Upravit

Spuštění farmy SharePoint Serveru 2016 s vysokou dostupností v Azure

Azure ExpressRoute
Azure Managed Disks
Azure Virtual Machines
Azure Virtual Network
Azure VPN Gateway

Tato referenční architektura demonstruje osvědčené postupy pro nasazení farmy SharePoint Serveru 2016 v Azure, a to pomocí topologie MinRole a skupin dostupnosti AlwaysOn SQL Serveru. Farma Služby SharePoint je nasazená v zabezpečené virtuální síti bez internetového koncového bodu nebo přítomnosti.

Architektura

Architecture diagram that shows a highly available SharePoint Server 2016 farm in Azure.

Stáhněte si soubor aplikace Visio s touto architekturou.

Tato architektura vychází z architektury uvedené v části [Spuštění virtuálních počítačů s Windows pro N-vrstvou aplikaci][windows-n-tier]. Nasadí farmu SharePoint Serveru 2016 s vysokou dostupností ve virtuální síti Azure. Tato architektura je vhodná pro testovací i produkční prostředí, jako hybridní infrastruktura služby SharePoint s využitím Microsoftu 365 nebo jako základ pro scénáře zotavení po havárii.

Komponenty

  • Skupiny prostředků jsou kontejnery, které obsahují související prostředky Azure. Jedna skupina prostředků se používá pro servery Služby SharePoint a druhá skupina prostředků se používá pro komponenty infrastruktury, které jsou nezávislé na virtuálních počítačích, jako jsou virtuální síť a nástroje pro vyrovnávání zatížení.

  • Azure Virtual Network je základním stavebním blokem privátních sítí v Azure. Virtuální počítače se nasazují ve virtuální síti s jedinečným intranetovým adresními prostory. Virtuální síť je dále rozdělena do podsítí.

  • Virtuální počítače jsou škálovatelné výpočetní prostředky na vyžádání, které jsou dostupné v Azure. Virtuální počítače se nasazují do virtuální sítě a privátní statické IP adresy se přiřazují ke všem virtuálním počítačům. Pro virtuální počítače se systémem SQL Server a SharePoint Server 2016 se doporučují statické IP adresy, abyste předešli problémům v případech, kdy se IP adresa uloží do mezipaměti a následně se změní po restartu.

  • Skupiny dostupnosti jsou logické seskupení virtuálních počítačů. Umístěte virtuální počítače pro každou roli SharePointu do samostatných skupin dostupnosti a pro každou roli zřiďte aspoň dva virtuální počítače. Díky této konfiguraci mají virtuální počítače nárok na vyšší smlouvu o úrovni služeb (SLA).

  • Azure Load Balancer distribuuje provoz požadavků SharePointu z místní sítě na front-endové webové servery farmy SharePointu. Toto řešení používá interní nástroj pro vyrovnávání zatížení. Alternativu pro provoz HTTP je možné použít Aplikace Azure Gateway.

  • Skupiny zabezpečení sítě filtrují provoz ve virtuální síti Azure. Pro každou podsíť obsahující virtuální počítače se vytvoří skupina zabezpečení sítě. Skupiny zabezpečení sítě slouží k omezení síťového provozu ve virtuální síti, aby bylo možné izolovat podsítě.

  • Azure ExpressRoute nebo vpn typu site-to-site, jako je Azure VPN Gateway , poskytuje připojení mezi vaší místní sítí a virtuální sítí Azure. Další informace najdete v článku věnovaném připojení místní sítě k Azure.

  • Řadiče domény služby Windows Server Active Directory (AD) ověřují uživatele v rámci domény. Řadiče domény v této referenční architektuře běží ve virtuální síti Azure a mají vztah důvěryhodnosti s místní doménovou strukturou Windows Server AD. Webové požadavky klientů na prostředky farmy služby SharePoint se ověřují ve virtuální síti, nikoli v odesílání ověřovacího provozu přes připojení brány k místní síti. Ve službě DNS jsou vytvořeny intranetové záznamy A nebo CNAME, aby uživatelé v intranetu mohli přeložit název farmy SharePoint na privátní IP adresu nástroje pro vyrovnávání zatížení.

