actieve Software Assurance hebt voor uw bestaande kernlicenties voor Windows Server Datacenter, kunt u de kosten verder verlagen door Azure Hybrid Benefit toe te passen op lokale Azure-, Windows Server-VM's en AKS-clusters. Deze optimalisatie helpt bij het effectief beheren van kosten voor deze services.

Azure en Azure Arc-integratie breiden de mogelijkheden van Azure-gevirtualiseerde en containergebruikstaken uit met de volgende oplossingen:

• Lokale Azure-VM's voor traditionele toepassingen of services die worden uitgevoerd op VM's in Azure Local.

• AKS in Azure Local voor toepassingen of services in containers die baat hebben bij het gebruik van Kubernetes als hun indelingsplatform.

• Virtual Desktop om uw sessiehosts te implementeren voor Virtual Desktop-workloads in Azure Local (on-premises). U kunt het besturings- en beheervlak in Azure gebruiken om het maken en configureren van de hostgroep te initiëren.

• Met Azure Arc ingeschakelde gegevensservices voor azure SQL Managed Instance in containers.

• Azure Arc-enabled Azure Container Apps voor het uitvoeren van containergebaseerde toepassingen en microservices. U kunt deze implementeren met behulp van de Container Apps-extensie voor Kubernetes, waarmee u verbonden Container Apps-omgevingen kunt inrichten. Nadat deze is ingeschakeld op een AKS-cluster, kunt u services zoals Azure Functions uitvoeren. Ter ondersteuning van gebeurtenisgestuurd schalen kunt u desgewenst de Kubernetes Event-Driven KEDA-extensie (Autoscaling) installeren.

• De Azure Event Grid-extensie voor Azure Arc voor Kubernetes voor het implementeren van de Event Grid-broker en Event Grid-operator onderdelen. Deze implementatie maakt mogelijkheden mogelijk, zoals Event Grid-onderwerpen en -abonnementen voor gebeurtenisverwerking.

• machine learning met Azure Arc met een AKS-cluster dat is geïmplementeerd in Azure Local als rekendoel om Azure Machine Learning uit te voeren. U kunt deze methode gebruiken om machine learning-modellen aan de rand te trainen of te implementeren.

Met Azure Arc verbonden workloads bieden verbeterde Azure-consistentie en automatisering voor lokale Azure-implementaties, zoals het automatiseren van de configuratie van gastbesturingssystemen met azure-extensies voor lokale VM's of het evalueren van naleving van branchevoorschriften of bedrijfsstandaarden via Azure Policy. U kunt Azure Policy activeren via de Azure portal of infrastructuur-als-codeautomatisering (IaC).

Profiteren van de standaardbeveiligingsconfiguratie van Azure Local

De standaardbeveiligingsconfiguratie van Azure Local biedt een diepgaande verdedigingsstrategie om de kosten voor beveiliging en naleving te vereenvoudigen. De implementatie en het beheer van IT-services voor retail-, productie- en externe kantoorscenario's biedt unieke uitdagingen op het gebied van beveiliging en naleving. Het beveiligen van workloads tegen interne en externe bedreigingen is cruciaal in omgevingen met beperkte IT-ondersteuning of een gebrek aan of toegewezen datacenters. Azure Local heeft standaardbeveiligingsbeveiliging en diepgaande integratie met Azure-services om u te helpen deze uitdagingen aan te pakken.

Azure Local-certified hardware zorgt voor ingebouwde ondersteuning voor Beveiligd opstarten, Unified Extensible Firmware Interface (UEFI) en TPM (Trusted Platform Module). Gebruik deze technologieën in combinatie met beveiliging op basis van virtualisatie (VBS) om uw beveiligingsgevoelige workloads te beschermen. U kunt BitLocker-stationsversleuteling gebruiken om opstartschijfvolumes en Storage Spaces Direct-volumes in rusttoestand te versleutelen. Server Message Block-versleuteling (SMB) biedt automatische versleuteling van verkeer tussen fysieke machines in het cluster (op het opslagnetwerk) en ondertekening van SMB-verkeer tussen de fysieke machines van het cluster en andere systemen. SMB-versleuteling helpt ook relayaanvallen te voorkomen en vereenvoudigt de naleving van regelgevingsstandaarden.

U kunt lokale Azure-VM's onboarden in Defender for Cloud- om gedragsanalyses in de cloud, detectie van bedreigingen en herstel, waarschuwingen en rapportage te activeren. Beheer lokale azure-VM's in Azure Arc, zodat u Azure Policy kunt gebruiken om hun naleving van branchevoorschriften en bedrijfsstandaarden te evalueren.

Mogelijke gebruiksvoorbeelden

Typische gebruiksvoorbeelden voor Azure Local zijn het uitvoeren van HA-workloads op on-premises of edge-locaties. Azure Local biedt een platform om te voldoen aan vereisten zoals de volgende mogelijkheden:

• Een cloud-verbonden oplossing bieden die on-premises is geïmplementeerd om te voldoen aan vereisten voor regelgeving, gegevenssoevereiniteit, naleving of latentie.

• Implementeer en beheer gevirtualiseerde of containergebaseerde workloads die zijn geïmplementeerd op één of meerdere edge-locaties. Met deze mogelijkheid kunnen bedrijfskritieke toepassingen en services op een flexibele, rendabele en schaalbare manier werken.

• Verminder de TCO door een oplossing te implementeren die is gecertificeerd door Microsoft en de hardware-OEM-partners. Deze oplossing maakt gebruik van een modern implementatieproces in de cloud en biedt een gecentraliseerd beheer- en bewakingservaring van Azure.

• Een gecentraliseerde inrichtingsmogelijkheid bieden met behulp van Azure en Azure Arc. Met deze functionaliteit kunt u workloads consistent en veilig implementeren op meerdere locaties. Hulpprogramma's zoals Azure Portal, De Azure CLI of IaC-sjablonen (ARM-sjablonen, Bicep en Terraform) verbeteren automatisering en herhaalbaarheid. Deze aanpak maakt snelle implementatie en beheer van AKS-clusters (Azure Kubernetes Service) mogelijk voor containerworkloads en lokale Azure-VM's voor traditionele gevirtualiseerde workloads.

• Voldoen aan strikte beveiligings-, nalevings- en controlevereisten. Azure Local wordt geïmplementeerd met een beveiligd beveiligingspostuur dat standaard is geconfigureerd, ook wel standaard beveiligd genoemd. Azure Local bevat gecertificeerde hardware, Secure Boot, TPM, VBS, Credential Guard en afgedwongen beleid voor toepassingsbeheer. Azure Local biedt de mogelijkheid om te integreren met moderne cloudservices voor beveiliging en bedreigingsbeheer, zoals Microsoft Defender voor Cloud en Microsoft Sentinel. Deze integratie biedt uitgebreide mogelijkheden voor detectie en respons (XDR) en SIEM (Security Information Event Management).

Opties voor clusterontwerp

Begrijp de prestatie- en betrouwbaarheidseisen voor workloads. Voor veerkracht begrijpt u de verwachtingen voor het platform en de workloads om te blijven werken tijdens hardware- of knooppuntfouten. Definieer ook hersteltijddoelstelling (RTO) en RPO (Recovery Point Objective) voor uw herstelstrategie. Houd rekening met de vereisten voor rekenkracht, geheugen en opslag voor alle workloads die zijn geïmplementeerd op het lokale Azure-exemplaar. Verschillende kenmerken van de workload zijn van invloed op het besluitvormingsproces:

• De architectuurmogelijkheden van de centrale verwerkingseenheid (CPU), waaronder functies van hardwarebeveiligingstechnologie, het aantal CPU's, de gigahertzfrequentie (GHz) (snelheid) en het aantal kernen voor elke CPU-socket.

• Gpu-vereisten (Graphics Processing Unit) van de workload, zoals voor AI of machine learning, deductie of grafische rendering.

• Het geheugen voor elke machine of de hoeveelheid fysiek geheugen die nodig is om de werkbelasting uit te voeren.

• Het aantal fysieke machines in het exemplaar dat 1 tot 16 machines op schaal heeft. Het maximum aantal fysieke machines is vier wanneer u de switch-architectuur voor opslag gebruikt.

  • Als u de rekentolerantie wilt behouden, moet u ten minste N+1 fysieke machines met capaciteit in het exemplaar reserveren. Met deze strategie kunt u knooppunten leegmaken voor updates of herstel na plotselinge storingen, zoals stroomstoringen of hardwarefouten.

  • Voor bedrijfskritieke of bedrijfskritieke workloads kunt u overwegen om fysieke N+2-machines te reserveren om de tolerantie te vergroten. Als bijvoorbeeld twee fysieke machines in het exemplaar offline zijn, kan de workload online blijven. Deze aanpak biedt tolerantie voor scenario's waarin een computer waarop een workload wordt uitgevoerd offline gaat tijdens een geplande updateprocedure en resulteert in twee fysieke exemplaren tegelijk offline zijn.

