適用於 Azure VMware 解決方案企業規模案例的平台自動化
企業規模登陸區域使用一系列的最佳做法來進行自動化和 DevOps。 這些最佳做法可協助您部署 Azure VMware 解決方案私人雲端。 本指南提供初始部署 Azure VMware 解決方案的部署考量因素概觀。 其也會提供營運自動化的指引。 這項實作遵循雲端採用架構的架構和最佳做法,著重於設計規模調整。
此解決方案是由兩個主要部分所組成。 第一個部分是 Azure VMware 解決方案的部署和自動化實務的指引。 第二個部分是一組開放原始碼成品,可加以調整以協助部署私人雲端。 雖然此解決方案的目的是要開始進行端對端自動化旅程,但貴組織可以根據本文的考量來決定要手動部署哪些元件。
Azure VMware 解決方案登陸區域加速器自動化的設計目的是協助您開始使用此存放庫中的範本和腳本來部署Azure VMware 解決方案。 在部署之前,建議您先檢閱範本以了解已部署的資源和相關聯的成本。
本文涵蓋下列領域的考量和建議:
- Azure VMware 解決方案的部署選項,包括手動和自動化的選項。
- 自動化的調整考量和實作詳細資料。
- 私人雲端內 VMware SDDC 層級自動化的考慮。
- 從企業登陸區域擴充而來的自動化方法相關建議。
- 用於部署和管理的自動化技術考慮,例如 Azure CLI、Azure Resource Manager、Bicep 和 PowerShell。
部署策略
Azure VMware 解決方案可以手動部署或使用策劃的自動化工具。
手動部署
您可以透過 Azure 入口網站,以圖形方式設定和部署 Azure VMware 解決方案私人雲端。 此選項適用於較小規模的部署。 如果您想要以可重複的方式部署大規模的 Azure VMware 解決方案拓撲,請考慮使用自動化部署。 您也可以設定私人雲端的連線,然後透過 Azure 入口網站手動調整其大小。
考量因素:
- 您可以針對初始試驗和小規模環境使用手動部署。 您也可以在沒有現有的自動化或基礎結構即程式碼實務的情況下加以使用。
- 當您透過 Azure 入口網站、Azure CLI或Azure PowerShell 模組部署Azure VMware 解決方案時,您會看到解決方案中資料保護的一系列條款及條件。 如果您要直接使用 Azure Resource Manager API,或透過 Azure Resource Manager或 Bicep 範本進行部署,請考慮先檢閱這些條款及條件,再部署自動化。
- 針對視需要執行的隨選環境,請考慮將 Azure VMware 解決方案私人雲端建立程序自動化,以限制手動互動的數量。
- 您可以使用 Azure 入口網站內目標資源群組的部署刀鋒視窗來監視私人雲端建立程序。 部署私人雲端之後,請先確認其處於 [成功] 狀態,然後再繼續進行。 如果私人雲端顯示[失敗] 狀態,您可能無法連線到 vCenter Server。 可能需要移除並重新部署私人雲端。
建議:
- 如果您選擇手動部署方法,請務必記錄您用來佈建私人雲端的設定。 部署之後,請下載您用於記錄用途的部署範本。 此範本成品包含用來部署私人雲端的 ARM 範本。 範本成品也有參數檔案,其中包含您選取的組態。
- 如果您要定期與 Azure 入口網站中的私人雲端互動,建議您放置資源鎖定來限制資源的刪除。 您也可以使用唯讀資源鎖定來限制調整規模作業。
自動化部署
您可以使用自動化部署,以可重複的方式部署 Azure VMware 解決方案環境。 然後您可以依需求設計和部署環境。 這種使用方式會導致有效率的部署機制,以大規模推出多個環境和區域。 其也可提供低風險、隨選和可重複的部署程序。
自動化Azure VMware 解決方案實作選項
考量因素:
- Azure VMware 解決方案私人雲端部署可能需要數小時才能完成。 請考慮使用 Azure Resource Manager部署狀態或私人雲端上的 status 屬性來監視此程式。 您可以使用部署管線,或透過 PowerShell 或 Azure CLI 以程式設計方式部署。 若是如此,請確定已選取適當的逾時值以配合私人雲端佈建程序。
- 您可以預先配置私人雲端和工作負載網路的位址範圍,並根據網路拓撲和連線的建議事先進行。 然後,將其新增至環境設定或參數檔。 在部署時,不會驗證位址範圍重疊。 如果有兩個私人雲端具有相同的位址範圍,則這項驗證可能會導致問題。 如果範圍與 Azure 或內部部署內的現有網路重疊,也可能會發生問題。
- 您可以使用服務主體進行部署,以提供最少的特殊權限存取。 您也可以使用 Azure 角色型存取控制 (RBAC) 來限制部署程序的存取權。
- 您可以使用適用於私人雲端部署的 DevOps 策略,使用管線進行自動化且可重複的部署,而不需要依賴本機工具。
建議:
- 部署基本私人雲端,然後視需要進行調整。
- 提前要求主機配額或容量,以確保部署成功。
- 部署子資源之前,請先監視私人雲端部署程序和私人雲端的狀態。 私人雲端的進一步設定更新只能在私人雲端處於 [成功] 狀態時處理。 針對處於 失敗 狀態的私人雲端,建議您停止任何進一步的作業,並提出支援票證來解決。
- 在自動化部署中包含相關的資源鎖定,或確定其是透過原則套用。
自動連線能力
部署 Azure VMware 解決方案私人雲端之後,您可以設定透過 ExpressRoute 的連線。 此建構集內所述的網路連線有兩個關鍵路徑:
- 透過虛擬網路閘道連線至虛擬網路或 Azure 虛擬 WAN。
- Azure VMware 解決方案與透過觸及全球的現有 ExpressRoute 之間的連線。
如需有關建議網路拓撲的詳細資訊,請參閱網路拓撲和連線。
考量因素:
- 您可以將 Azure VMware 解決方案私人雲端連線至 Azure 虛擬網路或現有的 ExpressRoute。 此連線會自動從私人雲端中的管理網路和工作負載網路公告路由。 因為沒有就地重疊檢查,請考慮在連線之前驗證已公告的網路。
- 您可以使用現有的命名配置,將 ExpressRoute 授權金鑰的名稱與所連線的資源保持一致。 這種一致方式可讓您輕鬆識別相關的資源。
- ExpressRoute 虛擬網路閘道和 ExpressRoute 線路可能與 Azure VMware 解決方案私人雲端存在於不同的訂用帳戶中。 決定您是否要讓單一服務主體能夠存取這些資源,或者是否要將其分開。
- NSX-T 資料中心工作負載網路可透過Azure 入口網站將基本網路資源部署到私人雲端,但 NSX-T 管理員可更充分掌控 NSX-T 資料中心元件。 值得注意的是,您需要對網路區段進行何種層級的控制。
- 使用Azure 入口網站內的 NSX-T 資料中心工作負載網路,為私人 DNS 整合設定網域名稱系統 (DNS) 區域。
- 對於只需要單一層閘道的網路拓撲,請使用Azure 入口網站內的 NSX-T 資料中心工作負載網路。
- 針對進階設定,您可以直接使用 NSX-T Manager。
- 請考慮網路系統管理員的技能等級。 如果您的網路系統管理員幾乎不知道 VMware NSX-T 資料中心,請考慮改用Azure 入口網站來降低網路作業的風險。
建議:
- 如果您使用不同的服務主體來進行 Azure VMware 解決方案部署,而不是使用 ExpressRoute 設定,請使用 Azure Key Vault 或類似的秘密存放區,在部署之間傳遞授權金鑰 (如有必要)。
- 可隨時透過 Azure VMware 解決方案私人雲端執行的平行作業數目有所限制。 針對定義許多 Azure VMware 解決方案私人雲端子資源的範本,建議使用相依性以序列方式進行部署。
自動調整規模
根據預設,Azure VMware 解決方案叢集有固定數目的主機,由叢集的規模所定義。 您可以用程式設計方式修改每個叢集的規模,讓您可以透過自動化進行縮減和向外延展。 這項自動化可能是依需求、依排程或 Azure 監視器警示的回應。
考量因素:
- 自動擴增可以提供更多的隨選容量,但請務必考慮更多主機的成本。 此成本僅限於提供給訂用帳戶的配額,但應備妥手動限制。
