Bewerken

Een SharePoint Server 2016-farm met hoge beschikbaarheid uitvoeren in Azure

Azure ExpressRoute
Azure Managed Disks
Azure Virtual Machines
Azure Virtual Network
Azure VPN Gateway

Met deze referentiearchitectuur wordt een reeks beproefde procedures gegeven voor het implementeren van een SharePoint Server 2016-farm met hoge beschikbaarheid in Azure, met behulp van MinRole-topologie en SQL Server AlwaysOn-beschikbaarheidsgroepen. De SharePoint-farm wordt geïmplementeerd in een beveiligd virtueel netwerk zonder internetgericht eindpunt of aanwezigheid.

Architectuur

Architecture diagram that shows a highly available SharePoint Server 2016 farm in Azure.

Een Visio-bestand van deze architectuur downloaden.

Deze architectuur is gebaseerd op de architectuur die wordt weergegeven in [Windows-VM's uitvoeren voor een N-tier-toepassing][windows-n-tier]. Er wordt een SharePoint Server 2016-farm geïmplementeerd met hoge beschikbaarheid in een virtueel Azure-netwerk. De architectuur is geschikt voor een test- of productieomgeving, een hybride SharePoint-infrastructuur met Microsoft 365, of als basis voor een noodherstelscenario.

Onderdelen

  • Resourcegroepen zijn containers die gerelateerde Azure-resources bevatten. Eén resourcegroep wordt gebruikt voor de SharePoint-servers en een andere resourcegroep wordt gebruikt voor infrastructuuronderdelen die onafhankelijk zijn van virtuele machines (VM's), zoals het virtuele netwerk en load balancers.

  • Azure Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. De VM's worden geïmplementeerd in een virtueel netwerk met een unieke intranetadresruimte. Het virtuele netwerk is verder onderverdeeld in subnetten.

  • VM's zijn on-demand, schaalbare computingresources die beschikbaar zijn met Azure. De VM's worden geïmplementeerd in het virtuele netwerk en privé statische IP-adressen worden toegewezen aan alle VIRTUELE machines. Er wordt aanbevolen statische IP-adressen te gebruiken voor de virtuele machines waarop SQL Server en SharePoint Server 2016 wordt uitgevoerd, om problemen te vermijden met caching van IP-adressen en wijzigingen in IP-adressen na het opnieuw opstarten.

  • Beschikbaarheidssets zijn logische groeperingen van VM's. Plaats de VM's voor elke SharePoint-rol in afzonderlijke beschikbaarheidssets en richt ten minste twee VM's in voor elke rol. Met deze configuratie komen de VM's in aanmerking voor een hogere SLA (Service Level Agreement).

  • Azure Load Balancer distribueert SharePoint-aanvraagverkeer van het on-premises netwerk naar de front-endwebservers van de SharePoint-farm. Deze oplossing maakt gebruik van een interne load balancer. Als alternatief voor HTTP-verkeer kan Azure-toepassing Gateway worden gebruikt.

  • Netwerkbeveiligingsgroepen filteren verkeer in een virtueel Azure-netwerk. Voor elk subnet met VM's wordt een netwerkbeveiligingsgroep gemaakt. Gebruik netwerkbeveiligingsgroepen om netwerkverkeer binnen een virtueel netwerk te beperken om subnetten te isoleren.

  • Azure ExpressRoute of een site-naar-site-VPN zoals Azure VPN Gateway biedt een verbinding tussen uw on-premises netwerk en het virtuele Azure-netwerk. Zie Connect an on-premises network to Azure (Een on-premises netwerk verbinden met Azure) voor meer informatie.

  • Windows Server Ad-domeincontrollers (Active Directory) verifiëren gebruikers binnen een domein. De domeincontrollers in deze referentiearchitectuur worden uitgevoerd in het virtuele Azure-netwerk en hebben een vertrouwensrelatie met het on-premises Windows Server AD-forest. Clientwebaanvragen voor SharePoint-farmbronnen worden geverifieerd in het virtuele netwerk in plaats van dat dit verificatieverkeer via de gatewayverbinding naar het on-premises netwerk wordt verzonden. In DNS worden intranet A- of CNAME-records gemaakt, zodat intranetgebruikers de naam van de SharePoint-farm kunnen omzetten naar het privé-IP-adres van de interne load balancer.

    SharePoint Server 2016 biedt ook ondersteuning voor het gebruik van Microsoft Entra Domain Services. Microsoft Entra Domain Services biedt beheerde domeinservices, zodat u geen domeincontrollers in Azure hoeft te implementeren en beheren.

