Compartilhar via

Práticas recomendadas de arquitetura para o Azure Local

O Azure Local estende o Azure para a infraestrutura de propriedade do cliente, permitindo a execução local de aplicativos modernos e tradicionais em locais distribuídos. Essa solução oferece uma experiência de gerenciamento unificada em um único plano de controle e oferece suporte a uma ampla variedade de hardware validado de parceiros confiáveis da Microsoft. Você pode usar as funcionalidades do Azure Local e do Azure Arc para manter os sistemas de negócios e os dados do aplicativo locais para atender aos requisitos de soberania, regulamentação e conformidade e latência de dados.

Este artigo pressupõe que você tenha uma compreensão dos sistemas híbridos e tenha conhecimento funcional do Azure Local. As diretrizes neste artigo fornecem recomendações arquitetônicas que são alinhadas aos princípios dos pilares do Azure Well-Architected Framework.

Importante

Como usar este guia

Cada seção tem uma lista de verificação de design que apresenta áreas arquitetônicas preocupantes, juntamente com estratégias de design localizadas no escopo da tecnologia.

Também estão incluídas recomendações sobre os recursos de tecnologia que podem ajudar a materializar essas estratégias. As recomendações não representam uma lista completa de todas as configurações disponíveis para o Azure Local e suas dependências. Em vez disso, eles listam as principais recomendações alinhadas às perspectivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.

Arquitetura fundamental que demonstra as principais recomendações:
Arquitetura de referência de linha de base local do Azure.

Escopo da tecnologia

Esta revisão se concentra nas decisões interrelacionadas para os seguintes recursos do Azure:

  • Azure Local (plataforma), versão 23H2 e posterior
  • VMs do Azure Arc (carga de trabalho)

Observação

Este artigo aborda o escopo anterior e fornece listas de verificação e recomendações organizadas pela arquitetura da plataforma e pela arquitetura da carga de trabalho. As preocupações relacionadas à plataforma são de responsabilidade dos administradores do sistema. As preocupações com a carga de trabalho são de responsabilidade do operador de carga de trabalho e dos desenvolvedores de aplicativos. Essas funções e responsabilidades são distintas e podem ser de propriedade de equipes ou indivíduos separados. Tenha essa distinção em mente ao aplicar as diretrizes.

Essas diretrizes não se concentram em tipos de recursos específicos que você pode implantar no Azure Local, como VMs do Azure Arc, AKS (Serviço de Kubernetes do Azure) e Área de Trabalho Virtual do Azure. Ao implantar esses tipos de recursos no Azure Local, consulte as respectivas diretrizes de carga de trabalho para criar soluções que atendam aos seus requisitos de negócios.

Fiabilidade

A finalidade do pilar confiabilidade é fornecer funcionalidade contínua criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.

Os princípios de design de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.

Em implantações de nuvem híbrida, o objetivo é reduzir os efeitos de uma falha de componente. Use essas listas de verificação de design e sugestões de configuração para diminuir o impacto de uma falha de componente para cargas de trabalho implantadas no Azure Local.

É importante distinguir entre confiabilidade da plataforma e confiabilidade da carga de trabalho. A confiabilidade da carga de trabalho tem uma dependência na plataforma. Os proprietários ou desenvolvedores de aplicativos devem projetar aplicativos que possam fornecer os destinos de confiabilidade definidos.

Lista de verificação de projeto

Inicie sua estratégia de design com base na lista de verificação de design para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente o desempenho do Azure Local. Estenda a estratégia para incluir mais abordagens conforme necessário.

  • (Arquitetura da plataforma local do Azure e arquitetura de carga de trabalho) Defina destinos de confiabilidade da carga de trabalho.

    • Defina seus SLOs (objetivos de nível de serviço) para que você possa avaliar as metas de disponibilidade. Calcule os SLOs como uma porcentagem, como 99,9%, 99,95% ou 99,995%, refletindo o tempo de atividade da carga de trabalho. Tenha em mente que esse cálculo não se baseia apenas nas métricas de plataforma que a instância local do Azure ou a carga de trabalho emite. Para atingir uma medição-alvo abrangente, considere fatores sutis que são quantificados, como o tempo de inatividade esperado durante as implantações, operações de rotina, capacidade de suporte ou outros fatores específicos da carga de trabalho ou da organização.

    • Os SLAs (contratos de nível de serviço) fornecidos pela Microsoft geralmente influenciam os cálculos de SLO. Mas a Microsoft não fornece um SLA para o tempo de atividade e conectividade das instâncias locais do Azure ou da carga de trabalho implantada, porque a Microsoft não controla a confiabilidade do datacenter do cliente (como energia e resfriamento) ou as pessoas e processos que administram a plataforma.

  • (Arquitetura da plataforma local do Azure) Considere como o desempenho e as operações afetam a confiabilidade.

    O desempenho degradado da instância ou suas dependências pode tornar a plataforma local do Azure indisponível. Por exemplo:

    • Sem o planejamento adequado da capacidade de carga de trabalho, é desafiador ajustar o tamanho das instâncias locais do Azure na fase de design, o que é um requisito para que a carga de trabalho possa atender às metas de confiabilidade desejadas. Use a ferramenta de dimensionador local do Azure durante o design da instância. Considere o "requisito mínimo N+1 para o número de computadores" se você precisar de VMs altamente disponíveis. Para cargas de trabalho comercialmente críticas ou críticas, considere o uso de um "número N+2 de computadores" para o tamanho da instância se a resiliência for primordial.

    • A confiabilidade da plataforma depende do desempenho das dependências críticas da plataforma, como tipos de disco físico. Você deve escolher os tipos de disco corretos para seus requisitos. Para cargas de trabalho que precisam de armazenamento de baixa latência e alta taxa de transferência, recomendamos uma configuração de armazenamento all-flash (somente NVMe/SSD). Para computação de uso geral, uma configuração de armazenamento híbrido (NVMe ou SSDs para cache e HDDs para capacidade) pode fornecer mais espaço de armazenamento. Mas a desvantagem é que os discos rígidos têm um desempenho significativamente menor se a carga de trabalho exceder o conjunto de trabalho de cache; além disso, os HDDs têm um valor de tempo médio entre falhas muito menor em comparação com NVMe/SSDs.

