Гибридные облачные сценарии для Azure IaaSHybrid cloud scenarios for Azure IaaS

Сводка: В Azure вы ознакомитесь с архитектурой гибридной архитектуры и сценариями для инфраструктуры корпорации Майкрософт в качестве облачных служб (IaaS).Summary: Understand the hybrid architecture and scenarios for Microsoft's Infrastructure as a Service (IaaS)-based cloud offerings in Azure.

Расширьте свою локальную инфраструктуру вычислений и удостоверений с помощью облака, разместив рабочие ИТ-нагрузки, выполняемые в распределенных виртуальных сетях Azure.Extend your on-premises computing and identity infrastructure into the cloud by hosting IT workloads running in cross-premises Azure virtual networks (VNets).

Архитектура гибридного сценария Azure IaaSAzure IaaS hybrid scenario architecture

На рисунке 1 показана архитектура гибридных сценариев на основе Microsoft IaaS в Azure.Figure 1 shows the architecture of Microsoft IaaS-based hybrid scenarios in Azure.

Рис. 1. Гибридные сценарии на основе Microsoft IaaS в AzureFigure 1: Microsoft IaaS-based hybrid scenarios in Azure

Гибридные сценарии на основе Microsoft IaaS в Azure

Для каждого слоя архитектуры:For each layer of the architecture:

  • Приложения и сценарииApps and scenarios

    Рабочая ИТ-нагрузка обычно представляет собой многоуровневое приложение высокой доступности, которое состоит из виртуальных машин Azure.An IT workload is typically a multi-tier, highly-available application composed of Azure virtual machines (VMs).

  • УдостоверениеIdentity

    Добавьте серверы удостоверений, такие как контроллеры домена доменных служб Active Directory (AD DS), в набор серверов, работающих в Azure виртуальных сетей для локальной проверки подлинности.Add identity servers, such as Active Directory Domain Services (AD DS) domain controllers, to the set of servers running in Azure VNets for local authentication.

  • СетьNetwork

    Используйте подключение к VPN типа "сеть-сеть" в Интернете или подключение ExpressRoute с частным пирингом к Azure IaaS.Use either a site-to-site VPN connection over the Internet or an ExpressRoute connection with private peering to Azure IaaS.

  • Локальная средаOn-premises

    Содержит серверы удостоверений, которые синхронизируются с серверами удостоверений в Azure. Также может содержать ресурсы, к которым имеют доступ виртуальные машины, работающие в Azure, например хранилище или инфраструктуру управления системами.Contains identity servers that are synchronized with the identity servers running in Azure. Can also contain resources that VMs running in Azure can access, such as storage and systems management infrastructure.

Сервер синхронизации каталогов для Office 365Directory synchronization server for Office 365

Запустите сервер синхронизации каталогов из виртуальной сети Azure, как показано на рисунке 2, — это пример расширения инфраструктуры инфраструктуры и идентификации в облако.Running your directory synchronization server from an Azure VNet, as shown in Figure 2, is an example of extending your computing and identity infrastructure to the cloud.

Рисунок 2: сервер синхронизации каталогов для Office 365 в Azure IaaSFigure 2: Directory synchronization server for Office 365 in Azure IaaS

Сервер синхронизации каталогов для Office 365 в Azure IaaS

На рисунке 2 в локальной сети размещается инфраструктура доменных служб Active Directory с прокси-сервером и маршрутизатором на его стороне.In Figure 2, an on-premises network hosts a AD DS infrastructure, with a proxy server and a router at its edge. Маршрутизатор подключается к шлюзу Azure на границе виртуальной сети Azure с подключением VPN типа "сеть-сеть" или ExpressRoute.The router connects to an Azure gateway at the edge of an Azure VNet with a site-to-site VPN or ExpressRoute connection. В виртуальной сети сервер синхронизации каталогов запускает Azure AD Connect.Inside the VNet, a directory synchronization server runs Azure AD Connect.

Сервер синхронизации каталогов для Office 365 синхронизирует список учетных записей в доменных СЛУЖБах Active Directory с клиентом Azure AD подписки на Office 365.A directory synchronization server for Office 365 synchronizes the list of accounts in AD DS with the Azure AD tenant of an Office 365 subscription.

Сервер синхронизации службы каталогов — это сервер на основе Windows, на котором выполняется Azure AD Connect.A directory synchronization server is a Windows-based server that runs Azure AD Connect. Для ускорения подготовки или уменьшения количества локальных серверов в Организации разверните сервер синхронизации каталогов в виртуальной сети (VNet) в Azure IaaS.For faster provisioning or to reduce the number of on-premises servers in your organization, deploy your directory synchronization server in a virtual network (VNet) in Azure IaaS.

Сервер синхронизации каталогов опрашивает AD DS на наличие изменений и синхронизирует их с подпиской на Office 365.The directory synchronization server polls AD DS for changes and then synchronizes them with the Office 365 subscription.

Дополнительные сведения см. в статье Deploy Office 365 Directory Synchronization in Microsoft Azure.For more information, see Deploy Office 365 Directory Synchronization in Microsoft Azure.

Бизнес-приложениеLine of business (LOB) application

На рисунке 3 показана конфигурация серверного бизнес-приложения, работающего в Azure IaaS.Figure 3 shows the configuration of a server-based LOB application running in Azure IaaS.

Рис. 3. Бизнес-приложение в Azure IaaSFigure 3: LOB application in Azure IaaS

Серверное бизнес-приложение в Azure IaaS

На рисунке 3 показана локальная сеть, в которой размещены инфраструктура идентификации и пользователи. Она подключена к шлюзу Azure IaaS с помощью соединения VPN типа "сеть-сеть" или ExpressRoute. В Azure IaaS размещена виртуальная сеть, содержащая серверы бизнес-приложения.In Figure 3, an on-premises network hosts an identity infrastructure and users. It is connected to an Azure IaaS gateway with a site-to-site VPN or ExpressRoute connection. Azure IaaS hosts a virtual network containing the servers of the LOB application.

Вы можете создать бизнес-приложения, которые будут выполняться на виртуальных машинах Azure и размещаться в подсетях виртуальной сети Azure в центре данных Azure (который также называется расположением).You can create LOB applications running on Azure VMs, which reside on subnets of an Azure VNet in an Azure datacenter (also known as a location).

Так как вы, по сути, расширяете локальную инфраструктуру до Azure, необходимо назначить уникальное пространство частных адресов своим виртуальным сетям и обновить таблицы локальной маршрутизации, чтобы обеспечить доступность каждой виртуальной сети.Because you are essentially extending your on-premises infrastructure to Azure, you must assign unique private address space to your VNets and update your on-premises routing tables to ensure reachability to each VNet.

После подключения этими виртуальными машинами можно управлять с помощью подключений к удаленному рабочему столу или программного обеспечения для управления системами (так же, как и локальными серверами).Once connected, these VMs can be managed with remote desktop connections or with your systems management software, just like your on-premises servers.

После настройки общедоступных портов мобильные или удаленные пользователи также могут получить доступ к этим виртуальным машинам через Интернет.By configuring publically-exposed ports, these VMs can also be accessed from the Internet by mobile or remote users.

В случае конфигурации для подтверждения концепции см. статью Simulated cross-premises virtual network in Azure.For a proof-of-concept configuration, see Simulated cross-premises virtual network in Azure.

Атрибуты бизнес-приложений, размещенных на виртуальных машинах Azure:Attributes of LOB applications hosted on Azure VMs are the following:

  • Несколько уровнейMultiple tiers

    В типичных бизнес-приложениях используется многоуровневый подход. Наборы серверов обеспечивают обработку удостоверений, баз данных, приложений и логики, а также предоставляют интерфейсные веб-серверы для доступа со стороны сотрудников или клиентов. Typical LOB applications use a tiered approach. Sets of servers provide identity, database processing, application and logic processing, and front-end web servers for employee or customer access.

  • Высокая доступностьHigh availability

    Типичные бизнес-приложения обеспечивают высокую доступность с помощью нескольких серверов на каждом уровне. Azure IaaS обеспечивает 99,9 % времени непрерывной работы (согласно SLA) для серверов в группах доступности Azure. Typical LOB applications provide high availability by using multiple servers in each tier. Azure IaaS provides a 99.9% uptime SLA for servers in Azure availability sets.

  • Распределение нагрузкиLoad distribution

    Чтобы распределить нагрузку сетевого трафика между несколькими серверами на одном уровне, можно использовать балансировщик нагрузки для Интернета или внутренний балансировщик нагрузки Azure. Можно также использовать специальный виртуальный модуль балансировки нагрузки, доступный в службе Azure Marketplace.To distribute the load of network traffic among multiple servers in a tier, you can use an Internet-facing or internal Azure load balancer. Or, you can use a dedicated load balancer appliance available from the Azure marketplace.

  • БезопасностьSecurity

    Чтобы защитить серверы от нежелательного входящего трафика из Интернета, можно использовать группы безопасности сети Azure. Вы можете определить допустимый или запрещенный трафик для подсети или сетевого интерфейса отдельных виртуальных машин.To protect servers from unsolicited incoming traffic from the Internet, you can use Azure network security groups. You can define allowed or denied traffic for a subnet or the network interface of an individual virtual machine.

Ферма SharePoint Server 2016 в AzureSharePoint Server 2016 farm in Azure

Ферма SharePoint Server 2016, показанная на рисунке 4, является примером многоуровневого высокодоступного бизнес-приложения в Azure.An example of a multi-tier, highly-available LOB application in Azure is a SharePoint Server 2016 farm, as shown in Figure 4.

Рис. 4. Высокодоступная ферма SharePoint Server 2016 в Azure IaaSFigure 4: A high-availability SharePoint Server 2016 farm in Azure IaaS

Ферма SharePoint Server 2016 С высоким уровнем доступности в Azure IaaS

На рисунке 4 показана локальная сеть, в которой размещены инфраструктура идентификации и пользователи. Она подключена к шлюзу Azure IaaS с помощью соединения VPN типа "сеть-сеть" или ExpressRoute. Виртуальная сеть Azure содержит серверы фермы SharePoint Server 2016, которая включает отдельные уровни для серверов переднего плана, серверов приложений, кластера SQL Server и контроллеров домена.In Figure 4, an on-premises network hosts an identity infrastructure and users. It is connected to an Azure IaaS gateway with a site-to-site VPN or ExpressRoute connection. The Azure VNet contains the servers of the SharePoint Server 2016 farm, which includes separate tiers for the front-end servers, the application servers, the SQL Server cluster, and the domain controllers.

У этой конфигурации есть указанные ниже атрибуты бизнес-приложений в Azure.This configuration has the following attributes of LOB applications in Azure:

  • УровнейTiers

    Серверы, выполняющие разные роли в ферме, создают уровни, и каждый уровень имеет собственную подсеть.Servers running different roles within the farm create the tiers and each tier has its own subnet.

  • Высокая доступностьHigh-availability

    Достигается за счет использования нескольких серверов на каждом уровне и размещения всех серверов уровня в одной группе доступности.Achieved by using more than one server in each tier and placing all the servers of a tier in the same availability set.

  • Распределение нагрузкиLoad distribution

    Внутренние балансировщики нагрузки Azure отправляют входящий клиентский веб-трафик на серверы переднего плана (WEB1 и WEB2) и на IP-адрес прослушивателя кластера SQL Server (SQL1, SQL2 и MN1).Internal Azure load balancers distribute the incoming client web traffic to the front-end servers (WEB1 and WEB2) and to the listener IP address of the SQL Server cluster (SQL1, SQL2, and MN1).

  • БезопасностьSecurity

    Группы безопасности сети для каждой подсети позволяют настроить разрешенный входящий и исходящий трафик.Network security groups for each subnet let you to configure allowed inbound and outbound traffic.

Используйте такой путь для успешного внедрения:Follow this path for successful adoption:

  1. Оценка и экспериментEvaluate and experiment

    Ознакомьтесь со статьей SharePoint server 2016 в Microsoft Azure , чтобы понять преимущества запуска SharePoint Server 2016 в Azure.See SharePoint Server 2016 in Microsoft Azure to understand the benefits of running SharePoint Server 2016 in Azure.

    Чтобы создать имитируемую среду разработки и тестирования, ознакомьтесь со статьей интрасети SharePoint Server 2016 в Azure dev/test Environment .See Intranet SharePoint Server 2016 in Azure dev/test environment to build a simulated dev/test environment

  2. ПроектированиеDesign

    Ознакомьтесь с разработкой фермы SharePoint Server 2016 в Azure для пошагового указания набора элементов Azure IaaS Network, COMPUTE и Storage для размещения фермы и их параметров.See Designing a SharePoint Server 2016 farm in Azure to step through a process to determine the set of Azure IaaS networking, compute, and storage elements to host your farm and their settings.

  3. РазвертываниеDeploy

    В этой статье описывается развертывание SharePoint server 2016 с использованием групп доступности ALWAYSON SQL Server в Azure для пошаговой настройки сквозной конфигурации фермы с высоким уровнем доступности в пять этапов.See Deploying SharePoint Server 2016 with SQL Server AlwaysOn Availability Groups in Azure to step through the end-to-end configuration of the high-availability farm in five phases.

Федеративная идентификация для Office 365 в AzureFederated identity for Office 365 in Azure

Еще один пример многоуровневого высокодоступного бизнес-приложения в Azure — Федеративная идентификация для Office 365.Another example of a multi-tier, highly-available LOB application in Azure is federated identity for Office 365.

Рис. 5: инфраструктура федеративного удостоверения высокой доступности для Office 365 в Azure IaaSFigure 5: A high-availability federated identity infrastructure for Office 365 in Azure IaaS

Инфраструктура федеративной проверки подлинности Office 365 С высоким уровнем доступности в Azure

На рисунке 5 в локальной сети размещается инфраструктура удостоверений и пользователи.In Figure 5, an on-premises network hosts an identity infrastructure and users. Она подключена к шлюзу Azure IaaS с помощью соединения VPN типа "сеть-сеть" или ExpressRoute.It is connected to an Azure IaaS gateway with a site-to-site VPN or ExpressRoute connection. Виртуальная сеть Azure содержит серверы веб-прокси, серверы служб федерации Active Directory (AD FS) и контроллеры домена доменных служб Active Directory (AD DS).The Azure VNet contains web proxy servers, Active Directory Federation Services (AD FS) servers, and Active Directory Domain Services (AD DS) domain controllers.

У этой конфигурации есть указанные ниже атрибуты бизнес-приложений в Azure.This configuration has the following attributes of LOB applications in Azure:

  • Уровни: Существуют уровни для серверов веб-прокси, серверов AD FS и контроллеров домена AD DS.Tiers: There are tiers for web proxy servers, AD FS servers, and AD DS domain controllers.

  • Распределение нагрузки: Внешняя подсистема балансировки нагрузки Azure распространяет входящие запросы проверки подлинности клиента на веб-прокси, а внутренний балансировщик нагрузки Azure распространяет запросы на проверку подлинности на серверы AD FS.Load distribution: An external Azure load balancer distributes the incoming client authentication requests to the web proxies and an internal Azure load balancer distributes authentication requests to the AD FS servers.

Используйте такой путь для успешного внедрения:Follow this path for successful adoption:

  1. Оценка и экспериментEvaluate and experiment

    Чтобы создать имитируемую среду разработки и тестирования для федеративной проверки подлинности с помощью Office 365, ознакомьтесь со статьей федеративного удостоверения для вашей среды разработки и тестирования Office 365 .See Federated identity for your Office 365 dev/test environment to build a simulated dev/test environment for federated authentication with Office 365.

  2. РазвертываниеDeploy

    В статье развертывание федеративной проверки подлинности с высоким уровнем доступности для Office 365 в Azure для пошаговой настройки инфраструктуры AD FS с высоким уровнем доступности в пять этапов.See Deploy high availability federated authentication for Office 365 in Azure to step through the end-to-end configuration of the high availability AD FS infrastructure in five phases.

См. такжеSee Also

Гибридное облако Майкрософт для корпоративных архитекторовMicrosoft Hybrid Cloud for Enterprise Architects

Ресурсы для администраторов, посвященные архитектуре Microsoft CloudMicrosoft Cloud IT architecture resources