• Vereisten voor tolerantie, capaciteit en prestaties van opslag:

  • Herstellingsvermogen: U wordt aangeraden drie of meer fysieke machines te implementeren om spiegeling in drie richtingen in te schakelen, die drie kopieën van de gegevens biedt, voor de infrastructuur en gebruikersvolumes. Spiegeling in drie richtingen verhoogt de prestaties en de maximale betrouwbaarheid voor opslag.

  • Capaciteit: De totale vereiste bruikbare opslag na aftrek van fouttolerantie of kopieën wordt in aanmerking genomen. Dit aantal is ongeveer 33% van de onbewerkte opslagruimte van uw capaciteitslaagschijven wanneer u spiegeling in drie richtingen gebruikt.

  • Voorstelling: Invoer-/uitvoerbewerkingen per seconde (IOPS) van het platform waarmee de mogelijkheden voor opslagdoorvoer voor de workload worden bepaald wanneer deze wordt vermenigvuldigd met de blokgrootte van de toepassing.

Als u een lokale Azure-implementatie wilt ontwerpen en plannen, raden we u aan om het hulpprogramma Voor lokale grootte van Azure te gebruiken en een nieuw project te maken voor het aanpassen van de grootte van uw lokale Azure-exemplaren. Bij het gebruik van het hulpprogramma voor groottebepaling moet u inzichten hebben in uw workloadvereisten. Wanneer u rekening houdt met het aantal en de grootte van workload-VM's die op uw exemplaar worden uitgevoerd, moet u rekening houden met factoren zoals het aantal vCPU's, geheugenvereisten en de benodigde opslagcapaciteit voor de VM's.

In de sectie Voorkeuren van de groottebepalings-tool wordt u begeleid bij vragen die betrekking hebben op het systeemtype, waaronder Premier Solution, Integrated System of Validated Node, en CPU-familieopties. Het helpt u ook bij het selecteren van uw tolerantievereisten voor het exemplaar. Volg deze aanbevelingen om veerkrachtigheidsniveaus in te stellen:

• Reserveer een capaciteit ter waarde van minimaal N+1 fysieke machines, of ten minste één knooppunt, binnen de instantie. Deze aanpak zorgt ervoor dat u oplossingsupdates kunt toepassen door elk knooppunt één voor één leeg te maken en opnieuw op te starten, zonder dat er uitvaltijd van de werkbelasting ontstaat.

• Reserveer een capaciteit ter waarde van N+2 fysieke machines binnen de instantie voor extra veerkracht. Met deze optie kan het systeem bestand zijn tegen een machinefout tijdens een update of een andere onverwachte gebeurtenis die tegelijkertijd van invloed is op twee computers. Het zorgt er ook voor dat er voldoende capaciteit is in het exemplaar om de workload uit te voeren op de resterende onlinecomputers.

Voor dit scenario is het gebruik van spiegeling in drie richtingen vereist voor gebruikersvolumes. Dit is de standaardinstelling voor exemplaren met drie of meer fysieke machines.

De uitvoer van het hulpprogramma Voor lokaal aanpassen van Azure is een lijst met aanbevolen hardwareoplossingS-SKU's die de vereiste workloadcapaciteit en tolerantievereisten voor platformen kunnen bieden op basis van de invoerwaarden in het Sizer-project. Voor meer informatie over beschikbare OEM-hardwarepartneroplossingen, zie de Azure Local solutions catalog. Neem contact op met uw voorkeursleverancier van hardwareoplossingen of uw systeemintegratiepartner (SI) om de juiste grootte van de SKU's voor oplossingen te bepalen die aan uw vereisten voldoen.

Fysieke schijfstations

Storage Spaces Direct ondersteunt meerdere typen fysieke schijven die verschillen in prestaties en capaciteit. Wanneer u een lokaal Azure-exemplaar ontwerpt, neemt u contact op met de door u gekozen HARDWARE OEM-partner om de meest geschikte typen fysieke schijven te bepalen om te voldoen aan de capaciteits- en prestatievereisten van uw workload. Voorbeelden hiervan zijn draaiende harde schijven (HDD's) of SSD's (Solid State Drives) en NVMe-stations (Non-Volatile Memory Express). Deze stations worden vaak flashstations of persistent geheugenopslag (PMem) genoemd, ook wel bekend als SCM (Storage Class Memory).

De betrouwbaarheid van het platform is afhankelijk van de prestaties van kritieke platformafhankelijkheden, zoals fysieke schijftypen. Zorg ervoor dat u de juiste schijftypen kiest voor uw vereisten. Gebruik all-flash-opslagoplossingen zoals NVMe-stations of SSD's voor workloads met vereisten voor hoge prestaties of lage latentie. Deze workloads omvatten, maar zijn niet beperkt tot zeer transactionele databasetechnologieën, productie-AKS-clusters of bedrijfskritieke of bedrijfskritieke workloads die opslagvereisten met lage latentie of hoge doorvoer hebben. Gebruik all-flash-implementaties om de opslagprestaties te maximaliseren. All-NVMe- of all-SSD-configuraties, vooral op kleine schaal, verbeteren de opslagefficiëntie en maximaliseren de prestaties omdat er geen schijven worden gebruikt als cachelaag. Zie All-flash-opslagvoor meer informatie.

Het diagram toont een cluster met meerdere knooppunten. Elk knooppunt heeft twee netwerkadapters voor opslag en twee voor beheer en rekenkracht. De opslagadapters maken verbinding met een opslagnetwerk. De beheer- en rekenadapters maken verbinding met een beheer- en rekennetwerk. Onder de netwerklaag toont het diagram de opslagstack. Het begint met fysieke schijven onderaan, waaronder NVMe-schijven in de cachelagen en SSD's in de capaciteitslagen. Boven de schijven bevindt zich de Opslagruimten Direct-opslaggroep. De volgende laag in deze sectie is het ReFS-bestandssysteem op een CSV. De volgende laag bevat virtuele schijven voor VM's. De bovenste laag toont twee VM's, met een pijl die aangeeft dat ze live kunnen worden gemigreerd tussen de knooppunten.

Het type fysieke schijfstation is van invloed op de prestaties van uw clusteropslag. Het type schijf varieert op basis van de prestatiekenmerken van elk schijftype en het cachemechanisme dat u kiest. Het type fysieke schijfstation is een integraal onderdeel van het ontwerp en de configuratie van Opslagruimten Direct. Afhankelijk van de lokale workloadvereisten en budgetbeperkingen van Azure kunt u ervoor kiezen om de prestaties te maximaliseren, de capaciteit te maximaliseren of een configuratie van het type gemengde schijf te implementeren waarmee de prestaties en capaciteit worden verdeeld.

Voor algemene workloads waarvoor permanente opslag met een grote capaciteit is vereist, kan een hybride opslagconfiguratie de meest bruikbare opslag bieden, zoals het gebruik van NVMe-stations of HDD's voor de cachelaag en HDD's voor capaciteit. De afweging is dat draaiende schijven lagere prestaties en doorvoermogelijkheden hebben in vergelijking met flashstations. Deze beperkingen kunnen van invloed zijn op de opslagprestaties als uw werkbelasting de cachewerkset overschrijdt. HDD's hebben ook een lagere gemiddelde tijd tussen storingen vergeleken met NVMe-stations en SSD's.

Opslagruimten Direct biedt een ingebouwde, permanente cache aan de serverzijde die zowel lees- als schrijfbewerkingen ondersteunt. Deze cache maximaliseert de opslagprestaties. Grootte en configuratie van de cache voor de werkset van uw toepassingen en workloads. Virtuele schijven of volumes van Opslagruimten Direct worden gebruikt in combinatie met csv-leescache (Cluster Shared Volume) in het geheugen om Hyper-V prestaties te verbeteren. Deze combinatie is met name effectief voor niet-gebufferde invoertoegang tot VHD-bestanden (virtuele harde schijf) of virtuele hardeschijf v2-bestanden (VHDX).

Tip

Voor workloads met hoge prestaties of latentiegevoelige workloads raden we u aan een all-flash-opslagconfiguratie (alle NVMe of alle SSD's) en een clustergrootte van drie of meer fysieke machines te gebruiken. Als u dit ontwerp implementeert met de standaardopslagconfiguratie instellingen, wordt spiegeling in drie richtingen gebruikt voor de infrastructuur en gebruikersvolumes. Deze implementatiestrategie biedt de hoogste prestaties en tolerantie. Wanneer u een all-NVMe- of all-SSD-configuratie gebruikt, profiteert u van de volledige bruikbare opslagcapaciteit van elke flashstation. In tegenstelling tot hybride of gemengde NVMe- en SSD-instellingen is er geen capaciteit gereserveerd voor caching wanneer u één stationstype gebruikt. Deze configuratie zorgt voor een optimaal gebruik van uw opslagbronnen. Zie Volumes plannen als de prestaties het belangrijkst zijnvoor meer informatie over het verdelen van prestaties en capaciteit om te voldoen aan uw workloadvereisten.

