整合Azure VMware 解決方案工作負載與 Azure 登陸區域
每個組織都會管理工作負載,並以唯一方式操作其雲端環境。 常見的雲端作業模型是 分散式、 集中式、 企業和 分散式。
各種模型之間的最重要差異是擁有權層級。 在分散式模型中,工作負載擁有者具有自主性,而不需要任何中央 IT 監督進行治理。 例如,他們管理自己的網路、監視和身分識別需求。 在頻譜的另一端是集中式模型,其中工作負載擁有者會遵守中央 IT 小組所設定的治理需求。
如需模型的詳細討論,請參閱 檢閱和比較常見的雲端作業模型。
身為工作負載擁有者,您應該瞭解組織所使用的作業模型。 該選擇會影響您負責的技術決策,以及您推動至中央小組的技術需求。
若要充分利用Azure VMware 解決方案特性和功能,您應該利用適用于組織的最佳做法。 平臺提供可調整性和彈性,以協助您Azure VMware 解決方案環境適應未來的成長。
Azure 登陸區域
Azure 登陸區域是描述組織整體雲端使用量的概念架構。 它有多個訂用帳戶,每個訂用帳戶都有唯一的用途。 中央小組擁有一些訂用帳戶,例如 Azure 平臺登陸區域。
若要熟悉 Azure 登陸區域的概念,請參閱 什麼是 Azure 登陸區域?。
重要
Azure VMware 解決方案有特定的考慮和需求,特別是與 Azure 服務整合相關的考慮和需求。 Azure VMware 解決方案登陸區域加速器和適用于 Azure VMware 解決方案 的 Azure Well-Architected 架構指引,旨在強調這些必要的自訂。 這些資源也會納入雲端採用架構觀點,以取得雲端整備的整體方法。
平臺登陸區域
有時候會在工作負載移轉之前部署Azure VMware 解決方案私人雲端。 其他時候,私人雲端會部署在工作負載上。 在這兩種情況下,私人雲端都必須與多個外部服務互動。 中央小組可能會擁有其中一些服務作為平臺登陸區域的一部分。 這些服務的範例包括網域解析、網路連線和安全性服務。 與這些外部服務互動是基礎考慮。 若要完全運作,部署在Azure VMware 解決方案私人雲端上的工作負載需要平臺小組和工作負載小組共用相同的責任思維。
如需執行Azure VMware 解決方案工作負載所需的平臺登陸區域示範,請參閱Microsoft Azure VMware 解決方案的 Azure 登陸區域檢閱。 本文說明一個穩固的平臺基礎,可加速從內部部署 VMware 環境移轉至Azure VMware 解決方案私人雲端。
應用程式登陸區域
有另一個訂用帳戶,也稱為 Azure 應用程式登陸區域,適用于工作負載擁有者。 此應用程式登陸區域是您部署 VMware 工作負載的位置。 其可存取平臺登陸區域,以提供執行工作負載所需的基本基礎結構。 範例包括網路、身分識別存取管理、原則和監視基礎結構。
應用程式登陸區域的相關指引適用于Azure VMware 解決方案工作負載。 如需詳細資訊,請參閱 平臺登陸區域與應用程式登陸區域。 本指南包含有效率地控管和管理工作負載的建議。
如需Azure VMware 解決方案工作負載的應用程式登陸區域的示範,請參閱Azure VMware 解決方案的範例架構中的基準參考架構。 一開始,工作負載密度和成熟度在私人雲端Azure VMware 解決方案最少。 密度和成熟度預期會在初始加速器部署之後增加。 當私人雲端的密度和成熟度開始增加時,適用本指南。
設計區域整合
本節強調平臺所提供的穩固基礎。 討論也涵蓋平臺小組與工作負載小組之間共同責任的區域。
平臺責任
Azure VMware 解決方案平臺小組可確保基礎結構已準備好可供應用程式小組建置。 一些常見的工作包括:
- 藉由確保Azure VMware 解決方案軟體定義的資料中心 (SDDC) 啟用,並已定義區域、節點和網路設定,以要求容量。 然後,平臺小組會配置計算資源、資源集區、虛擬儲存區域網路 (vSAN) 儲存體和叢集。
- 透過策略性建置基礎結構以符合服務等級協定 (, (SLA) ,設計以符合 RPO) 和復原時間目標 (RTO) 目標。
- 保護及優化 內部部署系統、Azure 和網際網路的連線能力。 這項工作包括路由、設定防火牆專案,以及管理集中式網路設備。
- 管理 Azure 整合,例如與 Azure DNS、Azure 備份、Azure 監視器、Log Analytics、Microsoft Entra識別碼和 Azure 金鑰保存庫整合。
共同責任
工作負載小組和平臺小組有不同的責任。 但這兩個小組通常會密切合作,以協助確保工作負載可用性和復原能力。 小組會協調在 Azure VMware 解決方案 中執行之工作負載的整體成功工作。 平臺與應用程式小組之間的有效共同作業對於成功部署雲端式應用程式至關重要。
平臺和應用程式登陸區域的設計區域緊密結合。
- 如需工作負載所需平臺資源變更的描述,請參閱Microsoft Azure VMware 解決方案的 Azure 登陸區域檢閱。
- 如需工作負載技術規格的描述,請參閱 什麼是主要設計區域?。
設計區域 - 基礎結構
備份和災害復原 是應用程式與平臺小組實作角色的基礎結構設計區域。
- Azure VMware 解決方案平臺小組會設定虛擬機器的基礎結構層級備份和複寫, (VM) 和Azure VMware 解決方案元件。
- 應用程式小組負責應用層級備份和資料復原程式。
在某些組織中,某些作業是共同責任。 下表列出範例:
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
|
-
基礎結構備份。 針對Azure VMware 解決方案元件、VM 和核心基礎結構實作備份。 - 設定 VM 映射備份。 在失敗期間,快速從 VM 磁片 (VMDK) 等格式復原基礎結構。 - 災害復原規劃。 定義Azure VMware 解決方案基礎結構的月臺容錯移轉、資料複寫和維護 RPO 和 RTO 目標的機制。 |
-
資料備份。 使用代理程式型 VMware 相容的備份解決方案,將應用程式特定資料和資料庫備份至儲存體位置。 - 應用程式組態。 管理應用程式需要運作的應用程式組態、設定和程式庫。 - 工作優先順序。 從無從性的工作中辨識重要工作。 - 資料還原和復原。 定期從備份還原應用程式資料。 請確定應用程式在真實世界案例中回到功能狀態。 |
設計區域 - 網路功能
DNS 解析 是網路設計區域中的重要概念。
Azure VMware 解決方案中的 DNS 組態牽涉到將主機名稱對應至 IP 位址。 此對應會在Azure VMware 解決方案與更廣泛的網路內建立 VM 和服務之間的連線。 下表列出 DNS 責任:
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
| - 將 VM 啟動為網域控制站。 - 建立私人 DNS 區域。 - 管理功能變數名稱。 - 設定反向 DNS 查閱。 |
- 設定主機名稱。 - 管理應用程式存留時間 (TTL) 設定。 - 管理內部 DNS 解析。 - 管理影響應用程式的 DNS 監視和向上關閉警示。 |
設計區域 - 作業
金鑰管理 是作業的重要領域。
應用程式和平臺小組在金鑰和密碼管理方面都有責任。 他們扮演的角色有助於確保應用程式的安全性和存取控制,這些應用程式會在Azure VMware 解決方案中執行。 下表列出小組責任的差異:
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
|
-
基礎結構金鑰管理。 管理加密金鑰和基礎結構層級的資料,例如加密磁片和 VM 範本。 - 基礎結構認證。 針對 VMware vCenter Server 和 VMware ESXi 主機等元件管理Azure VMware 解決方案系統管理認證。 - 平臺存取控制。 在Azure VMware 解決方案環境中定義使用者角色和許可權。 - 金鑰保存庫:建立金鑰保存庫實例、設定原則來保護保存庫、管理基礎結構和平臺密碼,以及管理加密和解密作業。 |
- 管理應用程式特定的認證和金鑰,例如用來存取 API、資料庫和秘密的認證和金鑰。 - 實作一般密碼輪替和認證到期原則,以防止未經授權的存取。 - 請確定應用程式認證會安全地儲存,而且不會硬式編碼在應用程式程式碼或組態檔中。 - 定義金鑰保存庫的存取原則,這些保存庫專屬於需要存取這些秘密的應用程式或服務。 |
下一步
使用評定工具來評估您的設計選擇。