Aspekty plánování integrace datacenter pro integrované systémy Azure Stack Hub

Pokud vás zajímá integrovaný systém Azure Stack Hub, měli byste rozumět hlavním aspektům plánování nasazení a tomu, jak systém zapadá do vašeho datacentra. Tento článek poskytuje obecný přehled těchto aspektů, který vám pomůže při rozhodování o důležité infrastruktuře pro integrované systémy Azure Stack Hub. Pochopení těchto aspektů vám pomůže při spolupráci s dodavatelem hardwaru OEM při nasazování služby Azure Stack Hub do vašeho datacentra.

Poznámka

Integrované systémy Azure Stack Hub je možné zakoupit pouze od autorizovaných dodavatelů hardwaru.

Pokud chcete nasadit Službu Azure Stack Hub, musíte poskytovateli řešení před zahájením nasazení poskytnout informace o plánování, aby proces probíhal rychle a hladce. Požadované informace se liší od sítí, informací o zabezpečení a identitách s mnoha důležitými rozhodnutími, která mohou vyžadovat znalosti z mnoha různých oblastí a osob s rozhodovací pravomocí. Budete potřebovat lidi z více týmů ve vaší organizaci, abyste měli před nasazením připravené všechny požadované informace. Může vám pomoct při shromažďování těchto informací promluvit s dodavatelem hardwaru, protože vám může poradit.

Při zkoumání a shromažďování požadovaných informací může být potřeba provést některé změny konfigurace před nasazením v síťovém prostředí. Tyto změny můžou zahrnovat rezervaci adresních prostorů IP adres pro řešení Azure Stack Hub a také konfiguraci směrovačů, přepínačů a bran firewall tak, aby se připravily na připojení k novým přepínačům řešení Azure Stack Hub. Ujistěte se, že máte odborníka na tuto problematiku, který vám pomůže s plánováním.

Důležité aspekty plánování kapacity

Při vyhodnocování pořízení řešení Azure Stack Hub provedete volby konfigurace hardwaru, které mají přímý dopad na celkovou kapacitu řešení Azure Stack Hub. Patří mezi ně klasické volby procesoru, hustoty paměti, konfigurace úložiště a celkového škálování řešení (například počtu serverů). Na rozdíl od tradičního řešení virtualizace neplatí jednoduchá aritmetika těchto komponent pro určení využitelné kapacity. Prvním důvodem je to, že služba Azure Stack Hub je navržená tak, aby hostovala infrastrukturu nebo komponenty pro správu v rámci samotného řešení. Druhým důvodem je to, že část kapacity řešení je vyhrazená pro podporu odolnosti tím, že aktualizuje software řešení způsobem, který minimalizuje přerušení úloh tenanta.

Tabulka plánovače kapacity služby Azure Stack Hub vám pomůže činit informovaná rozhodnutí při plánování kapacity dvěma způsoby. Prvním je výběr hardwarové nabídky a pokus o přizpůsobení kombinace prostředků. Druhým je definování úlohy, kterou má služba Azure Stack Hub spustit, aby zobrazila dostupné hardwarové skladové položky, které ji podporují. Tabulka je také určena jako vodítko, které vám pomůže při rozhodování v souvislosti s plánováním a konfigurací služby Azure Stack Hub.

Tabulka není určená k tomu, aby vám nahradila vlastní šetření a analýzu. Společnost Microsoft neposkytuje žádná prohlášení ani záruky, ať už výslovné nebo předpokládané, pokud jde o informace uvedené v tabulce.

Aspekty správy

Azure Stack Hub je zapečetěný systém, ve kterém je infrastruktura uzamčená z hlediska oprávnění i sítě. Seznamy řízení přístupu k síti (ACL) se používají k blokování veškerého neautorizovaného příchozího provozu a veškeré nepotřebné komunikace mezi komponentami infrastruktury. Tento systém ztěžuje neoprávněným uživatelům přístup k systému.

Pro každodenní správu a provoz neexistuje neomezený přístup správce k infrastruktuře. Operátoři služby Azure Stack Hub musí spravovat systém prostřednictvím portálu pro správu nebo azure Resource Manager (prostřednictvím PowerShellu nebo rozhraní REST API). K systému nemají přístup jiné nástroje pro správu, jako je Správce technologie Hyper-V nebo Správce clusteru s podporou převzetí služeb při selhání. Kvůli ochraně systému není možné instalovat software třetích stran (například agenty) uvnitř komponent infrastruktury služby Azure Stack Hub. Interoperabilita s externím softwarem pro správu a zabezpečení probíhá prostřednictvím PowerShellu nebo rozhraní REST API.

Kontaktujte podpora Microsoftu, pokud potřebujete vyšší úroveň přístupu pro řešení potíží, které se nevyřešují prostřednictvím postupu zprostředkování výstrah. Prostřednictvím podpory existuje metoda, která poskytuje dočasný úplný přístup správce k systému pro pokročilejší operace.

Důležité informace o identitách

Volba zprostředkovatele identity

Budete muset zvážit, kterého zprostředkovatele identity chcete použít k nasazení služby Azure Stack Hub, a to buď Microsoft Entra ID, nebo AD FS. Po nasazení nemůžete přepnout zprostředkovatele identity bez úplného opětovného nasazení systému. Pokud nevlastníte účet Microsoft Entra a používáte účet, který vám poskytl poskytovatel cloudových řešení, a pokud se rozhodnete přejít na jiného poskytovatele a použít jiný Microsoft Entra účet, budete muset kontaktovat svého poskytovatele řešení, aby řešení znovu nasadil za vás na vaše náklady.

Vaše volba zprostředkovatele identity nemá žádný vliv na virtuální počítače tenanta, systém identit, účty, které používají, ani to, jestli se můžou připojit k doméně Active Directory atd. Tyto věci jsou oddělené.

Můžete nasadit několik systémů Azure Stack Hub se stejným tenantem Microsoft Entra nebo službou Active Directory.

Integrace služby AD FS a Graphu

Pokud se rozhodnete nasadit službu Azure Stack Hub s použitím služby AD FS jako zprostředkovatele identity, musíte instanci služby AD FS ve službě Azure Stack Hub integrovat s existující instancí služby AD FS prostřednictvím vztahu důvěryhodnosti federace. Tato integrace umožňuje ověřování identit v existující doménové struktuře služby Active Directory s prostředky ve službě Azure Stack Hub.

Službu Graph ve službě Azure Stack Hub můžete také integrovat se stávající službou Active Directory. Tato integrace umožňuje spravovat Role-Based Access Control (RBAC) ve službě Azure Stack Hub. Když je přístup k prostředku delegovaný, komponenta Graph vyhledá uživatelský účet v existující doménové struktuře služby Active Directory pomocí protokolu LDAP.

Následující diagram znázorňuje integrovaný tok provozu služby AD FS a graphu.

Diagram znázorňující tok provozu služby AD FS a graphu

Model licencování

Musíte se rozhodnout, který model licencování chcete použít. Dostupné možnosti závisí na tom, jestli nasadíte službu Azure Stack Hub připojenou k internetu:

  • Pro připojené nasazení můžete zvolit buď licencování s průběžnými platbmi, nebo licencování na základě kapacity. Průběžné platby vyžadují připojení k Azure, aby bylo možné vykazovat využití, které se pak účtuje prostřednictvím služby Azure Commerce.
  • Pokud nasadíte odpojené od internetu, podporuje se pouze licencování na základě kapacity.

Další informace o licenčních modelech najdete v tématu Věnovaném balení a cenách služby Microsoft Azure Stack Hub.

Rozhodnutí o pojmenování

Budete se muset zamyslet nad tím, jak naplánovat obor názvů služby Azure Stack Hub, zejména název oblasti a název externí domény. Externí plně kvalifikovaný název domény (FQDN) vašeho nasazení služby Azure Stack Hub pro veřejné koncové body je kombinací těchto dvou názvů: <oblast>.<plně kvalifikovaný název domény>. Například east.cloud.fabrikam.com. V tomto příkladu by byly portály Služby Azure Stack Hub dostupné na následujících adresách URL:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Důležité

Název oblasti, který zvolíte pro nasazení služby Azure Stack Hub, musí být jedinečný a musí se zobrazovat na adresách portálu.

Následující tabulka shrnuje tato rozhodnutí o pojmenování domény.

Název Description
Název oblasti Název vaší první oblasti služby Azure Stack Hub. Tento název se používá jako součást plně kvalifikovaného názvu domény pro veřejné virtuální IP adresy spravované službou Azure Stack Hub. Název oblasti je obvykle identifikátor fyzického umístění, například umístění datacentra.

Název oblasti musí obsahovat pouze písmena a číslice od 0 do 9. Nejsou povoleny žádné speciální znaky (například -, #atd.).
Název externí domény Název zóny DNS (Domain Name System) pro koncové body s externími virtuálními IP adresami. Používá se v plně kvalifikovaném názvu domény pro tyto veřejné VIRTUÁLNÍ IP adresy.
Privátní (interní) název domény Název domény (a interní zóny DNS) vytvořené ve službě Azure Stack Hub pro správu infrastruktury.

Požadavky na certifikáty

Pro nasazení budete muset poskytnout certifikáty SSL (Secure Sockets Layer) pro veřejné koncové body. Na vysoké úrovni mají certifikáty následující požadavky:

  • Můžete použít jeden certifikát se zástupným znakem nebo sadu vyhrazených certifikátů a pak zástupné é adresou používat jenom pro koncové body, jako je úložiště a Key Vault.
  • Certifikáty může vydávat veřejná důvěryhodná certifikační autorita (CA) nebo zákazníkem spravovaná certifikační autorita.

Další informace o tom, jaké certifikáty PKI se vyžadují k nasazení služby Azure Stack Hub a jak je získat, najdete v tématu Požadavky na certifikáty infrastruktury veřejných klíčů služby Azure Stack Hub.

Důležité

Poskytnuté informace o certifikátu PKI by se měly používat jako obecné pokyny. Než získáte certifikáty PKI pro službu Azure Stack Hub, obraťte se na svého hardwarového partnera OEM. Poskytnou podrobnější pokyny a požadavky na certifikáty.

Čas synchronizace

Musíte zvolit konkrétní časový server, který se použije k synchronizaci služby Azure Stack Hub. Časová synchronizace je důležitá pro službu Azure Stack Hub a její role infrastruktury, protože se používá ke generování lístků protokolu Kerberos. Lístky protokolu Kerberos se používají k vzájemnému ověřování interních služeb.

Je nutné zadat IP adresu pro server synchronizace času. I když většina komponent v infrastruktuře dokáže přeložit adresu URL, některé podporují jenom IP adresy. Pokud používáte možnost odpojeného nasazení, musíte ve své podnikové síti zadat časový server, ke kterému se určitě dostanete ze sítě infrastruktury ve službě Azure Stack Hub.

Důležité

Pokud váš časový server není server NTP se systémem Windows, musíte připojit ,0x8 konec IP adresy. Například, 10.1.1.123,0x8.

Připojení služby Azure Stack Hub k Azure

V případě hybridních cloudových scénářů budete muset naplánovat, jak chcete službu Azure Stack Hub připojit k Azure. Existují dvě podporované metody připojení virtuálních sítí ve službě Azure Stack Hub k virtuálním sítím v Azure:

  • Site-to-Site: Připojení k virtuální privátní síti (VPN) přes protokol IPsec (IKE v1 a IKE v2). Tento typ připojení vyžaduje zařízení VPN nebo službu Směrování a vzdálený přístup (RRAS). Další informace o branách VPN v Azure najdete v tématu Informace o VPN Gateway. Komunikace přes tento tunel je šifrovaná a zabezpečená. Šířka pásma je ale omezená maximální propustností tunelu (100–200 Mb/s).

  • Odchozí překlad adres (NAT): Ve výchozím nastavení budou všechny virtuální počítače ve službě Azure Stack Hub připojeny k externím sítím prostřednictvím odchozího překladu adres (NAT). Každá virtuální síť vytvořená ve službě Azure Stack Hub získá přiřazenou veřejnou IP adresu. Bez ohledu na to, jestli má virtuální počítač přímo přiřazenou veřejnou IP adresu, nebo se nachází za nástrojem pro vyrovnávání zatížení s veřejnou IP adresou, bude mít odchozí přístup přes odchozí překlad adres (NAT) s použitím virtuální IP adresy virtuální sítě. Tato metoda funguje jenom pro komunikaci, která je iniciovaná virtuálním počítačem a určená pro externí sítě (internet nebo intranet). Nedá se použít ke komunikaci s virtuálním počítačem zvenčí.

Možnosti hybridního připojení

U hybridního připojení je důležité zvážit, jaký druh nasazení chcete nabídnout a kam se nasadí. Budete muset zvážit, jestli potřebujete izolovat síťový provoz pro jednotlivé tenanty a jestli budete mít intranetové nebo internetové nasazení.

  • Azure Stack Hub s jedním tenantem: Nasazení služby Azure Stack Hub, které vypadá, alespoň z hlediska sítě, jako by šlo o jednoho tenanta. Může existovat mnoho předplatných tenantů, ale stejně jako každá intranetová služba i veškerý provoz prochází přes stejné sítě. Síťový provoz z jednoho předplatného prochází přes stejné síťové připojení jako jiné předplatné a není nutné ho izolovat prostřednictvím šifrovaného tunelu.

  • Azure Stack Hub s více tenanty: Nasazení služby Azure Stack Hub, kde provoz každého předplatného tenanta, který je vázán na sítě, které jsou pro službu Azure Stack Hub externí, musí být izolovaný od síťového provozu ostatních tenantů.

  • Nasazení intranetu: Nasazení služby Azure Stack Hub, které se nachází v podnikovém intranetu, obvykle v adresní oblasti privátních IP adres a za jednou nebo více branami firewall. Veřejné IP adresy nejsou ve skutečnosti veřejné, protože je nelze směrovat přímo přes veřejný internet.

  • Internetové nasazení: Nasazení služby Azure Stack Hub, které je připojené k veřejnému internetu a používá veřejné IP adresy směrovatelné na internet pro rozsah veřejných virtuálních IP adres. Nasazení může být stále za bránou firewall, ale rozsah veřejných virtuálních IP adres je přímo dostupný z veřejného internetu a Azure.

Následující tabulka shrnuje scénáře hybridního připojení s klady, zápory a případy použití.

Scenario Metoda připojení Výhody Nevýhody Dobré pro
Azure Stack Hub s jedním tenantem, intranetové nasazení Odchozí překlad adres (NAT) Lepší šířka pásma pro rychlejší přenosy. Jednoduchá implementace; nejsou vyžadovány žádné brány. Provoz není šifrovaný; bez izolace nebo šifrování mimo zásobník. Podniková nasazení, ve kterých jsou všichni tenanti stejně důvěryhodní.

Podniky, které mají okruh Azure ExpressRoute do Azure.
Azure Stack Hub s více tenanty, nasazení intranetu Site-to-site VPN Provoz z virtuální sítě tenanta do cíle je zabezpečený. Šířka pásma je omezená tunelem VPN typu site-to-site.

Vyžaduje bránu ve virtuální síti a zařízení VPN v cílové síti.
Podniková nasazení, kde některé přenosy tenantů musí být zabezpečené z jiných tenantů.
Azure Stack Hub s jedním tenantem, internetové nasazení Odchozí překlad adres (NAT) Lepší šířka pásma pro rychlejší přenosy. Provoz není šifrovaný; bez izolace nebo šifrování mimo zásobník. Scénáře hostování, kdy tenant získá vlastní nasazení služby Azure Stack Hub a vyhrazený okruh pro prostředí služby Azure Stack Hub. Například ExpressRoute a MPLS (Multiprotocol Label Switching).
Azure Stack Hub s více tenanty, internetové nasazení Site-to-site VPN Provoz z virtuální sítě tenanta do cíle je zabezpečený. Šířka pásma je omezená tunelem VPN typu site-to-site.

Vyžaduje bránu ve virtuální síti a zařízení VPN v cílové síti.
Scénáře hostování, kdy poskytovatel chce nabídnout cloud s více tenanty, kde si tenanti navzájem nedůvěřují a provoz musí být šifrovaný.

Použití ExpressRoute

Službu Azure Stack Hub můžete připojit k Azure přes ExpressRoute pro intranetové scénáře s jedním i více tenanty. Budete potřebovat zřízený okruh ExpressRoute prostřednictvím poskytovatele připojení.

Následující diagram znázorňuje ExpressRoute pro scénář s jedním tenantem (kde připojení zákazníka je okruh ExpressRoute).

Diagram znázorňující scénář ExpressRoute pro jednoho tenanta

Následující diagram znázorňuje ExpressRoute pro scénář s více tenanty.

Diagram znázorňující scénář ExpressRoute s více tenanty

Externí monitorování

Pokud chcete získat jednotné zobrazení všech upozornění ze zařízení a nasazení služby Azure Stack Hub a integrovat upozornění do stávajících pracovních postupů správy it služeb pro vytváření lístků, můžete integrovat službu Azure Stack Hub s externími řešeními pro monitorování datacenter.

Hostitel životního cyklu hardwaru, který je součástí řešení Azure Stack Hub, je počítač mimo službu Azure Stack Hub, na kterém běží nástroje pro správu hardwaru dodané výrobcem OEM. Můžete použít tyto nástroje nebo jiná řešení, která se přímo integrují se stávajícími řešeními monitorování ve vašem datacentru.

Následující tabulka shrnuje seznam aktuálně dostupných možností.