      A Eficiência de Desempenho descreve esses exemplos com mais detalhes.

    Operações locais inadequadas do Azure podem afetar a aplicação de patch e atualizações, testes e consistência de implantações. Aqui estão alguns exemplos:

    • Se a plataforma local do Azure não evoluir com o firmware, drivers e inovações do OEM (fabricante de equipamentos originais) mais recentes, a plataforma pode não aproveitar os recursos de resiliência mais recentes. Aplique regularmente atualizações de drivers e firmware do OEM de hardware. Para obter mais informações, consulte o catálogo de soluções local do Azure.

    • Você deve testar o ambiente de destino para conectividade, hardware e gerenciamento de identidade e acesso antes da implantação. Caso contrário, você poderá implantar a solução local do Azure em um ambiente instável, o que pode criar problemas de confiabilidade. Você pode usar a ferramenta de verificador ambiental no modo autônomo para detectar problemas, mesmo antes do hardware da instância estar disponível.

      Para obter diretrizes operacionais, consulte Excelência Operacional.

  • (Arquitetura da plataforma local do Azure) Forneça tolerância a falhas à instância e suas dependências de infraestrutura.

    • Opções de design de armazenamento. Para a maioria das implantações, a opção padrão para "criar automaticamente volumes de carga de trabalho e infraestrutura" é suficiente. Se você selecionar a opção avançada: "criar somente volumes de infraestrutura necessários", configure a tolerância a falhas de volume apropriada nos Espaços de Armazenamento Diretos com base em seus requisitos de carga de trabalho. Essas decisões influenciam as capacidades de desempenho, capacidade e resiliência dos volumes. Por exemplo, um espelhamento triplo aumenta a confiabilidade e o desempenho para instâncias com três ou mais computadores. Para obter mais informações, consulte Tolerância a falhas para eficiência de armazenamento e Criar discos e volumes virtuais no Storage Spaces Direct.

    • Arquitetura de rede. Use uma topologia de rede validada para implantar o Azure Local. As instâncias de vários computadores, com quatro ou mais computadores físicos, exigem o design "armazenamento comutado". As instâncias com dois ou três computadores podem, opcionalmente, usar o design "sem comutador de armazenamento". Seja qual for o tamanho da instância, é recomendável usar comutadores ToR (topo do rack) duplos para finalidades de gerenciamento e computação (uplinks norte e sul) para proporcionar maior tolerância a falhas. A topologia com comutadores ToR duplos também proporciona resiliência durante operações de manutenção do comutador (atualização de firmware). Para obter mais informações, consulte topologias de rede validadas.

  • (Arquitetura da carga de trabalho) Criar redundância para fornecer resiliência.

    • Considere uma carga de trabalho que você implanta em uma única instância local do Azure como um implantação com redundância local. A instância fornece alta disponibilidade no nível da plataforma, mas você deve lembrar que implanta a instância "em um único rack". Portanto, para casos de uso comercialmente críticos ou críticos, recomendamos que você implante várias instâncias de uma carga de trabalho ou serviço em duas ou mais instâncias locais do Azure separadas, idealmente em locais físicos separados.

    • Use padrões de alta disponibilidade padrão do setor para cargas de trabalho, por exemplo, um design que fornece replicação de dados síncrona ou assíncrona ativa/passiva (como o SQL Server Always On). Outro exemplo é uma tecnologia de NLB (balanceamento de carga de rede) externa que pode rotear solicitações de usuário entre as várias instâncias de carga de trabalho executadas em instâncias locais do Azure que você implanta em locais físicos separados. Considere usar um dispositivo NLB externo do parceiro. Ou avalie as opções de balanceamento de carga que dão suporte ao roteamento de tráfego para serviços híbridos e locais, como uma instância do Gateway de Aplicativo do Azure que usa o Azure ExpressRoute ou um túnel VPN para se conectar a um serviço local.

      Para obter mais informações, consulte Implantar instâncias de cargas de trabalho em várias instâncias locais do Azure.

  • (Arquitetura da carga de trabalho) Planeje e teste a capacidade de recuperação com base no objetivo do ponto de recuperação (RPO) e no objetivo de tempo de recuperação (RTO) da carga de trabalho.

    Tenha um plano de recuperação de desastre bem documentado. Teste as etapas de recuperação regularmente para garantir que seus planos e processos de continuidade de negócios sejam válidos. Determine se o Azure Site Recovery é uma opção viável para proteger as VMs executadas no Azure Local. Para obter mais informações, consulte Proteger cargas de trabalho de VM com o Azure Site Recovery no Azure Local (versão prévia).

  • (Arquitetura da carga de trabalho) Configure e teste regularmente os procedimentos de backup e restauração da carga de trabalho.

    Os requisitos de negócios para recuperação e retenção de dados impulsionam a estratégia para backups de carga de trabalho. Uma estratégia abrangente inclui considerações sobre dados persistentes do sistema operacional e do aplicativo relacionados à carga de trabalho, com a capacidade de restaurar dados individuais de ponto no tempo tanto no nível de arquivos quanto de pastas. Configure as políticas de retenção de backup com base nos requisitos de conformidade e recuperação de dados, que determinam o número e a idade dos pontos de recuperação de dados disponíveis. Explore o Backup do Azure como uma opção para permitir backups em nível de host ou em nível de máquina virtual convidada para o Azure Local. Examine as soluções de proteção de dados de parceiros de fornecedores de software independentes de Backup, quando relevante. Para obter mais informações, consulte as diretrizes e as práticas recomendadas do Backup do Azure e o Backup do Azure para Azure Local.

