Использование бессерверного взаимодействия Azure Stack HCI и упрощенного кворума для удаленного офиса или филиала

Azure Arc
Azure Monitor
Политика Azure
Microsoft Defender для облака
Azure Stack HCI

Эта эталонная архитектура иллюстрирует проектирование инфраструктуры для высокодоступных виртуализированных и контейнерных рабочих нагрузок в сценариях удаленного Office или Филиала (ROBO).

Архитектура

Схема, иллюстрирующая сценарий РОБО Azure Stack HCI с двумя узлами кластера Azure Stack HCI с использованием переключения между коммутаторами и USB-кворума. В кластере используется ряд служб Azure, включая Azure Arc, которая обеспечивает возможность реализации Политика Azure, служба автоматизации Azure, которая включает функции управления обновлениями Azure, Azure Monitor, Синхронизация файлов Azure, сетевой адаптер Azure, Microsoft Defender для облака, Azure Backup, Azure Site Recovery и реплика хранилища.

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

Архитектура включает следующие возможности:

  • Azure Stack HCI (20H2). Azure Stack HCI — это решение кластера с гиперконвергентной инфраструктурой (HCI), в котором размещаются виртуализированные рабочие нагрузки Windows и Linux и их хранилище в гибридной локальной среде. Растянутый кластер может состоять из четырех и 16 физических узлов.
  • Следящий файловый ресурс. Файловый ресурс-свидетель — это общий ресурс блока сообщений сервера (SMB), который кластер отработки отказа использует в качестве голосования в кворуме кластера. Начиная с Windows Server 2019, для этого можно использовать USB-диск, подключенный к маршрутизатору .
  • Azure Arc. Облачная служба, которая расширяет модель управления на основе Azure Resource Manager до ресурсов, отличных от Azure, включая виртуальные машины, кластеры Kubernetes и контейнерные базы данных.
  • Политика Azure. Облачная служба, которая оценивает Azure и локальные ресурсы через интеграцию с Azure Arc, сравнивая свойства с настраиваемыми бизнес-правилами.
  • Azure Monitor. Облачная служба, которая обеспечивает максимальную доступность и производительность приложений и служб, предоставляя комплексное решение для сбора, анализа и действия с телеметрией из облачных и локальных сред.
  • Microsoft Defender для облака. Microsoft Defender для облака — это единая система управления безопасностью инфраструктуры, которая укрепляет безопасность центров обработки данных и обеспечивает расширенную защиту от угроз в гибридных рабочих нагрузках в облаке ( независимо от того, находится ли они в Azure или нет) и локально.
  • служба автоматизации Azure. Служба автоматизации Azure предоставляет облачную службу автоматизации и настройки, которая поддерживает последовательное управление в средах Azure и не в Azure.
  • Отслеживание изменений и инвентаризация. Функция служба автоматизации Azure, которая отслеживает изменения серверов Windows Server и Linux, размещенных в Azure, локальных и других облачных средах, чтобы помочь определить операционные и экологические проблемы с программным обеспечением, управляемым диспетчер пакетов дистрибутива.
  • Управление обновлениями. Функция служба автоматизации Azure, которая упрощает управление обновлениями ОС для компьютеров Windows Server и Linux в Azure, в локальных средах и в других облачных средах.
  • Azure Backup. Служба Azure Backup предоставляет простые, безопасные и экономичные решения для резервного копирования и восстановления данных из облака Microsoft Azure.
  • Azure Site Recovery. Облачная служба, которая помогает обеспечить непрерывность бизнес-приложений и рабочих нагрузок во время сбоев. Site Recovery управляет репликацией и отработкой отказа рабочих нагрузок, работающих как на физических, так и на виртуальных машинах между их основным сайтом и дополнительным расположением.
  • Синхронизация файлов Azure. Облачная служба, которая может синхронизировать и кэшировать содержимое общих папок Azure с помощью серверов Windows в средах Azure и не в Azure.
  • Реплика хранилища. Технология Windows Server, которая обеспечивает репликацию томов между серверами или кластерами для аварийного восстановления.

Компоненты

Ключевые технологии, используемые для реализации этой архитектуры:

Подробности сценария

Потенциальные варианты использования

Типичные варианты использования этой архитектуры включают следующие сценарии удаленного office/branch Office (ROBO):

  • Реализуйте высокодоступные пограничные рабочие нагрузки на основе контейнеров и виртуализированные бизнес-приложения в экономичном режиме.
  • Снижение общей стоимости владения (TCO) с помощью решений, сертифицированных корпорацией Майкрософт, облачной автоматизации, централизованного управления и централизованного мониторинга.
  • Контроль и аудит безопасности и соответствия с помощью защиты на основе виртуализации, сертифицированного оборудования и облачных служб.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Используйте azure Stack HCI без переключения и упрощенного кворума для высокодоступной и экономичной инфраструктуры ROBO.

В сценариях ROBO основной бизнес-проблемой является минимизация затрат. Тем не менее, многие рабочие нагрузки ROBO крайне критически важны с очень малой терпимостью к простою. Azure Stack HCI предлагает оптимальное решение, предлагая устойчивость и экономичность. С помощью Azure Stack HCI можно применить встроенную устойчивость Локальные дисковые пространства и технологий отказоустойчивой кластеризации для реализации высокодоступных вычислительных ресурсов, хранилища и сетевой инфраструктуры для контейнерных и виртуализированных рабочих нагрузок ROBO. Для экономичности можно использовать только два узла кластера с четырьмя дисками и 64 гигабайтами (ГБ) памяти на узел. Для дальнейшего минимизации затрат можно использовать переключение между узлами без переключения, тем самым устраняя необходимость избыточных устройств коммутатора. Чтобы завершить настройку кластера, вы можете реализовать следящий файловый ресурс просто с помощью USB-диска , подключенного к маршрутизатору, на котором размещаются связи вверх из узлов кластера. Для обеспечения максимальной устойчивости в кластере с двумя узлами можно настроить тома Локальные дисковые пространства с помощью вложенного двустороннего зеркального отображения или вложенного ускорения четности зеркального отображения. В отличие от традиционного двустороннего зеркального отображения, эти параметры допускают несколько одновременных сбоев оборудования без потери данных.

Примечание.

Благодаря вложенной устойчивости кластер с 2-узлом и всеми его томами останется в сети после сбоя одного узла и одного диска на оставшемся узле.

Полностью интегрируйте развертывания Azure Stack HCI с Azure, чтобы свести к минимуму TCO в сценариях ROBO.

В рамках семейства продуктов Azure Stack Azure Stack HCI по сути зависит от Azure. Поэтому для оптимизации функций и поддержки необходимо зарегистрировать его в течение 30 дней после развертывания первого кластера Azure Stack HCI. Этот процесс создает соответствующий ресурс Azure Resource Manager, который эффективно расширяет уровень управления Azure до Azure Stack HCI, а также автоматически включает портал Azure функции мониторинга, поддержки и выставления счетов.

Чтобы свести к минимуму затраты на кластер Azure Stack HCI и управление рабочими нагрузками, следует также использовать следующие службы Azure, которые предоставляют следующие возможности:

  • Azure Monitor. Собирает данные телеметрии, созданные кластерами и их виртуальными машинами для мониторинга, аналитики и оповещения.
  • служба автоматизации Azure, функция управления обновлениями. Используйте для автоматического развертывания и создания отчетов об исправлениях виртуальной машины Azure Stack HCI.
  • функция служба автоматизации Azure, Отслеживание изменений и инвентаризации. Отслеживайте изменения конфигурации виртуальной машины Azure Stack HCI.
  • служба автоматизации Azure DSC. Автоматизация требуемой конфигурации состояния виртуальных машин Azure Stack HCI.
  • Azure Backup. Управление резервной копией виртуальных машин Azure Stack HCI и их рабочих нагрузок.
  • Azure Site Recovery. Реализуйте и оркеструйте аварийное восстановление для виртуальных машин Azure Stack HCI.
  • Синхронизация файлов Azure. Синхронизация и многоуровневые общие папки, размещенные в кластерах Azure Stack HCI.
  • Служба Azure Kubernetes (AKS). Реализуйте оркестрацию контейнеров.

Для дальнейшего использования возможностей Azure можно расширить область интеграции Azure Arc с виртуализированными и контейнерными рабочими нагрузками Azure Stack HCI, реализуя следующие функции:

  • Серверы с поддержкой Azure Arc. Используйте для виртуализированных рабочих нагрузок, работающих на виртуальных машинах Azure Stack HCI.
  • Службы данных с поддержкой Azure Arc. Используется для контейнерных Управляемый экземпляр SQL Azure или Гипермасштабирования PostgreSQL, работающих в AKS и размещенных виртуальных машинах Azure Stack HCI.

Внимание

Службы данных с поддержкой AKS в Azure Stack HCI и Azure Arc находятся в предварительной версии во время публикации этой эталонной архитектуры.

Расширив область использования Azure Arc на виртуальные машины Azure Stack HCI, вы сможете автоматизировать их настройку с помощью расширений виртуальной машины Azure и оценивать их соответствие отраслевым требованиям и корпоративным стандартам с помощью Политики Azure.

Используйте защиту на основе виртуализации Azure Stack HCI, сертифицированное оборудование и облачные службы для повышения безопасности и соответствия требованиям в сценариях ROBO.

Сценарии ROBO представляют уникальные проблемы с безопасностью и соответствием. Без поддержки локальной ИТ-службы и отсутствия выделенных центров обработки данных особенно важно защитить рабочие нагрузки как от внутренних, так и от внешних угроз. Возможности Azure Stack HCI и его интеграция со службами Azure могут решить эту проблему.

Сертифицированное оборудование Azure Stack HCI обеспечивает встроенную поддержку защищенной загрузки, унифицированного расширяемого интерфейса встроенного ПО (UEFI) и доверенного платформенного модуля (TPM). Эти технологии в сочетании с безопасностью на основе виртуализации (VBS) помогают защитить рабочие нагрузки с учетом безопасности. Шифрование диска BitLocker позволяет шифровать неактивные тома Локальные дисковые пространства во время шифрования SMB обеспечивает автоматическое шифрование при передаче, упрощая соответствие таким стандартам, как Федеральный стандарт обработки информации 140-2 (FIPS 140-2) и закон о переносимости медицинского страхования и подотчетности (HIPAA).

Кроме того, вы можете подключить виртуальные машины Azure Stack HCI в Microsoft Defender для облака для активации облачной аналитики поведения, обнаружения угроз и исправления, оповещений и отчетов. Аналогичным образом путем подключения виртуальных машин Azure Stack HCI в Azure Arc вы получаете возможность использовать Политика Azure для оценки соответствия отраслевым нормативным требованиям и корпоративным стандартам.

Рекомендации

Microsoft Azure Well-Architected Framework — это набор руководящих принципов, которые следуют в этой эталонной архитектуре. В контексте этих принципов рассматриваются следующие рекомендации.

Надежность

Надежность гарантирует, что ваше приложение позволит вам выполнить ваши обязательства перед клиентами. Дополнительные сведения см. в разделе "Обзор основы надежности".

Рекомендации по надежности включают:

  • Улучшена скорость восстановления тома Локальные дисковые пространства (также называемая повторной синхронизацией). Локальные дисковые пространства обеспечивает автоматическую повторную синхронизацию после событий, влияющих на доступность дисков пула носителей, таких как завершение работы узла кластера или локализованный сбой оборудования. Azure Stack HCI реализует расширенный процесс повторной синхронизации, который работает с гораздо более детальной степенью детализации, чем Windows Server 2019, и значительно сокращает время повторной синхронизации. Это сводит к минимуму влияние нескольких перекрывающихся сбоев оборудования.
  • Выбор следящего кластера отработки отказа. Упрощенный usb-диск-свидетель устраняет зависимости от надежного подключения к Интернету, который требуется при использовании конфигурации на основе облачных следящего сервера.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

Вопросы безопасности:

  • Базовая безопасность Azure Stack HCI. Используйте аппаратные компоненты Azure Stack HCI (такие как безопасная загрузка, UEFI и TPM) для создания безопасной основы для безопасности на уровне виртуальной машины Azure Stack HCI, включая Device Guard и Credential Guard. Используйте управление доступом на основе ролей Windows Admin Center для делегирования задач управления, следуя принципу наименьших привилегий.
  • Расширенная безопасность Azure Stack HCI. Примените базовые показатели безопасности Майкрософт к кластерам Azure Stack HCI и рабочим нагрузкам Windows Server с помощью служб домен Active Directory (AD DS) с групповой политикой. С помощью Microsoft Advanced Threat Analytics (ATA) можно обнаруживать и устранять кибер-угрозы, предназначенные для контроллеров домена AD DS, предоставляющих службы проверки подлинности кластерам Azure Stack HCI и рабочим нагрузкам Windows Server.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Рекомендации по оптимизации затрат включают:

  • Переключение между кластерами на основе коммутатора и переключение. Топология без переключения состоит из избыточных подключений между адаптерами удаленного доступа к удаленной памяти (RDMA) с одним или двумя портами на каждом узле (который формирует полную сетку) с каждым узлом, подключенным непосредственно к каждому другому узлу. Хотя это просто реализовать в кластере с 2 узлами, большие кластеры требуют дополнительных сетевых адаптеров в оборудовании каждого узла.
  • Модель выставления счетов в стиле облака. Цены На Azure Stack HCI соответствуют модели выставления счетов за ежемесячную подписку с плоской ставкой на ядро физического процессора в кластере Azure Stack HCI.

Внимание

Несмотря на отсутствие требований к лицензированию локального программного обеспечения для узлов кластера, на которых размещена инфраструктура Azure Stack HCI, виртуальные машины Azure Stack HCI могут требовать отдельных лицензий ОС. Дополнительные расходы на использование также могут применяться, если вы используете другие службы Azure.

Эффективность работы

Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

Рекомендации по операционному превосходству включают:

  • Упрощенная подготовка и управление с помощью Windows Admin Center. Мастер создания кластеров в Windows Admin Center предоставляет управляемый мастером интерфейс, который поможет вам создать кластер Azure Stack HCI. Аналогичным образом Windows Admin Center упрощает процесс управления виртуальными машинами Azure Stack HCI.
  • Возможности автоматизации. Azure Stack HCI предоставляет широкий спектр возможностей автоматизации, а обновления ОС в сочетании с обновлениями полного стека, включая встроенное ПО и драйверы, предоставляемые поставщиками и партнерами Azure Stack HCI. При обновлении с поддержкой кластеров (CAU) обновления ОС выполняются автоматически, пока рабочие нагрузки Azure Stack HCI остаются в сети. Это приводит к простому переходу между узлами кластера, которые устраняют влияние после перезагрузки исправлений. Azure Stack HCI также поддерживает автоматическую подготовку кластеров и управление виртуальными машинами с помощью Windows PowerShell. Windows PowerShell можно запускать локально с одного из серверов Azure Stack HCI или удаленно с компьютера управления. Интеграция с служба автоматизации Azure и Azure Arc упрощает широкий спектр дополнительных сценариев автоматизации для виртуализированных и контейнерных рабочих нагрузок.
  • Снижение сложности управления. Переключение без переключения устраняет риск сбоев переключения устройств и необходимость их настройки и управления.

Оптимизация производительности

Уровень производительности — это способность вашей рабочей нагрузки эффективно масштабироваться в соответствии с требованиями, предъявляемыми к ней пользователями. Дополнительные сведения см. в разделе "Общие сведения о эффективности производительности".

Рекомендации по эффективности производительности:

  • Устойчивость хранилища и эффективность использования, а также производительность. Планирование томов Azure Stack HCI включает определение оптимального баланса между устойчивостью, эффективностью использования и производительностью. Сложность заключается в том, что увеличение одной из этих характеристик обычно отрицательно сказывается как минимум на одной из остальных двух характеристик. Например, увеличение устойчивости снижает удобство использования емкости, а результирующая производительность может отличаться в зависимости от типа устойчивости. В случае вложенных двухсторонние зеркальные тома или вложенные тома ускоренного четности зеркального отображения более высокая устойчивость приводит к снижению эффективности емкости по сравнению с традиционным двусторонним зеркальным отображением. В то же время вложенный двусторонняя зеркальная громкость обеспечивает лучшую производительность, чем объем вложенного зеркального ускорения четности, но за счет снижения эффективности использования.
  • Локальные дисковые пространства конфигурации диска. Локальные дисковые пространства поддерживает жесткие диски (HDD), твердотельные накопители (SSD) и типы дисков NVMe. Тип диска напрямую влияет на производительность хранилища из-за различий в производительности каждого типа и механизма кэширования, который является неотъемлемой частью конфигурации Локальные дисковые пространства. В зависимости от рабочих нагрузок Azure Stack HCI и ограничений бюджета можно выбрать максимальную производительность, максимизировать емкость или реализовать конфигурацию диска, которая обеспечивает баланс между производительностью и емкостью.
  • Оптимизация кэширования хранилища. Локальные дисковые пространства предоставляет встроенный, постоянный, режим реального времени, чтение и запись, серверный кэш, который повышает производительность хранилища. Кэш должен быть настроен для размещения рабочего набора приложений и рабочих нагрузок. Кроме того, Azure Stack HCI совместим с кэшем чтения общего тома кластера (CSV). Использование системной памяти для кэширования операций чтения может повысить производительность Hyper-V.
  • Оптимизация производительности вычислений. Azure Stack HCI предлагает поддержку ускорения графической обработки (GPU), предназначенных для высокопроизводительных рабочих нагрузок ИИ/ML, предназначенных для пограничных сценариев.
  • Оптимизация производительности сети. В рамках разработки обязательно включите проецируемый распределение пропускной способности трафика при определении оптимальной конфигурации сетевого оборудования. Это включает в себя положения, касающиеся требований к минимальной пропускной способности переключения без переключения.

Следующие шаги

Документация по продукту:

Модули Microsoft Learn.