Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Yerel, Azure Arc'ı kullanarak Azure'ı müşteriye ait altyapıya genişleterek modern ve geleneksel uygulamaların dağıtılmış veya uç konumlarda tutarlı bir şekilde çalışmasını sağlar. Çözüm, Azure'ı kullanarak birleşik bir yönetim deneyimi sağlar ve güvenilir Microsoft iş ortaklarının çok çeşitli doğrulanmış donanımlarını destekler. Veri hakimiyeti, düzenleme ve uyumluluk ve gecikme süresi gereksinimlerini karşılamak üzere iş sistemlerini ve uygulama verilerini şirket içinde tutmak için Azure Yerel ve Azure Arc özelliklerini kullanabilirsiniz.
Bu makalede karma sistemler hakkında bilgi sahibi olduğunuz ve Azure Yerel hakkında çalışan bilgilere sahip olduğunuz varsayılır. Bu makaledeki kılavuz, Azure Well-Architected Framework sütunlarının ilkelerine eşlenen mimari öneriler sunar.
Teknoloji kapsamı
Bu gözden geçirme, aşağıdaki Azure kaynakları için birbiriyle ilişkili kararlara odaklanır:
- Azure Yerel (platform), 2311 ve üzeri
- Azure Yerel VM'leri (iş yükü)
Note
Bu makale, önceki kapsamı kapsar ve platform mimarisine ve iş yükü mimarisine göre düzenlenmiş denetim listeleri ve öneriler sağlar. Platformla ilgili endişeler platform yöneticilerinin sorumluluğundadır. İş yükü endişeleri, iş yükü operatörünün ve uygulama geliştiricilerinin sorumluluğundadır. Bu roller ve sorumluluklar ayrıdır, ancak kuruluşunuzun yapısına bağlı olarak bunlar tek bir takıma veya ayrı ekiplere ve kişilere ait olabilir. Kılavuzu uygularken bu ayrımı göz önünde bulundurun.
Bu kılavuz, Azure Yerel VM'leri, Azure Kubernetes Service (AKS) ve Azure Sanal Masaüstü gibi Azure Yerel'de dağıtabileceğiniz belirli kaynak türlerine odaklanmaz. Bu kaynak türlerini Azure Yerel'e dağıtırken, iş gereksinimlerinizi karşılayan çözümler tasarlamak için ilgili iş yükü kılavuzuna bakın.
Reliability
Güvenilirlik sütununun amacı, yeterli dayanıklılık ve hatalardan hızlı kurtarma olanağı oluşturarak sürekli işlevsellik sağlamaktır.
Güvenilirlik tasarım ilkeleri tek tek bileşenler, sistem akışları ve bir bütün olarak sistem için uygulanan üst düzey bir tasarım stratejisi sağlar.
Karma bulut dağıtımlarında amaç, bir bileşen hatasının etkilerini azaltmaktır. Azure Yerel'de dağıttığınız iş yükleri için bileşen hatasının etkisini azaltacak bu tasarım denetim listelerini ve yapılandırma önerilerini kullanın.
Platform güvenilirliği ile iş yükü güvenilirliği arasında ayrım yapmak önemlidir. İş yükü güvenilirliğinin platforma bağımlılığı vardır. Uygulama sahiplerinin veya geliştiricilerin tanımlı güvenilirlik hedeflerini sunabilecek uygulamalar tasarlaması gerekir.
İş yükü tasarımı denetim listesi
Güvenilirlikiçin
(Azure Yerel platform mimarisi ve iş yükü mimarisi) İş yükü güvenilirlik hedeflerini tanımlayın.
Kullanılabilirlik hedeflerini değerlendirebilmeniz için hizmet düzeyi hedeflerinizi (SLO) ayarlayın. SLO'ları, iş yükü çalışma süresini yansıtan yüzde olarak 99,9%, 99,95%veya 99,995%hesaplayın. Bu hesaplamanın yalnızca Azure Yerel örneğinin veya iş yükünün yaydığı platform ölçümlerine dayalı olmadığını unutmayın. Kapsamlı bir hedef ölçümü elde etmek için, sürümler sırasında beklenen kapalı kalma süresi, rutin işlemler, desteklenebilirlik gibi ölçülebilir nüanslı faktörler ile iş yüküne özgü veya kuruluşa özgü diğer faktörleri göz önünde bulundurun.
Microsoft tarafından sağlanan hizmet düzeyi sözleşmeleri (SLA) genellikle SLO hesaplamalarını etkiler. Ancak Microsoft, Azure Yerel örneklerinin veya dağıtılan iş yükünün çalışma süresi ve bağlantısı için bir SLA sağlamaz, çünkü Microsoft müşteri veri merkezi güvenilirliğini (güç ve soğutma gibi) veya platformu yöneten kişi ve işlemleri denetlemez.
(Azure Yerel platform mimarisi) Performansın ve işlemlerin güvenilirliği nasıl etkilediğini düşünün.
Örneğin veya bağımlılıklarının performansının düşmesi Azure Yerel platformunu kullanılamaz hale getirebilir. Örneğin:
Uygun iş yükü kapasitesi planlaması olmadan, tasarım aşamasında Azure Yerel örneklerinin doğru boyutlandırılması zordur, ki bu, iş yükünün istenen güvenilirlik hedeflerini karşılayabilmesi için bir gereksinimdir. Örnek tasarımı sırasında Azure Yerel boyutlandırıcı aracını kullanın. Yüksek oranda kullanılabilir VM'lere ihtiyacınız varsa "Makine sayısı için N+1 minimum gereksinimi" göz önünde bulundurun. İş açısından kritik veya görev açısından kritik iş yükleri için dayanıklılık çok önemliyse örnek boyutu için "N+2 makine sayısı" kullanmayı göz önünde bulundurun.
Platformun güvenilirliği, fiziksel disk türleri gibi kritik platform bağımlılıklarının ne kadar iyi performans sergilediğine bağlıdır. Gereksinimleriniz için doğru disk türlerini seçmeniz gerekir. Düşük gecikme süresine ve yüksek aktarım hızına sahip depolamaya ihtiyaç duyan iş yükleri için tümü flash (yalnızca NVMe/SSD) depolama yapılandırması önerilir. Genel amaçlı işlem için karma depolama (önbellek için NVMe veya SSD'ler ve kapasite için HDD'ler) yapılandırması daha fazla depolama alanı sağlayabilir. Ancak iş yükünüz önbellek çalışma kümesini aşarsa dönen disklerin performansı önemli ölçüde düşük olur ve HDD'ler NVMe/SSD'lerle karşılaştırıldığında hata değeri arasında çok daha düşük ortalama süreye sahip olur. Daha fazla bilgi için Azure Yerel temel başvuru mimarisinin fiziksel disk sürücüleri bölümünü gözden geçirin.
Performans Verimliliği bu örnekleri daha ayrıntılı olarak açıklar.
Hatalı Azure Yerel işlemleri, düzeltme eklemelerini, yükseltmeleri, testleri ve dağıtımların tutarlılığını etkileyebilir. Aşağıda bazı örnekler verilmiştir:
Azure Yerel platformu en son donanım özgün donanım üreticisi (OEM) üretici yazılımı, sürücüleri ve yeniliklerle geliştirilmezse, platform en son dayanıklılık özelliklerinden yararlanmayabilir. Donanım OEM sürücüsü ve üretici yazılımı güncelleştirmelerini düzenli olarak uygulayın. Daha fazla bilgi için bkz. Azure Yerel için Çözüm Oluşturucu uzantısı güncelleştirmeleri veya üretici yazılımı ve sürücü güncelleştirmelerini edinme hakkında donanım OEM iş ortağınızla konuşun.