Netwerkontwerp

Netwerkontwerp is de algehele rangschikking van onderdelen binnen de fysieke infrastructuur en logische configuraties van het netwerk. U kunt dezelfde fysieke NIC-poorten (Network Interface Card) gebruiken voor alle combinaties van beheer-, reken- en opslagnetwerkintenties. Het gebruik van dezelfde NIC-poorten voor alle intentiegerelateerde doeleinden wordt een volledig geconvergeerde netwerkconfiguratie genoemd.

Een volledig geconvergeerde netwerkconfiguratie wordt ondersteund, maar de optimale configuratie voor prestaties en betrouwbaarheid is dat de opslagintentie toegewezen netwerkadapterpoorten gebruikt. Als gevolg hiervan biedt deze basislijnarchitectuur voorbeeldrichtlijnen voor het implementeren van een lokaal Azure-exemplaar met meerdere knooppunten met behulp van de netwerkarchitectuur met twee netwerkadapterpoorten die zijn geconvergeerd voor beheer- en rekenintenties en twee toegewezen netwerkadapterpoorten voor de opslagintentie. Zie Netwerkoverwegingen voor cloudimplementaties van Azure Localvoor meer informatie.

Deze architectuur vereist twee of meer fysieke machines en maximaal 16 machines op schaal. Voor elke machine zijn vier netwerkadapterpoorten vereist die zijn verbonden met twee ToR-switches (top-of-rack). De twee ToR-switches moeten worden verbonden via MLAG-koppelingen (Multi-Chassis Link Aggregation Group). De twee netwerkadapterpoorten die worden gebruikt voor het opslagintentieverkeer, moeten ondersteuning bieden voor RDMA-(Remote Direct Memory Access). Deze poorten vereisen een minimale koppelingssnelheid van 10 gigabit per seconde (Gbps), maar we raden een snelheid van 25 Gbps of hoger aan. De twee netwerkadapterpoorten die worden gebruikt voor de beheer- en rekenintenties, worden geconvergeerd met behulp van Set-technologie (Switch Embedded Teaming). SET-technologie biedt mogelijkheden voor koppelingredundantie en taakverdeling. Deze poorten vereisen een minimale koppelingssnelheid van 1 Gbps, maar we raden een snelheid van 10 Gbps of hoger aan.

Fysieke netwerktopologie

De volgende fysieke netwerktopologie toont de fysieke netwerkverbindingen tussen de lokale Azure-machines en netwerkonderdelen.

U hebt de volgende onderdelen nodig wanneer u een Azure-meerknooppuntimplementatie ontwerpt die gebruikmaakt van deze basislijnarchitectuur.

In de afbeelding ziet u de fysieke netwerktopologie voor een Azure Local exemplaar met meerdere knooppunten dat gebruikmaakt van een opslaggeschakelde architectuur met dubbele ToR-switches. In het diagram worden de verbindingen tussen fysieke machines, ToR-switches en externe netwerken gemarkeerd. Het benadrukt redundantie en toegewezen RDMA-compatibele poorten voor opslagverkeer.

• Dual ToR-switches:

  • Dual ToR-netwerkswitches zijn vereist voor netwerktolerantie en voor de service of het toepassen van firmware-updates op de switches zonder uitvaltijd. Deze strategie voorkomt een single point of failure (SPoF).

  • De dubbele ToR-switches worden gebruikt voor de opslag, of oost-west, verkeer. Deze switches maken gebruik van twee toegewezen Ethernet-poorten met specifieke VLAN's (Virtual Local Area Networks) en PFC-verkeersklassen (Priority Flow Control) die zijn gedefinieerd om verliesloze RDMA-communicatie te bieden.

  • Deze switches maken verbinding met de fysieke machines via Ethernet-kabels.

• Twee of meer fysieke machines en maximaal 16 fysieke machines:

  • Elke machine is een fysieke server waarop het Azure Stack HCI-besturingssysteem wordt uitgevoerd.

  • Voor elke machine zijn in totaal vier netwerkadapterpoorten vereist: twee RDMA-poorten voor opslag en twee netwerkadapterpoorten voor beheer- en rekenverkeer.

  • Opslag maakt gebruik van de twee toegewezen RDMA-compatibele netwerkadapterpoorten die verbinding maken met één pad naar elk van de twee ToR-switches. Deze benadering biedt redundantie op koppelingspad en toegewezen bandbreedte met prioriteit voor SMB Direct-opslagverkeer.

  • Beheer en compute maakt gebruik van twee netwerkadapterpoorten die één pad naar elk van de twee ToR-switches bieden voor koppelingspadredundantie.

• Externe connectiviteit:

  • Dual ToR-switches maken verbinding met het externe netwerk, zoals uw interne LAN (Corporate Local Area Network), om toegang te bieden tot de vereiste uitgaande URL's met behulp van uw randnetwerkapparaat. Dit apparaat kan een firewall of router zijn. Met deze switches wordt verkeer gerouteerd dat in en uit het lokale Azure-exemplaar gaat of verkeer ten noorden van het zuiden.

  • Connectiviteit van extern noord-zuidverkeer ondersteunt de intentie en rekenintenties voor clusterbeheer. Deze netwerkconfiguratie wordt bereikt met behulp van twee switchpoorten en twee netwerkadapterpoorten voor elke machine die worden geconvergeerd via SET en een virtuele switch binnen Hyper-V om tolerantie te garanderen. Deze onderdelen bieden externe connectiviteit voor lokale Azure-VM's en andere workloadresources die zijn geïmplementeerd in de logische netwerken die zijn gemaakt in Resource Manager met behulp van Azure Portal, de Azure CLI of IaC-sjablonen.

Logische netwerktopologie

De topologie van het logische netwerk toont een overzicht van hoe netwerkgegevens tussen apparaten stromen, ongeacht hun fysieke verbindingen.

In het volgende voorbeeld ziet u een samenvatting van de logische installatie voor deze basislijnarchitectuur voor opslag met meerdere knooppunten voor Azure Local.

In het diagram ziet u de logische netwerktopologie voor een Azure Local-instantie met meerdere knooppunten die gebruikmaakt van een storage switched architectuur. Het illustreert de stroom van netwerkverkeer tussen onderdelen. In het diagram ziet u twee fysieke knooppunten, elk met meerdere netwerkadapters. Netwerk-ATC wordt gebruikt om intenties te definiëren voor beheer-, reken- en opslagverkeer. De beheer- en rekenintenties worden geconvergeerd naar een virtuele switch die gebruikmaakt van een SET. De opslagintentie maakt gebruik van toegewezen RDMA-compatibele adapters. Het diagram toont ook logische netwerken voor VM's en de verbinding met het externe netwerk via de ToR-switches.

• Dual ToR-switches:

  • Voordat u het cluster implementeert, moeten de twee ToR-netwerkswitches worden geconfigureerd met de vereiste VLAN-id's, de maximuminstellingen voor de transmissie-eenheid en de configuratie voor het overbruggen van datacenters voor het beheer, de reken- en opslagpoorten . Zie voor meer informatie fysieke netwerkvereisten voor Azure Localof vraag uw leverancier van switchhardware of SI-partner om hulp.

• Netwerk-ATC:

  • Azure Local maakt gebruik van de Network ATC-benadering om netwerkautomatisering en op intentie gebaseerde netwerkconfiguratie toe te passen.

  • Azure Local maakt gebruik van de Network ATC-benadering om netwerkautomatisering en op intentie gebaseerde netwerkconfiguratie toe te passen.

  • Netwerk-ATC is ontworpen om een optimale netwerkconfiguratie en verkeersstroom te garanderen met behulp van netwerkverkeersintenties. Netwerk-ATC definieert welke fysieke netwerkadapterpoorten worden gebruikt voor de verschillende netwerkverkeersintenties (of typen), zoals voor clusterbeheer, workload berekenen en clusteropslagintenties .

  • Op intentie gebaseerd beleid vereenvoudigt de netwerkconfiguratievereisten door de netwerkconfiguratie van de machine te automatiseren op basis van parameterinvoer die zijn opgegeven als onderdeel van het implementatieproces van de Lokale Azure-cloud.

• Externe communicatie:

  • Wanneer de fysieke machines of workloads extern moeten communiceren door toegang te krijgen tot het bedrijfs-LAN, internet of een andere service, worden ze gerouteerd via de dubbele ToR-switches.

  • Wanneer de twee ToR-switches fungeren als Laag 3-apparaten, verwerken ze routering en bieden ze connectiviteit buiten het cluster aan het randapparaat, zoals uw firewall of router.

  • De intentie van het beheernetwerk maakt gebruik van de geconvergeerde set-team-virtuele interface, waarmee het IP-adres en de beheervlakbronnen van het cluster extern kunnen communiceren.