Recomendações

Recomendação Benefício
Reserve o equivalente a um disco de capacidade por máquina no pool de armazenamento do Storage Spaces Direct. Se você optar por criar volumes de carga de trabalho depois de implantar uma instância local do Azure (opção avançada: "criar somente volumes de infraestrutura necessários"), recomendamos que você deixe de 5% a 10% da capacidade total do pool não alocada no pool de armazenamento. Essa capacidade reservada e não utilizada permite que os Espaços de Armazenamento Diretos realizem reparos automaticamente no local quando um disco físico falha, o que melhora a resiliência e o desempenho dos dados se ocorrer uma falha de disco físico.
Garanta que todos os computadores físicos tenham acesso de rede à lista de pontos de extremidade HTTPS de saída necessários para o Azure Local e o Azure Arc. Para gerenciar, monitorar e operar recursos de carga de trabalho ou instâncias locais do Azure de forma confiável, os pontos de extremidade de rede de saída necessários devem ter acesso, diretamente ou por meio de um servidor proxy. Uma interrupção temporária não afeta o status de execução da carga de trabalho, mas pode afetar a capacidade de gerenciamento.
Se você optar por criar volumes de carga de trabalho (discos virtuais) manualmente, use o tipo de resiliência mais apropriado para maximizar a resiliência e o desempenho da carga de trabalho. Para todos os volumes de usuário criados manualmente depois de implantar a instância, crie um caminho de armazenamento para os volumes no Azure. O volume pode armazenar arquivos de configuração de VM de carga de trabalho, VHDs (discos rígidos virtuais) de VM e imagens de VM por meio do caminho de armazenamento. Para instâncias locais do Azure com três ou mais computadores, considere usar um espelho de três vias para fornecer os recursos de desempenho e resiliência mais altos. Recomendamos que você use volumes espelhados para cargas de trabalho críticas aos negócios ou críticas para a missão.
Considere implementar regras antia afinidade de carga de trabalho para garantir que as VMs que hospedam várias instâncias do mesmo serviço sejam executadas em hosts físicos separados. Esse conceito é semelhante a "conjuntos de disponibilidade" no Azure. Tornar todos os componentes redundantes. Para cargas de trabalho críticas ou críticas aos negócios, use várias VMs do Azure Arc ou conjuntos de réplicas ou pods do Kubernetes para implantar várias instâncias de seus aplicativos ou serviços. Essa abordagem aumentará a resiliência se ocorrer uma interrupção não planejada de um único computador físico.

Segurança

O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.

Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas aplicando abordagens ao design técnico do Azure Local.

O Azure Local é um produto seguro por padrão que tem mais de 300 configurações de segurança habilitadas durante o processo de implantação de nuvem. As configurações de segurança padrão fornecem uma linha de base de segurança consistente para garantir que os dispositivos iniciem em um bom estado conhecido. Você pode usar controles de proteção contra descompasso para oferecer gerenciamento em escala.

Os recursos de segurança padrão no Azure Local incluem configurações de segurança do sistema operacional reforçadas, Controle de Aplicativos do Windows Defender, criptografia de volumes com o BitLocker, rotação automática de segredos, contas de usuário locais integradas e Microsoft Defender para Nuvem. Para obter mais informações, consulte Examinar os recursos de segurança.

Lista de verificação de projeto

Comece sua estratégia de design com base no checklist de revisão de design para segurança. Identifique vulnerabilidades e controles para melhorar a postura de segurança. Estenda a estratégia para incluir mais abordagens conforme necessário.

  • (Arquitetura da plataforma local do Azure) Examine as linhas de base de segurança. Os padrões locais e de segurança do Azure fornecem diretrizes de linha de base para fortalecer a postura de segurança da plataforma e das cargas de trabalho hospedadas. Se sua carga de trabalho precisar estar em conformidade com regulamentos de conformidade regulatória específicos, considere os padrões de segurança regulatória, como Padrões de Segurança de Dados do Setor de Cartões de Pagamento e o Processamento de Informações Federais Standard 140.

    As configurações padrão fornecidas pela plataforma local do Azure permitem recursos de segurança, incluindo controles de identidade, filtragem de rede e criptografia. Essas configurações formam uma boa linha de base de segurança para uma instância local do Azure provisionada recentemente. Você pode personalizar cada configuração com base em seus requisitos de segurança organizacional.

    Verifique se você detecta e protege contra desvio indesejado de configuração de segurança.

  • (Arquitetura da plataforma local do Azure) Detectar, prevenir e responder a ameaças. Monitore continuamente o ambiente local do Azure e proteja-se contra ameaças existentes e em evolução.

    É recomendável habilitar o Defender para Nuvem no Azure Local. Habilite o plano básico do Defender para Nuvem (camada gratuita) usando o Gerenciamento de Postura do Defender Cloud Security para monitorar e identificar as etapas que você pode executar para proteger sua plataforma local do Azure, juntamente com outros recursos do Azure e do Azure Arc.

    Para se beneficiar dos recursos de segurança aprimorados, incluindo alertas de segurança para servidores individuais e VMs do Azure Arc, habilite o Microsoft Defender para Servidores em seus computadores de instância local do Azure e VMs do Azure Arc.

    • Use o Defender para Nuvem para medir a postura de segurança de cargas de trabalho e computadores locais do Azure. O Defender para Nuvem fornece uma visão centralizada para ajudar a gerenciar a conformidade de segurança.

    • Use o Defender para Servidores para monitorar as VMs hospedadas em busca de ameaças e configurações incorretas. Você também pode ativar os recursos de detecção e resposta em terminais nas máquinas locais do Azure.

    • Considere agregar dados de segurança e inteligência contra ameaças de todas as fontes em uma solução centralizada de SIEM (gerenciamento de eventos e informações de segurança), como o Microsoft Sentinel.

  • (Arquitetura da plataforma local do Azure e arquitetura de carga de trabalho) Crie uma segmentação para conter o raio de explosão. Há várias estratégias para obter a segmentação.

    • Identidade. Mantenha as funções e as responsabilidades da plataforma e da carga de trabalho separadas. Permitir que apenas identidades autorizadas realizem as operações específicas que se alinham com suas funções designadas. Os administradores da plataforma local do Azure usam credenciais de domínio local e do Azure para realizar tarefas de plataforma. Operadores de carga de trabalho e desenvolvedores de aplicativos gerenciam a segurança da carga de trabalho. Para simplificar a delegação de permissões, use funções de RBAC (controle de acesso baseado em função) locais do Azure , como "Administrador Local do Azure" para administradores de plataforma e "Colaborador de VM Local do Azure" ou "Leitor de VM Local do Azure" para operadores de carga de trabalho. Para obter mais informações sobre ações de função internas específicas, consulte a documentação do RBAC do Azure para funções híbridas e multinuvem.