Dağıtımdan önce bağlantı, donanım, kimlik ve erişim yönetimi için hedef ortamı test etmeniz gerekir. Aksi takdirde Azure Yerel çözümünü kararsız bir ortama dağıtabilir ve bu da güvenilirlik sorunları oluşturabilir. Ortam denetleyicisi aracını, örnek donanımı kullanılabilir olmadan önce bile sorunları algılamak için tek başına modda kullanabilirsiniz.
Operasyonel rehberlik için bkz. Operasyonel Mükemmellik.
(Azure Yerel platform mimarisi) Altyapı bağımlılıkları ve örnek için hata toleransı sağlayın.
Depolama tasarımı seçenekleri. Çoğu dağıtım için varsayılan "iş yükü ve altyapı birimlerini otomatik olarak oluşturma" seçeneği yeterlidir. "Yalnızca gerekli altyapı birimlerini oluştur" gelişmiş seçeneğini seçerseniz, iş yükü gereksinimlerinize göre Depolama Alanları Doğrudan'da uygun birim hata toleransını yapılandırın. Bu kararlar birimlerin performans, kapasite ve dayanıklılık özelliklerini etkiler. Örneğin, üç yönlü yansıtma, üç veya daha fazla makineye sahip örneklerin güvenilirliğini ve performansını artırır. Daha fazla bilgi için bkz . Depolama verimliliği için hataya dayanıklılık ve Depolama Alanları Doğrudan sanal diskleri ve birimleri oluşturma.
Ağ mimarisi. Azure Yerel'i dağıtmak için doğrulanmış bir ağ topolojisi kullanın. Dört veya daha fazla fiziksel makineye sahip çok makineli örnekler için "depolama anahtarlı" tasarım gerekir. İki veya üç makineye sahip örnekler isteğe bağlı olarak "depolama anahtarız" tasarımını kullanabilir. Örnek boyutundan bağımsız olarak, daha fazla hataya dayanıklılık sağlamak amacıyla yönetim ve işlem amaçları (kuzey ve güney yukarı bağlantıları) için çift raf üstü (ToR) anahtarları kullanmanızı öneririz. Çift ToR topolojisi, anahtar hizmeti (üretici yazılımı güncelleştirmesi) işlemleri sırasında dayanıklılık da sağlar. Daha fazla bilgi için bkz . Doğrulanmış ağ topolojileri.
(İş yükü mimarisi) Dayanıklılık sağlamak için yedeklilik oluşturun.
Tek bir Azure Yerel örneğine dağıttığınız bir iş yükünü yerel olarak yedekli dağıtım
olarak düşünün. Örnek, platform düzeyinde yüksek kullanılabilirlik sağlar, ancak örneği "tek bir rafa" dağıttığınızı unutmayın. Bu nedenle, iş açısından kritik veya görev açısından kritik kullanım örnekleri için, bir iş yükünün veya hizmetin birden çok örneğini, ideal olarak ayrı fiziksel konumlarda olmak üzere iki veya daha fazla ayrı Azure Yerel örneğine dağıtmanızı öneririz. İş yükleri için endüstri standardı yüksek kullanılabilirlik desenlerini kullanın. Örneğin, etkin/pasif zaman uyumlu veya zaman uyumsuz veri çoğaltma (SQL Server Always On gibi) sağlayan bir tasarım. Bir diğer örnek de, kullanıcı isteklerini ayrı fiziksel konumlara dağıttığınız Azure Yerel örnekleri üzerinde çalışan birden çok iş yükü örneğine yönlendirebilen bir dış ağ yük dengeleme (NLB) teknolojisidir. İş ortağı dış NLB cihazı kullanmayı göz önünde bulundurun. Alternatif olarak, şirket içi hizmete bağlanmak için Azure ExpressRoute veya VPN tüneli kullanan bir Azure Application Gateway örneği gibi karma ve şirket içi hizmetler için trafik yönlendirmeyi destekleyen yük dengeleme seçeneklerini değerlendirebilirsiniz.
Daha fazla bilgi için bkz. İş yükü örneklerini birden çok Azure Yerel örneğine dağıtma.
(İş yükü mimarisi) İş yükü kurtarma noktası hedefinize (RPO) ve kurtarma süresi hedefi (RTO) hedeflerinize göre kurtarılabilirliği planlayın ve test edin.
İyi belgelenmiş bir olağanüstü durum kurtarma planına sahip olun. İş sürekliliği planlarınızın ve süreçlerinizin geçerli olduğundan emin olmak için kurtarma adımlarını düzenli olarak test edin. Azure Site Recovery'nin Azure Yerel'de çalışan VM'leri korumak için uygun bir seçenek olup olmadığını belirleyin. Daha fazla bilgi için bkz. Azure Yerel'de Azure Site Recovery ile VM iş yüklerini koruma (önizleme).
(İş yükü mimarisi) İş yükü yedekleme ve geri yükleme yordamlarını yapılandırın ve düzenli olarak test edin.
Veri kurtarma ve saklama için iş gereksinimleri, iş yükü yedekleme stratejisini yönlendirir. Kapsamlı bir strateji, tek tek (belirli bir noktaya) dosya düzeyinde ve klasör düzeyinde verileri geri yükleme özelliğiyle iş yükü işletim sistemi (OS) ve uygulama kalıcı verileriyle ilgili önemli noktaları içerir. Kullanılabilir veri kurtarma noktalarının sayısını ve yaşını belirleyen veri kurtarma ve uyumluluk gereksinimlerinize göre yedekleme saklama ilkelerini yapılandırın. Azure Yerel için konak düzeyinde veya VM konuk düzeyinde yedeklemeleri etkinleştirme seçeneği olarak Azure Backup'ı keşfedin. Uygun olduğunda yedekleme bağımsız yazılım satıcısı ortaklarından veri koruma çözümlerini gözden geçirin. Daha fazla bilgi için bkz. Azure Backup kılavuzu ve en iyi yöntemler ve Azure Yerel için Azure Backup.
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| İş veya görev açısından kritik senaryolarda, riski azaltmak için güncelleştirmeleri uygularken bakım pencerelerine izin vermek için çok bölgeli iş yükü mimarileri uygulayın. | İş veya görev açısından kritik senaryolar için (çok katı / düşük SLO hedefleriyle), güncelleştirmeleri uygularken bakım pencereleri uygulamayı göz önünde bulundurun. Örneğin, olağanüstü durum kurtarma ve iş sürekliliği (BC/DR) özelliğinizin bir parçası olarak etkin/pasif Azure Yerel örnekleri arasında iş açısından kritik iş yüklerinin yük devretmesini gerçekleştirin. İş yükü yük devretme yaklaşımının kullanılması, hizmet işlemleri sırasında fiziksel düğümler boşaltıldığında ve yeniden başlatıldığında (tek tek) herhangi bir yük devretme kümesinin dayanıklılığı geçici olarak azaltıldığında Azure Yerel'e güncelleştirmeler uygulanırken işletimsel riskleri azaltır. |
| Depolama Alanları Doğrudan depolama havuzu içindeki makine başına bir kapasite disk değerindeki alanın eşdeğerini ayırın. | Azure Yerel örneğini dağıttıktan sonra iş yükü birimleri oluşturmayı seçerseniz (Gelişmiş seçenek: "yalnızca gerekli altyapı birimlerini oluşturma"), depolama havuzunda ayrılmamış toplam havuz kapasitesinin 5% ile 10% bırakmanızı öneririz. Bu ayrılmış ve kullanılmayan veya ücretsiz kapasite, Depolama Alanları Doğrudan'ın fiziksel disk başarısız olduğunda "yerinde" onarım gerçekleştirmesini sağlar ve bu da fiziksel disk hatası oluşması durumunda veri dayanıklılığını ve performansını artırır. |
| Tüm fiziksel makinelerin Azure Yerel ve Azure Arc için gerekli giden HTTPS uç noktaları listesine ağ erişimi olduğundan emin olun. | Azure Yerel örneklerini veya iş yükü kaynaklarını güvenilir bir şekilde yönetmek, izlemek ve çalıştırmak için gerekli giden ağ uç noktalarının, doğrudan ya da bir ara sunucu üzerinden erişime sahip olması gerekir. Geçici bir kesinti, iş yükünün çalışma durumunu etkilemez, ancak yönetilebilirliği etkileyebilir. |
| İş yükü birimlerini (sanal diskler) el ile oluşturmayı tercih ederseniz, iş yükü dayanıklılığını ve performansını en üst düzeye çıkarmak için en uygun dayanıklılık türünü kullanın. Örneği dağıttığınızda el ile oluşturduğunuz tüm kullanıcı birimleri için Azure'daki birimler için bir depolama yolu oluşturun. Birim, depolama yolu aracılığıyla iş yükü VM yapılandırma dosyalarını, VM sanal sabit disklerini (VHD'ler) ve VM görüntülerini depolayabilir. | Üç veya daha fazla makineye sahip Azure Yerel örnekleri için en yüksek dayanıklılık ve performans özelliklerini sağlamak için üç yönlü yansıtma kullanmayı göz önünde bulundurun. İşletmeler için kritik veya hayati öneme sahip iş yükleri için ayna diskler kullanmanızı öneririz. |
| Aynı hizmetin birden çok örneğini barındıran VM'lerin ayrı fiziksel konaklarda çalıştığından emin olmak için iş yükü benzeşimi önleme kurallarını uygulamayı göz önünde bulundurun. Bu kavram, Azure'daki "kullanılabilirlik kümeleri" ile benzerdir. | Tüm bileşenleri yedekli hale getirin. İş açısından kritik veya görev açısından kritik iş yükleri için, uygulamalarınızın veya hizmetlerinizin birden çok örneğini dağıtmak için birden çok Azure Yerel VM'sini veya Kubernetes çoğaltma kümesini veya podunu kullanın. Bu yaklaşım, tek bir fiziksel makinede planlanmamış bir kesinti oluşursa dayanıklılığı artırır. |
Security
Güvenlik sütununun amacı iş yüküne gizlilik, bütünlük ve kullanılabilirlik garantileri sağlamaktır.
Güvenlik tasarımı ilkeleri, Azure Yerel'in teknik tasarımına yaklaşımlar uygulayarak bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Azure Yerel, bulut dağıtım işlemi sırasında 300'den fazla güvenlik ayarının etkinleştirildiği, varsayılan olarak güvenli bir üründür. Varsayılan güvenlik ayarları, cihazların bilinen iyi durumda başlamasını sağlamak için tutarlı bir güvenlik temeli sağlar. Ayrıca, büyük ölçekte yönetim sağlamak için kayma koruma denetimlerini kullanabilirsiniz.
Azure Yerel'deki varsayılan güvenlik özellikleri arasında sağlamlaştırılmış işletim sistemi güvenlik ayarları, Uygulama Denetimi, BitLocker aracılığıyla birim şifreleme, gizli dizi döndürme, yerel yerleşik kullanıcı hesapları ve Bulut için Microsoft Defender bulunur. Daha fazla bilgi için bkz. Güvenlik özelliklerini gözden geçirme.
İş yükü tasarımı denetim listesi
Güvenlikiçin
(Azure Yerel platform mimarisi) Güvenlik temellerini gözden geçirin. Azure Yerel ve güvenlik standartları , platformun ve barındırılan iş yüklerinin güvenlik duruşunu güçlendirmek için temel rehberlik sağlar. İş yükünüzün belirli mevzuat uyumluluğu düzenlemelerine uyması gerekiyorsa Ödeme Kartı Sektörü Veri Güvenliği Standartları ve Federal Bilgi İşleme Standardı 140 gibi mevzuat güvenlik standartlarını dikkate alın.
Azure Yerel platform tarafından sağlanan varsayılan ayarlar kimlik denetimleri, ağ filtreleme ve şifreleme gibi güvenlik özelliklerini etkinleştirir. Bu ayarlar, yeni sağlanan Azure Yerel örneği için iyi bir güvenlik temeli oluşturur. Her ayarı kuruluş güvenlik gereksinimlerinize göre özelleştirebilirsiniz.
Istenmeyen güvenlik yapılandırması kaymalarını algıladığınızdan ve bu değişikliklere karşı koruma yaptığınızdan emin olun.
(Azure Yerel platform mimarisi) Tehditleri algılama, önleme ve yanıtlama. Azure Yerel ortamını sürekli izleyin ve mevcut ve gelişen tehditlere karşı koruyun.
Azure Yerel'de Bulut için Defender'ın etkinleştirilmesini öneririz. Diğer Azure ve Azure Arc kaynaklarının yanı sıra Azure Yerel platformunuzun güvenliğini sağlamak için izleyebileceğiniz ve uygulayabileceğiniz adımları belirlemek için Defender Bulut Güvenliği Duruş Yönetimi'ni kullanarak temel Bulut için Defender planını (ücretsiz katman) etkinleştirin.
Tek tek sunucular ve Azure Yerel VM'leri için güvenlik uyarıları da dahil olmak üzere gelişmiş güvenlik özelliklerinden yararlanmak için Azure Yerel örnek makinelerinizde ve Azure Yerel VM'lerinizde Sunucular için Microsoft Defender'ı etkinleştirin.
Azure Yerel makinelerinin ve iş yüklerinin güvenlik duruşunu ölçmek için Bulut için Defender'ı kullanın. Defender for Cloud, güvenlik uyumluluğunu yönetmeye yardımcı olmak için merkezi bir yönetim paneli sunar.
Barındırılan VM'leri tehditlere ve yanlış yapılandırmalara karşı izlemek için Sunucular için Defender'ı kullanın. Ayrıca Azure Yerel makinelerinde uç nokta algılama ve yanıt özelliklerini etkinleştirebilirsiniz.
Tüm kaynaklardan alınan güvenlik ve tehdit bilgileri verilerini Microsoft Sentinel gibi merkezi bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümüne toplamayı göz önünde bulundurun.
(Azure Yerel platform mimarisi ve iş yükü mimarisi) Etki alanını sınırlamak için segmentasyon oluşturun. Segmentasyon elde etmek için çeşitli stratejiler vardır.
Identity. Platform ve iş yükü için rolleri ve sorumlulukları ayrı tutun. Yalnızca yetkili kimliklerin belirlenen rolleriyle uyumlu belirli işlemleri gerçekleştirmesine izin verin. Azure Yerel platform yöneticileri, platform görevlerini yerine getirmek için hem Azure hem de yerel etki alanı kimlik bilgilerini kullanır. İş yükü operatörleri ve uygulama geliştiricileri iş yükü güvenliğini yönetir. İzinleri atamayı basitleştirmek için, platform yöneticileri için 'Azure Yerel Yönetici' ve iş yükü operatörleri için 'Azure Yerel VM Katkıda Bulunanı' veya 'Azure Yerel VM Okuyucusu' gibi Azure Yerel yerleşik rol tabanlı erişim denetimi (RBAC) rollerini kullanın. Belirli yerleşik rol eylemleri hakkında daha fazla bilgi için hibrit ve çoklu bulut rolleri için Azure RBAC belgelerine bakın.
Network. Gerekirse ağları yalıtma. Örneğin, ayrı sanal yerel ağ (vLAN) ve ağ adresi aralıkları kullanan birden çok mantıksal ağ sağlayabilirsiniz. Bu yaklaşımı kullandığınızda, Azure Yerel makinelerinin ToR anahtarları veya ağ geçitleri aracılığıyla vLAN ağlarıyla iletişim kurabilmesi için yönetim ağının her mantıksal ağa ve vLAN'a ulaşabileceğinden emin olun. Bu yapılandırma, altyapı yönetimi aracılarının iş yükü konuk işletim sistemiyle iletişim kurmasına izin vermek gibi iş yükünün kullanılabilirlik yönetimi için gereklidir.