    SharePoint Server 2016 také podporuje používání služby Microsoft Entra Domain Services. Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, abyste nemuseli nasazovat a spravovat řadiče domény v Azure.

  • Skupiny dostupnosti AlwaysOn SQL Serveru poskytují řešení s vysokou dostupností a zotavením po havárii. Doporučujeme je pro zajištění vysoké dostupnosti databáze SQL Serveru. Pro SQL Server se používají dva virtuální počítače. Jedna obsahuje primární repliku databáze a druhá obsahuje sekundární repliku.

  • Virtuální počítač uzlu většiny umožňuje clusteru s podporou převzetí služeb při selhání vytvořit kvorum. Další informace najdete v článku Principy konfigurací kvora v clusteru s podporou převzetí služeb při selhání.

  • SharePoint Server poskytuje platformu pro sdílený přístup. Servery SharePoint realizují role webového front-endu, ukládání do mezipaměti, aplikace a vyhledávání.

  • Jump box, který se také označuje jako hostitel bastionu, je zabezpečený virtuální počítač v síti, který správci používají pro připojení k ostatním virtuálním počítačům. Jump box obsahuje skupinu zabezpečení sítě, která umožňuje vzdálený provoz pouze z veřejných IP adres v seznamu bezpečných adres. Skupina zabezpečení sítě by měla povolit provoz vzdálené plochy (RDP).

Doporučení

Vaše požadavky se mohou od popsané architektury lišit. Použijte tato doporučení jako výchozí bod.

Doporučení pro skupinu prostředků

Doporučujeme rozdělit skupiny prostředků podle role serveru a mít samostatné skupiny prostředků pro součásti infrastruktury, které jsou globálními prostředky. V této architektuře tvoří prostředky serveru SharePoint jednu skupinu, zatímco SQL Server a další pomocné prostředky tvoří jinou skupinu.

Doporučení k virtuální síti a podsíti

Pro každou roli SharePointu použijte jednu podsíť a podsíť pro bránu a jednu pro jump box.

Podsíť brány musí mít název GatewaySubnet. Adresní prostor podsítě brány přiřaďte od poslední části adresního prostoru virtuální sítě. Další informace najdete v článku věnovaném připojení místní sítě k Azure pomocí VPN.

Doporučení pro virtuální počítače

Tato architektura vyžaduje minimálně 44 jader:

  • Osm sharepointových serverů na Standard_DS3_v2 (každý 4 jádra) = 32 jader
  • Dva řadiče domény služby Active Directory na Standard_DS1_v2 (každý z 1 jádra) = 2 jádra
  • Dva virtuální počítače s SQL Serverem na Standard_DS3_v2 = 8 jader
  • Jeden uzel většiny na Standard_DS1_v2 = 1 jádro
  • Jeden server pro správu na Standard_DS1_v2 = 1 jádro

U všech sharepointových rolí s výjimkou indexeru pro vyhledávání doporučujeme použít velikost virtuálního počítače Standard_DS3_v2. Indexer pro vyhledávání by měl mít velikost alespoň Standard_DS13_v2. Další informace najdete v článku věnovaném hardwarovým a softwarovým požadavkům pro SharePoint Server 2016. Pro virtuální počítače s SQL Serverem doporučujeme minimálně 4 jádra a 8 GB paměti RAM. Další informace najdete v článku Plánování a konfigurace kapacity úložiště a systému SQL Server (SharePoint Server).

Doporučení skupin zabezpečení sítě

Pokud chcete povolit izolaci podsítě, doporučujeme mít pro každou podsíť obsahující virtuální počítače jednu skupinu zabezpečení sítě. Pokud chcete nakonfigurovat izolaci podsítě, přidejte pravidla skupiny zabezpečení sítě, která definují povolený nebo zakázaný příchozí nebo odchozí provoz pro každou podsíť. Další informace viz Filtrování provozu sítě s použitím skupin zabezpečení sít.

Nepřiřazujte skupinu zabezpečení sítě k podsíti brány nebo brána přestane fungovat.

Doporučení pro úložiště

Konfigurace úložiště virtuálních počítačů ve farmě by měla dodržovat příslušné osvědčené postupy pro místní nasazení. Servery SharePoint by měly mít samostatný disk pro protokoly. Servery SharePoint hostující roli indexu vyhledávání vyžadují další místo na disku pro uložení indexu vyhledávání. Pro SQL Server je oddělování dat a protokolů standardní praxí. Přidejte další disky pro úložiště zálohování databáze a použijte samostatný disk pro databázi tempdb.

Pro zajištění nejlepší spolehlivosti doporučujeme používat Spravované disky Azure. Spravované disky zajišťují, že disky pro virtuální počítače v rámci skupiny dostupnosti jsou izolované a netvoří tak kritický prvek způsobující selhání.

Používejte spravované disky Premium pro všechny virtuální počítače hostující SharePoint a SQL Server. Spravované disky Standard pak můžete použít pro server uzlu majority, řadiče domény a server pro správu.

Doporučení pro SharePoint Server

Před konfigurací farmy služby SharePoint se ujistěte, že máte jeden účet služby Windows Server Active Directory na každou službu. Pro tuto architekturu potřebujete minimálně následující účty na úrovni domény, abyste mohli izolovat oprávnění pro každou roli:

  • Účet služby SQL Server
  • Účet instalačního uživatele
  • Účet serverové farmy
  • Účet služby vyhledávání
  • Účet přístupu k obsahu
  • Účty fondu Web App
  • Účty fondu Service App
  • Účet superuživatele mezipaměti
  • Účet superčtenáře mezipaměti

Abyste splnili požadavky podpory na propustnost disku alespoň 200 MB/s, nezapomeňte naplánovat architekturu vyhledávání. Viz plánování podnikové architektury vyhledávání v produktu SharePoint Server 2013. Postupujte také podle pokynů v doporučených postupech pro procházení na SharePoint Serveru 2016.

Kromě toho uložte data součásti vyhledávání na samostatný svazek nebo oddíl úložiště s vysokým výkonem. Pro omezení zatížení a zlepšení propustnosti nakonfigurujte uživatelské účty mezipaměti objektů, které se budou v této architektuře využívat. Oddělte soubory operačního systému Windows Server, programové soubory SharePoint Serveru 2016 a diagnostické protokoly na tři různé svazky nebo oddíly s běžným výkonem.

Další informace o těchto doporučeních najdete v článku Úvodní nasazení – účty pro správu a servisní účty v SharePoint Serveru 2016.

Hybridní úlohy

Tato referenční architektura nasadí farmu SharePoint Serveru 2016, kterou je možné použít jako hybridní prostředí SharePointu – to znamená rozšíření SharePoint Serveru 2016 na SharePoint Online. Pokud máte Office Online Server, přečtěte si téma věnované možnostem podpory Office Web Apps a Office Online Serveru v Azure.

Výchozí aplikace služeb v tomto řešení jsou navržené tak, aby podporovaly hybridní úlohy. Všechny hybridní úlohy SharePoint Serveru 2016 a Microsoftu 365 je možné nasadit do této farmy beze změn infrastruktury SharePointu, s jednou výjimkou: Aplikace cloudové hybridní vyhledávací služby nesmí být nasazená na servery, které hostují existující topologii vyhledávání. Pro podporu tohoto hybridního scénáře je třeba do farmy přidat jeden nebo více virtuálních počítačů s rolí vyhledávání.

Skupiny dostupnosti AlwaysOn pro SQL Server

Tato architektura používá virtuální počítače s SQL Serverem, protože SharePoint Server 2016 nemůže používat Azure SQL Database. Pro podporu vysoké dostupnosti systému SQL Server doporučujeme použít skupiny dostupnosti AlwaysOn, které společně převezmou služby při selhání a díky tomu zvyšují dostupnost a obnovitelnost. Další informace viz Vytvoření skupiny dostupnosti a přidání sharepointových databází.

Doporučujeme také přidat IP adresu naslouchacího procesu do clusteru, což je privátní IP adresa interního nástroje pro vyrovnávání zatížení pro virtuální počítače s SQL Serverem.

Doporučené velikosti virtuálních počítačů a další doporučení související s výkonem pro SQL Server spouštěný v Azure najdete v článku zaměřeném na osvědčené postupy z hlediska výkonu pro SQL Server v Azure Virtual Machines. Postupujte také podle doporučení v části věnované osvědčeným postupům pro SQL Server ve farmě serverů SharePoint Serveru 2016.

Doporučujeme, aby se server většiny uzlů nachází na samostatném počítači od partnerů replikace. Server umožňuje, aby partnerský server sekundární replikace v relaci s vysokou bezpečností rozpoznal, že má zahájit automatické převzetí služeb při selhání. Na rozdíl od obou partnerů server uzlu majority neposkytuje databázi, ale podporuje místo toho automatické převzetí služby při selhání.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Škálovatelnost

Pokud chcete vertikálně navýšit kapacitu stávajících serverů, změňte velikost virtuálního počítače.

Pomocí funkce MinRoles v SharePoint Serveru 2016 můžete škálovat servery na základě jejich rolí na více instancí a také servery z rolí odebírat. Když přidáte server do role, můžete zvolit kteroukoli z jednotlivých rolí nebo jednu z kombinovaných rolí. Když ale přidáte servery do role vyhledávání, musíte také překonfigurovat topologii vyhledávání pomocí PowerShellu. Role můžete také převádět pomocí funkce MinRoles. Další informace najdete v článku věnovaném správě serverové farmy s funkcí MinRole v SharePoint Serveru 2016.

SharePoint Server 2016 nepodporuje použití škálovacích sad virtuálních počítačů pro automatické škálování.

Dostupnost

Tato referenční architektura podporuje vysokou dostupnost v rámci oblasti Azure, protože každá role má alespoň dva virtuální počítače nasazené ve skupině dostupnosti.

Pro ochranu proti selhání v oblasti vytvořte oddělenou farmu pro obnovení po havárii v jiné oblasti Azure. Požadavky na konfiguraci jsou dány vašimi požadavky na cíle plánované doby obnovení (RTO) a plánované body obnovení (RPO). Podrobnosti najdete v článku Volba strategie zotavení po havárii pro SharePoint 2016. Sekundární oblast by měla být spárovaná s primární oblastí. V případě rozsáhlého výpadku je v každém páru prioritizováno obnovení jedné oblasti. Další informace viz Provozní kontinuita a zotavení po havárii (BCDR): Spárované oblasti Azure.

Možnosti správy

Při provozování a udržování serverů, serverových farem a webů dodržujte doporučené postupy pro službu SharePoint. Další informace najdete v tématu věnovaném provozování SharePoint Serveru 2016.

Úlohy, které je třeba zvážit při správě systému SQL Server v prostředí SharePoint se můžou lišit od těch, které jsou obvykle zvažovány pro databázové aplikace. Doporučeným postupem je vytváření týdenních úplných záloh a inkrementálních nočních záloh všech SQL databází. Protokoly transakcí zálohujte každých 15 minut. Dalším doporučeným postupem je implementace úlohy údržby systému SQL Server v databázích a současné vypnutí úloh předdefinovaných v SharePointu. Další informace najdete v článku Plánování a konfigurace kapacity úložiště a systému SQL Server .

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Účty služby na úrovni domény používané ke spuštění SharePoint Serveru 2016 vyžadují řadiče domény Windows Server AD nebo Microsoft Entra Domain Services pro procesy připojení k doméně a ověřování. K rozšíření infrastruktury identit systému Windows Server AD, která už je v intranetu implementovaná, ale tato architektura používá dva virtuální počítače jako řadiče domény repliky Windows Server AD pro existující místní doménovou strukturu Windows Server AD.

Kromě toho je vždy vhodné naplánovat posílení zabezpečení. Mezi další doporučení patří:

  • Přidejte do skupin zabezpečení sítě pravidla pro izolaci podsítí a rolí.
  • Nepřiřazování veřejných IP adres virtuálním počítačům.
  • Pro detekci narušení a analýzu datové části zvažte použití virtuálního síťového zařízení před front-end webovými servery namísto vnitřního nástroje pro vyrovnávání zatížení Azure.
  • Volitelně můžete použít zásady IPsec pro šifrování otevřeného textu při přenosech mezi servery. Pokud také provádíte izolaci podsítě, aktualizujte pravidla skupiny zabezpečení sítě tak, aby umožňovala provoz protokolu IPsec.
  • Nainstalujte na virtuální počítače agenty proti malwaru.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

K odhadu nákladů použijte cenovou kalkulačku Azure. Tady je několik faktorů pro optimalizaci nákladů na tuto architekturu.

Active Directory Domain Services

Pro snížení nákladů zvažte použití Active Directory Domain Services jako sdílené služby, kterou spotřebovává více úloh. Další informace najdete v tématu Doména služby Active Directory Services – ceny.

VPN Gateway

Fakturační model je založený na době, po kterou je brána zřízená a dostupná. Viz ceny služby VPN Gateway.

Veškerý příchozí provoz je zdarma. Veškerý příchozí provoz se účtuje. Pro odchozí provoz VPN se účtují náklady na šířku internetového pásma.

Virtual Network

Virtuální síť je zdarma. Každé předplatné může vytvořit až 50 virtuálních sítí napříč všemi oblastmi. Veškerý provoz pocházející z hranic virtuální sítě je zdarma. To znamená, že komunikace mezi dvěma virtuálními počítači v rámci stejné virtuální sítě je bezplatná.

Tato architektura vychází z architektury nasazené v [spuštění virtuálních počítačů s Windows pro N-vrstvou aplikaci][windows-n-tier].

Další informace najdete v části věnované nákladům v tématu Dobře navržená architektura Microsoft Azure.

DevOps

Zvažte použití samostatných skupin prostředků pro produkční, vývojová a testovací prostředí. Samostatné skupiny prostředků usnadňují správu nasazení, odstraňování testovacích nasazení a přiřazování přístupových práv. Prostředky se stejným životním cyklem umístěte do stejné skupiny prostředků. Pro vývojová a testovací prostředí použijte úroveň Developer. Pokud chcete minimalizovat náklady v předprodukční fázi, nasaďte repliku produkčního prostředí, spusťte testy a pak repliku vypněte.

K definování infrastruktury použijte šablony Azure Resource Manageru nebo šablony Azure Bicep. V obou případech postupujete podle postupu infrastruktury jako kódu (IaC) pro nasazení prostředků. Pokud chcete nasazení infrastruktury automatizovat, můžete využít Azure DevOps Services nebo jiná řešení CI/CD. Proces nasazení je také idempotentní, to znamená, že při jeho opakování vždy dochází ke stejným výsledkům. Azure Pipelines je součástí Azure DevOps Services a spouští automatizovaná sestavení, testy a nasazení.

Strukturujte šablony nasazení podle kritérií úloh, identifikujte jednotlivé jednotky práce a zahrňte je do vlastní šablony. V tomto scénáři se identifikuje a izoluje nejméně sedm úloh ve svých vlastních šablonách: virtuální síť Azure a brána VPN, jump box pro správu, řadiče domény AD a virtuální počítače s SQL Serverem, cluster s podporou převzetí služeb při selhání a skupinu dostupnosti a zbývající virtuální počítače, primární uzel SharePointu, mezipaměť Služby SharePoint a pravidla skupiny zabezpečení sítě. Izolace úloh usnadňuje přidružování prostředků specifických pro jednotlivé úlohy ke konkrétním týmům, které tak můžou nezávisle spravovat všechny aspekty těchto prostředků. Tato izolace umožňuje DevOps provádět kontinuální integraci a průběžné doručování (CI/CD). Tato konfigurace také umožňuje přípravu úloh, což znamená nasazení do různých fází a spouštění ověření v každé fázi předtím, než přejdete na další. Díky tomu můžete odesílat aktualizace do produkčních prostředí vysoce kontrolovaným způsobem a minimalizovat neočekávané problémy s nasazením.

Zvažte použití služby Azure Monitor k analýze a optimalizaci výkonu infrastruktury, monitorování a diagnostiky problémů se sítěmi bez přihlášení k virtuálním počítačům.

Další informace najdete v části DevOps v architektuře Azure Well-Architected Framework.

Další kroky

Další informace o jednotlivých částech architektury řešení najdete v následujících tématech: