N-vrstvá aplikace s využitím SQL ServeruN-tier application with SQL Server

Tato referenční architektura ukazuje, jak nasadit virtuální počítače a virtuální síť nakonfigurovanou pro N-vrstvou aplikaci, používání SQL serveru na Windows pro datovou vrstvu.This reference architecture shows how to deploy VMs and a virtual network configured for an N-tier application, using SQL Server on Windows for the data tier. Nasaďte toto řešení.Deploy this solution.

00

Stáhněte si soubor aplikace Visio s touto architekturou.Download a Visio file of this architecture.

ArchitekturaArchitecture

Tato architektura se skládá z následujících komponent:The architecture has the following components:

  • Skupina prostředků:Resource group. Skupiny prostředků slouží k seskupení prostředků, aby bylo možné je spravovat podle doby životnosti, vlastníka a dalších kritérií.Resource groups are used to group resources so they can be managed by lifetime, owner, or other criteria.

  • Virtuální síť (VNet) a podsítě.Virtual network (VNet) and subnets. Každý virtuální počítač Azure je nasazený do virtuální sítě, kterou je možné segmentovat do několika podsítí.Every Azure VM is deployed into a VNet that can be segmented into multiple subnets. Vytvořte pro každou vrstvu samostatnou podsíť.Create a separate subnet for each tier.

  • Služba Application gateway.Application gateway. Azure Application Gateway je nástroj pro vyrovnávání zatížení vrstvy 7.Azure Application Gateway is a layer 7 load balancer. V této architektuře směruje žádosti HTTP do webového front-endu.In this architecture, it routes HTTP requests to the web front end. Služba Application Gateway poskytuje také firewallu webových aplikací (WAF), které chrání aplikace před běžným zneužitím a ohrožení zabezpečení.Application Gateway also provides a web application firewall (WAF) that protects the application from common exploits and vulnerabilities.

  • Skupiny zabezpečení sítě.NSGs. Pomocí skupin zabezpečení sítě je možné omezit síťový provoz v rámci virtuální sítě.Use network security groups (NSGs) to restrict network traffic within the VNet. Například ve výše zobrazené třívrstvé architektuře nepřijímá databázová vrstva provoz z webového front-endu, ale pouze z obchodní vrstvy a podsítě pro správu.For example, in the 3-tier architecture shown here, the database tier does not accept traffic from the web front end, only from the business tier and the management subnet.

  • Virtuální počítače.Virtual machines. Doporučení týkající se konfigurace virtuálních počítačů najdete v tématu spustit virtuální počítač s Windows v Azure a spuštění virtuálního počítače s Linuxem v Azure.For recommendations on configuring VMs, see Run a Windows VM on Azure and Run a Linux VM on Azure.

  • Skupiny dostupnosti.Availability sets. Vytvořte pro každou vrstvu skupinu dostupnosti a v každé vrstvě zřiďte alespoň dva virtuální počítače.Create an availability set for each tier, and provision at least two VMs in each tier. Virtuální počítače budou díky tomu vhodné pro vyšší smlouvu o úrovni služeb (SLA).This makes the VMs eligible for a higher service level agreement (SLA) for VMs.

  • Škálovací sada virtuálních počítačů (nezobrazení).VM scale set (not shown). A [škálovací sady virtuálních počítačů] vmss se o alternativu k použití skupinu dostupnosti.A VM scale set is an alternative to using an availability set. Škálovací sady je to snadné horizontální navýšení kapacity virtuálních počítačů ve vrstvě, buď ručně nebo automaticky na základě předdefinovaných pravidel.A scale sets makes it easy to scale out the VMs in a tier, either manually or automatically based on predefined rules.

  • Nástroje pro vyrovnávání zatížení.Load balancers. Použití [Azure Load Balancer] load-balancer k distribuování síťového provozu z webové vrstvy do obchodní vrstvy a obchodní vrstvy do systému SQL Server.Use Azure Load Balancer to distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • Veřejná IP adresa:Public IP address. Veřejná IP adresa je potřeba pro aplikace pro příjem přenosů z Internetu.A public IP address is needed for the application to receive Internet traffic.

  • Jumpbox.Jumpbox. Označuje se také jako bastion host (ochranná bašta).Also called a bastion host. Je to zabezpečený virtuální počítač v síti, který správci používají pro připojení k jiným virtuálním počítačům.A secure VM on the network that administrators use to connect to the other VMs. Jumpbox má skupinu NSG, která umožňuje vzdálenou komunikaci pouze z jedné veřejné IP adresy na seznamu bezpečných adres.The jumpbox has an NSG that allows remote traffic only from public IP addresses on a safe list. NSG musí povolit provoz vzdálené plochy (RDP).The NSG should permit remote desktop (RDP) traffic.

  • Skupina dostupnosti AlwaysOn systému SQL Server.SQL Server Always On Availability Group. Umožňuje replikaci a převzetí služeb při selhání, čímž poskytuje datové vrstvě vysokou dostupnost.Provides high availability at the data tier, by enabling replication and failover. Využívá technologie systému Windows Server Failover Cluster (WSFC) pro převzetí služeb při selhání.It uses Windows Server Failover Cluster (WSFC) technology for failover.

  • Servery služby Active Directory Domain Services (AD DS).Active Directory Domain Services (AD DS) Servers. Objekty počítače pro cluster převzetí služeb při selhání a přidružené Clusterové role se vytvoří ve službě Active Directory Domain Services (AD DS).The computer objects for the failover cluster and its associated clustered roles are created in Active Directory Domain Services (AD DS).

  • Cloud s kopií clusteru.Cloud Witness. Cluster převzetí služeb při selhání vyžaduje více než polovina jeho uzly ke spuštění, které se označuje jako s kvora.A failover cluster requires more than half of its nodes to be running, which is known as having quorum. Pokud cluster má jenom dva uzly, síťového oddílu může způsobit, že každému uzlu myslíte, že je hlavní uzel.If the cluster has just two nodes, a network partition could cause each node to think it's the master node. V takovém případě je nutné určující sdílené složky vazby a stanovit kvorum.In that case, you need a witness to break ties and establish quorum. Určujícího je prostředek, jako je sdílený disk, který může sloužit jako zkrácené stanovit kvorum.A witness is a resource such as a shared disk that can act as a tie breaker to establish quorum. Disk s kopií cloudu je typ určující sdílené složky, která využívá úložiště objektů Blob Azure.Cloud Witness is a type of witness that uses Azure Blob Storage. Další informace o konceptu kvora najdete v tématu kvora clusteru a fond Principy.To learn more about the concept of quorum, see Understanding cluster and pool quorum. Další informace o disk s kopií cloudu najdete v tématu nasazení cloudové kopie clusteru pro převzetí služeb při selhání clusteru.For more information about Cloud Witness, see Deploy a Cloud Witness for a Failover Cluster.

  • Azure DNS.Azure DNS. Azure DNS je hostitelská služba určená pro domény DNS a zajišťuje překlad názvů s využitím infrastruktury Microsoft Azure.Azure DNS is a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Pokud svoje domény hostujete v Azure, můžete spravovat svoje DNS záznamy pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure.By hosting your domains in Azure, you can manage your DNS records using the same credentials, APIs, tools, and billing as your other Azure services.

DoporučeníRecommendations

Vaše požadavky se mohou od popsané architektury lišit.Your requirements might differ from the architecture described here. Použijte tato doporučení jako výchozí bod.Use these recommendations as a starting point.

Virtuální sítě nebo podsítěVNet / Subnets

Když vytváříte virtuální síť, určete si, kolik IP adres vaše prostředky v každé podsíti vyžadují.When you create the VNet, determine how many IP addresses your resources in each subnet require. Určete masku podsítě a dostatečně velký rozsah adres virtuální sítě pro požadované IP adresy používající notaci CIDR.Specify a subnet mask and a VNet address range large enough for the required IP addresses, using CIDR notation. Použijte adresní prostor, který spadá do standardních bloků privátních IP adres, kterými jsou 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16.Use an address space that falls within the standard private IP address blocks, which are 10.0.0.0/8, 172.16.0.0/12, and 192.168.0.0/16.

Zvolte si rozsah adres, který se nepřekrývá s vaší místní sítí, abyste si případně mohli později nastavit bránu mezi virtuální sítí a místní sítí.Choose an address range that does not overlap with your on-premises network, in case you need to set up a gateway between the VNet and your on-premise network later. Po vytvoření virtuální sítě už rozsah adres změnit nelze.Once you create the VNet, you can't change the address range.

Při navrhování podsítí myslete na požadované funkce a požadavky na zabezpečení.Design subnets with functionality and security requirements in mind. Všechny virtuální počítače ve stejné vrstvě nebo roli by měly patřit do stejné podsítě, která může být hranicí zabezpečení.All VMs within the same tier or role should go into the same subnet, which can be a security boundary. Další informace o navrhování virtuálních sítí a podsítí najdete v tématu o plánování a návrhu virtuálních sítí Azure.For more information about designing VNets and subnets, see Plan and design Azure Virtual Networks.

Nástroje pro vyrovnávání zatíženíLoad balancers

Nevystavujte virtuální počítače přímo internetu a místo toho dejte každému virtuálnímu počítači privátní IP adresu.Do not expose the VMs directly to the Internet, but instead give each VM a private IP address. Klienti se připojují pomocí veřejné IP adresy přidružené k Application Gateway.Clients connect using the public IP address associated with the Application Gateway.

Definujte pravidla nástroje pro vyrovnávání zatížení, aby síťový provoz směroval na virtuální počítače.Define load balancer rules to direct network traffic to the VMs. Pokud chcete například povolit provoz protokolu HTTP, vytvořte pravidlo, které mapuje port 80 z front-endové konfigurace k portu 80 v back-endovém fondu adres.For example, to enable HTTP traffic, create a rule that maps port 80 from the front-end configuration to port 80 on the back-end address pool. Když klient odešle žádost HTTP na port 80, nástroj pro vyrovnávání zatížení vybere back-endovou IP adresu použitím algoritmu hash, který obsahuje zdrojovou IP adresu.When a client sends an HTTP request to port 80, the load balancer selects a back-end IP address by using a hashing algorithm that includes the source IP address. Tímto způsobem se distribuují požadavky klienta napříč všemi virtuálními počítači.In that way, client requests are distributed across all the VMs.

Skupiny zabezpečení sítěNetwork security groups

Použijte pravidla skupiny zabezpečení sítě, abyste omezili provoz mezi vrstvami.Use NSG rules to restrict traffic between tiers. Ve třívrstvé architektuře zobrazené výše například webová vrstva nekomunikuje přímo s datovou vrstvou.For example, in the 3-tier architecture shown above, the web tier does not communicate directly with the database tier. Pokud to chcete vynutit, databázová vrstva by měla blokovat příchozí provoz z podsítě webové vrstvy.To enforce this, the database tier should block incoming traffic from the web tier subnet.

  1. Odepřít veškerý příchozí provoz z virtuální sítě.Deny all inbound traffic from the VNet. (V pravidle použijte značku VIRTUAL_NETWORK.)(Use the VIRTUAL_NETWORK tag in the rule.)
  2. Povolí příchozí provoz z podsítě obchodní vrstvy.Allow inbound traffic from the business tier subnet.
  3. Povolí příchozí provoz ze samotné podsítě databázové vrstvy.Allow inbound traffic from the database tier subnet itself. Toto pravidlo umožňuje komunikaci mezi databází virtuálních počítačů, která je potřebná pro replikaci databáze a převzetí služeb při selhání.This rule allows communication between the database VMs, which is needed for database replication and failover.
  4. Povolte provoz protokolu RDP (portu 3389) z podsítě jumpbox.Allow RDP traffic (port 3389) from the jumpbox subnet. Toto pravidlo umožňuje správcům připojit se z jumpboxu k databázové vrstvě.This rule lets administrators connect to the database tier from the jumpbox.

Vytvoření pravidla 2 – 4 s vyšší prioritou než první pravidlo, takže mohou přepsat.Create rules 2 – 4 with higher priority than the first rule, so they override it.

Další informace o skupinách dostupnosti AlwaysOn pro SQL ServerSQL Server Always On Availability Groups

Pro vysoce dostupný SQL Server vám doporučujeme použít skupiny dostupnosti AlwaysOn.We recommend Always On Availability Groups for SQL Server high availability. Skupiny dostupnosti AlwaysOn vyžadují před Windows Serverem 2016 řadič domény a všechny uzly ve skupině dostupnosti musí být ve stejné doméně AD.Prior to Windows Server 2016, Always On Availability Groups require a domain controller, and all nodes in the availability group must be in the same AD domain.

Další vrstvy se k databázi připojí prostřednictvím naslouchacího procesu skupiny dostupnosti.Other tiers connect to the database through an availability group listener. Naslouchací proces umožňuje klientovi SQL připojit se bez znalosti názvu fyzické instance SQL Serveru.The listener enables a SQL client to connect without knowing the name of the physical instance of SQL Server. Virtuální počítače, které přistupují k databázi, musí být připojené k doméně.VMs that access the database must be joined to the domain. Klient (v tomto případě jiná vrstva) používá DNS, aby přeložil název virtuální sítě naslouchacího procesu do IP adres.The client (in this case, another tier) uses DNS to resolve the listener's virtual network name into IP addresses.

Skupiny dostupnosti AlwaysOn pro SQL Server nakonfigurujte následovně:Configure the SQL Server Always On Availability Group as follows:

  1. Vytvořte cluster s podporou převzetí služeb při selhání Windows Serveru (WSFC), skupinu dostupnosti AlwaysOn pro SQL Server a primární repliku.Create a Windows Server Failover Clustering (WSFC) cluster, a SQL Server Always On Availability Group, and a primary replica. Další informace najdete v článku Začínáme se skupinami dostupnosti Always On.For more information, see Getting Started with Always On Availability Groups.

  2. Vytvořte interní nástroj pro vyrovnávání zatížení se statickou privátní IP adresou.Create an internal load balancer with a static private IP address.

  3. Vytvořte naslouchací proces skupiny dostupnosti a namapujte název DNS naslouchacího procesu na IP adresu interního nástroje pro vyrovnávání zatížení.Create an availability group listener, and map the listener's DNS name to the IP address of an internal load balancer.

  4. Pro port SQL Serveru pro naslouchání (ve výchozím nastavení je to port 1433 protokolu TCP) vytvořte pravidlo nástroje pro vyrovnávání zatížení.Create a load balancer rule for the SQL Server listening port (TCP port 1433 by default). Pravidlo nástroje pro vyrovnávání zatížení musí umožňovat plovoucí IP adresu (jinak známou jako přímou odpověď ze serveru).The load balancer rule must enable floating IP, also called Direct Server Return. Díky tomu bude virtuální počítač odpovídat přímo klientovi, což umožňuje přímé připojení k primární replice.This causes the VM to reply directly to the client, which enables a direct connection to the primary replica.

    Poznámka

    Když je plovoucí adresa povolená, front-endové číslo portu musí být stejné jako back-endové číslo portu v pravidle nástroje pro vyrovnávání zatížení.When floating IP is enabled, the front-end port number must be the same as the back-end port number in the load balancer rule.

Když se klient SQL pokusí připojit, nástroj pro vyrovnávání zatížení bude směrovat žádosti na připojení na primární repliku.When a SQL client tries to connect, the load balancer routes the connection request to the primary replica. Pokud dojde k převzetí služeb při selhání jinou replikou, nástroj pro vyrovnávání zatížení bude automaticky směrovat další požadavky na novou primární repliku.If there is a failover to another replica, the load balancer automatically routes subsequent requests to a new primary replica. Více informací získáte v tématu Konfigurace naslouchacího procesu ILB pro skupiny dostupnosti AlwaysOn systému SQL Server.For more information, see Configure an ILB listener for SQL Server Always On Availability Groups.

Během převzetí služeb při selhání jsou existující připojení klienta uzavřená.During a failover, existing client connections are closed. Po dokončení převzetí služeb při selhání se budou nová připojení směrovat na novou primární repliku.After the failover completes, new connections will be routed to the new primary replica.

Pokud vaše aplikace provádí výrazně více čtení než zápisů, můžete některé dotazy jen pročtení přesměrovat na sekundární repliku.If your application makes significantly more reads than writes, you can offload some of the read-only queries to a secondary replica. Podívejte se na článek o použití naslouchacího procesu pro připojení k sekundární replice, která je jen pro čtení (směrování jen pro čtení).See Using a Listener to Connect to a Read-Only Secondary Replica (Read-Only Routing).

Otestujte své nasazení vynucením ručního převzetí služeb při selhání skupiny dostupnosti.Test your deployment by forcing a manual failover of the availability group.

JumpboxJumpbox

Virtuálním počítačům, na kterých běží úlohy aplikace, neumožňujte z veřejného internetu přístup protokolu RDP.Do not allow RDP access from the public Internet to the VMs that run the application workload. Veškerý přístup protokolu RDP k těmto virtuálním počítačům musí projít přes jumpbox.Instead, all RDP access to these VMs must come through the jumpbox. Správce se přihlásí do jumpboxu a potom se z jumpboxu přihlásí k jinému virtuálnímu počítači.An administrator logs into the jumpbox, and then logs into the other VM from the jumpbox. Jumpbox provoz protokolu RDP z internetu umožňuje, ale pouze ze známých a bezpečných IP adres.The jumpbox allows RDP traffic from the Internet, but only from known, safe IP addresses.

Jumpbox má minimální požadavky na výkon, takže vyberte malou velikost virtuálního počítače.The jumpbox has minimal performance requirements, so select a small VM size. Vytvořte jumpboxu veřejná IP adresa.Create a public IP address for the jumpbox. Umístěte jumpbox do stejné virtuální sítě jako ostatní virtuální počítače, ale do oddělené podsítě pro správu.Place the jumpbox in the same VNet as the other VMs, but in a separate management subnet.

Pokud chcete jumpbox zabezpečit, přidejte pravidlo NSG, které povoluje připojení protokolu RDP pouze z bezpečné sady veřejných IP adres.To secure the jumpbox, add an NSG rule that allows RDP connections only from a safe set of public IP addresses. Nakonfigurujte skupiny zabezpečení sítě pro ostatní podsítě, aby přijímaly provoz protokolu RDP z podsítě pro správu.Configure the NSGs for the other subnets to allow RDP traffic from the management subnet.

Aspekty zabezpečeníScalability considerations

[Škálovací sady virtuálních počítačů] vmss dozvíte, jak nasadit a spravovat sadu identických virtuálních počítačů.VM scale sets help you to deploy and manage a set of identical VMs. Škálovací sady podporují automatické škálování na základě metrik výkonu.Scale sets support autoscaling based on performance metrics. S rostoucí zátěží virtuálních počítačů se do nástroje pro vyrovnávání zatížení automaticky přidávají virtuální počítače.As the load on the VMs increases, additional VMs are automatically added to the load balancer. Pokud potřebujete rychle horizontálně navýšit kapacitu virtuálních počítačů, zvažte škálovací sady nebo automatické škálování.Consider scale sets if you need to quickly scale out VMs, or need to autoscale.

Existují dva základní způsoby, jak virtuální počítače nasazené ve škálovací sadě nakonfigurovat:There are two basic ways to configure VMs deployed in a scale set:

  • Po zřízení virtuálního počítače ho nakonfigurujte pomocí rozšíření.Use extensions to configure the VM after it is provisioned. U tohoto přístupu je možné, že se nové instance virtuálních počítačů budou načítat déle než u virtuálních počítačů bez rozšíření.With this approach, new VM instances may take longer to start up than a VM with no extensions.

  • Nasaďte spravovaný disk s vlastní imagí disku.Deploy a managed disk with a custom disk image. Nasazení této možnosti může být rychlejší,This option may be quicker to deploy. ale vyžaduje, abyste image udržovali aktuální.However, it requires you to keep the image up to date.

Další informace najdete v tématu Aspekty návrhu škálovacích sad.For additional considerations, see Design considerations for scale sets.

Tip

Když používáte jakékoliv řešení automatického škálování, dostatečně předem ho otestujte zatížením na provozní úrovni.When using any autoscale solution, test it with production-level workloads well in advance.

Každé předplatné Azure má nastavená výchozí omezení, mezi která patří maximální počet virtuálních počítačů pro jednu oblast.Each Azure subscription has default limits in place, including a maximum number of VMs per region. Toto omezení můžete navýšit vyplněním žádosti o podporu.You can increase the limit by filing a support request. Další informace najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.For more information, see Azure subscription and service limits, quotas, and constraints.

Aspekty dostupnostiAvailability considerations

Pokud nepoužíváte škálovací sady virtuálních počítačů, umístěte do skupiny dostupnosti virtuálních počítačů v rámci stejné úrovně.If you are not using VM scale sets, put VMs in the same tier into an availability set. Ve skupině dostupnosti vytvořte alespoň dva virtuální počítače, aby podporovaly smlouvu SLA o dostupnosti pro virtuální počítače Azure.Create at least two VMs in the availability set to support the availability SLA for Azure VMs. Další informace najdete v tématu Správa dostupnosti virtuálních počítačů.For more information, see Manage the availability of virtual machines.

Nástroj pro vyrovnávání zatížení používá k monitorování dostupnosti instancí virtuálního počítače sondu stavu.The load balancer uses health probes to monitor the availability of VM instances. Pokud se sonda nedokáže k instanci během časového limitu připojit, nástroj pro vyrovnávání zatížení přestane tomuto virtuálnímu počítači odesílat provoz.If a probe cannot reach an instance within a timeout period, the load balancer stops sending traffic to that VM. Nástroj pro vyrovnávání zatížení ale bude nadále zjišťovat stav, a pokud se k virtuálnímu počítači opět připojí, začne tomuto virtuálnímu počítači opět odesílat provoz.However, the load balancer will continue to probe, and if the VM becomes available again, the load balancer resumes sending traffic to that VM.

Zde je několik doporučení pro sondy stavu nástroje pro vyrovnávání zatížení:Here are some recommendations on load balancer health probes:

  • Sondy mohou testovat buď protokol HTTP, nebo TCP.Probes can test either HTTP or TCP. Pokud vaše virtuální počítače spouští server HTTP, vytvořte sondu protokolu HTTP.If your VMs run an HTTP server, create an HTTP probe. V opačném případě vytvořte sondu protokolu TCP.Otherwise create a TCP probe.
  • U sondy protokolu HTTP zadejte cestu ke koncovému bodu HTTP.For an HTTP probe, specify the path to an HTTP endpoint. Tato sonda kontroluje odpověď HTTP 200 z této cesty.The probe checks for an HTTP 200 response from this path. Může to být kořenová cesta („/“) nebo koncový bod monitorování stavu, který implementuje nějakou vlastní logiku, aby zkontroloval stav aplikace.This can be the root path ("/"), or a health-monitoring endpoint that implements some custom logic to check the health of the application. Tento koncový bod musí umožňovat anonymní žádosti HTTP.The endpoint must allow anonymous HTTP requests.
  • Sonda se odesílá ze známé IP adresy – 168.63.129.16.The probe is sent from a known IP address, 168.63.129.16. Ujistěte se, že v zásadách brány firewall nebo pravidlech skupiny zabezpečení sítě neblokujete příchozí ani odchozí provoz této IP adresy.Make sure you don't block traffic to or from this IP address in any firewall policies or network security group (NSG) rules.
  • Pokud si chcete zobrazit stav sond stavu, použijte protokoly sond stavu.Use health probe logs to view the status of the health probes. Každému nástroji pro vyrovnávání zatížení povolte na portálu Azure Portal protokolování.Enable logging in the Azure portal for each load balancer. Protokoly se zapisují do úložiště objektů blob v Azure.Logs are written to Azure Blob storage. Tyto protokoly zobrazují, kolik virtuálních počítačů kvůli neúspěšným odpovědím sondy nepřijímá na back-endu síťový provoz.The logs show how many VMs on the back end are not receiving network traffic due to failed probe responses.

Pokud potřebujete vyšší dostupnost než [smlouva Azure SLA pro virtuální počítače] vm-sla poskytuje, zvažte replikaci aplikaci ve dvou oblastech, převzetí služeb při selhání pomocí Azure Traffic Manageru.If you need higher availability than the Azure SLA for VMs provides, consider replication the application across two regions, using Azure Traffic Manager for failover. Další informace najdete v tématu ve více oblastech. N-vrstvou aplikaci pro zajištění vysoké dostupnosti.For more information, see Multi-region N-tier application for high availability.

Aspekty zabezpečeníSecurity considerations

Virtuální sítě jsou hranicí izolace provozu v Azure.Virtual networks are a traffic isolation boundary in Azure. Virtuální počítače v jedné virtuální síti nemohou s virtuálními počítači v jiné virtuální síti komunikovat přímo.VMs in one VNet cannot communicate directly with VMs in a different VNet. Virtuální počítače ve stejné virtuální síti spolu komunikovat mohou, pokud nevytvoříte Skupiny zabezpečení sítě, abyste provoz omezili.VMs within the same VNet can communicate, unless you create network security groups (NSGs) to restrict traffic. Další informace získáte v tématu Zabezpečení sítí a cloudových služeb Microsoftu.For more information, see Microsoft cloud services and network security.

Zvažte přidání síťového virtuálního zařízení, abyste mezi internetem a virtuální sítí Azure vytvořili síť DMZ.Consider adding a network virtual appliance (NVA) to create a DMZ between the Internet and the Azure virtual network. Síťové virtuální zařízení je obecný termín pro virtuální zařízení, které provádí úlohy související se sítí, jako je brána firewall, kontrola paketu, auditování a vlastní směrování.NVA is a generic term for a virtual appliance that can perform network-related tasks, such as firewall, packet inspection, auditing, and custom routing. Více informací získáte v tématu Implementace DMZ mezi Azure a internetem.For more information, see Implementing a DMZ between Azure and the Internet.

Zašifruje důvěrná neaktivní uložená data a ke správě šifrovacích klíčů databáze použijte Azure Key Vault.Encrypt sensitive data at rest and use Azure Key Vault to manage the database encryption keys. Key Vault umí ukládat šifrovací klíče do modulů hardwarového zabezpečení (HSM).Key Vault can store encryption keys in hardware security modules (HSMs). Další informace najdete v tématu konfigurace integrace Azure Key pro SQL Server na virtuálních počítačích Azure trezor.For more information, see Configure Azure Key Vault Integration for SQL Server on Azure VMs. Také se doporučuje ukládat tajné kódy aplikace, jako jsou databázové připojovací řetězce, ve službě Key Vault.It's also recommended to store application secrets, such as database connection strings, in Key Vault.

Doporučujeme povolit před útoky DDoS Protection standardní, která poskytuje další zmírnění před útoky DDoS pro prostředky ve virtuální síti.We recommend enabling DDoS Protection Standard, which provides additional DDoS mitigation for resources in a VNet. Přestože základní ochranu před útoky DDoS je automaticky povolené v rámci platformy Azure, před útoky DDoS Protection Standard poskytuje funkce pro zmírnění útoků, které jsou vyladěný speciálně pro prostředky Azure Virtual Network.Although basic DDoS protection is automatically enabled as part of the Azure platform, DDoS Protection Standard provides mitigation capabilities that are tuned specifically to Azure Virtual Network resources.

