Questa architettura di riferimento illustra come progettare l'infrastruttura per carichi di lavoro virtualizzati e in contenitori a disponibilità elevata in scenari ROBO (Remote Office/Branch Office).
Architettura
Scaricare un file di Visio di questa architettura.
Flusso di lavoro
L'architettura incorpora le funzionalità seguenti:
- Azure Stack HCI (20H2). Azure Stack HCI è una soluzione cluster HCI (Hyper-Converged Infrastructure) che ospita carichi di lavoro Windows e Linux virtualizzati e la relativa archiviazione in un ambiente locale ibrido. Il cluster esteso può essere costituito da quattro e 16 nodi fisici.
- Controllo condivisione file. Un server di controllo della condivisione file è una condivisione SMB (Server Message Block) usata dal cluster di failover come voto nel quorum del cluster. A partire da Windows Server 2019, a questo scopo è possibile usare un'unità USB connessa a un router .
- Azure Arc. Un servizio basato sul cloud che estende il modello di gestione basato su Resource Manager di Azure a risorse non di Azure, incluse macchine virtuali (VM), cluster Kubernetes e database in contenitori.
- Criteri di Azure. Un servizio basato sul cloud che valuta le risorse di Azure e locali tramite l'integrazione con Azure Arc confrontando le proprietà con le regole business personalizzabili.
- Monitoraggio di Azure. Un servizio basato sul cloud che ottimizza la disponibilità e le prestazioni delle applicazioni e dei servizi offrendo una soluzione completa per raccogliere, analizzare e agire sui dati di telemetria dagli ambienti cloud e locali.
- Microsoft Defender for Cloud. Microsoft Defender for Cloud è un sistema unificato di gestione della sicurezza dell'infrastruttura che rafforza il comportamento di sicurezza dei data center e offre protezione avanzata dalle minacce nei carichi di lavoro ibridi nel cloud, indipendentemente dal fatto che si tratti di Azure o meno, e in locale.
- Automazione di Azure. Automazione di Azure offre un servizio di automazione e configurazione basato sul cloud che supporta la gestione coerente di ambienti Azure e non Azure.
- Rilevamento modifiche e inventario. Funzionalità di Automazione di Azure che tiene traccia delle modifiche nei server Windows Server e Linux ospitati in Azure, in locale e in altri ambienti cloud per individuare i problemi operativi e ambientali con il software gestito da Distribution Package Manager.
- Gestione aggiornamenti. Funzionalità di Automazione di Azure che semplifica la gestione degli aggiornamenti del sistema operativo per computer Windows Server e Linux in Azure, in ambienti locali e in altri ambienti cloud.
- Backup di Azure. Il servizio Backup di Azure offre soluzioni semplici, sicure ed economicamente convenienti per eseguire il backup dei dati e ripristinarli dal cloud di Microsoft Azure.
- Azure Site Recovery. Un servizio basato sul cloud che consente di garantire la continuità aziendale mantenendo in esecuzione le app e i carichi di lavoro aziendali durante le interruzioni. Site Recovery gestisce la replica e il failover dei carichi di lavoro in esecuzione in macchine virtuali e fisiche tra il sito primario e una posizione secondaria.
- Sincronizzazione file di Azure. Un servizio basato sul cloud in grado di sincronizzare e memorizzare nella cache il contenuto delle condivisioni file di Azure usando i server Windows in ambienti Azure e non Azure.
- Replica di archiviazione. Tecnologia Windows Server che consente la replica di volumi tra server o cluster per il ripristino di emergenza.
Componenti
Tecnologie chiave usate per implementare questa architettura:
- Automazione
- Azure Site Recovery
- Azure Arc
- Backup di Azure
- Registro Azure Container
- File di Azure
- Monitoraggio di Azure
- Criteri di Azure
- Microsoft Defender for Cloud
Dettagli dello scenario
Potenziali casi d'uso
Gli usi tipici di questa architettura includono gli scenari ROBO (Remote Office/Branch Office):
- Implementare carichi di lavoro perimetrali basati su contenitori a disponibilità elevata e applicazioni virtualizzate e essenziali per l'azienda in modo conveniente.
- Ridurre il costo totale di proprietà (TCO) tramite soluzioni certificate Microsoft, automazione basata sul cloud, gestione centralizzata e monitoraggio centralizzato.
- Controllare e controllare la sicurezza e la conformità usando la protezione basata su virtualizzazione, l'hardware certificato e i servizi basati sul cloud.
Consigli
Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.
Usare l'interconnessione senza commutatore di Azure Stack HCI e il quorum leggero per un'infrastruttura ROBO a disponibilità elevata e conveniente.
Negli scenari ROBO, un problema aziendale principale è ridurre al minimo i costi. Tuttavia, molti carichi di lavoro ROBO sono estremamente critici con una tolleranza molto limitata per i tempi di inattività. Azure Stack HCI offre la soluzione ottimale offrendo resilienza ed efficienza dei costi. Usando Azure Stack HCI, è possibile applicare la resilienza predefinita delle tecnologie di Spazi di archiviazione diretta e clustering di failover per implementare un'infrastruttura di calcolo, archiviazione e rete a disponibilità elevata per carichi di lavoro ROBO in contenitori e virtualizzati. Per un'efficacia dei costi, è possibile usare solo due nodi del cluster con solo quattro dischi e 64 gigabyte (GB) di memoria per nodo. Per ridurre ulteriormente i costi, è possibile usare interconnessioni senza commutatori tra nodi, eliminando così la necessità di dispositivi commutatori ridondanti. Per finalizzare la configurazione del cluster, è possibile implementare una condivisione file di controllo semplicemente usando un'unità USB connessa a un router che ospita uplink dai nodi del cluster. Per la resilienza massima, in un cluster a 2 nodi è possibile configurare Spazi di archiviazione diretta volumi con mirror bidirezionale annidato o parità accelerata con mirroring annidato. A differenza del mirroring bidirezionale tradizionale, queste opzioni tollerano più errori hardware simultanei senza perdita di dati.
Nota
Con la resilienza annidata, un cluster a 2 nodi e tutti i relativi volumi rimarranno online in seguito a un errore di un singolo nodo e a un singolo disco nel nodo sopravvissuto.
Integrare completamente le distribuzioni di Azure Stack HCI con Azure per ridurre al minimo il costo totale di proprietà negli scenari ROBO.
Come parte della famiglia di prodotti Azure Stack, Azure Stack HCI dipende intrinsecamente da Azure. Pertanto, per ottimizzare le funzionalità e il supporto, è necessario registrarlo entro 30 giorni dalla distribuzione del primo cluster Azure Stack HCI. Questo processo genera una risorsa di Azure Resource Manager corrispondente, che estende in modo efficace il piano di gestione di Azure ad Azure Stack HCI e abilita automaticamente il monitoraggio, il supporto e la funzionalità di fatturazione basati su portale di Azure.
Per ridurre al minimo il sovraccarico di gestione del cluster e del carico di lavoro di Azure Stack HCI, è consigliabile usare anche i servizi di Azure seguenti, che offrono le funzionalità seguenti:
- Monitoraggio di Azure. Raccoglie i dati di telemetria generati dai cluster e dalle relative macchine virtuali per il monitoraggio, l'analisi e l'invio di avvisi.
- Automazione di Azure, funzionalità Gestione aggiornamenti. Usare per la distribuzione e la creazione di report delle patch automatizzate della macchina virtuale Azure Stack HCI.
- Automazione di Azure, Rilevamento modifiche e funzionalità inventario. Tenere traccia delle modifiche alla configurazione delle macchine virtuali di Azure Stack HCI.
- Automazione di Azure DSC. Automatizzare una configurazione dello stato desiderata delle macchine virtuali Azure Stack HCI.
- Backup di Azure. Gestire il backup delle macchine virtuali Azure Stack HCI e dei relativi carichi di lavoro.
- Azure Site Recovery. Implementare e orchestrare il ripristino di emergenza per le macchine virtuali azure Stack HCI.
- Sincronizzazione file di Azure. Sincronizzare e livelli le condivisioni file ospitate nei cluster Azure Stack HCI.
- Servizio Azure Kubernetes. Implementare l'orchestrazione dei contenitori.
Per sfruttare ulteriormente le funzionalità di Azure, è possibile estendere l'ambito dell'integrazione di Azure Arc ai carichi di lavoro virtualizzati e in contenitori di Azure Stack HCI implementando le funzionalità seguenti:
- Server con abilitazione di Azure Arc. Usare per carichi di lavoro virtualizzati che eseguono macchine virtuali Azure Stack HCI.
- Servizi dati con abilitazione di Azure Arc. Usare per le Istanza gestita di SQL di Azure in contenitori o PostgreSQL Hyperscale in esecuzione nel servizio Azure Kubernetes e ospitate dalle macchine virtuali Azure Stack HCI.
Attenzione
Il servizio Azure Kubernetes in Azure Stack HCI e i servizi dati abilitati per Azure Arc sono in anteprima al momento della pubblicazione di questa architettura di riferimento.
Con l'ambito di Azure Arc esteso alle macchine virtuali di Azure Stack HCI, sarà possibile automatizzarne la configurazione usando le estensioni della macchina virtuale di Azure e valutarne la conformità alle normative del settore e agli standard aziendali usando Criteri di Azure.
Sfruttare la protezione basata su virtualizzazione, l'hardware certificato e i servizi basati sul cloud di Azure Stack HCI per migliorare la sicurezza e la conformità negli scenari ROBO.
Gli scenari ROBO presentano sfide uniche con la sicurezza e la conformità. Senza, o al massimo, un supporto IT locale limitato e la mancanza di data center dedicati, è particolarmente importante proteggere i carichi di lavoro da minacce interne ed esterne. Le funzionalità di Azure Stack HCI e la relativa integrazione con i servizi di Azure possono risolvere questo problema.
L'hardware certificato di Azure Stack HCI garantisce il supporto predefinito di avvio protetto, UEFI (Unified Extensible Firmware Interface) e Trusted Platform Module (TPM). Queste tecnologie, combinate con la sicurezza basata su virtualizzazione (VBS), consentono di proteggere i carichi di lavoro sensibili alla sicurezza. Crittografia unità BitLocker consente di crittografare i volumi Spazi di archiviazione diretta inattivi mentre la crittografia SMB fornisce la crittografia automatica in transito, semplificando la conformità agli standard come Federal Information Processing Standard 140-2 (FIPS 140-2) e Health Insurance Portability e Accountability Act (HIPAA).
È inoltre possibile eseguire l'onboarding di macchine virtuali HCI di Azure Stack in Microsoft Defender for Cloud per attivare l'analisi comportamentale basata sul cloud, il rilevamento delle minacce e la correzione, l'avviso e la creazione di report. Analogamente, eseguendo l'onboarding di macchine virtuali HCI di Azure Stack in Azure Arc, è possibile usare Criteri di Azure per valutare la conformità alle normative del settore e agli standard aziendali.
Considerazioni
Microsoft Azure Well-Architected Framework è un set di set di set di guida seguiti in questa architettura di riferimento. Le considerazioni seguenti sono inquadrate nel contesto di questi set.
Affidabilità
L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni che l'utente ha preso con i clienti. Per altre informazioni, vedere Panoramica del pilastro di affidabilità.
Le considerazioni sull'affidabilità includono:
- Miglioramento Spazi di archiviazione diretta velocità di ripristino del volume (definita anche risync). Spazi di archiviazione diretta fornisce eventi di risincronizzazione automatica che influiscono sulla disponibilità dei dischi del pool di archiviazione, ad esempio l'arresto di un nodo del cluster o un errore hardware localizzato. Azure Stack HCI implementa un processo resync avanzato che opera in modo molto più fine rispetto a Windows Server 2019 e riduce significativamente il tempo di operazione di risincronizzazione. Questo riduce al minimo l'impatto potenziale di più errori hardware sovrapposti.
- Selezione del server di controllo del clustering di failover. Il server di controllo basato su unità USB leggero elimina le dipendenze dalla connettività Internet affidabile, necessaria quando si usa la configurazione basata su server di controllo cloud.
Sicurezza
La sicurezza offre garanzie contro attacchi intenzionali e l'abuso dei dati e dei sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.
Le considerazioni sulla sicurezza includono:
- Sicurezza di base di Azure Stack HCI. Sfruttare i componenti hardware di Azure Stack HCI (ad esempio Avvio sicuro, UEFI e TPM) per creare una base sicura per la sicurezza a livello di macchina virtuale azure Stack HCI, tra cui Device Guard e Credential Guard. Usare Windows Admin Center controllo degli accessi in base al ruolo per delegare le attività di gestione seguendo il principio dei privilegi minimi.
- Sicurezza avanzata di Azure Stack HCI. Applicare le baseline di sicurezza Microsoft ai cluster HCI di Azure Stack e ai carichi di lavoro di Windows Server usando Active Directory Domain Services (AD DS) con Criteri di gruppo. È possibile usare Microsoft Advanced Threat Analytics (ATA) per rilevare e correggere le minacce informatiche destinate ai controller di dominio Active Directory Domain Services che forniscono servizi di autenticazione ai cluster Azure Stack HCI e ai carichi di lavoro di Windows Server.
Ottimizzazione dei costi
L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.
Le considerazioni sull'ottimizzazione dei costi includono:
- Interconnetti cluster basati su commutatori e senza commutatori. La topologia di interconnessione senza commutatori è costituita da connessioni ridondanti tra schede a porta singola o doppia porta Remote Direct Memory Access (RDMA) su ogni nodo (che forma una mesh completa), con ogni nodo connesso direttamente a ogni altro nodo. Sebbene ciò sia semplice da implementare in un cluster a 2 nodi, i cluster più grandi richiedono schede di rete aggiuntive nell'hardware di ogni nodo.
- Modello di fatturazione in stile cloud. I prezzi di Azure Stack HCI seguono il modello di fatturazione della sottoscrizione mensile, con una tariffa flat per ogni core del processore fisico in un cluster Azure Stack HCI.
Attenzione
Sebbene non siano presenti requisiti di licenza software locali per i nodi del cluster che ospitano l'infrastruttura HCI di Azure Stack, le macchine virtuali HCI di Azure Stack potrebbero richiedere licenze del sistema operativo singole. Gli addebiti aggiuntivi per l'utilizzo possono essere applicati anche se si usano altri servizi di Azure.
Eccellenza operativa
L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.
Le considerazioni sull'eccellenza operativa includono:
- Esperienza di provisioning e gestione semplificata con Windows Admin Center. La Creazione guidata cluster in Windows Admin Center fornisce un'interfaccia guidata guidata che illustra la creazione di un cluster Azure Stack HCI. Analogamente, Windows Admin Center semplifica il processo di gestione delle macchine virtuali HCI di Azure Stack.
- Funzionalità di automazione. Azure Stack HCI offre un'ampia gamma di funzionalità di automazione, con aggiornamenti del sistema operativo combinati con aggiornamenti full-stack, inclusi firmware e driver forniti dai fornitori e dai partner di Azure Stack HCI. Con Cluster-Aware Aggiornamento (CAU), gli aggiornamenti del sistema operativo vengono eseguiti automaticamente mentre i carichi di lavoro HCI di Azure Stack rimangono online. Ciò comporta transizioni semplici tra nodi del cluster che eliminano l'impatto dai riavvii post-patch. Azure Stack HCI offre anche il supporto per il provisioning automatico del cluster e la gestione delle macchine virtuali usando Windows PowerShell. È possibile eseguire Windows PowerShell in locale da uno dei server Azure Stack HCI o in remoto da un computer di gestione. L'integrazione con Automazione di Azure e Azure Arc facilita un'ampia gamma di scenari di automazione aggiuntivi per carichi di lavoro virtualizzati e in contenitori.
- Complessità di gestione ridotta. L'interconnessione senza cambio elimina il rischio di errori del dispositivo switch e la necessità di configurazione e gestione.
Efficienza delle prestazioni
L'efficienza delle prestazioni è la capacità di ridimensionare il carico di lavoro soddisfare in modo efficiente le richieste poste dagli utenti. Per altre informazioni, vedere Panoramica dell'efficienza delle prestazioni.
Le considerazioni sull'efficienza delle prestazioni includono:
- Resilienza dell'archiviazione rispetto all'efficienza dell'utilizzo rispetto alle prestazioni. La pianificazione per i volumi di Azure Stack HCI comporta l'identificazione dell'equilibrio ottimale tra resilienza, efficienza di utilizzo e prestazioni. La sfida deriva dal fatto che l'ottimizzazione di una di queste caratteristiche ha in genere un impatto negativo su almeno una delle altre due. Ad esempio, l'aumento della resilienza riduce la capacità utilizzabile, mentre le prestazioni risultanti possono variare a seconda del tipo di resilienza. Nel caso dei volumi mirror bidirezionali annidati o dei volumi di parità accelerata con mirroring annidato, la resilienza più elevata comporta una maggiore efficienza di capacità rispetto al mirroring bidirezionale tradizionale. Allo stesso tempo, il volume mirror bidirezionale annidato offre prestazioni migliori rispetto al volume di parità accelerata del mirror annidato, ma a costo di un'efficienza di utilizzo inferiore.
- Spazi di archiviazione diretta configurazione del disco. Spazi di archiviazione diretta supporta unità disco rigido (HDD), unità a stato solido (SSD) e tipi di unità NVMe. Il tipo di unità influisce direttamente sulle prestazioni a causa delle differenze tra ogni tipo e il meccanismo di memorizzazione nella cache, che è una parte integrante della configurazione Spazi di archiviazione diretta. A seconda dei carichi di lavoro di Azure Stack HCI e dei vincoli di budget, è possibile scegliere di ottimizzare le prestazioni, ottimizzare la capacità o implementare una configurazione dell'unità che fornisce un equilibrio tra prestazioni e capacità.
- Ottimizzazione della memorizzazione nella cache dell'archiviazione. Spazi di archiviazione diretta offre una cache predefinita, persistente, in tempo reale, di lettura e scrittura, che ottimizza le prestazioni di archiviazione. La cache deve essere ridimensionata e configurata per soddisfare il set di lavoro delle applicazioni e dei carichi di lavoro. Azure Stack HCI è inoltre compatibile con la cache di lettura in memoria del volume condiviso del cluster. L'uso della memoria di sistema per memorizzare nella cache le letture può migliorare le prestazioni di Hyper-V.
- Ottimizzazione delle prestazioni di calcolo. Azure Stack HCI offre supporto per l'accelerazione dell'unità di elaborazione grafica (GPU), destinata ai carichi di lavoro di intelligenza artificiale/ML ad alte prestazioni che si basano sugli scenari perimetrali.
- Ottimizzazione delle prestazioni di rete. Come parte della progettazione, assicurarsi di includere l'allocazione della larghezza di banda del traffico proiettata quando si determina la configurazione hardware di rete ottimale. Include il provisioning dei requisiti minimi di larghezza di banda minimi di interconnessione senza cambio.
Passaggi successivi
Documentazione sui prodotti:
- Informazioni su Site Recovery
- panoramica Automazione di Azure State Configuration
- Servizio Azure Kubernetes
- Panoramica di Monitoraggio di Azure
- Panoramica di Rilevamento modifiche e inventario
- Gestire i server registrati con Sincronizzazione file di Azure
- Panoramica di Gestione aggiornamenti
- Che cosa sono i servizi dati abilitati per Azure Arc?
- Cosa sono i server abilitati per Azure Arc?
- Informazioni sul servizio Backup di Azure
Moduli di Microsoft Learn:
- Configurare File di Azure e Sincronizzazione file di Azure
- Configurare Monitoraggio di Azure
- Progettare la soluzione di ripristino sito in Azure
- Introduzione ai server con abilitazione di Azure Arc
- Introduzione ai servizi dati abilitati per Azure Arc
- Introduzione al servizio Azure Kubernetes
- Mantenere le macchine virtuali sempre aggiornate
- Proteggere le impostazioni della macchina virtuale con il servizio State Configuration di Automazione di Azure
- Proteggere le macchine virtuali usando Backup di Azure
Risorse correlate
- Progettazione di architetture ibride
- Opzioni ibride di Azure
- Automazione di Azure in un ambiente ibrido
- State Configuration di Automazione di Azure
- Usare i cluster estesi di Azure Stack HCI per il ripristino di emergenza
- Ottimizzare l'amministrazione delle istanze di SQL Server in ambienti locali e multicloud usando Azure Arc