Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Platforma Azure Local rozszerza platformę Azure na infrastrukturę należącą do klienta, umożliwiając lokalne wykonywanie nowoczesnych i tradycyjnych aplikacji w różnych lokalizacjach rozproszonych. To rozwiązanie oferuje ujednolicone środowisko zarządzania na jednej płaszczyźnie sterowania i obsługuje szeroką gamę zweryfikowanego sprzętu od zaufanych partnerów firmy Microsoft. Możesz użyć lokalnych możliwości platformy Azure i usługi Azure Arc, aby utrzymać systemy biznesowe i dane aplikacji lokalnie, spełniając wymagania dotyczące suwerenności danych, regulacji i zgodności oraz wymagań dotyczących opóźnień.
W tym artykule założono, że masz wiedzę na temat systemów hybrydowych i masz działającą wiedzę na temat platformy Azure Local. Wskazówki zawarte w tym artykule zawierają zalecenia dotyczące architektury, które odnoszą się do zasad filarów struktury Azure Well-Architected Framework.
Ważne
Jak używać tego przewodnika
Każda sekcja zawiera listę kontrolną projektu, która przedstawia zagadnienia dotyczące architektury wraz ze strategiami projektowania odpowiednimi dla zakresu technologii.
Uwzględniono również zalecenia dotyczące możliwości technologicznych, które mogą pomóc zmaterializować te strategie. Zalecenia nie reprezentują wyczerpującej listy wszystkich konfiguracji dostępnych dla platformy Azure Lokalnie i jej zależności. Zamiast tego przedstawiają listę kluczowych zaleceń dopasowywanych do perspektyw projektowych. Skorzystaj z zaleceń, aby utworzyć weryfikację koncepcji lub zoptymalizować istniejące środowiska.
Podstawowa architektura, która demonstruje kluczowe zalecenia:
Lokalna architektura referencyjna punktu odniesienia platformy Azure.
Zakres technologii
Ten przegląd koncentruje się na powiązanych decyzjach dotyczących następujących zasobów platformy Azure:
- Azure Local (platforma), wersja 23H2 i nowsze
- Lokalne maszyny wirtualne platformy Azure (obciążenie)
Uwaga / Notatka
W tym artykule opisano poprzedni zakres i przedstawiono listy kontrolne i zalecenia uporządkowane według architektury platformy i architektury obciążenia. Obawy dotyczące platformy należą do obowiązków administratorów platformy. Kwestie związane z obciążeniem to odpowiedzialność operatora obciążenia i deweloperów aplikacji. Te role i obowiązki są odrębne, ale w zależności od struktury organizacji mogą być własnością jednego zespołu lub oddzielnych zespołów i osób. Pamiętaj o tej różnicy, gdy stosujesz te wskazówki.
Te wskazówki nie koncentrują się na konkretnych typach zasobów, które można wdrożyć w środowisku lokalnym platformy Azure, takich jak lokalne maszyny wirtualne platformy Azure, usługa Azure Kubernetes Service (AKS) i usługa Azure Virtual Desktop. Podczas wdrażania tych typów zasobów na platformie Azure Lokalnie zapoznaj się z odpowiednimi wskazówkami dotyczącymi obciążeń, aby zaprojektować rozwiązania spełniające wymagania biznesowe.
Niezawodność
Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności dzięki tworzeniu wystarczającej odporności i możliwości szybkiego odzyskiwania po awariach.
Zasady projektowania niezawodności zapewniają ogólną strategię projektowania stosowaną dla poszczególnych składników, przepływów systemowych i całego systemu.
W przypadku wdrożeń w chmurze hybrydowej celem jest zmniejszenie skutków awarii jednego składnika. Użyj tych list kontrolnych projektu i sugestii dotyczących konfiguracji, aby zmniejszyć wpływ awarii składnika na obciążenia wdrażane na platformie Azure Lokalnie.
Ważne jest rozróżnienie między niezawodnością platformy a niezawodnością obciążenia. Niezawodność obciążenia ma zależność od platformy. Właściciele aplikacji lub deweloperzy muszą projektować aplikacje, które mogą dostarczać zdefiniowane cele dotyczące niezawodności.
Lista kontrolna projektu
Rozpocznij strategię projektu na podstawie listy kontrolnej przeglądu niezawodności projektu. Określ jego znaczenie dla wymagań biznesowych, pamiętając o wydajności usługi Azure Local. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
(Architektura platformy lokalnej i architektura obciążenia platformy Azure) Zdefiniuj cele niezawodności obciążenia.
Ustaw cele poziomu usług (SLO), aby można było ocenić cele dostępności. Oblicz wskaźniki SLO jako wartość procentową, taką jak 99,9%, 99,95%lub 99,995%, która odzwierciedla czas dostępności obciążenia. Należy pamiętać, że to obliczenie nie opiera się wyłącznie na metrykach platformy, które emitują lokalne wystąpienia lub obciążenia platformy Azure. Aby uzyskać kompleksową miarę docelową, należy wziąć pod uwagę zniuansowane czynniki, takie jak oczekiwany przestój podczas wydań, rutynowe operacje, możliwość obsługi oraz inne czynniki specyficzne dla obciążenia lub organizacji.
Umowy dotyczące poziomu usług (SLA) udostępniane przez firmę Microsoft często wpływają na obliczenia SLO. Firma Microsoft nie zapewnia jednak umowy SLA dla czasu pracy i łączności wystąpień lokalnych platformy Azure ani wdrożonego obciążenia, ponieważ firma Microsoft nie kontroluje niezawodności centrum danych klienta (na przykład zasilania i chłodzenia) ani osób i procesów, które zarządzają platformą.
(Architektura platformy lokalnej platformy Azure) Zastanów się, jak wydajność i operacje wpływają na niezawodność.
Obniżona wydajność wystąpienia lub jego zależności może sprawić, że platforma lokalna Azure będzie niedostępna. Przykład:
Bez odpowiedniego planowania pojemności obciążenia trudno jest dopasować rozmiar wystąpień lokalnych platformy Azure w fazie projektowania, co jest wymaganiem, aby obciążenie mogło spełniać wymagane cele dotyczące niezawodności. Użyj narzędzia Azure Local Sizer podczas projektowania wystąpienia. Jeśli potrzebujesz maszyn wirtualnych o wysokiej dostępności, rozważ "N+1 minimalne wymaganie dotyczące liczby maszyn wirtualnych o wysokiej dostępności". W przypadku obciążeń o krytycznym znaczeniu dla działania firmy lub o krytycznym znaczeniu dla misji należy rozważyć użycie "liczba maszyn N+2" dla rozmiaru wystąpienia, jeśli kluczowa jest odporność.
Niezawodność platformy zależy od tego, jak dobrze działają zależności platformy krytycznej, takie jak typy dysków fizycznych. Musisz wybrać odpowiednie typy dysków dla swoich wymagań. W przypadku obciążeń wymagających małych opóźnień i magazynu o wysokiej przepływności zalecamy konfigurację magazynu typu all-flash (tylko NVMe/SSD). W przypadku obliczeń ogólnego przeznaczenia konfiguracja magazynu hybrydowego (NVMe lub SSD na potrzeby pamięci podręcznej i dysków HDD dla pojemności) może zapewnić więcej miejsca do magazynowania. Jednak kompromis polega na tym, że obracające się dyski mają znacznie niższą wydajność, jeśli obciążenie przekracza zestaw roboczy pamięci podręcznej, a dyski HDD mają znacznie niższy średni czas między wartością awarii w porównaniu z dyskami NVMe/SSD.
Wydajność i efektywność opisują te przykłady bardziej szczegółowo.
Nieprawidłowe operacje lokalne platformy Azure mogą mieć wpływ na stosowanie poprawek i uaktualnień, testowanie i spójność wdrożeń. Oto kilka przykładów:
Jeśli lokalna platforma Azure nie rozwija się wraz z najnowszym oprogramowaniem układowym producenta oryginalnego sprzętu (OEM), sterownikami oraz innowacjami, może nie korzystać z najnowszych funkcji odporności. Regularnie stosuj aktualizacje sprzętowego sterownika OEM i oprogramowania układowego. Aby uzyskać więcej informacji, zobacz Aktualizacje rozszerzenia narzędzia Solution Builder dla usługi Azure Local lub porozmawiaj ze swoim partnerem OEM sprzętu, aby uzyskać aktualizacje oprogramowania układowego i sterowników.
Przed wdrożeniem należy przetestować środowisko docelowe pod kątem łączności, sprzętu i tożsamości oraz zarządzania dostępem. W przeciwnym razie możesz wdrożyć rozwiązanie lokalne platformy Azure w niestabilnym środowisku, co może powodować problemy z niezawodnością. Narzędzie do sprawdzania środowiska w trybie autonomicznym można wykorzystać do wykrywania problemów, jeszcze zanim sprzęt instancji będzie dostępny.
Aby uzyskać wskazówki operacyjne, zobacz Operational Excellence.
(Architektura platformy lokalnej platformy Azure) Zapewnienie odporności na uszkodzenia wystąpienia i jego zależności infrastruktury.
Opcje projektowania magazynu. W przypadku większości wdrożeń wystarczająca jest opcja domyślna "automatyczne tworzenie woluminów obciążeń i infrastruktury". Jeśli wybierzesz opcję zaawansowaną: "utwórz tylko wymagane woluminy infrastruktury", skonfiguruj odpowiednią tolerancję błędów dla woluminów w ramach Storage Spaces Direct na podstawie wymagań dotyczących obciążenia. Te decyzje wpływają na wydajność, pojemność i możliwości odporności woluminów. Na przykład, trzystronne lustro zwiększa niezawodność i wydajność dla instancji z co najmniej trzema maszynami. Aby uzyskać więcej informacji, zobacz Odporność na uszkodzenia dla wydajności przechowywania i Tworzenie wirtualnych dysków i woluminów w funkcji Storage Spaces Direct.
Architektura sieci. Użyj zweryfikowanej topologii sieci , aby wdrożyć usługę Azure Local. Instancje wielomaszynowe z co najmniej czterema maszynami fizycznymi wymagają projektu "przełączonej pamięci". Wystąpienia z dwoma lub trzema maszynami mogą opcjonalnie korzystać z projektu "bez przełącznika pamięci masowej". Niezależnie od rozmiaru wystąpienia zalecamy użycie przełączników z podwójnym szczytem stojaka (ToR) dla intencji zarządzania i obliczeń (północ i południe), aby zapewnić zwiększoną odporność na uszkodzenia. Podwójna topologia tor zapewnia również odporność podczas operacji obsługi przełącznika (aktualizacja oprogramowania układowego). Aby uzyskać więcej informacji, zobacz Zweryfikowane topologie sieci.
(Architektura obciążenia) Tworzenie nadmiarowości w celu zapewnienia odporności.
Rozważ obciążenie wdrożone w jednym wystąpieniu lokalnym platformy Azure jako lokalnie nadmiarowe wdrożenie. Wystąpienie zapewnia wysoką dostępność na poziomie platformy, ale należy pamiętać, że instancja jest wdrażana "w jednym stojaku". W związku z tym, w przypadku zastosowań krytycznych dla działalności biznesowej lub misji, zalecamy wdrożenie wielu wystąpień obciążenia lub usługi w co najmniej dwóch oddzielnych lokalnych wystąpieniach platformy Azure, najlepiej w różnych lokalizacjach fizycznych.
Użyj standardowych wzorców wysokiej dostępności przeznaczonych dla obciążeń, na przykład projektu, który zapewnia aktywne/pasywne synchroniczne lub asynchroniczne replikację danych (na przykład rozwiązania SQL Server Always On). Innym przykładem jest zewnętrzna technologia równoważenia obciążenia sieciowego (NLB), która umożliwia kierowanie żądań użytkowników do wielu wystąpień obciążeń działających w instancjach lokalnych platformy Azure wdrożonych w oddzielnych lokalizacjach fizycznych. Rozważ użycie zewnętrznego urządzenia równoważenia obciążenia sieciowego partnera. Możesz też ocenić opcje równoważenia obciążenia, które obsługują routing ruchu dla usług hybrydowych i lokalnych, jak na przykład wystąpienie usługi Azure Application Gateway, które używa usługi Azure ExpressRoute lub tunelu sieci VPN do łączenia się z usługą wewnętrzną.
Aby uzyskać więcej informacji, zobacz Wdrażanie wystąpień obciążeń na platformie Azure w różnych lokalnych instancjach.
(Architektura obciążenia) Zaplanuj i przetestuj odzyskiwanie na podstawie celów punktu odzyskiwania (RPO) i czasu odzyskiwania (RTO) dla swojego obciążenia.
Miej dobrze udokumentowany plan odzyskiwania po awarii. Regularnie przetestuj kroki odzyskiwania, aby upewnić się, że plany i procesy ciągłości działania są prawidłowe. Ustal, czy usługa Azure Site Recovery jest realnym wyborem w celu ochrony maszyn wirtualnych uruchomionych na platformie Azure Lokalnie. Aby uzyskać więcej informacji, zobacz Ochrona obciążeń maszyn wirtualnych za pomocą usługi Azure Site Recovery w usłudze Azure Local (wersja zapoznawcza).
(Architektura obciążenia) Konfigurowanie i regularne testowanie procedur tworzenia i przywracania kopii zapasowych obciążeń.
Wymagania biznesowe dotyczące odzyskiwania i przechowywania danych napędzają strategię tworzenia kopii zapasowych obciążeń. Kompleksowa strategia obejmuje zagadnienia dotyczące systemu operacyjnego obciążenia (OS) i danych trwałych aplikacji, z możliwością przywracania pojedynczych (punkt w czasie) danych na poziomie plików i na poziomie folderów. Skonfiguruj zasady przechowywania kopii zapasowych na podstawie wymagań dotyczących odzyskiwania i zgodności danych, które określają liczbę i wiek dostępnych punktów odzyskiwania danych. Zapoznaj się z usługą Azure Backup jako opcją włączania kopii zapasowych na poziomie hosta lub maszyny wirtualnej na poziomie gościa dla usługi Azure Local. Zapoznaj się z rozwiązaniami ochrony danych od niezależnych dostawców oprogramowania kopii zapasowych, jeśli jest to istotne. Aby uzyskać więcej informacji, zobacz Azure Backup guidance and best practices and Azure Backup for Azure Local (Wskazówki i najlepsze rozwiązania dotyczące usługi Azure Backup dla usługi Azure Local).
Rekomendacje
| Rekomendacja | Korzyść |
|---|---|
| W przypadku scenariuszy biznesowych lub o krytycznym znaczeniu zaimplementuj architektury obciążeń wieloregionowych, umożliwiające okna obsługi podczas stosowania aktualizacji, co zmniejsza ryzyko. | W przypadku scenariuszy biznesowych lub o krytycznym znaczeniu (z bardzo rygorystycznymi/ niskimi celami SLO) należy rozważyć zaimplementowanie okien obsługi podczas stosowania aktualizacji. Na przykład wykonaj awaryjne przełączenie obciążeń krytycznych dla działalności firmy między aktywnymi a pasywnymi lokalnymi instancjami Azure, jako część strategii odzyskiwania po awarii i zapewnienia ciągłości działania (BC/DR). Użycie podejścia typu failover obciążenia zmniejsza ryzyko operacyjne podczas stosowania aktualizacji do Azure Local, biorąc pod uwagę fakt, że odporność każdego klastra failover jest tymczasowo zmniejszana, gdy węzły fizyczne są opróżniane i ponownie uruchamiane (jeden po jednym) podczas operacji serwisowych. |
| Zarezerwuj odpowiednik jednego dysku o pojemności na maszynę w puli magazynowej Storage Spaces Direct. | Jeśli zdecydujesz się utworzyć woluminy obciążenia po wdrożeniu wystąpienia lokalnego platformy Azure (opcja zaawansowana: "utwórz tylko wymagane woluminy infrastruktury"), zalecamy pozostawienie 5% do 10% całkowitej pojemności puli nieprzydzielonej w puli magazynów. Ta zarezerwowana i niewykorzystana (lub wolna) pojemność umożliwia Storage Spaces Direct naprawę bezpośrednią, gdy dysk fizyczny ulegnie awarii, co poprawia odporność i wydajność danych w przypadku awarii dysku fizycznego. |
| Upewnij się, że wszystkie maszyny fizyczne mają dostęp sieciowy do listy wymaganych wychodzących punktów końcowych HTTPS dla usługi Azure Local i Azure Arc. | Aby niezawodnie zarządzać, monitorować i obsługiwać lokalne wystąpienia platformy Azure lub zasoby obciążonego środowiska, wymagane punkty końcowe sieci wychodzącej muszą mieć dostęp bezpośredni lub za pośrednictwem serwera proxy. Tymczasowa przerwa nie ma wpływu na stan działania obciążenia, ale może mieć wpływ na możliwości zarządzania. |
| Jeśli zdecydujesz się ręcznie tworzyć woluminy obciążenia (dyski wirtualne), użyj najbardziej odpowiedniego typu odporności , aby zmaksymalizować odporność i wydajność obciążenia. W przypadku każdego woluminu użytkownika tworzonego ręcznie po wdrożeniu wystąpienia utwórz ścieżkę przechowywania dla woluminów na platformie Azure. Wolumin może przechowywać pliki konfiguracji maszyn wirtualnych do obsługi obciążeń, wirtualne dyski twarde maszyn wirtualnych (VHD) i obrazy maszyn wirtualnych za pośrednictwem ścieżki magazynowania. | W przypadku lokalnych wystąpień platformy Azure z co najmniej trzema maszynami, należy rozważyć użycie trójkierunkowego lustrzanego odbicia, aby zapewnić najwyższą odporność i wydajność. Zalecamy używanie woluminów lustrzanych dla obciążeń o znaczeniu krytycznym dla działania firmy. |
| Rozważ zaimplementowanie reguł ochrony przed koligacją obciążenia , aby upewnić się, że maszyny wirtualne hostujące wiele wystąpień tej samej usługi działają na oddzielnych hostach fizycznych. Ta koncepcja jest podobna do "zestawów dostępności" na platformie Azure. | Spraw, aby wszystkie komponenty były redundantne. W przypadku obciążeń krytycznych dla działania firmy lub o znaczeniu krytycznym użyj wielu lokalnych maszyn wirtualnych Azure lub zestawów replik Kubernetes lub podów, aby wdrożyć wiele wystąpień aplikacji lub usług. Takie podejście zwiększa odporność, jeśli wystąpi nieplanowana awaria pojedynczej maszyny fizycznej. |
Zabezpieczenia
Celem filaru Zabezpieczenia jest zapewnienie gwarancji dotyczących poufności, integralności i dostępności obciążenia.
Zasady projektowania zabezpieczeń zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów, stosując podejścia do projektu technicznego usługi Azure Local.
Azure Local to domyślnie bezpieczny produkt, który ma ponad 300 ustawień zabezpieczeń włączonych podczas procesu wdrażania w chmurze. Domyślne ustawienia zabezpieczeń zapewniają spójny bazowy poziom zabezpieczeń, aby zapewnić, że urządzenia uruchamiają się w znanym dobrym stanie. Korzystając z mechanizmów ochrony przed dryfem, możesz zapewnić zarządzanie na dużą skalę.
Domyślne funkcje zabezpieczeń w usłudze Azure Local obejmują ustawienia zabezpieczeń systemu operacyjnego ze wzmocnionymi zabezpieczeniami, kontrolę aplikacji, szyfrowanie woluminów za pośrednictwem funkcji BitLocker, rotację wpisów tajnych, lokalne wbudowane konta użytkowników i usługę Microsoft Defender dla Chmury. Aby uzyskać więcej informacji, zobacz Przeglądanie funkcji zabezpieczeń.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektowania pod kątem bezpieczeństwa. Identyfikowanie luk w zabezpieczeniach i mechanizmów kontroli w celu poprawy stanu zabezpieczeń. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
(Architektura platformy lokalnej platformy Azure) Przejrzyj punkty odniesienia zabezpieczeń. Standardy lokalne i zabezpieczeń platformy Azure zapewniają podstawowe wskazówki dotyczące zwiększania poziomu zabezpieczeń platformy i hostowanych obciążeń. Jeśli obciążenie musi być zgodne z określonymi przepisami dotyczącymi zgodności z przepisami, należy uwzględnić standardy zabezpieczeń prawnych, takie jak Payment Card Industry Data Security Standards i Federal Information Processing Standard 140.
Ustawienia domyślne dostępne na platformie Azure umożliwiają korzystanie z funkcji zabezpieczeń, w tym mechanizmów kontroli tożsamości, filtrowania sieci i szyfrowania. Te ustawienia stanowią dobry punkt odniesienia zabezpieczeń dla nowo aprowizowanego wystąpienia lokalnego platformy Azure. Każde ustawienie można dostosować na podstawie wymagań dotyczących zabezpieczeń organizacji.
Upewnij się, że wykrywasz i chronisz przed niepożądanym dryfem konfiguracji zabezpieczeń.
(Architektura platformy lokalnej platformy Azure) Wykrywanie zagrożeń, zapobieganie im i reagowanie na nie. Stale monitoruj środowisko lokalne platformy Azure i chroni przed istniejącymi i zmieniającymi się zagrożeniami.
Zalecamy włączenie usługi Defender for Cloud w środowisku lokalnym platformy Azure. Włącz podstawowy plan usługi Defender for Cloud (warstwa bezpłatna) przy użyciu usługi Defender Cloud Security Posture Management, aby monitorować i identyfikować kroki, które można wykonać w celu zabezpieczenia lokalnej platformy Azure oraz innych zasobów platformy Azure i usługi Azure Arc.
Aby korzystać z rozszerzonych funkcji zabezpieczeń, w tym alertów zabezpieczeń dla poszczególnych serwerów i lokalnych maszyn wirtualnych platformy Azure, włącz usługę Microsoft Defender dla serwerów na maszynach wystąpień lokalnych platformy Azure i lokalnych maszynach wirtualnych platformy Azure.
Usługa Defender for Cloud umożliwia mierzenie stanu zabezpieczeń maszyn lokalnych i obciążeń platformy Azure. Usługa Defender for Cloud udostępnia jedno okienko szkła, które ułatwia zarządzanie zgodnością z zabezpieczeniami.
Usługa Defender for Servers umożliwia monitorowanie hostowanych maszyn wirtualnych pod kątem zagrożeń i błędów konfiguracji. Można również włączyć funkcje wykrywania i reagowania punktów końcowych na maszynach lokalnych platformy Azure.
Rozważ agregowanie danych analizy zabezpieczeń i zagrożeń ze wszystkich źródeł w scentralizowanym rozwiązaniu do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takim jak Microsoft Sentinel.
(Architektura platformy lokalnej i architektura obciążenia platformy Azure) Utwórz segmentację, aby ograniczyć zasięg rażenia. Istnieje kilka strategii umożliwiających osiągnięcie segmentacji.
Tożsamość. Zachowaj oddzielne role i obowiązki dla platformy i obciążenia. Zezwalaj tylko autoryzowanym tożsamościom na wykonywanie określonych operacji, które są zgodne z wyznaczonymi rolami. Administratorzy platformy lokalnej platformy Azure używają poświadczeń platformy Azure i domeny lokalnej do wykonywania zadań platformy. Operatorzy obciążeń i deweloperzy aplikacji zarządzają zabezpieczeniami obciążeń. Aby uprościć delegowanie uprawnień, użyj ról wbudowanej kontroli dostępu opartej na rolach (RBAC) platformy Azure, takich jak "Administrator lokalny platformy Azure" dla administratorów platformy i "Współautor lokalnej maszyny wirtualnej platformy Azure" lub "Czytelnik lokalnych maszyn wirtualnych platformy Azure" dla operatorów obciążeń. Aby uzyskać więcej informacji na temat określonych wbudowanych akcji ról, zobacz dokumentację RBAC platformy Azure dotyczącą ról hybrydowych i wielochmurowych.
Sieć. W razie potrzeby izoluj sieci. Można na przykład aprowizować wiele sieci logicznych korzystających z oddzielnych wirtualnych sieci lokalnych (vLAN) i zakresów adresów sieciowych. W przypadku korzystania z tego podejścia upewnij się, że sieć zarządzania może dotrzeć do każdej sieci logicznej i sieci VLAN, aby lokalne maszyny Azure mogły komunikować się z sieciami VLAN za pośrednictwem przełączników lub bram ToR. Ta konfiguracja jest niezbędna do zarządzania dostępnością obciążenia, na przykład w celu umożliwienia agentom zarządzania infrastrukturą komunikacji z systemem operacyjnym gościa, w którym działa obciążenie.
Zapoznaj się z zaleceniami dotyczącymi tworzenia strategii segmentacji , aby uzyskać dodatkowe informacje.
(Architektura platformy lokalnej i architektura obciążenia platformy Azure) Użyj zaufanego dostawcy tożsamości, aby kontrolować dostęp. Zalecamy, aby identyfikator Entra firmy Microsoft był przeznaczony do wszystkich celów uwierzytelniania i autoryzacji. W razie potrzeby możesz dołączyć obciążenie do lokalnej domeny usługi Active Directory systemu Windows Server. Korzystaj z funkcji obsługujących silne hasła, uwierzytelnianie wieloskładnikowe, kontrolę RBAC i zarządzanie wpisami tajnymi.
(Architektura platformy lokalnej i architektura obciążenia platformy Azure) Izolowanie, filtrowanie i blokowanie ruchu sieciowego. Może istnieć przypadek użycia obciążenia, który wymaga sieci wirtualnych, mikrosegmentacji za pośrednictwem sieciowych grup zabezpieczeń, zasad jakości usług sieciowych lub tworzenia łańcuchów urządzeń wirtualnych, aby umożliwić filtrowanie urządzeń partnerskich. Jeśli masz takie obciążenie, zobacz zagadnienia dotyczące sieci zdefiniowanej programowo pod kątem wzorców referencyjnych sieci , aby zapoznać się z listą obsługiwanych funkcji i możliwości oferowanych przez kontroler sieci .
(Architektura obciążenia) Szyfrowanie danych w celu ochrony przed naruszeniami. Szyfrowanie danych przesyłanych, danych magazynowanych i używanych danych.
Szyfrowanie danych magazynowanych jest włączone na woluminach danych tworzonych podczas wdrażania. Te woluminy danych obejmują woluminy infrastruktury i woluminy obciążeń. Aby uzyskać więcej informacji, zobacz Zarządzanie szyfrowaniem funkcji BitLocker.
Użyj zaufanego uruchamiania dla lokalnych maszyn wirtualnych platformy Azure, aby zwiększyć bezpieczeństwo maszyn wirtualnych generacji 2 dzięki funkcjom nowoczesnych systemów operacyjnych, takich jak Bezpieczny start, który może używać wirtualnego modułu zaufanej platformy.
Umożliwienie zarządzania tajemnicami. Na podstawie wymagań organizacji zmień poświadczenia skojarzone z tożsamością użytkownika wdrożenia dla usługi Azure Local. Aby uzyskać więcej informacji, zobacz Zarządzanie rotacją tajemnic.
(Architektura platformy lokalnej platformy Azure) Wymuszanie mechanizmów kontroli zabezpieczeń. Użyj usługi Azure Policy, aby przeprowadzać inspekcję i wymuszać wbudowane zasady, takie jak "Zasady kontroli aplikacji powinny być spójnie wymuszane" lub "Woluminy szyfrowane powinny być implementowane". Za pomocą tych zasad platformy Azure można przeprowadzać inspekcję ustawień zabezpieczeń i oceniać stan zgodności usługi Azure Local. Przykłady dostępnych zasad można znaleźć w temacie Zasady platformy Azure.
(Architektura obciążenia) Zwiększ poziom zabezpieczeń obciążenia za pomocą wbudowanych zasad. Aby ocenić lokalne maszyny wirtualne platformy Azure działające na platformie Azure lokalnie, możesz zastosować wbudowane zasady za pośrednictwem testu porównawczego zabezpieczeń, usługi Azure Update Manager lub rozszerzenia konfiguracji gościa usługi Azure Policy. Aby sprawdzić następujące warunki, możesz użyć różnych zasad:
- Instalacja agenta usługi Log Analytics
- Nieaktualne aktualizacje systemu, które muszą być aktualne z najnowszymi poprawkami zabezpieczeń
- Ocena luk w zabezpieczeniach i potencjalne środki zaradcze
- Korzystanie z bezpiecznych protokołów komunikacyjnych
Rekomendacje
| Rekomendacja | Korzyść |
|---|---|
| Użyj ustawień bazowych ustawień zabezpieczeń i kontroli dryfu, aby zastosować i zachować ustawienia zabezpieczeń na maszynach instancji. | Te konfiguracje pomagają chronić przed niepożądanymi zmianami i odchylaniem się, ponieważ automatycznie odświeżają ustawienia zabezpieczeń co 90 minut, aby wymusić zamierzony stan zabezpieczeń usługi Azure Local. |
| Użyj kontrolki aplikacji w środowisku lokalnym platformy Azure. | Kontrola aplikacji zmniejsza obszar ataków na platformę Azure Lokalnie. Użyj witryny Azure Portal lub programu PowerShell, aby wyświetlić ustawienia zasad i kontrolować tryby zasad. Zasady kontroli aplikacji pomagają kontrolować, które sterowniki i aplikacje mogą być uruchamiane w systemie. |
| Włącz szyfrowanie woluminów za pomocą funkcji BitLocker na potrzeby ochrony danych magazynowanych. | BitLocker chroni woluminy systemu operacyjnego i danych, szyfrując współdzielone woluminy instancji utworzone w lokalnym środowisku Azure. Funkcja BitLocker używa szyfrowania XTS-AES 256-bitowego. Zalecamy, aby ustawienie domyślne szyfrowania woluminów było włączone podczas wdrażania w chmurze lokalnej platformy Azure dla wszystkich woluminów danych. |
| Wyeksportuj klucze odzyskiwania funkcji BitLocker, aby przechowywać je w bezpiecznej lokalizacji zewnętrznej poza wystąpieniem lokalnym platformy Azure. | Podczas rozwiązywania problemów lub działań odzyskiwania możesz potrzebować kluczy BitLocker. Zalecamy eksportowanie, zapisywanie i tworzenie kopii zapasowej kluczy szyfrowania dla woluminów systemu operacyjnego i danych z każdej lokalnej instancji platformy Azure, korzystając z polecenia cmdlet programu PowerShell "Get-AsRecoveryKeyInfo". Zapisz klucze w bezpiecznej lokalizacji zewnętrznej, takiej jak usługa Azure Key Vault. |
| Użyj rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), aby zwiększyć możliwości monitorowania zabezpieczeń i alertów. W tym celu można dołączyć serwery z obsługą usługi Azure Arc (maszyny platformy lokalnej platformy Azure) do usługi Microsoft Sentinel. Alternatywnie, jeśli używasz innego rozwiązania SIEM, skonfiguruj przekazywanie dziennika systemowego zdarzeń zabezpieczeń do wybranego rozwiązania. | Przekazywanie danych zdarzeń zabezpieczeń przy użyciu usługi Microsoft Sentinel lub przekazywania dziennika systemowego w celu zapewnienia możliwości zgłaszania alertów i raportowania za pośrednictwem integracji z rozwiązaniem SIEM zarządzanym przez klienta. |
| Użyj podpisywania bloku komunikatów serwera (SMB), aby ulepszyć ochronę danych podczas przesyłania, która jest włączona w "domyślnych ustawieniach zabezpieczeń". | Podpisywanie Server Message Block (SMB) umożliwia cyfrowe podpisywanie ruchu SMB między lokalną platformą Azure a systemami zewnętrznymi (w kierunku północnym lub południowym). Skonfiguruj podpisywanie dla zewnętrznego ruchu SMB między lokalną platformą Azure a innymi systemami, aby zapobiec atakom przekaźnikowym. |
| Użyj ustawienia szyfrowania bloku komunikatów serwera (SMB), aby zwiększyć ochronę danych podczas przesyłania, która jest włączona w "domyślnych ustawieniach zabezpieczeń". | Szyfrowanie bloku komunikatów serwera (SMB) w kontekście ustawienia ruchu dla ruchu w instancji kontroluje szyfrowanie ruchu między maszynami fizycznymi w lokalnym wystąpieniu platformy Azure (wschodnim lub zachodnim) w sieci magazynowej. |
Optymalizacja kosztów
Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizacji w innych w celu spełnienia budżetu organizacji przy jednoczesnym spełnieniu wymagań biznesowych.
Zasady projektowania optymalizacji kosztów zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów i podejmowania kompromisów zgodnie z potrzebami w projekcie technicznym związanym z usługą Azure Local i jego środowiskiem.
Lista kontrolna projektu
Rozpocznij strategię projektową, opierając się na liście kontrolnej przeglądu projektu dla optymalizacji kosztów związanych z inwestycjami. Dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich możliwości platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.
Platforma Azure Local wiąże się z kosztami sprzętu, licencjonowania oprogramowania, obciążeń, maszyn wirtualnych gościa (Windows Server lub Linux) oraz innych zintegrowanych usług w chmurze, takich jak Azure Monitor i Defender for Cloud.
(Architektura platformy lokalnej i architektura obciążenia platformy Azure) Szacowanie realistycznych kosztów w ramach modelowania kosztów. Skorzystaj z kalkulatora cen platformy Azure , aby wybrać i skonfigurować usługi, takie jak Azure Local, Azure Arc i AKS na platformie Azure Local. Poeksperymentuj z różnymi konfiguracjami i opcjami płatności, aby modelować koszty.
(Architektura platformy lokalnej i architektura obciążenia platformy Azure) Zoptymalizuj koszt sprzętu lokalnego platformy Azure. Wybierz partnera OEM sprzętu, który jest zgodny z wymaganiami biznesowymi i komercyjnymi. Aby zapoznać się z certyfikowaną listą zweryfikowanych maszyn, zintegrowanych systemów i rozwiązań premier, zobacz Katalog rozwiązań lokalnych platformy Azure. Przekaż charakterystykę swojego obciążenia, jego rozmiar, ilość i wydajność partnerowi sprzętowemu, aby umożliwić odpowiednie dostosowanie kosztowo efektywnego rozwiązania sprzętowego dla lokalnej maszyny Azure i rozmiaru instancji.
(Architektura platformy lokalnej platformy Azure) Optymalizowanie kosztów licencjonowania. Oprogramowanie lokalne platformy Azure jest licencjonowane i rozliczane na podstawie "rdzenia procesora fizycznego". Użyj istniejących lokalnych licencji podstawowych z korzyścią użycia hybrydowego platformy Azure, aby zmniejszyć koszty licencjonowania dla lokalnych obciążeń Azure, takich jak lokalne maszyny wirtualne Azure uruchamiające Windows Server, SQL Server lub AKS oraz Azure SQL Managed Instance z obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz Kalkulator kosztów korzyści użycia hybrydowego platformy Azure.
(Architektura platformy lokalnej platformy Azure) Oszczędzaj na kosztach środowiska. Oceń, czy poniższe opcje mogą pomóc w optymalizacji użycia zasobów.
Korzystaj z programów rabatowych, które oferuje firma Microsoft. Rozważ użycie korzyści użycia hybrydowego platformy Azure, aby zmniejszyć koszty uruchamiania obciążeń platformy Azure lokalnych i systemu Windows Server. Aby uzyskać więcej informacji, zobacz Korzyść użycia hybrydowego platformy Azure dla usługi Azure Local.
Zapoznaj się z ofertami promocyjnymi. Skorzystaj z lokalnej 60-dniowej bezpłatnej wersji próbnej platformy Azure po rejestracji, aby uzyskać wstępny dowód koncepcji lub weryfikacji.
(Architektura platformy lokalnej platformy Azure) Oszczędzaj na kosztach operacyjnych.
Oceń opcje technologii dotyczące stosowania poprawek, aktualizacji i innych operacji. Rozwiązanie Update Manager jest bezpłatne dla wystąpień lokalnych platformy Azure z włączoną korzyścią użycia hybrydowego platformy Azure i zarządzaniem maszynami wirtualnymi usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące programu Update Manager i Cennik programu Update Manager.
Oceń koszty związane z obserwacją. Skonfiguruj reguły alertów i reguły zbierania danych (DCR), aby spełnić wymagania dotyczące monitorowania i inspekcji. Ilość danych przechwytywanych, przetwarzanych i zachowywanych bezpośrednio wpływa na koszty. Optymalizowanie przy użyciu zasad przechowywania inteligentnego, ograniczania liczby i częstotliwości alertów oraz wybierania odpowiedniej warstwy magazynowania na potrzeby przechowywania dzienników. Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące optymalizacji kosztów dla usługi Log Analytics.
(Architektura obciążenia) Warto rozważyć gęstość w porównaniu do izolacji. Użyj usługi AKS w usłudze Azure Local, aby zwiększyć gęstość i uprościć zarządzanie obciążeniami, aby umożliwić konteneryzowanym aplikacjom skalowanie w wielu lokalizacjach centrów danych lub brzegowych. Aby uzyskać więcej informacji, zobacz AKS on Azure Local pricing.
Rekomendacje
| Rekomendacja | Korzyść |
|---|---|
| Korzystaj z korzyści hybrydowej Azure dla lokalnych rozwiązań, jeśli posiadasz licencje Windows Server Datacenter z pakietem Software Assurance. | Dzięki Korzyści Hybrydowej Azure dla usługi Azure Local możesz maksymalizować wartość swoich lokalnych licencji i modernizować istniejącą infrastrukturę do Azure Local bez dodatkowych kosztów. |
| Wybierz dodatek subskrypcji Windows Server lub użyj własnej licencji do licencjonowania i aktywacji maszyn wirtualnych Windows Server, aby korzystać z nich w środowisku lokalnym Azure. Aby uzyskać więcej informacji, zobacz License Windows Server VMs on Azure Local (Licencjonuj maszyny wirtualne z systemem Windows Server na platformie Azure lokalnie). | Choć możesz używać dowolnych istniejących licencji Windows Server i dostępnych metod aktywacji, możesz także opcjonalnie włączyć "dodatek subskrypcji Windows Server", który dostępny jest wyłącznie dla Azure Local. Pozwala on subskrybować licencje gości Windows Server za pośrednictwem platformy Azure, a opłata naliczana jest na podstawie łącznej liczby rdzeni fizycznych w instancji Azure Local. |
| Użyj korzyści z weryfikacji Azure dla maszyn wirtualnych, rozszerzonej na Azure Local, aby obsługiwane obciążenia wyłącznie dla Azure mogły działać poza chmurą. | Ta korzyść jest domyślnie włączona w usłudze Azure Local w wersji 23H2 lub nowszej. Skorzystaj z tej korzyści, aby maszyny wirtualne mogły działać w innych środowiskach Azure, a obciążenia mogły korzystać z ofert dostępnych tylko na tej platformie, takich jak rozszerzone aktualizacje zabezpieczeń włączane dzięki usłudze Azure Arc. |
Doskonałość operacyjna
Doskonałość operacyjna koncentruje się przede wszystkim na procedurach dotyczących praktyk programistycznych, możliwości obserwacji i zarządzania wydaniami.
Zasady projektowania doskonałości operacyjnej zapewniają ogólną strategię projektowania w celu osiągnięcia tych celów, uwzględniając wymagania operacyjne pracy.
Monitorowanie i diagnostyka mają kluczowe znaczenie. Metryki możesz wykorzystać do mierzenia statystyk wydajności oraz szybkiego diagnozowania i rozwiązywania problemów. Aby uzyskać więcej informacji na temat rozwiązywania problemów, zobacz Zasady projektowania doskonałości operacyjnej i Zbieranie dzienników diagnostycznych dla usługi Azure Local.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem doskonałości operacyjnej w celu zdefiniowania procesów do obserwowania, testowania i wdrażania związanego z platformą Azure Local.
(Architektura platformy lokalnej platformy Azure) Zwiększanie możliwości obsługi lokalnej platformy Azure. Możliwość obserwacji jest domyślnie włączona w momencie wdrażania. Te możliwości zwiększają możliwości obsługi platformy. Dane telemetryczne i diagnostyczne są bezpiecznie udostępniane z platformy przy użyciu rozszerzenia AzureEdgeTelemetryAndDiagnostics , które jest instalowane domyślnie na wszystkich maszynach lokalnych platformy Azure. Aby uzyskać więcej informacji, zobacz Azure Local observability (Możliwość obserwacji lokalnej platformy Azure).
(Architektura platformy lokalnej platformy Azure) Użyj usług platformy Azure, aby zmniejszyć złożoność operacyjną i zwiększyć skalę zarządzania. Usługa Azure Local jest zintegrowana z platformą Azure, aby włączyć usługi, takie jak Update Manager w celu stosowania poprawek platformy i usługi Azure Monitor na potrzeby monitorowania i zgłaszania alertów. Usługi Azure Arc i Azure Policy umożliwiają zarządzanie konfiguracją zabezpieczeń i inspekcją zgodności. Zaimplementuj usługę Defender for Cloud, aby ułatwić zarządzanie zagrożeniami cybernetycznym i lukami w zabezpieczeniach. Użyj platformy Azure jako płaszczyzny sterowania dla tych procesów operacyjnych i procedur, aby zmniejszyć złożoność, poprawić wydajność skalowania i poprawić spójność zarządzania.
(Architektura obciążenia) Zaplanuj wymagania dotyczące zakresu adresów IP dla obciążeń z wyprzedzeniem. Usługa Azure Local udostępnia platformę do wdrażania zwirtualizowanych lub konteneryzowanych obciążeń oraz zarządzania nimi. Należy również wziąć pod uwagę wymagania dotyczące adresów IP dla sieci logicznych używanych przez obciążenie. Przejrzyj poniższe zasoby:
Architektura referencyjna sieci platformy Azure i wymagania dotyczące adresów IP
Obciążenia wdrożone na platformie Azure Lokalnie wymagają sieci logicznych. Aby zapoznać się z konkretnymi przykładami, zobacz Wymagania dotyczące sieci dla klastrów usługi AKS, sieci logiczne dla lokalnych maszyn wirtualnych platformy Azure i pulpitu wirtualnego za pomocą usługi Azure Local.
(Konfiguracja obciążenia) Włącz monitorowanie i alerty dla obciążeń wdrażanych na platformie Azure Lokalnie. Możesz użyć Azure Monitor dla maszyn wirtualnych, VM Insights dla lokalnych maszyn wirtualnych w Azure lub użyć Container Insights i zarządzanych klastrów AKS obsługiwanych przez Prometheus.
Oceń, czy powinieneś użyć scentralizowanego obszaru roboczego usługi Log Analytics dla Twojego obciążenia. Aby zapoznać się z przykładem udostępnionego ujścia dziennika (lokalizacji danych), zobacz Zalecenia dotyczące zarządzania obciążeniami i monitorowania.
(Architektura platformy lokalnej platformy Azure) Użyj odpowiednich technik walidacji w celu bezpiecznego wdrożenia. Użyj narzędzia do sprawdzania środowiska w trybie autonomicznym , aby ocenić gotowość środowiska docelowego przed wdrożeniem rozwiązania lokalnego platformy Azure. To narzędzie sprawdza poprawność konfiguracji wymaganej łączności, sprzętu, usługi Active Directory systemu Windows Server, sieci i wymagań wstępnych dotyczących integracji z usługą Azure Arc.
(Architektura lokalnej platformy Azure) Zaktualizuj i utrzymuj aktualność. Użyj katalogu rozwiązań lokalnych platformy Azure, aby być na bieżąco z najnowszymi innowacjami sprzętowymi OEM dla wdrożeń lokalnych instancji platformy Azure. Rozważ użycie rozwiązań w warstwie Premium, aby skorzystać z dodatkowych możliwości integracji, kluczowych funkcji wdrażania i uproszczonego środowiska aktualizacji.
Użyj programu Update Manager, aby zaktualizować platformę i zarządzać systemem operacyjnym, agentami podstawowymi i usługami, w tym rozszerzeniami rozwiązań. Bądź na bieżąco i rozważ użycie ustawienia "Włącz automatyczne uaktualnianie", jeśli jest to możliwe dla rozszerzeń.
Rekomendacje
| Rekomendacja | Korzyść |
|---|---|
|
Włącz usługę Monitor Insights na lokalnych wystąpieniach platformy Azure, aby zwiększyć możliwości monitorowania i alertowania dzięki wykorzystaniu natywnych funkcji platformy Azure. Szczegółowe informacje mogą monitorować kluczowe funkcje lokalne platformy Azure przy użyciu liczników wydajności wystąpienia i kanałów dziennika zdarzeń zbieranych przez regułę zbierania danych (DCR). W przypadku określonej infrastruktury sprzętowej, takiej jak Dell APEX, można wizualizować zdarzenia sprzętowe w czasie rzeczywistym. Aby uzyskać więcej informacji, zapoznaj się z Skoroszytami funkcji. |
Platforma Azure zarządza usługą Insights, dzięki czemu jest zawsze aktualna, jest skalowalna w wielu wystąpieniach i jest wysoce dostosowywalna. Informacje zapewniają dostęp do domyślnych skoroszytów z podstawowymi metrykami oraz wyspecjalizowanych skoroszytów do monitorowania kluczowych funkcji Azure Local. Ta funkcja zapewnia monitorowanie niemal w czasie rzeczywistym. Grafy i wizualizacje dostosowane można tworzyć przy użyciu agregacji i funkcji filtrowania. Można również skonfigurować niestandardowe reguły alertów. Koszt usługi Insights zależy od ilości pozyskanych danych i ustawień przechowywania danych w obszarze roboczym usługi Log Analytics. Po włączeniu Azure Local Insightszalecamy użycie DCR utworzonego w procesie tworzenia Insights. Prefiks nazwy kontrolera domeny to AzureStackHCI-. Jest ona skonfigurowana do zbierania tylko wymaganych danych. |
|
Skonfiguruj alerty i skonfiguruj reguły przetwarzania alertów na podstawie wymagań organizacji. Otrzymuj powiadomienia o zmianach w zdrowiu, metrykach, dziennikach lub innych typach danych obserwacyjnych. - Alerty dotyczące kondycji - Alerty logów - Alerty metryk Aby uzyskać więcej informacji, zobacz Zalecane reguły alertów dotyczących metryk. |
Zintegruj alerty monitora z usługą Azure Local, aby uzyskać kilka kluczowych korzyści bez dodatkowych kosztów. Uzyskaj monitorowanie niemal w czasie rzeczywistym i dostosuj alerty, aby powiadomić odpowiedni zespół lub administratora w celu skorygowania. Możesz zebrać kompleksową listę metryk dotyczących zasobów obliczeniowych, magazynu i sieci w usłudze Azure Local. Wykonuj zaawansowane operacje logiki na danych dziennika i oceniaj metryki lokalnej instancji Azure w regularnych odstępach czasu. |
| Użyj funkcji aktualizacji, aby zintegrować różne aspekty rozwiązania lokalnego platformy Azure i zarządzać nimi w jednym miejscu. Aby uzyskać więcej informacji, zobacz About updates in Azure Local (Informacje o aktualizacjach w usłudze Azure Local). | Orkiestrator aktualizacji jest instalowany podczas wstępnego wdrożenia lokalnej instancji Azure. Ta funkcja automatyzuje aktualizacje i operacje zarządzania. Aby utrzymać Azure Local w obsługiwanym stanie, upewnij się, że regularnie aktualizujesz swoje wystąpienia, aby przejść na nowe wersje bazowe, gdy staną się dostępne. Ta metoda zapewnia nowe możliwości i ulepszenia platformy. Aby uzyskać więcej informacji o pociągach wydań, cyklach aktualizacji i oknie pomocy technicznej każdej wersji bazowej, zobacz Informacje o wersji 23H2 platformy Azure w wersji lokalnej. |
| Aby ułatwić praktyczne umiejętności, laboratoria, zdarzenia szkoleniowe, pokazy produktów lub projekty weryfikacji koncepcji, rozważ użycie usługi Azure Arc Jumpstart. Szybkie wdrażanie platformy Azure lokalnie bez konieczności używania sprzętu fizycznego przy użyciu maszyny wirtualnej na platformie Azure w celu wdrożenia rozwiązania. |
LocalBox obsługuje wersję lokalną Azure 23H2, umożliwiając szybkie testowanie i ocenę najnowszych możliwości produktów brzegowych Azure, takich jak natywna integracja z Azure Arc i AKS w samodzielnej piaskownicy. Tę piaskownicę można wdrożyć w subskrypcji platformy Azure przy użyciu maszyny wirtualnej obsługującej wirtualizację zagnieżdżoną, aby symulować lokalną instancję Azure wewnątrz maszyny wirtualnej Azure. Uzyskaj funkcje lokalne platformy Azure, takie jak nowa funkcja wdrażania w chmurze , z minimalnym nakładem pracy ręcznej. Aby uzyskać więcej informacji, zobacz blog Microsoft Tech Community. |
Efektywność operacyjna
Efektywność wydajności polega na utrzymywaniu doświadczenia użytkownika nawet wtedy, gdy występuje wzrost obciążenia dzięki zarządzaniu wydajnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności.
Zasady projektowania wydajności operacyjnej zapewniają ogólną strategię projektowania w celu osiągnięcia tych celów wydajności w stosunku do oczekiwanego użycia.
Lista kontrolna projektu
Rozpocznij strategię projektowania w oparciu o listę kontrolną przeglądu projektu pod kątem wydajności operacyjnej. Zdefiniuj punkt odniesienia oparty na kluczowych wskaźnikach dla usługi Azure Local.
(Architektura platformy Azure Local) Skorzystaj ze sprzętu zweryfikowanego przez platformę Azure Local lub zintegrowanych systemów z ofert partnerów OEM. Rozważ użycie konstruktorów rozwiązań w warstwie Premium w katalogu lokalnym platformy Azure , aby zoptymalizować wydajność środowiska lokalnego platformy Azure.
(Architektura magazynu platformy lokalnej platformy Azure) Wybierz odpowiednie typy dysków fizycznych dla maszyn lokalnych platformy Azure na podstawie wymagań dotyczących wydajności i pojemności obciążenia. W przypadku obciążeń o wysokiej wydajności, które wymagają małych opóźnień i magazynu o wysokiej przepływności, rozważ użycie konfiguracji magazynu typu all-flash (tylko NVMe/SSD). W przypadku wymagań dotyczących mocy obliczeniowej ogólnego przeznaczenia lub dużej pojemności magazynu rozważ użycie magazynu hybrydowego (SSD lub NVMe dla warstwy pamięci podręcznej i dysków HDD dla warstwy pojemności), co może zapewnić zwiększoną pojemność magazynu.
(Lokalna architektura platformy Azure) Użyj lokalnego narzędzia do określania rozmiaru platformy Azure w fazie projektowania wystąpienia (przed wdrożeniem). Wystąpienia lokalne platformy Azure powinny mieć odpowiedni rozmiar przy użyciu wymagań dotyczących wydajności, wydajności i odporności obciążeń jako danych wejściowych. Rozmiar określa maksymalną liczbę maszyn fizycznych, które mogą być jednocześnie w trybie offline (kworum klastra), takie jak wszelkie planowane (konserwacja) lub nieplanowane (awarie zasilania lub sprzętu). Aby uzyskać więcej informacji, zobacz Omówienie kworum klastra.
(Architektura platformy lokalnej platformy Azure) Używaj rozwiązań opartych na dyskach FLASH (NVMe lub SSD) dla obciążeń, które mają wymagania dotyczące wysokiej wydajności lub małych opóźnień. Obciążenia te obejmują, ale nie ograniczają się do wysoce transakcyjnej technologii baz danych, produkcyjnych klastrów AKS, ani obciążeń o krytycznym znaczeniu dla firmy, z niskim opóźnieniem lub z wymaganiami dotyczącymi wysokiej przepustowości magazynu. Użyj wdrożeń all-flash, aby zmaksymalizować wydajność magazynu. All-NVMe lub wszystkie konfiguracje oparte na dyskach SSD (szczególnie w bardzo małej skali) zwiększają efektywność magazynowania i maksymalizują wydajność, ponieważ żadne dyski nie są używane jako warstwa pamięci podręcznej. Aby uzyskać więcej informacji, zobacz Pamięć masowa flash.
(Architektura platformy lokalnej platformy Azure) Ustanów punkt odniesienia wydajności dla magazynu wystąpień lokalnych platformy Azure przed wdrożeniem obciążeń produkcyjnych. Skonfiguruj monitorowanie funkcji lokalnych platformy Azure za pomocą szczegółowych informacji , aby monitorować wydajność pojedynczego wystąpienia lokalnego platformy Azure lub wielu wystąpień jednocześnie.
(Architektura platformy lokalnej platformy Azure) Rozważ użycie funkcji deduplikacji i kompresji Monitor for Resilient File System (ReFS) po włączeniu usługi Insights dla wystąpienia lokalnego platformy Azure. Określ, czy powinnaś/powinieneś używać tej funkcji w oparciu o wykorzystanie pamięci na obciążenia robocze i zapotrzebowania na pojemność. Ta funkcja zapewnia monitorowanie deduplikacji systemu plików ReFS i oszczędności kompresji, wpływ na wydajność i zadania. Aby uzyskać więcej informacji, zobacz Monitorowanie deduplikacji i kompresji systemu plików ReFS.
Zgodnie z minimalnym wymaganiem zaplanuj rezerwę
1 x physical machines (N+1)pojemności w całym wystąpieniu, aby upewnić się, że maszyny wystąpień mogą być opróżniane podczas wykonywania aktualizacji za pośrednictwem rozwiązania Update Management. Rozważ zarezerwowanie2 physical machines (N+2)mocy maszyn dla przypadków użycia o znaczeniu krytycznym dla działania firmy lub mających kluczowe znaczenie dla misji.
Rekomendacje
| Rekomendacja | Korzyść |
|---|---|
| Jeśli wybierzesz zaawansowaną opcję "utwórz tylko woluminy infrastruktury" podczas wdrażania wystąpienia lokalnego platformy Azure, zalecamy utworzenie dysków wirtualnych przy użyciu mirroringu przy tworzeniu woluminów dla obciążeń wymagających dużej wydajności. | To zalecenie przynosi korzyści dla obciążeń, które mają ścisłe wymagania dotyczące opóźnień lub wymagają dużej przepływności z kombinacją losowych operacji odczytu i zapisu na sekundę (we/wy), takich jak bazy danych programu SQL Server, klastry Kubernetes lub inne maszyny wirtualne wrażliwe na wydajność. Skonfiguruj wirtualne dyski twarde obciążenia na woluminach korzystających z mirroringu w celu zmaksymalizowania wydajności i odporności. Mirroring jest szybsze niż jakikolwiek inny rodzaj ochrony. |
| Rozważ użycie narzędzia DiskSpd do testowania wydajności przechowywania obciążeń lokalnej instancji Azure. Za pomocą zestawu VMFleet można również wygenerować obciążenie i zmierzyć wydajność podsystemu magazynowania. Oceń, czy należy użyć elementu VMFleet do pomiaru wydajności podsystemu magazynowania. |
Ustanów punkt odniesienia dla wydajności wystąpienia lokalnego platformy Azure przed wdrożeniem obciążeń produkcyjnych. Narzędzie DiskSpd umożliwia administratorom testowanie wydajności magazynowania instancji przy użyciu różnych parametrów wiersza polecenia. Główną funkcją DiskSpd jest wydawanie operacji odczytu i zapisu oraz metryk wydajności danych wyjściowych, takich jak opóźnienie, przepływność i operacje we/wy. |
Kompromisy
Istnieją kompromisy projektowe związane z metodami opisanymi na filarowych listach kontrolnych. Oto kilka przykładów zalet i wad.
Tworzenie nadmiarowości zwiększa koszty
Zapoznaj się z wymaganiami z góry, takimi jak cel czasu odzyskiwania (RTO) i cele punktu odzyskiwania (RPO) oraz wymagania dotyczące wydajności pamięci masowej (operacje wejścia/wyjścia i przepustowość), podczas projektowania i pozyskiwania sprzętu dla lokalnego rozwiązania Azure. Aby wdrożyć obciążenia wymagające wysokiej dostępności, zalecamy co najmniej instancję złożoną z trzech maszyn, która umożliwia trójdrożne replikowanie woluminów i danych obciążeń. W przypadku zasobów obliczeniowych upewnij się, że wdrożono co najmniej "liczbę fizycznych maszyn równą N+1", co rezerwuje pojemność równą przestrzeni pojedynczej maszyny w wystąpieniu przez cały czas. W przypadku obciążeń o znaczeniu krytycznym dla działania firmy lub misji, należy rozważyć zarezerwowanie "pojemności o wartości N+2 maszyn", aby zapewnić większą odporność. Jeśli na przykład dwie maszyny w wystąpieniu są w trybie offline, obciążenie może pozostać w trybie online. Takie podejście zapewnia zwiększoną odporność w scenariuszu, na przykład jeśli maszyna, na której działa obciążenie, przejdzie w tryb offline podczas planowanej procedury aktualizacji (co powoduje jednoczesne przełączenie dwóch maszyn w tryb offline).
W przypadku obciążeń krytycznych dla działania firmy lub o znaczeniu krytycznym zalecamy wdrożenie co najmniej dwóch oddzielnych lokalnych instancji Azure i wdrożenie wielu instancji usług obciążeń w oddzielnych instancjach. Użyj wzorca projektowego obciążenia, który korzysta z technologii replikacji danych i równoważenia obciążenia aplikacji. Na przykład grupy dostępności Always On programu SQL Server wykorzystują synchroniczną lub asynchroniczną replikację baz danych, aby osiągnąć niskie cele RTO w różnych instancjach w odrębnych centrach danych.
W związku z tym zwiększenie odporności obciążeń oraz zmniejszenie celów RTO i RPO zwiększa koszty i wymaga dobrze zaprojektowanych aplikacji oraz dyscypliny operacyjnej.
Zapewnianie skalowalności bez efektywnego planowania obciążenia zwiększa koszty
Nieprawidłowy dobór rozmiaru instancji może prowadzić do niewystarczającej wydajności lub zmniejszenia zwrotu z inwestycji (ROI), jeśli sprzęt jest nadmiernie przydzielony. Oba scenariusze wpływają na koszty.
Zwiększona pojemność równa się wyższym kosztom. W fazie projektowania instancji lokalnej platformy Azure wymagane jest odpowiednie planowanie, aby odpowiednio dostosować możliwości i liczby maszyn instancji na podstawie wymagań dotyczących pojemności obciążenia. W związku z tym należy zrozumieć wymagania dotyczące obciążenia (procesory wirtualne, pamięć, magazyn i X liczby maszyn wirtualnych) oraz zapewnić dodatkową ilość miejsca pracy oprócz przewidywanego wzrostu. Gest symulacji maszyny można wykonać podczas korzystania z projektu "przełączonego magazynowania". Jednak uzyskanie większej ilości sprzętu po wdrożeniu może zająć dużo czasu. Gest dodawania notatek jest bardziej złożony niż ustalanie rozmiaru sprzętu wystąpienia i liczby maszyn (maksymalnie 16 maszyn) odpowiednio podczas początkowego wdrożenia.
Występują wady związane z nadmierną aprowizacją specyfikacji sprzętu maszyny oraz wyborem nieprawidłowej liczby maszyn (rozmiar wystąpienia). Na przykład jeśli wymagania dotyczące obciążenia są znacznie mniejsze niż ogólna pojemność instancji, a sprzęt jest niedostatecznie używany w okresie gwarancji sprzętu, wartość zwrotu z inwestycji może się zmniejszyć.
Zasady platformy Azure
Platforma Azure udostępnia obszerny zestaw wbudowanych zasad związanych z platformą Azure Local i jej zależnościami. Niektóre z wcześniejszych zaleceń można poddawać audytowi za pomocą usługi Azure Policy. Możesz na przykład sprawdzić, czy:
- Sieć hostów i maszyn wirtualnych powinna być chroniona.
- Należy zaimplementować zaszyfrowane woluminy.
- Zasady kontroli aplikacji powinny być spójnie wymuszane.
- Należy spełnić wymagania dotyczące zabezpieczonego rdzenia.
Przejrzyj wbudowane zasady lokalne platformy Azure. Usługa Defender for Cloud zawiera nowe zalecenia , które pokazują stan zgodności dla wbudowanych zasad. Aby uzyskać więcej informacji, zobacz Wbudowane zasady dla usługi Azure Security Center.
Jeśli obciążenie działa na lokalnych maszynach wirtualnych platformy Azure wdrożonych na platformie Azure Lokalnie, rozważ wbudowane zasady, takie jak odmowa tworzenia lub modyfikowania licencji rozszerzonych aktualizacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Wbudowane definicje zasad dla obciążeń obsługiwanych przez Azure Arc.
Rozważ utworzenie niestandardowych zasad w celu zapewnienia dodatkowego ładu dla zasobów i maszyn wirtualnych Lokalnej platformy Azure, które wdrażasz na wystąpieniu Lokalnej platformy Azure. Przykład:
- Audytowanie rejestracji hosta lokalnego platformy Azure za pomocą platformy Azure
- Zapewnianie, że hosty uruchamiają najnowszą wersję systemu operacyjnego
- Sprawdzanie wymaganych składników sprzętowych i konfiguracji sieci
- Weryfikowanie włączenia niezbędnych usług platformy Azure i ustawień zabezpieczeń
- Potwierdzanie instalacji wymaganych rozszerzeń
- Ocena wdrożenia klastrów Kubernetes i integracji usługi AKS
Rekomendacje usługi Azure Advisor
Azure Advisor to spersonalizowany konsultant ds. chmury, który pomaga stosować najlepsze rozwiązania w celu zoptymalizowania wdrożeń platformy Azure. Poniżej przedstawiono kilka zaleceń, które mogą pomóc w poprawie niezawodności, bezpieczeństwa, efektywności kosztów, wydajności i doskonałości operacyjnej maszyn wirtualnych.
Dalsze kroki
Zapoznaj się z następującymi artykułami w Centrum architektury platformy Azure jako zasobami, które przedstawiają zalecenia wyróżnione w tym artykule.
- Podstawowa architektura, która demonstruje kluczowe rekomendacje: Architektura referencyjna lokalnego punktu odniesienia platformy Azure.
- Jeśli Twoja organizacja potrzebuje podejścia hybrydowego, starannie wybierz wybrane opcje projektowe związane z architekturą sieci hybrydowej. Aby uzyskać więcej informacji, zobacz Projekt architektury hybrydowej.
Utwórz wiedzę na temat implementacji, korzystając z następującej dokumentacji produktu lokalnego platformy Azure:
Przejrzyj wytyczne dotyczące Cloud Adoption Framework.
Metodologia Cloud Adoption Framework Ready prowadzi klientów podczas przygotowywania środowiska do wdrożenia chmury. Metodologia obejmuje akceleratory techniczne, takie jak strefy docelowe platformy Azure, które są blokami konstrukcyjnymi dowolnego środowiska wdrażania chmury platformy Azure. Zapoznaj się z następującymi artykułami, aby uzyskać więcej informacji na temat przygotowywania środowiska do chmury hybrydowej.