Korzystanie z przełączników bez przełączników usługi Azure Stack HCI i uproszczonego kworum dla biura zdalnego lub oddziału

Arc
Monitor
Zasady
Azure Security Center
Azure Stack HCI

Ta architektura referencyjna ilustruje sposób projektowania infrastruktury dla obciążeń zwirtualizowanych i konteneryzowanych o wysokiej dostępności w scenariuszach pakietu Office zdalnego/oddziału (ROBO).

Architektura

Diagram ilustrujący scenariusz robo rozwiązania Azure Stack HCI z dwuwęźleowym klastrem Azure Stack HCI przy użyciu bez przełącznika połączenia i kworum opartego na usb. Klaster korzysta z wielu usług platformy Azure, w tym usługi Azure Arc, które umożliwiają implementowanie Azure Policy, Azure Automation, które obejmują funkcje zarządzania aktualizacjami platformy Azure, usługę Azure Monitor, Azure File Sync, kartę sieciową platformy Azure, usługę Microsoft Defender for Cloud, Azure Backup, platformę Azure Site Recovery i replikę magazynu.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Architektura obejmuje następujące możliwości:

  • Azure Stack HCI (20H2). Azure Stack HCI to hiperkonwergentne rozwiązanie klastra infrastruktury (HCI), które hostuje zwirtualizowane obciążenia systemu Windows i Linux oraz ich magazyn w hybrydowym środowisku lokalnym. Rozproszony klaster może składać się z czterech do 16 węzłów fizycznych.
  • Monitor udziału plików. Monitor udziału plików jest udziałem bloku komunikatów serwera (SMB), który klaster trybu failover używa jako głosowania w kworum klastra. Począwszy od systemu Windows Server 2019, w tym celu można użyć dysku USB podłączonego do routera .
  • Azure Arc. Oparta na chmurze usługa, która rozszerza model zarządzania oparty na Resource Manager platformy Azure na zasoby inne niż platformy Azure, w tym maszyny wirtualne, klastry Kubernetes i konteneryzowane bazy danych.
  • Azure Policy. Usługa oparta na chmurze, która ocenia zasoby platformy Azure i zasoby lokalne za pomocą integracji z usługą Azure Arc, porównując właściwości z dostosowywalnymi regułami biznesowymi.
  • Azure Monitor. Usługa oparta na chmurze, która maksymalizuje dostępność i wydajność aplikacji i usług, zapewniając kompleksowe rozwiązanie do zbierania, analizowania i działania na telemetrii ze środowisk w chmurze i środowiskach lokalnych.
  • Microsoft Defender for Cloud. Usługa Microsoft Defender for Cloud to ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia stan zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze — niezależnie od tego, czy znajdują się na platformie Azure, czy nie — i lokalnie.
  • Azure Automation. Azure Automation oferuje opartą na chmurze usługę automatyzacji i konfiguracji, która obsługuje spójne zarządzanie w środowiskach platformy Azure i innych niż azure.
  • Śledzenie zmian i spis. Funkcja Azure Automation, która śledzi zmiany na serwerach z systemem Windows Server i Linux hostowanych na platformie Azure, lokalnie i innych środowiskach w chmurze, aby ułatwić określenie problemów operacyjnych i środowiskowych z oprogramowaniem zarządzanym przez Menedżera pakietów dystrybucji.
  • Update Management. Funkcja Azure Automation, która usprawnia zarządzanie aktualizacjami systemu operacyjnego dla maszyn z systemem Windows Server i Linux na platformie Azure, w środowiskach lokalnych i w innych środowiskach w chmurze.
  • Azure Backup. Usługa Azure Backup udostępnia proste, bezpieczne i ekonomiczne rozwiązania do wykonywania kopii zapasowych danych i odzyskiwania ich z chmury platformy Microsoft Azure.
  • Azure Site Recovery. Usługa oparta na chmurze, która pomaga zapewnić ciągłość działania dzięki zachowaniu ciągłości działania aplikacji biznesowych i obciążeń podczas awarii. Site Recovery zarządza replikacją i trybem failover obciążeń działających zarówno na maszynach fizycznych, jak i wirtualnych między ich lokacją główną a lokalizacją dodatkową.
  • Azure File Sync. Usługa oparta na chmurze, która może synchronizować i buforować zawartość udziałów plików platformy Azure przy użyciu serwerów z systemem Windows w środowiskach platformy Azure i innych niż azure.
  • Replika magazynu. Technologia systemu Windows Server, która umożliwia replikację woluminów między serwerami lub klastrami na potrzeby odzyskiwania po awarii.

