Prospettiva di Azure Well-Architected Framework in Azure Stack HCI
Azure Stack HCI è una piattaforma HCI (Hyperconverged Infrastructure) che fornisce risorse di calcolo, risorse di rete e archiviazione locali. È possibile usare Azure Stack HCI per creare e gestire macchine virtuali Windows e Linux, cluster Kubernetes per carichi di lavoro in contenitori e altri servizi abilitati per Azure Arc. La piattaforma usa Azure per la distribuzione e la gestione semplificate, che offre un'esperienza di gestione unificata e coerente tramite Azure Arc. È possibile usare le funzionalità di Azure Stack HCI e Azure Arc per mantenere i sistemi aziendali e i dati delle applicazioni in locale per soddisfare i requisiti di sovranità dei dati, normative e conformità e latenza.
Questo articolo presuppone che si abbia una conoscenza dei sistemi ibridi e che si abbia una conoscenza approfondita di Azure Stack HCI. Le linee guida contenute in questo articolo forniscono raccomandazioni sull'architettura mappate ai principi dei pilastri di Azure Well-Architected Framework.
Importante
Come usare questa guida
Ogni sezione include un elenco di controllo di progettazione che presenta le aree di interesse dell'architettura insieme alle strategie di progettazione localizzate nell'ambito della tecnologia.
Sono incluse anche raccomandazioni sulle funzionalità tecnologiche che possono aiutare a materializzare tali strategie. Le raccomandazioni non rappresentano un elenco completo di tutte le configurazioni disponibili per Azure Stack HCI e le relative dipendenze. Vengono invece elencate le raccomandazioni principali mappate alle prospettive di progettazione. Usare i consigli per creare il modello di verifica o ottimizzare gli ambienti esistenti.
Architettura di base che illustra le raccomandazioni principali:
Architettura di riferimento della baseline di Azure Stack HCI.
Ambito della tecnologia
Questa revisione è incentrata sulle decisioni correlate per le risorse di Azure seguenti:
- Azure Stack HCI (piattaforma), versione 23H2 e successive
- Macchine virtuali Di Azure Arc (carico di lavoro)
Nota
Questo articolo illustra l'ambito precedente e fornisce elenchi di controllo e raccomandazioni organizzati in base all'architettura della piattaforma e all'architettura del carico di lavoro. Le preoccupazioni della piattaforma sono responsabilità degli amministratori della piattaforma. I problemi del carico di lavoro sono responsabilità dell'operatore del carico di lavoro e degli sviluppatori di applicazioni. Questi ruoli e responsabilità sono distinti e possono essere di proprietà di team o individui separati. Tenere presente questa distinzione quando si applicano le linee guida.
Queste linee guida non si concentrano su tipi di risorse specifici che è possibile distribuire in Azure Stack HCI, ad esempio macchine virtuali Di Azure Arc, servizio Azure Kubernetes (AKS) e Desktop virtuale Azure. Quando si distribuiscono questi tipi di risorse in Azure Stack HCI, fare riferimento alle rispettive linee guida per il carico di lavoro per progettare soluzioni che soddisfino i requisiti aziendali.
Affidabilità
Lo scopo del pilastro Affidabilità è fornire funzionalità continue creando una resilienza sufficiente e la possibilità di recuperare rapidamente dagli errori.
I principi di progettazione dell'affidabilità forniscono una strategia di progettazione di alto livello applicata per singoli componenti, flussi di sistema e il sistema nel suo complesso.
Nelle distribuzioni cloud ibride, l'obiettivo è ridurre gli effetti di un errore di un componente. Usare questi elenchi di controllo di progettazione e suggerimenti di configurazione per ridurre l'impatto di un errore del componente per i carichi di lavoro distribuiti in Azure Stack HCI.
È importante distinguere tra affidabilità della piattaforma e affidabilità del carico di lavoro. L'affidabilità del carico di lavoro ha una dipendenza dalla piattaforma. I proprietari di applicazioni o gli sviluppatori devono progettare applicazioni in grado di fornire le destinazioni di affidabilità definite.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per l'affidabilità. Determinare la rilevanza per i requisiti aziendali tenendo presente le prestazioni di Azure Stack HCI. Estendere la strategia per includere altri approcci in base alle esigenze.
(Architettura della piattaforma Azure Stack HCI e architettura del carico di lavoro) Definire le destinazioni di affidabilità del carico di lavoro.
Impostare gli obiettivi del livello di servizio in modo da poter valutare le destinazioni di disponibilità. Calcolare i contratti di servizio come percentuale, ad esempio il 99,9%, il 99,95% o il 99,995%, che riflette il tempo di attività del carico di lavoro. Tenere presente che questo calcolo non è basato solo sulle metriche della piattaforma generati dal cluster o dal carico di lavoro di Azure Stack HCI. Per ottenere una misurazione di destinazione completa, tenere conto di fattori diversi quantificati, ad esempio tempi di inattività previsti durante le versioni, operazioni di routine, supporto o altri fattori specifici del carico di lavoro o specifici dell'organizzazione.
I contratti di servizio forniti da Microsoft spesso influiscono sui calcoli SLO. Microsoft non fornisce tuttavia un contratto di servizio per il tempo di attività e la connettività dei cluster Azure Stack HCI o del carico di lavoro distribuito, perché Microsoft non controlla l'affidabilità del data center dei clienti (ad esempio alimentazione e raffreddamento) o le persone e i processi che amministrano la piattaforma.
(Architettura della piattaforma Azure Stack HCI) Valutare il modo in cui le prestazioni e le operazioni influiscono sull'affidabilità.
Le prestazioni ridotte del cluster o delle relative dipendenze possono rendere la piattaforma Azure Stack HCI non disponibile. Ad esempio:
Senza una pianificazione corretta della capacità del carico di lavoro, è difficile assegnare diritti ai cluster Azure Stack HCI nella fase di progettazione, che è un requisito in modo che il carico di lavoro possa soddisfare gli obiettivi di affidabilità desiderati. Usare lo strumento di ridimensionatore Azure Stack HCI durante la progettazione del cluster. Prendere in considerazione il requisito minimo "N+1 per il numero di nodi" se sono necessarie macchine virtuali a disponibilità elevata. Per i carichi di lavoro critici o cruciali per l'azienda, è consigliabile usare un "N+2 numero di nodi" per le dimensioni del cluster se la resilienza è fondamentale.
L'affidabilità della piattaforma dipende dal livello di prestazioni delle dipendenze critiche della piattaforma, ad esempio i tipi di disco fisico. È necessario scegliere i tipi di disco corretti per i requisiti. Per i carichi di lavoro che necessitano di archiviazione a bassa latenza e velocità effettiva elevata, è consigliabile una configurazione di archiviazione all-flash (solo NVMe/SSD). Per il calcolo generico, una configurazione di archiviazione ibrida (NVMe o SSD per cache e HDD per la capacità) potrebbe offrire più spazio di archiviazione. Tuttavia, il compromesso è che i dischi rotanti hanno prestazioni notevolmente inferiori se il carico di lavoro supera il working set di cache e le unità HDD hanno un tempo medio molto inferiore tra il valore di errore rispetto alle unità NVMe/SSD.