Nasazení řešeníDeploy the solution

Nasazení pro tuto referenční architekturu je k dispozici na GitHubu.A deployment for this reference architecture is available on GitHub. Všimněte si, že celé nasazení může trvat až dvě hodiny, což zahrnuje spouštění skriptů ke konfiguraci služby AD DS, cluster převzetí služeb při selhání Windows serveru a skupiny dostupnosti systému SQL Server.Note that the entire deployment can take up to two hours, which includes running the scripts to configure AD DS, the Windows Server failover cluster, and the SQL Server availability group.

PožadavkyPrerequisites

  1. Klonování, rozvětvit nebo stáhněte soubor zip pro referenční architektury úložiště GitHub.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Nainstalujte Azure CLI 2.0.Install Azure CLI 2.0.

  3. Nainstalujte stavební bloky Azure balíčku npm.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Z příkazového řádku bash řádku nebo řádku Powershellu se přihlaste ke svému účtu Azure následujícím způsobem:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Nasazení řešeníDeploy the solution

  1. Spuštěním následujícího příkazu vytvořte skupinu prostředků.Run the following command to create a resource group.

    az group create --location <location> --name <resource-group-name>
    
  2. Spusťte následující příkaz k vytvoření účtu úložiště pro disk s kopií cloudu.Run the following command to create a Storage account for the Cloud Witness.

    az storage account create --location <location> \
      --name <storage-account-name> \
      --resource-group <resource-group-name> \
      --sku Standard_LRS
    
  3. Přejděte virtual-machines\n-tier-windows složky úložiště GitHub referenční architektury.Navigate to the virtual-machines\n-tier-windows folder of the reference architectures GitHub repository.

  4. Otevřete soubor n-tier-windows.json.Open the n-tier-windows.json file.

  5. Vyhledejte všechny výskyty "witnessStorageBlobEndPoint" a nahraďte zástupný text s názvem účtu z kroku 2.Search for all instances of "witnessStorageBlobEndPoint" and replace the placeholder text with the name of the Storage account from step 2.

    "witnessStorageBlobEndPoint": "https://[replace-with-storageaccountname].blob.core.windows.net",
    
  6. Spusťte následující příkaz k vypsání klíčů účtu pro účet úložiště.Run the following command to list the account keys for the storage account.

    az storage account keys list \
      --account-name <storage-account-name> \
      --resource-group <resource-group-name>
    

    Výstup by měl vypadat nějak takto.The output should look like the following. Zkopírujte hodnotu key1.Copy the value of key1.

    [
    {
        "keyName": "key1",
        "permissions": "Full",
        "value": "..."
    },
    {
        "keyName": "key2",
        "permissions": "Full",
        "value": "..."
    }
    ]
    
  7. V n-tier-windows.json souboru, vyhledávání pro všemi instancemi "witnessStorageAccountKey" a vložte klíč účtu.In the n-tier-windows.json file, search for all instances of "witnessStorageAccountKey" and paste in the account key.

    "witnessStorageAccountKey": "[replace-with-storagekey]"
    
  8. V n-tier-windows.json souboru, vyhledávání pro všemi instancemi [replace-with-password] a [replace-with-sql-password] nahraďte silné heslo.In the n-tier-windows.json file, search for all instances of [replace-with-password] and [replace-with-sql-password] replace them with a strong password. Uložte soubor.Save the file.

    Poznámka

    Pokud změníte uživatelské jméno správce, budete muset taky aktualizovat extensions bloky v souboru JSON.If you change the adminstrator user name, you must also update the extensions blocks in the JSON file.

  9. Spusťte následující příkaz, který tuto architekturu nasadit.Run the following command to deploy the architecture.

    azbb -s <your subscription_id> -g <resource_group_name> -l <location> -p n-tier-windows.json --deploy
    

Další informace o nasazení této ukázkové referenční architektury pomocí stavebních bloků Azure najdete na úložišti GitHub.For more information on deploying this sample reference architecture using Azure Building Blocks, visit the GitHub repository.