- 在您自動執行縮減之前,請考慮在叢集中所執行工作負載和儲存體原則的影響。 例如,已指派 RAID-5 的工作負載無法調整為三節點叢集。 也請務必考慮記憶體和儲存體的使用方式,因為這種使用方式可能會封鎖縮放作業。
- 一次只能執行一個單一規模的作業,因此請務必考慮多個叢集之間的調整規模作業協調流程。
- Azure VMware 解決方案規模調整作業不是瞬間運作,您必須考慮將另一個節點新增至現有叢集所需的時間。
- 協力廠商解決方案及整合可能不會預期主機會持續移除和新增。 請考慮驗證所有協力廠商產品的行為。 此驗證可確保在新增或移除主機時,不需要更多步驟來重新整理或重新設定產品。
建議:
- 在配額以外的縮放和擴增作業中,就地放置硬性限制。
- 事先要求配額,使其不會影響調整作業。 配額不保證容量,而是保證能夠部署至特定限制。 定期檢閱配額限制,以確保一律保留空餘空間。
- 確定任何自動調整系統都會受到監視,而且會在調整作業完成時向您發出警示。 此警示可確保沒有任何未預期的規模事件。
- 使用 Azure 監視器計量,在縮減作業之前確認叢集容量,以確保有足夠的空餘空間。 請注意任何規模作業之前、期間和之後的 CPU、記憶體和儲存體。 這項對容量的注意可確保不會影響服務等級協定 (SLA) 。
Azure 整合
Azure VMware 解決方案私人雲端也可以使用數個不同的 Azure 原生服務。 您可以在 Azure VMware 解決方案部署內包含這些服務,或部署為個別的元件。 在發行項範圍之外時,建議您在企業規模登陸區域結構內使用現有的模式,以與這些服務進行整合。
考量因素:
請考慮您打算自動化每個元件的部署生命週期。 與元件生命週期緊密繫結的群組元件應群組在一起,讓部署成為單一單位。 不同生命週期的個別元件。
自動化工具
Azure VMware 解決方案私人雲端會以 Azure Resource Manager中的資源的形式存在,透過數個不同的自動化工具提供互動。 從 Azure Resource Manager規格產生的第一方 Microsoft 工具,通常會在發行後不久支援功能。 從自動化的觀點來看,本文中的考量是以可跨不同工具組套用的方式來提供。
考量因素:
- 使用 Azure Resource Manager 和 Bicep 範本等宣告式工具,讓您可以將設定定義為單一成品。 命令列和指令碼式工具 (例如 Azure CLI 和 PowerShell) 需要逐步執行的方法,以便在手動部署的程式列中執行。
- 您可以使用協力廠商自動化工具 (例如 Terraform) 來部署 Azure VMware 解決方案和 Azure 原生服務。 請務必確定您想要在 Azure VMware 解決方案內使用的功能目前包含在可用的資源內。
- 採用指令碼式的方法進行部署時,請一律考慮部署失敗和監視的含意。 特別針對 Azure VMware 解決方案,請考慮監視部署和私人雲端狀態。 如需監視 Azure VMware 解決方案的詳細資訊,請參閱 Azure Vmware 解決方案的管理和監視。
建議:
- 使用Azure CLI、PowerShell或Azure Resource Manager或 Bicep等宣告式範本,以自動化方式部署Azure VMware 解決方案。
- 可能的話,請使用 what-if 來確認在執行之前的變更,並在刪除資源時暫停以進行驗證。
- 若為單一部署作業,但仍需要基礎結構即程式碼,請使用 Azure 藍圖。 Azure 藍圖提供戳記和可重複的部署,而不需要自動化管線。
DevOps 方法
您應該將 Azure VMware 解決方案部署自動化實作為一系列可重複執行的步驟,最好是透過工作流程或管線。 請務必將您打算要包含在部署中的必要步驟範圍限定在一起。 這些步驟可能包括:
- 私人雲端部署。
- ExpressRoute 閘道連線能力。
- Global Reach 連線能力。
- 簡化的 NSX-T 資料中心 DHCP、DNS 和區段建立。
部署私人雲端之後,您可以在私人雲端內部署資源。 如需詳細資訊,請參閱 VMware SDDC 平臺自動化。
考量因素:
- 您可能會有現有的自動化實務,或您在企業規模登陸區域中建置了 DevOps 策略。 若是如此,請考慮針對 Azure VMware 解決方案部署重複使用相同的模式,以在整個面板中保持一致的自動化樣式。
- 如需詳細資訊,請參閱企業規模登陸區域平台自動化和 DevOps 文件。
VMWare 平台自動化
在Azure VMware 解決方案私人雲端中,您也可以選擇自動在 vCenter Server 和 NSX-T Manager 內建立資源。 下列一系列考慮會列出以協助設計 VMware SDDC 層級自動化。
vCenter Server 自動化 - PowerCLI
考量因素:
- 使用 PowerCLI 來建立和設定虛擬機器 (VM) 、資源集區和 VM 範本,讓您完全以程式設計方式控制 vCenter Server。
- 因為 vCenter Server 只能透過私人連線或私人 IP 使用,所以您必須在可看見Azure VMware 解決方案管理網路的電腦上執行 PowerCLI。 請考慮使用自我裝載式代理程式來執行管線。 使用此代理程式,您可以在虛擬網路或 NSX-T 資料中心區段內的 VM 上執行 PowerCLI。
- 您可能無法存取某些作業,因為您受到 CloudAdmin 角色的限制。 請考慮將所需的權限對應至您打算要實作的自動化,並針對 CloudAdmin 權限進行驗證。
- 針對最低許可權存取,請考慮透過 Active Directory 整合,針對 vCenter Server 層級自動化使用服務帳戶。
NSX-T 資料中心自動化 - PowerCLI
考量因素:
- 在Azure VMware 解決方案私人雲端中,系統管理使用者預設具有 NSX-T 資料中心的系統管理存取權。 由於此預設存取權,請考慮直接透過 PowerCLI 或 NSX-T 資料中心 API 所做的變更影響。 不允許修改受 Microsoft 管理的元件,例如傳輸區域和層級零閘道,建議您務必注意。
- 執行 PowerCLI 的 VM 需要私人連線到Azure VMware 解決方案私人雲端,才能與 NSX-T 資料中心互動。
- 您可以透過 Azure Resource Manager來控制工作負載網路。 此控制項可讓一部分作業透過 Azure Resource Manager API 來完成,然後透過 Azure CLI 和 PowerShell 使用 Azure RBAC 而非 NSX-T 資料中心身分識別來啟用作業。
Terraform vSphere 和 NSX-T 資料中心提供者
考量因素:
- 您可以使用適用于 Terraform 的 vSphere 和 NSX-T 資料中心 提供者來部署資源。 這些資源會以宣告的方式部署在私人雲端的範圍內。
- 由於 Terraform 需要與 vCenter Server 和 NSX-T Manager 內的 API 端點通訊,因此必須有私人連線到私人雲端管理網路。 請考慮從可路由至私人雲端的 Azure 虛擬機器進行部署。
vRealize 自動化和 vRealize 作業
考量因素:
- 您可以使用類似內部部署環境的 vRealize 自動化,讓您可以將 Azure VMware 解決方案內的虛擬機器佈建自動化。
- Azure VMware 解決方案支援的部署模型有一些限制。 請考慮使用 vRealize 雲端管理,或將 vRealize 自動化設備裝載於內部部署。
- 如同 PowerCLI,Azure VMware 解決方案的私人連線必須來自 vRealize 自動化和 vRealize 作業設備所在的環境。
工作負載層級自動化
在 Azure VMware 解決方案的個別工作負載中,您可以選擇在每個 VM 層級上設定自動化。 這項自動化的達成方式與內部部署相同,並不在本文的討論範圍內。 此自動化的範例包括Microsoft Configuration Manager、Chef、Puppet 和 Ansible。 您也可以使用內部部署代理程式 Azure 自動化進行 VM 層級設定。
後續步驟
現在您已閱讀過設計區域,請了解 Azure VMware 解決方案在企業規模案例中的架構方法和實作。