在 Azure 中设计 SharePoint Server 场
适用于:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
本文概述了 Azure 基础结构服务中对 SharePoint 服务器场的支持,以及设计 Azure 环境(包括网络、存储和计算资源)的分步过程和建议和最佳做法。
Azure 基础结构服务中的 SharePoint 服务器场
在任何基础结构即服务 (IaaS) 环境中运行 SharePoint 服务器场可以利用以下优势:
按需容量并且能够扩展虚拟机(弹性)
部分外包
以最小投资获得更多位置
成本节省
下面是应从 IaaS 环境运行 SharePoint 场的应用场景:
开发/测试、试点或概念证明场
混合基础结构
灾难恢复
生产服务器场
Azure 中 SharePoint Server 的可支持性
Microsoft 支持 Azure IaaS 虚拟机上的以下 SharePoint Server 部署方案, (VM) :
非生产服务器场,例如用于开发/测试环境或概念证明的场
使用日志传送、SQL Server Always On可用性组或 Azure Site Recovery 作为灾难恢复目标
生产服务器场,使用运行搜索角色的服务器的 Azure 最优存储
也支持运行 SharePoint 2013 的生产服务器场。 SharePoint 2010 已不属于主流支持,但是它可以安装在 Azure VM 上用于测试和验证迁移方案。
与其他 Microsoft 工作负载一样,许可通过软件保障实现的许可移动性处理。 有关详细信息,请参阅 许可在虚拟环境中使用的 Microsoft 服务器产品。
Azure 中 SharePoint Server 场的设计过程
Azure 基础结构服务环境与本地数据中心不同,它需要更多的规划。 以下设计过程逐步引导你确定下面 Azure 基础架构的各个元素:
资源组
连接
存储
标识
安全性
虚拟机
每个步骤都包含特定于 SharePoint 服务器场要求的最佳做法和建议。
在设计过程结束时,你将确定 Azure 基础结构服务中已准备好用于 SharePoint 服务器场的组件集。
提示
步骤 1:资源组
资源组是可以一起管理的多个 Azure 元素的容器。 例如,可以创建访问控制列表,只允许特定的用户帐户修改资源组中的元素集。
可以将 SharePoint Server 场的所有资源放在同一资源组中,但对于生产部署,强烈建议不要这样做。 而是建议对不同的资源使用不同的资源组:
基础结构和网络组件
例如,资源组 Networking_RG 包含虚拟网络 (VNet)、网络安全组和负载平衡器。
SharePoint 服务器场的单独角色
例如,对典型 SharePoint Server 场的前端、搜索、应用程序、分布式缓存、数据和组合角色使用单独的资源组。 在各个资源组中,添加相应角色的可用性集、网络接口和虚拟机。
对于你的资源组,在创建之前请视需要使用尽可能多的行填写下表。
资源组名称 | Azure 位置(区域) |
---|---|
第 2 步:连接
连接包括:
从 Intranet 和 Internet 访问在 SharePoint Server 场中运行的服务器(用于管理和场资源)。
场中服务器彼此间的访问以及对 Intranet 和 Internet 的访问。
连接的元素包括虚拟网络 (VNet)、VNet 内的子网、名称注册和解析的域名系统 (DNS)、流量分布以及虚拟机寻址。
Vnet
Azure 基础结构服务中的虚拟机所需的容器是 Azure VNet。 有两种类型的 VNet:
仅限云
没有到本地网络的连接。 部署使用独立 Windows Server Active Directory (AD) 林的面向 Internet 的 SharePoint 服务器场时,请使用这种类型的 VNet。
跨界
具有到本地网络的连接,且必须从 Intranet 为其分配一个唯一的地址空间。 部署使用本地 Windows Server AD 林的基于 Intranet 的 SharePoint 服务器场时,请使用这种类型的 VNet。
尽管可以将 SharePoint 服务器场的服务器角色的 VM 放置在不同的 VNet 中,但切勿这么做,因为 VM 之间的网络流量必须经过 VNet 到 VNet 或 VNet 对等连接。 建议将服务器场的所有服务器放入单个 VNet 中。
创建 VNet 时,必须为其分配一个地址空间,其中可以包括一个或多个无类别域间路由 (CIDR) 块(又称为网络前缀)。 这类似于为将包含多个子网和 IT 工作负载的新数据中心分配地址空间。 你选择的地址空间取决于 VNet 的类型:
仅限云
可以具有来自专用 IPv4 地址空间(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)的任何地址空间,前提是它不与其他互联的 VNet 的地址空间重叠。
跨界
必须是 Intranet 地址空间中唯一的、非重叠的地址空间,其中可以包括公共和私有的地址空间。
为 VNet 填写下表。
VNet 名称 | VNet 类型 | 资源组名称 | 地址空间 |
---|---|---|---|
将 VNet 放在基础结构或网络组件的资源组中。
请注意,可以使用 Azure 中的现有 VNet(将 IT 工作负载托管在虚拟机上 ),也可以创建新的 VNet。
子网
就像数据中心中的子网一样,Azure VNet 的子网是对 IPv4 地址空间的逻辑划分,用于对网络节点及其流量进行分组和分隔。 Azure 支持三种类型的子网:
VM 托管(必需)
托管虚拟机的 IT 工作负载。 例如,运行 SharePoint Server 场的分布式缓存服务的所有服务器。
网关
托管跨界或 VNet 到 VNet VPN 连接的 Azure 网关。 此子网必须被命名为 "GatewaySubnet"。
管理(推荐)
托管两个或多个 VM,这些 VM 用于提供到 VNet 中的服务器的远程桌面连接并支持网络管理功能。
就像本地数据中心一样,Azure 中的建议是为每个组或每个 VM (为服务器场提供相同服务器角色)使用单独的 VM 托管子网。 通过单独的子网,可以使用 Azure 网络安全组定义允许的入站和出站流量并执行子网隔离。
每个子网的地址空间必须是表示为单个 CIDR 块的 VNet 地址空间的一部分,也称为网络前缀。 选择足够的地址空间以容纳预计的运行该常见服务器角色的服务器组。
服务器数量 | 网络前缀长度 |
---|---|
1-3 |
/29 |
4-11 |
/28 |
12-27 |
/27 |
18-59 |
/26 |
对于 GatewaySubnet,建议使用 /27 网络前缀长度,并从 VNet 地址空间的最后一部分进行分配。 有关详细信息,请参阅 计算 Azure 虚拟网络的网关子网地址空间。
对于 VNet 的子网,在创建之前请视需要使用尽可能多的行填写下表。
子网名称 | 地址空间 |
---|---|
GatewaySubnet(如果需要) | |
DNS
在默认情况下,会为 Azure VNet 中的所有 VM 分配一组要执行名称注册和解析的 DNS 服务器。 可以通过将 DNS 服务器分配给各个 VM 网络接口进行覆盖。
对于 Azure 中使用 Microsoft Entra 域服务 的 SharePoint Server 场,请将服务的 IP 地址分配为 DNS 服务器。
对于 Azure 中包含一组也充当 DNS 服务器的Windows Server AD域控制器的 SharePoint Server 场,请将域控制器的 IP 地址指定为 DNS 服务器。 对于跨界 VNet,需要两组 DNS 服务器:
本地网络中的一组 DNS 服务器,域控制器 VM 会在它们加入域并升级为域控制器时使用它们。
VM 成为 DNS 服务器后,将 DNS 服务器重置为域控制器的 IP 地址。
对于要分配给 VNet 的 DNS 服务器 IP 地址,请视需要使用尽可能多的行填写下表。
DNS 服务器 IP 地址 |
---|
流量分布
典型的生产 SharePoint 服务器场使用负载平衡器在公共角色的服务器之间分发流量。 Azure 基础结构服务包括一个可以通过以下方式使用的内置负载平衡器:
面向 Internet: 结合使用一个公用 IP 地址,将传入的 Internet 流量分发给负载平衡器集的 VM 成员。
内部: 结合使用 VNet 中一个子网的 IP 地址,将传入的 Internet 流量分发给负载平衡器集的 VM 成员。
以下是在 Azure 的 SharePoint Server 2016 场中使用 Azure 负载平衡器的建议:
对前端服务器使用 Azure 负载平衡器或负载平衡器网络设备。 如果 SharePoint 服务器场设计为可以从 Internet 访问,请使用面向 Internet 的负载平衡器。
对运行应用程序的服务器集以及 SQL Server 群集(使用侦听器 IP 地址)使用内部 Azure 负载平衡器或负载平衡器网络设备。
在基础结构或网络资源组中创建 Azure 负载平衡器或负载平衡器网络设备。
通过 Set-AzureLoadBalancedEndpoint -IdleTimeoutInMinutes 15 Azure PowerShell 命令增加闲置连接超时,以便处理来自 SharePoint 客户端的长时段连接。
VM 运行状况探测器可以是 HTTP get 消息,也可以是 ICMP 回显请求 (ping) 消息,除非负载平衡网络设备在第 4 层运行,这时应使用 HTTP get 消息。
对于 Azure 负载平衡器,在创建之前请视需要使用尽可能多的行填写下表。
负载平衡器名称 | 用途 | 类型(面向 Internet 或内部) |
---|---|---|
静态地址
可以从可用子网地址空间将静态 IP 地址分配给 VM 网络接口。 如果使用内部的 Azure 负载平衡器来在公共角色的服务器之间分发流量,请从包含负载平衡集成员的子网为该负载平衡器分配静态 IP 地址。
对于 Azure 中的 SharePoint Server 场,Microsoft 建议为运行 SQL Server 或 SharePoint Server 的每个服务器分配静态 IP 地址。
对于静态 IP 地址,请视需要使用尽可能多的行填写下表。
VM 或负载平衡器名称 | 静态 IP 地址 |
---|---|
公用 IP 地址
公用 IP 地址允许从 Internet 访问负载平衡器或 VM。 为了降低恶意攻击的攻击区域,Microsoft 建议仅对以下项使用公用 IP 地址:
云专用网络中的 jumpbox VM。
可以在 Jumpbox VM 中启动远程桌面连接,以便远程管理 VNet 中的其他 VM。 无需对每个 VM 都使用公共 IP 地址。
面向外部的服务器场的面向 Internet 的负载平衡器。
公用 IP 地址提供对服务器场前端角色中的服务器的访问。
对于公用 IP 地址,请视需要使用尽可能多的行填写下表。
VM 或负载平衡器名称 |
---|
当 VM 或负载平衡器请求公用 IP 地址时,Azure 将为它们分配。
第 3 步:存储
Azure 中的 VM 存储资源(包括每个 VM 使用的磁盘)是托管磁盘。
Azure 支持标准和高级类型的存储。 若要使用受支持的配置,必须为运行托管搜索角色的 SharePoint Server 的服务器使用高级存储。 Microsoft 建议对运行 SQL Server 或 SharePoint 服务器的所有 VM 使用高级存储。 服务器场中的其他 VM(例如域控制器以及管理子网中的 VM)可以使用标准存储。
步骤 4:标识
SharePoint Server 需要Windows Server AD域成员身份。 因此,Azure 中的 SharePoint Server 场必须有权访问具有充当域控制器的 VM 或Microsoft Entra 域服务的Windows Server AD域。
使用充当域控制器的 VM 时:
对于仅限云的 VNet 中的 Internet 专用服务器场,创建至少包含两个 VM 的 Windows Server AD 林以实现可用性。
对于跨界 VNet 中的 Intranet 服务器场,可以使用本地域控制器。 但是,Microsoft 建议对包含 SharePoint 服务器场的 VNet 中的本地 Windows Server AD 林至少使用两个副本域控制器。
步骤 5:安全性
使用 Azure 的以下元素为 SharePoint 服务器场的服务器提供安全性:
对于仅限云的 VNet,请使用 jumpbox VM 进行远程桌面连接,并仅将公用 IP 地址分配给 jumpbox VM。 由于可以直接从 Intranet 访问 SharePoint 服务器场的 VM,因此 jumpbox VM 对跨界 VNet 为可选项。
使用基于子网的网络安全组执行子网隔离。 网络安全组,然后是定义允许进出该子网的流量的规则。 将网络安全组放在基础结构或网络组件的资源组。
对于网络安全组,在创建之前请视需要使用尽可能多的行填写下表。
网络安全组名称 | 子网名称 | 规则 |
---|---|---|
步骤 6:虚拟机
对于 SharePoint 服务器场的虚拟机,请执行以下操作:
为常见角色对应的每组 VM 创建可用性集,然后将所有具有相同服务器角色的 VM 放在其中。
在服务器角色的资源组中创建可用性集。
对于每个服务器角色至少使用两个 VM。
如果使用SQL Server Always On可用性组,并且计划仅使用两个 SQL 服务器,则还必须对群集使用少数节点服务器。
将网络接口和 VM 放在服务器角色的资源组中。
以下是建议的最小 VM 大小:
Windows Server AD 域控制器:Standard_D2
SQL Servers:Standard_DS4
少数节点服务器:Standard_D2
SharePoint Server:Standard_DS4
网络接口的地址:
将静态专用 IP 地址用于作为域控制器或运行 SharePoint Server 或SQL Server的所有 VM 接口。
仅对 jumpbox VM 使用公用 IP 地址。
如果服务器场暴露给 Internet,请对前端服务器面向 Internet 的负载平衡器使用公用 IP 地址。
每个 Azure VM 都包括一个操作系统磁盘。 创建 VM 或以后添加时,可以添加额外的磁盘。 对于 VM 在 SharePoint 服务器场中的最小额外磁盘,请使用下表。
服务器类型 | 额外磁盘 |
---|---|
Windows Server AD 域控制器 |
一个 40 GB 额外磁盘,用于存储 Windows Server AD 信息 |
SQL Servers |
三个 1TB 额外磁盘,用于存储数据、日志和临时数据 |
应用程序服务器和搜索服务器 |
一个 100GB 额外磁盘,用于存储日志 一个 200GB 额外磁盘,用于存储搜索索引 |
前端服务器或分布式缓存服务器 |
一个 100 GB 额外磁盘,用于存储日志 |
对于可用性集,在创建之前请视需要使用尽可能多的行填写下表。
可用性集的名称 | SharePoint 服务器场角色 | 资源组 |
---|---|---|
对于 VM 的网络接口,在创建之前请视需要使用尽可能多的行填写下表。
网络接口名称 | 资源组 | 子网名称 | 静态 IP 地址 | 负载平衡器实例(如果需要) |
---|---|---|---|---|
对于 VM,在创建之前请视需要使用尽可能多的行填写下表。
VM 名称 | 用途 | 尺寸 | 可用性集 | 资源组 | 网络接口名称 |
---|---|---|---|---|---|
后续步骤
如果已准备好在 Azure 中创建 Intranet SharePoint Server 场的概念证明或开发/测试配置,请参阅 Azure 开发/测试环境中的 Intranet SharePoint Server。
如果已准备好在 Azure 中部署生产就绪的高可用性 SharePoint Server 场,请参阅在 Azure 中使用SQL Server Always On可用性组部署 SharePoint Server。
另请参阅
概念
SharePoint 2013 和 SharePoint 2016