Plošný Řešení externího monitorování
Software Azure Stack Hub Sada Management Pack služby Azure Stack Hub pro Operations Manager
Modul plug-in Nagios
Volání rozhraní API založeného na REST
Fyzické servery (řadiče pro správu základní desky přes IPMI) Hardware OEM – Sada Management Pack od dodavatele nástroje Operations Manager
Řešení poskytované dodavatelem hardwaru OEM
Moduly plug-in Nagios od dodavatele hardwaru.
Řešení pro monitorování podporované partnerem OEM (součástí je)
Síťová zařízení (SNMP) Zjišťování síťových zařízení nástroje Operations Manager
Řešení poskytované dodavatelem hardwaru OEM
Nagios switch plug-in
Monitorování stavu předplatného tenanta System Center Management Pack pro Windows Azure

Mějte na paměti následující požadavky:

  • Řešení, které používáte, musí být bez agentů. Agenty třetích stran nemůžete instalovat uvnitř komponent služby Azure Stack Hub.
  • Pokud chcete použít System Center Operations Manager, Vyžaduje se Operations Manager 2012 R2 nebo Operations Manager 2016.

Zálohování a zotavení po havárii

Plánování zálohování a zotavení po havárii zahrnuje plánování základní infrastruktury služby Azure Stack Hub, která hostuje virtuální počítače IaaS a služby PaaS, a také pro aplikace a data tenanta. Naplánujte si tyto věci samostatně.

Ochrana komponent infrastruktury

Komponenty infrastruktury služby Azure Stack Hub můžete zálohovat do sdílené složky SMB, kterou zadáte:

  • Budete potřebovat externí sdílenou složku SMB na existujícím souborovém serveru se systémem Windows nebo na zařízení třetí strany.
  • Stejnou sdílenou složku použijte pro zálohování síťových přepínačů a hostitele životního cyklu hardwaru. S pokyny pro zálohování a obnovení těchto komponent vám pomůže dodavatel hardwaru OEM, protože jsou externí pro Azure Stack Hub. Zodpovídáte za spouštění pracovních postupů zálohování na základě doporučení dodavatele OEM.

Pokud dojde ke katastrofické ztrátě dat, můžete pomocí zálohování infrastruktury znovu nashromátit data nasazení, například:

  • Vstupy a identifikátory nasazení
  • Service Accounts
  • Kořenový certifikát certifikační autority
  • Federované prostředky (v odpojených nasazeních)
  • Plány, nabídky, předplatná a kvóty
  • Zásady RBAC a přiřazení rolí
  • Key Vault tajných kódů

Upozornění

Ve výchozím nastavení je razítko služby Azure Stack Hub nakonfigurované jenom s jedním účtem CloudAdmin. Pokud dojde ke ztrátě, ohrožení nebo uzamčení přihlašovacích údajů k účtu, nejsou k dispozici žádné možnosti obnovení. Ztratíte přístup k privilegovanému koncovému bodu a dalším prostředkům.

Důrazně doporučujemevytvořit další účty CloudAdmin, abyste se vyhnuli opětovnému nasazení kolku na vlastní náklady. Nezapomeňte tyto přihlašovací údaje zdokumentovat na základě pokynů vaší společnosti.

Ochrana aplikací tenanta na virtuálních počítačích IaaS

Azure Stack Hub nezálohuje aplikace a data tenanta. Musíte naplánovat ochranu před zálohováním a zotavením po havárii pro cíl externí pro Službu Azure Stack Hub. Ochrana tenanta je aktivita řízená tenantem. U virtuálních počítačů IaaS můžou tenanti používat technologie in-host k ochraně složek souborů, dat aplikací a stavu systému. Jako podnik nebo poskytovatel služeb ale můžete chtít nabídnout řešení zálohování a obnovení ve stejném datacentru nebo externě v cloudu.

Pokud chcete zálohovat virtuální počítače s Linuxem nebo Windows IaaS, musíte k ochraně souborů, složek, stavu operačního systému a dat aplikací použít produkty zálohování s přístupem k hostovanému operačnímu systému. Můžete použít Azure Backup, System Center Datacenter Protection Manager nebo podporované produkty třetích stran.

Pokud chcete replikovat data do sekundárního umístění a orchestrovat převzetí služeb při selhání aplikace v případě havárie, můžete použít Azure Site Recovery nebo podporované produkty třetích stran. Aplikace, které podporují nativní replikaci, jako je Microsoft SQL Server, můžou také replikovat data do jiného umístění, kde je aplikace spuštěná.

Další informace

  • Informace o případech použití, nákupech, partnerech a dodavatelích hardwaru OEM najdete na stránce produktu Azure Stack Hub .
  • Informace o plánu a geografické dostupnosti integrovaných systémů Služby Azure Stack Hub najdete v dokumentu white paper: Azure Stack Hub: Rozšíření Azure.

Další kroky

Modely připojení nasazení služby Azure Stack Hub