Ek bilgi edinmek için Segmentasyon stratejisi oluşturmaya yönelik önerileri gözden geçirin.
(Azure Yerel platform mimarisi ve iş yükü mimarisi) Erişimi denetlemek için güvenilir bir kimlik sağlayıcısı kullanın. Tüm kimlik doğrulaması ve yetkilendirme amaçları için Microsoft Entra Id'yi öneririz. Gerekirse bir iş yükünü şirket içi Bir Windows Server Active Directory etki alanına ekleyebilirsiniz. Güçlü parolaları, çok faktörlü kimlik doğrulamasını, RBAC'yi ve gizli dizilerin yönetimine yönelik denetimleri destekleyen özelliklerden yararlanın.
(Azure Yerel platform mimarisi ve iş yükü mimarisi) Ağ trafiğini yalıtma, filtreleme ve engelleme. Filtreleme için iş ortağı gereçlerini getirebilmeniz için sanal ağlar, ağ güvenlik grupları aracılığıyla mikro ayrım, hizmet ilkelerinin ağ kalitesi veya sanal gereç zincirleme gerektiren bir iş yükü kullanım örneğiniz olabilir. Böyle bir iş yükünüz varsa, Ağ Denetleyicisi'nin sağladığı desteklenen özellikler ve yeteneklerin listesi için, ağ başvuru desenleri için yazılım tanımlı ağ göz önüne alınacak konular bölümüne bakın.
(İş yükü mimarisi) Kurcalamaya karşı korumak için verileri şifreleyin. Aktarımdaki verileri, bekleyen verileri ve kullanımdaki verileri şifreleyin.
Durağan veri şifrelemesi, dağıtım sırasında oluşturduğunuz veri birimlerinde etkinleştirilir. Bu veri birimleri hem altyapı birimlerini hem de iş yükü birimlerini içerir. Daha fazla bilgi için bkz. BitLocker şifrelemesini yönetme.
Modern işletim sistemlerinin Güvenli Önyükleme gibi işletim sistemi özelliklerini kullanarak 2. Nesil VM'lerin güvenliğini artırmak için Azure Yerel VM'ler için Güvenilir Başlatma kullanın; bu başlatma Sanal TPM kullanabilir.
Gizli yönetimini operasyonalize etme. Kuruluş gereksinimlerinize bağlı olarak, Azure Yerel için dağıtım kullanıcı kimliğiyle ilişkili kimlik bilgilerini değiştirin. Daha fazla bilgi için bkz. Şifre döndürmeyi yönetme.
(Azure Yerel platform mimarisi) Güvenlik denetimlerini zorunlu kılma. "Uygulama denetim ilkeleri tutarlı bir şekilde uygulanmalıdır" veya "Şifrelenmiş birimler uygulanmalıdır" gibi yerleşik ilkeleri denetlemek ve uygulamak için Azure İlkesi'ni kullanın. Güvenlik ayarlarını denetlemek ve Azure Yerel'in uyumluluk durumunu değerlendirmek için bu Azure ilkelerini kullanabilirsiniz. Kullanılabilir ilkelere örnekler için bkz. Azure ilkeleri.
(İş yükü mimarisi) Yerleşik ilkelerle iş yükü güvenlik duruşunu geliştirin. Azure Yerel'de çalışan Azure Yerel VM'lerini değerlendirmek için güvenlik karşılaştırması, Azure Update Manager veya Azure İlkesi konuk yapılandırma uzantısı aracılığıyla yerleşik ilkeler uygulayabilirsiniz. Aşağıdaki koşulları denetlemek için çeşitli ilkeler kullanabilirsiniz:
- Log Analytics aracısı yüklemesi
- En son güvenlik yamalarıyla uyumlu hâle getirilmesi gereken eski sistem güncellemeleri
- Güvenlik açığı değerlendirmesi ve olası risk azaltmaları
- Güvenli iletişim protokollerinin kullanımı
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| Örnek makinelerde güvenlik ayarlarını uygulamak ve korumak için güvenlik temeli ve kayma denetimleri ayarlarını kullanın. | Bu yapılandırmalar, Azure Local'ın hedeflenen güvenlik duruşunu zorlamak için güvenlik ayarlarını her 90 dakikada bir otomatik olarak yenilediğinden istenmeyen değişikliklere ve kaymalara karşı korumaya yardımcı olur. |
| Azure Yerel'de Uygulama Denetimi'ni kullanın. | Uygulama Denetimi, Azure Yerel'in saldırı yüzeyini azaltır. İlke ayarlarını ve denetim ilkesi modlarını görüntülemek için Azure portalını veya PowerShell'i kullanın. Uygulama Denetimi ilkeleri, sisteminizde hangi sürücülerin ve uygulamaların çalışmasına izin verilip verilmiyor olduğunu denetlemeye yardımcı olur. |
| Durağan veri şifreleme koruması için BitLocker aracılığıyla birim şifrelemeyi etkinleştirin. | BitLocker, Azure Yerel Ortamı'nda oluşturulan örnek paylaşılan birimleri şifreleyerek işletim sistemi ve veri birimlerini korur. BitLocker XTS-AES 256 bit şifreleme kullanır. Tüm veri birimleri için Azure Yerel bulut dağıtımı sırasında birim şifreleme varsayılan ayarını etkin tutmanızı öneririz. |
| BitLocker kurtarma anahtarlarını dışarı aktararak Bunları Azure Yerel örneğinin dışındaki güvenli bir konumda depolayın. | Belirli sorun giderme veya kurtarma eylemleri sırasında BitLocker anahtarları gerekebilir. 'Get-AsRecoveryKeyInfo' PowerShell cmdlet'i aracılığıyla her Azure Yerel örneğinden işletim sistemi ve veri birimleri için şifreleme anahtarlarını dışarı aktarmanızı, kaydetmenizi ve yedeklemenizi öneririz. Anahtarları Azure Key Vault gibi güvenli bir dış konuma kaydedin. |
| Güvenlik izleme ve uyarı özelliklerini artırmak için bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümü kullanın. Bunu yapmak için Azure Arc özellikli sunucuları (Azure Yerel platform makineleri) Microsoft Sentinel'e ekleyebilirsiniz. Alternatif olarak, farklı bir SIEM çözümü kullanıyorsanız güvenlik olaylarının syslog iletmesini seçilen çözüme yapılandırın. | Müşteri tarafından yönetilen bir SIEM çözümüyle tümleştirme yoluyla uyarı ve raporlama özellikleri sağlamak için Microsoft Sentinel veya syslog iletme kullanarak güvenlik olayı verilerini iletin. |
| "Varsayılan güvenlik ayarlarında" etkinleştirilen aktarım içi veri korumasını geliştirmek için Sunucu İleti Bloğu (SMB) imzalamayı kullanın. | Sunucu İleti Bloğu (SMB) imzalama, Azure Yerel platformu ile platform dışındaki sistemler (kuzey veya güney) arasında SMB trafiğini dijital olarak imzalamanıza olanak tanır. Azure Yerel platformu ile diğer sistemler arasında dışsal SMB trafiği için imzalamayı yapılandırın, geçiş saldırılarını önlemeye yardımcı olun. |
| "Varsayılan güvenlik ayarlarında" etkinleştirilen aktarım içi veri korumasını geliştirmek için Sunucu İleti Bloğu (SMB) şifreleme ayarını kullanın. | Örnek içi trafik için Sunucu İleti Bloğu (SMB) şifreleme ayarı, depolama ağınızdaki Azure Yerel örneğindeki (doğu veya batı) fiziksel makineler arasındaki trafiğin şifrelenmesini denetler. |
Maliyet İyileştirme
Maliyet Optimizasyonu, kuruluşun bütçesini karşılarken iş gereksinimlerini de karşılamak amacıyla harcama düzenlerini tespit etmeye, kritik alanlardaki yatırımlara öncelik vermeye ve diğer yerlerde optimizasyon yapmaya odaklanır.
Maliyet İyileştirme tasarım ilkeleri, Bu hedeflere ulaşmak ve Azure Yerel ve ortamıyla ilgili teknik tasarımda gerekli olan dengeleri sağlamak için üst düzey bir tasarım stratejisi sağlar.
İş yükü tasarımı denetim listesi
Yatırımlar için Maliyet İyileştirme için
Azure Yerel, donanım, yazılım lisanslama, iş yükleri, konuk VM'ler (Windows Server veya Linux) lisanslama ve Azure İzleyici ve Bulut için Defender gibi diğer tümleşik bulut hizmetleri için maliyetler doğurabilir.
(Azure Yerel platform mimarisi ve iş yükü mimarisi) Maliyet modellemesinin bir parçası olarak gerçekçi maliyetleri tahmin edin. Azure Yerel, Azure Arc ve Azure Yerel üzerinde AKS gibi hizmetleri seçmek ve yapılandırmak için Azure fiyatlandırma hesaplayıcısını kullanın. Maliyetleri modellemek için çeşitli yapılandırmalar ve ödeme seçenekleriyle denemeler yapın.
(Azure Yerel platform mimarisi ve iş yükü mimarisi) Azure Yerel donanımının maliyetini iyileştirme. İş ve ticari gereksinimlerinize uygun bir donanım OEM iş ortağı seçin. Doğrulanmış makinelerin, tümleşik sistemlerin ve premier çözümlerin sertifikalı listesini keşfetmek için bkz. Azure Yerel çözümler kataloğu. Azure Yerel makine ve örnek boyutu için uygun maliyetli bir donanım çözümünü optimize edebilmek amacıyla, iş yükü özelliklerinizi, boyutunuzu, miktarınızı ve performansınızı donanım iş ortağınızla paylaşın.
(Azure Yerel platform mimarisi) Lisanslama maliyetlerinizi iyileştirin. Azure Yerel yazılımı "fiziksel CPU çekirdeği başına" temelinde lisanslanır ve faturalandırılır. Windows Server, SQL Server veya AKS çalıştıran Azure Yerel VM'leri ve Azure Arc özellikli Azure SQL Yönetilen Örneği gibi Azure Yerel iş yüklerinin lisans maliyetlerini azaltmak için Azure Hibrit Avantajı ile mevcut şirket içi çekirdek lisansları kullanın. Daha fazla bilgi için bkz. Azure Hibrit Avantajı maliyet hesaplayıcısı.
(Azure Yerel platform mimarisi) Ortam maliyetlerinden tasarruf edin. Aşağıdaki seçeneklerin kaynak kullanımınızı iyileştirmeye yardımcı olup olmadığını değerlendirin.
Microsoft'un sunduğu indirim programlarından yararlanın. Azure Yerel ve Windows Server iş yüklerini çalıştırma maliyetini azaltmak için Azure Hibrit Avantajı'nı kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz. Azure Yereliçin
Azure Hibrit Avantajı. Promosyon tekliflerini keşfedin. İlk kavram kanıtı veya doğrulamalar için kayıt sonrasında Azure Yerel 60 günlük ücretsiz deneme sürümünden yararlanın.
(Azure Yerel platform mimarisi) operasyonel maliyetlerden tasarruf edin.
Yama, güncelleme ve diğer işlemler için teknoloji seçeneklerini inceleyin. Güncelleştirme Yöneticisi, Azure Yerel örnekleri ve Azure Yerel VM'leri için ücretsizdir. Daha fazla bilgi için bkz. Güncelleştirme Yöneticisi SSS ve Güncelleştirme Yöneticisi fiyatlandırması.
Gözlemlenebilirlikle ilgili maliyetleri değerlendirme. İzleme ve denetim gereksinimlerinizi karşılamak için uyarı kuralları ve veri toplama kuralları (DCR) ayarlayın. İş yükünüz tarafından alınan, işlenen ve tutulan veri miktarı maliyetleri doğrudan etkiler. Akıllı saklama ilkelerini kullanarak, uyarıların sayısını ve sıklığını sınırlayarak ve günlükleri depolamak için doğru depolama katmanını seçerek iyileştirin. Daha fazla bilgi için bkz. Log Analytics için Maliyet İyileştirme kılavuzu.
(İş yükü mimarisi) Yalıtım üzerindeki yoğunluğu değerlendirin. Kapsayıcılı uygulamaların birden çok veri merkezi veya uç konumu arasında ölçeklendirilmesini sağlamak üzere yoğunluğu artırmak ve iş yükü yönetimini basitleştirmek için Azure Yerel'de AKS kullanın. Azure Yerel'de Azure Kubernetes Service (AKS), Azure Yerel fiyatlandırmasının bir parçası olarak dahil edilir. Daha fazla bilgi için bkz. Azure Yerel fiyatlandırması üzerinde AKS.
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| Yazılım Güvencesi ile Windows Server Veri Merkezi lisanslarınız varsa Azure Yerel için Azure Hibrit Avantajı'nu kullanın. | Azure Local için Azure Hibrit Avantajı ile şirket içi lisanslarınızın değerini en üst düzeye çıkarabilir ve mevcut altyapınızı ek ücret ödemeden Azure Yerel'e modernleştirebilirsiniz. |
| Windows Server abonelik eklentisini seçin veya Windows Server VM'lerini lisanslayıp etkinleştirmek ve Azure Yerel'de kullanmak için kendi lisansınızı getirin. Daha fazla bilgi için bkz. Azure Yerel'de Windows Server VM'lerini lisansla. | Mevcut tüm Windows Server lisanslarını ve etkinleştirme yöntemlerini kullanabilirsiniz ancak isteğe bağlı olarak, Azure Yerel örneğindeki toplam fiziksel çekirdek sayısı için ücretlendirilen Azure üzerinden Windows Server konuk lisanslarına abone olmak için yalnızca Azure Yerel'de kullanılabilen "Windows Server abonelik eklentisi"ni etkinleştirebilirsiniz. |
| Desteklenen Azure'a özel iş yüklerinin bulut dışında çalışabilmesi için Azure Yerel'e genişletilmiş VM'ler için Azure doğrulama avantajını kullanın. | Bu avantaj, Azure Yerel 2311 veya sonraki sürümlerde varsayılan olarak etkindir. VM'lerin diğer Azure ortamlarında çalışabilmesi ve iş yüklerinin azure arc tarafından etkinleştirilen Genişletilmiş Güvenlik Güncelleştirmeleri gibi yalnızca Azure'da kullanılabilen tekliflerden yararlanabilmesi için bu avantajı kullanın. |
Operasyonel Mükemmellik
Operasyonel Mükemmellik öncelikli olarak geliştirme uygulamaları, gözlemlenebilirlik ve sürüm yönetimiyordamlarına odaklanır.
operasyonel mükemmellik tasarım ilkeleri iş yükünün operasyonel gereksinimleri için bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
İzleme ve tanılama çok önemlidir. Performans istatistiklerini ölçmek ve sorunları hızla gidermek ve düzeltmek için ölçümleri kullanabilirsiniz. Sorunları giderme hakkında daha fazla bilgi için bkz. Operasyonel Mükemmellik tasarım ilkeleri ve Azure Yerel için tanılama günlüklerini toplama.
İş yükü tasarımı denetim listesi
Azure Local ile ilgili gözlemlenebilirlik, test ve dağıtım süreçlerini tanımlamaya yönelik Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın.
(Azure Yerel platform mimarisi) Azure Yerel'in desteklenebilirliğini artırın. Gözlemlenebilirlik, dağıtım sırasında varsayılan olarak etkinleştirilir. Bu özellikler platformun desteklenebilirliğini artırır. Telemetri ve tanılama bilgileri, varsayılan olarak tüm Azure Yerel makinelerinde yüklü olan AzureEdgeTelemetryAndDiagnostics uzantısı kullanılarak platformdan güvenli bir şekilde paylaşılır. Daha fazla bilgi için bkz. Azure Yerel gözlemlenebilirliği.
(Azure Yerel platform mimarisi) Operasyonel karmaşıklığı azaltmak ve yönetim ölçeğini artırmak için Azure hizmetlerini kullanın. Azure Local, platforma yamalar uygulamak için Update Manager gibi hizmetleri ve izleme ve uyarı sağlamak amacıyla Azure İzleyici'yi etkinleştirmek üzere Azure ile tümleşiktir. Güvenlik yapılandırmasını ve uyumluluk denetimini yönetmek için Azure Arc ve Azure İlkesi'ni kullanabilirsiniz. Siber tehditleri ve güvenlik açıklarını yönetmeye yardımcı olmak için Bulut için Defender'ı uygulayın. Karmaşıklığı azaltmaya, ölçek verimliliklerini artırmaya ve yönetim tutarlılığını geliştirmeye yardımcı olmak için bu operasyonel işlemler ve yordamlar için denetim düzlemi olarak Azure'ı kullanın.
(İş yükü mimarisi) İş yükleri için IP adresi ağ aralığı gereksinimlerini önceden planlayın. Azure Local, sanallaştırılmış veya kapsayıcılı iş yüklerini dağıtmak ve yönetmek için bir platform sağlar. Ayrıca iş yükünüzün kullandığı mantıksal ağlar için IP adresi gereksinimlerini de göz önünde bulundurun. Şu kaynakları inceleyin:
Azure Yerel (platform) ağ başvuru mimarisi ve IP gereksinimleri
Azure Yerel'de dağıtılan iş yükleri için mantıksal ağlar gerekir. Belirli örnekler için bkz. AKS kümeleri için ağ gereksinimleri, Azure Yerel VM'leri için mantıksal ağlar ve Azure Yerel ile Sanal Masaüstü.
(İş yükü yapılandırması) Azure Yerel'de dağıttığınız iş yükleri için izlemeyi ve uyarıyı etkinleştirin. Sanal makineler için Azure İzleyici'yi veya Azure Yerel VM'ler için VM İçgörüleri'ni veya Container Insights ile yönetilen Prometheus AKS kümelerini kullanabilirsiniz.
İş yükünüz için merkezi bir Log Analytics çalışma alanı kullanmanız gerekip gerekmediğini değerlendirin. Paylaşılan günlük havuzu (veri konumu) örneği için bkz . İş yükü yönetimi ve izleme önerileri.
(Azure Yerel platform mimarisi) Güvenli dağıtım için uygun doğrulama tekniklerini kullanın. Bir Azure Yerel çözümü dağıtmadan önce hedef ortamın hazır olup olmadığını değerlendirmek için ortam denetleyicisi aracını tek başına modda kullanın. Bu araç gerekli bağlantı, donanım, Windows Server Active Directory, ağlar ve Azure Arc tümleştirme önkoşullarının düzgün yapılandırmasını doğrular.
(Azure Yerel platform mimarisi) Güncel olun ve güncel kalın. Azure Yerel örnek dağıtımları için en son donanım OEM yeniliklerini güncel kalmak için Azure Yerel çözüm kataloğunu kullanın. Ekstra tümleştirme, anahtar teslimi dağıtım özellikleri ve basitleştirilmiş bir güncelleştirme deneyiminden yararlanmak için premium çözümleri kullanmayı göz önünde bulundurun.
Platformu güncelleştirmek ve çözüm uzantıları dahil olmak üzere işletim sistemini, çekirdek aracıları ve hizmetleri yönetmek için Güncelleştirme Yöneticisi'ni kullanın. Güncel kalın ve uzantılar için mümkün olduğunda "Otomatik yükseltmeyi etkinleştir" ayarını kullanmayı göz önünde bulundurun.
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| Yerel Azure özelliklerini kullanarak izlemeyi ve uyarıyı geliştirmek için Azure Yerel örneklerinde İzleyici İçgörülerini etkinleştirin. İçgörüler, veri toplama kuralı (DCR) tarafından toplanan örnek performans sayaçlarını ve olay günlüğü kanallarını kullanarak temel Azure Yerel özelliklerini izleyebilir. Dell APEX gibi belirli donanım altyapısı için donanım olaylarını gerçek zamanlı olarak görselleştirebilirsiniz. Daha fazla bilgi için bkz . Özellik çalışma kitapları. |
Azure İçgörüleri yönetir, bu nedenle her zaman günceldir, birden çok örnek arasında ölçeklenebilir ve yüksek oranda özelleştirilebilir. İçgörüler, temel ölçümlere sahip varsayılan çalışma kitaplarına ve Azure Yerel'in temel özelliklerini izlemek için oluşturulan özelleştirilmiş çalışma kitaplarına erişim sağlar. Bu özellik neredeyse gerçek zamanlı izleme sağlar. Toplama ve filtre işlevini kullanarak grafikler ve özelleştirilmiş görselleştirmeler oluşturabilirsiniz. Özel uyarı kurallarını da yapılandırabilirsiniz. İçgörülerin maliyeti, alınan veri miktarına ve Log Analytics çalışma alanının veri saklama ayarlarına bağlıdır. Azure Yerel İçgörüler'i etkinleştirdiğinizde, İçgörüler oluşturma deneyimi tarafından oluşturulan DCR'yi kullanmanızı öneririz. DCR adının ön eki şeklindedir AzureStackHCI-. Yalnızca gerekli verileri toplayacak şekilde yapılandırılmıştır. |
|
Uyarıları ayarlayın ve kuruluş gereksinimlerinize göre uyarı işleme kurallarını yapılandırın. Sistem durumu, ölçümler, günlükler veya diğer gözlemlenebilirlik verileri türlerindeki değişiklikler hakkında bildirim alın. - Sistem durumu uyarıları - Günlük uyarıları - Ölçüm uyarıları Daha fazla bilgi için bkz. Ölçüm uyarıları için önerilen kurallar. |
Ek ücret ödemeden çeşitli önemli avantajlar elde etmek için İzleyici uyarılarını Azure Yerel ile tümleştirin. Neredeyse gerçek zamanlı izleme alın ve uyarıları özelleştirerek düzeltme için doğru ekibi veya yöneticiyi bilgilendirin. Azure Yerel'de işlem, depolama ve ağ kaynaklarına yönelik ölçümlerin kapsamlı bir listesini toplayabilirsiniz. Günlük verilerinizde gelişmiş mantık işlemleri gerçekleştirin ve Azure Yerel örneğinizin ölçümlerini düzenli aralıklarla değerlendirin. |
| Azure Yerel çözümünün çeşitli yönlerini tek bir yerde tümleştirmek ve yönetmek için güncelleştirme özelliğini kullanın. Daha fazla bilgi için bkz. Azure Yerel güncelleştirmeleri hakkında. | Güncelleştirme düzenleyici ilk Azure Yerel örneği dağıtımı sırasında yüklenir. Bu özellik güncelleştirmeleri ve yönetim işlemlerini otomatikleştirir. Azure Yerel'i desteklenen bir durumda tutmak için, kullanılabilir olduğunda yeni temel derlemelere geçmek için örneklerinizi düzenli bir tempoda güncelleştirdiğinizden emin olun. Bu yöntem, platformda yeni özellikler ve geliştirmeler sağlar. Yayın trenleri, güncelleştirmelerin temposu ve her temel derlemenin destek penceresi hakkında daha fazla bilgi için bkz. Azure Yerel sürüm bilgileri. |
| Uygulamalı beceri, laboratuvarlar, eğitim etkinlikleri, ürün tanıtımları veya kavram kanıtı projeleri konusunda yardımcı olmak için Azure Arc Jumpstart'ı kullanmayı göz önünde bulundurun. Çözümü dağıtmak için Azure'da bir VM kullanarak fiziksel donanıma gerek kalmadan Azure Yerel'i hızla dağıtın. |
LocalBox , azure uç ürünlerinin yerel Azure Arc ve BAĞıMSıZ korumalı alanda AKS tümleştirmesi gibi en son özelliklerinin hızlı bir şekilde test edilmesine ve değerlendirilmesi için Azure Yerel'in sanallaştırılmış dağıtımlarını destekler. Bu sanal alanı, iç içe sanallaştırmayı destekleyen bir VM kullanarak bir Azure VM içindeki bir Azure Yerel örneğini öykünerek bir Azure aboneliğine dağıtabilirsiniz. El ile çok az çabayla yeni bulut dağıtım özelliği gibi Azure Yerel özelliklerini edinin. Daha fazla bilgi için bkz. Microsoft Tech Community blogu. |
Performans Verimliliği
Performans Verimliliği, kapasiteyi yöneterek yük artış olduğunda bile kullanıcı deneyimini korumakla ilgilidir. Strateji kaynakları ölçeklendirmeyi, olası performans sorunlarını tanımlamayı ve iyileştirmeyi ve en yüksek performans için iyileştirmeyi içerir.
