Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Se você estiver interessado em um sistema integrado do Azure Stack Hub, deverá entender as principais considerações de planejamento sobre a implantação e como o sistema se encaixa no datacenter. Este artigo fornece uma visão geral de alto nível dessas considerações para ajudá-lo a tomar decisões importantes de infraestrutura para seus sistemas integrados do Azure Stack Hub. Uma compreensão dessas considerações ajuda ao trabalhar com seu fornecedor de hardware OEM enquanto eles implantam o Azure Stack Hub em seu datacenter.
Nota
Os sistemas integrados do Azure Stack Hub só podem ser comprados de fornecedores de hardware autorizados.
Para implantar o Azure Stack Hub, você precisa fornecer informações de planejamento ao seu provedor de soluções antes que a implantação comece a ajudar o processo a ir de forma rápida e tranquila. As informações exigiam intervalos entre informações de rede, segurança e identidade com muitas decisões importantes que podem exigir conhecimento de muitas áreas e tomadores de decisão diferentes. Você precisará de pessoas de várias equipes em sua organização para garantir que todas as informações necessárias estejam prontas antes da implantação. Pode ajudar falar com o fornecedor de hardware enquanto coleta essas informações, porque eles podem ter conselhos úteis.
Ao pesquisar e coletar as informações necessárias, talvez seja necessário fazer algumas alterações de configuração de pré-implantação em seu ambiente de rede. Essas alterações podem incluir a reserva de espaços de endereço IP para a solução do Azure Stack Hub, bem como a configuração de roteadores, comutadores e firewalls para se preparar para a conectividade com as novas opções de solução do Azure Stack Hub. Certifique-se de ter o especialista na área de assunto alinhado para ajudá-lo com seu planejamento.
Considerações sobre planejamento de capacidade
Ao avaliar uma solução do Azure Stack Hub para aquisição, você faz escolhas de configuração de hardware que têm um impacto direto na capacidade geral da solução do Azure Stack Hub. Elas incluem as opções clássicas de CPU, densidade de memória, configuração de armazenamento e escala geral da solução (por exemplo, número de servidores). Ao contrário de uma solução de virtualização tradicional, a aritmética simples desses componentes para determinar a capacidade utilizável não se aplica. O primeiro motivo é que o Azure Stack Hub é projetado para hospedar os componentes de infraestrutura ou gerenciamento dentro da própria solução. O segundo motivo é que parte da capacidade da solução é reservada para dar suporte à resiliência atualizando o software da solução de forma a minimizar a interrupção das cargas de trabalho de locatário.
A planilha planejadora de capacidade do Azure Stack Hub ajuda você a tomar decisões informadas para o planejamento de capacidade de duas maneiras. A primeira é selecionando uma oferta de hardware e tentando ajustar uma combinação de recursos. A segunda é definindo a carga de trabalho que o Azure Stack Hub pretende executar para exibir as SKUs de hardware disponíveis que podem dar suporte a ela. Por fim, a planilha se destina a ser um guia para ajudar a tomar decisões relacionadas ao planejamento e à configuração do Azure Stack Hub.
A planilha não se destina a servir como um substituto para sua própria investigação e análise. A Microsoft não faz representações ou garantias, expressas ou implícitas, em relação às informações fornecidas na planilha.
Considerações de gerenciamento
O Azure Stack Hub é um sistema lacrado, em que a infraestrutura é bloqueada tanto em termos de rede quanto de permissões. As ACLs (listas de controle de acesso à rede) são aplicadas para bloquear todo o tráfego de entrada não autorizado e todas as comunicações desnecessárias entre componentes de infraestrutura. Esse sistema dificulta o acesso de usuários não autorizados ao sistema.
Para gerenciamento e operações diárias, não há acesso irrestrito de administrador à infraestrutura. Os operadores do Azure Stack Hub devem gerenciar o sistema por meio do portal do administrador ou por meio do Azure Resource Manager (por meio do PowerShell ou da API REST). Não há acesso ao sistema por meio de outras ferramentas de gerenciamento, como o Gerenciador de Hyper-V ou o Gerenciador de Cluster de Failover. Para ajudar a proteger o sistema, softwares de terceiros (por exemplo, agentes) não podem ser instalados dentro dos componentes da infraestrutura do Azure Stack Hub. A interoperabilidade com software de segurança e gerenciamento externo ocorre por meio do PowerShell ou da API REST.
