Executar um farm do SharePoint Server 2016 de elevada disponibilidade no AzureRun a highly available SharePoint Server 2016 farm in Azure

Esta arquitetura de referência mostra práticas comprovadas para implementar um farm do SharePoint Server 2016 de elevada disponibilidade no Azure com a topologia MinRole e os grupos de disponibilidade AlwaysOn do SQL Server.This reference architecture shows proven practices for deploying a highly available SharePoint Server 2016 farm on Azure, using MinRole topology and SQL Server Always On availability groups. O farm do SharePoint é implementado numa rede virtual protegida sem presença ou ponto final com acesso à Internet.The SharePoint farm is deployed in a secured virtual network with no Internet-facing endpoint or presence. Implementar esta solução.Deploy this solution.

Arquitetura de referência de um farm do SharePoint Server 2016 de elevada disponibilidade no Azure

Transferir um ficheiro do Visio desta arquitetura.Download a Visio file of this architecture.

ArquiteturaArchitecture

Esta arquitetura baseia-se na mostrada em Executar VMs do Windows para uma aplicação de N camadas.This architecture builds on the one shown in Run Windows VMs for an N-tier application. Implementa um farm do SharePoint Server 2016 com elevada disponibilidade numa rede virtual do Azure (VNet).It deploys a SharePoint Server 2016 farm with high availability inside an Azure virtual network (VNet). Esta arquitetura é adequada para um ambiente de teste ou produção, uma infraestrutura híbrida do SharePoint com Office 365 ou como base de um cenário de recuperação após desastre.This architecture is suitable for a test or production environment, a SharePoint hybrid infrastructure with Office 365, or as the basis for a disaster recovery scenario.

A arquitetura é composta pelos seguintes componentes:The architecture consists of the following components:

  • Grupos de recursos.Resource groups. Um grupo de recursos é um contentor que retém recursos relacionados do Azure.A resource group is a container that holds related Azure resources. Um grupo de recursos é utilizado para os servidores do SharePoint e outro grupo de recursos é utilizado para os componentes da infraestrutura independentes das VMs, como a rede virtual e os balanceadores de carga.One resource group is used for the SharePoint servers, and another resource group is used for infrastructure components that are independent of VMs, such as the virtual network and load balancers.

  • Rede virtual (VNet).Virtual network (VNet). As VMs são implementadas numa VNet com um espaço de endereços da intranet exclusivo.The VMs are deployed in a VNet with a unique intranet address space. A VNet está ainda subdividida em sub-redes.The VNet is further subdivided into subnets.

  • Máquinas virtuais (VMs).Virtual machines (VMs). As VMs são implementadas na VNet e são atribuídos endereços IP estáticos privados a todas as VMs.The VMs are deployed into the VNet, and private static IP addresses are assigned to all of the VMs. Os endereços IP estáticos são recomendados para as VMs que executam o SQL Server e o SharePoint Server 2016, para evitar problemas com a colocação em cache de endereços IP e as alterações de endereços após um reinício.Static IP addresses are recommended for the VMs running SQL Server and SharePoint Server 2016, to avoid issues with IP address caching and changes of addresses after a restart.

  • Conjuntos de disponibilidade.Availability sets. Coloque as VMs para cada função do SharePoint em conjuntos de disponibilidade separados e aprovisione, pelo menos, duas máquinas virtuais (VMs) para cada função.Place the VMs for each SharePoint role into separate availability sets, and provision at least two virtual machines (VMs) for each role. Isto torna as VMs elegíveis para um contrato de nível de serviço (SLA) superior.This makes the VMs eligible for a higher service level agreement (SLA).

  • Balanceador de carga interno.Internal load balancer. O balanceador de carga distribui o tráfego do pedido do SharePoint da rede no local para os servidores Web de front-end do farm do SharePoint.The load balancer distributes SharePoint request traffic from the on-premises network to the front-end web servers of the SharePoint farm.

  • Grupos de segurança de rede (NSGs).Network security groups (NSGs). Para cada sub-rede com máquinas virtuais, é criado um grupo de segurança de rede.For each subnet that contains virtual machines, a network security group is created. Utilize NSGs para restringir o tráfego de rede na VNet, de forma a isolar as sub-redes.Use NSGs to restrict network traffic within the VNet, in order to isolate subnets.

  • Gateway.Gateway. O gateway fornece uma ligação entre a rede no local e a rede virtual do Azure.The gateway provides a connection between your on-premises network and the Azure virtual network. A sua ligação pode utilizar o ExpressRoute ou uma VPN de site a site.Your connection can use ExpressRoute or site-to-site VPN. Para obter mais informações, veja Ligar uma rede no local ao Azure.For more information, see Connect an on-premises network to Azure.

  • Controladores de domínio do Windows Server Active Directory (AD).Windows Server Active Directory (AD) domain controllers. Esta arquitetura de referência implementa controladores de domínio do Windows Server AD.This reference architecture deploys Windows Server AD domain controllers. Estes controladores de domínio são executados na VNet do Azure e têm uma relação de confiança com a floresta do Windows Server AD no local.These domain controllers run in the Azure VNet and have a trust relationship with the on-premises Windows Server AD forest. Os pedidos Web do cliente para recursos de farm do SharePoint são autenticados na VNet em vez de enviar esse tráfego de autenticação pela ligação do gateway para a rede no local.Client web requests for SharePoint farm resources are authenticated in the VNet rather than sending that authentication traffic across the gateway connection to the on-premises network. No DNS, são criados registos de intranet A ou CNAME para que os utilizadores da intranet possam resolver o nome do farm do SharePoint para o endereço IP privado do balanceador de carga interno.In DNS, intranet A or CNAME records are created so that intranet users can resolve the name of the SharePoint farm to the private IP address of the internal load balancer.

    O SharePoint Server 2016 também suporta a utilização do Azure Active Directory Domain Services.SharePoint Server 2016 also supports using Azure Active Directory Domain Services. O Azure AD Domain Services fornece serviços de domínio gerido, para que não precise de implementar e gerir controladores de domínio no Azure.Azure AD Domain Services provides managed domain services, so that you don't need to deploy and manage domain controllers in Azure.

  • Grupo de Disponibilidade Always On do SQL Server.SQL Server Always On Availability Group. Para elevada disponibilidade da base de dados do SQL Server, recomendamos Grupos de Disponibilidade Always On do SQL Server.For high availability of the SQL Server database, we recommend SQL Server Always On Availability Groups. São utilizadas duas máquinas virtuais para o SQL Server.Two virtual machines are used for SQL Server. Uma contém a réplica da base de dados principal e a outra contém a réplica secundária.One contains the primary database replica and the other contains the secondary replica.

  • VM de nós principal.Majority node VM. Esta VM permite ao cluster de ativação pós-falha estabelecer um quórum.This VM allows the failover cluster to establish quorum. Para obter mais informações, veja Compreender as Configurações de Quórum num Cluster de Ativação Pós-falha.For more information, see Understanding Quorum Configurations in a Failover Cluster.

  • Servidores do SharePoint.SharePoint servers. Os servidores do SharePoint efetuam as funções de front-end Web, colocação em cache, aplicação e pesquisa.The SharePoint servers perform the web front-end, caching, application, and search roles.

  • Jumpbox.Jumpbox. [Também denominada ]anfitrião de bastiãobastion-host.Also called a bastion host. Trata-se de uma VM segura na rede que os administradores utilizam para ligar as outras VMs.This is a secure VM on the network that administrators use to connect to the other VMs. A jumpbox tem um NSG que permite tráfego remoto apenas a partir de endereços IP públicos numa lista segura.The jumpbox has an NSG that allows remote traffic only from public IP addresses on a safe list. O NSG deve permitir tráfego de ambiente de trabalho remoto (RDP).The NSG should permit remote desktop (RDP) traffic.

RecomendaçõesRecommendations

Os requisitos podem ser diferentes da arquitetura descrita aqui.Your requirements might differ from the architecture described here. Utilize estas recomendações como um ponto de partida.Use these recommendations as a starting point.

Recomendações para grupos de recursosResource group recommendations

Recomendamos a separação dos grupos de recursos de acordo com a função de servidor e ter um grupo de recursos separado dos componentes de infraestrutura que sejam recursos globais.We recommend separating resource groups according to the server role, and having a separate resource group for infrastructure components that are global resources. Nesta arquitetura, os recursos do SharePoint formam um grupo, enquanto que o SQL Server e outros elementos do utilitário formam outro.In this architecture, the SharePoint resources form one group, while the SQL Server and other utility assets form another.

Recomendações para redes virtuais e sub-redesVirtual network and subnet recommendations

Utilize uma sub-rede para cada função do SharePoint, mais uma sub-rede para o gateway e outra para a jumpbox.Use one subnet for each SharePoint role, plus a subnet for the gateway and one for the jumpbox.

A sub-rede de gateway tem de ter o nome GatewaySubnet.The gateway subnet must be named GatewaySubnet. Atribua o espaço de endereços da sub-rede de gateway a partir da última parte do espaço de endereços de rede virtual.Assign the gateway subnet address space from the last part of the virtual network address space. Para obter mais informações, veja Ligar uma rede no local ao Azure através de um gateway de VPN.For more information, see Connect an on-premises network to Azure using a VPN gateway.

Recomendações de VMsVM recommendations

Esta arquitetura requer um mínimo de 44 núcleos:This architecture requires a minimum of 44 cores:

  • 8 servidores do SharePoint em Standard_DS3_v2 (4 núcleos cada) = 32 núcleos8 SharePoint servers on Standard_DS3_v2 (4 cores each) = 32 cores
  • 2 controladores de domínio do Active Directory em Standard_DS1_v2 (1 núcleo cada) = 2 núcleos2 Active Directory domain controllers on Standard_DS1_v2 (1 core each) = 2 cores
  • 2 VMs do SQL Server em Standard_DS3_v2 = 8 núcleos2 SQL Server VMs on Standard_DS3_v2 = 8 cores
  • 1 nó principal em Standard_DS1_v2 = 1 núcleo1 majority node on Standard_DS1_v2 = 1 core
  • 1 servidor de gestão em Standard_DS1_v2 = 1 núcleo1 management server on Standard_DS1_v2 = 1 core

Certifique-se de que a sua subscrição do Azure tem uma quota de núcleos de VM suficiente para a implementação, caso contrário esta falhará.Make sure your Azure subscription has enough VM core quota for the deployment, or the deployment will fail. Veja Subscrição do Azure e limites de serviço, quotas e restrições.See Azure subscription and service limits, quotas, and constraints.

Para todas as funções do SharePoint, exceto o Indexador de Pesquisas, recomendamos a utilização do tamanho de VM Standard_DS3_v2.For all SharePoint roles except the Search Indexer, we recommended using the Standard_DS3_v2 VM size. O Indexador de Pesquisas deve ter, no mínimo, o tamanho Standard_DS13_v2.The Search Indexer should be at least the Standard_DS13_v2 size. Para efeitos de teste, os ficheiros de parâmetro para esta arquitetura de referência especificam o menor tamanho de DS3_v2 para a função de Indexador de Pesquisa.For testing, the parameter files for this reference architecture specify the smaller DS3_v2 size for the Search Indexer role. Para uma implementação de produção, atualize os ficheiros de parâmetro para utilizar o tamanho DS13 ou superior.For a production deployment, update the parameter files to use the DS13 size or larger. Para mais informações, veja Requisitos de hardware e software para o SharePoint Server 2016.For more information, see Hardware and software requirements for SharePoint Server 2016.

Para as VMs do SQL Server, recomendamos um mínimo de 4 núcleos e 8 GB de RAM.For the SQL Server VMs, we recommend a minimum of 4 cores and 8 GB RAM. Os ficheiros de parâmetros para esta arquitetura de referência especificam o tamanho de DS3_v2.The parameter files for this reference architecture specify the DS3_v2 size. Para uma implementação de produção, pode ter de especificar um maior tamanho de VM.For a production deployment, you might need to specify a larger VM size. Para obter mais informações, veja Planeamento e configuração do armazenamento e da capacidade do SQL Server (SharePoint Server).For more information, see Storage and SQL Server capacity planning and configuration (SharePoint Server).

Recomendações para NSGNSG recommendations

Recomendamos ter um NSG para cada sub-rede que contenha VMs, para permitir o isolamento da sub-rede.We recommend having one NSG for each subnet that contains VMs, to enable subnet isolation. Se quiser configurar o isolamento da sub-rede, adicione regras de NSG que definam o tráfego de entrada ou saída permitido ou recusado para cada sub-rede.If you want to configure subnet isolation, add NSG rules that define the allowed or denied inbound or outbound traffic for each subnet. Para obter mais informações, veja Filtrar o tráfego de rede com grupos de segurança de rede.For more information, see Filter network traffic with network security groups.

Não atribua um NSG à sub-rede de gateway ou o gateway deixará de funcionar.Do not assign an NSG to the gateway subnet, or the gateway will stop functioning.

Recomendações de armazenamentoStorage recommendations

A configuração de armazenamento das VMs no farm deve corresponder às melhores práticas adequadas utilizadas para implementações no local.The storage configuration of the VMs in the farm should match the appropriate best practices used for on-premises deployments. Os servidores do SharePoint devem ter um disco separado para registos.SharePoint servers should have a separate disk for logs. Os servidores do SharePoint que alojam funções do índice de pesquisa requerem espaço em disco adicional para o armazenamento do índice de pesquisa.SharePoint servers hosting search index roles require additional disk space for the search index to be stored. Para o SQL Server, a prática padrão é separar dados e registos.For SQL Server, the standard practice is to separate data and logs. Adicione mais discos para armazenamento de cópias de segurança da base de dados e utilize um disco separado para tempdb.Add more disks for database backup storage, and use a separate disk for tempdb.

Para uma melhor fiabilidade, recomendamos a utilização de Managed Disks do Azure.For best reliability, we recommend using Azure Managed Disks. Os discos geridos asseguram que os discos para VMs num conjunto de disponibilidade estão isolados para evitar pontos únicos de falha.Managed disks ensure that the disks for VMs within an availability set are isolated to avoid single points of failure.

Nota

Atualmente, o modelo do Resource Manager para esta arquitetura de referência não utiliza discos geridos.Currently the Resource Manager template for this reference architecture does not use managed disks. Estamos a planear atualizar o modelo para utilizar discos geridos.We are planning to update the template to use managed disks.

Utilize discos geridos Premium para todas as VMs do SharePoint e do SQL Server.Use Premium managed disks for all SharePoint and SQL Server VMs. Pode utilizar discos geridos Padrão para o servidor de nó principal, os controladores de domínio e o servidor de gestão.You can use Standard managed disks for the majority node server, the domain controllers, and the management server.

Recomendações para o SharePoint ServerSharePoint Server recommendations

Antes de configurar o farm do SharePoint, certifique-se de que tem uma conta de serviço do Windows Server Active Directory por serviço.Before configuring the SharePoint farm, make sure you have one Windows Server Active Directory service account per service. Esta arquitetura, precisa de ter, no mínimo, as seguintes contas de nível de domínio para isolar o privilégio por função:For this architecture, you need at a minimum the following domain-level accounts to isolate privilege per role:

  • Conta de Serviço do SQL ServerSQL Server Service account
  • Conta de Configuração do UtilizadorSetup User account
  • Conta de Farm de ServidoresServer Farm account
  • Conta de Serviço de PesquisaSearch Service account
  • Conta de Acesso a ConteúdoContent Access account
  • Contas de Conjunto de Aplicações WebWeb App Pool accounts
  • Contas de Conjunto de Aplicações de ServiçoService App Pool accounts
  • Conta de Superutilizador de CacheCache Super User account
  • Conta de Superleitor de CacheCache Super Reader account

Para cumprir o requisito de suporte de débito de disco mínimo de 200 MB por segundo, certifique-se de que planeia a arquitetura de Pesquisa.To meet the support requirement for disk throughput of 200 MB per second minimum, make sure to plan the Search architecture. Veja Planear a arquitetura de pesquisa empresarial no SharePoint Server 2013.See Plan enterprise search architecture in SharePoint Server 2013. Siga também as diretrizes em Melhores práticas para pesquisa no SharePoint Server 2016.Also follow the guidelines in Best practices for crawling in SharePoint Server 2016.

Além disso, armazene os dados de componente de pesquisa numa partição ou volume de armazenamento separado com elevado desempenho.In addition, store the search component data on a separate storage volume or partition with high performance. Para reduzir a carga e melhorar o débito, configure as contas de utilizador de cache de objetos, as quais são necessárias nesta arquitetura.To reduce load and improve throughput, configure the object cache user accounts, which are required in this architecture. Divida os ficheiros do sistema operativo Windows Server, os ficheiros de programa do SharePoint Server 2016 e os registos de diagnóstico por três partições ou volumes de armazenamento separados com um desempenho normal.Split the Windows Server operating system files, the SharePoint Server 2016 program files, and diagnostics logs across three separate storage volumes or partitions with normal performance.

Para obter mais informações sobre estas recomendações, veja Implementação administrativa inicial e contas de serviço no SharePoint Server 2016.For more information about these recommendations, see Initial deployment administrative and service accounts in SharePoint Server 2016.

Cargas de trabalho híbridasHybrid workloads

Esta arquitetura de referência implementa um farm do SharePoint Server 2016 que pode ser utilizado como ambiente híbrido do SharePoint—, ou seja, expande o SharePoint Server 2016 para o Office 365 SharePoint Online.This reference architecture deploys a SharePoint Server 2016 farm that can be used as a SharePoint hybrid environment — that is, extending SharePoint Server 2016 to Office 365 SharePoint Online. Se tiver o Office Online Server, veja Suportabilidade do Office Web Apps e do Office Online Server no Azure.If you have Office Online Server, see Office Web Apps and Office Online Server supportability in Azure.

As aplicações de serviço predefinidas nesta implementação foram concebidas para suportar cargas de trabalho híbridas.The default service applications in this deployment are designed to support hybrid workloads. Todas as cargas de trabalho híbridas do SharePoint Server 2016 e do Office 365 podem ser implementadas neste farm sem alterações à infraestrutura do SharePoint, com uma exceção: a Aplicação Search Service Híbrida da Cloud não pode ser implementada em servidores que alojem uma topologia de pesquisa existente.All SharePoint Server 2016 and Office 365 hybrid workloads can be deployed to this farm without changes to the SharePoint infrastructure, with one exception: The Cloud Hybrid Search Service Application must not be deployed onto servers hosting an existing search topology. Por conseguinte, é necessário adicionar uma ou mais VMs baseadas em funções de pesquisa ao farm para suportar este cenário híbrido.Therefore, one or more search-role-based VMs must be added to the farm to support this hybrid scenario.

Grupos de Disponibilidade Always On do SQL ServerSQL Server Always On Availability Groups

Esta arquitetura utiliza máquinas virtuais do SQL Server porque o SharePoint Server 2016 não pode utilizar a Base de Dados SQL do Azure.This architecture uses SQL Server virtual machines because SharePoint Server 2016 cannot use Azure SQL Database. Para suportar elevada disponibilidade no SQL Server, recomendamos a utilização de Grupos de Disponibilidade Always On, os quais especificam um conjunto de bases de dados que efetuam a ativação pós-falha em conjunto, tornando-os altamente disponíveis e recuperáveis.To support high availability in SQL Server, we recommend using Always On Availability Groups, which specify a set of databases that fail over together, making them highly-available and recoverable. Nesta arquitetura de referência, as bases de dados são criadas durante a implementação, mas tem de ativar manualmente os Grupos de Disponibilidade Always On e adicionar as bases de dados do SharePoint a um grupo de disponibilidade.In this reference architecture, the databases are created during deployment, but you must manually enable Always On Availability Groups and add the SharePoint databases to an availability group. Para obter mais informações, veja Criar o grupo de disponibilidade e adicionar as bases de dados do SharePoint.For more information, see Create the availability group and add the SharePoint databases.

Também recomendamos adicionar um endereço IP do serviço de escuta ao cluster, o qual é o endereço IP privado do balanceador de carga interno das máquinas virtuais do SQL Server.We also recommend adding a listener IP address to the cluster, which is the private IP address of the internal load balancer for the SQL Server virtual machines.

Para os tamanhos de VM recomendados e outras recomendações de desempenho para o SQL Server em execução no Azure, veja Melhores práticas de desempenho do SQL Server nas Máquinas Virtuais do Azure.For recommended VM sizes and other performance recommendations for SQL Server running in Azure, see Performance best practices for SQL Server in Azure Virtual Machines. Siga também as recomendações em Melhores práticas do SQL Server num farm do SharePoint Server 2016.Also follow the recommendations in Best practices for SQL Server in a SharePoint Server 2016 farm.

Recomendamos que o servidor de nó principal resida num computador separado dos parceiros de replicação.We recommend that the majority node server reside on a separate computer from the replication partners. O servidor permite ao servidor do parceiro de replicação secundário numa sessão do modo de alta segurança reconhecer se deve iniciar uma ativação pós-falha automática.The server enables the secondary replication partner server in a high-safety mode session to recognize whether to initiate an automatic failover. Ao contrário dos dois parceiros, o servidor de nó principal não serve a base de dados, mas suporta a ativação pós-falha automática.Unlike the two partners, the majority node server doesn't serve the database but rather supports automatic failover.

Considerações de escalabilidadeScalability considerations

Para aumentar verticalmente os servidores existentes, basta alterar o tamanho da VM.To scale up the existing servers, simply change the VM size.

Com a capacidade MinRoles no SharePoint Server 2016, pode aumentar horizontalmente os servidores com base na função do servidor, bem como remover servidores de uma função.With the MinRoles capability in SharePoint Server 2016, you can scale out servers based on the server's role and also remove servers from a role. Ao adicionar servidores a uma função, pode especificar qualquer uma das funções únicas ou uma das funções combinadas.When you add servers to a role, you can specify any of the single roles or one of the combined roles. No entanto, se adicionar servidores à função Pesquisa, também tem de reconfigurar a topologia de pesquisa através do PowerShell.If you add servers to the Search role, however, you must also reconfigure the search topology using PowerShell. Também pode converter as funções atrevés de MinRoles.You can also convert roles using MinRoles. Para obter mais informações, veja Gerir um Farm de Servidores MinRole no SharePoint Server 2016.For more information, see Managing a MinRole Server Farm in SharePoint Server 2016.

Tenha em atenção que o SharePoint Server 2016 não suporta a utilização de conjuntos de dimensionamento de máquinas virtuais para dimensionamento automático.Note that SharePoint Server 2016 doesn't support using virtual machine scale sets for auto-scaling.

Considerações de disponibilidadeAvailability considerations

Esta arquitetura de referência suporta elevada disponibilidade numa região do Azure, porque cada função tem, pelo menos, duas VMs implementadas num conjunto de disponibilidade.This reference architecture supports high availability within an Azure region, because each role has at least two VMs deployed in an availability set.

Para proteção contra uma falha regional, crie um farm de recuperação após desastre separado numa região do Azure diferente.To protect against a regional failure, create a separate disaster recovery farm in a different Azure region. Os objetivos de tempo de recuperação (RTOs) e os objetivos de ponto de recuperação (RPOs) irão determinar os requisitos de configuração.Your recovery time objectives (RTOs) and recovery point objectives (RPOs) will determine the setup requirements. Para obter detalhes, veja Escolher uma estratégia de recuperação após desastre para o SharePoint 2016.For details, see Choose a disaster recovery strategy for SharePoint 2016. A região secundária deve ser uma região emparelhada com a região primária.The secondary region should be a paired region with the primary region. Em caso de uma falha abrangente, a recuperação de uma região tem prioridade em cada par.In the event of a broad outage, recovery of one region is prioritized out of every pair. Para obter mais informações, veja Continuidade de negócio e recuperação após desastre (BCDR): Regiões Emparelhadas do Azure.For more information, see Business continuity and disaster recovery (BCDR): Azure Paired Regions.

Considerações sobre a capacidade de gestãoManageability considerations

Para operar e manter servidores, farms de servidores e sites, siga as práticas recomendadas para operações do SharePoint.To operate and maintain servers, server farms, and sites, follow the recommended practices for SharePoint operations. Para obter mais informações, veja Operações para o SharePoint Server 2016.For more information, see Operations for SharePoint Server 2016.

As tarefas a considerar quando gerir o SQL Server num ambiente do SharePoint podem divergir das normalmente consideradas para uma aplicação de base de dados.The tasks to consider when managing SQL Server in a SharePoint environment may differ from the ones typically considered for a database application. Uma melhor prática é criar uma cópia de segurança completa de todas as bases de dados do SQL Server semanalmente com cópias de segurança incrementais durante a noite.A best practice is to fully back up all SQL databases weekly with incremental nightly backups. Crie uma cópia de segurança dos registos de transações a cada 15 minutos.Back up transaction logs every 15 minutes. Outra prática é implementar tarefas de manutenção do SQL Server nas bases de dados ao desativar as incorporadas no SharePoint.Another practice is to implement SQL Server maintenance tasks on the databases while disabling the built-in SharePoint ones. Para obter mais informações, veja Planeamento e configuração do armazenamento e da capacidade do SQL Server.For more information, see Storage and SQL Server capacity planning and configuration.

Considerações de segurançaSecurity considerations

As contas de serviço de nível do domínio utilizadas para executar o SharePoint Server 2016 necessitam de controladores de domínio do Windows Server AD para processos de associação ao domínio e autenticação.The domain-level service accounts used to run SharePoint Server 2016 require Windows Server AD domain controllers for domain-join and authentication processes. O Azure Active Directory Domain Services não pode ser utilizado para esta finalidade.Azure Active Directory Domain Services can't be used for this purpose. Para ampliar a infraestrutura de identidade do Windows Server AD já em vigor na intranet, esta arquitetura utiliza dois controladores de domínio de réplica do Windows Server AD de uma floresta do Windows Server AD no local existente.To extend the Windows Server AD identity infrastructure already in place in the intranet, this architecture uses two Windows Server AD replica domain controllers of an existing on-premises Windows Server AD forest.

Além disso, é sempre aconselhado planear a proteção de segurança.In addition, it's always wise to plan for security hardening. Outras recomendações incluem:Other recommendations include:

  • Adicionar regras a NSGs para isolar sub-redes e funções.Add rules to NSGs to isolate subnets and roles.
  • Não atribuir endereços IP públicos a VMs.Don't assign public IP addresses to VMs.
  • Para deteção de intrusões e análise de payloads, considere a utilização de uma aplicação de rede virtual à frente dos servidores Web de front-end em vez de um balanceador de carga do Azure interno.For intrusion detection and analysis of payloads, consider using a network virtual appliance in front of the front-end web servers instead of an internal Azure load balancer.
  • Como opção, utilize políticas IPsec para encriptação de tráfego de texto não encriptado entre servidores.As an option, use IPsec policies for encryption of cleartext traffic between servers. Se também estiver a fazer o isolamento da sub-rede, atualize as regras do grupo de segurança de rede para permitir tráfego IPsec.If you are also doing subnet isolation, update your network security group rules to allow IPsec traffic.
  • Instale agentes antimalware para as VMs.Install anti-malware agents for the VMs.

Implementar a soluçãoDeploy the solution

Está disponível uma implementação para esta arquitetura de referência no GitHub.A deployment for this reference architecture is available on GitHub. Toda a implementação pode demorar várias horas a concluir.The entire deployment can take several hours to complete.

A implementação cria os seguintes grupos de recursos na sua subscrição:The deployment creates the following resource groups in your subscription:

  • ra-onprem-sp2016-rgra-onprem-sp2016-rg
  • ra-sp2016-network-rgra-sp2016-network-rg

Os ficheiros de parâmetros de modelo fazem referência a estes nomes, pelo que, se os alterar, atualize os ficheiros de parâmetros para assegurar que correspondem.The template parameter files refer to these names, so if you change them, update the parameter files to match.

Os ficheiros de parâmetros incluem uma palavra-passe hard-coded em vários locais.The parameter files include a hard-coded password in various places. Altere estes valores antes da implementação.Change these values before you deploy.

Pré-requisitosPrerequisites

  1. Clone, copie ou transfira o ficheiro zip para o arquiteturas de referência repositório do GitHub.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Instale CLI 2.0 do Azure.Install Azure CLI 2.0.

  3. Instalar o blocos modulares do Azure pacote npm.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Num prompt de comando, de bash de linha de comandos, ou linha de comandos do PowerShell, início de sessão na conta do Azure da seguinte forma:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Passos da implementaçãoDeployment steps

  1. Execute o seguinte comando para implementar uma rede no local simulada.Run the following command to deploy a simulated on-premises network.

    azbb -s <subscription_id> -g ra-onprem-sp2016-rg -l <location> -p onprem.json --deploy
    
  2. Execute o seguinte comando para implementar a VNet do Azure e o gateway de VPN.Run the following command to deploy the Azure VNet and the VPN gateway.

    azbb -s <subscription_id> -g ra-onprem-sp2016-rg -l <location> -p connections.json --deploy
    
  3. Execute o seguinte comando para implementar a jumpbox, os controladores de domínio do AD e as VMs do SQL Server.Run the following command to deploy the jumpbox, AD domain controllers, and SQL Server VMs.

    azbb -s <subscription_id> -g ra-onprem-sp2016-rg -l <location> -p azure1.json --deploy
    
  4. Execute o seguinte comando para criar o cluster de ativação pós-falha e o grupo de disponibilidade.Run the following command to create the failover cluster and the availability group.

    azbb -s <subscription_id> -g ra-onprem-sp2016-rg -l <location> -p azure2-cluster.json --deploy
    
  5. Execute o seguinte comando para implementar as VMs restantes.Run the following command to deploy the remaining VMs.

    azbb -s <subscription_id> -g ra-onprem-sp2016-rg -l <location> -p azure3.json --deploy
    

Agora, certifique-se de que pode estabelecer uma ligação TCP do front-end da Web ao balanceador de carga do grupo de disponibilidade AlwaysOn do SQL Server.At this point, verify that you can make a TCP connection from the web front end to the load balancer for the SQL Server Always On availability group. Para tal, siga estes passos:To do so, perform the following steps:

  1. Utilize o portal do Azure para localizar a VM com o nome ra-sp-jb-vm1 no grupo de recursos ra-sp2016-network-rg.Use the Azure portal to find the VM named ra-sp-jb-vm1 in the ra-sp2016-network-rg resource group. Esta é a VM da jumpbox.This is the jumpbox VM.

  2. Clique em Connect para abrir uma sessão de ambiente de trabalho remoto para a VM.Click Connect to open a remote desktop session to the VM. Utilize a palavra-passe que especificou no ficheiro de parâmetros azure1.json.Use the password that you specified in the azure1.json parameter file.

  3. A partir da sessão de Ambiente de Trabalho Remoto, inicie sessão em 10.0.5.4.From the Remote Desktop session, log into 10.0.5.4. Este é o endereço IP da VM com o nome ra-sp-app-vm1.This is the IP address of the VM named ra-sp-app-vm1.

  4. Abra uma consola do PowerShell na VM e utilize o cmdlet Test-NetConnection para verificar se pode ligar ao balanceador de carga.Open a PowerShell console in the VM, and use the Test-NetConnection cmdlet to verify that you can connect to the load balancer.

    Test-NetConnection 10.0.3.100 -Port 1433
    

O resultado deve ter um aspeto semelhante ao seguinte:The output should look similar to the following:

ComputerName     : 10.0.3.100
RemoteAddress    : 10.0.3.100
RemotePort       : 1433
InterfaceAlias   : Ethernet 3
SourceAddress    : 10.0.0.132
TcpTestSucceeded : True

Se falhar, utilize o Portal do Azure para reiniciar a VM com o nome ra-sp-sql-vm2.If it fails, use the Azure Portal to restart the VM named ra-sp-sql-vm2. Depois de a VM reiniciar, execute o comando Test-NetConnection novamente.After the VM restarts, run the Test-NetConnection command again. Poderá ter de esperar cerca de um minuto após a VM reiniciar para que a ligação seja estabelecida com êxito.You may need to wait about a minute after the VM restarts for the connection to succeed.

Agora, conclua a implementação da seguinte forma.Now complete the deployment as follows.

  1. Execute o seguinte comando para implementar o nó primário do farm do SharePoint.Run the following command to deploy the SharePoint farm primary node.

    azbb -s <subscription_id> -g ra-onprem-sp2016-rg -l <location> -p azure4-sharepoint-server.json --deploy
    
  2. Execute o seguinte comando para implementar a cache, pesquisa e Web do SharePoint.Run the following command to deploy the SharePoint cache, search, and web.

    azbb -s <subscription_id> -g ra-onprem-sp2016-rg -l <location> -p azure5-sharepoint-farm.json --deploy
    
  3. Execute o seguinte comando para criar as regras NSG.Run the following command to create the NSG rules.

    azbb -s <subscription_id> -g ra-onprem-sp2016-rg -l <location> -p azure6-security.json --deploy
    

Validar a implementaçãoValidate the deployment

  1. No portal do Azure, navegue para o grupo de recursos ra-onprem-sp2016-rg.In the Azure portal, navigate to the ra-onprem-sp2016-rg resource group.

  2. Na lista de recursos, selecione o recurso de VM com o nome ra-onpr-u-vm1.In the list of resources, select the VM resource named ra-onpr-u-vm1.

  3. Ligue à VM, conforme descrito em Ligar à máquina virtual.Connect to the VM, as described in Connect to virtual machine. O nome de utilizador é \onpremuser.The user name is \onpremuser.

  4. Quando for estabelecida a ligação remota à VM, abra um browser na VM e navegue para http://portal.contoso.local.When the remote connection to the VM is established, open a browser in the VM and navigate to http://portal.contoso.local.

  5. Na caixa Segurança do Windows, inicie sessão no portal do SharePoint e utilize contoso.local\testuser para o nome de utilizador.In the Windows Security box, log on to the SharePoint portal using contoso.local\testuser for the user name.

Este início de sessão é efetuado entre o domínio Fabrikam.com utilizado pela rede no local e o domínio contoso.local utilizado pelo portal do SharePoint.This logon tunnels from the Fabrikam.com domain used by the on-premises network to the contoso.local domain used by the SharePoint portal. Quando for aberto o site do SharePoint, verá o site de demonstração de raiz.When the SharePoint site opens, you'll see the root demo site.

Contribuidores desta arquitetura de referência — Joe Davies, Bob Fox, Neil Hodgkinson, Paul StorkContributors to this reference architecture — Joe Davies, Bob Fox, Neil Hodgkinson, Paul Stork