    • Rede. Isolar redes caso necessário. Por exemplo, você pode provisionar várias redes lógicas que usam vLANs (redes locais virtuais) separadas e intervalos de endereços de rede. Ao usar essa abordagem, verifique se a rede de gerenciamento pode alcançar cada rede lógica e vLAN para que os computadores locais do Azure possam se comunicar com as redes vLAN por meio dos comutadores ou gateways do ToR. Essa configuração é necessária para o gerenciamento de disponibilidade da carga de trabalho, como permitir que agentes de gerenciamento de infraestrutura se comuniquem com o sistema operacional convidado da carga de trabalho.

    • Examine as recomendações para criar uma estratégia de segmentação para obter informações adicionais.

  • (Arquitetura da plataforma local do Azure e arquitetura de carga de trabalho) Use um provedor de identidade confiável para controlar o acesso. Recomendamos a ID do Microsoft Entra para todas as finalidades de autenticação e autorização. Você pode atribuir uma carga de trabalho a um domínio interno do Windows Server Active Directory, caso seja necessário. Aproveite os recursos que dão suporte a senhas fortes, autenticação multifator, RBAC e controles para o gerenciamento de segredos.

  • (Arquitetura da plataforma local do Azure e arquitetura de carga de trabalho) Isolar, filtrar e bloquear o tráfego de rede. Você pode ter um caso de uso de carga de trabalho que requer redes virtuais, microssegmentação por meio de grupos de segurança de rede, qualidade de rede de políticas de serviço ou encadeamento de dispositivos virtuais para que você possa trazer dispositivos de parceiros para filtragem. Se você tiver essa carga de trabalho, consulte considerações de rede definidas por software para padrões de referência de rede para obter uma lista dos recursos e capacidades com suporte fornecidos pelo Controlador de Rede.

  • (Arquitetura da carga de trabalho) Criptografar dados para proteger contra violação. Criptografar dados em trânsito, dados em repouso e dados em uso.

    • A criptografia de dados em repouso é habilitada em volumes de dados criados durante a implantação. Esses volumes de dados incluem volumes de infraestrutura e volumes de carga de trabalho. Para obter mais informações, consulte Gerenciar a criptografia do BitLocker.

    • Use o início confiável para VMs do Azure Arc para melhorar a segurança de VMs Gen 2, usando recursos de sistemas operacionais modernos, como a Inicialização Segura, que pode utilizar um módulo de plataforma virtual confiável.

  • Operacionalizar o gerenciamento de segredos. Com base em seus requisitos organizacionais, altere as credenciais associadas à identidade do usuário de implantação do Azure Local. Para obter mais informações, consulte Gerenciar rotaçãode segredos.

  • (Arquitetura da plataforma local do Azure) Impor controles de segurança. Use o Azure Policy para auditar e impor políticas internas, como "Políticas de controle de aplicativo devem ser impostas consistentemente" ou "Volumes criptografados devem ser implementados". Você pode usar essas políticas do Azure para auditar as configurações de segurança e avaliar o status de conformidade do Azure Local. Para obter exemplos das políticas disponíveis, consulte as políticas do Azure.

  • (Arquitetura da carga de trabalho) Melhore a postura de segurança da carga de trabalho com políticas internas. Para avaliar as VMs do Azure Arc que são executadas no Azure Local, você pode aplicar políticas internas por meio do benchmark de segurança, do Gerenciador de Atualizações do Azure ou da extensão de configuração de convidado do Azure Policy. Você pode usar várias políticas para verificar as seguintes condições:

    • Instalação do agente do Log Analytics
    • Atualizações de sistema desatualizadas que precisam estar atualizadas com os patches de segurança mais recentes
    • Avaliação de vulnerabilidade e possíveis mitigações
    • Uso de protocolos de comunicação seguros

Recomendações

Recomendação Benefício
Use as configurações de linha de base de segurança e controles de descompasso para aplicar e manter as configurações de segurança em computadores de instância. Essas configurações ajudam a proteger contra alterações indesejadas e descompasso porque atualizam automaticamente as configurações de segurança a cada 90 minutos para impor a postura de segurança pretendida do Azure Local.
Utilize o Controle de Aplicativos do Windows Defender no Azure Local. O Controle de Aplicativos do Windows Defender reduz a superfície de ataque do Azure Local. Use o portal do Azure ou o PowerShell para exibir as configurações de política e os modos de política de controle. As políticas de Controle de Aplicativos do Windows Defender ajudam a controlar quais drivers e aplicativos têm permissão para serem executados em seu sistema.
Habilite a criptografia de volume por meio do BitLocker para proteção de criptografia em repouso de dados. O BitLocker protege os volumes de dados e do sistema operacional criptografando os volumes compartilhados de instância que são criados no Azure Local. O BitLocker usa XTS-AES criptografia de 256 bits. Recomendamos que você mantenha a configuração padrão de criptografia de volume habilitada durante a implantação de nuvem local do Azure para todos os volumes de dados.
Exporte as chaves de recuperação do BitLocker para armazená-las em um local seguro externo da instância local do Azure. Talvez você precise de chaves do BitLocker durante ações específicas de solução de problemas ou recuperação. Recomendamos que você exporte, salve e faça backup das chaves de criptografia para volumes de SO e dados de cada instância local do Azure por meio do cmdlet 'Get-AsRecoveryKeyInfo' do PowerShell. Salve as chaves em um local externo seguro, como o Azure Key Vault.
Use uma solução SIEM para aumentar os recursos de monitoramento e alerta de segurança. Para fazer isso, você pode integrar servidores habilitados para Azure Arc (computadores de plataforma locais do Azure) ao Microsoft Sentinel. Como alternativa, se você usar uma solução SIEM diferente, configure o encaminhamento syslog de eventos de segurança para a solução escolhida. Encaminhe dados de eventos de segurança usando o Microsoft Sentinel ou o encaminhamento de syslog para fornecer recursos de alertas e relatórios por meio da integração com uma solução SIEM gerenciada pelo cliente.
Use a assinatura do SMB (Server Message Block) para aprimorar a proteção de dados em trânsito, que está habilitada nas "configurações de segurança padrão". A assinatura SMB permite que você assine digitalmente o tráfego SMB entre uma plataforma local do Azure e sistemas externos à plataforma (norte ou sul). Configure a assinatura para o tráfego SMB externo entre a plataforma local do Azure e outros sistemas para ajudar a evitar ataques de retransmissão.
Use a configuração de criptografia SMB para aprimorar a proteção de dados em trânsito, que está habilitada nas "configurações de segurança padrão". A criptografia SMB para a configuração de tráfego em instância controla a criptografia do tráfego entre computadores físicos na instância local do Azure (leste ou oeste) em sua rede de armazenamento.

Otimização de custos

A otimização de custos se concentra na na detecção de padrões de gastos, na priorização de investimentos em áreas críticas e na otimização de outras para atender ao orçamento da organização e, ao mesmo tempo, aos requisitos comerciais.

Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado ao Azure Local e seu ambiente.

Lista de verificação de projeto

Comece sua estratégia de design com base na lista de verificação de revisão de design para otimização de custos em investimentos. Ajuste o design para que a carga de trabalho seja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos corretos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.

O Azure Local incorre em custos de hardware, licenciamento de software, cargas de trabalho, licenciamento de VMs convidadas (Windows Server ou Linux) e outros serviços de nuvem integrados, como o Azure Monitor e o Defender para Nuvem.

  • (Arquitetura da plataforma local do Azure e arquitetura de carga de trabalho) Estimar custos realistas como parte da modelagem de custos. Use a calculadora de preços do Azure para selecionar e configurar serviços como Azure Local, Azure Arc e AKS no Azure Local. Experimente várias configurações e opções de pagamento para modelar custos.

  • (Arquitetura da plataforma local do Azure e arquitetura de carga de trabalho) Otimize o custo do hardware local do Azure. Escolha um parceiro OEM de hardware que se alinhe aos seus requisitos comerciais e comerciais. Para explorar a lista certificada de computadores validados, sistemas integrados e soluções premier, consulte o catálogo de soluções locais do Azure. Comunique as características, o tamanho, a quantidade e o desempenho de sua carga de trabalho ao seu parceiro de hardware para que você possa dimensionar corretamente uma solução de hardware econômica para a máquina local do Azure e o tamanho da instância.

  • (Arquitetura da plataforma local do Azure) Otimize os custos de licenciamento. O software local do Azure é licenciado e cobrado "por núcleo de CPU físico". Use licenças principais locais existentes com o Benefício Híbrido do Azure para reduzir os custos de licenciamento para cargas de trabalho locais do Azure, como VMs do Azure Arc que executam o Windows Server, o SQL Server ou o AKS e a Instância Gerenciada de SQL do Azure Habilitada para Azure Arc. Para obter mais informações, consulte a calculadora de custo do Benefício Híbrido do Azure.

  • (Arquitetura da plataforma local do Azure) Economize nos custos de ambiente. Avalie se as opções a seguir podem ajudar a otimizar o uso de recursos.

    • Aproveite os programas de desconto que a Microsoft oferece. Considere usar o Benefício Híbrido do Azure para reduzir o custo para executar cargas de trabalho locais do Azure e do Windows Server. Para obter mais informações, consulte Benefício Híbrido do Azure paraLocal do Azure.

    • Explore ofertas promocionais. Aproveite a avaliação gratuita de 60 dias do Azure Local após o registro para a prova inicial de conceitos ou validações.

  • (Arquitetura da plataforma local do Azure) Economize nos custos operacionais.

    • Avalie as opções de tecnologia para aplicação de patch, atualização e outras operações. O Gerenciador de Atualizações é gratuito para instâncias locais do Azure que têm o Benefício Híbrido do Azure e o gerenciamento de VM do Azure Arc habilitados. Para obter mais informações, consulte perguntas frequentes do Gerenciador de Atualizações e preços do Gerenciador de Atualizações.

    • Avalie os custos relacionados à observabilidade. Configure regras de alerta e DCRs (regras de coleta de dados) para atender às suas necessidades de monitoramento e auditoria. A quantidade de dados que sua carga de trabalho ingere, processa e retém influencia diretamente os custos. Otimize usando políticas de retenção inteligentes, limitando o número e a frequência dos alertas e escolhendo a camada de armazenamento correta para armazenar logs. Para obter mais informações, consulte as diretrizes de Otimização de Custos para o Log Analytics.

  • (Arquitetura da carga de trabalho) Avaliar a densidade em vez de isolamento. Use o AKS no Azure Local para melhorar a densidade e simplificar o gerenciamento de carga de trabalho para que você possa permitir que aplicativos em contêineres sejam dimensionados em vários locais de datacenter ou de borda. Para obter mais informações, consulte o AKS sobre os preços locais do Azure.

Recomendações

Recomendação Benefício
Use o Benefício Híbrido do Azure para o Azure Local se você tiver licenças do Windows Server Datacenter com Software Assurance. Com o Benefício Híbrido do Azure para Azure Local, você pode maximizar o valor de suas licenças locais e modernizar sua infraestrutura existente para o Azure Local sem custo adicional.
Escolha o complemento de assinatura do Windows Server ou traga sua própria licença para licenciar e ativar as VMs do Windows Server e usá-las no Azure Local. Para obter mais informações, consulte Licenciar VMs do Windows Server no Azure Local. Embora você possa usar quaisquer licenças e métodos de ativação existentes do Windows Server disponíveis, opcionalmente, você pode habilitar o "complemento de assinatura do Windows Server" disponível para o Azure Local apenas para assinar licenças de convidado do Windows Server por meio do Azure, que é cobrado pelo número total de núcleos físicos na instância local do Azure.
Use o benefício de verificação do Azure para VMs estendido para o Azure Local para que cargas de trabalho com suporte exclusivas do Azure funcionem fora da nuvem. Esse benefício é habilitado por padrão no Azure Local versão 23H2 ou posterior. Use esse benefício para que as VMs possam operar em outros ambientes do Azure e cargas de trabalho possam se beneficiar de ofertas que estão disponíveis apenas no Azure, como atualizações de segurança estendidas habilitadas pelo Azure Arc.

Excelência operacional

A Excelência Operacional concentra-se principalmente em procedimentos relacionados às práticas de desenvolvimento , observabilidade e gerenciamento de lançamentos.

Os princípios de design da Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas para os requisitos operacionais da carga de trabalho.

O monitoramento e o diagnóstico são cruciais. Você pode usar métricas para medir as estatísticas de desempenho e solucionar problemas e corrigir problemas rapidamente. Para obter mais informações sobre como solucionar problemas, consulte os princípios de design da Excelência Operacional e colete logs de diagnóstico para o Azure Local.

Lista de verificação de projeto

Inicie sua estratégia de design com base na lista de verificação de revisão de design da Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados ao Azure Local.

  • (Arquitetura da plataforma local do Azure) Aumentar a capacidade de suporte do Azure Local. A observabilidade é habilitada por padrão no momento da implantação. Esses recursos aprimoram a capacidade de suporte da plataforma. As informações de telemetria e diagnóstico são compartilhadas com segurança da plataforma usando a extensão AzureEdgeTelemetryAndDiagnostics , que é instalada em todos os computadores locais do Azure por padrão. Para obter mais informações, consulte a observabilidade local do Azure.

  • (Arquitetura da plataforma local do Azure) Use os serviços do Azure para reduzir a complexidade operacional e aumentar a escala de gerenciamento. O Azure Local é integrado ao Azure para habilitar serviços como o Gerenciador de Atualizações para aplicação de patch na plataforma e no Azure Monitor para monitoramento e alertas. Você pode usar o Azure Arc e o Azure Policy para gerenciar a configuração de segurança e a auditoria de conformidade. Implemente o Defender para Nuvem para ajudar a gerenciar ameaças cibernéticas e vulnerabilidades. Use o Azure como o plano de controle para esses processos e procedimentos operacionais para ajudar a reduzir a complexidade, melhorar a eficiência da escala e melhorar a consistência de gerenciamento.

  • (Arquitetura da carga de trabalho) Planeje os requisitos de intervalo de rede de endereço IP para cargas de trabalho com antecedência. O Azure Local fornece uma plataforma para implantar e gerenciar cargas de trabalho virtualizadas ou em contêineres. Considere também os requisitos de endereço IP para redes lógicas que sua carga de trabalho usa. Examine estes recursos:

  • (Configuração da carga de trabalho) Habilite o monitoramento e o alerta para cargas de trabalho implantadas no Azure Local. Você pode usar o Azure Monitor para máquinas virtuais ou VM Insights para VMs Arc ou usar o Container Insights e clusters gerenciados do Prometheus AKS.

    Avalie se você deve usar uma área de trabalho centralizada do Log Analytics para sua carga de trabalho. Para obter um exemplo de um coletor de log compartilhado (local de dados), consulte recomendações de gerenciamento e monitoramento de carga de trabalho.

  • (Arquitetura da plataforma local do Azure) Use técnicas de validação adequadas para uma implantação segura. Use a ferramenta de verificador ambiental no modo autônomo para avaliar a preparação do ambiente de destino antes de implantar uma solução local do Azure. Essa ferramenta valida a configuração adequada de conectividade, hardware, Active Directory do Windows Server, redes e pré-requisitos de integração do Azure Arc necessários.

  • (Arquitetura da plataforma local do Azure) Atualize-se e mantenha-se atualizado. Use o catálogo de soluções local do Azure para se manter atualizado com as inovações mais recentes do OEM de hardware para implantações de instância local do Azure. Considere usar soluções premium para se beneficiar de integração extra, recursos de implantação turn-key e uma experiência de atualização simplificada.

    Use o Gerenciador de Atualizações para atualizar a plataforma e gerenciar o sistema operacional, os agentes principais e os serviços, incluindo extensões de solução. Mantenha-se atualizado e considere usar a configuração "Habilitar atualização automática" sempre que possível para extensões.

Recomendações

Recomendação Benefício
Habilite o Monitor Insights em instâncias locais do Azure para aprimorar o monitoramento e alertas usando recursos nativos do Azure.

Os insights podem monitorar os principais recursos locais do Azure com contadores de desempenho da instância e os canais de log de eventos coletados pelo DCR.

Para determinada infraestrutura de hardware, como o Dell APEX, você pode visualizar eventos de hardware em tempo real.

Para obter mais informações, consulte Feature workbooks.		 O Azure gerencia o Insights, portanto, está sempre atualizado, é escalonável em várias instâncias e é altamente personalizável.

O Insights fornece acesso a pastas de trabalho padrão com métricas básicas, juntamente com pastas de trabalho especializadas criadas para monitorar os principais recursos do Azure Local. Esse recurso fornece monitoramento quase em tempo real. Você pode criar grafos e visualização personalizada usando a agregação e a funcionalidade de filtro. Você também pode configurar regras de alerta personalizadas.

O custo do Insights baseia-se na quantidade de dados ingeridos e nas configurações de retenção de dados do workspace do Log Analytics. Ao habilitar o Azure Local Insights, recomendamos que você use o DCR criado pela experiência de criação do Insights. O prefixo do nome dcr é AzureStackHCI-. Ele está configurado para coletar apenas os dados necessários.
Configure alertas e configure as regras de processamento de alerta com base em seus requisitos organizacionais. Receba notificações sobre alterações na saúde, métricas, logs ou outros tipos de dados de observabilidade.

- Alertas de saúde
- Alertas de log
- Alertas de métrica

Para obter mais informações, consulte as regras recomendadas para alertas de métrica.		 Integre alertas do Monitor ao Azure Local para obter vários benefícios importantes sem custo adicional. Obtenha monitoramento quase em tempo real e personalize alertas para notificar a equipe ou o administrador correto para correção.

Você pode coletar uma lista abrangente de métricas para recursos de computação, armazenamento e rede no Azure Local. Execute operações lógicas avançadas em seus dados de log e avalie as métricas da instância local do Azure em intervalos regulares.
Use o recurso de atualização para integrar e gerenciar vários aspectos da solução local do Azure em um só lugar. Para obter mais informações, consulte Sobre as atualizações no Azure Local. O orquestrador de atualização é instalado durante a implantação inicial da instância local do Azure. Esse recurso automatiza as operações de gerenciamento e atualizações. Para manter o Azure Local em um estado com suporte, atualize suas instâncias em uma cadência regular para migrar para novos builds de linha de base quando elas estiverem disponíveis. Esse método fornece novos recursos e melhorias para a plataforma.

Para obter mais informações sobre os trens de versão, a cadência das atualizações e a janela de suporte de cada build de linha de base, consulte as informações de versão do Azure Local versão 23H2.
Para ajudar com habilidades práticas, laboratórios, eventos de treinamento, demonstrações de produto ou projetos de prova de conceito, considere usar o Jumpstart do Azure Arc. Implante rapidamente o Azure Local sem a necessidade de hardware físico usando uma VM no Azure para implantar a solução. O LocalBox dá suporte ao Azure Local versão 23H2 para habilitar o teste rápido e a avaliação dos recursos mais recentes de produtos de borda do Azure, como integração nativa do Azure Arc e do AKS em uma área restrita independente.

Você pode implantar este sandbox em uma assinatura de serviços do Azure usando uma VM que dá suporte à virtualização aninhada, para emular uma instância local do Azure dentro de uma máquina virtual do Azure. Obtenha recursos locais do Azure, como o novo recurso de implantação de nuvem com esforço manual mínimo.

Para obter mais informações, consulte o blog da Microsoft Tech Community.

Eficiência de desempenho

Eficiência de desempenho significa manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento da capacidade. A estratégia inclui dimensionamento de recursos, identificação e otimização de possíveis gargalos e otimização para o desempenho de pico.

Os princípios de design de eficiência de desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade considerando o uso esperado.

Lista de verificação de projeto

Comece sua estratégia de design com base na lista de verificação de revisão de design para eficiência de desempenho. Defina uma linha de base baseada em indicadores-chave para o Azure Local.

  • (Arquitetura da plataforma local do Azure) Use o hardware validado localmente do Azure ou sistemas integrados de ofertas de parceiro OEM. Considere usar os construtores de soluções premium no catálogo local do Azure para otimizar o desempenho do seu ambiente local do Azure.

  • (Arquitetura de armazenamento da plataforma local do Azure) Escolha os tipos de disco físico corretos para os computadores locais do Azure com base nos requisitos de desempenho e capacidade da carga de trabalho. Para cargas de trabalho de alto desempenho que exigem baixa latência e armazenamento de alta taxa de transferência, considere usar uma configuração de armazenamento all-flash (somente NVMe/SSD). Para computação de uso geral ou requisitos de capacidade de armazenamento grande, considere o uso do armazenamento híbrido (SSD ou NVMe para camada de cache e HDDs para a camada de capacidade), o que pode fornecer maior capacidade de armazenamento.

  • (Arquitetura da plataforma local do Azure) Use a ferramenta de dimensionador local do Azure durante a fase de design da instância (pré-implantação). As instâncias locais do Azure devem ser dimensionadas adequadamente usando os requisitos de capacidade, desempenho e resiliência da carga de trabalho como entradas. O tamanho determina o número máximo de computadores físicos que podem ser offline simultaneamente (quorum de cluster), como qualquer evento planejado (manutenção) ou não planejado (falha de energia ou hardware). Para obter mais informações, consulte a visão geral do quorum do cluster.

  • (Arquitetura da plataforma local do Azure) Use soluções baseadas em NVMe ou SSD (all-flash) para cargas de trabalho com requisitos de alto desempenho ou baixa latência. Essas cargas de trabalho incluem, mas não estão limitadas a tecnologias de banco de dados altamente transacionais, clusters AKS de produção ou quaisquer cargas de trabalho críticas ou críticas para o negócio com requisitos de armazenamento de baixa latência ou alta taxa de transferência. Use implantações flash para maximizar o desempenho do armazenamento. Configurações totalmente NVMe ou totalmente SSD (especialmente em uma escala muito pequena) aumentam a eficiência de armazenamento e otimizam o desempenho, já que não há uso de unidades como camada de cache. Para obter mais informações, consulte Armazenamento baseado em flash.

  • (Arquitetura da plataforma local do Azure) Estabeleça uma linha de base de desempenho para o armazenamento de instância local do Azure antes de implantar cargas de trabalho de produção. Configure os recursos locais do Monitor do Azure com o Insights para monitorar o desempenho de uma única instância local do Azure ou de várias instâncias simultaneamente.

  • (Arquitetura da plataforma local do Azure) Considere usar o recurso de eliminação de duplicação e compactação do Monitor for Resilient File System (ReFS) depois de habilitar o Insights para a instância local do Azure. Determine se você deve usar esse recurso com base nos requisitos de uso e capacidade do armazenamento de carga de trabalho. Esse recurso oferece monitoramento da economia obtida com deduplicação e compactação do ReFS, impacto no desempenho e tarefas. Para mais informações, consulte Monitorar deduplicação e compactação do ReFS.

    Como exigência mínima, planeje reservar 1 x physical machines (N+1) de capacidade na instância para permitir que os computadores dessa instância possam ser esvaziados durante as atualizações realizadas pelo Gerenciamento de Atualizações. Considere reservar capacidade equivalente a 2 physical machines (N+2) computadores para casos de uso críticos para os negócios ou de missão crítica.

Recomendações

Recomendação Benefício
Se você selecionar a opção avançada para "criar somente volumes de infraestrutura" durante a implantação da instância local do Azure, recomendamos que você crie os discos virtuais usando o espelhamento ao criar volumes de carga de trabalho para cargas de trabalho com uso intensivo de desempenho. Essa recomendação beneficia cargas de trabalho que têm requisitos de latência rigorosos ou que precisam de alta taxa de transferência com uma combinação de IOPs (operações de entrada/saída) de leitura e gravação aleatórias por segundo, como bancos de dados do SQL Server, clusters kubernetes ou outras VMs sensíveis ao desempenho. Implante os VHDs de carga de trabalho em volumes que usam espelhamento para maximizar o desempenho e a resiliência. O espelhamento é mais rápido do que qualquer outro tipo de resiliência.
Considere usar o DiskSpd para testar os recursos de desempenho de armazenamento de carga de trabalho da instância local do Azure.

Você também pode usar a VMFleet para gerar carga e medir o desempenho de um subsistema de armazenamento. Avalie se você deve usar a VMFleet para medir o desempenho do subsistema de armazenamento.		 Estabeleça uma linha de base para o desempenho da instância local do Azure antes de implantar cargas de trabalho de produção. O DiskSpd permite que os administradores testem o desempenho de armazenamento da instância usando vários parâmetros de linha de comando. A função principal do DiskSpd é emitir operações de leitura e gravação e métricas de desempenho de saída, como latência, taxa de transferência e IOPs.

Compensações

Existem compensações de design nas abordagens descritas nas listas de verificação dos pilares. Aqui estão alguns exemplos de vantagens e desvantagens.

A criação de redundância aumenta os custos

  • Entenda os requisitos da carga de trabalho antecipadamente, como os destinos de RTO e RPO da carga de trabalho e os requisitos de desempenho de armazenamento (IOPs e taxa de transferência), ao projetar e adquirir o hardware para uma solução local do Azure. Para implantar cargas de trabalho altamente disponíveis, é recomendável um mínimo de três computadores, o que permite espelhamento triplo para dados e volumes de carga de trabalho. Para os recursos de computação, garanta a implantação de, no mínimo, "N+1 computadores físicos", o que reserva a capacidade equivalente a um "único computador" na instância de forma contínua. Para cargas de trabalho críticas para os negócios ou de missão crítica, considere reservar capacidade equivalente a "N+2 computadores" para proporcionar maior resiliência. Por exemplo, se dois computadores na instância estiverem offline, a carga de trabalho poderá permanecer online. Essa abordagem fornece maior resiliência para um cenário como, por exemplo, se uma carga de trabalho em execução de computador ficar offline durante um procedimento de atualização planejado (resultando em dois computadores sendo offline simultaneamente).

  • Para cargas de trabalho comercialmente críticas ou críticas, recomendamos que você implante duas ou mais instâncias locais do Azure separadas e implante várias instâncias de seus serviços de carga de trabalho em instâncias separadas. Use um padrão de design de carga de trabalho que aproveite a replicação de dados e as tecnologias de balanceamento de carga do aplicativo. Por exemplo, os grupos de disponibilidade Always On do SQL Server utilizam replicação de banco de dados síncrona ou assíncrona para atingir destinos de RTO e RTO baixos em instâncias separadas em diferentes datacenters.

  • Consequentemente, um aumento na resiliência da carga de trabalho e uma diminuição nas metas de RTO e RPO aumentam os custos e exigem aplicativos bem projetados e rigor operacional.

Fornecer escalabilidade sem planejamento efetivo de carga de trabalho aumenta os custos

  • O dimensionamento incorreto da instância pode levar a uma capacidade insuficiente ou a uma redução do retorno sobre o investimento (ROI) se o hardware for superdimensionado. Ambos os cenários afetam os custos.

  • O aumento da capacidade é igual a custos mais altos. Durante a fase de design da instância local do Azure, é necessário planejar adequadamente os recursos e o número de computadores de instância com base nos requisitos de capacidade da carga de trabalho. Portanto, você deve entender os requisitos de carga de trabalho (vCPUs, memória, armazenamento e número X de VMs) e deixar alguma margem extra, além do crescimento projetado. É possível executar o gesto de adicionar computador ao utilizar um design de "armazenamento comutado". Mas pode levar muito tempo para obter mais hardware após a implantação. Um gesto para adicionar notas é mais complexo do que dimensionar o hardware da instância e o número de computadores (16 máquinas no máximo) durante a implantação inicial de forma adequada.

  • Haverá desvantagens se você superprovisionar a especificação de hardware do computador e selecionar o número incorreto de computadores (tamanho da instância). Por exemplo, se os requisitos de carga de trabalho forem muito menores do que a capacidade geral da instância e o hardware for subutilizado durante o período de garantia de hardware, o valor ROI poderá diminuir.

Políticas do Azure

O Azure fornece um amplo conjunto de políticas internas relacionadas ao Azure Local e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio do Azure Policy. Por exemplo, você pode verificar se:

  • A rede de host e VM deve ser protegida.
  • Volumes criptografados devem ser implementados.
  • As políticas de controle de aplicativo devem ser impostas consistentemente.
  • Os requisitos de núcleo protegido devem ser atendidos.

Analise as Políticas internas do Azure Local. O Defender para Nuvem tem novas recomendações que mostram o estado de conformidade das políticas internas. Para obter mais informações, consulte políticas internas para a Central de Segurança do Azure.

Se a carga de trabalho for executada em VMs do Azure Arc implantadas no Azure Local, considere políticas internas, como negar a criação ou modificação de licenças de Atualizações de Segurança Estendidas. Para obter mais informações, consulte definições de políticas integradas para cargas de trabalho habilitadas para o Azure Arc.

Considere a criação de políticas personalizadas para fornecer governança extra para os recursos locais do Azure e as VMs do Azure Arc que você implanta em uma instância local do Azure. Por exemplo:

  • Auditar o registro de host local do Azure com o Azure
  • Garantindo que os hosts executem a versão mais recente do sistema operacional
  • Verificando se há componentes de hardware necessários e configurações de rede
  • Verificando a habilitação dos serviços e configurações de segurança necessárias do Azure
  • Confirmando a instalação das extensões necessárias
  • Avaliando a implantação de clusters Kubernetes e a integração com o AKS

Recomendações do Assistente do Azure

O Assistente do Azure é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure. Aqui estão algumas recomendações que podem ajudá-lo a melhorar a confiabilidade, a segurança, a eficácia do custo, o desempenho e a excelência operacional de suas VMs.

Próximas etapas