Contate o Suporte da Microsoft quando precisar de um nível mais alto de acesso para solucionar problemas que não são resolvidos por meio de etapas de mediação de alerta. Por meio do suporte, há um método para fornecer acesso temporário de administrador completo ao sistema para operações mais avançadas.
Considerações sobre identidade
Escolher provedor de identidade
Você precisará considerar qual provedor de identidade deseja usar para a implantação do Azure Stack Hub, a ID do Microsoft Entra ou o AD FS. Você não pode alternar provedores de identidade após a implantação sem reimplantação completa do sistema. Se você não possui a conta do Microsoft Entra e está usando uma conta fornecida por seu Provedor de Soluções na Nuvem e, se decidir mudar de provedor e usar uma conta diferente do Microsoft Entra, precisará entrar em contato com seu provedor de soluções para reimplantar a solução para você a seu custo.
Sua opção de provedor de identidade não tem nenhuma influência sobre VMs (máquinas virtuais de locatário), o sistema de identidade, contas que eles usam ou se podem ingressar em um domínio do Active Directory e assim por diante. Essas coisas são separadas.
Você pode implantar vários sistemas Azure Stack Hub no mesmo locatário do Microsoft Entra ou do Active Directory.
Integração do AD FS e do Graph
Se você optar por implantar o Azure Stack Hub usando o AD FS como provedor de identidade, deverá integrar a instância do AD FS ao Azure Stack Hub com uma instância existente do AD FS por meio de uma confiança de federação. Essa integração permite que identidades em uma floresta existente do Active Directory se autentiquem com recursos no Azure Stack Hub.
Você também pode integrar o serviço Graph no Azure Stack Hub ao Active Directory existente. Essa integração permite gerenciar Role-Based RBAC (Controle de Acesso) no Azure Stack Hub. Quando o acesso a um recurso é delegado, o componente graph pesquisa a conta de usuário na floresta existente do Active Directory usando o protocolo LDAP.
O diagrama a seguir mostra o fluxo de tráfego integrado do AD FS e do Graph.
Diagrama 
Modelo de licenciamento
Você deve decidir qual modelo de licenciamento deseja usar. As opções disponíveis dependem se você implantar o Azure Stack Hub conectado à Internet:
- Para uma implantação conectada, você pode escolher o licenciamento pago conforme o uso ou baseado em capacidade. O pagamento conforme o uso requer uma conexão com o Azure para relatar o uso, que é cobrado por meio do comércio do Azure.
- Se você implantar desconectado da Internet, somente o licenciamento baseado em capacidade terá suporte.
Para obter mais informações sobre os modelos de licenciamento, consulte Empacotamento e preços do Microsoft Azure Stack Hub.
Decisões de nomenclatura
Você precisará pensar em como deseja planejar o namespace do Azure Stack Hub, especialmente o nome da região e o nome de domínio externo. O FQDN (nome de domínio totalmente qualificado) externo da sua implantação do Azure Stack Hub para pontos de extremidade voltados ao público é a combinação destes dois nomes: <região>.<fqdn>. Por exemplo, east.cloud.fabrikam.com. Neste exemplo, os portais do Azure Stack Hub estariam disponíveis nas seguintes URLs:
https://portal.east.cloud.fabrikam.comhttps://adminportal.east.cloud.fabrikam.com
Importante
O nome da região escolhido para a implantação do Azure Stack Hub deve ser exclusivo e aparecerá nos endereços do portal.