L'efficienza delle prestazioni descrive questi esempi in modo più dettagliato.
Le operazioni di Azure Stack HCI non corrette possono influire sull'applicazione di patch e aggiornamenti, sui test e sulla coerenza delle distribuzioni. Di seguito sono riportati alcuni esempi.
Se la piattaforma Azure Stack HCI non si evolve con il firmware, i driver e le innovazioni oem (Hardware Original Equipment Manufacturer) più recenti, la piattaforma potrebbe non sfruttare le funzionalità di resilienza più recenti. Applicare regolarmente gli aggiornamenti del firmware e del driver OEM hardware. Per altre informazioni, vedere Catalogo di soluzioni Azure Stack HCI.
È necessario testare l'ambiente di destinazione per la connettività, l'hardware e la gestione delle identità e degli accessi prima della distribuzione. In caso contrario, è possibile distribuire la soluzione Azure Stack HCI in un ambiente instabile, che può creare problemi di affidabilità. È possibile usare lo strumento di controllo ambientale in modalità autonoma per rilevare i problemi, anche prima che l'hardware del cluster sia disponibile.
Per indicazioni operative, vedere Eccellenza operativa.
(Architettura della piattaforma Azure Stack HCI) Fornire la tolleranza di errore al cluster e alle relative dipendenze dell'infrastruttura.
Opzioni di progettazione dell'archiviazione. Per la maggior parte delle distribuzioni, l'opzione predefinita per la creazione automatica dei volumi di carico di lavoro e dell'infrastruttura è sufficiente. Se si seleziona l'opzione avanzata: "Creare solo i volumi di infrastruttura necessari", configurare la tolleranza di errore del volume appropriata all'interno di Spazi di archiviazione diretta in base ai requisiti del carico di lavoro. Queste decisioni influenzano le funzionalità di prestazioni, capacità e resilienza dei volumi. Ad esempio, un mirror a tre vie aumenta l'affidabilità e le prestazioni per i cluster con tre o più nodi. Per altre informazioni, vedere Tolleranza di errore per l'efficienza di archiviazione e Creare dischi e volumi virtuali Spazi di archiviazione diretta.
Architettura di rete. Usare una topologia di rete convalidata per distribuire Azure Stack HCI. I cluster multinodo, con quattro o più nodi fisici, richiedono la progettazione "commutata di archiviazione". I cluster con due o tre nodi possono facoltativamente usare la progettazione "senza cambio di archiviazione". Indipendentemente dalle dimensioni del cluster, è consigliabile usare due commutatori Top of Rack (ToR) per le finalità di gestione e calcolo (uplink nord e sud) per garantire una maggiore tolleranza di errore. La topologia dual ToR offre anche resilienza durante le operazioni di manutenzione del commutatore (aggiornamento del firmware). Per altre informazioni, vedere Topologie di rete convalidate.
(Architettura del carico di lavoro) Creare ridondanza per offrire resilienza.
Si consideri un carico di lavoro distribuito in un singolo cluster Azure Stack HCI come distribuzione con ridondanza locale. Il cluster offre disponibilità elevata a livello di piattaforma, ma è necessario ricordare di distribuire il cluster "in un singolo rack". Pertanto, per i casi d'uso critici per l'azienda o cruciali, è consigliabile distribuire più istanze di un carico di lavoro o di un servizio in due o più cluster Azure Stack HCI separati, idealmente in posizioni fisiche separate.
Usare modelli di disponibilità elevata standard di settore per i carichi di lavoro, ad esempio una progettazione che fornisce la replica sincrona o sincrona attiva/passiva (ad esempio SQL Server AlwaysOn). Un altro esempio è una tecnologia di bilanciamento del carico di rete esterna che può instradare le richieste degli utenti tra più istanze del carico di lavoro eseguite nei cluster Azure Stack HCI distribuiti in posizioni fisiche separate. Prendere in considerazione l'uso di un dispositivo di bilanciamento carico di rete esterno del partner. In alternativa, valutare le opzioni di bilanciamento del carico che supportano il routing del traffico per i servizi ibridi e locali, ad esempio un'istanza del gateway di app Azure lication che usa Azure ExpressRoute o un tunnel VPN per connettersi a un servizio locale.
Per altre informazioni, vedere Distribuire istanze dei carichi di lavoro in più cluster Azure Stack HCI.
(Architettura del carico di lavoro) Pianificare e testare la recuperabilità in base agli obiettivi del punto di ripristino del carico di lavoro (RPO) e all'obiettivo del tempo di ripristino (RTO).
Avere un piano di ripristino di emergenza ben documentato. Testare regolarmente i passaggi di ripristino per assicurarsi che i piani e i processi di continuità aziendale siano validi. Determinare se Azure Site Recovery è una scelta valida per la protezione delle macchine virtuali eseguite in Azure Stack HCI. Per altre informazioni, vedere Proteggere i carichi di lavoro delle macchine virtuali con Azure Site Recovery in Azure Stack HCI (anteprima).
(Architettura del carico di lavoro) Configurare e testare regolarmente le procedure di backup e ripristino del carico di lavoro.
I requisiti aziendali per il ripristino dei dati e la conservazione guidano la strategia per i backup dei carichi di lavoro. Una strategia completa include considerazioni per il sistema operativo del carico di lavoro e i dati persistenti dell'applicazione, con la possibilità di ripristinare i dati a livello di file (temporizzato) e a livello di cartella. Configurare i criteri di conservazione dei backup in base ai requisiti di ripristino e conformità dei dati, che determinano il numero e l'età dei punti di ripristino dei dati disponibili. Esplorare Backup di Azure come opzione per abilitare i backup a livello di host o di macchina virtuale a livello di guest per Azure Stack HCI. Esaminare le soluzioni di protezione dei dati dei partner del fornitore di software indipendenti di Backup, se pertinenti. Per altre informazioni, vedere Backup di Azure indicazioni e procedure consigliate e Backup di Azure per Azure Stack HCI.
Consigli
| Elemento consigliato | Vantaggio |
|---|---|
| Riservare l'equivalente di un disco di capacità per ogni nodo all'interno del pool di archiviazione Spazi di archiviazione diretta. | Se si sceglie di creare volumi di carico di lavoro dopo aver distribuito un cluster Azure Stack HCI (opzione Avanzata: "creare solo volumi di infrastruttura necessari"), è consigliabile lasciare il 5% al 10% della capacità totale del pool non allocata nel pool di archiviazione. Questa capacità riservata e inutilizzata, o libera, consente Spazi di archiviazione diretta di ripristinare "sul posto" quando un disco fisico ha esito negativo, migliorando la resilienza e le prestazioni dei dati in caso di errore del disco fisico. |
| Assicurarsi che tutti i nodi fisici abbiano accesso alla rete all'elenco degli endpoint HTTPS in uscita necessari per Azure Stack HCI e Azure Arc. | Per gestire, monitorare e gestire in modo affidabile cluster o risorse del carico di lavoro di Azure Stack HCI, gli endpoint di rete in uscita necessari devono avere accesso, direttamente o tramite un server proxy. Un'interruzione temporanea non influisce sullo stato di esecuzione del carico di lavoro, ma potrebbe influire sulla gestibilità. |
| Se si sceglie di creare manualmente volumi di carico di lavoro (dischi virtuali), usare il tipo di resilienza più appropriato per ottimizzare la resilienza e le prestazioni del carico di lavoro. Per tutti i volumi utente creati manualmente dopo la distribuzione del cluster, creare un percorso di archiviazione per i volumi in Azure. Il volume può archiviare i file di configurazione delle macchine virtuali del carico di lavoro, i dischi rigidi virtuali (VHD) e le immagini delle macchine virtuali tramite il percorso di archiviazione. | Per i cluster Azure Stack HCI con tre o più nodi, è consigliabile usare un mirror a tre vie per offrire le funzionalità di resilienza e prestazioni più elevate. È consigliabile usare volumi con mirroring per carichi di lavoro business critical o cruciali. |
| Valutare la possibilità di implementare regole di anti-affinità del carico di lavoro per assicurarsi che le macchine virtuali che ospitano più istanze dello stesso servizio vengano eseguite in host fisici separati. Questo concetto è simile ai "set di disponibilità" in Azure. | Rendere ridondanti tutti i componenti. Per carichi di lavoro critici o cruciali per l'azienda, usare più macchine virtuali o pod di Azure Arc o pod di replica Kubernetes per distribuire più istanze di applicazioni o servizi. Questo approccio aumenta la resilienza se si verifica un'interruzione non pianificata di un singolo nodo fisico. |
Sicurezza
Lo scopo del pilastro Sicurezza è fornire garanzie di riservatezza, integrità e disponibilità al carico di lavoro.
I principi di progettazione della sicurezza forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi applicando approcci alla progettazione tecnica di Azure Stack HCI.
Azure Stack HCI è un prodotto sicuro per impostazione predefinita con più di 300 impostazioni di sicurezza abilitate durante il processo di distribuzione cloud. Le impostazioni di sicurezza predefinite forniscono una baseline di sicurezza coerente per garantire che i dispositivi inizino in uno stato valido noto. È inoltre possibile usare i controlli di protezione deriva per fornire una gestione su larga scala.
Le funzionalità di sicurezza predefinite in Azure Stack HCI includono impostazioni di sicurezza avanzata del sistema operativo, Controllo delle applicazioni di Windows Defender, crittografia del volume tramite BitLocker, rotazione dei segreti, account utente predefiniti locali e Microsoft Defender per il cloud. Per altre informazioni, vedere Esaminare le funzionalità di sicurezza.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo per la revisione della progettazione per la sicurezza. Identificare vulnerabilità e controlli per migliorare il comportamento di sicurezza. Estendere la strategia per includere altri approcci in base alle esigenze.
(Architettura della piattaforma Azure Stack HCI) Esaminare le baseline di sicurezza. Azure Stack HCI e gli standard di sicurezza forniscono indicazioni di base per rafforzare il comportamento di sicurezza della piattaforma e dei carichi di lavoro ospitati. Se il carico di lavoro deve essere conforme a normative specifiche, tenere conto degli standard di sicurezza normativi, ad esempio Standard di sicurezza dei dati del settore delle carte di pagamento e Federal Information Processing Standard 140.
Le impostazioni predefinite fornite dalla piattaforma Azure Stack HCI abilitano le funzionalità di sicurezza, inclusi i controlli delle identità, i filtri di rete e la crittografia. Queste impostazioni costituiscono una buona baseline di sicurezza per un nuovo cluster Azure Stack HCI di cui è stato effettuato il provisioning. È possibile personalizzare ogni impostazione in base ai requisiti di sicurezza dell'organizzazione.
Assicurarsi di rilevare e proteggere dalla deviazione della configurazione della sicurezza indesiderata.
(Architettura della piattaforma Azure Stack HCI) Rilevare, impedire e rispondere alle minacce. Monitorare continuamente l'ambiente Azure Stack HCI e proteggersi dalle minacce esistenti e in continua evoluzione.
È consigliabile abilitare Defender per il cloud in Azure Stack HCI. Abilitare il piano di base Defender per il cloud (livello gratuito) usando Defender Cloud Security Posture Management per monitorare e identificare i passaggi che è possibile eseguire per proteggere la piattaforma Azure Stack HCI, insieme ad altre risorse di Azure e Azure Arc.
Per trarre vantaggio dalle funzionalità di sicurezza avanzate, inclusi gli avvisi di sicurezza per singoli server e macchine virtuali di Azure Arc, abilitare Microsoft Defender per server nei nodi del cluster Azure Stack HCI e nelle macchine virtuali di Azure Arc.
Usare Defender per il cloud per misurare il comportamento di sicurezza dei nodi e dei carichi di lavoro di Azure Stack HCI. Defender per il cloud offre un'unica esperienza di vetro per gestire la conformità alla sicurezza.
Usare Defender per server per monitorare le macchine virtuali ospitate per individuare minacce e configurazioni errate. È anche possibile abilitare le funzionalità di rilevamento e reazione dagli endpoint nei nodi di Azure Stack HCI.
Valutare la possibilità di aggregare i dati di intelligence per la sicurezza e le minacce da tutte le origini in una soluzione di gestione degli eventi e delle informazioni di sicurezza centralizzata, ad esempio Microsoft Sentinel.
(Architettura della piattaforma Azure Stack HCI e architettura del carico di lavoro) Creare una segmentazione per contenere il raggio dell'esplosione. Esistono diverse strategie per raggiungere la segmentazione.
Identità. Mantenere separati i ruoli e le responsabilità per la piattaforma e il carico di lavoro. Consentire solo alle identità autorizzate di eseguire le operazioni specifiche allineate ai ruoli designati. Gli amministratori della piattaforma Azure Stack HCI usano sia le credenziali di dominio di Azure che locali per svolgere le attività della piattaforma. Gli operatori del carico di lavoro e gli sviluppatori di applicazioni gestiscono la sicurezza del carico di lavoro. Per semplificare la delega delle autorizzazioni, usare i ruoli di controllo degli accessi in base al ruolo (RBAC) predefiniti di Azure Stack HCI, ad esempio "Amministratore di Azure Stack HCI" per gli amministratori della piattaforma e "Collaboratore macchina virtuale Azure Stack HCI" o "Lettore vm di Azure Stack HCI" per gli operatori del carico di lavoro. Per altre informazioni sulle azioni di ruolo predefinite specifiche, vedere la documentazione di Controllo degli accessi in base al ruolo di Azure per i ruoli ibridi e multicloud.
Rete: Isolare le reti, se necessario. Ad esempio, è possibile effettuare il provisioning di più reti logiche che usano reti locali virtuali separate (vLAN) e intervalli di indirizzi di rete. Quando si usa questo approccio, assicurarsi che la rete di gestione possa raggiungere ogni rete logica e vLAN in modo che i nodi del cluster Azure Stack HCI possano comunicare con le reti vLAN tramite commutatori o gateway ToR. Questa configurazione è necessaria per la gestione della disponibilità del carico di lavoro, ad esempio per consentire agli agenti di gestione dell'infrastruttura di comunicare con il sistema operativo guest del carico di lavoro.
Per altre informazioni, vedere Raccomandazioni per la creazione di una strategia di segmentazione.
(Architettura della piattaforma Azure Stack HCI e architettura del carico di lavoro) Usare un provider di identità attendibile per controllare l'accesso. È consigliabile usare Microsoft Entra ID per tutti gli scopi di autenticazione e autorizzazione. Se necessario, è possibile aggiungere un carico di lavoro a un dominio di Windows Server Active Directory locale. Sfruttare le funzionalità che supportano password complesse, autenticazione a più fattori, controllo degli accessi in base al ruolo e controlli per la gestione dei segreti.
(Architettura della piattaforma Azure Stack HCI e architettura del carico di lavoro) Isolare, filtrare e bloccare il traffico di rete. Si potrebbe avere un caso d'uso del carico di lavoro che richiede reti virtuali, microsegmentazione tramite gruppi di sicurezza di rete, qualità di rete dei criteri di servizio o concatenamento di appliance virtuali in modo da poter inserire appliance partner per filtrare. Se si dispone di un carico di lavoro di questo tipo, vedere Considerazioni sulla rete definite dal software per i modelli di riferimento di rete per un elenco delle funzionalità e delle funzionalità supportate fornite dal controller di rete.
(Architettura del carico di lavoro) Crittografare i dati per proteggersi da manomissioni. Crittografare i dati in transito, i dati inattivi e i dati in uso.
La crittografia dei dati inattivi è abilitata nei volumi di dati creati durante la distribuzione. Questi volumi di dati includono volumi dell'infrastruttura e volumi del carico di lavoro. Per altre informazioni, vedere Gestire la crittografia BitLocker.
Usare l'avvio attendibile per le macchine virtuali di Azure Arc per migliorare la sicurezza delle macchine virtuali di seconda generazione usando le funzionalità del sistema operativo dei sistemi operativi moderni, ad esempio l'avvio protetto, che può usare un modulo di piattaforma attendibile virtuale.
Rendere operativa la gestione dei segreti. In base ai requisiti dell'organizzazione, modificare le credenziali associate all'identità utente di distribuzione per Azure Stack HCI. Per altre informazioni, vedere Gestire la rotazione dei segreti.
(Architettura della piattaforma Azure Stack HCI) Applicare i controlli di sicurezza. Usare Criteri di Azure per controllare e applicare criteri predefiniti, ad esempio "I criteri di controllo delle applicazioni devono essere applicati in modo coerente" o "I volumi crittografati devono essere implementati". È possibile usare questi criteri di Azure per controllare le impostazioni di sicurezza e valutare lo stato di conformità di Azure Stack HCI. Per esempi dei criteri disponibili, vedere Criteri di Azure.
(Architettura del carico di lavoro) Migliorare il comportamento di sicurezza del carico di lavoro con i criteri predefiniti. Per valutare le macchine virtuali di Azure Arc eseguite in Azure Stack HCI, è possibile applicare criteri predefiniti tramite il benchmark di sicurezza, Azure Update Manager o l'estensione di configurazione guest Criteri di Azure. È possibile usare vari criteri per verificare le condizioni seguenti:
- Installazione dell'agente di Log Analytics
- Aggiornamenti di sistema non aggiornati che devono essere aggiornati con le patch di sicurezza più recenti
- Valutazione della vulnerabilità e possibili mitigazioni
- Uso di protocolli di comunicazione sicuri
Consigli
| Elemento consigliato | Vantaggio |
|---|---|
| Usare le impostazioni dei controlli di base e deviazione della sicurezza per applicare e gestire le impostazioni di sicurezza nei nodi del cluster. | Queste configurazioni consentono di proteggersi da modifiche indesiderate e deviazioni perché aggiornano automaticamente le impostazioni di sicurezza ogni 90 minuti per applicare il comportamento di sicurezza previsto di Azure Stack HCI. |
| Usare Il controllo delle applicazioni di Windows Defender in Azure Stack HCI. | Windows Defender Application Control riduce la superficie di attacco di Azure Stack HCI. Usare il portale di Azure o PowerShell per visualizzare le impostazioni dei criteri e controllare le modalità dei criteri. I criteri di Controllo delle applicazioni di Windows Defender consentono di controllare quali driver e app possono essere eseguiti nel sistema. |
| Abilitare la crittografia del volume tramite BitLocker per la protezione dei dati inattivi. | BitLocker protegge i volumi di dati e del sistema operativo crittografando i volumi condivisi del cluster creati in Azure Stack HCI. BitLocker usa la crittografia XTS-AES a 256 bit. È consigliabile mantenere abilitata l'impostazione predefinita per la crittografia del volume durante la distribuzione cloud di Azure Stack HCI per tutti i volumi di dati. |
| Esportare le chiavi di ripristino di BitLocker per archiviarle in una posizione sicura esterna dal cluster Azure Stack HCI. | Potrebbero essere necessarie chiavi BitLocker durante azioni specifiche per la risoluzione dei problemi o il ripristino. È consigliabile esportare, salvare e eseguire il backup delle chiavi di crittografia per i volumi di dati e del sistema operativo da ogni cluster Azure Stack HCI tramite il cmdlet di PowerShell "Get-AsRecoveryKeyInfo". Salvare le chiavi in una posizione esterna sicura, ad esempio Azure Key Vault. |
| Usare una soluzione SIEM per aumentare le funzionalità di monitoraggio della sicurezza e avvisi. A tale scopo, è possibile eseguire l'onboarding di server abilitati per Azure Arc (nodi della piattaforma Azure Stack HCI) in Microsoft Sentinel. In alternativa, se si usa una soluzione SIEM diversa, configurare l'inoltro syslog degli eventi di sicurezza alla soluzione scelta. | Inoltrare i dati degli eventi di sicurezza usando Microsoft Sentinel o l'inoltro syslog per fornire funzionalità di avviso e creazione di report tramite l'integrazione con una soluzione SIEM gestita dal cliente. |
| Usare la firma SMB (Server Message Block) per migliorare la protezione dei dati in transito, che è abilitata nelle "impostazioni di sicurezza predefinite". | La firma SMB consente di firmare digitalmente il traffico SMB tra una piattaforma Azure Stack HCI e i sistemi esterni alla piattaforma (nord o sud). Configurare la firma per il traffico SMB esterno tra la piattaforma Azure Stack HCI e altri sistemi per evitare attacchi di inoltro. |
| Usare l'impostazione di crittografia SMB per migliorare la protezione dei dati in transito, che è abilitata nelle "impostazioni di sicurezza predefinite". | L'impostazione di crittografia SMB per il traffico in cluster controlla la crittografia del traffico tra nodi fisici nel cluster Azure Stack HCI (est o ovest) nella rete di archiviazione. |
Ottimizzazione dei costi
L'ottimizzazione dei costi è incentrata sul rilevamento dei modelli di spesa, sulla definizione delle priorità degli investimenti in aree critiche e sull'ottimizzazione in altri casi in modo da soddisfare il budget dell'organizzazione rispettando i requisiti aziendali.
I principi di progettazione di Ottimizzazione costi forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi e fare compromessi in base alle esigenze nella progettazione tecnica relativa ad Azure Stack HCI e al relativo ambiente.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'ottimizzazione dei costi per gli investimenti. Ottimizzare la progettazione in modo che il carico di lavoro sia allineato al budget allocato per il carico di lavoro. La progettazione deve usare le funzionalità di Azure appropriate, monitorare gli investimenti e trovare opportunità per ottimizzare nel tempo.
Azure Stack HCI comporta costi per hardware, licenze software, carichi di lavoro, licenze guest (Windows Server o Linux) e altri servizi cloud integrati, ad esempio Monitoraggio di Azure e Defender per il cloud.
(Architettura della piattaforma Azure Stack HCI e architettura del carico di lavoro) Stimare i costi realistici nell'ambito della modellazione dei costi. Usare il calcolatore prezzi di Azure per selezionare e configurare servizi come Azure Stack HCI, Azure Arc e servizio Azure Kubernetes in Azure Stack HCI. Sperimentare diverse configurazioni e opzioni di pagamento per modellare i costi.
(Architettura della piattaforma Azure Stack HCI e architettura del carico di lavoro) Ottimizzare il costo dell'hardware di Azure Stack HCI. Scegliere un partner OEM hardware in linea con i requisiti aziendali e commerciali. Per esplorare l'elenco certificato di nodi convalidati, sistemi integrati e soluzioni premier, vedere catalogo di soluzioni Azure Stack HCI. Comunicare le caratteristiche, le dimensioni, la quantità e le prestazioni del carico di lavoro con il partner hardware, in modo da poter impostare una soluzione hardware conveniente per i nodi e le dimensioni del cluster di Azure Stack HCI.
(Architettura della piattaforma Azure Stack HCI) Ottimizzare i costi di licenza. Il software Azure Stack HCI viene concesso in licenza e fatturato in base al "core CPU fisico". Usare licenze di base locali esistenti con Vantaggio Azure Hybrid per ridurre i costi di licenza per i carichi di lavoro di Azure Stack HCI, ad esempio macchine virtuali di Azure Arc che eseguono Windows Server, SQL Server o servizio Azure Kubernetes e Istanza gestita di SQL di Azure abilitate per Azure Arc. Per altre informazioni, vedere Vantaggio Azure Hybrid calcolatore dei costi.
(Architettura della piattaforma Azure Stack HCI) Risparmiare sui costi dell'ambiente. Valutare se le opzioni seguenti consentono di ottimizzare l'utilizzo delle risorse.
Sfrutta i programmi di sconto offerti da Microsoft. Prendere in considerazione l'uso di Vantaggio Azure Hybrid per ridurre i costi per l'esecuzione di carichi di lavoro di Azure Stack HCI e Windows Server. Per altre informazioni, vedere Vantaggio Azure Hybrid per Azure Stack HCI.
Esplora le offerte promozionali. Sfruttare la versione di valutazione gratuita di Azure Stack HCI 60 giorni dopo la registrazione per la prova iniziale dei concetti o delle convalide.
(Architettura della piattaforma Azure Stack HCI) Risparmiare sui costi operativi.
Valutare le opzioni tecnologico per l'applicazione di patch, l'aggiornamento e altre operazioni. Gestione aggiornamenti è gratuito per i cluster Azure Stack HCI con Vantaggio Azure Hybrid e la gestione delle macchine virtuali di Azure Arc abilitata. Per altre informazioni, vedere Domande frequenti su Update Manager e Prezzi di Gestione aggiornamenti.
Valutare i costi correlati all'osservabilità. Configurare regole di avviso e regole di raccolta dati per soddisfare le esigenze di monitoraggio e controllo. La quantità di dati che il carico di lavoro inserisce, elabora e mantiene influisce direttamente sui costi. Ottimizzare usando criteri di conservazione intelligente, limitando il numero e la frequenza degli avvisi e scegliendo il livello di archiviazione appropriato per l'archiviazione dei log. Per altre informazioni, vedere Linee guida per l'ottimizzazione dei costi per Log Analytics.
(Architettura del carico di lavoro) Valutare la densità rispetto all'isolamento. Usare il servizio Azure Kubernetes in Azure Stack HCI per migliorare la densità e semplificare la gestione dei carichi di lavoro in modo da consentire alle applicazioni in contenitori di ridimensionarsi in più data center o posizioni perimetrali. Per altre informazioni, vedere Prezzi del servizio Azure Kubernetes in Azure Stack HCI.
Consigli
| Elemento consigliato | Vantaggio |
|---|---|
| Usare Vantaggio Azure Hybrid per Azure Stack HCI se si dispone di licenze di Windows Server Datacenter con Software Assurance. | Con Vantaggio Azure Hybrid per Azure Stack HCI, è possibile ottimizzare il valore delle licenze locali e modernizzare l'infrastruttura esistente in Azure Stack HCI senza costi aggiuntivi. |
| Scegliere il componente aggiuntivo della sottoscrizione di Windows Server o usare la propria licenza per la licenza e attivare le macchine virtuali di Windows Server e usarle in Azure Stack HCI. Per altre informazioni, vedere Licenza di macchine virtuali Windows Server in Azure Stack HCI. | Anche se è possibile usare qualsiasi licenza di Windows Server esistente e metodi di attivazione disponibili, facoltativamente, è possibile abilitare il componente aggiuntivo "Sottoscrizione di Windows Server" disponibile solo per Azure Stack HCI per sottoscrivere le licenze guest di Windows Server tramite Azure, che viene addebitato per il numero totale di core fisici nel cluster Azure Stack HCI. |
| Usare il vantaggio Verifica di Azure per le macchine virtuali esteso ad Azure Stack HCI in modo che i carichi di lavoro esclusivi di Azure supportati possano funzionare all'esterno del cloud. | Questo vantaggio è abilitato per impostazione predefinita in Azure Stack HCI versione 23H2 o successiva. Usare questo vantaggio in modo che le macchine virtuali possano operare in altri ambienti e carichi di lavoro di Azure possono trarre vantaggio dalle offerte disponibili solo in Azure, ad esempio gli aggiornamenti della sicurezza estesi abilitati da Azure Arc. |
Eccellenza operativa
L'eccellenza operativa si concentra principalmente sulle procedure per le procedure di sviluppo, l'osservabilità e la gestione del rilascio.
I principi di progettazione dell'eccellenza operativa forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi per i requisiti operativi del carico di lavoro.
Il monitoraggio e la diagnostica sono fondamentali. È possibile usare le metriche per misurare le statistiche sulle prestazioni e risolvere e risolvere rapidamente i problemi. Per altre informazioni su come risolvere i problemi, vedere Principi di progettazione di Eccellenza operativa e Raccogliere log di diagnostica per Azure Stack HCI.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'eccellenza operativa per definire i processi per l'osservabilità, i test e la distribuzione correlati ad Azure Stack HCI.
(Architettura della piattaforma Azure Stack HCI) Aumentare il supporto di Azure Stack HCI. L'osservabilità è abilitata per impostazione predefinita al momento della distribuzione. Queste funzionalità migliorano il supporto della piattaforma. I dati di telemetria e le informazioni di diagnostica vengono condivisi in modo sicuro dalla piattaforma usando l'estensione AzureEdgeTelemetryAndDiagnostics , installata in tutti i nodi del cluster Azure Stack HCI per impostazione predefinita. Per altre informazioni, vedere Osservabilità di Azure Stack HCI.
(Architettura della piattaforma Azure Stack HCI) Usare i servizi di Azure per ridurre la complessità operativa e aumentare la scalabilità di gestione. Azure Stack HCI è integrato con Azure per abilitare servizi come Update Manager per l'applicazione di patch alla piattaforma e Monitoraggio di Azure per il monitoraggio e l'invio di avvisi. È possibile usare Azure Arc e Criteri di Azure per gestire la configurazione della sicurezza e il controllo della conformità. Implementare Defender per il cloud per gestire minacce informatiche e vulnerabilità. Usare Azure come piano di controllo per questi processi operativi e procedure per ridurre la complessità, migliorare l'efficienza della scalabilità e migliorare la coerenza di gestione.
(Architettura del carico di lavoro) Pianificare in anticipo i requisiti dell'intervallo di rete degli indirizzi IP per i carichi di lavoro. Azure Stack HCI offre una piattaforma per distribuire e gestire carichi di lavoro virtualizzati o in contenitori. Considerare anche i requisiti degli indirizzi IP per le reti logiche usate dal carico di lavoro. Esaminare le risorse seguenti:
Architettura di riferimento di rete di Azure Stack HCI (piattaforma) e requisiti IP
I carichi di lavoro distribuiti in Azure Stack HCI richiedono reti logiche. Per esempi specifici, vedere Requisiti di rete per cluster del servizio Azure Kubernetes, reti logiche per macchine virtuali Azure Arc e Desktop virtuale con Azure Stack HCI.
(Configurazione del carico di lavoro) Abilitare il monitoraggio e gli avvisi per i carichi di lavoro distribuiti in Azure Stack HCI. È possibile usare Monitoraggio di Azure per le macchine virtuali o informazioni dettagliate sulle macchine virtuali per le macchine virtuali Arc oppure usare Informazioni dettagliate sui contenitori e cluster del servizio Azure Kubernetes gestiti.
Valutare se usare un'area di lavoro Log Analytics centralizzata per il carico di lavoro. Per un esempio di sink di log condiviso (posizione dei dati), vedere Raccomandazioni per la gestione e il monitoraggio del carico di lavoro.
(Architettura della piattaforma Azure Stack HCI) Usare tecniche di convalida appropriate per una distribuzione sicura. Usare lo strumento di verifica ambientale in modalità autonoma per valutare l'idoneità dell'ambiente di destinazione prima di distribuire una soluzione Azure Stack HCI. Questo strumento convalida la configurazione corretta dei prerequisiti di connettività, hardware, Windows Server Active Directory, reti e integrazione di Azure Arc.
(Architettura della piattaforma Azure Stack HCI) Ottenere l'attuale e rimanere aggiornati. Usare il catalogo delle soluzioni Azure Stack HCI per rimanere aggiornato con le innovazioni oem hardware più recenti per le distribuzioni di cluster Azure Stack HCI. Prendere in considerazione l'uso di soluzioni Premium per trarre vantaggio da funzionalità aggiuntive di integrazione, distribuzione chiavi in sequenza e un'esperienza di aggiornamento semplificata.
Usare Gestione aggiornamenti per aggiornare la piattaforma e gestire il sistema operativo, gli agenti principali e i servizi, incluse le estensioni della soluzione. Rimanere aggiornati e prendere in considerazione l'impostazione "Abilita aggiornamento automatico" laddove possibile per le estensioni.
Consigli
| Elemento consigliato | Vantaggio |
|---|---|
| Abilitare Monitor Insights nei cluster Azure Stack HCI per migliorare il monitoraggio e gli avvisi usando le funzionalità native di Azure. Insights può monitorare le principali funzionalità di Azure Stack HCI usando i contatori delle prestazioni del cluster e i canali del log eventi raccolti dal DCR. Per determinate infrastrutture hardware, ad esempio Dell APEX, è possibile visualizzare gli eventi hardware in tempo reale. Per altre informazioni, vedere Cartelle di lavoro delle funzionalità. |
Azure gestisce Insights, quindi è sempre aggiornato, è scalabile in più cluster ed è altamente personalizzabile. Insights fornisce l'accesso alle cartelle di lavoro predefinite con metriche di base, insieme alle cartelle di lavoro specializzate create per il monitoraggio delle funzionalità chiave di Azure Stack HCI. Questa funzionalità offre un monitoraggio quasi in tempo reale. È possibile creare grafici e visualizzazioni personalizzate usando l'aggregazione e la funzionalità di filtro. È anche possibile configurare regole di avviso personalizzate. Il costo di Insights si basa sulla quantità di dati inseriti e sulle impostazioni di conservazione dei dati dell'area di lavoro Log Analytics. Quando si abilita Azure Stack HCI Insights, è consigliabile usare il DCR creato dall'esperienza di creazione di Insights. Il prefisso del nome del record di controllo di dominio è AzureStackHCI-. È configurato per raccogliere solo i dati necessari. |
| Configurare gli avvisi e configurare le regole di elaborazione degli avvisi in base ai requisiti dell'organizzazione. Ricevere una notifica delle modifiche apportate a integrità, metriche, log o altri tipi di dati di osservabilità. - Avvisi di integrità - Avvisi relativi ai log - Avvisi delle metriche Per altre informazioni, vedere Regole consigliate per gli avvisi delle metriche. |
Integrare Gli avvisi di Monitoraggio con Azure Stack HCI per ottenere diversi vantaggi chiave senza costi aggiuntivi. Ottenere il monitoraggio quasi in tempo reale e personalizzare gli avvisi per notificare al team o all'amministratore giusto la correzione. È possibile raccogliere un elenco completo di metriche per risorse di calcolo, archiviazione e rete in Azure Stack HCI. Eseguire operazioni logiche avanzate sui dati di log e valutare le metriche del sistema Azure Stack HCI a intervalli regolari. |
| Usare la funzionalità di aggiornamento per integrare e gestire vari aspetti della soluzione Azure Stack HCI in un'unica posizione. Per altre informazioni, vedere Informazioni sugli aggiornamenti in Azure Stack HCI. | L'agente di orchestrazione degli aggiornamenti viene installato durante la distribuzione iniziale del cluster Azure Stack HCI. Questa funzionalità automatizza gli aggiornamenti e le operazioni di gestione. Per mantenere Azure Stack HCI in uno stato supportato, assicurarsi di aggiornare i cluster a cadenza regolare per passare alle nuove build di base quando diventano disponibili. Questo metodo offre nuove funzionalità e miglioramenti alla piattaforma. Per altre informazioni sui training delle versioni, sulla frequenza degli aggiornamenti e sulla finestra di supporto di ogni build di base, vedere Informazioni sulla versione di Azure Stack HCI versione 23H2. |
| Per facilitare l'uso di competenze pratiche, lab, eventi di training, demo di prodotto o progetti di verifica, è consigliabile usare Jumpstart HCIBox. Distribuire rapidamente Azure Stack HCI senza la necessità di hardware fisico usando una macchina virtuale in Azure per distribuire la soluzione. | HCIBox supporta Azure Stack HCI versione 23H2 per abilitare test rapidi e valutazione delle funzionalità più recenti dei prodotti perimetrali di Azure, ad esempio l'integrazione nativa di Azure Arc e del servizio Azure Kubernetes in una sandbox autonoma. È possibile distribuire questa sandbox in una sottoscrizione di Azure usando una macchina virtuale che supporta la virtualizzazione annidata per emulare un cluster Azure Stack HCI all'interno di una macchina virtuale di Azure. Ottenere funzionalità di Azure Stack HCI come la nuova funzionalità di distribuzione cloud con un lavoro manuale minimo. Per altre informazioni, vedere il blog della Community tecnica Microsoft. |
Efficienza delle prestazioni
L'efficienza delle prestazioni riguarda la gestione dell'esperienza utente anche quando si verifica un aumento del carico gestendo la capacità. La strategia include il ridimensionamento delle risorse, l'identificazione e l'ottimizzazione dei potenziali colli di bottiglia e l'ottimizzazione delle prestazioni massime.
I principi di progettazione dell'efficienza delle prestazioni forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi di capacità rispetto all'utilizzo previsto.
Elenco di controllo della progettazione
Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per l'efficienza delle prestazioni. Definire una linea di base basata su indicatori chiave per Azure Stack HCI.
(Architettura della piattaforma Azure Stack HCI) Usare l'hardware convalidato da Azure Stack HCI o i sistemi integrati delle offerte dei partner OEM. È consigliabile usare i generatori di soluzioni Premium nel catalogo di Azure Stack HCI per ottimizzare le prestazioni dell'ambiente Azure Stack HCI.
(Architettura di archiviazione della piattaforma Azure Stack HCI) Scegliere i tipi di disco fisici corretti per i nodi del cluster Azure Stack HCI in base ai requisiti di prestazioni e capacità del carico di lavoro. Per carichi di lavoro ad alte prestazioni che richiedono bassa latenza e archiviazione ad alta velocità effettiva, è consigliabile usare una configurazione di archiviazione all-flash (solo NVMe/SSD). Per i requisiti di capacità di calcolo per utilizzo generico o di archiviazione di grandi dimensioni, prendere in considerazione l'uso dell'archiviazione ibrida (SSD o NVMe per il livello di cache e hdd per il livello di capacità), che potrebbe offrire una maggiore capacità di archiviazione.
(Architettura della piattaforma Azure Stack HCI) Usare lo strumento di ridimensionamento di Azure Stack HCI durante la fase di progettazione del cluster (pre-distribuzione). I cluster Azure Stack HCI devono essere ridimensionati in modo appropriato usando i requisiti di capacità, prestazioni e resilienza del carico di lavoro come input. Le dimensioni determinano il numero massimo di nodi fisici che possono essere offline contemporaneamente (quorum del cluster), ad esempio eventi pianificati (manutenzione) o non pianificati (alimentazione o errore hardware). Per altre informazioni, vedere Panoramica del quorum del cluster.
(Architettura della piattaforma Azure Stack HCI) Usare soluzioni basate su all-flash (NVMe o SSD) per carichi di lavoro con requisiti a prestazioni elevate o a bassa latenza. Questi carichi di lavoro includono, ad esempio, tecnologie di database altamente transazionali, cluster del servizio Azure Kubernetes di produzione o carichi di lavoro cruciali o aziendali con requisiti di archiviazione a bassa latenza o velocità effettiva elevata. Usare le distribuzioni all-flash per ottimizzare le prestazioni di archiviazione. Tutte le configurazioni NVMe o all-SSD (soprattutto su scala molto ridotta) migliorano l'efficienza di archiviazione e ottimizzano le prestazioni perché nessuna unità viene usata come livello di cache. Per altre informazioni, vedere Archiviazione basata su tutti i flash.
(Architettura della piattaforma Azure Stack HCI) Stabilire una baseline di prestazioni per l'archiviazione del cluster Azure Stack HCI prima di distribuire i carichi di lavoro di produzione. Configurare le funzionalità di Monitoraggio di Azure Stack HCI con Insights per monitorare le prestazioni di un singolo cluster Azure Stack HCI o più cluster contemporaneamente.
(Architettura della piattaforma Azure Stack HCI) È consigliabile usare la funzionalità di deduplicazione e compressione Monitor for Resilient File System (ReFS) dopo aver abilitato Insights per il cluster Azure Stack HCI. Determinare se usare questa funzionalità in base ai requisiti di utilizzo e capacità dell'archiviazione del carico di lavoro. Questa funzionalità fornisce il monitoraggio per la deduplicazione ReFS e il risparmio di compressione, l'impatto sulle prestazioni e i processi. Per altre informazioni, vedere Monitorare la deduplicazione e la compressione reFS.
Come requisito minimo, pianificare la riserva
1 x physical nodes (N+1)di capacità nel cluster per assicurarsi che i nodi del cluster possano essere svuotati quando eseguono aggiornamenti tramite Gestione aggiornamenti. Valutare la possibilità di riservare2 physical nodes (N+2)il lavoro dei nodi di capacità per i casi d'uso critici per l'azienda o cruciali.
Consigli
| Elemento consigliato | Vantaggio |
|---|---|
| Se si seleziona l'opzione avanzata "creare solo volumi di infrastruttura" durante la distribuzione del cluster Azure Stack HCI, è consigliabile creare i dischi virtuali usando il mirroring quando si creano volumi di carico di lavoro per carichi di lavoro con un utilizzo intensivo delle prestazioni. | Questa raccomandazione offre vantaggi ai carichi di lavoro con requisiti di latenza rigorosi o che richiedono una velocità effettiva elevata con una combinazione di operazioni di input/output casuali e di scrittura al secondo (I/O), ad esempio database di SQL Server, cluster Kubernetes o altre macchine virtuali sensibili alle prestazioni. Distribuire i dischi rigidi virtuali del carico di lavoro nei volumi che usano il mirroring per ottimizzare le prestazioni e la resilienza. Il mirroring è più veloce di qualsiasi altro tipo di resilienza. |
| Provare a usare DiskSpd per testare le funzionalità di prestazioni di archiviazione del carico di lavoro del cluster Azure Stack HCI. È anche possibile usare VMFleet per generare il carico e misurare le prestazioni di un sottosistema di archiviazione. Valutare se è necessario usare VMFleet per misurare le prestazioni del sottosistema di archiviazione. |
Stabilire una baseline per le prestazioni del cluster Azure Stack HCI prima di distribuire i carichi di lavoro di produzione. DiskSpd consente agli amministratori di testare le prestazioni di archiviazione del cluster usando vari parametri della riga di comando. La funzione principale di DiskSpd consiste nel rilasciare operazioni di lettura e scrittura e metriche delle prestazioni di output, ad esempio latenza, velocità effettiva e operazioni di I/O. |
Svantaggi
Esistono compromessi di progettazione con gli approcci descritti negli elenchi di controllo dei pilastri. Ecco alcuni esempi di vantaggi e svantaggi.
La creazione di ridondanza aumenta i costi
Comprendere in anticipo i requisiti del carico di lavoro, ad esempio gli obiettivi RTO e RPO del carico di lavoro e i requisiti di prestazioni di archiviazione (I/O E e velocità effettiva), quando si progetta e si acquista l'hardware per una soluzione Azure Stack HCI. Per distribuire carichi di lavoro a disponibilità elevata, è consigliabile almeno un cluster a tre nodi, che consente il mirroring a tre vie per i volumi e i dati del carico di lavoro. Per le risorse di calcolo, assicurarsi di distribuire un minimo di "N+1 numero di nodi fisici", che riserva sempre la capacità di un "singolo nodo di spazio" nel cluster. Per i carichi di lavoro business critical o cruciali, è consigliabile riservare "N+2 nodi vale la capacità" per offrire una maggiore resilienza. Ad esempio, se due nodi del cluster sono offline, il carico di lavoro può rimanere online. Questo approccio offre una maggiore resilienza per uno scenario come, ad esempio, se un carico di lavoro in esecuzione in un nodo passa offline durante una procedura di aggiornamento pianificata (con conseguente offline di due nodi contemporaneamente).
Per i carichi di lavoro critici o cruciali per l'azienda, è consigliabile distribuire due o più cluster Azure Stack HCI separati e distribuire più istanze dei servizi del carico di lavoro tra i cluster separati. Usare un modello di progettazione del carico di lavoro che sfrutta la replica dei dati e le tecnologie di bilanciamento del carico delle applicazioni. Ad esempio, i gruppi di disponibilità always-on di SQL Server usano la replica sincrona o asincrona del database per ottenere destinazioni RTO e RTO basse in cluster separati in data center diversi.
Di conseguenza, un aumento della resilienza del carico di lavoro e una diminuzione degli obiettivi RTO e RPO aumentano i costi e richiedono applicazioni ben strutturate e rigore operativo.
Garantire scalabilità senza una pianificazione efficace del carico di lavoro aumenta i costi
Il dimensionamento errato del cluster può causare capacità insufficiente o un ritorno ridotto sugli investimenti (ROI) se l'hardware viene sottoposto a overprovisioning. Entrambi gli scenari influiscono sui costi.
Maggiore capacità equivale a costi più elevati. Durante la fase di progettazione del cluster Azure Stack HCI, è necessaria una pianificazione adeguata per diritti le funzionalità e il numero di nodi del cluster in base ai requisiti di capacità del carico di lavoro. Di conseguenza, è necessario comprendere i requisiti del carico di lavoro (vCPU, memoria, archiviazione e numero X di macchine virtuali) e consentire alcune risorse aggiuntive oltre alla crescita prevista. È possibile eseguire un movimento del nodo aggiuntivo quando si usa una progettazione "commutata di archiviazione". Tuttavia, la distribuzione può richiedere molto tempo per ottenere più hardware. E un gesto di aggiunta nota è più complesso del dimensionamento dell'hardware del cluster e del numero di nodi (massimo 16 nodi) in modo appropriato durante la distribuzione iniziale.
Se si esegue il provisioning eccessivo della specifica hardware del nodo e si seleziona il numero non corretto di nodi (dimensioni del cluster). Ad esempio, se i requisiti del carico di lavoro sono molto più piccoli rispetto alla capacità complessiva del cluster e l'hardware è sottoutilato durante il periodo di garanzia hardware, il valore roi potrebbe diminuire.
Criteri di Azure
Azure offre un set completo di criteri predefiniti correlati ad Azure Stack HCI e alle relative dipendenze. È possibile controllare alcune delle raccomandazioni precedenti tramite Criteri di Azure. Ad esempio, è possibile verificare se:
- La rete host e vm deve essere protetta.
- I volumi crittografati devono essere implementati.
- I criteri di controllo delle applicazioni devono essere applicati in modo coerente.
- Devono essere soddisfatti i requisiti di base protetti.
Esaminare i criteri predefiniti di Azure Stack HCI. Defender per il cloud include nuove raccomandazioni che mostrano lo stato di conformità per i criteri predefiniti. Per altre informazioni, vedere Criteri predefiniti per Centro sicurezza di Azure.
Se il carico di lavoro viene eseguito in macchine virtuali di Azure Arc distribuite in Azure Stack HCI, prendere in considerazione i criteri predefiniti, ad esempio negare la creazione o la modifica delle licenze degli aggiornamenti della sicurezza estesa. Per altre informazioni, vedere Definizioni di criteri predefiniti per carichi di lavoro abilitati per Azure Arc.
Prendere in considerazione la creazione di criteri personalizzati per offrire una governance aggiuntiva per le risorse di Azure Stack HCI e le macchine virtuali di Azure Arc distribuite in un cluster Azure Stack HCI. Ad esempio:
- Controllo della registrazione dell'host Azure Stack HCI con Azure
- Verifica che gli host eseguano la versione più recente del sistema operativo
- Controllo dei componenti hardware e delle configurazioni di rete necessari
- Verifica dell'abilitazione dei servizi e delle impostazioni di sicurezza di Azure necessarie
- Conferma dell'installazione delle estensioni necessarie
- Valutazione della distribuzione di cluster Kubernetes e integrazione del servizio Azure Kubernetes
Consigli di Azure Advisor
Azure Advisor è un consulente cloud personalizzato che facilita l'applicazione delle procedure consigliate per ottimizzare le distribuzioni di Azure. Ecco alcune raccomandazioni che consentono di migliorare l'affidabilità, la sicurezza, l'efficacia dei costi, le prestazioni e l'eccellenza operativa delle macchine virtuali.
Passaggi successivi
Prendere in considerazione gli articoli seguenti in Centro architetture di Azure come risorse che illustrano le raccomandazioni evidenziate in questo articolo.
- Architettura di base che illustra le raccomandazioni chiave: architettura di riferimento della baseline di Azure Stack HCI.
- Se l'organizzazione richiede un approccio ibrido, selezionare attentamente le scelte di progettazione correlate a un'architettura di rete ibrida. Per altre informazioni, vedere Progettazione dell'architettura ibrida.
Creare competenze nell'implementazione usando la documentazione del prodotto Azure Stack HCI seguente:
Esaminare le linee guida di Cloud Adoption Framework:
La metodologia Ready di Cloud Adoption Framework guida i clienti quando preparano l'ambiente per l'adozione del cloud. La metodologia include acceleratori tecnici come le zone di destinazione di Azure, che sono i blocchi predefiniti di qualsiasi ambiente di adozione del cloud di Azure. Per altre informazioni su come preparare l'ambiente per un cloud ibrido, vedere gli articoli seguenti.