Гибридные облачные сценарии для Azure IaaSHybrid cloud scenarios for Azure IaaS

Сводка: Представление об архитектуре гибридного и сценарии для инфраструктуры корпорации Майкрософт как служба (IaaS)-на основе облака в Azure.Summary: Understand the hybrid architecture and scenarios for Microsoft's Infrastructure as a Service (IaaS)-based cloud offerings in Azure.

Расширьте свою локальную инфраструктуру вычислений и удостоверений с помощью облака, разместив рабочие ИТ-нагрузки, выполняемые в распределенных виртуальных сетях Azure. Extend your on-premises computing and identity infrastructure into the cloud by hosting IT workloads running in cross-premises Azure virtual networks (VNets).

Архитектура гибридного сценария Azure IaaSAzure IaaS hybrid scenario architecture

На рисунке 1 показана архитектура гибридных сценариев на основе Microsoft IaaS в Azure.Figure 1 shows the architecture of Microsoft IaaS-based hybrid scenarios in Azure.

Рис. 1. Гибридные сценарии на основе Microsoft IaaS в AzureFigure 1: Microsoft IaaS-based hybrid scenarios in Azure

Гибридные сценарии на основе Microsoft IaaS в Azure

Для каждого слоя архитектуры:For each layer of the architecture:

  • Приложения и сценарииApps and scenarios

    Рабочая ИТ-нагрузка обычно представляет собой многоуровневое приложение высокой доступности, которое состоит из виртуальных машин Azure.An IT workload is typically a multi-tier, highly-available application composed of Azure virtual machines (VMs).

  • УдостоверениеIdentity

    Для локальной проверки подлинности добавьте серверы удостоверений, например контроллеры доменов Windows Server AD, в набор серверов, работающих в виртуальных сетях Azure.Add identity servers, such as Windows Server AD domain controllers, to the set of servers running in Azure VNets for local authentication.

  • СетьNetwork

    Используйте подключение к VPN типа "сеть-сеть" в Интернете или подключение ExpressRoute с частным пирингом к Azure IaaS.Use either a site-to-site VPN connection over the Internet or an ExpressRoute connection with private peering to Azure IaaS.

  • Локальная средаOn-premises

    Содержит серверы удостоверений, которые синхронизируются с серверами удостоверений в Azure. Также может содержать ресурсы, к которым имеют доступ виртуальные машины, работающие в Azure, например хранилище или инфраструктуру управления системами.Contains identity servers that are synchronized with the identity servers running in Azure. Can also contain resources that VMs running in Azure can access, such as storage and systems management infrastructure.

Сервер DirSync для Office 365DirSync server for Office 365

Использование сервера синхронизации каталогов (DirSync) в виртуальной сети Azure, как показано на рисунке 2, — пример развертывания инфраструктуры вычислений и идентификации в облаке.Running your directory synchronization (DirSync) server from an Azure VNet, as shown in Figure 2, is an example of extending your computing and identity infrastructure to the cloud.

Рисунок 2. Сервер DirSync для Office 365 в Azure IaaSFigure 2: DirSync server for Office 365 in Azure IaaS

Сервер DirSync для Office 365 в Azure IaaS

На рисунке 2 локальной сети, где размещается в инфраструктуре Windows Server AD с прокси-сервера и маршрутизатора в его пограничного сервера. Маршрутизатор подключается к Azure шлюза на границе VNet Azure с подключением через VPN или ExpressRoute веб сайта. Внутри VNet сервер синхронизации каталогов выполняется подключение Azure AD.In Figure 2, an on-premises network hosts a Windows Server AD infrastructure, with a proxy server and a router at its edge. The router connects to an Azure gateway at the edge of an Azure VNet with a site-to-site VPN or ExpressRoute connection. Inside the VNet, a DirSync server runs Azure AD Connect.

Сервер DirSync для Office 365 синхронизирует список учетных записей в Windows Server AD с клиентом Azure AD, предусмотренном в плане подписки на Office 365.A DirSync server for Office 365 synchronizes the list of accounts in Windows Server AD with the Azure AD tenant of an Office 365 subscription.

Сервер DirSync — это сервер под управлением Windows, на котором работает Azure AD Connect. Чтобы ускорить подготовку или уменьшить количество локальных серверов в организации, разверните сервер DirSync в виртуальной сети в Azure IaaS.A DirSync server is a Windows-based server that runs Azure AD Connect. For faster provisioning or to reduce the number of on-premises servers in your organization, deploy your DirSync server in a virtual network (VNet) in Azure IaaS.

Сервер DirSync опрашивает Windows Server AD для определения наличия изменений, а затем синхронизирует их с Office 365.The DirSync server polls Windows Server AD for changes and then synchronizes them with the Office 365 subscription.

Для получения дополнительных сведений см. Настройка синхронизации службы каталогов для Office 365.For more information, see Set up directory synchronization for Office 365.

Бизнес-приложениеLine of business (LOB) application

На рисунке 3 показана конфигурация серверного бизнес-приложения, работающего в Azure IaaS.Figure 3 shows the configuration of a server-based LOB application running in Azure IaaS.

Рис. 3. Бизнес-приложение в Azure IaaSFigure 3: LOB application in Azure IaaS

Серверное бизнес-приложение в Azure IaaS

На рисунке 3 показана локальная сеть, в которой размещены инфраструктура идентификации и пользователи. Она подключена к шлюзу Azure IaaS с помощью соединения VPN типа "сеть-сеть" или ExpressRoute. В Azure IaaS размещена виртуальная сеть, содержащая серверы бизнес-приложения.In Figure 3, an on-premises network hosts an identity infrastructure and users. It is connected to an Azure IaaS gateway with a site-to-site VPN or ExpressRoute connection. Azure IaaS hosts a virtual network containing the servers of the LOB application.

Вы можете создать бизнес-приложения, которые будут выполняться на виртуальных машинах Azure и размещаться в подсетях виртуальной сети Azure в центре данных Azure (который также называется расположением).

You can create LOB applications running on Azure VMs, which reside on subnets of an Azure VNet in an Azure datacenter (also known as a location).

Так как вы, по сути, расширяете локальную инфраструктуру до Azure, необходимо назначить уникальное пространство частных адресов своим виртуальным сетям и обновить таблицы локальной маршрутизации, чтобы обеспечить доступность каждой виртуальной сети.Because you are essentially extending your on-premises infrastructure to Azure, you must assign unique private address space to your VNets and update your on-premises routing tables to ensure reachability to each VNet.

После подключения этими виртуальными машинами можно управлять с помощью подключений к удаленному рабочему столу или программного обеспечения для управления системами (так же, как и локальными серверами).Once connected, these VMs can be managed with remote desktop connections or with your systems management software, just like your on-premises servers.

После настройки общедоступных портов мобильные или удаленные пользователи также могут получить доступ к этим виртуальным машинам через Интернет.By configuring publically-exposed ports, these VMs can also be accessed from the Internet by mobile or remote users.

В случае конфигурации для подтверждения концепции см. статью Simulated cross-premises virtual network in Azure.For a proof-of-concept configuration, see Simulated cross-premises virtual network in Azure.

Атрибуты бизнес-приложений, размещенных на виртуальных машинах Azure:Attributes of LOB applications hosted on Azure VMs are the following:

  • Несколько уровнейMultiple tiers

    В типичных бизнес-приложениях используется многоуровневый подход. Наборы серверов обеспечивают обработку удостоверений, баз данных, приложений и логики, а также предоставляют интерфейсные веб-серверы для доступа со стороны сотрудников или клиентов. Typical LOB applications use a tiered approach. Sets of servers provide identity, database processing, application and logic processing, and front-end web servers for employee or customer access.

  • Высокая доступностьHigh availability

    Типичные бизнес-приложения обеспечивают высокую доступность с помощью нескольких серверов на каждом уровне. Azure IaaS обеспечивает 99,9 % времени непрерывной работы (согласно SLA) для серверов в группах доступности Azure. Typical LOB applications provide high availability by using multiple servers in each tier. Azure IaaS provides a 99.9% uptime SLA for servers in Azure availability sets.

  • Распределение нагрузкиLoad distribution

    Чтобы распределить нагрузку сетевого трафика между несколькими серверами на одном уровне, можно использовать балансировщик нагрузки для Интернета или внутренний балансировщик нагрузки Azure. Можно также использовать специальный виртуальный модуль балансировки нагрузки, доступный в службе Azure Marketplace.To distribute the load of network traffic among multiple servers in a tier, you can use an Internet-facing or internal Azure load balancer. Or, you can use a dedicated load balancer appliance available from the Azure marketplace.

  • БезопасностьSecurity

    Чтобы защитить серверы от нежелательного входящего трафика из Интернета, можно использовать группы безопасности сети Azure. Вы можете определить допустимый или запрещенный трафик для подсети или сетевого интерфейса отдельных виртуальных машин.To protect servers from unsolicited incoming traffic from the Internet, you can use Azure network security groups. You can define allowed or denied traffic for a subnet or the network interface of an individual virtual machine.

Ферма SharePoint Server 2016 в AzureSharePoint Server 2016 farm in Azure

Ферма SharePoint Server 2016, показанная на рисунке 4, является примером многоуровневого высокодоступного бизнес-приложения в Azure.An example of a multi-tier, highly-available LOB application in Azure is a SharePoint Server 2016 farm, as shown in Figure 4.

Рис. 4. Высокодоступная ферма SharePoint Server 2016 в Azure IaaSFigure 4: A high-availability SharePoint Server 2016 farm in Azure IaaS

Высокодоступная ферма SharePoint Server 2016 в Azure IaaS

На рисунке 4 показана локальная сеть, в которой размещены инфраструктура идентификации и пользователи. Она подключена к шлюзу Azure IaaS с помощью соединения VPN типа "сеть-сеть" или ExpressRoute. Виртуальная сеть Azure содержит серверы фермы SharePoint Server 2016, которая включает отдельные уровни для серверов переднего плана, серверов приложений, кластера SQL Server и контроллеров домена.In Figure 4, an on-premises network hosts an identity infrastructure and users. It is connected to an Azure IaaS gateway with a site-to-site VPN or ExpressRoute connection. The Azure VNet contains the servers of the SharePoint Server 2016 farm, which includes separate tiers for the front-end servers, the application servers, the SQL Server cluster, and the domain controllers.

У этой конфигурации есть указанные ниже атрибуты бизнес-приложений в Azure. This configuration has the following attributes of LOB applications in Azure:

  • УровниTiers

    Серверы, выполняющие разные роли в ферме, создают уровни, и каждый уровень имеет собственную подсеть. Servers running different roles within the farm create the tiers and each tier has its own subnet.

  • Высокая доступностьHigh-availability

    Достигается за счет использования нескольких серверов на каждом уровне и размещения всех серверов уровня в одной группе доступности.Achieved by using more than one server in each tier and placing all the servers of a tier in the same availability set.

  • Распределение нагрузкиLoad distribution

    Внутренние балансировщики нагрузки Azure отправляют входящий клиентский веб-трафик на серверы переднего плана (WEB1 и WEB2) и на IP-адрес прослушивателя кластера SQL Server (SQL1, SQL2 и MN1).Internal Azure load balancers distribute the incoming client web traffic to the front-end servers (WEB1 and WEB2) and to the listener IP address of the SQL Server cluster (SQL1, SQL2, and MN1).

  • БезопасностьSecurity

    Группы безопасности сети для каждой подсети позволяют настроить разрешенный входящий и исходящий трафик.Network security groups for each subnet let you to configure allowed inbound and outbound traffic.

Используйте такой путь для успешного внедрения:Follow this path for successful adoption:

  1. Оценка и экспериментEvaluate and experiment

    В разделе 2016 сервера SharePoint в Microsoft Azure понять преимущества под управлением SharePoint Server 2016 в Azure.See SharePoint Server 2016 in Microsoft Azure to understand the benefits of running SharePoint Server 2016 in Azure.

    Просмотреть интрасети 2016 сервера SharePoint в среде Azure разработку и тестирование для построения имитации dev/тестовой средыSee Intranet SharePoint Server 2016 in Azure dev/test environment to build a simulated dev/test environment

  2. ПроектированиеDesign

    В разделе Разработка фермы SharePoint Server 2016 в Azure пошаговое выполнение процесса для определения набора сети Azure IaaS, compute и хранения элементов для размещения фермы и их параметров.See Designing a SharePoint Server 2016 farm in Azure to step through a process to determine the set of Azure IaaS networking, compute, and storage elements to host your farm and their settings.

  3. РазвернутьDeploy

    В разделе Развертывание 2016 SharePoint Server с помощью группы обеспечения доступности AlwaysOn SQL Server в среде Azure для пошагового выполнения начала до конца конфигурации фермы высокой доступности в пять этапов.See Deploying SharePoint Server 2016 with SQL Server AlwaysOn Availability Groups in Azure to step through the end-to-end configuration of the high-availability farm in five phases.

Федеративное удостоверение для Office 365 в AzureFederated identity for Office 365 in Azure

Другой пример многоуровневых, высокой доступностью бизнес-приложение в Azure — федеративных удостоверений для Office 365.Another example of a multi-tier, highly-available LOB application in Azure is federated identity for Office 365.

На рисунке 5: В инфраструктуре федеративных удостоверений высокого уровня доступности для Office 365 в Azure IaaSFigure 5: A high-availability federated identity infrastructure for Office 365 in Azure IaaS

Окончательная конфигурация инфраструктуры для федеративной проверки подлинности Office 365 с высоким уровнем доступности в Azure

На рисунке 5 локальной сети размещается инфраструктуру удостоверения и пользователей. Подключения шлюза Azure IaaS с веб сайта VPN или ExpressRoute подключения. Azure VNet содержит прокси-сервера веб-серверов, серверов служб федерации Active Directory (AD FS) и контроллеры домена Active Directory Windows Server (AD).In Figure 5, an on-premises network hosts an identity infrastructure and users. It is connected to an Azure IaaS gateway with a site-to-site VPN or ExpressRoute connection. The Azure VNet contains web proxy servers, Active Directory Federation Services (AD FS) servers, and Windows Server Active Directory (AD) domain controllers.

У этой конфигурации есть указанные ниже атрибуты бизнес-приложений в Azure. This configuration has the following attributes of LOB applications in Azure:

  • Уровней: Существует уровней для прокси-сервера веб-серверов, серверов AD FS и контроллеров домена Windows Server AD.Tiers: There are tiers for web proxy servers, AD FS servers, and Windows Server AD domain controllers.

  • Распределения нагрузки: Внешние Azure нагрузки распределяет входящие запросы проверки подлинности клиента для прокси-серверов веб и внутреннего Azure балансировщика распространять запросы проверки подлинности на серверах AD FS.Load distribution: An external Azure load balancer distributes the incoming client authentication requests to the web proxies and an internal Azure load balancer distributes authentication requests to the AD FS servers.

Используйте такой путь для успешного внедрения:Follow this path for successful adoption:

  1. Оценка и экспериментEvaluate and experiment

    В разделе федеративных удостоверений для Office 365 dev/тестовой среды для построения имитации dev/тестовой среды для федеративной проверки подлинности с помощью Office 365.See Federated identity for your Office 365 dev/test environment to build a simulated dev/test environment for federated authentication with Office 365.

  2. РазвернутьDeploy

    В разделе Развертывание высокой доступности федеративной проверки подлинности для Office 365 в Azure для пошаговой настройки начала до конца высокой доступности инфраструктуру AD FS в пять этапов.See Deploy high availability federated authentication for Office 365 in Azure to step through the end-to-end configuration of the high availability AD FS infrastructure in five phases.

Дополнительные материалы:See these additional resources:

См. такжеSee Also

Гибридное облако Майкрософт для корпоративных архитекторовMicrosoft Hybrid Cloud for Enterprise Architects

Ресурсы для администраторов, посвященные архитектуре Microsoft CloudMicrosoft Cloud IT architecture resources

Стратегия Enterprise Cloud корпорации Майкрософт: ресурсы для лиц, принимающих решения в области ИТMicrosoft's Enterprise Cloud Roadmap: Resources for IT Decision Makers