A tabela a seguir resume essas decisões de nomenclatura de domínio.
| Nome | Descrição |
|---|---|
| Nome da região | O nome da sua primeira região do Azure Stack Hub. Esse nome é usado como parte do FQDN para os VIPs (endereços IP virtuais) públicos gerenciados pelo Azure Stack Hub. Normalmente, o nome da região seria um identificador de local físico, como um local de datacenter. O nome da região deve consistir apenas em letras e números entre 0 e 9. Nenhum caractere especial (como -, #e assim por diante) é permitido. |
| Nome de domínio externo | O nome da zona DNS (Sistema de Nomes de Domínio) para pontos de extremidade com VIPs voltados a uma rede externa. Usado no FQDN para esses VIPs públicos. |
| Nome de domínio privado (interno) | O nome do domínio (e da zona DNS interna) criado no Azure Stack Hub para gerenciamento de infraestrutura. |
Requisitos de certificado
Para implantação, você precisará fornecer certificados SSL (Secure Sockets Layer) para endpoints públicos. Em um alto nível, os certificados têm os seguintes requisitos:
- Você pode usar apenas um certificado curinga ou pode usar um conjunto de certificados dedicados e, em seguida, usar curingas somente para pontos de extremidade como armazenamento e Key Vault.
- Os certificados podem ser emitidos por uma AC (autoridade de certificação) pública confiável ou uma AC gerenciada pelo cliente.
Para obter mais informações sobre quais certificados PKI são necessários para implantar o Azure Stack Hub e como obtê-los, consulte requisitos de certificado de infraestrutura de chave pública do Azure Stack Hub.
Importante
As informações de certificado PKI fornecidas devem ser usadas como orientação geral. Antes de adquirir certificados PKI para o Azure Stack Hub, trabalhe com seu parceiro de hardware OEM. Eles fornecerão diretrizes e requisitos de certificado mais detalhados.
Sincronização de tempo
Você deve escolher um servidor de tempo específico que seja usado para sincronizar o Azure Stack Hub. A sincronização de tempo é essencial para o Azure Stack Hub e suas funções de infraestrutura porque é usada para gerar tíquetes Kerberos. Os tíquetes do Kerberos são usados para autenticar serviços internos entre si.
Você deve especificar um IP para o servidor de sincronização de tempo. Embora a maioria dos componentes na infraestrutura possa resolver uma URL, alguns dão suporte apenas a endereços IP. Se estiver usando a opção de implantação desconectada, você deverá especificar um servidor de tempo em sua rede corporativa que tenha certeza de que poderá acessar a partir da rede de infraestrutura no Azure Stack Hub.
Importante
Se o servidor de tempo não for um servidor NTP baseado no Windows, você precisará acrescentar ,0x8 ao final do endereço IP. Por exemplo, 10.1.1.123,0x8.
Conectar o Azure Stack Hub ao Azure
Para cenários de nuvem híbrida, você precisará planejar como deseja conectar o Azure Stack Hub ao Azure. Há dois métodos com suporte para conectar redes virtuais no Azure Stack Hub a redes virtuais no Azure:
Site a site: uma conexão VPN (rede virtual privada) por IPsec (IKE v1 e IKE v2). Esse tipo de conexão requer um dispositivo VPN ou RRAS (Serviço de Roteamento e Acesso Remoto). Para obter mais informações sobre gateways de VPN no Azure, consulte Sobre o gateway de VPN. A comunicação por esse túnel é criptografada e segura. No entanto, a largura de banda é limitada pela taxa de transferência máxima do túnel (100-200 Mbps).
NAT de saída: por padrão, todas as VMs no Azure Stack Hub terão conectividade com redes externas por meio de NAT de saída. Cada rede virtual criada no Azure Stack Hub obtém um endereço IP público atribuído a ela. Se a VM for atribuída diretamente a um endereço IP público ou estiver por trás de um balanceador de carga com um endereço IP público, ela terá acesso de saída por meio da NAT de saída usando o VIP da rede virtual. Esse método funciona apenas para comunicação iniciada pela VM e destinada a redes externas (internet ou intranet). Ele não pode ser usado para se comunicar com a VM de fora.
Opções de conectividade híbrida
Para conectividade híbrida, é importante considerar que tipo de implantação você deseja oferecer e onde ela será implantada. Você precisará considerar se precisa isolar o tráfego de rede por locatário e se terá uma implantação de intranet ou internet.
Azure Stack Hub com locatário único: uma implantação do Azure Stack Hub que parece, pelo menos em termos de rede, como se fosse de um locatário. Pode haver muitas assinaturas de locatário, mas, como qualquer serviço de intranet, todo o tráfego viaja pelas mesmas redes. O tráfego de rede de uma assinatura viaja pela mesma conexão de rede que outra assinatura e não precisa ser isolado por meio de um túnel criptografado.
Azure Stack Hub multilocatário: uma implantação do Azure Stack Hub em que o tráfego de cada assinatura de locatário que está vinculado a redes externas ao Azure Stack Hub precisa ser isolado do tráfego de rede de outros locatários.
Implantação na intranet: uma implantação do Azure Stack Hub que fica em uma intranet corporativa, geralmente no espaço de endereços IP privado e por trás de um ou mais firewalls. Os endereços IP públicos não são realmente públicos porque não podem ser roteados diretamente pela Internet pública.
Implantação na Internet: uma implantação do Azure Stack Hub que está conectada à Internet pública e usa endereços IP públicos que podem ser roteados pela Internet para o intervalo de VIPs públicos. A implantação ainda pode estar atrás de um firewall, mas a faixa VIP pública é diretamente acessível da internet pública e do Azure.
A tabela a seguir resume os cenários de conectividade híbrida com os prós, contras e casos de uso.
| Cenário | Método de conectividade | Profissionais | Contras | Bom para |
|---|---|---|---|---|
| Implantação do Azure Stack Hub de instância única em intranet | NAT de saída | Melhor largura de banda para transferências mais rápidas. Simples de implementar; nenhum gateway é necessário. | Tráfego não criptografado; sem isolamento ou criptografia fora da camada. | Implantações empresariais em que todos os locatários são igualmente confiáveis. Empresas que têm um circuito do Azure ExpressRoute para o Azure. |
| Implantação multilocatário do Azure Stack Hub em intranet | VPN de site a site | O tráfego da VNet do locatário para o destino é seguro. | A largura de banda é limitada pelo túnel VPN site a site. Requer um gateway na rede virtual e um dispositivo VPN na rede de destino. |
Implantações empresariais em que algum tráfego de locatário precisa ser protegido de outros locatários. |
| Implantação de locatário único do Azure Stack Hub na Internet | NAT de saída | Melhor largura de banda para transferências mais rápidas. | Tráfego não criptografado; sem isolamento ou criptografia fora da camada. | Cenários de hospedagem em que o locatário obtém sua própria implantação do Azure Stack Hub e um circuito dedicado para o ambiente do Azure Stack Hub. Por exemplo, ExpressRoute e MPLS (comutação de rótulos multiprotocolo). |
| Implantação multilocatário do Azure Stack Hub na Internet | VPN de site a site | O tráfego da VNet do locatário para o destino é seguro. | A largura de banda é limitada pelo túnel VPN site a site. Requer um gateway na rede virtual e um dispositivo VPN na rede de destino. |
Cenários de hospedagem em que o provedor deseja oferecer uma nuvem multilocatário, em que os locatários não confiam uns nos outros e o tráfego deve ser criptografado. |
Usando o ExpressRoute
Você pode conectar o Azure Stack Hub ao Azure por meio do ExpressRoute para cenários multilocatário e cenários de intranet de locatário único. Você precisará de um circuito do ExpressRoute provisionado por meio de um provedor de conectividade.
O diagrama a seguir mostra o ExpressRoute para um cenário de locatário único (em que "Conexão do cliente" é o circuito do ExpressRoute).
Diagrama 
O diagrama a seguir mostra o ExpressRoute para um cenário multilocatário.
Monitoramento externo
Para obter uma visão unificada de todos os alertas de sua implantação e dispositivos do Azure Stack Hub e integrar alertas aos fluxos de trabalho existentes do Gerenciamento de Serviços de TI para tíquetes, você pode integrar o Azure Stack Hub com soluções de monitoramento de datacenter externo.
Incluído na solução do Azure Stack Hub, o host do ciclo de vida de hardware é um computador fora do Azure Stack Hub que executa ferramentas de gerenciamento fornecidas pelo fornecedor OEM para hardware. Você pode usar essas ferramentas ou outras soluções que se integram diretamente às soluções de monitoramento existentes em seu datacenter.
A tabela a seguir resume a lista de opções disponíveis no momento.
| Área | Solução de monitoramento externo |
|---|---|
| Software do Azure Stack Hub | Pacote de gerenciamento do Azure Stack Hub para o Operations Manager Plug-in do Nagios Chamadas à API baseada em REST |
| Servidores físicos (BMCs via IPMI) | Hardware OEM – pacote de gerenciamento do Operations Manager para fornecedores Solução fornecida pelo fornecedor de hardware OEM Plug-ins do fornecedor de hardware Nagios. Solução de monitoramento com suporte do parceiro OEM (incluída) |
| Dispositivos de rede (SNMP) | Descoberta de dispositivos de rede pelo Gerenciador de Operações Solução fornecida pelo fornecedor de hardware OEM Plug-in de switch do Nagios |
| Monitoramento de integridade da assinatura do locatário | Pacote de Gerenciamento do System Center para o Microsoft Azure |
Observe os seguintes requisitos:
- A solução usada deve ser sem agente. Você não pode instalar agentes de terceiros dentro dos componentes do Azure Stack Hub.
- Se você quiser usar o System Center Operations Manager, o Operations Manager 2012 R2 ou o Operations Manager 2016 serão necessários.
Backup e recuperação de desastre
O planejamento de backup e recuperação de desastre envolve o planejamento para a infraestrutura subjacente do Azure Stack Hub que hospeda VMs IaaS e serviços de PaaS e para aplicativos e dados de locatários. Planeje essas coisas separadamente.
Proteger componentes de infraestrutura
É possível fazer backup de componentes de infraestrutura do Azure Stack Hub em um compartilhamento SMB especificado por você:
- Você precisará de um compartilhamento de arquivos SMB externo em um servidor de arquivos baseado no Windows existente ou em um dispositivo de terceiros.
- Use este mesmo compartilhamento para o backup dos switches de rede e do host responsável pelo ciclo de vida do hardware. Seu fornecedor de hardware OEM ajudará a fornecer diretrizes para backup e restauração desses componentes porque eles são externos ao Azure Stack Hub. Você é responsável por executar os fluxos de trabalho de backup com base na recomendação do fornecedor OEM.
Se ocorrer uma perda catastrófica de dados, você poderá usar o backup de infraestrutura para reutilizar dados de implantação, como:
- Entradas e identificadores de implantação
- Contas de serviço
- Certificado raiz da AC
- Recursos federados (em implantações desconectadas)
- Planos, ofertas, assinaturas e cotas
- Atribuições de função e política do RBAC
- Segredos do Key Vault
Aviso
Por padrão, o carimbo do Azure Stack Hub é configurado com apenas uma conta do CloudAdmin. Não haverá opções de recuperação se as credenciais da conta forem perdidas, comprometidas ou bloqueadas. Você perderá o acesso ao ponto de extremidade privilegiado e a outros recursos.
É altamente recomendado que você crie contas adicionais do CloudAdmin para evitar a reimplantação do seu carimbo às suas próprias custas. Documente essas credenciais com base nas diretrizes da sua empresa.
Proteger aplicativos de inquilinos em VMs IaaS
O Azure Stack Hub não faz backup de aplicativos e dados de cliente. Você deve planejar a proteção de backup e recuperação de desastre para um destino externo ao Azure Stack Hub. A proteção do locatário é uma atividade orientada por locatários. Para VMs IaaS, os locatários podem usar tecnologias convidadas para proteger pastas de arquivos, dados de aplicativo e estado do sistema. No entanto, como uma empresa ou provedor de serviços, convém oferecer uma solução de backup e recuperação no mesmo datacenter ou externamente em uma nuvem.
Para fazer backup de VMs IaaS do Linux ou windows, você deve usar produtos de backup com acesso ao sistema operacional convidado para proteger dados de arquivo, pasta, sistema operacional e aplicativo. Você pode usar o Backup do Azure, o System Center Datacenter Protection Manager ou produtos de terceiros com suporte.
Para replicar dados em um local secundário e orquestrar o failover do aplicativo se ocorrer um desastre, você pode usar o Azure Site Recovery ou produtos de terceiros com suporte. Além disso, aplicativos que dão suporte à replicação nativa, como o Microsoft SQL Server, podem replicar dados para outro local onde o aplicativo está em execução.
Saiba Mais
Para obter informações sobre casos de uso, compras, parceiros e fornecedores de hardware OEM, consulte a página do produto Azure Stack Hub.