Megosztás a következőn keresztül:


Adatközpont-integrációtervezési szempontok az Azure Stack Hub integrált rendszereihez

Ha egy Integrált Azure Stack Hub-rendszer érdekli, ismernie kell az üzembe helyezéssel kapcsolatos főbb tervezési szempontokat, valamint azt, hogy a rendszer hogyan illeszkedik az adatközpontba. Ez a cikk magas szintű áttekintést nyújt ezekről a szempontokról, amelyekkel fontos infrastruktúra-döntéseket hozhat az Azure Stack Hub integrált rendszereihez. Ezeknek a szempontoknak a megértése segít az OEM hardvergyártóval való együttműködésben, miközben üzembe helyezik az Azure Stack Hubot az adatközpontban.

Megjegyzés

Az Azure Stack Hub integrált rendszerei csak hivatalos hardverszállítóktól vásárolhatók meg.

Az Azure Stack Hub üzembe helyezéséhez meg kell adnia a tervezési információkat a megoldásszolgáltatónak az üzembe helyezés megkezdése előtt, hogy a folyamat gyorsan és zökkenőmentesen haladjon. A szükséges információk köre a hálózatkezelés, a biztonság és az identitás információi között számos fontos döntéssel, amelyek számos különböző területről és döntéshozóktól származó ismereteket igényelhetnek. A szervezet több csapatának tagjaira lesz szüksége, hogy az üzembe helyezés előtt minden szükséges információ készen álljon. Segíthet a hardvergyártóval az információk gyűjtése során, mert hasznos tanácsokkal rendelkezhetnek.

A szükséges információk kutatása és összegyűjtése során előfordulhat, hogy az üzembe helyezés előtti konfigurációt módosítania kell a hálózati környezetben. Ezek a módosítások magukban foglalhatják az Azure Stack Hub-megoldás IP-címtereit, valamint az útválasztók, kapcsolók és tűzfalak konfigurálását, hogy felkészüljenek az új Azure Stack Hub-megoldáskapcsolókhoz való csatlakozásra. Győződjön meg arról, hogy a téma szakértője sorba van állítva, hogy segítsen a tervezésben.

Kapacitástervezési szempontok

Amikor kiértékel egy Azure Stack Hub-megoldást a beszerzéshez, olyan hardverkonfigurációs döntéseket hoz, amelyek közvetlen hatással vannak az Azure Stack Hub-megoldás teljes kapacitására. Ezek közé tartozik a processzor, a memóriasűrűség, a tárolókonfiguráció és a teljes megoldásméret (például a kiszolgálók száma) klasszikus választási lehetőségei. A hagyományos virtualizálási megoldásokkal ellentétben ezeknek az összetevőknek a használható kapacitás meghatározásához használt egyszerű aritmetika nem érvényes. Az első ok az, hogy az Azure Stack Hub úgy van kiépítve, hogy magában a megoldásban üzemeltetje az infrastruktúrát vagy a felügyeleti összetevőket. A második ok az, hogy a megoldás kapacitásának egy része a rugalmasság támogatására van fenntartva a megoldás szoftverének oly módon történő frissítésével, hogy minimalizálja a bérlői számítási feladatok megszakadását.

Az Azure Stack Hub kapacitástervező táblázatával kétféleképpen hozhat megalapozott döntéseket a kapacitástervezéshez. Az első egy hardverajánlat kiválasztása és az erőforrások kombinációjának megkísérlése. A második a számítási feladat meghatározása, amelyet az Azure Stack Hubnak futtatnia kell az azt támogató elérhető hardver-termékváltozatok megtekintéséhez. Végül a számolótábla útmutatóként szolgál az Azure Stack Hub tervezésével és konfigurálásához kapcsolódó döntések meghozatalában.

A számolótábla nem helyettesíti a saját vizsgálatát és elemzését. A Microsoft nem vállal kifejezett vagy vélelmezett szavatosságot a számolótáblában megadott információk tekintetében.

Felügyelettel kapcsolatos szempontok

Az Azure Stack Hub egy lezárt rendszer, ahol az infrastruktúra engedélyek és hálózati szempontból is zárolva van. A rendszer a hálózati hozzáférés-vezérlési listákat (ACL-eket) alkalmazza az összes jogosulatlan bejövő forgalom és az infrastruktúra-összetevők közötti szükségtelen kommunikáció blokkolására. Ez a rendszer megnehezíti a jogosulatlan felhasználók hozzáférését a rendszerhez.

A napi felügyelethez és műveletekhez nincs korlátlan rendszergazdai hozzáférés az infrastruktúrához. Az Azure Stack Hub operátorainak a rendszergazdai portálon vagy az Azure Resource Manager keresztül (a PowerShellen vagy a REST API-n keresztül) kell felügyelniük a rendszert. Más felügyeleti eszközök, például a Hyper-V Kezelő vagy a Feladatátvevőfürt-kezelő nem férnek hozzá a rendszerhez. A rendszer védelme érdekében a külső szoftverek (például ügynökök) nem telepíthetők az Azure Stack Hub-infrastruktúra összetevőin belül. A külső felügyeleti és biztonsági szoftverekkel való együttműködés a PowerShell vagy a REST API használatával történik.

Forduljon Microsoft ügyfélszolgálata, ha magasabb szintű hozzáférésre van szüksége a riasztásközvetítési lépések által nem megoldott problémák elhárításához. A támogatás révén van egy módszer, amely ideiglenes teljes rendszergazdai hozzáférést biztosít a rendszerhez a fejlettebb műveletekhez.

Identitással kapcsolatos szempontok

Identitásszolgáltató kiválasztása

Figyelembe kell vennie, hogy melyik identitásszolgáltatót szeretné használni az Azure Stack Hub üzembe helyezéséhez, Microsoft Entra azonosítót vagy AD FS-t. Az üzembe helyezés után nem válthat identitásszolgáltatókra teljes rendszer-újratelepítés nélkül. Ha nem rendelkezik a Microsoft Entra fiókkal, és a felhőszolgáltatója által biztosított fiókot használ, és úgy dönt, hogy szolgáltatót vált, és másik Microsoft Entra fiókot használ, akkor a megoldásszolgáltatóval kell felvennie a kapcsolatot, hogy az Ön költségére újra üzembe helyezze a megoldást.

Az identitásszolgáltató választása nem befolyásolja a bérlői virtuális gépeket (VM-eket), az identitásrendszert, az általuk használt fiókokat, illetve azt, hogy csatlakozhatnak-e Active Directory-tartományhoz stb. Ezek a dolgok külön vannak.

Több Azure Stack Hub-rendszert is üzembe helyezhet ugyanazzal a Microsoft Entra bérlővel vagy Active Directoryval.

Az AD FS és a Graph integrációja

Ha úgy dönt, hogy az Azure Stack Hubot az AD FS használatával helyezi üzembe identitásszolgáltatóként, összevonási megbízhatósági kapcsolaton keresztül integrálnia kell az Azure Stack Hubon található AD FS-példányt egy meglévő AD FS-példánysal. Ez az integráció lehetővé teszi egy meglévő Active Directory-erdőben lévő identitások hitelesítését az Azure Stack Hub erőforrásaival.

A Graph szolgáltatást az Azure Stack Hubban is integrálhatja a meglévő Active Directoryval. Ez az integráció lehetővé teszi Role-Based Access Control (RBAC) kezelését az Azure Stack Hubban. Ha egy erőforráshoz való hozzáférés delegálva van, a Graph-összetevő megkeresi a felhasználói fiókot a meglévő Active Directory-erdőben az LDAP protokoll használatával.

Az alábbi ábrán az integrált AD FS- és Graph-forgalom látható.

Az AD FS és a Graph forgalmát bemutató ábra

Licencelési modell

El kell döntenie, hogy melyik licencelési modellt szeretné használni. Az elérhető lehetőségek attól függenek, hogy az Internethez csatlakoztatott Azure Stack Hubot telepíti-e:

A licencelési modellekkel kapcsolatos további információkért lásd: Microsoft Azure Stack Hub csomagolása és díjszabása.

Elnevezési döntések

Meg kell gondolnia, hogyan szeretné megtervezni az Azure Stack Hub-névteret, különösen a régiónevet és a külső tartománynevet. Az Azure Stack Hub nyilvános végpontokhoz való üzembe helyezésének külső teljes tartományneve (FQDN) a következő két név kombinációja: <régió>.<fqdn>. Például east.cloud.fabrikam.com. Ebben a példában az Azure Stack Hub-portálok a következő URL-címeken érhetők el:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Fontos

Az Azure Stack Hub üzembe helyezéséhez választott régiónévnek egyedinek kell lennie, és meg kell jelennie a portál címeiben.

Az alábbi táblázat összefoglalja ezeket a tartományelnevezési döntéseket.

Név Leírás
Régió neve Az első Azure Stack Hub-régió neve. Ez a név az Azure Stack Hub által kezelt nyilvános virtuális IP-címek (VIP-k) teljes tartományneve részeként használatos. A régió neve általában egy fizikai helyazonosító, például egy adatközpont helye.

A régiónév csak 0 és 9 közötti betűkből és számokból állhat. Speciális karakterek (például -, #stb.) nem engedélyezettek.
Külső tartománynév A külső virtuális ip-címekkel rendelkező végpontok tartománynévrendszer-(DNS-) zónájának neve. Az FQDN-ben használatos ezekhez a nyilvános IP-címekhez.
Privát (belső) tartománynév Az Azure Stack Hubon az infrastruktúra-felügyelethez létrehozott tartomány (és belső DNS-zóna) neve.

Tanúsítványkövetelmények

Az üzembe helyezéshez meg kell adnia a Secure Sockets Layer (SSL) tanúsítványokat a nyilvános végpontokhoz. Magas szinten a tanúsítványokra a következő követelmények vonatkoznak:

  • Használhat egyetlen helyettesítő tanúsítványt, vagy használhat dedikált tanúsítványokat, majd helyettesítő karaktereket csak olyan végpontokhoz, mint a tárolás és a Key Vault.
  • A tanúsítványokat egy nyilvános megbízható hitelesítésszolgáltató (CA) vagy egy ügyfél által felügyelt hitelesítésszolgáltató állíthatja ki.

Az Azure Stack Hub üzembe helyezéséhez szükséges PKI-tanúsítványokról és azok beszerzéséről az Azure Stack Hub nyilvános kulcsú infrastruktúra tanúsítványkövetelményei című témakörben talál további információt.

Fontos

A megadott PKI-tanúsítványadatokat általános útmutatásként kell használni. Mielőtt PKI-tanúsítványokat szerez be az Azure Stack Hubhoz, működjön együtt az OEM hardverpartnerével. Részletesebb útmutatót és követelményeket biztosítanak a tanúsítványokhoz.

Időszinkronizálás

Ki kell választania egy adott időkiszolgálót, amely az Azure Stack Hub szinkronizálására szolgál. Az időszinkronizálás kritikus fontosságú az Azure Stack Hub és az infrastruktúra-szerepkörök szempontjából, mivel Kerberos-jegyek létrehozására szolgál. A Kerberos-jegyek a belső szolgáltatások egymással való hitelesítésére szolgálnak.

Meg kell adnia egy IP-címet az időszinkronizálási kiszolgálóhoz. Bár az infrastruktúra legtöbb összetevője fel tudja oldani az URL-címeket, egyes összetevők csak az IP-címeket támogatják. Ha a leválasztott üzembe helyezési lehetőséget használja, meg kell adnia egy időkiszolgálót a vállalati hálózaton, amelyet biztosan elérhet az Azure Stack Hub infrastruktúra-hálózatáról.

Fontos

Ha az időkiszolgáló nem Windows-alapú NTP-kiszolgáló, hozzá kell fűznie ,0x8 az IP-cím végét. Például: 10.1.1.123,0x8.

Az Azure Stack Hub csatlakoztatása az Azure-hoz

Hibrid felhős forgatókönyvek esetén meg kell terveznie, hogyan szeretné csatlakoztatni az Azure Stack Hubot az Azure-hoz. Az Azure Stack Hub virtuális hálózatai két támogatott módszerrel csatlakoztathatók az Azure-beli virtuális hálózatokhoz:

  • Helyek közötti: Virtuális magánhálózati (VPN-) kapcsolat IPsec (IKE v1 és IKE v2) használatával. Ehhez a kapcsolattípushoz VPN-eszköz vagy útválasztási és távelérési szolgáltatás (RRAS) szükséges. Az Azure-beli VPN-átjárókkal kapcsolatos további információkért lásd: A VPN Gateway ismertetése. Az alagúton keresztüli kommunikáció titkosított és biztonságos. A sávszélességet azonban korlátozza az alagút maximális átviteli sebessége (100–200 Mbps).

  • Kimenő NAT: Alapértelmezés szerint az Azure Stack Hub összes virtuális gépe külső hálózatokhoz fog kapcsolódni a kimenő NAT-on keresztül. Az Azure Stack Hubban létrehozott összes virtuális hálózathoz hozzá lesz rendelve egy nyilvános IP-cím. Függetlenül attól, hogy a virtuális gép közvetlenül nyilvános IP-címhez van-e hozzárendelve, vagy egy nyilvános IP-címmel rendelkező terheléselosztó mögött található, a virtuális hálózat VIRTUÁLIS IP-címével kimenő hozzáféréssel fog rendelkezni a kimenő NAT-on keresztül. Ez a módszer csak a virtuális gép által kezdeményezett és külső hálózatokra (internetes vagy intranetes) irányuló kommunikációra használható. Nem használható külső kommunikációra a virtuális géppel.

Hibrid kapcsolati lehetőségek

A hibrid kapcsolatok esetében fontos figyelembe venni, hogy milyen típusú üzembe helyezést szeretne kínálni, és hol szeretné üzembe helyezni. Meg kell fontolnia, hogy el kell-e különítenie a bérlőnkénti hálózati forgalmat, és hogy intranetes vagy internetes üzemelő példányt fog-e használni.

  • Egybérlős Azure Stack Hub: Olyan Azure Stack Hub-üzemelő példány, amely legalább hálózati szempontból úgy néz ki, mintha egy bérlőről lenne szó. Számos bérlői előfizetés lehet, de mint minden intranetes szolgáltatás, az összes forgalom ugyanazon a hálózaton halad át. Az egyik előfizetésből érkező hálózati forgalom ugyanazon a hálózati kapcsolaton halad át, mint egy másik előfizetés, és nem kell titkosított alagúton keresztül elkülöníteni.

  • Több-bérlős Azure Stack Hub: Olyan Azure Stack Hub-üzemelő példány, amelyben minden bérlői előfizetésnek az Azure Stack Hubon kívüli hálózatokhoz kötött forgalmát el kell különíteni más bérlők hálózati forgalmától.

  • Intranetes üzembe helyezés: Vállalati intraneten, általában magánhálózati IP-címtéren és egy vagy több tűzfal mögött található Azure Stack Hub-telepítés. A nyilvános IP-címek nem igazán nyilvánosak, mert nem irányíthatók közvetlenül a nyilvános interneten keresztül.

  • Internetes üzembe helyezés: A nyilvános internethez csatlakoztatott Azure Stack Hub-üzemelő példány internetre irányítható nyilvános IP-címeket használ a nyilvános VIRTUÁLIS IP-címtartományhoz. Az üzembe helyezés továbbra is tűzfal mögött lehet, de a nyilvános VIRTUÁLIS IP-címtartomány közvetlenül elérhető a nyilvános internetről és az Azure-ból.

Az alábbi táblázat összefoglalja a hibrid kapcsolati forgatókönyveket az előnyök, hátrányok és használati esetek alapján.

Eset Kapcsolati módszer Előnyök Hátrányok
Egybérlős Azure Stack Hub, intranetes üzembe helyezés Kimenő NAT Jobb sávszélesség a gyorsabb átvitel érdekében. Egyszerűen megvalósítható; nincs szükség átjárókra. A forgalom nincs titkosítva; nincs elkülönítés vagy titkosítás a veremen kívül. Vállalati üzemelő példányok, ahol minden bérlő egyformán megbízható.

Azok a vállalatok, amelyek Azure ExpressRoute-kapcsolatcsoporttal rendelkeznek az Azure-ba.
Több-bérlős Azure Stack Hub, intranetes üzembe helyezés Helyek közötti VPN A bérlői virtuális hálózat és a cél közötti forgalom biztonságos. A sávszélességet a helyek közötti VPN-alagút korlátozza.

Ehhez átjáróra van szükség a virtuális hálózaton és egy VPN-eszközre a célhálózaton.
Olyan vállalati üzemelő példányok, ahol bizonyos bérlői forgalmat más bérlőktől kell védeni.
Egybérlős Azure Stack Hub, internetes üzembe helyezés Kimenő NAT Jobb sávszélesség a gyorsabb átvitel érdekében. A forgalom nincs titkosítva; nincs elkülönítés vagy titkosítás a veremen kívül. Üzemeltetési forgatókönyvek, ahol a bérlő saját Azure Stack Hub-üzembe helyezést és egy dedikált kapcsolatcsoportot kap az Azure Stack Hub-környezethez. Például: ExpressRoute és Multiprotocol Label Switching (MPLS).
Több-bérlős Azure Stack Hub, internetes üzembe helyezés Helyek közötti VPN A bérlői virtuális hálózat és a cél közötti forgalom biztonságos. A sávszélességet a helyek közötti VPN-alagút korlátozza.

Ehhez átjáróra van szükség a virtuális hálózaton és egy VPN-eszközre a célhálózaton.
Üzemeltetési forgatókönyvek, ahol a szolgáltató több-bérlős felhőt szeretne kínálni, ahol a bérlők nem bíznak egymásban, és a forgalmat titkosítani kell.

Az ExpressRoute használata

Az Azure Stack Hubot az ExpressRoute-on keresztül is csatlakoztathatja az Azure-hoz az egybérlős intranetes és a több-bérlős forgatókönyvekhez. Szüksége lesz egy kiépített ExpressRoute-kapcsolatcsoportra egy kapcsolatszolgáltatón keresztül.

Az alábbi ábrán az ExpressRoute látható egybérlős forgatókönyvhöz (ahol az "ügyfélkapcsolat" az ExpressRoute-kapcsolatcsoport).

Egybérlős ExpressRoute-forgatókönyvet bemutató diagram

Az alábbi ábrán egy több-bérlős forgatókönyvhöz tartozó ExpressRoute látható.

Diagram a több-bérlős ExpressRoute-forgatókönyvről

Külső monitorozás

Ha egyetlen nézetet szeretne kapni az Azure Stack Hub üzemelő példányáról és eszközeiről érkező összes riasztásról, és hogy a riasztásokat integrálni szeretné a meglévő informatikai szolgáltatásfelügyeleti munkafolyamatokba a jegykezeléshez, integrálhatja az Azure Stack Hubot külső adatközpont-monitorozási megoldásokkal.

Az Azure Stack Hub megoldás részét képező hardveréletciklus-gazdagép az Azure Stack Hubon kívüli számítógép, amely hardvergyártó által biztosított felügyeleti eszközöket futtat. Ezeket az eszközöket vagy más megoldásokat használhatja, amelyek közvetlenül integrálhatók az adatközpontban meglévő monitorozási megoldásokkal.

Az alábbi táblázat a jelenleg elérhető lehetőségek listáját foglalja össze.

Terület Külső monitorozási megoldás
Azure Stack Hub-szoftver Az Operations Managerhez készült Azure Stack Hub felügyeleti csomag
Nagios beépülő modul
REST-alapú API-hívások
Fizikai kiszolgálók (IPMI-n keresztüli virtuális gépek) OEM hardver – Operations Manager szállítói felügyeleti csomag
OEM hardvergyártó által biztosított megoldás
Hardvergyártó Nagios beépülő modulok.
OEM-partner által támogatott monitorozási megoldás (belefoglalva)
Hálózati eszközök (SNMP) Az Operations Manager hálózati eszközfelderítése
OEM hardvergyártó által biztosított megoldás
Nagios kapcsoló beépülő modul
Bérlői előfizetés állapotfigyelése System Center Felügyeleti csomag Windows Azure-hoz

Vegye figyelembe a következő követelményeket:

  • A használt megoldásnak ügynök nélkülinek kell lennie. Nem telepíthet külső ügynököket az Azure Stack Hub összetevőin belül.
  • A System Center Operations Manager használatához az Operations Manager 2012 R2 vagy az Operations Manager 2016 szükséges.

Biztonsági mentés és vészhelyreállítás

A biztonsági mentés és a vészhelyreállítás megtervezése magában foglalja az IaaS virtuális gépeket és PaaS-szolgáltatásokat üzemeltető mögöttes Azure Stack Hub-infrastruktúra, valamint a bérlői alkalmazások és adatok tervezését. Külön tervezze meg ezeket a dolgokat.

Az infrastruktúra összetevőinek védelme

Az Azure Stack Hub infrastruktúra-összetevőiről biztonsági másolatot készíthet egy ön által megadott SMB-megosztásra:

  • Szüksége lesz egy külső SMB-fájlmegosztásra egy meglévő Windows-alapú fájlkiszolgálón vagy egy külső eszközön.
  • Használja ezt a megosztást a hálózati kapcsolók és a hardveres életciklus-gazdagép biztonsági mentéséhez. Az OEM hardvergyártója útmutatást nyújt ezeknek az összetevőknek a biztonsági mentéséhez és visszaállításához, mivel ezek az Azure Stack Hubon kívüliek. Ön felelős a biztonsági mentési munkafolyamatok futtatásáért az OEM szállítójának javaslata alapján.

Katasztrofális adatvesztés esetén az infrastruktúra biztonsági mentésével újraeladhatja az üzembehelyezési adatokat, például:

  • Üzembehelyezési bemenetek és azonosítók
  • Szolgáltatásfiókok
  • Hitelesítésszolgáltató főtanúsítványa
  • Összevont erőforrások (leválasztott üzemelő példányokban)
  • Csomagok, ajánlatok, előfizetések és kvóták
  • RBAC-szabályzatok és szerepkör-hozzárendelések
  • titkos kódok Key Vault

Figyelmeztetés

Alapértelmezés szerint az Azure Stack Hub-bélyeg csak egy CloudAdmin-fiókkal van konfigurálva. Nincsenek helyreállítási lehetőségek, ha a fiók hitelesítő adatai elvesznek, megsérülnek vagy zárolva vannak. Elveszíti a hozzáférést a kiemelt végponthoz és más erőforrásokhoz.

Erősen ajánlott további CloudAdmin-fiókokat létrehozni, hogy a saját költségén ne helyezze újra üzembe a bélyeget. Győződjön meg arról, hogy ezeket a hitelesítő adatokat a vállalat irányelvei alapján dokumentálja.

Bérlőalkalmazások védelme IaaS virtuális gépeken

Az Azure Stack Hub nem készít biztonsági másolatot a bérlői alkalmazásokról és adatokról. Az Azure Stack Hubon kívüli célhelyre történő biztonsági mentést és vészhelyreállítási védelmet kell megterveznie. A bérlővédelem egy bérlőalapú tevékenység. Az IaaS virtuális gépek esetében a bérlők vendégtechnológiákkal védhetik a fájlmappákat, az alkalmazásadatokat és a rendszerállapotot. Vállalati vagy szolgáltatóként azonban érdemes lehet biztonsági mentési és helyreállítási megoldást kínálni ugyanabban az adatközpontban vagy egy felhőben.

A Linux vagy Windows IaaS rendszerű virtuális gépek biztonsági mentéséhez a vendég operációs rendszerhez hozzáféréssel rendelkező biztonsági mentési termékeket kell használnia a fájlok, mappák, operációsrendszer-állapotok és alkalmazásadatok védelméhez. Használhatja a Azure Backup, a System Center Datacenter Protection Managert vagy a támogatott külső termékeket.

Ha másodlagos helyre szeretné replikálni az adatokat, és katasztrófa esetén az alkalmazás feladatátvételét szeretné koordinálni, használhatja az Azure Site Recovery vagy a támogatott külső termékeket. Emellett a natív replikációt támogató alkalmazások, például a Microsoft SQL Server, replikálhatják az adatokat egy másik helyre, ahol az alkalmazás fut.

Tudjon meg többet

  • A használati esetekről, a vásárlásról, a partnerekről és az OEM hardvergyártókról az Azure Stack Hub termékoldalán tájékozódhat.
  • Az Integrált Azure Stack Hub-rendszerek ütemtervével és földrajzi rendelkezésre állásával kapcsolatos információkért tekintse meg az Azure Stack Hub: Az Azure bővítménye című tanulmányt.

Következő lépések

Az Azure Stack Hub üzembehelyezési kapcsolati modelljei