  • Voor de intentie van het rekennetwerk kunt u een of meer logische netwerken in Azure maken met de specifieke VLAN-id's voor uw omgeving. De workloadresources, zoals VM's, gebruiken deze id's om toegang te verlenen tot het fysieke netwerk. De logische netwerken gebruiken de twee fysieke netwerkadapterpoorten die zijn geconvergeerd met behulp van een SET-team voor de reken- en beheerintenties.

• Opslagverkeer:

  • De fysieke machines communiceren met elkaar met behulp van twee toegewezen netwerkadapterpoorten die zijn verbonden met de ToR-switches om hoge bandbreedte en tolerantie voor opslagverkeer te bieden.

  • De SMB1 - en SMB2-opslagpoorten maken verbinding met twee afzonderlijke niet-routable (of Layer 2)-netwerken. Elk netwerk heeft een specifieke VLAN-id geconfigureerd die moet overeenkomen met de configuratie van switchpoorten op de ToR-switches standaard VLAN-id's voor opslag: 711 en 712.

  • Er is geen standaardgateway geconfigureerd op de twee netwerkadapterpoorten voor opslagintenties binnen het Azure Stack HCI-besturingssysteem.

  • Elk clusterknooppunt heeft toegang tot de mogelijkheden van Opslagruimten Direct van het cluster, zoals externe fysieke schijven die worden gebruikt in de opslaggroep, virtuele schijven en volumes. Toegang tot deze mogelijkheden wordt mogelijk gemaakt via het SMB-Direct RDMA-protocol via de twee toegewezen netwerkadapterpoorten voor opslag die beschikbaar zijn op elke computer. SMB meerdere kanalen wordt gebruikt voor tolerantie.

  • Deze configuratie biedt voldoende snelheid voor gegevensoverdracht voor opslaggerelateerde bewerkingen, zoals het onderhouden van consistente kopieën van gegevens voor gespiegelde volumes.

Vereisten voor netwerkswitch

Uw Ethernet-switches moeten voldoen aan de verschillende specificaties die vereist zijn voor Azure Local en ingesteld door het Institute of Electrical and Electronics Engineers Standards Association (IEEE SA). Voor implementaties met meerdere knooppunten wordt het opslagnetwerk bijvoorbeeld gebruikt voor RDMA via RoCE v2 of iWARP. Voor dit proces is IEEE 802.1Qbb PFC vereist om verliesloze communicatie te garanderen voor de opslagverkeersklasse. Uw ToR-switches moeten ondersteuning bieden voor IEEE 802.1Q voor VLAN's en IEEE 802.1AB voor het Link Layer Discovery Protocol.

Als u van plan bent bestaande netwerkswitches te gebruiken voor een lokale Azure-implementatie, raadpleegt u de lijst met verplichte IEEE-standaarden en -specificaties die de netwerkswitches en -configuratie moeten bieden. Wanneer u nieuwe netwerkswitches aanschaft, bekijkt u de lijst met door de leverancier gecertificeerde switchmodellen voor hardware die ondersteuning bieden voor de vereisten van het lokale Azure-netwerk.

Vereisten voor IP-adressen

Bij een implementatie van opslag met meerdere knooppunten neemt het aantal BENODIGDe IP-adressen toe met de toevoeging van elke fysieke machine, tot maximaal 16 fysieke machines binnen één cluster. Als u bijvoorbeeld een opslagconfiguratie met twee knooppunten van Azure Local wilt implementeren, moet voor de clusterinfrastructuur minimaal 11 x IP-adressen worden toegewezen. Er zijn meer IP-adressen vereist als u microsegmentatie of softwaregedefinieerde netwerken gebruikt. Zie Ip-adresvereisten voor opslag met twee knooppunten controleren voor lokale Azure-voor meer informatie.

Wanneer u vereisten voor IP-adressen voor Azure Local ontwerpt en plant, moet u rekening houden met extra IP-adressen of netwerkbereiken die nodig zijn voor uw workload, buiten de vereisten voor de onderdelen van het lokale Azure-exemplaar en de infrastructuur. Als u van plan bent AKS te implementeren op Azure Local, raadpleegt u AKS ingeschakeld door azure Arc-netwerkvereisten.

Uitgaande netwerkconnectiviteit

Het is belangrijk om inzicht te hebben in de vereisten voor uitgaande netwerkconnectiviteit van Azure Local en deze vereisten in uw ontwerp- en implementatieplan te factoren voordat u de oplossing implementeert. Uitgaande netwerkconnectiviteit is vereist om Azure Local in staat te stellen om te communiceren met Azure en Azure Arc voor beheer- en besturingsvlakbewerkingen. Uitgaande connectiviteit is bijvoorbeeld nodig voor het inrichten van azure Arc-resources, zoals lokale azure-VM's of AKS-clusters, en voor het gebruik van Azure-beheerservices zoals Update Manager en Azure Monitor.

Planning en due diligence vooraf voor het inschakelen van netwerkcommunicatie naar de vereiste openbare eindpunten is van cruciaal belang wanneer u Azure Local integreert in een bestaand on-premises datacenternetwerk. Deze vereiste is vooral belangrijk als u strikte uitgaande regels hebt geconfigureerd op proxy- of firewallapparaten. Als uw netwerkbeveiligingscontroles ssl-inspectietechnologieën (Secure Sockets Layer) bevatten, moet u er ook rekening mee houden dat SSL-inspectie niet wordt ondersteund voor azure-lokale netwerkcommunicatie.

Waarom uitgaande netwerkconnectiviteit belangrijk is

Uitgaande netwerkconnectiviteit is vereist vanuit uw lokale Azure-exemplaar. Deze vereiste omvat de fysieke machines, het Azure Arc-resourcebrugapparaat , AKS-clusters en lokale Azure-VM's als u Azure Arc gebruikt voor het beheer van gastbesturingssystemen van vm's. Deze apparaten hebben lokale agents of diensten die verbinding maken met openbare eindpunten via uitgaande netwerktoegang voor communicatie in realtime, waardoor connectiviteit mogelijk is met de resourceproviders voor het beheer- en besturingsvlak die in Azure werkzaam zijn. Uitgaande connectiviteit is bijvoorbeeld nodig voor operators om de Azure-portal, de Azure CLI of IaC-hulpprogramma's zoals ARM-, Bicep- of Terraform-sjablonen te gebruiken om resources in te richten, ze te beheren of beide acties uit te voeren. Azure en de Azure Arc-resourcebrug werken samen met de aangepaste locatieresource van uw lokale Azure-instantie. Met deze combinatie kunt u zich richten op de specifieke lokale Azure-instantie voor resource CRUD-bewerkingen (maken, lezen, bijwerken of verwijderen) voor uw Azure Arc-workloadbronnen.

Als u connectiviteit wilt inschakelen, configureert u uw firewall, proxy of internetuitgangstechnologie of een combinatie van deze onderdelen om uitgaande toegang tot de vereiste openbare eindpunten toe te staan. Houd rekening met de volgende belangrijke overwegingen voor de vereisten voor een lokaal uitgaand Azure-netwerk.

• Azure Local biedt geen ondersteuning voor SSL-/TLS-pakketinspectie langs een van de netwerkpaden van uw lokale Azure-exemplaren naar de openbare eindpunten. Daarnaast worden Private Link en Azure ExpressRoute niet ondersteund voor de verbinding met de vereiste openbare eindpunten. Zie Firewall-vereisten voor lokale Azure-voor meer informatie.

• Overweeg het gebruik van de Azure Arc-gateway om de connectiviteitsvereisten te vereenvoudigen. Deze aanpak vermindert het aantal vereiste eindpunten dat moet worden toegevoegd aan uw firewall- of proxyregels voor de implementatie en het beheer van Azure Local aanzienlijk.

• Wanneer u Azure Local implementeert met behulp van een proxyserver om de toegang tot uitgaand internetverkeer te regelen en te beheren, controleert u de proxyvereisten.

Monitoring

Inzichten voor Azure Local zijn gebaseerd op Azure Monitor en Log Analytics, wat zorgt voor een altijd up-to-date, schaalbare oplossing die zeer aanpasbaar is. Inzichten biedt toegang tot standaardwerkmappen met basisgegevens, samen met gespecialiseerde werkmappen die zijn gemaakt voor het bewaken van de belangrijkste functies van Azure Local. Deze onderdelen bieden een bijna realtime bewakingsoplossing en maken het mogelijk om grafieken te maken, visualisaties aan te passen via aggregatie en filtering en configuratie van aangepaste waarschuwingsregels voor resourcestatus.

Als u de bewaking en waarschuwingen wilt verbeteren, schakelt u Azure Monitor Insights in op Azure Local. Inzichten kunnen worden geschaald om meerdere on-premises exemplaren te bewaken en te beheren via een consistente Azure-ervaring. Insights maakt gebruik van clusterprestatiemeteritems en gebeurtenislogboekkanalen om de belangrijkste lokale Azure-functies te bewaken. De DCR die is geconfigureerd via Azure Monitor en Log Analytics verzamelt de logboeken.

Updatebeheer

Lokale Azure-exemplaren en de geïmplementeerde workloadresources, zoals lokale azure-VM's, moeten regelmatig worden bijgewerkt en gepatcht. Door regelmatig updates toe te passen, zorgt u ervoor dat uw organisatie een sterke beveiligingspostuur behoudt. U verbetert ook de algehele betrouwbaarheid en ondersteuning van uw activa. U wordt aangeraden automatische en periodieke handmatige evaluaties te gebruiken voor vroege detectie en toepassing van beveiligingspatches en besturingssysteemupdates.

Infrastructuurupdates

Azure Local wordt continu bijgewerkt om de klantervaring te verbeteren en nieuwe functies en functionaliteit te introduceren. Functie-updates worden elke zes maanden geleverd via releasetreinen, met nieuwe versies die zijn uitgebracht in april (YY04) en oktober (Y10). Naast regelmatige functie-updates ontvangt Azure Local maandelijkse cumulatieve updates met verbeteringen in de beveiliging en betrouwbaarheid van het besturingssysteem, evenals updates voor extensies en agents.

Update Manager is een Azure-service die u kunt gebruiken om updates voor Azure Local toe te passen, weer te geven en te beheren. Deze service biedt een mechanisme voor het weergeven van alle lokale Azure-exemplaren in uw hele infrastructuur en edge-locaties die gebruikmaken van Azure Portal om een gecentraliseerde beheerervaring te bieden. Zie de volgende bronnen voor meer informatie:

• Informatie over lokale release van Azure
• Frequentie van lokale levenscyclus van Azure
• Updatefasen van lokale Azure- controleren
• Updatebeheer gebruiken om Azure Local bij te werken

Het is belangrijk om regelmatig te controleren op nieuwe stuurprogramma- en firmware-updates, zoals om de drie tot zes maanden. Als u een Premier Solution-categorieversie gebruikt voor uw lokale Azure-hardware, zijn de SBE-pakketupdates (Solution Builder Extension) geïntegreerd met Update Manager om een vereenvoudigde update-ervaring te bieden. Als u gevalideerde knooppunten of een geïntegreerde systeemcategorie gebruikt, is er mogelijk een vereiste om een OEM-specifiek updatepakket te downloaden en uit te voeren dat de firmware- en stuurprogramma-updates voor uw hardware bevat. Neem contact op met de OEM- of SI-partner van uw hardware om te bepalen hoe updates voor uw hardware worden geleverd.

Patching van gastbesturingssysteem voor workloads

U kunt lokale Azure-VM's inschrijven die in Azure Local zijn geïmplementeerd in Updatebeheer om een uniforme patchbeheerervaring te bieden met behulp van hetzelfde mechanisme dat wordt gebruikt voor het bijwerken van de fysieke machines van het Lokale Azure-exemplaar. U kunt Updatebeheer gebruiken om configuraties voor gastonderhoud te maken. Met deze configuraties kunt u instellingen beheren, zoals de instelling Opnieuw opstarten, indien nodig, de planning (datums, tijden en herhalingsopties) en een dynamische (abonnement) of statische lijst van de lokale Azure-VM's voor het bereik. Deze instellingen bepalen de configuratie voor wanneer beveiligingspatches voor besturingssystemen worden geïnstalleerd in het gastbesturingssysteem van uw workload-VM.

Considerations

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Well-Architected Framework voor meer informatie.

Reliability

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Controlelijst ontwerpbeoordeling voor betrouwbaarheidvoor meer informatie.

De mogelijke storingspunten identificeren

Elke architectuur is vatbaar voor fouten. U kunt anticiperen op fouten en voorbereid zijn met oplossingen door faalmodusanalyse (FMA) te gebruiken. In de volgende tabel worden vier voorbeelden van mogelijke storingspunten in deze architectuur beschreven.

Component	Risk	Likelihood	Impact en risicobeperking	Outage
Azure Local Instance-storing	Stroom-, netwerk-, hardware- of softwarefout	Medium	Om te voorkomen dat een langdurige applicatie-uitval wordt veroorzaakt door het falen van een Azure-local instance voor bedrijfskritieke use cases, moet uw workload worden ontworpen volgens de principes voor hoge beschikbaarheid en herstel na noodgevallen. U kunt bijvoorbeeld industriestandaard technologieën voor workloadgegevensreplicatie gebruiken om meerdere kopieën van permanente statusgegevens te onderhouden die zijn geïmplementeerd met behulp van meerdere lokale Azure-VM's of AKS-exemplaren die zijn geïmplementeerd op afzonderlijke Lokale Azure-exemplaren en op afzonderlijke fysieke locaties.	Mogelijke storing
Azure Local-storing van één fysieke machine	Stroom-, hardware- of softwarefout	Medium	Om een langdurige toepassingsstoring te voorkomen die wordt veroorzaakt door de fout van één lokale Azure-machine, moet uw Lokale Azure-exemplaar meerdere fysieke machines hebben. De capaciteitsvereisten voor uw workload tijdens de ontwerpfase van het cluster bepalen het aantal fysieke machines. U wordt aangeraden drie of meer fysieke machines te hebben. We raden u ook aan om spiegeling in drie richtingen te gebruiken. Dit is de standaardmodus voor opslagtolerantie voor clusters met drie of meer fysieke machines. Als u een SPoF wilt voorkomen en de tolerantie van workloads wilt verhogen, implementeert u meerdere exemplaren van uw workload met behulp van twee of meer lokale Azure-VM's of containerpods die worden uitgevoerd op meerdere AKS-werkknooppunten. Als één machine uitvalt, worden de lokale azure-VM's en workload- of toepassingsservices opnieuw opgestart op de resterende online fysieke machines in het cluster.	Mogelijke storing
Lokale Azure-VM of AKS-werkknooppunt (workload)	Misconfiguration	Medium	Toepassingsgebruikers kunnen zich niet aanmelden of de toepassing openen. Identificeer onjuiste configuraties tijdens de implementatie. Als deze fouten optreden tijdens een configuratie-update, moet het DevOps-team wijzigingen terugdraaien. U kunt de VM indien nodig opnieuw implementeren. Het opnieuw implementeren duurt minder dan 10 minuten, maar kan langer duren op basis van het type implementatie.	Mogelijke storing
Connectiviteit met Azure	Netwerkstoring	Medium	Azure Local vereist dat netwerkconnectiviteit met Azure beschikbaar is voor besturingsvlakbewerkingen. Als u bijvoorbeeld nieuwe lokale Azure-VM's of AKS-clusters wilt inrichten, oplossingsupdates wilt installeren met Updatebeheer of de status van het exemplaar wilt bewaken met behulp van Azure Monitor. Als de connectiviteit met Azure niet beschikbaar is, werkt het exemplaar in een gedegradeerde status, waarbij deze mogelijkheden niet beschikbaar zijn. Bestaande workloads die al worden uitgevoerd op Azure Local, blijven echter actief. Als de netwerkverbinding met Azure niet binnen 30 dagen wordt hersteld, voert het exemplaar de status Out Of Policy in, waardoor de functionaliteit kan worden beperkt. Het Azure-resourcebrugapparaat kan langer dan 45 dagen niet offline zijn , omdat deze inactiviteit van invloed kan zijn op de geldigheid van de beveiligingssleutel die wordt gebruikt voor verificatie.	Beheerbewerkingen zijn niet beschikbaar

Zie Aanbevelingen voor het uitvoeren van FMA voor meer informatie.

Betrouwbaarheidsdoelen

In deze sectie wordt een voorbeeldscenario beschreven. Een fictieve klant, bekend als Contoso Manufacturing , gebruikt deze referentiearchitectuur om Azure Local te implementeren. Ze willen hun vereisten aanpakken en workloads on-premises implementeren en beheren. Contoso Manufacturing heeft een intern SLO-doel (Service Level Objective) van 99,8% dat belanghebbenden van bedrijven en toepassingen akkoord gaan met hun services.

• Een SLO van 99,8% uptime of beschikbaarheid resulteert in de volgende perioden van toegestane downtime of onbeschikbaarheid voor de toepassingen die zijn geïmplementeerd met behulp van lokale Azure-VM's die worden uitgevoerd op Azure Local:

  • Wekelijks: 20 minuten en 10 seconden

  • Maandelijks: 1 uur, 26 minuten en 56 seconden

  • Kwartaal: 4 uur, 20 minuten en 49 seconden

  • Jaarlijks: 17 uur, 23 minuten en 16 seconden

• Om te helpen voldoen aan de SLO-doelen, implementeert Contoso Manufacturing het principe van minimale bevoegdheid (PoLP) om het aantal lokale Azure-exemplaarbeheerders te beperken tot een kleine groep vertrouwde en gekwalificeerde personen. Deze aanpak helpt downtime te voorkomen vanwege onbedoelde of per ongeluk uitgevoerde acties op productiebronnen. Bovendien worden de beveiligingsgebeurtenislogboeken voor on-premises AD DS-domeincontrollers (Active Directory Domain Services) bewaakt om wijzigingen in groepslidmaatschappen van gebruikersaccounts, ook wel acties toevoegen en verwijderen genoemd, te detecteren en te rapporteren voor de groep Beheerders van lokale Exemplaren van Azure die een SIEM-oplossing gebruikt. Bewaking verhoogt de betrouwbaarheid en verbetert de beveiliging van de oplossing.

  Zie Aanbevelingen voor identiteits- en toegangsbeheervoor meer informatie.

• strikte procedures voor wijzigingsbeheer zijn ingesteld voor de productiesystemen van Contoso Manufacturing. Dit proces vereist dat alle wijzigingen vóór de implementatie in productie worden getest en gevalideerd in een representatieve testomgeving. Alle wijzigingen die zijn ingediend bij het wekelijkse wijzigingsadviesbordproces, moeten een gedetailleerd implementatieplan (of koppeling naar broncode) bevatten, een score op risiconiveau, een uitgebreid terugdraaiplan, tests na de release en verificatie, en duidelijke succescriteria voor een wijziging die moet worden beoordeeld of goedgekeurd.

  Zie Aanbevelingen voor veilige implementatieproceduresvoor meer informatie.

• Maandelijkse beveiligingspatches en driemaandelijkse basislijnupdates worden pas toegepast op lokale Azure-productie-exemplaren nadat ze zijn gevalideerd door de preproductieomgeving. Updatebeheer en de functie voor het bijwerken van clusters automatiseren het proces van het gebruik van livemigratie van vm's om downtime voor bedrijfskritieke workloads tijdens de maandelijkse onderhoudsbewerkingen te minimaliseren. Voor de standaardbesturingssystemen van Contoso Manufacturing is vereist dat er binnen vier weken na de releasedatum beveiligings-, betrouwbaarheids- of basislijnbuildupdates worden toegepast op alle productiesystemen. Zonder dit beleid kunnen productiesystemen voortdurend niet op de hoogte blijven van maandelijkse besturingssysteem- en beveiligingsupdates. Verouderde systemen hebben een negatieve invloed op de betrouwbaarheid en beveiliging van het platform.

  Zie Aanbevelingen voor het instellen van een beveiligingsbasislijnvoor meer informatie.

• Contoso Manufacturing implementeert dagelijkse, wekelijkse en maandelijkse back-ups om de laatste 6 x dagen van dagelijkse back-ups (maandagen tot zaterdagen), de laatste 3 x wekelijks (elke zondag) en 3 x maandelijkse back-ups te behouden, waarbij elke zondag 4 wordt bewaard om de maand 1, maand 2 en 3 back-ups te worden met behulp van een doorlopend kalenderschema dat is gedocumenteerd en controleerbaar wordt. Deze benadering voldoet aan de vereisten voor Contoso Manufacturing voor een adequate balans tussen het aantal beschikbare gegevensherstelpunten en het verlagen van de kosten voor de offsite- of cloudback-upopslagservice.

  Zie Aanbevelingen voor het ontwerpen van een DR-strategie voor meer informatie.

• processen voor back-up en herstel van gegevens worden elke zes maanden getest voor elk bedrijfssysteem. Deze strategie biedt zekerheid dat BCDR-processen geldig zijn en dat het bedrijf wordt beschermd als er zich een datacenterramp of cyberincident voordoet.

  Zie Aanbevelingen voor het ontwerpen van een strategie voor betrouwbaarheidstestsvoor meer informatie.

• De operationele processen en procedures die eerder in het artikel zijn beschreven, en de aanbevelingen in de Well-Architected Framework-servicehandleiding voor Azure Local, stellen Contoso Manufacturing in staat om te voldoen aan hun SLO-doel van 99,8% en om azure lokaal en workloadimplementaties effectief te schalen en te beheren op meerdere productielocaties die over de hele wereld worden gedistribueerd.

  Zie Aanbevelingen voor het definiëren van betrouwbaarheidsdoelenvoor meer informatie.

Redundancy

Overweeg een workload die u in één lokaal Azure-exemplaar implementeert als een lokaal redundante implementatie. Het cluster biedt hoge beschikbaarheid op platformniveau, maar je moet het cluster in één rack implementeren. Voor bedrijfskritieke of bedrijfskritieke gebruiksscenario's raden we u aan om meerdere exemplaren van een workload of service te implementeren in twee of meer afzonderlijke Lokale Azure-exemplaren, in het ideale geval op afzonderlijke fysieke locaties.

Gebruik industriestandaard, HA-patronen voor workloads die actieve/passieve replicatie, synchrone replicatie of asynchrone replicatie bieden, zoals SQL Server Always On. U kunt ook een nlB-technologie (External Network Load Balancing) gebruiken waarmee gebruikersaanvragen worden gerouteerd over de meerdere workloadexemplaren die worden uitgevoerd op lokale Azure-exemplaren die u op afzonderlijke fysieke locaties implementeert. Overweeg het gebruik van een extern NLB-apparaat van een partner. U kunt ook de opties voor taakverdeling evalueren die verkeersroutering ondersteunen voor hybride en on-premises services, zoals een Azure Application Gateway-exemplaar dat gebruikmaakt van ExpressRoute of een VPN-tunnel om verbinding te maken met een on-premises service.

Zie Aanbevelingen voor het ontwerpen van redundantievoor meer informatie.

Security

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie voor meer informatie controlelijst ontwerpbeoordeling voor Security.

• Een veilige basis voor het Lokale Azure-platform:Azure Local is een beveiligd standaardproduct dat gebruikmaakt van gevalideerde hardwareonderdelen met een TPM, UEFI en Secure Boot om een veilige basis te bouwen voor het lokale Azure-platform en de workloadbeveiliging. Wanneer Azure Local wordt geïmplementeerd met de standaardbeveiligingsinstellingen, is Toepassingsbeheer, Credential Guard en BitLocker ingeschakeld. Als u het delegeren van machtigingen wilt vereenvoudigen met behulp van poLP, gebruikt u lokale ingebouwde RBAC-rollen (op rollen gebaseerd toegangsbeheer), zoals Azure Local Administrator voor platformbeheerders en Azure Local VM-inzender of Azure Local VM Reader voor workloadoperators.

• Standaardbeveiligingsinstellingen: Azure Local past tijdens de implementatie standaardbeveiligingsinstellingen toe voor uw Lokale Azure-exemplaar en maakt driftbeheer mogelijk om de fysieke machines in een bekende goede staat te houden. U kunt de standaardinstellingen voor beveiliging gebruiken om clusterbeveiliging, driftbeheer en beveiligde kernserverinstellingen in uw cluster te beheren.

• Logboeken voor beveiligingsgebeurtenissen:Lokaal syslog-doorsturen van Azure kan worden geïntegreerd met beveiligingsbewakingsoplossingen door relevante beveiligingsgebeurtenislogboeken op te halen om gebeurtenissen te aggregeren en op te slaan voor retentie in uw eigen SIEM-platform.

• Bescherming tegen bedreigingen en beveiligingsproblemen:Defender for Cloud beschermt uw Lokale Azure-exemplaar tegen verschillende bedreigingen en beveiligingsproblemen. Deze service helpt de beveiligingspostuur van uw Lokale Azure-omgeving te verbeteren en kan bescherming bieden tegen bestaande en veranderende bedreigingen.

• Detectie en herstel van bedreigingen:Microsoft Advanced Threat Analytics detecteert en herstelt bedreigingen, zoals bedreigingen die gericht zijn op AD DS, die verificatieservices bieden aan lokale Azure-exemplaarmachines en hun Windows Server-VM-workloads.

• netwerkisolatie: netwerken isoleren indien nodig. U kunt bijvoorbeeld meerdere logische netwerken inrichten die gebruikmaken van afzonderlijke VLAN's en netwerkadresbereiken. Wanneer u deze aanpak gebruikt, moet u ervoor zorgen dat het beheernetwerk elk logisch netwerk en VLAN kan bereiken, zodat fysieke machines van Azure Local instance kunnen communiceren met de VLAN-netwerken via de ToR-switches of -gateways. Deze configuratie is vereist voor het beheer van de workload, zoals het toestaan van agents voor infrastructuurbeheer om te communiceren met het gastbesturingssysteem van de workload.

  Zie Aanbevelingen voor het bouwen van een segmentatiestrategievoor meer informatie.

Kostenoptimalisatie

Kostenoptimalisatie richt zich op manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie controlelijst ontwerpbeoordeling voor kostenoptimalisatievoor meer informatie.

• Factureringsmodel in cloudstijl voor licenties: Azure Local-prijzen volgen het factureringsmodel voor maandelijkse abonnementen met een vast tarief voor elke fysieke processorkern in een lokaal Azure-exemplaar. Er gelden extra gebruikskosten als u andere Azure-services gebruikt. Als u eigenaar bent van on-premises kernlicenties voor Windows Server Datacenter-editie met actieve Software Assurance, kunt u ervoor kiezen om deze licenties uit te wisselen voor het activeren van lokale Azure-exemplaren en abonnementskosten voor Windows Server-VM's.

• Automatische VM-gastpatching voor lokale Azure-VM's: Deze functie helpt de overhead van handmatig patchen en de bijbehorende onderhoudskosten te verminderen. Deze actie helpt niet alleen het systeem veiliger te maken, maar optimaliseert ook de toewijzing van resources en draagt bij aan de algehele kostenefficiëntie.

• Consolidatie van kostenbewaking: Als u bewakingskosten wilt consolideren, gebruikt u Azure Local Insights en patcht u met behulp van Update Manager voor Azure Local. Azure Local Insights maakt gebruik van Azure Monitor om uitgebreide metrische gegevens en waarschuwingsmogelijkheden te bieden. Het levenscyclusbeheeronderdeel van Azure Local kan worden geïntegreerd met Update Manager om de taak van het houden van uw clusters up-to-date te vereenvoudigen door updatewerkstromen voor verschillende onderdelen in één ervaring samen te voegen. Gebruik Azure Monitor en Update Manager om resourcetoewijzing te optimaliseren en bij te dragen aan de algehele kostenefficiëntie.

  Zie Aanbevelingen voor het optimaliseren van personeelstijdvoor meer informatie.

• Initiële workloadcapaciteit en groei: Wanneer u uw lokale Azure-implementatie plant, moet u rekening houden met uw initiële workloadcapaciteit, tolerantievereisten en toekomstige overwegingen voor groei. Overweeg of u een switchloze architectuur met twee, drie of vier knooppunten kunt gebruiken om kosten te verlagen, zoals het verwijderen van de noodzaak om netwerkswitches van opslagklasse aan te schaffen. Het aanschaffen van extra opslagklassenetwerkswitches kan een duur onderdeel zijn van nieuwe implementaties van lokale Azure-exemplaren. In plaats daarvan kunt u bestaande switches gebruiken voor beheer- en rekennetwerken, waardoor de infrastructuur eenvoudiger wordt. Als de capaciteit en veerkracht van uw werkbelasting niet groter zijn dan een configuratie met vier knooppunten, kunt u overwegen om bestaande switches voor het beheer- en rekennetwerk te gebruiken en de switcheloze opslagarchitectuur te gebruiken om Azure Local te implementeren.

  Zie Aanbevelingen voor het optimaliseren van de kosten van onderdelenvoor meer informatie.

Tip

U kunt de kosten verlagen via Azure Hybrid Benefit, als u Windows Server Datacenter-licenties hebt die actieve Software Assurance bevatten. Zie Azure Hybrid Benefit voor Azure Localvoor meer informatie.

Operationele uitmuntendheid

Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Zie controlelijst ontwerpbeoordeling voor Operational Excellencevoor meer informatie.

• Vereenvoudigde inrichtings- en beheerervaring geïntegreerd met Azure: De cloudimplementatie in Azure biedt een wizardgestuurde interface die laat zien hoe u een lokaal Azure-exemplaar maakt. Op dezelfde manier vereenvoudigt Azure het proces van het beheren van lokale Azure-exemplaren en lokale Azure-VM's. U kunt de implementatie op basis van de portal van het lokale Azure-exemplaar automatiseren met behulp van deze ARM-sjabloon. Het gebruik van sjablonen biedt consistentie en automatisering om Azure Local op schaal te implementeren, met name in edge-scenario's zoals winkels of productiesites waarvoor een Lokaal Azure-exemplaar is vereist om bedrijfskritieke workloads uit te voeren.

• Automatiseringsmogelijkheden voor virtuele Azure-machines: Azure Local biedt een breed scala aan automatiseringsmogelijkheden voor het beheren van workloads, zoals lokale Azure-VM's. Deze mogelijkheden omvatten de geautomatiseerde implementatie van lokale Azure-VM's met behulp van de Azure CLI, ARM-sjablonen of Bicep-sjablonen. Updates van vm-besturingssystemen worden geleverd via de Azure Arc-extensie voor updates en UpdateBeheer, die updates toepast op elk lokaal Azure-exemplaar. Azure Local biedt ook ondersteuning voor Azure Local VM-beheer met behulp van de Azure CLI en niet-Azure Lokale VM's met behulp van Windows PowerShell. U kunt de Azure CLI-opdrachten lokaal uitvoeren vanaf een van de lokale Azure-machines of op afstand vanaf een beheercomputer. Integratie met Azure Automation en Azure Arc vereenvoudigt een breed scala aan extra automatiseringsscenario's voor VM-workloads via Azure Arc-extensies.

  Zie Aanbevelingen voor het gebruik van IaC-voor meer informatie.

• Automatiseringsmogelijkheden voor containers in AKS: Azure Local biedt een breed scala aan automatiseringsmogelijkheden voor het beheren van workloads, zoals containers, op AKS. U kunt de implementatie van AKS-clusters automatiseren met behulp van de Azure CLI. Gebruik de Azure Arc-extensie voor Kubernetes-updates om AKS-workloadclusters bij te werken. U kunt AKS met Azure Arc ook beheren met behulp van de Azure CLI. U kunt de Azure CLI-opdrachten lokaal uitvoeren vanaf een van de lokale Azure-machines of op afstand vanaf een beheercomputer. Integreer met Azure Arc voor een breed scala aan extra automatiseringsscenario's voor containerworkloads via Azure Arc-extensies.

  Zie de volgende bronnen voor meer informatie:

  • Aanbevelingen voor het inschakelen van automatisering
  • Beheermogelijkheden van VM's vergelijken in Azure Local

Prestatie-efficiëntie

Prestatie-efficiëntie verwijst naar de mogelijkheid van uw workload om efficiënt te voldoen aan de behoeften van de gebruiker. Zie controlelijst ontwerpbeoordeling voor prestatie-efficiëntievoor meer informatie.

• Prestaties van workloadopslag: Overweeg het hulpprogramma DiskSpd te gebruiken om de prestaties van workloadopslagmogelijkheden van een lokaal Azure-exemplaar te testen. U kunt het hulpprogramma VMFleet gebruiken om belasting te genereren en de prestaties van een opslagsubsysteem te meten. Bepaal of u VMFleet moet gebruiken om de prestaties van het opslagsubsysteem te meten.

  U wordt aangeraden een basislijn vast te stellen voor de prestaties van uw lokale Azure-exemplaren voordat u productieworkloads implementeert. DiskSpd maakt gebruik van verschillende opdrachtregelparameters waarmee beheerders de opslagprestaties van het cluster kunnen testen. De belangrijkste functie van DiskSpd is het uitgeven van lees- en schrijfbewerkingen en metrische gegevens over uitvoerprestaties, zoals latentie, doorvoer en IOPS.

  Zie Aanbevelingen voor prestatietestsvoor meer informatie.

• Tolerantie voor workloadopslag: Houd rekening met de voordelen van opslagtolerantie, efficiëntie van gebruik (of capaciteit) en prestaties. Het plannen van lokale Azure-volumes omvat het identificeren van de optimale balans tussen tolerantie, gebruiksefficiëntie en prestaties. Het kan lastig zijn om dit evenwicht te optimaliseren, omdat het maximaliseren van een van deze kenmerken doorgaans een negatief effect heeft op een of meer van de andere kenmerken. Door de tolerantie te vergroten, wordt de bruikbare capaciteit verminderd. Als gevolg hiervan kunnen de prestaties variëren, afhankelijk van het gekozen tolerantietype. Wanneer tolerantie en prestaties de prioriteit hebben en wanneer u drie of meer fysieke machines gebruikt, maakt de standaardopslagconfiguratie gebruik van spiegeling in drie richtingen voor zowel infrastructuur- als gebruikersvolumes.

  Zie Aanbevelingen voor capaciteitsplanningvoor meer informatie.

• Optimalisatie van netwerkprestaties: Overweeg optimalisatie van netwerkprestaties. Zorg er als onderdeel van uw ontwerp voor dat u de bandbreedtetoewijzing voor geprojecteerd netwerkverkeer opneemt wanneer u de optimale netwerkhardwareconfiguratie bepaalt.

  Als u de rekenprestaties in Azure Local wilt optimaliseren, kunt u GPU-versnelling gebruiken. GPU-versnelling is nuttig voor high-performance AI- of machine learning-workloads die gegevensinzichten of deductie omvatten. Deze workloads vereisen implementatie op edge-locaties vanwege overwegingen zoals de ernst van gegevens of beveiligingsvereisten. In een hybride implementatie of on-premises implementatie is het belangrijk om rekening te houden met de prestatievereisten van uw workload, inclusief GPU's. Deze aanpak helpt u bij het selecteren van de juiste services wanneer u uw lokale Azure-exemplaren ontwerpt en aanschaft.

  Zie Aanbevelingen voor het selecteren van de juiste services voor meer informatie.

Dit scenario implementeren

De volgende sectie bevat een voorbeeldlijst met de taken op hoog niveau of een typische werkstroom die wordt gebruikt voor het implementeren van Azure Local, inclusief vereiste taken en overwegingen. Deze werkstroomlijst is alleen bedoeld als voorbeeldhandleiding. Het is geen volledige lijst met alle vereiste acties, die kunnen variëren op basis van organisatie-, geografische of projectspecifieke vereisten.

In dit scenario moet u voor een project of use-case een hybride cloudoplossing implementeren op een on-premises of edge-locatie om lokale berekeningen te leveren voor gegevensverwerking. Er is ook behoefte aan het onderhouden van azure-consistente beheer- en factureringservaringen. Meer informatie vindt u in de sectie Potentiële gebruiksvoorbeelden van dit artikel. In de resterende stappen wordt ervan uitgegaan dat Azure Local de gekozen infrastructuurplatformoplossing voor het project is.

1. Verzamel workload- en use-casevereisten van relevante belanghebbenden. Met deze strategie kan het project bevestigen dat de functies en mogelijkheden van Azure Local voldoen aan de workloadschaal, prestaties en functionaliteitsvereisten. Dit controleproces moet inzicht hebben in de schaal of grootte van de werkbelasting en de vereiste functies, zoals lokale Azure-VM's, AKS, Virtual Desktop of gegevensservices met Azure Arc of de Machine Learning-service met Azure Arc. De RTO- en RPO-waarden (betrouwbaarheid) van de werkbelasting en andere niet-functionele vereisten (schaalbaarheid van prestaties en belasting) moeten worden gedocumenteerd als onderdeel van deze stap.

2. Bekijk de uitvoer van de Azure Local Sizer voor de aanbevolen hardware partner oplossing. Deze uitvoer bevat details van de aanbevolen fysieke serverhardware en het model, het aantal fysieke machines en de specificaties voor de CPU, het geheugen en de opslagconfiguratie voor elk fysiek knooppunt om uw workloads te implementeren en uit te voeren.

3. Gebruik het hulpprogramma voor lokale sizing van Azure om een nieuw project te maken dat het workloadtype en de schaal modelleert. Dit project bevat de grootte en het aantal VM's en hun opslagvereisten. Deze details worden samen met opties voor het systeemtype, de voorkeurs-CPU-familie en uw tolerantievereisten voor fouttolerantie voor hoge beschikbaarheid en opslag ingevoerd, zoals wordt uitgelegd in de sectie Ontwerpopties voor clusters .

4. Bekijk de uitvoer van Azure Local Sizer voor de aanbevolen hardware partner oplossing. Deze oplossing bevat details van de aanbevolen fysieke serverhardware (merk en model), het aantal fysieke machines en de specificaties voor de CPU, het geheugen en de opslagconfiguratie voor elk fysiek knooppunt om uw workloads te implementeren en uit te voeren.

5. Neem contact op met de hardware-OEM of SI-partner om de geschiktheid van de aanbevolen hardwareversie te kwalificeren ten opzichte van uw workloadvereisten. Indien beschikbaar, gebruikt u OEM-specifieke groottehulpprogramma's om OEM-specifieke hardwaregroottevereisten te bepalen voor de beoogde werkbelastingen. Deze stap omvat doorgaans discussies met de hardware-OEM of SI-partner voor de commerciële aspecten van de oplossing. Deze aspecten omvatten offertes, beschikbaarheid van de hardware, levertijden en eventuele professionele of waardetoevoegende services die de partner biedt om uw project of bedrijfsresultaten te versnellen.

6. Implementeer twee ToR-switches voor netwerkintegratie. Voor HA-oplossingen moeten voor Lokale Azure-exemplaren twee ToR-switches worden geïmplementeerd. Voor elke fysieke machine zijn vier NIC's vereist, waarvan twee RDMA-geschikt zijn, die twee koppelingen van elke computer naar de twee ToR-switches biedt. Twee NIC's, één verbonden met elke switch, zijn geconvergeerd voor uitgaande noord-zuid-connectiviteit voor de reken- en beheernetwerken. De andere twee RDMA-compatibele NIC's zijn toegewezen voor het oost-west-opslagverkeer. Als u van plan bent bestaande netwerkswitches te gebruiken, moet u ervoor zorgen dat het merk en model van uw switches zich in de goedgekeurde lijst met netwerkswitches bevinden die worden ondersteund door azure Local.

7. Werk samen met de hardware-OEM of SI-partner om de levering van de hardware te regelen. De SI-partner of uw werknemers moeten vervolgens de hardware integreren in uw on-premises datacenter of edge-locatie, zoals het in racken en stapelen van de hardware, het fysieke netwerk en het bekabelen van de voedingseenheid voor de fysieke machines.

8. Voer de implementatie van het lokale Azure-exemplaar uit. Afhankelijk van de gekozen oplossingsversie (Premier Solution, Integrated System of Validated Node), kunnen de hardwarepartner, SI-partner of uw werknemers de lokale Azure-software implementeren. Deze stap begint met het onboarden van de fysieke machines van het Azure Stack HCI-besturingssysteem op servers met Azure Arc en vervolgens het implementatieproces van de lokale Azure-cloud te starten. Klanten en partners kunnen rechtstreeks een ondersteuningsaanvraag indienen bij Microsoft in De Azure-portal door het pictogram Ondersteuning en probleemoplossing te selecteren of door contact op te maken met hun HARDWARE-OEM of SI-partner, afhankelijk van de aard van de aanvraag en de categorie hardwareoplossing.

   Tip

   Het Azure Stack HCI-besturingssysteem, versie 23H2-systeemverwijzingsimplementatie , laat zien hoe u een overgeschakelde implementatie met meerdere knooppunten van Azure Local implementeert met behulp van een ARM-sjabloon en parameterbestand. U kunt ook het Bicep-voorbeeld laten zien hoe u een Bicep-sjabloon kunt gebruiken om een lokaal Exemplaar van Azure te implementeren, inclusief de vereiste resources.

9. Implementeer maximaal beschikbare workloads in Azure Local met behulp van Azure Portal, CLI of ARM + Azure Arc-sjablonen voor automatisering. Gebruik de aangepaste locatieresource van het nieuwe Lokale Azure-exemplaar als doelregio wanneer u workloadresources implementeert, zoals lokale Azure-VM's, AKS- en Virtual Desktop-sessiehosts of andere Azure Arc-services die u kunt inschakelen via AKS-extensies en containerisatie in Azure Local.

10. Installeer maandelijkse updates om de beveiliging en betrouwbaarheid van het platform te verbeteren. Als u uw lokale Azure-exemplaren up-to-date wilt houden, is het belangrijk om Microsoft-software-updates en hardware-OEM-stuurprogramma's en firmware-updates te installeren. Deze updates verbeteren de beveiliging en betrouwbaarheid van het platform. Update Manager past de updates toe en biedt een gecentraliseerde en schaalbare oplossing voor het installeren van updates in één cluster of meerdere clusters. Neem contact op met uw hardware-OEM-partner om het proces voor het installeren van hardwarestuurprogramma's en firmware-updates te bepalen, omdat dit proces kan variëren, afhankelijk van het type hardwareoplossingscategorie (Premier Solution, Integrated System of Validated Node). Zie Infrastructuurupdates voor meer informatie.

Verwante middelen

• ontwerp van hybride architectuur
• hybride opties van Azure
• Beheer van SQL Server-exemplaren in on-premises en omgevingen met meerdere clouds optimaliseren met behulp van Azure Arc

Volgende stappen

Microsoft Learn productdocumentatie:

• Informatie over lokale release van Azure
• AKS in lokale Azure-
• Virtual Desktop in Azure Local
• Wat is lokale bewaking van Azure?
• VM-workloads beveiligen met Behulp van Site Recovery in Azure Local
• Overzicht van Azure Monitor
• overzicht van wijzigingen bijhouden en inventaris
• Overzicht van Updatebeheer
• Wat zijn gegevensservices met Azure Arc?
• Wat zijn servers met Azure Arc?
• Wat is de Backup-service?
• Overzicht van Azure Automation
• Azure Automation State Configuration
• Inleiding tot Kubernetes-rekendoel in Machine Learning

Azure productdocumentatie

• Azure Lokaal
• Azure Arc
• Key Vault
• Azure Blob Storage-
• Azure Monitor
• Azure Policy
• Azure Container Registry-
• Defender for Cloud-
• Site Recovery
• Backup

Training voor Microsoft Learn:

• Azure Monitor configureren
• Een oplossing ontwerpen voor back-up en herstel na noodgevallen
• Inleiding tot Azure Arc
• Inleiding tot AKS-
• uw VM's bijgewerkt houden
• uw VM's beveiligen met back-up

Andere middelen:

• implementatie van schaalmodel met Machine Learning overal - Tech Community Blog
• Machine Learning overal realiseren met AKS- en Azure Arc-enabled Machine Learning - Tech Community Blog
• Machine learning in AKS hybrid en Azure Local met behulp van machine learning met Azure Arc - Tech Community-blog