你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将Azure VMware 解决方案工作负载与 Azure 登陆区域集成

项目
11/14/2023

每个组织都管理工作负载，并独一无二地运营其云环境。常见的云运营模型是分散的、集中式的、企业的和分布式的。

不同模型之间最重要的区别在于所有权级别。在分散式模型中，工作负载所有者拥有自治权，无需任何中央 IT 监督即可进行治理。例如，他们管理自己的网络、监视和标识要求。另一方面是集中式模型，其中工作负载所有者遵守中心 IT 团队设置的治理要求。

有关模型的详细讨论，请参阅查看和比较常见的云操作模型。

作为工作负荷所有者，你应该了解组织使用的运营模型。该选择会影响你负责的技术决策，以及你向中心团队推动的技术要求。

若要充分利用Azure VMware 解决方案特性和功能，应利用适用于组织的最佳做法。该平台提供适应性和灵活性，可帮助Azure VMware 解决方案环境适应未来的增长。

Azure 登陆区域

Azure 登陆区域是一种概念体系结构，用于描述组织的整体云占用情况。它有多个订阅，每个订阅都有唯一的用途。中心团队拥有一些订阅，例如 Azure 平台登陆区域。

若要熟悉 Azure 登陆区域的概念，请参阅什么是 Azure 登陆区域？。

重要

Azure VMware 解决方案具有特定的注意事项和要求，尤其是与 Azure 服务集成相关的注意事项和要求。 Azure VMware 解决方案登陆区域加速器和适用于Azure VMware 解决方案的 Azure Well-Architected 框架指南旨在强调这些必要的自定义项。这些资源还整合了云采用框架的观点，以全面实现云就绪情况。

平台登陆区域

有时，Azure VMware 解决方案私有云是在迁移工作负载之前部署的。其他时候，私有云部署在工作负载上。在这两种情况下，私有云都需要与多个外部服务交互。中心团队可能拥有其中一些服务，作为平台登陆区域的一部分。这些服务的示例包括域解析、网络连接和安全服务。与这些外部服务的交互是一个基本问题。若要完全正常运行，Azure VMware 解决方案私有云上部署的工作负载需要平台团队和工作负载团队共享相同的责任思维模式。

有关运行 Azure VMware 解决方案工作负荷所需的平台登陆区域的演示，请参阅 Microsoft Azure VMware 解决方案的 Azure 登陆区域评审。本文介绍一个坚实的平台基础，可加速从本地 VMware 环境迁移到Azure VMware 解决方案私有云。

应用程序登陆区域

有一个单独的订阅，也称为 Azure 应用程序登陆区域，适用于工作负荷所有者。此应用程序登陆区域是部署 VMware 工作负载的位置。它有权访问平台登陆区域，这些登陆区域提供运行工作负载所需的基本基础结构。示例包括网络、标识访问管理、策略和监视基础结构。

有关应用程序登陆区域的指南适用于Azure VMware 解决方案工作负荷。有关详细信息，请参阅平台登陆区域与应用程序登陆区域。本指南包括有关高效治理和管理工作负载的建议。

有关Azure VMware 解决方案工作负荷的应用程序登陆区域的演示，请参阅 Azure VMware 解决方案示例体系结构中的基线参考体系结构。最初，工作负载密度和成熟度在Azure VMware 解决方案私有云中是最小的。在初始加速器部署后，密度和成熟度预计将增加。当私有云的密度和成熟度开始增加时，本指南适用。

设计区域集成

本部分重点介绍平台提供的坚实基础。讨论还涵盖了平台团队和工作负载团队之间共同负责的领域。

平台职责

Azure VMware 解决方案平台团队确保基础结构已准备好供应用程序团队生成。一些常见任务包括：

通过确保Azure VMware 解决方案软件定义的数据中心 (SDDC) 激活并已定义区域、节点和网络设置来请求容量。然后，平台团队分配计算资源、资源池、虚拟存储区域网络 (vSAN) 存储，并聚类分析。
设计以满足恢复点目标 (RPO) 和恢复时间目标 (RTO) 目标 ，从战略上构建基础结构来满足服务级别协议 (SLA) 。
保护和优化 与本地系统、Azure 和 Internet 的连接。此任务包括路由、设置防火墙条目和管理集中式网络设备。
管理 Azure 集成，例如与 Azure DNS、Azure 备份、Azure Monitor、Log Analytics、Microsoft Entra ID 和 Azure 密钥保管库的集成。

共担责任

工作负载团队和平台团队负有不同的责任。但两个团队通常密切合作，以帮助确保工作负载的可用性和可恢复性。团队协调工作，确保Azure VMware 解决方案中运行的工作负载取得全面成功。平台和应用程序团队之间的有效协作对于成功部署基于云的应用程序至关重要。

平台和应用程序登陆区域的设计区域紧密耦合。

有关工作负载所需的平台资源更改的说明，请参阅 Microsoft Azure VMware 解决方案的 Azure 登陆区域评审。
有关工作负荷的技术规范的说明，请参阅什么是关键设计领域？。

设计领域 - 基础结构

备份和灾难恢复 是基础结构设计的一个领域，应用程序和平台团队在实现时都发挥着作用。

Azure VMware 解决方案平台团队为虚拟机 (VM 设置基础结构级备份和复制，) 和Azure VMware 解决方案组件。
应用程序团队负责应用程序级备份和数据恢复过程。

在某些组织中，某些操作是共同的责任。下表列出了示例：

平台团队职责	工作负载团队职责
- 基础结构备份。为Azure VMware 解决方案组件、VM 和核心基础结构实现备份。 - VM 映像备份的配置。在发生故障期间，快速从 VM 磁盘 (VMDK 等格式) 恢复基础结构。 - 灾难恢复规划。为Azure VMware 解决方案基础结构定义站点故障转移、数据复制和维护 RPO 和 RTO 目标的机制。	- 数据备份。使用基于代理且与 VMware 兼容的备份解决方案，将特定于应用程序的数据和数据库备份到存储位置。 - 应用程序配置。管理应用程序需要运行的应用程序配置、设置和库。 - 任务优先级。从不重要的任务中识别重要任务。 - 数据还原和恢复。定期从备份还原应用程序数据。确保应用程序在实际方案中返回到功能状态。

平台团队职责

工作负载团队职责

- 基础结构备份。为Azure VMware 解决方案组件、VM 和核心基础结构实现备份。
- VM 映像备份的配置。在发生故障期间，快速从 VM 磁盘 (VMDK 等格式) 恢复基础结构。
- 灾难恢复规划。为Azure VMware 解决方案基础结构定义站点故障转移、数据复制和维护 RPO 和 RTO 目标的机制。

- 数据备份。使用基于代理且与 VMware 兼容的备份解决方案，将特定于应用程序的数据和数据库备份到存储位置。
- 应用程序配置。管理应用程序需要运行的应用程序配置、设置和库。
- 任务优先级。从不重要的任务中识别重要任务。
- 数据还原和恢复。定期从备份还原应用程序数据。确保应用程序在实际方案中返回到功能状态。

设计区域 - 网络

DNS 解析 是网络设计领域的一个关键概念。

Azure VMware 解决方案中的 DNS 配置涉及将主机名映射到 IP 地址。此映射可在Azure VMware 解决方案内的 VM 和服务与更广泛的网络之间建立连接。下表列出了 DNS 职责：

平台团队职责	工作负载团队职责
- 将 VM 作为域控制器启动。 - 创建专用 DNS 区域。 - 管理域名。 - 配置反向 DNS 查找。	- 配置主机名。 - (TTL) 设置管理应用程序的生存时间。 - 管理内部 DNS 解析。 - 管理影响应用程序的 DNS 监视和上下警报。

设计领域 - 操作

密钥管理 是运营中的一个重要领域。

应用程序和平台团队都负责密钥和密码管理。它们所扮演的角色有助于确保Azure VMware 解决方案中运行的应用程序的安全性和访问控制。下表列出了团队职责的差异：

平台团队职责	工作负载团队职责
- 基础结构密钥管理。管理加密密钥和基础结构级数据，例如加密磁盘和 VM 模板。 - 基础结构凭据。管理 VMware vCenter Server 和 VMware ESXi 主机等组件的Azure VMware 解决方案管理凭据。 - 平台访问控制。在Azure VMware 解决方案环境中定义用户角色和权限。 - 密钥保管库：创建密钥保管库实例、配置策略以保护保管库、管理基础结构和平台机密，以及管理加密和解密操作。	- 管理特定于应用程序的凭据和密钥，例如用于访问 API、数据库和机密的凭据和密钥。 - 实施常规密码轮换和凭据过期策略，以防止未经授权的访问。 - 确保安全存储应用程序凭据，并且不会在应用程序代码或配置文件中硬编码。 - 为密钥保管库定义访问策略，这些策略特定于需要访问这些机密的应用程序或服务。