Składniki

Kluczowe technologie używane do implementowania tej architektury:

Szczegóły scenariusza

Potencjalne przypadki użycia

Typowe zastosowania tej architektury obejmują następujące scenariusze zdalnego pakietu Office/oddziału (ROBO):

  • Zaimplementuj obciążenia brzegowe o wysokiej dostępności oparte na kontenerach i zwirtualizowane aplikacje niezbędne dla działania firmy w ekonomiczny sposób.
  • Niższy całkowity koszt posiadania (TCO) za pośrednictwem rozwiązań certyfikowanych przez firmę Microsoft, automatyzacji opartej na chmurze, scentralizowanego zarządzania i scentralizowanego monitorowania.
  • Kontrolowanie i inspekcja zabezpieczeń i zgodności przy użyciu ochrony opartej na wirtualizacji, certyfikowanego sprzętu i usług opartych na chmurze.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Używaj przełączników bez przełączania usługi Azure Stack HCI i uproszczonego kworum w celu uzyskania wysokiej dostępności i ekonomicznej infrastruktury ROBO.

W scenariuszach ROBO podstawową kwestią biznesową jest minimalizacja kosztów. Jednak wiele obciążeń ROBO ma najwyższy poziom krytyczny z bardzo małą tolerancją dla przestojów. Usługa Azure Stack HCI oferuje optymalne rozwiązanie, oferując zarówno odporność, jak i efektywność kosztową. Za pomocą rozwiązania Azure Stack HCI można zastosować wbudowaną odporność technologii Bezpośrednie miejsca do magazynowania i klastra trybu failover w celu zaimplementowania wysokiej dostępności zasobów obliczeniowych, magazynu i infrastruktury sieciowej na potrzeby konteneryzowanych i zwirtualizowanych obciążeń ROBO. W przypadku ekonomicznej efektywności można używać tylko dwóch węzłów klastra z tylko czterema dyskami i 64 gigabajtami (GB) pamięci na węzeł. Aby jeszcze bardziej zminimalizować koszty, można używać bez przełączania połączeń między węzłami, eliminując w ten sposób potrzebę nadmiarowego przełącznika urządzeń. Aby sfinalizować konfigurację klastra, można zaimplementować monitor udziału plików po prostu przy użyciu dysku USB podłączonego do routera, który hostuje pasma z węzłów klastra. Aby uzyskać maksymalną odporność, w klastrze 2-węzłowym można skonfigurować woluminy Bezpośrednie miejsca do magazynowania z zagnieżdżonym dublowaniem dwukierunkowym lub przyspieszoną parzystością dublowania zagnieżdżonego. W przeciwieństwie do tradycyjnego dublowania dwukierunkowego, te opcje tolerują wiele równoczesnych awarii sprzętowych bez utraty danych.

Uwaga

W przypadku odporności zagnieżdżonej klaster 2-węzłowy i wszystkie jego woluminy pozostaną w trybie online po awarii jednego węzła i pojedynczego dysku w węźle ocalałym.

W pełni zintegruj wdrożenia rozwiązania Azure Stack HCI z platformą Azure, aby zminimalizować TCO w scenariuszach ROBO.

W ramach rodziny produktów usługi Azure Stack rozwiązanie Azure Stack HCI jest z natury zależne od platformy Azure. W związku z tym, aby zoptymalizować funkcje i obsługę, należy zarejestrować go w ciągu 30 dni od wdrożenia pierwszego klastra usługi Azure Stack HCI. Ten proces generuje odpowiedni zasób usługi Azure Resource Manager, który skutecznie rozszerza płaszczyznę zarządzania platformy Azure na usługę Azure Stack HCI i automatycznie włącza Azure Portal oparte na monitorowaniu, obsłudze i funkcjach rozliczeń.

Aby zminimalizować obciążenie związane z zarządzaniem klastrem i obciążeniem usługi Azure Stack HCI, należy również rozważyć użycie następujących usług platformy Azure, które zapewniają następujące możliwości:

Aby dodatkowo korzystać z możliwości platformy Azure, możesz rozszerzyć zakres integracji usługi Azure Arc z zwirtualizowanymi i konteneryzowanymi obciążeniami usługi Azure Stack HCI, implementując następujące funkcje:

Przestroga

Usługa AKS w usługach danych z obsługą usługi Azure Stack HCI i Azure Arc jest dostępna w wersji zapoznawczej podczas publikowania tej architektury referencyjnej.

Zakres usługi Azure Arc rozszerzony na maszyny wirtualne usługi Azure Stack HCI pozwala zautomatyzować ich konfigurację przy użyciu rozszerzeń maszyn wirtualnych platformy Azure i ocenić ich zgodność z przepisami branżowymi i standardami firmowymi przy użyciu Azure Policy.

Korzystaj z ochrony opartej na wirtualizacji usługi Azure Stack HCI, certyfikowanych sprzętu i usług opartych na chmurze, aby zwiększyć stan zabezpieczeń i zgodności w scenariuszach ROBO.

Scenariusze ROBO stanowią unikatowe wyzwania związane z zabezpieczeniami i zgodnością. Bez — ani w najlepszym razie — ograniczona lokalna obsługa IT i brak dedykowanych centrów danych, szczególnie ważne jest, aby chronić obciążenia przed zagrożeniami wewnętrznymi i zewnętrznymi. Możliwości usługi Azure Stack HCI i jej integracja z usługami platformy Azure mogą rozwiązać ten problem.

Certyfikowany sprzęt usługi Azure Stack HCI zapewnia wbudowaną obsługę bezpiecznego rozruchu, ujednoliconego rozszerzalnego interfejsu układowego (UEFI) i modułu TPM (Trusted Platform Module). Te technologie, w połączeniu z zabezpieczeniami opartymi na wirtualizacji (VBS), pomagają chronić obciążenia wrażliwe na zabezpieczenia. Szyfrowanie dysków funkcją BitLocker umożliwia szyfrowanie Bezpośrednie miejsca do magazynowania woluminów magazynowanych, podczas gdy szyfrowanie SMB zapewnia automatyczne szyfrowanie podczas przesyłania, ułatwiając zgodność ze standardami, takimi jak Federal Information Processing Standard 140-2 (FIPS 140-2) i Health Insurance Portability and Accountability Act (HIPAA).

Ponadto możesz dołączyć maszyny wirtualne rozwiązania Azure Stack HCI w usłudze Microsoft Defender for Cloud , aby aktywować analizę behawioralną opartą na chmurze, wykrywanie zagrożeń i korygowanie, alerty i raportowanie. Podobnie, dołączając maszyny wirtualne rozwiązania Azure Stack HCI w usłudze Azure Arc, uzyskujesz możliwość używania Azure Policy do oceny ich zgodności z przepisami branżowymi i standardami firmowymi.

Zagadnienia do rozważenia

Platforma Microsoft Azure Well-Architected Framework to zestaw wytycznych, które są przestrzegane w tej architekturze referencyjnej. Poniższe zagadnienia są oprawione w kontekst tych zestawów.

Niezawodność

Niezawodność zapewnia, że aplikacja może spełnić zobowiązania podjęte wobec klientów. Aby uzyskać więcej informacji, zobacz Omówienie filaru niezawodności.

Zagadnienia dotyczące niezawodności obejmują:

  • Ulepszona szybkość naprawy woluminu Bezpośrednie miejsca do magazynowania (nazywana również ponowną synchronizacją). Bezpośrednie miejsca do magazynowania zapewnia automatyczną ponowną synchronizację po zdarzeniach wpływających na dostępność dysków puli magazynu, takich jak zamykanie węzła klastra lub zlokalizowanej awarii sprzętu. Rozwiązanie Azure Stack HCI implementuje ulepszony proces ponownej synchronizacji , który działa znacznie bardziej szczegółowo niż Windows Server 2019 i znacznie skraca czas ponownej synchronizacji. Minimalizuje to potencjalny wpływ wielu nakładających się awarii sprzętowych.
  • Wybór monitora klastra trybu failover. Lekki monitor oparty na dysku USB eliminuje zależności od niezawodnej łączności z Internetem, która jest wymagana w przypadku korzystania z konfiguracji opartej na monitorze w chmurze.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

Zagadnienia dotyczące zabezpieczeń obejmują:

  • Podstawowe zabezpieczenia usługi Azure Stack HCI. Skorzystaj ze składników sprzętowych rozwiązania Azure Stack HCI (takich jak bezpieczny rozruch, UEFI i TPM), aby utworzyć bezpieczną podstawę dla zabezpieczeń na poziomie maszyn wirtualnych usługi Azure Stack HCI, w tym funkcji Device Guard i Credential Guard. Użyj Windows Admin Center kontroli dostępu opartej na rolach, aby delegować zadania zarządzania, postępując zgodnie z zasadą najniższych uprawnień.
  • Zaawansowane zabezpieczenia usługi Azure Stack HCI. Zastosuj punkty odniesienia zabezpieczeń firmy Microsoft do klastrów rozwiązania Azure Stack HCI i ich obciążeń systemu Windows Server przy użyciu Active Directory Domain Services (AD DS) z zasady grupy. Za pomocą usługi Microsoft Advanced Threat Analytics (ATA) można wykrywać i korygować zagrożenia cybernetyczne przeznaczone dla kontrolerów domeny usług AD DS, które udostępniają usługi uwierzytelniania klastrom usługi Azure Stack HCI i ich obciążeniam systemu Windows Server.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

Zagadnienia dotyczące optymalizacji kosztów obejmują:

  • Połączenia między klastrami opartymi na przełącznikach i bez przełączników. Topologia połączenia między przełącznikami składa się z nadmiarowych połączeń między kartami z jednym portem lub dwoma portami zdalnego bezpośredniego dostępu do pamięci (RDMA) w każdym węźle (które tworzą pełną siatkę), z każdym węzłem podłączonym bezpośrednio do każdego innego węzła. Chociaż jest to proste do zaimplementowania w klastrze 2 węzłów, większe klastry wymagają dodatkowych kart sieciowych na sprzęcie każdego węzła.
  • Model rozliczeń w stylu chmury. Cennik rozwiązania Azure Stack HCI jest zgodny z miesięcznym modelem rozliczeń subskrypcji z stałą stawką za rdzeń procesora fizycznego w klastrze azure Stack HCI.

Przestroga

Chociaż nie ma żadnych lokalnych wymagań dotyczących licencjonowania oprogramowania dla węzłów klastra hostowania infrastruktury rozwiązania Azure Stack HCI, maszyny wirtualne rozwiązania Azure Stack HCI mogą wymagać poszczególnych licencji systemu operacyjnego. W przypadku korzystania z innych usług platformy Azure mogą być również naliczane dodatkowe opłaty za użycie.

Efektywność operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.

Zagadnienia dotyczące doskonałości operacyjnej obejmują:

  • Uproszczone środowisko aprowizacji i zarządzania Windows Admin Center. Kreator tworzenia klastra w systemie Windows Admin Center udostępnia interfejs oparty na kreatorze, który przeprowadzi Cię przez proces tworzenia klastra rozwiązania Azure Stack HCI. Podobnie Windows Admin Center upraszcza proces zarządzania maszynami wirtualnymi rozwiązania Azure Stack HCI.
  • Możliwości automatyzacji. Rozwiązanie Azure Stack HCI oferuje szeroką gamę możliwości automatyzacji, a aktualizacje systemu operacyjnego w połączeniu z aktualizacjami pełnego stosu, w tym oprogramowanie układowe i sterowniki udostępniane przez dostawców i partnerów usługi Azure Stack HCI. W przypadku aktualizacji typu Cluster-Aware (CAU) aktualizacje systemu operacyjnego są uruchamiane nienadzorowane, podczas gdy obciążenia rozwiązania Azure Stack HCI pozostają w trybie online. Powoduje to bezproblemowe przejścia między węzłami klastra, które eliminują wpływ po ponownym uruchomieniu poprawek. Rozwiązanie Azure Stack HCI oferuje również obsługę automatycznej aprowizacji klastra i zarządzania maszynami wirtualnymi przy użyciu Windows PowerShell. Można uruchomić Windows PowerShell lokalnie z jednego z serwerów rozwiązania Azure Stack HCI lub zdalnie z komputera zarządzania. Integracja z Azure Automation i usługą Azure Arc ułatwia szeroką gamę dodatkowych scenariuszy automatyzacji dla zwirtualizowanych i konteneryzowanych obciążeń.
  • Zmniejszona złożoność zarządzania. Połączenie bez przełącznika eliminuje ryzyko awarii urządzeń przełącznika i potrzeby ich konfiguracji i zarządzania.

Efektywność wydajności

Efektywność wydajności to możliwość skalowania obciążenia w celu zaspokojenia zapotrzebowania użytkowników w wydajny sposób. Aby uzyskać więcej informacji, zobacz Omówienie filaru wydajności wydajności.

Zagadnienia dotyczące wydajności obejmują:

Następne kroki

Dokumentacja produktu:

Moduły platformy Microsoft Learn: