Considerações de planejamento sobre a integração com o datacenter em sistemas integrados do Azure Stack Hub
Se você estiver interessado em um sistema integrado do Azure Stack Hub, deverá entender as principais considerações de planejamento sobre a implantação e como o sistema se encaixa em seu datacenter. Este artigo fornece uma visão geral de alto nível dessas considerações para ajudá-lo a tomar decisões importantes de infraestrutura para seus sistemas integrados do Azure Stack Hub. Uma compreensão dessas considerações ajuda ao trabalhar com seu fornecedor de hardware OEM enquanto eles implantam o Azure Stack Hub em seu datacenter.
Observação
Os sistemas integrados do Azure Stack Hub só podem ser comprados de fornecedores de hardware autorizados.
Para implantar o Azure Stack Hub, você precisa fornecer informações de planejamento ao seu provedor de soluções antes que a implantação comece a ajudar o processo a ser executado de forma rápida e tranquila. As informações exigiam intervalos entre informações de rede, segurança e identidade com muitas decisões importantes que podem exigir conhecimento de muitas áreas e tomadores de decisão diferentes. Você precisará de pessoas de várias equipes em sua organização para garantir que tenha todas as informações necessárias prontas antes da implantação. Ele pode ajudar a conversar com seu fornecedor de hardware enquanto coleta essas informações porque elas podem ter conselhos úteis.
Ao pesquisar e coletar as informações necessárias, talvez seja necessário fazer algumas alterações de configuração de pré-implantação em seu ambiente de rede. Essas alterações podem incluir a reserva de espaços de endereço IP para a solução do Azure Stack Hub, bem como a configuração de roteadores, comutadores e firewalls para se preparar para a conectividade com as novas opções de solução do Azure Stack Hub. Certifique-se de ter o especialista na área de assunto alinhado para ajudá-lo com seu planejamento.
Considerações de planejamento de capacidade
Ao avaliar uma solução do Azure Stack Hub para aquisição, você faz escolhas de configuração de hardware que têm um impacto direto na capacidade geral da solução do Azure Stack Hub. Isso inclui as opções clássicas de CPU, densidade de memória, configuração de armazenamento e escala geral da solução (por exemplo, número de servidores). Ao contrário de uma solução de virtualização tradicional, a aritmética simples desses componentes para determinar a capacidade utilizável não se aplica. O primeiro motivo é que o Azure Stack Hub é projetado para hospedar a infraestrutura ou os componentes de gerenciamento dentro da própria solução. O segundo motivo é que parte da capacidade da solução é reservada para dar suporte à resiliência atualizando o software da solução de forma a minimizar a interrupção das cargas de trabalho do locatário.
A planilha do Planejador de Capacidade do Azure Stack Hub ajuda você a tomar decisões informadas para planejar a capacidade de duas maneiras. A primeira é selecionando uma oferta de hardware e tentando ajustar uma combinação de recursos. A segunda é definindo a carga de trabalho que o Azure Stack Hub pretende executar para exibir as SKUs de hardware disponíveis que podem dar suporte a ela. Por fim, a planilha se destina a ser um guia para ajudar a tomar decisões relacionadas ao planejamento e à configuração do Azure Stack Hub.
A planilha não se destina a servir como um substituto para sua investigação e análise. A Microsoft não oferece representações nem garantias, expressas ou implícitas, das informações fornecidas na planilha.
Considerações de gerenciamento
O Azure Stack Hub é um sistema lacrado, em que a infraestrutura é bloqueada de uma perspectiva de rede e permissões. As ACLs (listas de controle de acesso à rede) são aplicadas para bloquear todo o tráfego de entrada não autorizado e todas as comunicações desnecessárias entre componentes de infraestrutura. Esse sistema dificulta o acesso de usuários não autorizados ao sistema.
Para operações e gerenciamento diários, não há acesso irrestrito de administrador à infraestrutura. Os operadores do Azure Stack Hub devem gerenciar o sistema por meio do portal do administrador ou por meio do Azure Resource Manager (por meio do PowerShell ou da API REST). Não há acesso ao sistema por outras ferramentas de gerenciamento, como o Gerenciador do Hyper-V ou o Gerenciador de Cluster de Failover. Para ajudar a proteger o sistema, o software de terceiros (por exemplo, agentes) não pode ser instalado dentro dos componentes da infraestrutura do Azure Stack Hub. A interoperabilidade com software de segurança e gerenciamento externo ocorre por meio do PowerShell ou da API REST.
Entre em contato com Suporte da Microsoft quando precisar de um nível mais alto de acesso para solucionar problemas que não são resolvidos por meio de etapas de mediação de alerta. Por meio do suporte, há um método para fornecer acesso temporário de administrador completo ao sistema para operações mais avançadas.
Considerações sobre identidade
Escolher provedor de identidade
Você precisará considerar qual provedor de identidade deseja usar para a implantação do Azure Stack Hub, seja Microsoft Entra ID ou AD FS. Não é possível alternar provedores de identidade após a implantação sem a reimplantação completa do sistema. Se você não tiver a conta Microsoft Entra e estiver usando uma conta fornecida por seu Provedor de Soluções na Nuvem e decidir mudar de provedor e usar uma conta de Microsoft Entra diferente, precisará entrar em contato com seu provedor de soluções para reimplantar a solução para você a seu custo.
Sua escolha de provedor de identidade não tem nenhuma influência sobre VMs (máquinas virtuais) de locatário, o sistema de identidade, as contas que eles usam ou se podem ingressar em um domínio do Active Directory e assim por diante. Essas são coisas separadas.
Você pode implantar vários sistemas do Azure Stack Hub com o mesmo locatário Microsoft Entra ou o Active Directory.
Integração do AD FS e do Graph
Se você optar por implantar o Azure Stack Hub usando o AD FS como provedor de identidade, deverá integrar a instância do AD FS no Azure Stack Hub a uma instância existente do AD FS por meio de uma relação de confiança de federação. Essa integração permite que as identidades em uma floresta existente do Active Directory sejam autenticadas com recursos do Azure Stack Hub.
Você também pode integrar o serviço de Graph no Azure Stack Hub com o Active Directory existente. Essa integração permite que você gerencie Role-Based Controle de Acesso (RBAC) no Azure Stack Hub. Quando o acesso a um recurso é delegado, o componente Graph pesquisa a conta do usuário na floresta existente do Active Directory usando o protocolo LDAP.
O diagrama a seguir mostra o fluxo de tráfego integrado do AD FS e do Graph.
Modelo de licenciamento
Você deve decidir qual modelo de licenciamento deseja usar. As opções disponíveis dependem de você implantar o Azure Stack Hub conectado ou não à Internet:
- Para uma implantação conectada, você pode escolher licenciamento pago conforme o uso ou baseado em capacidade. O pagamento conforme o uso requer uma conexão com o Azure para relatar o uso, que é cobrado por meio do Azure Commerce.
- Somente o licenciamento baseado em capacidade terá suporte se você implantar desconectado da Internet.
Para obter mais informações sobre os modelos de licenciamento, consulte Empacotamento e preços do Microsoft Azure Stack Hub.
Decisões de nomeação
Você precisará pensar em como deseja planejar seu namespace do Azure Stack Hub, especialmente o nome da região e o nome de domínio externo. O FQDN (nome de domínio totalmente qualificado) externo da implantação do Azure Stack Hub para pontos de extremidade voltados para o público é a combinação desses dois nomes: <região>.<fqdn>. Por exemplo, east.cloud.fabrikam.com. Neste exemplo, os portais do Azure Stack Hub estarão disponíveis nas seguintes URLs:
https://portal.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com
Importante
O nome da região que você escolher para a implantação do Azure Stack Hub precisa ser exclusivo e aparecerá nos endereços do portal.
A tabela a seguir resume essas decisões de nomenclatura de domínio.
Name | Descrição |
---|---|
Nome da região | O nome da sua primeira região do Azure Stack Hub. Esse nome é usado como parte do FQDN para os VIPs (endereços IP virtuais) públicos que o Azure Stack Hub gerencia. Normalmente, o nome da região seria um identificador de local físico, como um local de datacenter. O nome da região precisa consistir apenas de letras e números entre 0 e 9. Nenhum caractere especial (como - , # e assim por diante) é permitido. |
Nome de domínio externo | O nome da zona DNS (Sistema de Nomes de Domínio) para pontos de extremidade com VIPs voltados a uma rede externa. Usado no FQDN para esses VIPs públicos. |
Nome de domínio privado (interno) | O nome de domínio (e zona DNS interna) criado no Azure Stack Hub para gerenciamento de infraestrutura. |
Requisitos de certificado
Para a implantação, você precisará fornecer certificados de protocolo SSL para pontos de extremidade voltados ao público. Em um alto nível, os certificados têm os seguintes requisitos:
- Você pode usar apenas um certificado curinga ou pode usar um conjunto de certificados dedicados e, em seguida, usar curingas somente para pontos de extremidade como armazenamento e Key Vault.
- Os certificados podem ser emitidos por uma AC (autoridade de certificação) confiável pública ou uma AC gerenciada pelo cliente.
Para obter mais informações sobre quais certificados PKI são necessários para implantar o Azure Stack Hub e como obtê-los, consulte Requisitos de certificado de infraestrutura de chave pública do Azure Stack Hub.
Importante
As informações de certificado PKI fornecidas devem ser usadas como diretrizes gerais. Antes de adquirir certificados PKI para o Azure Stack Hub, trabalhe com seu parceiro de hardware OEM. Ele fornecerá diretrizes e requisitos de certificado mais detalhados.
Sincronização da hora
Você deve escolher um servidor de horário específico que seja usado para sincronizar o Azure Stack Hub. A sincronização de tempo é essencial para o Azure Stack Hub e suas funções de infraestrutura porque é usada para gerar tíquetes Kerberos. Os tíquetes Kerberos são usados para autenticar serviços internos uns com os outros.
Você deve especificar um IP para o servidor de sincronização de tempo. Embora a maioria dos componentes na infraestrutura possa resolve uma URL, alguns dão suporte apenas a endereços IP. Se você estiver usando a opção de implantação desconectada, deverá especificar um servidor de horário em sua rede corporativa que tenha certeza de que pode acessar da rede de infraestrutura no Azure Stack Hub.
Importante
Se o servidor de tempo não for um servidor NTP baseado no Windows, você precisará acrescentar ,0x8
o final do endereço IP. Por exemplo, 10.1.1.123,0x8
.
Conectar o Azure Stack Hub ao Azure
Para cenários de nuvem híbrida, você precisará planejar como deseja conectar o Azure Stack Hub ao Azure. Há dois métodos com suporte para conectar redes virtuais no Azure Stack Hub a redes virtuais no Azure:
Site a site: uma conexão VPN (rede virtual privada) por IPsec (IKE v1 e IKE v2). Esse tipo de conexão requer um dispositivo VPN ou RRAS (Serviço de Roteamento e Acesso Remoto). Para obter mais informações sobre gateways de VPN no Azure, consulte Sobre Gateway de VPN. A comunicação nesse túnel é criptografada e segura. No entanto, a largura de banda é limitada pela taxa de transferência máxima do túnel (100-200 Mbps).
NAT de saída: por padrão, todas as VMs no Azure Stack Hub terão conectividade com redes externas por meio da NAT de saída. Cada rede virtual criada no Azure Stack Hub obtém um endereço IP público atribuído a ela. Se a VM recebe diretamente um endereço IP público ou está atrás de um balanceador de carga com um endereço IP público, ela terá acesso de saída por meio da NAT de saída usando o VIP da rede virtual. Esse método funciona apenas para comunicação iniciada pela VM e destinada a redes externas (internet ou intranet). Ele não pode ser usado para se comunicar com a VM de fora.
Opções de conectividade híbrida
Para conectividade híbrida, é importante considerar que tipo de implantação você deseja oferecer e onde ela será implantada. Você precisará considerar se precisa isolar o tráfego de rede por locatário e se terá uma implantação de intranet ou Internet.
Azure Stack Hub com locatário único: uma implantação do Azure Stack Hub que parece, pelo menos de uma perspectiva de rede, como se fosse de um locatário. Pode haver muitas assinaturas de locatário, mas, como em qualquer serviço de intranet, todo o tráfego percorre as mesmas redes. O tráfego de rede de uma assinatura percorre a mesma conexão de rede que outra assinatura e não precisa ser isolado por meio de um túnel criptografado.
Azure Stack Hub multilocatário: uma implantação do Azure Stack Hub em que o tráfego de cada assinatura de locatário que está vinculado a redes externas ao Azure Stack Hub precisa ser isolado do tráfego de rede de outros locatários.
Implantação em intranet: uma implantação do Azure Stack Hub que fica em uma intranet corporativa, normalmente no espaço de endereços IP privado e atrás de um ou mais firewalls. Os endereços IP públicos não são realmente públicos, porque não podem ser roteados diretamente pela Internet pública.
Implantação na Internet: uma implantação do Azure Stack Hub que está conectada à Internet pública e usa endereços IP públicos que podem ser roteados pela Internet para o intervalo de VIPs públicos. A implantação ainda pode ficar atrás de um firewall, mas o intervalo de VIPs públicos é acessível diretamente da Internet pública e do Azure.
A tabela a seguir resume os cenários de conectividade híbrida com os prós, contras e casos de uso.
Cenário | Método de conectividade | Vantagens | Desvantagens | Bom para |
---|---|---|---|---|
Implantação de locatário único do Azure Stack Hub em intranet | NAT de saída | Largura de banda melhor para transferências mais rápidas. Simples de implementar; nenhum gateway é necessário. | Tráfego não criptografado; nenhum isolamento ou criptografia fora da pilha. | Implantações enterprise em que todos os locatários são igualmente confiáveis. Empresas que têm um circuito do Azure ExpressRoute para o Azure. |
Implantação multilocatário do Azure Stack Hub em intranet | VPN site a site | O tráfego da VNet do locatário para o destino é seguro. | A largura de banda é limitada ao túnel VPN site a site. Requer um gateway na rede virtual e um dispositivo VPN na rede de destino. |
Implantações empresariais em que algum tráfego de locatário precisa ser protegido de outros locatários. |
Implantação de locatário único do Azure Stack Hub na Internet | NAT de saída | Largura de banda melhor para transferências mais rápidas. | Tráfego não criptografado; nenhum isolamento ou criptografia fora da pilha. | Cenários de hospedagem em que o locatário obtém uma implantação própria do Azure Stack Hub e um circuito dedicado para o ambiente do Azure Stack Hub. Por exemplo, ExpressRoute e MPLS (Comutação de Rótulos Multiprotocolo). |
Implantação multilocatário do Azure Stack Hub na Internet | VPN site a site | O tráfego da VNet do locatário para o destino é seguro. | A largura de banda é limitada ao túnel VPN site a site. Requer um gateway na rede virtual e um dispositivo VPN na rede de destino. |
Cenários de hospedagem em que o provedor deseja oferecer uma nuvem multilocatário, em que os locatários não confiam uns nos outros e o tráfego precisa ser criptografado. |
Usando o ExpressRoute
Você pode conectar o Azure Stack Hub ao Azure por meio do ExpressRoute para cenários de intranet de locatário único e multilocatário. Você precisará de um circuito do ExpressRoute provisionado por meio de um provedor de conectividade.
O diagrama a seguir mostra o ExpressRoute para um cenário de locatário único (em que "Conexão do cliente" é o circuito do ExpressRoute).
O diagrama a seguir mostra o ExpressRoute para um cenário multilocatário.
Monitoramento externo
Para obter uma única exibição de todos os alertas de sua implantação e dispositivos do Azure Stack Hub e integrar alertas aos fluxos de trabalho existentes do Gerenciamento de Serviços de TI para tíquetes, você pode integrar o Azure Stack Hub a soluções de monitoramento de datacenter externo.
Incluído com a solução Azure Stack Hub, o host do ciclo de vida de hardware é um computador fora do Azure Stack Hub que executa ferramentas de gerenciamento para hardware oferecidas pelo fornecedor OEM. Você pode usar essas ferramentas ou outras soluções que se integram diretamente às soluções de monitoramento existentes em seu datacenter.
A tabela a seguir resume a lista de opções disponíveis atualmente.
Área | Solução de monitoramento externo |
---|---|
Software do Azure Stack Hub |
Pacote de Gerenciamento do Azure Stack Hub para Operations Manager Plug-in nagios Chamadas à API baseada em REST |
Servidores físicos (BMCs via IPMI) | Hardware OEM – pacote de gerenciamento de fornecedores do Operations Manager Solução fornecida pelo fornecedor de hardware OEM Plug-ins nagios do fornecedor de hardware. Solução de monitoramento com suporte para parceiroSEM (incluída) |
Dispositivos de rede (SNMP) | Descoberta de dispositivo de rede do Operations Manager Solução fornecida pelo fornecedor de hardware OEM Plug-in comutador nagios |
Monitoramento de integridade da assinatura do locatário | Pacote de Gerenciamento do System Center para o Microsoft Azure |
Observe os seguintes requisitos:
- A solução que você usar precisará ser sem agente. Você não pode instalar agentes de terceiros dentro dos componentes do Azure Stack Hub.
- Se você quiser usar o System Center Operations Manager, precisará ter o Operations Manager 2012 R2 ou o Operations Manager 2016 instalado.
Backup e recuperação de desastres
O planejamento de backup e recuperação de desastre envolve o planejamento para a infraestrutura subjacente do Azure Stack Hub que hospeda VMs iaaS e serviços de PaaS e para aplicativos e dados de locatário. Planeje essas coisas separadamente.
Proteger componentes de infraestrutura
Você pode fazer backup de componentes de infraestrutura do Azure Stack Hub em um compartilhamento SMB que você especificar:
- Você precisará de um compartilhamento de arquivos SMB externo em um servidor de arquivos baseado no Windows existente ou em um dispositivo de terceiros.
- Use esse mesmo compartilhamento para o backup de comutadores de rede e o host do ciclo de vida do hardware. Seu fornecedor de hardware OEM ajudará a fornecer diretrizes para backup e restauração desses componentes, pois eles são externos ao Azure Stack Hub. Você é responsável por executar os fluxos de trabalho de backup com base na recomendação do fornecedor OEM.
Se ocorrer uma perda catastrófica de dados, você poderá usar o backup de infraestrutura para reativar dados de implantação, como:
- Entradas e identificadores de implantação
- Contas de serviço
- Certificado raiz da AC
- Recursos federados (em implantações desconectadas)
- Planos, ofertas, assinaturas e cotas
- Política rbac e atribuições de função
- Segredo do Cofre de Chaves
Aviso
Por padrão, o carimbo do Azure Stack Hub é configurado com apenas uma conta do CloudAdmin. Não haverá opções de recuperação se as credenciais da conta forem perdidas, comprometidas ou bloqueadas. Você perderá o acesso ao ponto de extremidade privilegiado e a outros recursos.
É altamente recomendável que você crie contas adicionais do CloudAdmin para evitar a reimplantação do selo às suas próprias custas. Documente essas credenciais com base nas diretrizes da sua empresa.
Proteger aplicativos de locatário em VMs IaaS
O Azure Stack Hub não faz backup de aplicativos e dados de locatário. Você deve planejar a proteção de backup e recuperação de desastre para um destino externo ao Azure Stack Hub. A proteção de locatário é uma atividade controlada por locatário. Para VMs IaaS, os locatários podem usar tecnologias convidadas para proteger pastas de arquivos, dados de aplicativo e estado do sistema. No entanto, como uma empresa ou provedor de serviços, convém oferecer uma solução de backup e recuperação no mesmo datacenter ou externamente em uma nuvem.
Para fazer backup de VMs IaaS do Linux ou do Windows, você deve usar produtos de backup com acesso ao sistema operacional convidado para proteger dados de arquivo, pasta, estado do sistema operacional e aplicativo. Você pode usar Backup do Azure, o System Center Datacenter Protection Manager ou produtos de terceiros com suporte.
Em caso de um desastre, para replicar dados para um local secundário e orquestrar o failover de aplicativo, você poderá usar o Azure Site Recovery ou produtos de terceiros com suporte. Além disso, os aplicativos que dão suporte à replicação nativa, como Microsoft SQL Server, podem replicar dados para outro local em que o aplicativo está em execução.
Saiba mais
- Para obter informações sobre casos de uso, compras, parceiros e fornecedores de hardware OEM, consulte a página de produto do Azure Stack Hub .
- Para obter informações sobre o roteiro e a disponibilidade geográfica para sistemas integrados do Azure Stack Hub, consulte o white paper: Azure Stack Hub: uma extensão do Azure.