Considerazioni sulla pianificazione dell'integrazione dei Data Center per i sistemi integrati di Azure Stack HubDatacenter integration planning considerations for Azure Stack Hub integrated systems

Se si è interessati a un sistema integrato Azure Stack Hub, è necessario comprendere le principali considerazioni relative alla pianificazione per la distribuzione e il modo in cui il sistema si inserisce nel Data Center.If you're interested in an Azure Stack Hub integrated system, you should understand the major planning considerations around deployment and how the system fits into your datacenter. Questo articolo fornisce una panoramica di alto livello di queste considerazioni che consentono di prendere decisioni importanti sull'infrastruttura per i sistemi integrati di Azure Stack Hub.This article provides a high-level overview of these considerations to help you make important infrastructure decisions for your Azure Stack Hub integrated systems. Una comprensione di queste considerazioni è utile quando si lavora con il fornitore dell'hardware OEM durante la distribuzione di Azure Stack Hub nel Data Center.An understanding of these considerations helps when working with your OEM hardware vendor while they deploy Azure Stack Hub to your datacenter.

Nota

I sistemi integrati di Azure Stack hub possono essere acquistati solo da fornitori di hardware autorizzati.Azure Stack Hub integrated systems can only be purchased from authorized hardware vendors.

Per distribuire Azure Stack Hub, è necessario fornire le informazioni di pianificazione al provider di soluzioni prima che la distribuzione inizi ad aiutare il processo a lavorare in modo rapido e semplice.To deploy Azure Stack Hub, you need to provide planning information to your solution provider before deployment starts to help the process go quickly and smoothly. Le informazioni necessarie variano a seconda della rete, della sicurezza e delle informazioni di identità, con numerose decisioni importanti che potrebbero richiedere conoscenze provenienti da molte aree e decision maker.The information required ranges across networking, security, and identity information with many important decisions that may require knowledge from many different areas and decision makers. Per assicurarsi che tutte le informazioni necessarie siano pronte prima della distribuzione, saranno necessari utenti di più team dell'organizzazione.You'll need people from multiple teams in your organization to ensure that you have all required information ready before deployment. Consente di comunicare con il fornitore dell'hardware durante la raccolta di queste informazioni, in quanto potrebbero avere consigli utili.It can help to talk to your hardware vendor while collecting this information because they might have helpful advice.

Durante la ricerca e la raccolta delle informazioni necessarie, potrebbe essere necessario apportare alcune modifiche alla configurazione di pre-distribuzione nell'ambiente di rete.While researching and collecting the required information, you might need to make some pre-deployment configuration changes to your network environment. Queste modifiche possono includere la riserva di spazi di indirizzi IP per la soluzione hub Azure Stack, nonché la configurazione di router, commutatori e firewall per preparare la connettività ai nuovi switch della soluzione hub Azure Stack.These changes could include reserving IP address spaces for the Azure Stack Hub solution as well as configuring your routers, switches, and firewalls to prepare for the connectivity to the new Azure Stack Hub solution switches. Assicurarsi di aver allineato gli esperti dell'area di interesse per facilitare la pianificazione.Make sure to have the subject area expert lined up to help you with your planning.

Considerazioni sulla pianificazione della capacitàCapacity planning considerations

Quando si valuta una soluzione hub Azure Stack per l'acquisizione, si apportano scelte di configurazione hardware che hanno un effetto diretto sulla capacità complessiva della soluzione hub Azure Stack.When you evaluate an Azure Stack Hub solution for acquisition, you make hardware configuration choices which have a direct impact on the overall capacity of the Azure Stack Hub solution. Sono incluse le scelte classiche di CPU, densità di memoria, configurazione dell'archiviazione e scalabilità complessiva della soluzione (ad esempio, il numero di server).These include the classic choices of CPU, memory density, storage configuration, and overall solution scale (for example, number of servers). A differenza di una soluzione di virtualizzazione tradizionale, l'aritmetica semplice di questi componenti per determinare la capacità utilizzabile non si applica.Unlike a traditional virtualization solution, the simple arithmetic of these components to determine usable capacity doesn't apply. Il primo motivo è che Azure Stack Hub è progettato per ospitare i componenti dell'infrastruttura o di gestione all'interno della soluzione stessa.The first reason is that Azure Stack Hub is architected to host the infrastructure or management components within the solution itself. Il secondo motivo è che parte della capacità della soluzione è riservata a supportare la resilienza aggiornando il software della soluzione in modo da ridurre al minimo l'interferenza dei carichi di lavoro del tenant.The second reason is that some of the solution's capacity is reserved in support of resiliency by updating the solution's software in a way that minimizes disruption of tenant workloads.

Il foglio di calcolo Azure stack Hub Capacity Planner consente di prendere decisioni informate per la pianificazione della capacità in due modi.The Azure Stack Hub capacity planner spreadsheet helps you make informed decisions for planning capacity in two ways. Il primo consiste nel selezionare un'offerta hardware e provare a adattarsi a una combinazione di risorse.The first is by selecting a hardware offering and attempting to fit a combination of resources. Il secondo consiste nella definizione del carico di lavoro che Azure Stack hub deve essere eseguito per visualizzare gli SKU hardware disponibili che possono supportarlo.The second is by defining the workload that Azure Stack Hub is intended to run to view the available hardware SKUs that can support it. Infine, il foglio di calcolo è concepito come una guida che consente di prendere decisioni relative alla pianificazione e alla configurazione dell'hub Azure Stack.Finally, the spreadsheet is intended as a guide to help in making decisions related to Azure Stack Hub planning and configuration.

Il foglio di calcolo non è destinato a fungere da sostituto per l'analisi e l'analisi.The spreadsheet isn't intended to serve as a substitute for your own investigation and analysis. Microsoft non rilascia alcuna dichiarazione o garanzia, espressa o implicita, relativamente alle informazioni fornite all'interno del foglio di calcolo.Microsoft makes no representations or warranties, express or implied, with respect to the information provided within the spreadsheet.

Considerazioni sulla gestioneManagement considerations

Azure Stack Hub è un sistema sealed, in cui l'infrastruttura è bloccata sia dal punto di vista delle autorizzazioni che dalla prospettiva di rete.Azure Stack Hub is a sealed system, where the infrastructure is locked down both from a permissions and network perspective. Gli elenchi di controllo di accesso (ACL) di rete vengono applicati per bloccare tutto il traffico in ingresso non autorizzato e tutte le comunicazioni non necessarie tra i componenti dell'infrastruttura.Network access control lists (ACLs) are applied to block all unauthorized incoming traffic and all unnecessary communications between infrastructure components. Questo sistema rende difficile per gli utenti non autorizzati accedere al sistema.This system makes it difficult for unauthorized users to access the system.

Per la gestione e le operazioni quotidiane, non è disponibile un accesso amministrativo illimitato all'infrastruttura.For daily management and operations, there's no unrestricted admin access to the infrastructure. Gli operatori Azure Stack Hub devono gestire il sistema tramite il portale di amministrazione o tramite Azure Resource Manager (tramite PowerShell o l'API REST).Azure Stack Hub operators must manage the system through the administrator portal or through Azure Resource Manager (via PowerShell or the REST API). Non è disponibile alcun accesso al sistema da parte di altri strumenti di gestione come la console di gestione di Hyper-V o Gestione cluster di failover.There's no access to the system by other management tools like Hyper-V Manager or Failover Cluster Manager. Per proteggere il sistema, il software di terze parti (ad esempio agenti) non può essere installato all'interno dei componenti dell'infrastruttura dell'hub Azure Stack.To help protect the system, third-party software (for example, agents) can't be installed inside the components of the Azure Stack Hub infrastructure. L'interoperabilità con il software di gestione e sicurezza esterno avviene tramite PowerShell o l'API REST.Interoperability with external management and security software occurs via PowerShell or the REST API.

Contattare supporto tecnico Microsoft quando è necessario un livello di accesso più elevato per la risoluzione dei problemi che non vengono risolti tramite la procedura di mediazione degli avvisi.Contact Microsoft Support when you need a higher level of access for troubleshooting issues that aren't resolved through alert mediation steps. Grazie al supporto è disponibile un metodo per fornire all'amministratore completo temporaneo l'accesso al sistema per operazioni più avanzate.Through support, there's a method to provide temporary full admin access to the system for more advanced operations.

Considerazioni sull'identitàIdentity considerations

Scegliere il provider di identitàChoose identity provider

È necessario prendere in considerazione il provider di identità che si vuole usare per la distribuzione dell'hub Azure Stack, Azure AD o AD FS.You'll need to consider which identity provider you want to use for Azure Stack Hub deployment, either Azure AD or AD FS. Non è possibile cambiare provider di identità dopo la distribuzione senza ridistribuzione completa del sistema.You can't switch identity providers after deployment without full system redeployment. Se non si è proprietari dell'account di Azure AD e si usa un account fornito dal provider di soluzioni cloud e si decide di cambiare il provider e si usa un account di Azure AD diverso, sarà necessario contattare il provider della soluzione per ridistribuire la soluzione in base ai costi.If you don't own the Azure AD account and are using an account provided to you by your Cloud Solution Provider, and if you decide to switch provider and use a different Azure AD account, you'll have to contact your solution provider to redeploy the solution for you at your cost.

La scelta del provider di identità non ha alcun impatto sulle macchine virtuali (VM) tenant, sul sistema di identità, sugli account usati o se è possibile aggiungere un dominio Active Directory e così via.Your identity provider choice has no bearing on tenant virtual machines (VMs), the identity system, accounts they use, or whether they can join an Active Directory domain, and so on. Queste operazioni sono separate.These things are separate.

Per altre informazioni sulla scelta di un provider di identità, vedere l'articolo relativo ai modelli di connessione dei sistemi integrati Azure stack Hub.You can learn more about choosing an identity provider in the Azure Stack Hub integrated systems connection models article.

Integrazione di AD FS e GraphAD FS and Graph integration

Se si sceglie di distribuire Azure Stack hub usando AD FS come provider di identità, è necessario integrare l'istanza di AD FS nell'hub Azure Stack con un'istanza di AD FS esistente tramite un trust federativo.If you choose to deploy Azure Stack Hub using AD FS as the identity provider, you must integrate the AD FS instance on Azure Stack Hub with an existing AD FS instance through a federation trust. Questa integrazione consente alle identità in una foresta Active Directory esistente di eseguire l'autenticazione con le risorse nell'hub Azure Stack.This integration allows identities in an existing Active Directory forest to authenticate with resources in Azure Stack Hub.

È anche possibile integrare il servizio Graph in Azure Stack Hub con la Active Directory esistente.You can also integrate the Graph service in Azure Stack Hub with the existing Active Directory. Questa integrazione consente di gestire il controllo di accesso Role-Based (RBAC) nell'hub Azure Stack.This integration lets you manage Role-Based Access Control (RBAC) in Azure Stack Hub. Quando viene delegato l'accesso a una risorsa, il componente grafico cerca l'account utente nella foresta Active Directory esistente usando il protocollo LDAP.When access to a resource is delegated, the Graph component looks up the user account in the existing Active Directory forest using the LDAP protocol.

Il diagramma seguente illustra il flusso del traffico integrato AD FS e Graph.The following diagram shows integrated AD FS and Graph traffic flow.

Diagramma che mostra il flusso del traffico AD FS e GraphDiagram showing AD FS and Graph traffic flow

Modello di licenzaLicensing model

È necessario decidere quale modello di licenza si vuole usare.You must decide which licensing model you want to use. Le opzioni disponibili dipendono da se si distribuisce Azure Stack hub connesso a Internet:The available options depend on if you deploy Azure Stack Hub connected to the internet:

  • Per una distribuzione connessa, è possibile scegliere una licenza con pagamento in base al consumo o basata sulla capacità.For a connected deployment, you can choose either pay-as-you-use or capacity-based licensing. Il pagamento in base al consumo richiede una connessione ad Azure per segnalare l'utilizzo, che viene quindi fatturato tramite Azure Commerce.Pay-as-you-use requires a connection to Azure to report usage, which is then billed through Azure commerce.
  • Solo le licenze basate sulla capacità sono supportate se si distribuisce disconnesso da Internet.Only capacity-based licensing is supported if you deploy disconnected from the internet.

Per altre informazioni sui modelli di licenza, vedere la pagina relativa alla creazione di pacchetti e prezzi di Microsoft Azure stack Hub.For more information about the licensing models, see Microsoft Azure Stack Hub packaging and pricing.

Decisioni di denominazioneNaming decisions

È necessario considerare come si desidera pianificare lo spazio dei nomi dell'hub Azure Stack, in particolare il nome dell'area e il nome di dominio esterno.You'll need to think about how you want to plan your Azure Stack Hub namespace, especially the region name and external domain name. Il nome di dominio completo (FQDN) esterno della distribuzione dell'hub Azure Stack per gli endpoint pubblici è la combinazione di questi due nomi: < Region > . < FQDN > .The external fully qualified domain name (FQDN) of your Azure Stack Hub deployment for public-facing endpoints is the combination of these two names: <region>.<fqdn>. Ad esempio, East.cloud.fabrikam.com.For example, east.cloud.fabrikam.com. In questo esempio, i portali dell'hub Azure Stack saranno disponibili agli URL seguenti:In this example, the Azure Stack Hub portals would be available at the following URLs:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Importante

Il nome dell'area scelto per la distribuzione dell'hub Azure Stack deve essere univoco e verrà visualizzato negli indirizzi del portale.The region name you choose for your Azure Stack Hub deployment must be unique and will appear in the portal addresses.

Nella tabella seguente sono riepilogate le decisioni di denominazione dei domini.The following table summarizes these domain naming decisions.

NomeName DescrizioneDescription
Nome areaRegion name Nome della prima area dell'hub Azure Stack.The name of your first Azure Stack Hub region. Questo nome viene usato come parte del nome di dominio completo per gli indirizzi IP virtuali pubblici (VIP) gestiti da Azure Stack Hub.This name is used as part of the FQDN for the public virtual IP addresses (VIPs) that Azure Stack Hub manages. In genere, il nome dell'area può essere un identificatore di posizione fisica, ad esempio una posizione del Data Center.Typically, the region name would be a physical location identifier such as a datacenter location.

Il nome dell'area deve essere composto solo da lettere e numeri compresi tra 0-9.The region name must consist of only letters and numbers between 0-9. Non - sono consentiti caratteri speciali, ad esempio, # e così via.No special characters (like -, #, and so on) are allowed.
Nome di dominio esternoExternal domain name Nome dell'area Domain Name System (DNS) per gli endpoint con indirizzi VIP esterni.The name of the Domain Name System (DNS) zone for endpoints with external-facing VIPs. Utilizzato nel nome di dominio completo per questi indirizzi VIP pubblici.Used in the FQDN for these public VIPs.
Nome di dominio privato (interno)Private (internal) domain name Nome del dominio (e zona DNS interna) creato nell'hub Azure Stack per la gestione dell'infrastruttura.The name of the domain (and internal DNS zone) created on Azure Stack Hub for infrastructure management.

Requisiti per i certificatiCertificate requirements

Per la distribuzione, è necessario fornire certificati di Secure Sockets Layer (SSL) per gli endpoint pubblici.For deployment, you'll need to provide Secure Sockets Layer (SSL) certificates for public-facing endpoints. A un livello elevato, i certificati presentano i requisiti seguenti:At a high level, certificates have the following requirements:

  • È possibile usare un singolo certificato con caratteri jolly oppure usare un set di certificati dedicati e quindi usare i caratteri jolly solo per gli endpoint come l'archiviazione e la Key Vault.You can use a single wildcard certificate or you can use a set of dedicated certificates, and then use wildcards only for endpoints like storage and Key Vault.
  • I certificati possono essere emessi da un'autorità di certificazione (CA) attendibile pubblica o da una CA gestita dal cliente.Certificates can be issued by a public trusted certificate authority (CA) or a customer-managed CA.

Per ulteriori informazioni sui certificati PKI necessari per la distribuzione di Azure Stack Hub e su come ottenerli, vedere Azure stack requisiti dei certificati di infrastruttura a chiave pubblica dell'hub.For more information about what PKI certificates are required to deploy Azure Stack Hub, and how to obtain them, see, Azure Stack Hub Public Key Infrastructure certificate requirements.

Importante

Le informazioni sul certificato PKI fornite devono essere usate come linee guida generali.The provided PKI certificate information should be used as general guidance. Prima di acquisire tutti i certificati PKI per Azure Stack Hub, collaborare con il partner hardware OEM.Before you acquire any PKI certificates for Azure Stack Hub, work with your OEM hardware partner. Forniranno indicazioni e requisiti di certificato più dettagliati.They'll provide more detailed certificate guidance and requirements.

Sincronizzazione dell'oraTime synchronization

È necessario scegliere un server di tempo specifico usato per sincronizzare Azure Stack Hub.You must choose a specific time server which is used to synchronize Azure Stack Hub. La sincronizzazione dell'ora è fondamentale per Azure Stack Hub e i relativi ruoli di infrastruttura, perché viene usata per generare ticket Kerberos.Time synchronization is critical to Azure Stack Hub and its infrastructure roles because it's used to generate Kerberos tickets. I ticket Kerberos vengono usati per autenticare i servizi interni tra loro.Kerberos tickets are used to authenticate internal services with each other.

È necessario specificare un indirizzo IP per il server di sincronizzazione dell'ora.You must specify an IP for the time synchronization server. Sebbene la maggior parte dei componenti dell'infrastruttura di possa risolvere un URL, alcuni supportano solo indirizzi IP.Although most of the components in the infrastructure can resolve a URL, some only support IP addresses. Se si usa l'opzione di distribuzione disconnessa, è necessario specificare un server di ora nella rete aziendale che si è certi di poter raggiungere dalla rete dell'infrastruttura nell'hub Azure Stack.If you're using the disconnected deployment option, you must specify a time server on your corporate network that you're sure you can reach from the infrastructure network in Azure Stack Hub.

Connetti Azure Stack Hub ad AzureConnect Azure Stack Hub to Azure

Per gli scenari basati su cloud ibrido è necessario pianificare il modo in cui si vuole connettere Azure Stack Hub ad Azure.For hybrid cloud scenarios, you'll need to plan how you want to connect Azure Stack Hub to Azure. Sono disponibili due metodi supportati per connettere reti virtuali nell'hub Azure Stack alle reti virtuali in Azure:There are two supported methods to connect virtual networks in Azure Stack Hub to virtual networks in Azure:

  • Da sito a sito: connessione VPN (Virtual Private Network) su IPSec (IKE v1 e IKE v2).Site-to-site: A virtual private network (VPN) connection over IPsec (IKE v1 and IKE v2). Questo tipo di connessione richiede un dispositivo VPN o un servizio Routing e accesso remoto (RRAS).This type of connection requires a VPN device or Routing and Remote Access Service (RRAS). Per altre informazioni sui gateway VPN in Azure, vedere informazioni sul gateway VPN.For more information about VPN gateways in Azure, see About VPN Gateway. La comunicazione su questo tunnel è crittografata e protetta.The communication over this tunnel is encrypted and secure. Tuttavia, la larghezza di banda è limitata dalla velocità effettiva massima del tunnel (100-200 Mbps).However, bandwidth is limited by the maximum throughput of the tunnel (100-200 Mbps).

  • NAT in uscita: per impostazione predefinita, tutte le macchine virtuali nell'hub Azure stack avranno la connettività alle reti esterne tramite NAT in uscita.Outbound NAT: By default, all VMs in Azure Stack Hub will have connectivity to external networks via outbound NAT. Ogni rete virtuale creata nell'hub Azure Stack ottiene un indirizzo IP pubblico assegnato.Each virtual network that's created in Azure Stack Hub gets a public IP address assigned to it. Se la macchina virtuale viene assegnata direttamente a un indirizzo IP pubblico o si trova dietro un servizio di bilanciamento del carico con un indirizzo IP pubblico, avrà accesso in uscita tramite NAT in uscita tramite l'indirizzo VIP della rete virtuale.Whether the VM is directly assigned a public IP address or is behind a load balancer with a public IP address, it will have outbound access via outbound NAT using the VIP of the virtual network. Questo metodo funziona solo per le comunicazioni avviate dalla macchina virtuale e destinate a reti esterne (Internet o Intranet).This method only works for communication that's initiated by the VM and destined for external networks (either internet or intranet). Non può essere usato per comunicare con la macchina virtuale dall'esterno.It can't be used to communicate with the VM from outside.

Opzioni di connettività ibridaHybrid connectivity options

Per la connettività ibrida, è importante considerare il tipo di distribuzione che si vuole offrire e la posizione in cui verrà distribuita.For hybrid connectivity, it's important to consider what kind of deployment you want to offer and where it will be deployed. È necessario considerare se è necessario isolare il traffico di rete per ogni tenant e se si dispone di una distribuzione Intranet o Internet.You'll need to consider whether you need to isolate network traffic per tenant, and whether you'll have an intranet or internet deployment.

  • Hub Azure stack a tenant singolo: una distribuzione di Azure stack Hub che sembra, almeno dal punto di vista della rete, come se fosse un tenant.Single-tenant Azure Stack Hub: An Azure Stack Hub deployment that looks, at least from a networking perspective, as if it's one tenant. È possibile che siano presenti molte sottoscrizioni tenant, ma come qualsiasi servizio Intranet, tutto il traffico viaggia sulle stesse reti.There can be many tenant subscriptions, but like any intranet service, all traffic travels over the same networks. Il traffico di rete da una sottoscrizione viene spostata sulla stessa connessione di rete di un'altra sottoscrizione e non deve essere isolato tramite un tunnel crittografato.Network traffic from one subscription travels over the same network connection as another subscription and doesn't need to be isolated via an encrypted tunnel.

  • Hub Azure stack multi-tenant: una distribuzione Hub Azure stack in cui il traffico di ogni sottoscrizione tenant associato a reti esterne all'hub Azure stack deve essere isolato dal traffico di rete di altri tenant.Multi-tenant Azure Stack Hub: An Azure Stack Hub deployment where each tenant subscription's traffic that's bound for networks that are external to Azure Stack Hub must be isolated from other tenants' network traffic.

  • Distribuzione Intranet: distribuzione di un hub Azure stack che si trova in una rete Intranet aziendale, in genere nello spazio degli indirizzi IP privati e dietro uno o più firewall.Intranet deployment: An Azure Stack Hub deployment that sits on a corporate intranet, typically on private IP address space and behind one or more firewalls. Gli indirizzi IP pubblici non sono realmente pubblici perché non possono essere indirizzati direttamente sulla rete Internet pubblica.The public IP addresses aren't truly public because they can't be routed directly over the public internet.

  • Distribuzione Internet: una distribuzione di hub Azure stack connessa alla rete Internet pubblica e USA indirizzi IP pubblici instradabili tramite Internet per l'intervallo di indirizzi VIP pubblici.Internet deployment: An Azure Stack Hub deployment that's connected to the public internet and uses internet-routable public IP addresses for the public VIP range. La distribuzione può ancora rimanere dietro un firewall, ma l'intervallo di indirizzi VIP pubblici è direttamente raggiungibile dalla rete Internet pubblica e da Azure.The deployment can still sit behind a firewall, but the public VIP range is directly reachable from the public internet and Azure.

Nella tabella seguente sono riepilogati gli scenari di connettività ibrida con i vantaggi, i svantaggi e i casi d'uso.The following table summarizes the hybrid connectivity scenarios with the pros, cons, and use cases.

ScenarioScenario Metodo di connettivitàConnectivity Method VantaggiPros SvantaggiCons Valido perGood For
Hub Azure Stack single-tenant, distribuzione IntranetSingle tenant Azure Stack Hub, intranet deployment NAT in uscitaOutbound NAT Maggiore larghezza di banda per trasferimenti più veloci.Better bandwidth for faster transfers. Semplice da implementare; non sono richiesti gateway.Simple to implement; no gateways required. Traffico non crittografato; Nessun isolamento o crittografia al di fuori dello stack.Traffic not encrypted; no isolation or encryption outside the stack. Distribuzioni aziendali in cui tutti i tenant sono ugualmente attendibili.Enterprise deployments where all tenants are equally trusted.

Aziende che hanno un circuito ExpressRoute di Azure in Azure.Enterprises that have an Azure ExpressRoute circuit to Azure.
Hub Azure Stack multi-tenant, distribuzione IntranetMulti-tenant Azure Stack Hub, intranet deployment VPN da sito a sitoSite-to-site VPN Il traffico dal tenant VNet alla destinazione è protetto.Traffic from the tenant VNet to destination is secure. La larghezza di banda è limitata dal tunnel VPN da sito a sito.Bandwidth is limited by site-to-site VPN tunnel.

Richiede un gateway nella rete virtuale e un dispositivo VPN nella rete di destinazione.Requires a gateway in the virtual network and a VPN device on the destination network.
Distribuzioni aziendali in cui è necessario proteggere il traffico dei tenant da altri tenant.Enterprise deployments where some tenant traffic must be secured from other tenants.
Hub Azure Stack single-tenant, distribuzione InternetSingle tenant Azure Stack Hub, internet deployment NAT in uscitaOutbound NAT Maggiore larghezza di banda per trasferimenti più veloci.Better bandwidth for faster transfers. Traffico non crittografato; Nessun isolamento o crittografia al di fuori dello stack.Traffic not encrypted; no isolation or encryption outside the stack. Scenari di hosting in cui il tenant ottiene la propria distribuzione dell'hub Azure Stack e un circuito dedicato all'ambiente dell'hub Azure Stack.Hosting scenarios where the tenant gets their own Azure Stack Hub deployment and a dedicated circuit to the Azure Stack Hub environment. Ad esempio, ExpressRoute ed MPLS (Multiprotocol Label Switching).For example, ExpressRoute and Multiprotocol Label Switching (MPLS).
Hub Azure Stack multi-tenant, distribuzione InternetMulti-tenant Azure Stack Hub, internet deployment VPN da sito a sitoSite-to-site VPN Il traffico dal tenant VNet alla destinazione è protetto.Traffic from the tenant VNet to destination is secure. La larghezza di banda è limitata dal tunnel VPN da sito a sito.Bandwidth is limited by site-to-site VPN tunnel.

Richiede un gateway nella rete virtuale e un dispositivo VPN nella rete di destinazione.Requires a gateway in the virtual network and a VPN device on the destination network.
Scenari di hosting in cui il provider vuole offrire un cloud multi-tenant, in cui i tenant non sono attendibili reciprocamente e il traffico deve essere crittografato.Hosting scenarios where the provider wants to offer a multi-tenant cloud, where the tenants don't trust each other and traffic must be encrypted.

Uso di ExpressRouteUsing ExpressRoute

È possibile connettere Azure Stack Hub ad Azure tramite ExpressRoute per gli scenari di rete Intranet a tenant singolo e multi-tenant.You can connect Azure Stack Hub to Azure via ExpressRoute for both single-tenant intranet and multi-tenant scenarios. È necessario un circuito ExpressRoute di cui è stato effettuato il provisioning tramite un provider di connettività.You'll need a provisioned ExpressRoute circuit through a connectivity provider.

Il diagramma seguente mostra ExpressRoute per uno scenario a tenant singolo, in cui "Customer ' s Connection" è il circuito ExpressRoute.The following diagram shows ExpressRoute for a single-tenant scenario (where "Customer's connection" is the ExpressRoute circuit).

Diagramma che illustra lo scenario ExpressRoute a tenant singolo

Il diagramma seguente mostra ExpressRoute per uno scenario multi-tenant.The following diagram shows ExpressRoute for a multi-tenant scenario.

Diagramma che illustra lo scenario ExpressRoute multi-tenant

Monitoraggio esternoExternal monitoring

Per ottenere una singola visualizzazione di tutti gli avvisi dalla distribuzione e dai dispositivi dell'hub Azure Stack e per integrare gli avvisi nei flussi di lavoro di gestione dei servizi IT esistenti per la gestione dei ticket, è possibile integrare Azure stack Hub con soluzioni di monitoraggio del data center esterno.To get a single view of all alerts from your Azure Stack Hub deployment and devices, and to integrate alerts into existing IT Service Management workflows for ticketing, you can integrate Azure Stack Hub with external datacenter monitoring solutions.

Incluso con la soluzione hub Azure Stack, l'host del ciclo di vita hardware è un computer all'esterno di Azure Stack Hub che esegue gli strumenti di gestione OEM forniti dal fornitore per l'hardware.Included with the Azure Stack Hub solution, the hardware lifecycle host is a computer outside Azure Stack Hub that runs OEM vendor-provided management tools for hardware. È possibile usare questi strumenti o altre soluzioni che si integrano direttamente con le soluzioni di monitoraggio esistenti nel Data Center.You can use these tools or other solutions that directly integrate with existing monitoring solutions in your datacenter.

La tabella seguente riepiloga l'elenco delle opzioni attualmente disponibili.The following table summarizes the list of currently available options.

AreaArea Soluzione di monitoraggio esternoExternal Monitoring Solution
Software Hub Azure StackAzure Stack Hub software Management Pack dell'hub Azure Stack per Operations ManagerAzure Stack Hub Management Pack for Operations Manager
Plug-in NagiosNagios plug-in
Chiamate API basate su RESTREST-based API calls
Server fisici (BMC tramite IPMI)Physical servers (BMCs via IPMI) Hardware OEM-Operations Manager fornitore Management PackOEM hardware - Operations Manager vendor management pack
Soluzione fornita dal fornitore hardware OEMOEM hardware vendor-provided solution
Plug-in Nagios del fornitore dell'hardware.Hardware vendor Nagios plug-ins.
Soluzione di monitoraggio supportata dal partner OEM (inclusa)OEM partner-supported monitoring solution (included)
Dispositivi di rete (SNMP)Network devices (SNMP) Individuazione di dispositivi di rete Operations ManagerOperations Manager network device discovery
Soluzione fornita dal fornitore hardware OEMOEM hardware vendor-provided solution
Plug-in di switch NagiosNagios switch plug-in
Monitoraggio dello stato della sottoscrizione tenantTenant subscription health monitoring Management Pack di System Center per Windows AzureSystem Center Management Pack for Windows Azure

Tenere presenti i requisiti seguenti:Note the following requirements:

  • La soluzione usata deve essere senza agente.The solution you use must be agentless. Non è possibile installare agenti di terze parti all'interno Azure Stack componenti dell'hub.You can't install third-party agents inside Azure Stack Hub components.
  • Se si desidera utilizzare System Center Operations Manager, è necessario Operations Manager 2012 R2 o Operations Manager 2016.If you want to use System Center Operations Manager, Operations Manager 2012 R2 or Operations Manager 2016 is required.

Backup e ripristino di emergenzaBackup and disaster recovery

La pianificazione per il backup e il ripristino di emergenza prevede la pianificazione dell'infrastruttura dell'hub Azure Stack sottostante che ospita le macchine virtuali IaaS e i servizi PaaS e per le app e i dati tenant.Planning for backup and disaster recovery involves planning for both the underlying Azure Stack Hub infrastructure that hosts IaaS VMs and PaaS services, and for tenant apps and data. Pianificare questi elementi separatamente.Plan for these things separately.

Proteggere i componenti dell'infrastrutturaProtect infrastructure components

È possibile eseguire il backup di Azure stack componenti dell'infrastruttura dell'hub in una condivisione SMB specificata:You can back up Azure Stack Hub infrastructure components to an SMB share that you specify:

  • È necessaria una condivisione file SMB esterna in un file server esistente basato su Windows o in un dispositivo di terze parti.You'll need an external SMB file share on an existing Windows-based file server or a third-party device.
  • Utilizzare la stessa condivisione per il backup dei commutatori di rete e dell'host del ciclo di vita hardware.Use this same share for the backup of network switches and the hardware lifecycle host. Il fornitore dell'hardware OEM fornirà informazioni aggiuntive per il backup e il ripristino di questi componenti, perché sono esterni all'hub Azure Stack.Your OEM hardware vendor will help provide guidance for backup and restore of these components because these are external to Azure Stack Hub. L'utente è responsabile dell'esecuzione dei flussi di lavoro di backup in base alla raccomandazione del fornitore OEM.You're responsible for running the backup workflows based on the OEM vendor's recommendation.

Se si verifica una perdita di dati irreversibile, è possibile usare il backup dell'infrastruttura per reinizializzare i dati di distribuzione, ad esempio:If catastrophic data loss occurs, you can use the infrastructure backup to reseed deployment data such as:

  • Input e identificatori della distribuzioneDeployment inputs and identifiers
  • Account di servizioService accounts
  • Certificato radice CACA root certificate
  • Risorse federate (nelle distribuzioni disconnesse)Federated resources (in disconnected deployments)
  • Piani, offerte, sottoscrizioni e quotePlans, offers, subscriptions, and quotas
  • Criteri RBAC e assegnazioni di ruoloRBAC policy and role assignments
  • Segreti Key VaultKey Vault secrets

Proteggere le app tenant in macchine virtuali IaaSProtect tenant apps on IaaS VMs

Azure Stack Hub non esegue il backup di dati e app tenant.Azure Stack Hub doesn't back up tenant apps and data. È necessario pianificare la protezione per il backup e il ripristino di emergenza in un hub di destinazione esterno a Azure Stack.You must plan for backup and disaster recovery protection to a target external to Azure Stack Hub. La protezione del tenant è un'attività basata su tenant.Tenant protection is a tenant-driven activity. Per le macchine virtuali IaaS, i tenant possono usare le tecnologie in-Guest per proteggere le cartelle di file, i dati delle app e lo stato del sistema.For IaaS VMs, tenants can use in-guest technologies to protect file folders, app data, and system state. Tuttavia, come provider aziendale o di servizi, è consigliabile offrire una soluzione di backup e ripristino nello stesso data center o esternamente in un cloud.However, as an enterprise or service provider, you may want to offer a backup and recovery solution in the same datacenter or externally in a cloud.

Per eseguire il backup di macchine virtuali Linux o Windows IaaS, è necessario usare i prodotti di backup con accesso al sistema operativo guest per proteggere file, cartelle, stato del sistema operativo e dati dell'app.To back up Linux or Windows IaaS VMs, you must use backup products with access to the guest operating system to protect file, folder, operating system state, and app data. È possibile usare backup di Azure, System Center datacenter Protection Manager o prodotti di terze parti supportati.You can use Azure Backup, System Center Datacenter Protection Manager, or supported third-party products.

Per replicare i dati in una posizione secondaria e orchestrare il failover dell'applicazione in caso di emergenza, è possibile utilizzare Azure Site Recovery o prodotti di terze parti supportati.To replicate data to a secondary location and orchestrate application failover if a disaster occurs, you can use Azure Site Recovery or supported third-party products. Inoltre, le app che supportano la replica nativa, come Microsoft SQL Server, possono replicare i dati in un'altra posizione in cui l'app è in esecuzione.Also, apps that support native replication, like Microsoft SQL Server, can replicate data to another location where the app is running.

Altre informazioniLearn more

  • Per informazioni su casi d'uso, acquisti, partner e fornitori di hardware OEM, vedere la pagina del prodotto Hub Azure stack .For information about use cases, purchasing, partners, and OEM hardware vendors, see the Azure Stack Hub product page.
  • Per informazioni sulla roadmap e sulla disponibilità geografica per i sistemi integrati Azure Stack Hub, vedere l'white paper: Azure stack Hub: un'estensione di Azure.For information about the roadmap and geo-availability for Azure Stack Hub integrated systems, see the white paper: Azure Stack Hub: An extension of Azure.

Passaggi successiviNext steps

Modelli di connessione di distribuzione dell'hub Azure StackAzure Stack Hub deployment connection models