你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为混合和多云方案准备环境
云采用框架就绪方法指导客户为云采用准备环境。 该方法包括 Azure 登陆区域等技术加速器,它们是任何 Azure 云采用环境的构建基块。
本指南可帮助你选择要为组织部署的正确登陆区域。
登陆区域中的混合云和多云
Azure 登陆区域是多订阅 Azure 环境的输出,该环境负责:
- 缩放
- 安全治理
- 网络
- 标识
- 成本管理
- 监视
准备混合和多云部署时,环境注意事项可能略有不同。 任何混合和多云部署的一致环境都需要考虑:
- 网络拓扑和连接
- 针对操作、治理、安全性和合规性的统一运营流程控制
- 跨异构环境的统一且一致的自动化规程、开发经验和 DevOps 实践
Azure Arc 支持混合和多云体系结构,并包含一系列技术。 它支持的每个体系结构都包含创建成功部署所需的所有关键设计领域和注意事项。
评估云组合
选择混合和多云环境涉及到一系列决策,而不是单个二元决策。 在配置 Azure 环境之前,请确定你的云环境如何支持云托管选项的特定组合。 下图包含一些常见云组合的示例:
在此示意图中,每个深蓝色圆点代表一个工作负载,每个浅蓝色圆圈代表一个业务流程,分别由不同的环境支持。
每种云组合需要不同的 Azure 环境配置。 以下三种参考客户类型体现了这一点:
混合优先客户:大多数工作负载都保留在本地,通常混合使用传统、混合和可移植的资源托管模型。 在边缘、Azure 或其他云提供程序中部署了一些特定的工作负载。
- Fabrikam 是一个混合优先客户,该客户之前对使用时间已久的数据中心进行过大量投资。 成本和治理是其最重视的方面。 旧的 IT 优先事项和旧的技术基础结构阻碍了 Fabrikam 的创新,这驱动了一些早期的云采用。
Azure 优先客户:大多数工作负载都迁移到 Azure,仅少部分工作负载留在本地。 战略决策导致一些工作负载留在边缘或多云环境中。
- Contoso 是一个 Azure 优先客户。 与 Fabrikam 一样,它完成了第一波数字化转型,收购了几家公司,并增加了受监管行业的客户。 它的最优先事务仍然是创新,但由于自身的多云环境,它将重心放在运营管理上。 它需要高效、可缩放的操作,以便持续实行其收购策略。
多云优先客户:大多数工作负载托管在不同的公有云上,例如 Google Cloud Platform (GCP) 或 Amazon Web Services (AWS)。 战略决策导致一些工作负载留在 Azure 或边缘。 客户经常随着云策略的成熟而从混合优先组合转变为 Azure 优先组合,但我们也支持客户优先考虑混合或多云组合。 Azure 在每种类型的组合中都发挥着作用。
- Tailwind Traders 是多云优先客户。 与 Contoso 一样,它已迁移到云中,但未为此使用 Azure。 它拥有一些本地数据中心资产和边缘设备。 Tailwind Traders 是处于早期创业阶段的其他云的早期采用者,其最高优先事务是发展。 客户零售要求和改进运营以实现高效扩展的需求推动了混合和多云方案的发展。
为混合和多云方案准备任何云环境时,必须考虑到一些注意事项。 你的应用程序和数据的混合和多云策略决定了以下问题的答案。 明确所需的云组合,然后考虑适用于环境的最佳配置。
- 目前你支持哪种混合、边缘和多云环境的组合?
- 哪种组合最符合你的未来策略?
- 是要独立操作每个平台,还是通过统一操作和单一管理视图的方式进行操作?
Azure Arc 概述
你可能希望跨本地、边缘和多云简化复杂的分布式环境。 通过 Azure Arc,可随处部署 Azure 服务,它还将 Azure 管理扩展到任意基础结构。
跨环境组织和管理:通过从单一管理视图集中组织和治理,控制遍布本地、边缘和多云环境的数据库、Kubernetes 群集和服务器。
大规模管理 Kubernetes 应用程序:使用 DevOps 技术跨环境部署和管理 Kubernetes 应用程序。 确保始终如一地从源代码管理部署和配置应用程序。
在任何地方运行 Azure 服务:在本地、边缘和多云环境中为数据资产获得自动修补、升级、安全和按需扩展。
启用对虚拟机的自助访问:使用 Azure 基于角色的访问控制(RBAC)通过 Azure 向 VMware vSphere 和 System Center Virtual Machine Manager 资源授予自助服务功能。 从Azure 门户执行每个 VM 生命周期和电源周期操作,并通过 Azure 模板、API 和 SDK 自动执行操作。
Azure Arc 客户快照
前面提到的所有三个参考客户都在不同的硬件上运行工作负载。 它们还跨本地数据中心和多个公有云提供商运行工作负载,并支持部署在边缘的 IoT 工作负载。 他们的工作负载包括各种服务,基于裸机服务器、虚拟机、托管平台即服务 (PaaS) 服务或云原生的基于容器的应用程序。
这三个客户都意识到他们需要建立混合云和多云做法来确保业务成功。 将工作负载现代化的需求对于所有三个客户在各自领域的成就变得至关重要。
借助 Azure Arc 作为混合和多云控制平面,这些客户可以通过非分布式方式使用现有的 IT 投资和当前运营实践。 若要继续使用其当前做法,客户将加入以下资源:
- 已启用 Azure Arc 的服务器、已启用 Azure Arc 的 VMware vSphere 或已启用 Azure Arc 的 System Center Virtual Machine Manager
- SQL Server
- Kubernetes 群集
他们使用已启用 Azure Arc 的数据服务、应用程序服务和机器学习服务来实现工作负载的现代化,同时确保仍然满足数据主权要求。
Azure Arc 扩展了 Azure 资源管理器 (ARM) API,因此可将任何工作负载表示为 Azure 中的一等公民。 此扩展为大规模实现统一的运营、管理、合规性、安全性和治理奠定了基础。 它是通过以下方式实现的:
- 集中监控
- Logging
- 遥测
- 策略
- 修补程序管理
- 更改跟踪
- 库存管理
- 威胁检测
- 安全漏洞管理和审核
配置初始 Azure 环境
对于每种云组合,都需要一个 Azure 环境来支持、治理和管理云资源。 云采用框架的“就绪”方法提供了几个步骤来帮助你准备环境:
考虑每个 Azure 登陆区域设计领域,并正确评估技术要求。
将相关要求与 Azure 登陆区域实现选项进行比较,找到并实现最适合你的配置的模板。
Azure Arc 作为登陆区域加速器
Azure Arc 资源可以是任何应用程序的一部分。 示例包括:
- 已启用 Azure Arc 的服务器、已启用 Azure Arc 的 VMware vSphere 和已启用 Azure Arc 的 System Center Virtual Machine Manager,表示在 Azure 外部部署的 IT 资产。 基于用途的 Azure Arc 服务,例如已启用 Azure Arc 的 VMware vSphere 和已启用 Azure Arc 的 System Center Virtual Machine Manager、vCenter 和 System Center Virtual Machine Manager 中部署的项目 IT 资产,以及托管在本地数据中心到 Azure 中的 System Center Virtual Machine Manager。
- 多云环境中客户管理的 Kubernetes 群集。
- 在边缘运行的已启用 Azure Arc 的数据、应用程序和机器学习服务。
应用程序登陆区域订阅还可以包含 Azure Arc 资源和普通 Azure 资源。
由于 Azure Arc 资源位于 Azure 外部,因此你可以将其视为 元数据资源 ,以在 Azure 中表示的方式。 将 Azure Arc 资源视为可以成为登陆区域一部分的任何其他 Azure 资源。 无论是平台还是应用程序,它都遵循订阅民主化和以应用程序为中心且原型中立的设计原则。
Azure 登陆区域中 Azure Arc 资源的常见示例
以下示例说明如何将 Azure Arc 资源投影为 Azure 登陆区域中的元数据资源。
示例 1:在 Azure 之外投影域控制器
许多客户在其环境中部署了 Active Directory 域服务 (AD DS)。 域控制器是 AD DS 和客户整体体系结构的关键组件。
在 Azure 登陆区域概念体系结构中,有一个专用的标识登陆区域订阅旨在托管基于标识的资源。 可以使用 AD DS 域控制器 (DC) 虚拟机 (VM) 在 Azure 中托管此订阅。 还可以通过已启用 Azure Arc 的服务器将其从任何其他位置投影到 Azure。
示例 2:将本地数据中心投影到 Azure
大多数客户的环境中仍然存在本地数据中心。 这些数据中心的覆盖范围可以从单个服务器到大型虚拟化环境。
客户可将其本地数据中心视为常规登陆区域,并在合适的情况下将其放入新的或现有的登陆区域。 一些常见方法包括:
- 将项目资源移到本地数据中心资源的专用登陆区域订阅中。
- 在全球多个数据中心的大型环境中,客户可能每个地缘政治区域有一个登陆区域。 这些登陆区域还包含来自该区域的资源,用于将本地数据中心逻辑分离到 Azure。
- 此方法还可以帮助满足不同本地数据中心的安全性、治理和合规性要求。
- 根据用于支持相同应用程序或服务的其他 Azure 资源,将项目资源移到单独的登陆区域订阅中。
示例 3:将远程应用程序资源投影到 Azure
客户可能会开发延迟敏感型应用程序或具有数据主权要求的应用程序。 这些应用程序可能需要在 Azure 之外托管属于其应用程序一部分的资源。 客户仍然希望集中控制、治理、保护和操作构成其应用程序的所有资源。 Azure Arc 让客户可以实现这一目标。
在这种情况下,客户应将其应用程序的 Azure Arc 资源投影到他们将 Azure 资源部署到的同一应用程序登陆区域订阅中。 然后,无论资源位于何处,客户都可以从单个控制平面对所有资源应用一组控制。
示例四:投影到 Azure 中终止支持的本地服务器,以使用通过 Azure Arc 传递的扩展安全更新
许多客户具有即将终止支持的 Windows Server 版本,并且无法满足支持终止期限,但需要保留在本地。 在此方案中,他们希望购买由 Azure Arc 启用的扩展安全更新。
如果客户正在部署 Azure 登陆区域或已部署一个登陆区域,则客户可以将本地数据中心视为正常的登陆区域,并将它们放置在他们认为合适的新登陆区域或现有登陆区域。 一些常见方法包括:
将项目资源移到本地数据中心资源的专用登陆区域订阅中。
在全球多个数据中心的大型环境中,客户可能每个地缘政治区域有一个登陆区域。 这些登陆区域还包含来自该区域的资源,用于将本地数据中心逻辑分离到 Azure。
此方法还可以帮助满足不同本地数据中心的安全性、治理和合规性要求。
根据用于支持相同应用程序或服务的其他 Azure 资源,将项目资源移到单独的登陆区域订阅中。
客户应查看已启用 Azure Arc 的服务器登陆区域加速器指南,查看关键设计领域的设计注意事项和建议。
如果客户目前没有或未计划部署 Azure 登陆区域:
- 客户应查看已启用 Azure Arc 的服务器登陆区域加速器指南,查看关键设计领域的设计注意事项和建议。
后续步骤
有关混合云和多云旅程的详细信息,请参阅以下文章。