Performans Verimliliği tasarım ilkeleri, beklenen kullanım seviyelerine karşı bu kapasite hedeflerine ulaşmak için üst düzey tasarım stratejileri sunar.
İş yükü tasarımı denetim listesi
Performans Verimliliğiiçin
(Azure Yerel platform mimarisi) OEM iş ortağı tekliflerinden Azure Yerel olarak doğrulanmış donanım veya tümleşik sistemleri kullanın. Azure Yerel ortamınızın performansını iyileştirmek için Azure Yerel kataloğundaki premium çözüm oluşturucularını kullanmayı göz önünde bulundurun.
(Azure Yerel platform depolama mimarisi) İş yükü performansınıza ve kapasite gereksinimlerinize göre Azure Yerel makineleri için doğru fiziksel disk türlerini seçin. Düşük gecikme süresi ve yüksek aktarım hızına sahip depolama gerektiren yüksek performanslı iş yükleri için tümü flash (yalnızca NVMe/SSD) depolama yapılandırması kullanmayı göz önünde bulundurun. Genel amaçlı işlem veya büyük depolama kapasitesi gereksinimleri için, daha fazla depolama kapasitesi sağlayabilecek karma depolama (önbellek katmanı için SSD veya NVMe ve kapasite katmanı için HDD'ler) kullanmayı göz önünde bulundurun.
(Azure Yerel platform mimarisi) Örnek tasarımı (dağıtım öncesi) aşamasında Azure Yerel boyutlandırıcı aracını kullanın. Azure Yerel örnekleri, iş yükü kapasitesi, performans ve dayanıklılık gereksinimleri giriş olarak kullanılarak uygun şekilde boyutlandırılmalıdır. Boyut, planlı (bakım) veya planlanmamış (güç veya donanım arızası) olayları gibi aynı anda çevrimdışı olabilecek en fazla fiziksel makine sayısını (küme çekirdeği) belirler. Daha fazla bilgi için bkz. Küme çekirdeğine genel bakış.
(Azure Yerel platform mimarisi) Yüksek performanslı veya düşük gecikme süresi gereksinimlerine sahip iş yükleri için tüm flash (NVMe veya SSD) tabanlı çözümleri kullanın. Bu iş yükleri yüksek işlemsel veritabanı teknolojilerini, üretim AKS kümelerini veya düşük gecikme süresine veya yüksek aktarım hızına sahip depolama gereksinimleri olan görev açısından kritik veya iş açısından kritik iş yüklerini içerir ancak bunlarla sınırlı değildir. Depolama performansını en üst düzeye çıkarmak için tüm hızlı dağıtımları kullanın. All-NVMe veya tümü SSD yapılandırmaları (özellikle çok küçük ölçekli) depolama verimliliğini artırır ve önbellek katmanı olarak sürücü kullanılmadığından performansı en üst düzeye çıkarır. Daha fazla bilgi için bkz. Tümü flash tabanlı depolama.
(Azure Yerel platform mimarisi) Üretim iş yüklerini dağıtmadan önce Azure Yerel örnek depolaması için bir performans temeli oluşturun . Tek bir Azure Yerel örneğinin veya birden çok örneğin performansını aynı anda izlemek için İçgörüler ile Azure Yerel özelliklerini izleyin'i yapılandırın.
(Azure Yerel platform mimarisi) Azure Yerel örneği için İçgörüler'i etkinleştirdikten sonra Dayanıklı Dosya Sistemi (ReFS) için yinelenenleri kaldırma ve sıkıştırma özelliğini İzleyici ile kullanmayı göz önünde bulundurun. İş yükü depolama kullanımınıza ve kapasite gereksinimlerinize göre bu özelliği kullanmanız gerekip gerekmediğini belirleyin. Bu özellik, ReFS tekilleştirme ve sıkıştırma tasarrufları, performans etkisi ve işlemleri izleme sağlar. Daha fazla bilgi için bkz. ReFS yinelenenleri kaldırmayı ve sıkıştırmayı izleme.
Minimum gereklilik olarak, Güncelleştirme Yönetimi aracılığıyla güncellemeleri gerçekleştirdiklerinde örnek makinelerinin boşaltılabilmesini sağlamak için örneğin genelinde
1 x physical machines (N+1)değerinde kapasite ayırmayı planlayın.2 physical machines (N+2)makinelerin kapasitesini iş açısından veya görev açısından kritik kullanım durumları için ayırmayı göz önünde bulundurun.
Yapılandırma önerileri
| Recommendation | Benefit |
|---|---|
| Azure Yerel örnek dağıtımı sırasında "yalnızca altyapı birimleri oluşturma" gelişmiş seçeneğini seçerseniz, yoğun performans gerektiren iş yükleri için iş yükü birimleri oluştururken yansıtmayı kullanarak sanal diskleri oluşturmanızı öneririz. | Bu öneri, katı gecikme süresi gereksinimleri olan veya SQL Server veritabanları, Kubernetes kümeleri veya diğer performansa duyarlı VM'ler gibi rastgele okuma ve yazma giriş/çıkış işlemlerinin (IOP' ler) bir karışımıyla yüksek aktarım hızı gerektiren iş yüklerinden yararlanır. Performansı ve dayanıklılığı en üst düzeye çıkarmak için yansıtma kullanan birimlere iş yükü VHD'lerini dağıtın. Yansıtma, diğer dayanıklılık türlerinden daha hızlıdır. |
| Azure Yerel örneğinin iş yükü depolama performansı özelliklerini test etmek için DiskSpd kullanmayı göz önünde bulundurun. VmFleet'i yük oluşturmak ve bir depolama alt sisteminin performansını ölçmek için de kullanabilirsiniz. Depolama alt sistemi performansını ölçmek için VMFleet kullanıp kullanmayabileceğinizi değerlendirin. |
Üretim iş yüklerini dağıtmadan önce Azure Yerel örnek performansı için bir temel oluşturun. DiskSpd, yöneticilerin çeşitli komut satırı parametrelerini kullanarak örneğin depolama performansını test etmesine olanak tanır. DiskSpd'nin temel işlevi, gecikme süresi, aktarım hızı ve IOT'ler gibi okuma ve yazma işlemleri ile çıkış performansı ölçümleri vermektir. |
Tradeoffs
Sütun kontrol listelerinde açıklanan yaklaşımlarla tasarım uzlaşmaları vardır. Avantajların ve dezavantajların bazı örnekleri aşağıda verilmiştir.
Yedeklilik oluşturma maliyetleri artırır
Azure Yerel çözümü için donanım tasarlayıp temin ederken iş yükü kurtarma süresi hedefi (RTO) ve kurtarma noktası hedefi (RPO) hedefleri ve depolama performansı gereksinimleri (IOP'ler ve aktarım hızı) gibi iş yükünüzün gereksinimlerini en önde anlayın. Yüksek kullanılabilirlikteki iş yüklerini yerleştirmek için, iş yükü hacimleri ve verileri için üç yönlü yansıtma sağlayan en az üç makine örneği önerilir. İşlem kaynakları için en az "N+1 fiziksel makine sayısı" dağıttığınızdan emin olun. Bu, örnekte her zaman "tek bir makine değerinde alan" kapasitesini ayırır. İş açısından kritik veya görev açısından kritik iş yükleri için daha fazla dayanıklılık amacıyla "N+2 makine kapasitesi" ayırmayı göz önünde bulundurun. Örneğin, örnekteki iki makine çevrimdışıysa iş yükü çevrimiçi kalabilir. Bu yaklaşım, iş yükünü çalıştıran bir makinenin planlı güncelleştirme yordamı sırasında çevrimdışı olması (iki makinenin aynı anda çevrimdışı olmasına neden olması) gibi bir senaryo için daha fazla dayanıklılık sağlar.
İş açısından kritik veya görev açısından kritik iş yükleri için iki veya daha fazla ayrı Azure Yerel örneği dağıtmanızı ve iş yükü hizmetlerinizin birden çok örneğini ayrı örneklere dağıtmanızı öneririz. Veri çoğaltma ve uygulama yük dengeleme teknolojilerinden yararlanan bir iş yükü tasarım deseni kullanın. Örneğin, SQL Server Always On kullanılabilirlik grupları, farklı veri merkezlerindeki ayrı örneklerde düşük RTO ve RPO hedeflerine ulaşmak için zaman uyumlu veya zaman uyumsuz veritabanı çoğaltması kullanır.
Sonuç olarak, iş yükü dayanıklılığındaki artış ve RTO ve RPO hedeflerindeki azalma maliyetleri artırır ve iyi tasarlanmış uygulamalar ve operasyonel katılık gerektirir.
Etkili iş yükü planlaması olmadan ölçeklenebilirlik sağlamak maliyetleri artırır
Yanlış örnek boyutlandırması, donanımın fazla sağlanması durumunda kapasitenin yetersiz olması veya yatırım getirisinin (ROI) azalmasına neden olabilir. Her iki senaryo da maliyetleri etkiler.
Artan kapasite, daha yüksek maliyetlere eşittir. Azure Yerel örnek tasarımı aşamasında, iş yükü kapasitesi gereksinimlerine göre örnek makinelerin özelliklerini ve sayısını doğru boyutlandırmak için yeterli planlama gerekir. Bu nedenle, iş yükü gereksinimlerini (vCPU'lar, bellek, depolama ve X sayıda VM) anlamanız ve öngörülen büyümenin yanı sıra fazladan bir alan oluşturmanız gerekir. Bir "depolama anahtarlı" tasarım kullandığınızda bir ekleme makinesi hareketi gerçekleştirebilirsiniz. Ancak dağıtımınızdan sonra daha fazla donanım almak uzun sürebilir. Ayrıca, ilk dağıtım sırasında örnek donanımını ve makine sayısını (en fazla 16 makine) uygun şekilde boyutlandırmaktan daha karmaşık bir ek not hareketidir.
Makine donanım özelliklerini aşırı tahsis eder ve yanlış sayıda makine (örnek boyutu) seçerseniz dezavantajlar ortaya çıkar. Örneğin, iş yükü gereksinimleri örneğin genel kapasitesinden çok daha küçükse ve donanım garanti süresi boyunca az kullanıldıysa, ROI değeri düşebilir.
Azure ilkeleri
Azure, Azure Yerel ve bağımlılıklarıyla ilgili kapsamlı bir yerleşik ilke kümesi sağlar. Önceki önerilerden bazıları Azure İlkesi aracılığıyla denetlenebilir. Örneğin, şunları denetleyebilirsiniz:
- Konak ve VM ağı korunmalıdır.
- Şifrelenmiş birimler uygulanmalıdır.
- Uygulama denetimi ilkeleri tutarlı bir şekilde uygulanmalıdır.
- Güvenli çekirdek gereksinimleri karşılanmalıdır.
Azure Yerel yerleşik ilkelerini gözden geçirin. Bulut için Defender,yerleşik ilkeler için uyumluluk durumunu gösteren yeni önerilere sahiptir. Daha fazla bilgi için bkz. Azure Güvenlik Merkezi için yerleşik ilkeler.
İş yükünüz Azure Yerel'de dağıttığınız Azure Yerel VM'lerinde çalışıyorsa Genişletilmiş Güvenlik Güncelleştirmeleri lisanslarının oluşturulmasını veya değiştirilmesini reddetme gibi yerleşik ilkeleri göz önünde bulundurun. Daha fazla bilgi için bkz. Azure Arc özellikli iş yükleri için yerleşik ilke tanımları.
Bir Azure Yerel örneğine dağıttığınız Azure Yerel kaynakları ve Azure Yerel VM'leri için ek idare sağlamak üzere özel ilkeler oluşturmayı göz önünde bulundurun. Örneğin:
- Azure ile Azure Yerel ana bilgisayar kaydını denetleme
- Konakların en son işletim sistemi sürümünü çalıştırmasını sağlama
- Gerekli donanım bileşenlerini ve ağ yapılandırmalarını denetleme
- Gerekli Azure hizmetlerinin ve güvenlik ayarlarının etkinleştirilmesini doğrulama
- Gerekli uzantıların yüklenmesini onaylama
- Kubernetes kümelerinin dağıtımını ve AKS tümleştirmesini değerlendirme
Azure Danışmanı önerileri
Azure Danışmanı, Azure dağıtımlarınızı iyileştirmek için en iyi yöntemleri izlemenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır.
Daha fazla bilgi için bkz. Azure Danışmanı.
Örnek mimari
Temel önerileri gösteren temel mimari: Azure Yerel temel başvuru mimarisi.
Sonraki Adımlar
Bu makalede vurgulanan önerileri gösteren kaynaklar olarak Azure Mimari Merkezi'ndeki aşağıdaki makaleleri göz önünde bulundurun.
- Temel önerileri gösteren temel mimari: Azure Yerel temel başvuru mimarisi.
- Kuruluşunuzun karma bir yaklaşıma ihtiyacı varsa, karma ağ mimarisiyle ilgili tasarım seçimlerinizi dikkatle seçin. Daha fazla bilgi için bkz. Karma mimari tasarımı.
Aşağıdaki Azure Yerel ürün belgelerini kullanarak uygulama uzmanlığı oluşturun:
Bulut Benimseme Çerçevesi kılavuzlarını gözden geçirin:
Bulut Benimseme Çerçevesi Hazır metodolojisi , ortamlarını bulut benimsemeye hazırlarken müşterilere yol gösterir. Metodoloji, herhangi bir Azure bulut benimseme ortamının yapı taşları olan Azure giriş bölgeleri gibi teknik hızlandırıcıları içerir. Ortamınızı karma buluta hazırlama hakkında daha fazla bilgi için aşağıdaki makaleleri gözden geçirin.