  • SQL Server AlwaysOn-beschikbaarheidsgroepen bieden een oplossing voor hoge beschikbaarheid en herstel na noodgevallen. We raden ze aan voor hoge beschikbaarheid van de SQL Server-database. Er worden twee VM's gebruikt voor SQL Server. De ene bevat de primaire databasereplica en de andere bevat de secundaire replica.

  • Met een VM met een meerderheidsknooppunt kan het failovercluster een quorum tot stand brengen. Raadpleeg Understanding Quorum Configurations in a Failover Cluster (Inzicht in quorumconfiguraties in een failovercluster) voor meer informatie.

  • SharePoint Server biedt een platform voor gedeelde toegang. De SharePoint-servers voeren de web-front-end, caching, toepassing en zoekrollen uit.

  • Een jumpbox, ook wel een bastionhost genoemd, is een beveiligde VIRTUELE machine in het netwerk die beheerders gebruiken om verbinding te maken met de andere VM's. De jumpbox heeft een netwerkbeveiligingsgroep die alleen extern verkeer vanaf openbare IP-adressen op een veilige lijst toestaat. De netwerkbeveiligingsgroep moet extern bureaubladverkeer (RDP) toestaan.

Aanbevelingen

Uw vereisten kunnen afwijken van de architectuur die hier wordt beschreven. Gebruik deze aanbevelingen als uitgangspunt.

Aanbevelingen voor resourcegroepen

We raden aan resourcegroepen op basis van serverfunctie te scheiden en een afzonderlijke resourcegroep te gebruiken voor de infrastructuuronderdelen die algemene resources zijn. In deze architectuur vormen de SharePoint-resources één groep en bestaat de andere groep uit de SQL Server en andere hulpprogramma's.

Aanbevelingen voor virtueel netwerk en subnet

Gebruik één subnet voor elke SharePoint-rol, plus een subnet voor de gateway en één voor de jumpbox.

Het gatewaysubnet moet de naam GatewaySubnet krijgen. Wijs de adresruimte van de gatewaysubnet toe vanaf het laatste deel van de adresruimte van het virtuele netwerk. Raadpleeg Connect an on-premises network to Azure using a VPN gateway (Een on-premises netwerk verbinden met Azure met behulp van een VPN-gateway) voor meer informatie.

Aanbevelingen voor virtuele machines

Deze architectuur vereist ten minste 44 kernen:

  • Acht SharePoint-servers op Standard_DS3_v2 (elk 4 kernen) = 32 kernen
  • Twee Active Directory-domeincontrollers op Standard_DS1_v2 (elk 1 kern) = 2 kernen
  • Twee SQL Server-VM's op Standard_DS3_v2 = 8 kernen
  • Eén meerderheidsknooppunt op Standard_DS1_v2 = 1 kern
  • Eén beheerserver op Standard_DS1_v2 = 1 kern

Voor alle SharePoint-rollen, met uitzondering van de zoekindexeerfunctie, wordt u aangeraden de VM-grootte Standard_DS3_v2 te gebruiken. De zoekindexeerfunctie moet ten minste de grootte Standard_DS13_v2 hebben. Zie Hardware and software requirements for SharePoint Server 2016 (Hardware- en softwarevereisten voor SharePoint Server 2016) voor meer informatie. Voor de VIRTUELE SQL Server-machines raden we minimaal 4 kernen en 8 GB RAM-geheugen aan. Raadpleeg voor meer informatie Storage and SQL Server capacity planning and configuration (SharePoint Server) (Capaciteitsplanning en configuratie voor opslag en SQL Server (SharePoint-server)).

Aanbevelingen voor netwerkbeveiligingsgroepen

U wordt aangeraden één netwerkbeveiligingsgroep te gebruiken voor elk subnet dat VM's bevat, om subnetisolatie in te schakelen. Als u subnetisolatie wilt configureren, voegt u regels voor netwerkbeveiligingsgroepen toe waarmee het toegestane of geweigerde binnenkomende of uitgaande verkeer voor elk subnet wordt gedefinieerd. Raadpleeg Netwerkverkeer filteren met netwerkbeveiligingsgroepen voor meer informatie.

Wijs geen netwerkbeveiligingsgroep toe aan het gatewaysubnet, anders werkt de gateway niet meer.

Aanbevelingen voor opslag

De opslagconfiguratie van de virtuele machines in de farm moet overeenkomen met de toepasselijke best practices voor on-premises implementaties. SharePoint-servers moeten een aparte schijf voor logboeken hebben. SharePoint-servers die indexrollen hosten, vereisen extra schijfruimte voor het opslaan van de zoekindex. De standaardprocedure voor SQL Server is om gegevens en logboeken te scheiden. Voeg meer schijven toe voor back-upopslag van de database en gebruik een afzonderlijke schijf voor tempdb.

Voor de beste betrouwbaarheid raden we u aan om Azure Managed Disks te gebruiken. Beheerde schijven zorgen ervoor dat de schijven voor virtuele machines binnen een beschikbaarheidsset worden geïsoleerd om een Single Point of Failure te voorkomen.

Gebruik Premium beheerde schijven voor alle VM's van SQL Server en SharePoint. U kunt Standard beheerde schijven gebruiken voor de hoofdknooppuntserver, de domeincontrollers en de beheerserver.

Aanbevelingen voor SharePoint Server

Voordat u de SharePoint-farm configureert, moet u een Windows Server Active Directory-serviceaccount per service hebben. Voor deze architectuur hebt u minimaal de volgende accounts op domeinniveau nodig om bevoegdheden per rol te isoleren:

  • SQL Server-serviceaccount
  • Gebruikersaccount voor instellen
  • Serverfarm-account
  • Search Service-account
  • Account voor inhoudstoegang
  • Accounts voor web-app-pool
  • Accounts voor service-app-pool
  • Supergebruikersaccount voor cache
  • Superlezeraccount voor cache

Zorg dat u de zoekarchitectuur plant om aan de vereiste ondersteuning voor een schijfdoorvoer van minimaal 200 MB per seconde te voldoen. Zie Plan enterprise search architecture in SharePoint Server 2013 (Zakelijke zoekarchitectuur in SharePoint Server 2013 plannen). Volg ook de richtlijnen in Aanbevolen procedures voor het verkennen in SharePoint Server 2016.

Bovendien moet u de gegevens van het zoekonderdeel opslaan op een afzonderlijk opslagvolume of een afzonderlijke partitie met hoge prestaties. Configureer de gebruikersaccounts voor de objectcache, die vereist zijn in deze architectuur, om de belasting te verminderen en de doorvoer te verbeteren. Verdeel de bestanden van het Windows Server-besturingssysteem, de programmabestanden van SharePoint Server 2016 en de diagnoselogboeken over drie afzonderlijke opslagvolumes of partities met normale prestaties.

Raadpleeg Initial deployment administrative and service accounts in SharePoint Server 2016 (Beheer- en serviceaccounts voor de eerste implementatie in SharePoint Server 2016) voor meer informatie over deze aanbevelingen.

Hybride werkbelastingen

Met deze referentiearchitectuur wordt een SharePoint Server 2016-farm geïmplementeerd die kan worden gebruikt als een hybride SharePoint-omgeving, namelijk sharePoint Server 2016 uitbreiden naar SharePoint Online. Zie Ondersteuningsmogelijkheden voor Office Web Apps en Office Online Server in Azure als u Office Online Server hebt.

De standaardservicetoepassingen in deze oplossing zijn ontworpen ter ondersteuning van hybride workloads. Alle hybride sharePoint Server 2016- en Microsoft 365-workloads kunnen worden geïmplementeerd in deze farm zonder wijzigingen in de SharePoint-infrastructuur, met één uitzondering: de Cloud Hybrid Search Service-toepassing mag niet worden geïmplementeerd op servers die als host fungeren voor een bestaande zoektopologie. Daarom moeten er een of meer op zoekrollen gebaseerde virtuele machines aan de farm worden toegevoegd om dit hybride scenario te ondersteunen.

SQL Server AlwaysOn-beschikbaarheidsgroepen

Deze architectuur maakt gebruik van SQL Server-VM's omdat SharePoint Server 2016 geen gebruik kan maken van Azure SQL Database. Voor hoge beschikbaarheid in SQL Server, raden we aan AlwaysOn-beschikbaarheidsgroepen te gebruiken. Deze specificeren een set databases die samen een failover kunnen uitvoeren, waardoor ze hoge beschikbaarheid en herstelmogelijkheden bieden. Raadpleeg De beschikbaarheidsgroep maken en de SharePoint-databases toevoegen voor meer informatie.

We raden u ook aan een listener-IP-adres toe te voegen aan het cluster. Dit is het privé-IP-adres van de interne load balancer voor de SQL Server-VM's.

Zie Best practices voor prestaties voor SQL Server op virtuele machines van Azure voor aanbevolen VM-grootten en andere prestatieaanbevelingen voor SQL Server die wordt uitgevoerd in Azure. Volg ook de aanbevelingen in Best practices for SQL Server in a SharePoint Server 2016 farm (Best practices voor SQL Server in een SharePoint Server 2016-farm).

Het is raadzaam dat de meerderheidsknooppuntserver zich op een afzonderlijke computer bevindt van de replicatiepartners. De server schakelt de server van de secundaire replicatiepartner in een sessie met hoge veiligheidsmodus in om te bepalen of er een automatische failover moet worden gestart. In tegenstelling tot de twee partners, dient de hoofdknooppuntserver niet de database, maar ondersteunt in plaats daarvan automatische failover.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Schaalbaarheid

Als u de bestaande servers wilt opschalen, wijzigt u de VM-grootte.

Met de MinRoles-functionaliteit in SharePoint Server 2016 kunt u servers uitschalen op basis van de serverfunctie en servers van een rol verwijderen. Als u servers aan een rol toevoegt, kunt u een van de enkele rollen of een van de gecombineerde rollen opgeven. Als u echter servers aan de zoekrol toevoegt, moet u ook de zoektopologie opnieuw configureren met behulp van PowerShell. U kunt ook rollen converteren met MinRoles. Zie Managing a MinRole Server Farm in SharePoint Server 2016 (Een MinRole-serverfarm in SharePoint Server 2016 beheren) voor meer informatie.

SharePoint Server 2016 biedt geen ondersteuning voor het gebruik van virtuele-machineschaalsets voor automatisch schalen.

Beschikbaarheid

Deze referentiearchitectuur ondersteunt hoge beschikbaarheid binnen een Azure-regio omdat voor elke rol ten minste twee VM's zijn geïmplementeerd in een beschikbaarheidsset.

Maak een afzonderlijke farm voor herstel na noodgevallen in een andere Azure-regio ter bescherming tegen een regionaal noodgeval. De vereisten voor de installatie worden bepaald door de beoogde hersteltijden (RTO's) en beoogde herstelpunten (RPO's). Raadpleeg Choose a disaster recovery strategy for SharePoint 2016 (Een strategie voor noodherstel kiezen voor SharePoint 2016) voor meer informatie. De secundaire regio moet gekoppeld zijn met de primaire regio. In het geval van een grootschalige storing wordt één regio van de twee prioriteit gegeven. Zie Bedrijfscontinuïteit en herstel na noodgevallen (BCDR): gekoppelde Azure-regio's voor meer informatie.

Beheerbaarheid

Volg de aanbevolen procedures voor SharePoint-bewerkingen om servers, serverfarms en sites te gebruiken en onderhouden. Raadpleeg Operations for SharePoint Server 2016 (Bewerkingen voor SharePoint Server 2016) voor meer informatie.

De taken om te overwegen wanneer SQL Server in een SharePoint-omgeving wordt beheerd, kunnen afwijken van de taken die doorgaans worden overwogen voor een databasetoepassing. Een best practice is om wekelijks een volledige back-up te maken van alle SQL-databases met stapsgewijze back-ups 's nachts. Maak om de 15 minuten back-ups van transactielogboeken. Een andere best practice is om SQL Server-onderhoudstaken op de databases te implementeren terwijl de ingebouwde SharePoint-onderhoudstaken worden uitgeschakeld. Raadpleeg Storage and SQL Server capacity planning and configuration (Capaciteitsplanning en configuratie voor opslag en SQL Server) voor meer informatie.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Voor de serviceaccounts op domeinniveau die worden gebruikt voor het uitvoeren van SharePoint Server 2016, zijn Windows Server AD-domeincontrollers of Microsoft Entra Domain Services vereist voor domeindeelname- en verificatieprocessen. Deze architectuur maakt echter al gebruik van twee VM's als Windows Server AD-replicadomeincontrollers van een bestaande on-premises Windows Server AD-forest om de identiteitsinfrastructuur van Windows Server AD op het intranet uit te breiden.

Daarnaast is het altijd verstandig om te plannen voor de verbetering van de beveiliging. Andere aanbevelingen zijn onder andere:

  • Voeg regels toe aan netwerkbeveiligingsgroepen om subnetten en rollen te isoleren.
  • Wijs geen openbare IP-adressen toe aan virtuele machines.
  • U kunt een virtueel netwerkapparaat gebruiken vóór de front-end webservers in plaats van een interne load balancer van Azure voor inbreukdetectie en analyse van nettoladingen.
  • Gebruik eventueel IPSec-beleid voor het versleutelen van niet-versleuteld verkeer tussen servers. Als u ook subnetisolatie uitvoert, werkt u de regels voor de netwerkbeveiligingsgroep bij om IPsec-verkeer toe te staan.
  • Installeer anti-malware-agents voor de virtuele machines.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Gebruik de Azure-prijscalculator om een schatting van de kosten te maken. Hier volgen enkele factoren voor het optimaliseren van de kosten voor deze architectuur.

Active Directory Domain Services

Overweeg om Active Directory Domain Services te gebruiken als een gedeelde service die voor meerdere workloads wordt gebruikt om de kosten te verlagen. Zie Active Directory-domein Services-prijzen voor meer informatie voor meer informatie.

VPN Gateway

Het factureringsmodel is gebaseerd op de hoeveelheid tijd die het kost om de gateway in te richten en beschikbaar te maken. Zie prijzen voor VPN Gateway.

Al het inkomende verkeer is gratis. Al het uitgaande verkeer wordt gefactureerd. Kosten voor internetbandbreedte worden toegepast op uitgaand VPN-verkeer.

Virtual Network

Virtual Network is gratis. Met elk abonnement mogen maximaal 50 virtuele netwerken worden gemaakt in alle regio's. Al het verkeer dat afkomstig is uit een virtueel netwerk (en niet erbuiten) is gratis. De communicatie tussen twee VM’s binnen hetzelfde virtuele netwerk is dus gratis.

Deze architectuur bouwt voort op de architectuur die is geïmplementeerd in [Windows-VM's uitvoeren voor een N-tier-toepassing][windows-n-tier].

Raadpleeg de kostensectie in Microsoft Azure Well-Architected Framework voor meer informatie.

DevOps

Overweeg het gebruik van afzonderlijke resourcegroepen voor productie-, ontwikkelings- en testomgevingen. Met afzonderlijke resourcegroepen kunt u eenvoudiger implementaties beheren, testimplementaties verwijderen en toegangsrechten verlenen. In het algemeen kunt u resources die dezelfde levenscyclus hebben het beste in dezelfde resourcegroep onderbrengen. Gebruik de Developer-laag voor ontwikkel- en test omgevingen. Als u de kosten tijdens de preproductie wilt minimaliseren, implementeert u een replica van uw productie-omgeving, voert u uw tests uit en sluit u deze af.

Gebruik Azure Resource Manager-sjablonen of Azure Bicep-sjablonen om de infrastructuur te definiëren. In beide gevallen volgt u de IaC-procedure (Infrastructuur als code) voor het implementeren van de resources. Als u de implementatie van de infrastructuur wilt automatiseren, kunt u Azure DevOps-services of andere CI/CD-oplossingen gebruiken. Het implementatie proces is ook idempotent, dat wil zeggen, herhaalbaar om dezelfde resultaten te produceren. Azure Pipelines maakt deel uit van Azure DevOps Services en voert automatische builds, tests en implementaties uit.

Structureer uw implementatiesjablonen volgens de workloadcriteria, identificeer afzonderlijke werkeenheden en neem deze op in hun eigen sjabloon. In dit scenario worden ten minste zeven workloads geïdentificeerd en geïsoleerd in hun eigen sjablonen: het virtuele Azure-netwerk en de VPN-gateway, de beheersprongbox, AD-domeincontrollers en SQL Server-VM's, het failovercluster en de beschikbaarheidsgroep, en de resterende VM's, het primaire Sharepoint-knooppunt, de Sharepoint-cache en de regels voor netwerkbeveiligingsgroepen. Met de isolatie van workloads kunt u de specifieke resources van de workload gemakkelijker koppelen aan een team, zodat het team onafhankelijk alle aspecten van deze resources kan beheren. Dankzij deze isolatie kan DevOps continue integratie en continue levering (CI/CD) uitvoeren. Met deze configuratie kunt u ook de fasering van uw workloads uitvoeren, wat betekent dat u in verschillende fasen implementeert en validaties uitvoert in elke fase voordat u verdergaat met de volgende. Op deze manier kunt u updates naar uw productieomgevingen pushen op een zeer gecontroleerde manier en onverwachte implementatieproblemen minimaliseren.

Overweeg het gebruik van Azure Monitor om de prestaties van uw infrastructuur te analyseren en te optimaliseren, netwerkproblemen te bewaken en diagnosticeren zonder u aan te melden bij uw VM's.

Zie de sectie DevOps in Azure Well-Architected Framework voor meer informatie.

Volgende stappen

Zie de volgende onderwerpen voor meer informatie over de afzonderlijke onderdelen van de oplossingsarchitectuur: