Perspektywa platformy Azure Well-Architected Framework w usłudze Azure Stack HCI
Azure Stack HCI to platforma infrastruktury hiperkonwergentnej (HCI), która zapewnia magazyn lokalny, zasoby sieciowe i zasoby obliczeniowe. Za pomocą rozwiązania Azure Stack HCI można tworzyć maszyny wirtualne z systemami Windows i Linux oraz zarządzać nimi, klastrami Kubernetes na potrzeby konteneryzowanych obciążeń i innych usług z obsługą usługi Azure Arc. Platforma korzysta z platformy Azure do usprawnionego wdrażania i zarządzania, co zapewnia ujednolicone i spójne środowisko zarządzania za pośrednictwem usługi Azure Arc. Możesz użyć możliwości rozwiązania Azure Stack HCI i usługi Azure Arc, aby zapewnić lokalne systemy biznesowe i dane aplikacji, aby spełnić wymagania dotyczące niezależności danych, regulacji i zgodności oraz opóźnień.
W tym artykule założono, że masz wiedzę na temat systemów hybrydowych i masz działającą wiedzę na temat rozwiązania Azure Stack HCI. Wskazówki zawarte w tym artykule zawierają zalecenia dotyczące architektury mapowane na zasady filarów platformy Azure Well-Architected Framework.
Ważne
Jak korzystać z tego przewodnika
Każda sekcja zawiera listę kontrolną projektu, która przedstawia zagadnienia dotyczące architektury wraz ze strategiami projektowania zlokalizowanymi w zakresie technologii.
Uwzględniono również zalecenia dotyczące możliwości technologicznych, które mogą pomóc zmaterializować te strategie. Zalecenia nie reprezentują wyczerpującej listy wszystkich konfiguracji dostępnych dla usługi Azure Stack HCI i jej zależności. Zamiast tego wyświetlają listę kluczowych zaleceń mapowanych na perspektywy projektu. Skorzystaj z zaleceń, aby utworzyć weryfikację koncepcji lub zoptymalizować istniejące środowiska.
Podstawowa architektura, która demonstruje kluczowe zalecenia:
Architektura referencyjna punktu odniesienia rozwiązania Azure Stack HCI.
Zakres technologii
Ten przegląd koncentruje się na powiązanych decyzjach dotyczących następujących zasobów platformy Azure:
- Azure Stack HCI (platforma), wersja 23H2 i nowsze
- Maszyny wirtualne usługi Azure Arc (obciążenie)
Uwaga
W tym artykule opisano poprzedni zakres i przedstawiono listy kontrolne i zalecenia uporządkowane według architektury platformy i architektury obciążenia. Obawy dotyczące platformy są obowiązkiem administratorów platformy. Kwestie związane z obciążeniem to odpowiedzialność operatora obciążenia i deweloperów aplikacji. Te role i obowiązki są odrębne i mogą być własnością oddzielnych zespołów lub osób. Należy pamiętać, że podczas stosowania wskazówek należy pamiętać.
Te wskazówki nie koncentrują się na konkretnych typach zasobów, które można wdrożyć w usłudze Azure Stack HCI, takich jak maszyny wirtualne usługi Azure Arc, usługa Azure Kubernetes Service (AKS) i usługa Azure Virtual Desktop. Podczas wdrażania tych typów zasobów w usłudze Azure Stack HCI zapoznaj się z odpowiednimi wskazówkami dotyczącymi obciążeń, aby zaprojektować rozwiązania spełniające wymagania biznesowe.
Niezawodność
Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności dzięki tworzeniu wystarczającej odporności i możliwości szybkiego odzyskiwania po awariach.
Zasady projektowania niezawodności zapewniają ogólną strategię projektowania stosowaną dla poszczególnych składników, przepływów systemowych i całego systemu.
W przypadku wdrożeń w chmurze hybrydowej celem jest zmniejszenie skutków awarii jednego składnika. Użyj tych list kontrolnych projektu i sugestii konfiguracji, aby zmniejszyć wpływ awarii składnika na obciążenia wdrażane w usłudze Azure Stack HCI.
Ważne jest rozróżnienie między niezawodnością platformy a niezawodnością obciążenia. Niezawodność obciążenia ma zależność od platformy. Właściciele aplikacji lub deweloperzy muszą projektować aplikacje, które mogą dostarczać zdefiniowane cele dotyczące niezawodności.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem niezawodności. Określ jego znaczenie dla wymagań biznesowych, pamiętając o wydajności rozwiązania Azure Stack HCI. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
(Architektura platformy i architektura obciążenia rozwiązania Azure Stack HCI) Zdefiniuj cele niezawodności obciążenia.
Ustaw cele poziomu usług (SLO), aby można było ocenić cele dostępności. Oblicz cele SLO jako wartość procentową, taką jak 99,9%, 99,95% lub 99,995%, która odzwierciedla czas pracy obciążenia. Należy pamiętać, że to obliczenie nie jest oparte tylko na metrykach platformy emitujących klaster lub obciążenie usługi Azure Stack HCI. Aby uzyskać kompleksową miarę docelową, należy wziąć pod uwagę czynniki zniuansowane, takie jak oczekiwany przestój podczas wydań, rutynowych operacji, możliwości obsługi lub innych czynników specyficznych dla obciążenia lub specyficznych dla organizacji.
Umowy dotyczące poziomu usług (SLA) udostępniane przez firmę Microsoft często wpływają na obliczenia SLO. Firma Microsoft nie zapewnia jednak umowy SLA dla czasu pracy i łączności klastrów usługi Azure Stack HCI ani wdrożonego obciążenia, ponieważ firma Microsoft nie kontroluje niezawodności centrum danych klienta (np. zasilania i chłodzenia) ani osób i procesów, które zarządzają platformą.
(Architektura platformy Azure Stack HCI) Zastanów się, jak wydajność i operacje wpływają na niezawodność.
Obniżona wydajność klastra lub jego zależności może sprawić, że platforma Azure Stack HCI będzie niedostępna. Na przykład:
Bez odpowiedniego planowania pojemności obciążenia trudno jest odpowiednio rozbudować klastry usługi Azure Stack HCI w fazie projektowania, co jest wymaganiem, aby obciążenie spełniało żądane cele dotyczące niezawodności. Podczas projektowania klastra użyj narzędzia do tworzenia rozmiaru rozwiązania Azure Stack HCI. Jeśli potrzebujesz maszyn wirtualnych o wysokiej dostępności, rozważ "N+1 minimalne wymaganie liczby węzłów". W przypadku obciążeń krytycznych dla działania firmy lub o znaczeniu krytycznym należy rozważyć użycie "N+2 liczba węzłów" dla rozmiaru klastra, jeśli odporność jest najważniejsza.
Niezawodność platformy zależy od tego, jak dobrze działają zależności platformy krytycznej, takie jak typy dysków fizycznych. Musisz wybrać odpowiednie typy dysków dla swoich wymagań. W przypadku obciążeń wymagających małych opóźnień i magazynu o wysokiej przepływności zalecamy konfigurację magazynu typu all-flash (tylko NVMe/SSD). W przypadku obliczeń ogólnego przeznaczenia konfiguracja magazynu hybrydowego (NVMe lub SSD na potrzeby pamięci podręcznej i dysków HDD dla pojemności) może zapewnić więcej miejsca do magazynowania. Jednak kompromis polega na tym, że obracające się dyski mają znacznie niższą wydajność, jeśli obciążenie przekracza zestaw roboczy pamięci podręcznej, a dyski HDD mają znacznie niższy średni czas między wartością awarii w porównaniu z dyskami NVMe/SSD.
Wydajność opisuje te przykłady bardziej szczegółowo.
Nieprawidłowe operacje rozwiązania Azure Stack HCI mogą mieć wpływ na stosowanie poprawek i uaktualnień, testowanie i spójność wdrożeń. Oto kilka przykładów:
Jeśli platforma Azure Stack HCI nie ewoluuje wraz z najnowszym oprogramowaniem układowym producenta sprzętu oryginalnego sprzętu (OEM), sterownikami i innowacjami, platforma może nie korzystać z najnowszych funkcji odporności. Regularnie stosuj aktualizacje sprzętowego sterownika OEM i oprogramowania układowego. Aby uzyskać więcej informacji, zobacz Katalog rozwiązań rozwiązania Azure Stack HCI.
Przed wdrożeniem należy przetestować środowisko docelowe pod kątem łączności, sprzętu i tożsamości oraz zarządzania dostępem. W przeciwnym razie możesz wdrożyć rozwiązanie Azure Stack HCI w niestabilnym środowisku, co może powodować problemy z niezawodnością. Narzędzie do sprawdzania środowiska można użyć w trybie autonomicznym, aby wykrywać problemy nawet przed udostępnieniem sprzętu klastra.
Aby uzyskać wskazówki operacyjne, zobacz Doskonałość operacyjna.
(Architektura platformy Azure Stack HCI) Zapewnienie odporności na uszkodzenia klastra i jego zależności infrastruktury.
Opcje projektowania magazynu. W przypadku większości wdrożeń wystarczająca jest opcja domyślna "automatyczne tworzenie woluminów obciążeń i infrastruktury". Jeśli wybierzesz opcję zaawansowaną: "utwórz tylko wymagane woluminy infrastruktury", skonfiguruj odpowiednią odporność na uszkodzenia woluminu w Miejsca do magazynowania Direct na podstawie wymagań dotyczących obciążenia. Te decyzje wpływają na wydajność, pojemność i możliwości odporności woluminów. Na przykład dublowanie trzystopniowe zwiększa niezawodność i wydajność klastrów z co najmniej trzema węzłami. Aby uzyskać więcej informacji, zobacz Odporność na uszkodzenia wydajności magazynu i Tworzenie Miejsca do magazynowania bezpośrednich dysków wirtualnych i woluminów.
Architektura sieci. Wdrażanie rozwiązania Azure Stack HCI przy użyciu zweryfikowanej topologii sieci. Klastry wielowęzłowe z co najmniej czterema węzłami fizycznymi wymagają projektu "przełączonego magazynu". Klastry z dwoma lub trzema węzłami mogą opcjonalnie korzystać z projektu "bez przełącznika magazynu". Niezależnie od rozmiaru klastra zalecamy użycie przełączników z podwójnym topem stojaka (ToR) dla intencji zarządzania i obliczeń (północ i południe) w celu zapewnienia zwiększonej odporności na uszkodzenia. Podwójna topologia tor zapewnia również odporność podczas operacji obsługi przełącznika (aktualizacja oprogramowania układowego). Aby uzyskać więcej informacji, zobacz Zweryfikowane topologie sieci.
(Architektura obciążenia) Tworzenie nadmiarowości w celu zapewnienia odporności.
Rozważ obciążenie wdrożone w jednym klastrze usługi Azure Stack HCI jako wdrożenie lokalnie nadmiarowe. Klaster zapewnia wysoką dostępność na poziomie platformy, ale należy pamiętać, że klaster jest wdrażany "w jednym stojaku". W związku z tym w przypadku przypadków użycia krytycznych dla działania firmy lub krytycznych zalecamy wdrożenie wielu wystąpień obciążenia lub usługi w co najmniej dwóch oddzielnych klastrach rozwiązania Azure Stack HCI, najlepiej w oddzielnych lokalizacjach fizycznych.
Użyj standardowych wzorców wysokiej dostępności dla obciążeń, na przykład projektu, który zapewnia aktywne/pasywne synchroniczne lub asynchroniczne replikacji danych (na przykład zawsze włączone programu SQL Server). Innym przykładem jest technologia równoważenia obciążenia sieciowego (NLB), która umożliwia kierowanie żądań użytkowników do wielu wystąpień obciążeń uruchomionych w klastrach rozwiązania Azure Stack HCI wdrażanych w oddzielnych lokalizacjach fizycznych. Rozważ użycie zewnętrznego urządzenia równoważenia obciążenia sieciowego partnera. Możesz też ocenić opcje równoważenia obciążenia, które obsługują routing ruchu dla usług hybrydowych i lokalnych, takich jak wystąpienie usługi aplikacja systemu Azure Gateway, które używa usługi Azure ExpressRoute lub tunelu sieci VPN do łączenia się z usługą lokalną.
Aby uzyskać więcej informacji, zobacz Deploy workloads instances across multiple Azure Stack HCI clusters (Wdrażanie wystąpień obciążeń w wielu klastrach rozwiązania Azure Stack HCI).
(Architektura obciążenia) Planowanie i testowanie możliwości odzyskiwania na podstawie celów punktu odzyskiwania obciążenia (RPO) i celu czasu odzyskiwania (RTO).
Dobrze udokumentowany plan odzyskiwania po awarii. Regularnie przetestuj kroki odzyskiwania, aby upewnić się, że plany i procesy ciągłości działania są prawidłowe. Ustal, czy usługa Azure Site Recovery jest realnym wyborem do ochrony maszyn wirtualnych uruchomionych w usłudze Azure Stack HCI. Aby uzyskać więcej informacji, zobacz Ochrona obciążeń maszyn wirtualnych za pomocą usługi Azure Site Recovery w usłudze Azure Stack HCI (wersja zapoznawcza).
(Architektura obciążenia) Konfigurowanie i regularne testowanie procedur tworzenia i przywracania kopii zapasowych obciążeń.
Wymagania biznesowe dotyczące odzyskiwania i przechowywania danych napędzają strategię tworzenia kopii zapasowych obciążeń. Kompleksowa strategia obejmuje zagadnienia dotyczące systemu operacyjnego obciążenia (OS) i danych trwałych aplikacji, z możliwością przywracania pojedynczych (punkt w czasie) danych na poziomie plików i na poziomie folderów. Skonfiguruj zasady przechowywania kopii zapasowych na podstawie wymagań dotyczących odzyskiwania i zgodności danych, które określają liczbę i wiek dostępnych punktów odzyskiwania danych. Zapoznaj się z usługą Azure Backup jako opcją włączania kopii zapasowych na poziomie hosta lub maszyny wirtualnej na poziomie gościa dla rozwiązania Azure Stack HCI. Zapoznaj się z rozwiązaniami ochrony danych od niezależnych dostawców oprogramowania kopii zapasowych, jeśli jest to istotne. Aby uzyskać więcej informacji, zobacz Azure Backup guidance and best practices and Azure Backup for Azure Stack HCI (Wskazówki i najlepsze rozwiązania dotyczące usługi Azure Backup dla usługi Azure Stack HCI).
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Rezerwuj odpowiednik jednego dysku pojemności na węzeł w puli magazynów Miejsca do magazynowania Direct. | Jeśli zdecydujesz się utworzyć woluminy obciążenia po wdrożeniu klastra Azure Stack HCI (opcja zaawansowana: "utwórz tylko wymagane woluminy infrastruktury"), zalecamy pozostawienie 5% do 10% całkowitej pojemności puli nieprzydzielonej w puli magazynów. Ta zarezerwowana i nieużywana lub bezpłatna pojemność umożliwia Miejsca do magazynowania Direct naprawę "w miejscu", gdy dysk fizyczny ulegnie awarii, co zwiększa odporność i wydajność danych w przypadku wystąpienia awarii dysku fizycznego. |
| Upewnij się, że wszystkie węzły fizyczne mają dostęp sieciowy do listy wymaganych wychodzących punktów końcowych HTTPS dla usług Azure Stack HCI i Azure Arc. | Aby niezawodnie zarządzać, monitorować i obsługiwać klastry lub zasoby obciążenia usługi Azure Stack HCI, wymagane punkty końcowe sieci wychodzącej muszą mieć dostęp bezpośrednio lub za pośrednictwem serwera proxy. Tymczasowa przerwa nie ma wpływu na stan działania obciążenia, ale może mieć wpływ na możliwości zarządzania. |
| Jeśli zdecydujesz się ręcznie tworzyć woluminy obciążenia (dyski wirtualne), użyj najbardziej odpowiedniego typu odporności, aby zmaksymalizować odporność i wydajność obciążenia. W przypadku wszystkich woluminów użytkowników tworzonych ręcznie po wdrożeniu klastra utwórz ścieżkę magazynu dla woluminów na platformie Azure. Wolumin może przechowywać pliki konfiguracji maszyny wirtualnej obciążenia, wirtualne dyski twarde maszyny wirtualnej (VHD) i obrazy maszyn wirtualnych za pośrednictwem ścieżki magazynu. | W przypadku klastrów rozwiązania Azure Stack HCI z co najmniej trzema węzłami rozważ użycie dublowania trójstopniowego, aby zapewnić najwyższą odporność i wydajność. Zalecamy używanie woluminów dublowanych dla obciążeń o znaczeniu krytycznym dla działania firmy lub o znaczeniu krytycznym dla działania firmy. |
| Rozważ zaimplementowanie reguł ochrony przed koligacją obciążenia, aby upewnić się, że maszyny wirtualne hostujące wiele wystąpień tej samej usługi działają na oddzielnych hostach fizycznych. Ta koncepcja jest podobna do "zestawów dostępności" na platformie Azure. | Utwórz wszystkie składniki nadmiarowe. W przypadku obciążeń o znaczeniu krytycznym dla działania firmy lub o znaczeniu krytycznym użyj wielu maszyn wirtualnych usługi Azure Arc lub zestawów replik platformy Kubernetes lub zasobników, aby wdrożyć wiele wystąpień aplikacji lub usług. Takie podejście zwiększa odporność, jeśli wystąpi nieplanowana awaria pojedynczego węzła fizycznego. |
Zabezpieczenia
Celem filaru Zabezpieczenia jest zapewnienie poufności, integralności i gwarancji dostępności dla obciążenia.
Zasady projektowania zabezpieczeń zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów, stosując podejścia do projektu technicznego usługi Azure Stack HCI.
Azure Stack HCI to domyślnie bezpieczny produkt, który ma ponad 300 ustawień zabezpieczeń włączonych podczas procesu wdrażania w chmurze. Domyślne ustawienia zabezpieczeń zapewniają spójny punkt odniesienia zabezpieczeń, aby upewnić się, że urządzenia zaczynają się w znanym dobrym stanie. Możesz również użyć kontrolek ochrony dryfu, aby zapewnić zarządzanie na dużą skalę.
Domyślne funkcje zabezpieczeń w usłudze Azure Stack HCI obejmują ustawienia zabezpieczeń systemu operacyjnego ze wzmocnionymi zabezpieczeniami, kontrolę aplikacji usługi Windows Defender, szyfrowanie woluminów za pośrednictwem funkcji BitLocker, rotację wpisów tajnych, lokalne wbudowane konta użytkowników i Microsoft Defender dla Chmury. Aby uzyskać więcej informacji, zobacz Przeglądanie funkcji zabezpieczeń.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem zabezpieczeń. Identyfikowanie luk w zabezpieczeniach i mechanizmów kontroli w celu poprawy stanu zabezpieczeń. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
(Architektura platformy Azure Stack HCI) Przejrzyj punkty odniesienia zabezpieczeń. Rozwiązania Azure Stack HCI i standardy zabezpieczeń zapewniają podstawowe wskazówki dotyczące wzmocnienia stanu zabezpieczeń platformy i hostowanych obciążeń. Jeśli obciążenie musi być zgodne z określonymi przepisami dotyczącymi zgodności z przepisami, należy uwzględnić standardy zabezpieczeń prawnych, takie jak Payment Card Industry Data Security Standards i Federal Information Processing Standard 140.
Ustawienia domyślne udostępniane przez platformę Azure Stack HCI umożliwiają korzystanie z funkcji zabezpieczeń, w tym mechanizmów kontroli tożsamości, filtrowania sieci i szyfrowania. Te ustawienia stanowią dobry punkt odniesienia zabezpieczeń dla nowo aprowizowanego klastra usługi Azure Stack HCI. Każde ustawienie można dostosować na podstawie wymagań dotyczących zabezpieczeń organizacji.
Upewnij się, że wykryto i chroń przed niepożądanym dryfem konfiguracji zabezpieczeń.
(Architektura platformy Azure Stack HCI) Wykrywanie zagrożeń, zapobieganie im i reagowanie na nie. Stale monitoruj środowisko rozwiązania Azure Stack HCI i chroni przed istniejącymi i ewoluującymi zagrożeniami.
Zalecamy włączenie Defender dla Chmury w usłudze Azure Stack HCI. Włącz podstawowy plan Defender dla Chmury (warstwa bezpłatna) przy użyciu usługi Defender Cloud Security Posture Management, aby monitorować i identyfikować kroki, które można wykonać w celu zabezpieczenia platformy Azure Stack HCI oraz innych zasobów platformy Azure i usługi Azure Arc.
Aby korzystać z rozszerzonych funkcji zabezpieczeń, w tym alertów zabezpieczeń dla poszczególnych serwerów i maszyn wirtualnych usługi Azure Arc, włącz usługę Microsoft Defender dla serwerów w węzłach klastra usługi Azure Stack HCI i maszynach wirtualnych usługi Azure Arc.
Użyj Defender dla Chmury, aby zmierzyć stan zabezpieczeń węzłów i obciążeń usługi Azure Stack HCI. Defender dla Chmury zapewnia jedno okienko szkła ułatwiające zarządzanie zgodnością z zabezpieczeniami.
Usługa Defender for Servers umożliwia monitorowanie hostowanych maszyn wirtualnych pod kątem zagrożeń i błędów konfiguracji. Można również włączyć wykrywanie i reagowanie w punktach końcowych możliwości w węzłach rozwiązania Azure Stack HCI.
Rozważ agregowanie danych analizy zabezpieczeń i zagrożeń ze wszystkich źródeł w scentralizowanym rozwiązaniu do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takim jak Microsoft Sentinel.
(Architektura platformy i architektura obciążenia rozwiązania Azure Stack HCI) Utwórz segmentację zawierającą promień wybuchu. Istnieje kilka strategii umożliwiających osiągnięcie segmentacji.
Tożsamość. Zachowaj oddzielne role i obowiązki dla platformy i obciążenia. Zezwalaj tylko autoryzowanym tożsamościom na wykonywanie określonych operacji, które są zgodne z wyznaczonymi rolami. Administratorzy platformy Azure Stack HCI używają zarówno poświadczeń platformy Azure, jak i poświadczeń domeny lokalnej do wykonywania zadań platformy. Operatorzy obciążeń i deweloperzy aplikacji zarządzają zabezpieczeniami obciążeń. Aby uprościć delegowanie uprawnień, użyj wbudowanych ról kontroli dostępu opartej na rolach (RBAC) usługi Azure Stack HCI, takich jak "Administrator rozwiązania Azure Stack HCI" dla administratorów platformy i współautora maszyny wirtualnej rozwiązania Azure Stack HCI lub "Czytelnik maszyn wirtualnych rozwiązania Azure Stack HCI" dla operatorów obciążeń. Aby uzyskać więcej informacji na temat określonych wbudowanych akcji ról, zobacz dokumentację RBAC platformy Azure dotyczącą ról hybrydowych i wielochmurowych.
Sieć. W razie potrzeby izoluj sieci. Można na przykład aprowizować wiele sieci logicznych korzystających z oddzielnych wirtualnych sieci lokalnych (vLAN) i zakresów adresów sieciowych. W przypadku korzystania z tego podejścia upewnij się, że sieć zarządzania może dotrzeć do każdej sieci logicznej i sieci vLAN, aby węzły klastra Azure Stack HCI mogły komunikować się z sieciami vLAN za pośrednictwem przełączników lub bram usługi ToR. Ta konfiguracja jest wymagana do zarządzania dostępnością obciążenia, na przykład umożliwienia agentom zarządzania infrastrukturą komunikowania się z systemem operacyjnym gościa obciążenia.
Zapoznaj się z zaleceniami dotyczącymi tworzenia strategii segmentacji, aby uzyskać dodatkowe informacje.
(Architektura platformy i architektura obciążenia rozwiązania Azure Stack HCI) Użyj zaufanego dostawcy tożsamości, aby kontrolować dostęp. Zalecamy, aby identyfikator Entra firmy Microsoft był przeznaczony do wszystkich celów uwierzytelniania i autoryzacji. W razie potrzeby możesz dołączyć obciążenie do lokalnej domeny usługi Active Directory systemu Windows Server. Korzystaj z funkcji obsługujących silne hasła, uwierzytelnianie wieloskładnikowe, kontrolę RBAC i zarządzanie wpisami tajnymi.
(Architektura platformy i architektura obciążenia rozwiązania Azure Stack HCI) Izolowanie, filtrowanie i blokowanie ruchu sieciowego. Może istnieć przypadek użycia obciążenia, który wymaga sieci wirtualnych, mikrosegmentacji za pośrednictwem sieciowych grup zabezpieczeń, zasad jakości usług sieciowych lub tworzenia łańcuchów urządzeń wirtualnych, aby umożliwić filtrowanie urządzeń partnerskich. Jeśli masz takie obciążenie, zobacz zagadnienia dotyczące sieci zdefiniowanej programowo pod kątem wzorców referencyjnych sieci, aby zapoznać się z listą obsługiwanych funkcji i możliwości oferowanych przez kontroler sieci.
(Architektura obciążenia) Szyfrowanie danych w celu ochrony przed naruszeniami. Szyfrowanie danych przesyłanych, danych magazynowanych i używanych danych.
Szyfrowanie danych magazynowanych jest włączone na woluminach danych tworzonych podczas wdrażania. Te woluminy danych obejmują woluminy infrastruktury i woluminy obciążeń. Aby uzyskać więcej informacji, zobacz Zarządzanie szyfrowaniem funkcji BitLocker.
Użyj zaufanego uruchamiania maszyn wirtualnych usługi Azure Arc, aby zwiększyć bezpieczeństwo maszyn wirtualnych 2. generacji przy użyciu funkcji systemu operacyjnego nowoczesnych systemów operacyjnych, takich jak bezpieczny rozruch, który może używać wirtualnego modułu zaufanej platformy.
Operacjonalizacja zarządzania wpisami tajnymi. Na podstawie wymagań organizacji zmień poświadczenia skojarzone z tożsamością użytkownika wdrożenia dla rozwiązania Azure Stack HCI. Aby uzyskać więcej informacji, zobacz Zarządzanie rotacją wpisów tajnych.
(Architektura platformy Azure Stack HCI) Wymuszanie mechanizmów kontroli zabezpieczeń. Użyj usługi Azure Policy, aby przeprowadzać inspekcję i wymuszać wbudowane zasady, takie jak "Zasady kontroli aplikacji powinny być spójnie wymuszane" lub "Woluminy szyfrowane powinny być implementowane". Za pomocą tych zasad platformy Azure można przeprowadzać inspekcję ustawień zabezpieczeń i oceniać stan zgodności usługi Azure Stack HCI. Przykłady dostępnych zasad można znaleźć w temacie Zasady platformy Azure.
(Architektura obciążenia) Zwiększ poziom zabezpieczeń obciążenia za pomocą wbudowanych zasad. Aby ocenić maszyny wirtualne usługi Azure Arc uruchomione w usłudze Azure Stack HCI, możesz zastosować wbudowane zasady za pośrednictwem testu porównawczego zabezpieczeń, usługi Azure Update Manager lub rozszerzenia konfiguracji gościa usługi Azure Policy. Aby sprawdzić następujące warunki, możesz użyć różnych zasad:
- Instalacja agenta usługi Log Analytics
- Nieaktualne aktualizacje systemu, które muszą być aktualne z najnowszymi poprawkami zabezpieczeń
- Ocena luk w zabezpieczeniach i potencjalne środki zaradcze
- Korzystanie z bezpiecznych protokołów komunikacyjnych
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Użyj ustawień punktu odniesienia zabezpieczeń i kontroli dryfu, aby zastosować i zachować ustawienia zabezpieczeń w węzłach klastra. | Te konfiguracje pomagają chronić przed niepożądanymi zmianami i dryfować, ponieważ automatycznie odświeżają ustawienia zabezpieczeń co 90 minut, aby wymusić zamierzony stan zabezpieczeń usługi Azure Stack HCI. |
| Korzystanie z kontroli aplikacji usługi Windows Defender w usłudze Azure Stack HCI. | Kontrola aplikacji usługi Windows Defender zmniejsza obszar ataków usługi Azure Stack HCI. Użyj witryny Azure Portal lub programu PowerShell, aby wyświetlić ustawienia zasad i kontrolować tryby zasad. Zasady kontroli aplikacji usługi Windows Defender pomagają kontrolować, które sterowniki i aplikacje mogą być uruchamiane w systemie. |
| Włącz szyfrowanie woluminów za pomocą funkcji BitLocker na potrzeby ochrony danych magazynowanych. | Funkcja BitLocker chroni woluminy systemu operacyjnego i danych przez szyfrowanie udostępnionych woluminów klastra utworzonych w usłudze Azure Stack HCI. Funkcja BitLocker używa 256-bitowego szyfrowania XTS-AES. Zalecamy, aby ustawienie domyślne szyfrowania woluminów było włączone podczas wdrażania w chmurze rozwiązania Azure Stack HCI dla wszystkich woluminów danych. |
| Wyeksportuj klucze odzyskiwania funkcji BitLocker, aby przechowywać je w bezpiecznej lokalizacji zewnętrznej z klastra rozwiązania Azure Stack HCI. | Podczas rozwiązywania problemów lub akcji odzyskiwania może być konieczne wymaganie kluczy funkcji BitLocker. Zalecamy eksportowanie, zapisywanie i tworzenie kopii zapasowej kluczy szyfrowania dla woluminów systemu operacyjnego i danych z każdego klastra rozwiązania Azure Stack HCI za pomocą polecenia cmdlet programu PowerShell "Get-AsRecoveryKeyInfo". Zapisz klucze w bezpiecznej lokalizacji zewnętrznej, takiej jak usługa Azure Key Vault. |
| Użyj rozwiązania SIEM, aby zwiększyć możliwości monitorowania zabezpieczeń i zgłaszania alertów. W tym celu można dołączyć serwery z obsługą usługi Azure Arc (węzły platformy Azure Stack HCI) do usługi Microsoft Sentinel. Alternatywnie, jeśli używasz innego rozwiązania SIEM, skonfiguruj przekazywanie dziennika systemowego zdarzeń zabezpieczeń do wybranego rozwiązania. | Przekazywanie danych zdarzeń zabezpieczeń przy użyciu usługi Microsoft Sentinel lub przekazywania dziennika systemowego w celu zapewnienia możliwości zgłaszania alertów i raportowania za pośrednictwem integracji z rozwiązaniem SIEM zarządzanym przez klienta. |
| Użyj podpisywania bloku komunikatów serwera (SMB), aby ulepszyć ochronę danych podczas przesyłania, która jest włączona w "domyślnych ustawieniach zabezpieczeń". | Podpisywanie protokołu SMB umożliwia cyfrowe podpisywanie ruchu SMB między platformą Azure Stack HCI i systemami zewnętrznymi z platformą (północ lub południe). Skonfiguruj podpisywanie dla zewnętrznego ruchu SMB między platformą Azure Stack HCI i innymi systemami, aby zapobiec atakom przekaźnika. |
| Użyj ustawienia szyfrowania SMB, aby zwiększyć ochronę danych podczas przesyłania, która jest włączona w "domyślnych ustawieniach zabezpieczeń". | Szyfrowanie SMB dla ustawienia ruchu w klastrze steruje szyfrowaniem ruchu między węzłami fizycznymi w klastrze Azure Stack HCI (wschód lub zachód) w sieci magazynu. |
Optymalizacja kosztów
Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizacji w innych , aby spełnić budżet organizacji przy jednoczesnym spełnieniu wymagań biznesowych.
Zasady projektowania optymalizacji kosztów zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów i podejmowania kompromisów zgodnie z potrzebami w projekcie technicznym związanym z rozwiązaniem Azure Stack HCI i jego środowiskiem.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu dotyczącej optymalizacji kosztów dla inwestycji. Dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich możliwości platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.
Rozwiązanie Azure Stack HCI wiąże się z kosztami sprzętu, licencjonowania oprogramowania, obciążeń, maszyn wirtualnych gościa (Windows Server lub Linux) oraz innych zintegrowanych usług w chmurze, takich jak Azure Monitor i Defender dla Chmury.
(Architektura platformy i architektura obciążenia rozwiązania Azure Stack HCI) Szacowanie realistycznych kosztów w ramach modelowania kosztów. Skorzystaj z kalkulatora cen platformy Azure, aby wybrać i skonfigurować usługi, takie jak Azure Stack HCI, Azure Arc i AKS w usłudze Azure Stack HCI. Poeksperymentuj z różnymi konfiguracjami i opcjami płatności, aby modelować koszty.
(Architektura platformy i architektura obciążenia rozwiązania Azure Stack HCI) Optymalizowanie kosztów sprzętu rozwiązania Azure Stack HCI. Wybierz partnera OEM sprzętu, który jest zgodny z wymaganiami biznesowymi i komercyjnymi. Aby zapoznać się z certyfikowaną listą zweryfikowanych węzłów, zintegrowanych systemów i rozwiązań premier, zobacz katalog rozwiązań rozwiązania Azure Stack HCI. Przekaż charakterystykę obciążenia, rozmiar, ilość i wydajność partnerowi sprzętowemu, aby można było odpowiednio rozbudować ekonomiczne rozwiązanie sprzętowe dla węzłów i rozmiaru klastra usługi Azure Stack HCI.
(Architektura platformy Azure Stack HCI) Optymalizowanie kosztów licencjonowania. Oprogramowanie Azure Stack HCI jest licencjonowane i rozliczane na podstawie "rdzenia procesora FIZYCZNEgo". Użyj istniejących lokalnych licencji podstawowych z Korzyść użycia hybrydowego platformy Azure, aby zmniejszyć koszty licencjonowania obciążeń rozwiązania Azure Stack HCI, takich jak maszyny wirtualne usługi Azure Arc z systemem Windows Server, programem SQL Server lub usługą AKS i usługą Azure Arc z włączoną usługą Azure SQL Managed Instance. Aby uzyskać więcej informacji, zobacz kalkulator kosztów Korzyść użycia hybrydowego platformy Azure.
(Architektura platformy Azure Stack HCI) Oszczędzaj na kosztach środowiska. Oceń, czy poniższe opcje mogą pomóc w optymalizacji użycia zasobów.
Korzystaj z programów rabatowych, które oferuje firma Microsoft. Rozważ użycie Korzyść użycia hybrydowego platformy Azure, aby zmniejszyć koszty uruchamiania obciążeń rozwiązania Azure Stack HCI i Windows Server. Aby uzyskać więcej informacji, zobacz Korzyść użycia hybrydowego platformy Azure dla rozwiązania Azure Stack HCI.
Zapoznaj się z ofertami promocyjnymi. Skorzystaj z 60-dniowej bezpłatnej wersji próbnej usługi Azure Stack HCI po rejestracji w celu uzyskania wstępnej weryfikacji koncepcji lub weryfikacji.
(Architektura platformy Azure Stack HCI) Oszczędzaj na kosztach operacyjnych.
Oceń opcje technologii dotyczące stosowania poprawek, aktualizacji i innych operacji. Rozwiązanie Update Manager jest bezpłatne w przypadku klastrów rozwiązania Azure Stack HCI, które mają włączoną Korzyść użycia hybrydowego platformy Azure i zarządzanie maszynami wirtualnymi usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące programu Update Manager i Cennik programu Update Manager.
Oceń koszty związane z obserwacją. Skonfiguruj reguły alertów i reguły zbierania danych (DCR), aby spełnić wymagania dotyczące monitorowania i inspekcji. Ilość danych pozyskiwanych, procesów i zachowywanych danych bezpośrednio wpływa na koszty. Optymalizowanie przy użyciu zasad przechowywania inteligentnego, ograniczania liczby i częstotliwości alertów oraz wybierania odpowiedniej warstwy magazynowania na potrzeby przechowywania dzienników. Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące optymalizacji kosztów dla usługi Log Analytics.
(Architektura obciążenia) Oceń gęstość nad izolacją. Użyj usługi AKS w usłudze Azure Stack HCI, aby zwiększyć gęstość i uprościć zarządzanie obciążeniami, aby umożliwić konteneryzowane aplikacje do skalowania w wielu lokalizacjach centrów danych lub brzegowych. Aby uzyskać więcej informacji, zobacz Cennik usługi AKS w usłudze Azure Stack HCI.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Użyj Korzyść użycia hybrydowego platformy Azure dla rozwiązania Azure Stack HCI, jeśli masz licencje centrum danych systemu Windows Server z pakietem Software Assurance. | Dzięki Korzyść użycia hybrydowego platformy Azure dla rozwiązania Azure Stack HCI możesz zmaksymalizować wartość licencji lokalnych i zmodernizować istniejącą infrastrukturę do rozwiązania Azure Stack HCI bez dodatkowych kosztów. |
| Wybierz dodatek subskrypcji systemu Windows Server lub przynieś własną licencję na licencję i aktywuj maszyny wirtualne z systemem Windows Server i użyj ich w usłudze Azure Stack HCI. Aby uzyskać więcej informacji, zobacz Licencjonowanie maszyn wirtualnych z systemem Windows Server w usłudze Azure Stack HCI. | Chociaż możesz użyć dowolnych dostępnych licencji systemu Windows Server i metod aktywacji, opcjonalnie możesz włączyć opcję "Dodatek subskrypcji systemu Windows Server" dostępny tylko dla usługi Azure Stack HCI, aby subskrybować licencje gościa systemu Windows Server za pośrednictwem platformy Azure, która jest naliczana za łączną liczbę rdzeni fizycznych w klastrze azure Stack HCI. |
| Użyj weryfikacji platformy Azure dla korzyści związanych z maszynami wirtualnymi rozszerzonymi na rozwiązanie Azure Stack HCI, aby obsługiwane obciążenia na wyłączność platformy Azure mogły działać poza chmurą. | Ta korzyść jest domyślnie włączona w usłudze Azure Stack HCI w wersji 23H2 lub nowszej. Skorzystaj z tej korzyści, aby maszyny wirtualne mogły działać w innych środowiskach i obciążeniach platformy Azure, mogą korzystać z ofert dostępnych tylko na platformie Azure, takich jak rozszerzone aktualizacje zabezpieczeń włączone przez usługę Azure Arc. |
Sprawność operacyjna
Doskonałość operacyjna koncentruje się przede wszystkim na procedurach dotyczących praktyk programistycznych, możliwości obserwacji i zarządzania wydaniami.
Zasady projektowania doskonałości operacyjnej stanowią strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów dla wymagań operacyjnych obciążenia.
Monitorowanie i diagnostyka są niezwykle istotne. Metryki służą do mierzenia statystyk wydajności oraz szybkiego rozwiązywania i rozwiązywania problemów. Aby uzyskać więcej informacji na temat rozwiązywania problemów, zobacz Zasady projektowania doskonałości operacyjnej i Zbieranie dzienników diagnostycznych dla rozwiązania Azure Stack HCI.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu dla doskonałości operacyjnej w celu zdefiniowania procesów do obserwowania, testowania i wdrażania związanego z usługą Azure Stack HCI.
(Architektura platformy Azure Stack HCI) Zwiększanie możliwości obsługi rozwiązania Azure Stack HCI. Możliwość obserwacji jest domyślnie włączona w momencie wdrażania. Te możliwości zwiększają możliwości obsługi platformy. Dane telemetryczne i diagnostyczne są bezpiecznie udostępniane z platformy przy użyciu rozszerzenia AzureEdgeTelemetryAndDiagnostics , które jest instalowane domyślnie we wszystkich węzłach klastra rozwiązania Azure Stack HCI. Aby uzyskać więcej informacji, zobacz Azure Stack HCI observability (Możliwość obserwowania rozwiązania Azure Stack HCI).
(Architektura platformy Azure Stack HCI) Użyj usług platformy Azure, aby zmniejszyć złożoność operacyjną i zwiększyć skalę zarządzania. Usługa Azure Stack HCI jest zintegrowana z platformą Azure, aby włączyć usługi, takie jak Update Manager na potrzeby stosowania poprawek platformy i usługi Azure Monitor na potrzeby monitorowania i zgłaszania alertów. Usługi Azure Arc i Azure Policy umożliwiają zarządzanie konfiguracją zabezpieczeń i inspekcją zgodności. Zaimplementuj Defender dla Chmury, aby ułatwić zarządzanie zagrożeniami cybernetycznym i lukami w zabezpieczeniach. Użyj platformy Azure jako płaszczyzny sterowania dla tych procesów operacyjnych i procedur, aby zmniejszyć złożoność, poprawić wydajność skalowania i poprawić spójność zarządzania.
(Architektura obciążenia) Zaplanuj wymagania dotyczące zakresu adresów IP dla obciążeń z wyprzedzeniem. Rozwiązanie Azure Stack HCI udostępnia platformę do wdrażania zwirtualizowanych lub konteneryzowanych obciążeń oraz zarządzania nimi. Należy również wziąć pod uwagę wymagania dotyczące adresów IP dla sieci logicznych używanych przez obciążenie. Przejrzyj poniższe zasoby:
Obciążenia wdrożone w usłudze Azure Stack HCI wymagają sieci logicznych. Aby zapoznać się z konkretnymi przykładami, zobacz Wymagania dotyczące sieci dla klastrów usługi AKS, sieci logiczne dla maszyn wirtualnych usługi Azure Arc i pulpitu wirtualnego za pomocą rozwiązania Azure Stack HCI.
(Konfiguracja obciążenia) Włącz monitorowanie i alerty dla obciążeń wdrażanych w usłudze Azure Stack HCI. Możesz użyć usługi Azure Monitor dla maszyn wirtualnych lub szczegółowych informacji o maszynach wirtualnych usługi Arc albo użyć usługi Container Insights i zarządzanych klastrów usługi Prometheus AKS.
Oceń, czy chcesz użyć scentralizowanego obszaru roboczego usługi Log Analytics dla obciążenia. Aby zapoznać się z przykładem udostępnionego ujścia dziennika (lokalizacji danych), zobacz Zalecenia dotyczące zarządzania obciążeniami i monitorowania.
(Architektura platformy Azure Stack HCI) Użyj odpowiednich technik walidacji w celu bezpiecznego wdrożenia. Użyj narzędzia do sprawdzania środowiska w trybie autonomicznym, aby ocenić gotowość środowiska docelowego przed wdrożeniem rozwiązania Azure Stack HCI. To narzędzie sprawdza poprawność konfiguracji wymaganej łączności, sprzętu, usługi Active Directory systemu Windows Server, sieci i wymagań wstępnych dotyczących integracji z usługą Azure Arc.
(Architektura platformy Azure Stack HCI) Pobierz bieżącą i bądź na bieżąco. Skorzystaj z katalogu rozwiązań Azure Stack HCI, aby być na bieżąco z najnowszymi innowacjami producenta OEM sprzętu dla wdrożeń klastra rozwiązania Azure Stack HCI. Rozważ użycie rozwiązań w warstwie Premium, aby skorzystać z dodatkowych możliwości integracji, kluczowych funkcji wdrażania i uproszczonego środowiska aktualizacji.
Użyj programu Update Manager, aby zaktualizować platformę i zarządzać systemem operacyjnym, agentami podstawowymi i usługami, w tym rozszerzeniami rozwiązań. Bądź na bieżąco i rozważ użycie ustawienia "Włącz automatyczne uaktualnianie", jeśli jest to możliwe dla rozszerzeń.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Włącz usługę Monitor Insights on Azure Stack HCI clusters (Monitorowanie szczegółowych informacji w klastrach rozwiązania Azure Stack HCI), aby zwiększyć monitorowanie i alerty przy użyciu natywnych funkcji platformy Azure. Szczegółowe informacje mogą monitorować kluczowe funkcje rozwiązania Azure Stack HCI przy użyciu liczników wydajności klastra i kanałów dziennika zdarzeń zbieranych przez kontroler domeny. W przypadku określonej infrastruktury sprzętowej, takiej jak Dell APEX, można wizualizować zdarzenia sprzętowe w czasie rzeczywistym. Aby uzyskać więcej informacji, zobacz Skoroszyty funkcji. |
Platforma Azure zarządza usługą Insights, dzięki czemu jest zawsze aktualna, jest skalowalna w wielu klastrach i jest wysoce dostosowywalna. Szczegółowe informacje zapewniają dostęp do domyślnych skoroszytów z podstawowymi metrykami oraz wyspecjalizowanymi skoroszytami utworzonymi na potrzeby monitorowania kluczowych funkcji rozwiązania Azure Stack HCI. Ta funkcja zapewnia monitorowanie niemal w czasie rzeczywistym. Grafy i wizualizacje dostosowane można tworzyć przy użyciu agregacji i funkcji filtrowania. Można również skonfigurować niestandardowe reguły alertów. Koszt usługi Insights zależy od ilości pozyskanych danych i ustawień przechowywania danych w obszarze roboczym usługi Log Analytics. Po włączeniu usługi Azure Stack HCI Insights zalecamy użycie kontrolera domeny utworzonego przez środowisko tworzenia szczegółowych informacji. Prefiks nazwy kontrolera domeny to AzureStackHCI-. Jest ona skonfigurowana do zbierania tylko wymaganych danych. |
| Skonfiguruj alerty i skonfiguruj reguły przetwarzania alertów na podstawie wymagań organizacji. Otrzymuj powiadomienia o zmianach w kondycji, metrykach, dziennikach lub innych typach danych z obserwacją. - Alerty dotyczące kondycji - Alerty dotyczące dzienników - Alerty dotyczące metryk Aby uzyskać więcej informacji, zobacz Zalecane reguły alertów dotyczących metryk. |
Zintegruj alerty monitora z usługą Azure Stack HCI, aby uzyskać kilka kluczowych korzyści bez dodatkowych kosztów. Uzyskaj monitorowanie niemal w czasie rzeczywistym i dostosuj alerty, aby powiadomić odpowiedni zespół lub administratora w celu skorygowania. Możesz zebrać kompleksową listę metryk dotyczących zasobów obliczeniowych, magazynowych i sieciowych w usłudze Azure Stack HCI. Wykonuj zaawansowane operacje logiki na danych dziennika i oceniaj metryki systemu Azure Stack HCI w regularnych odstępach czasu. |
| Użyj funkcji aktualizacji, aby zintegrować różne aspekty rozwiązania Azure Stack HCI i zarządzać nimi w jednym miejscu. Aby uzyskać więcej informacji, zobacz About updates in Azure Stack HCI (Informacje o aktualizacjach w usłudze Azure Stack HCI). | Orkiestrator aktualizacji jest instalowany podczas początkowego wdrażania klastra rozwiązania Azure Stack HCI. Ta funkcja automatyzuje aktualizacje i operacje zarządzania. Aby zachować rozwiązanie Azure Stack HCI w obsługiwanym stanie, upewnij się, że klastry są aktualizowane w regularnym zakresie, aby przejść do nowych kompilacji punktu odniesienia, gdy staną się dostępne. Ta metoda zapewnia nowe możliwości i ulepszenia platformy. Aby uzyskać więcej informacji o pociągach wydaniach, cyklach aktualizacji i oknie pomocy technicznej każdej kompilacji punktu odniesienia, zobacz Informacje o wersji 23H2 usługi Azure Stack HCI. |
| Aby ułatwić praktyczne umiejętności, laboratoria, wydarzenia szkoleniowe, pokazy produktów lub projekty weryfikacji koncepcji, rozważ użycie rozwiązania Jumpstart HCIBox. Szybkie wdrażanie rozwiązania Azure Stack HCI bez konieczności używania sprzętu fizycznego przy użyciu maszyny wirtualnej na platformie Azure. | Rozwiązanie HCIBox obsługuje usługę Azure Stack HCI w wersji 23H2, aby umożliwić szybkie testowanie i ocenę najnowszych możliwości produktów brzegowych platformy Azure, takich jak natywna integracja usługi Azure Arc i AKS w samodzielnej piaskownicy. Tę piaskownicę można wdrożyć w subskrypcji platformy Azure przy użyciu maszyny wirtualnej obsługującej wirtualizację zagnieżdżonych w celu emulowania klastra rozwiązania Azure Stack HCI na maszynie wirtualnej platformy Azure. Uzyskaj funkcje rozwiązania Azure Stack HCI, takie jak nowa funkcja wdrażania w chmurze, z minimalnym nakładem pracy ręcznej. Aby uzyskać więcej informacji, zobacz blog Microsoft Tech Community. |
Efektywność wydajności
Wydajność polega na utrzymywaniu środowiska użytkownika nawet wtedy, gdy występuje wzrost obciążenia dzięki zarządzaniu pojemnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności.
Zasady projektowania wydajności zapewniają ogólną strategię projektowania w celu osiągnięcia tych celów pojemności w stosunku do oczekiwanego użycia.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem wydajności. Zdefiniuj punkt odniesienia oparty na kluczowych wskaźnikach usługi Azure Stack HCI.
(Architektura platformy Azure Stack HCI) Skorzystaj z zweryfikowanego sprzętu lub zintegrowanych systemów usługi Azure Stack HCI z ofert partnerów OEM. Rozważ użycie konstruktorów rozwiązań w warstwie Premium w katalogu rozwiązania Azure Stack HCI, aby zoptymalizować wydajność środowiska azure Stack HCI.
(Architektura magazynu platformy Azure Stack HCI) Wybierz odpowiednie typy dysków fizycznych dla węzłów klastra rozwiązania Azure Stack HCI na podstawie wymagań dotyczących wydajności i pojemności obciążenia. W przypadku obciążeń o wysokiej wydajności, które wymagają małych opóźnień i magazynu o wysokiej przepływności, rozważ użycie konfiguracji magazynu typu all-flash (tylko NVMe/SSD). W przypadku wymagań dotyczących mocy obliczeniowej ogólnego przeznaczenia lub dużej pojemności magazynu rozważ użycie magazynu hybrydowego (SSD lub NVMe dla warstwy pamięci podręcznej i dysków HDD dla warstwy pojemności), co może zapewnić zwiększoną pojemność magazynu.
(Architektura platformy Azure Stack HCI) Użyj narzędzia azure Stack HCI sizer w fazie projektowania klastra (przed wdrożeniem). Klastry rozwiązania Azure Stack HCI powinny mieć odpowiednie rozmiary przy użyciu wymagań dotyczących wydajności, wydajności i odporności obciążeń jako danych wejściowych. Rozmiar określa maksymalną liczbę węzłów fizycznych, które mogą być jednocześnie w trybie offline (kworum klastra), takie jak wszelkie zdarzenia planowane (konserwacja) lub nieplanowane (awaria zasilania lub sprzętu). Aby uzyskać więcej informacji, zobacz Omówienie kworum klastra.
(Architektura platformy Azure Stack HCI) Używaj rozwiązań opartych na dyskach FLASH (NVMe lub SSD) dla obciążeń, które mają wymagania dotyczące wysokiej wydajności lub małych opóźnień. Obciążenia te obejmują, ale nie są ograniczone do wysoce transakcyjnych technologii baz danych, produkcyjnych klastrów usługi AKS ani obciążeń o krytycznym znaczeniu dla działania firmy lub obciążeń o niskim opóźnieniu lub magazynie o wysokiej przepływności. Użyj wdrożeń all-flash, aby zmaksymalizować wydajność magazynu. Konfiguracja all-NVMe lub all-SSD (szczególnie w bardzo małej skali) poprawia wydajność magazynu i maksymalizuje wydajność, ponieważ żadne dyski nie są używane jako warstwa pamięci podręcznej. Aby uzyskać więcej informacji, zobacz Magazyn oparty na technologii All-flash.
(Architektura platformy Azure Stack HCI) Ustanów punkt odniesienia wydajności dla magazynu klastra usługi Azure Stack HCI przed wdrożeniem obciążeń produkcyjnych. Skonfiguruj monitorowanie funkcji rozwiązania Azure Stack HCI za pomocą szczegółowych informacji , aby monitorować wydajność jednego klastra usługi Azure Stack HCI lub wielu klastrów jednocześnie.
(Architektura platformy Azure Stack HCI) Rozważ użycie funkcji deduplikacji i kompresji Monitor for Resilient File System (ReFS) po włączeniu usługi Insights dla klastra Azure Stack HCI. Określ, czy ta funkcja powinna być używana na podstawie użycia magazynu obciążenia i wymagań dotyczących pojemności. Ta funkcja zapewnia monitorowanie deduplikacji systemu plików ReFS i oszczędności kompresji, wpływ na wydajność i zadania. Aby uzyskać więcej informacji, zobacz Monitorowanie deduplikacji i kompresji systemu plików ReFS.
Zgodnie z minimalnym wymaganiem zaplanuj rezerwowanie
1 x physical nodes (N+1)pojemności w klastrze, aby upewnić się, że węzły klastra mogą być opróżniane po wykonaniu aktualizacji za pośrednictwem rozwiązania Update Management. Rozważ zarezerwowanie2 physical nodes (N+2)pracy węzłów pojemności dla przypadków użycia o znaczeniu krytycznym dla działania firmy lub o krytycznym znaczeniu.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| W przypadku wybrania zaawansowanej opcji tworzenia woluminów infrastruktury tylko podczas wdrażania klastra rozwiązania Azure Stack HCI zalecamy utworzenie dysków wirtualnych przy użyciu funkcji dublowania podczas tworzenia woluminów obciążeń wymagających dużej wydajności. | To zalecenie przynosi korzyści dla obciążeń, które mają ścisłe wymagania dotyczące opóźnień lub wymagają dużej przepływności z kombinacją losowych operacji odczytu i zapisu na sekundę (we/wy), takich jak bazy danych programu SQL Server, klastry Kubernetes lub inne maszyny wirtualne wrażliwe na wydajność. Wdróż wirtualne dyski twarde obciążenia na woluminach korzystających z dublowania w celu zmaksymalizowania wydajności i odporności. Dublowanie jest szybsze niż jakikolwiek inny typ odporności. |
| Rozważ użycie narzędzia DiskSpd do testowania możliwości magazynu obciążenia klastra Azure Stack HCI. Za pomocą zestawu VMFleet można również wygenerować obciążenie i zmierzyć wydajność podsystemu magazynowania. Oceń, czy należy użyć elementu VMFleet do pomiaru wydajności podsystemu magazynowania. |
Ustanów punkt odniesienia dla wydajności klastra usługi Azure Stack HCI przed wdrożeniem obciążeń produkcyjnych. Narzędzie DiskSpd umożliwia administratorom testowanie wydajności magazynu klastra przy użyciu różnych parametrów wiersza polecenia. Główną funkcją DiskSpd jest wydawanie operacji odczytu i zapisu oraz metryk wydajności danych wyjściowych, takich jak opóźnienie, przepływność i operacje we/wy. |
Kompromisy
Istnieją kompromisy projektowe z metodami opisanymi na listach kontrolnych filarów. Oto kilka przykładów zalet i wad.
Tworzenie nadmiarowości zwiększa koszty
Zapoznaj się z wymaganiami obciążenia z góry, takimi jak cele celu punktu odzyskiwania obciążenia i cel punktu odzyskiwania oraz wymagania dotyczące wydajności magazynu (operacje we/wy i przepływność), podczas projektowania i pozyskiwania sprzętu dla rozwiązania Azure Stack HCI. Aby wdrożyć obciążenia o wysokiej dostępności, zalecamy co najmniej klaster z trzema węzłami, który umożliwia dublowanie trzystopniowe dla woluminów obciążeń i danych. W przypadku zasobów obliczeniowych upewnij się, że wdrożono co najmniej "N+1 liczbę węzłów fizycznych", co powoduje rezerwowanie pojemności "pojedynczego węzła wartego miejsca" w klastrze przez cały czas. W przypadku obciążeń o znaczeniu krytycznym dla działania firmy lub o znaczeniu krytycznym rozważ zarezerwowanie "N+2 węzłów o wartości pojemności", aby zapewnić zwiększoną odporność. Jeśli na przykład dwa węzły w klastrze są w trybie offline, obciążenie może pozostać w trybie online. Takie podejście zapewnia zwiększoną odporność w scenariuszu, na przykład jeśli węzeł z uruchomionym obciążeniem przejdzie w tryb offline podczas planowanej procedury aktualizacji (co powoduje jednoczesne przełączenie dwóch węzłów w tryb offline).
W przypadku obciążeń krytycznych dla działania firmy lub o znaczeniu krytycznym zalecamy wdrożenie co najmniej dwóch oddzielnych klastrów rozwiązania Azure Stack HCI i wdrożenie wielu wystąpień usług obciążeń w oddzielnych klastrach. Użyj wzorca projektowego obciążenia, który korzysta z technologii replikacji danych i równoważenia obciążenia aplikacji. Na przykład zawsze włączone grupy dostępności programu SQL Server używają synchronicznej lub asynchronicznej replikacji bazy danych w celu osiągnięcia niskich celów celu czasu odzyskiwania i celu czasu odzyskiwania w oddzielnych klastrach w różnych centrach danych.
W związku z tym zwiększenie odporności obciążeń i zmniejszenie celu celu celu czasu odzyskiwania i celu punktu odzyskiwania zwiększa koszty i wymaga dobrze zaprojektowanych aplikacji i platformy operacyjnej.
Zapewnianie skalowalności bez efektywnego planowania obciążenia zwiększa koszty
Nieprawidłowe ustalanie rozmiaru klastra może prowadzić do niewystarczającej pojemności lub zmniejszenia zwrotu z inwestycji (ROI), jeśli sprzęt jest nadmiernie aprowizowany. Oba scenariusze wpływają na koszty.
Zwiększona pojemność równa się wyższym kosztom. W fazie projektowania klastra Azure Stack HCI wymagane jest odpowiednie planowanie, aby odpowiednio rozbudować możliwości i liczbę węzłów klastra na podstawie wymagań dotyczących pojemności obciążenia. W związku z tym należy zrozumieć wymagania dotyczące obciążenia (procesory wirtualne, pamięć, magazyn i X liczby maszyn wirtualnych) oraz zapewnić dodatkową ilość miejsca pracy oprócz przewidywanego wzrostu. Gest dodawania węzła można wykonać podczas korzystania z projektu "przełączonego magazynu". Jednak uzyskanie większej ilości sprzętu po wdrożeniu może zająć dużo czasu. Gest dodawania notatek jest bardziej złożony niż ustalanie rozmiaru sprzętu klastra i liczby węzłów (maksymalnie 16 węzłów) odpowiednio podczas początkowego wdrożenia.
W przypadku nadmiernej aprowizacji specyfikacji sprzętu węzła i wybrania nieprawidłowej liczby węzłów (rozmiar klastra) występują wady. Jeśli na przykład wymagania dotyczące obciążenia są znacznie mniejsze niż ogólna pojemność klastra, a sprzęt jest niedostatecznie używany w okresie gwarancji sprzętowej, wartość zwrotu z inwestycji może się zmniejszyć.
Zasady platformy Azure
Platforma Azure udostępnia obszerny zestaw wbudowanych zasad związanych z usługą Azure Stack HCI i jej zależnościami. Niektóre z powyższych zaleceń można przeprowadzić inspekcję za pomocą usługi Azure Policy. Możesz na przykład sprawdzić, czy:
- Sieć hostów i maszyn wirtualnych powinna być chroniona.
- Należy zaimplementować zaszyfrowane woluminy.
- Zasady kontroli aplikacji powinny być spójnie wymuszane.
- Należy spełnić wymagania dotyczące zabezpieczonego rdzenia.
Zapoznaj się z wbudowanymi zasadami rozwiązania Azure Stack HCI. Defender dla Chmury nowe zalecenia, które pokazują stan zgodności dla wbudowanych zasad. Aby uzyskać więcej informacji, zobacz Wbudowane zasady dla usługi Azure Security Center.
Jeśli obciążenie działa na maszynach wirtualnych usługi Azure Arc wdrażanych w usłudze Azure Stack HCI, rozważ użycie wbudowanych zasad, takich jak odmowa tworzenia lub modyfikowania licencji rozszerzonych aktualizacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Wbudowane definicje zasad dla obciążeń z obsługą usługi Azure Arc.
Rozważ utworzenie niestandardowych zasad w celu zapewnienia dodatkowego ładu zarówno dla zasobów rozwiązania Azure Stack HCI, jak i maszyn wirtualnych usługi Azure Arc wdrażanych w klastrze usługi Azure Stack HCI. Na przykład:
- Inspekcja rejestracji hosta rozwiązania Azure Stack HCI na platformie Azure
- Zapewnianie, że hosty uruchamiają najnowszą wersję systemu operacyjnego
- Sprawdzanie wymaganych składników sprzętowych i konfiguracji sieci
- Weryfikowanie włączenia niezbędnych usług platformy Azure i ustawień zabezpieczeń
- Potwierdzanie instalacji wymaganych rozszerzeń
- Ocena wdrożenia klastrów Kubernetes i integracji usługi AKS
Zalecenia usługi Azure Advisor
Azure Advisor to spersonalizowany konsultant w zakresie chmury ułatwiający stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Poniżej przedstawiono kilka zaleceń, które mogą pomóc w poprawie niezawodności, bezpieczeństwa, efektywności kosztów, wydajności i doskonałości operacyjnej maszyn wirtualnych.
Następne kroki
Zapoznaj się z następującymi artykułami w Centrum architektury platformy Azure jako zasobami, które przedstawiają zalecenia wyróżnione w tym artykule.
- Podstawowa architektura, która demonstruje kluczowe zalecenia: architektura referencyjna punktu odniesienia rozwiązania Azure Stack HCI.
- Jeśli Twoja organizacja potrzebuje podejścia hybrydowego, starannie wybierz wybrane opcje projektowe związane z architekturą sieci hybrydowej. Aby uzyskać więcej informacji, zobacz Projekt architektury hybrydowej.
Utwórz wiedzę na temat implementacji, korzystając z następującej dokumentacji produktu Azure Stack HCI:
Zapoznaj się ze wskazówkami dotyczącymi przewodnika Cloud Adoption Framework:
Metodologia Cloud Adoption Framework Ready prowadzi klientów podczas przygotowywania środowiska do wdrożenia chmury. Metodologia obejmuje akceleratory techniczne, takie jak strefy docelowe platformy Azure, które są blokami konstrukcyjnymi dowolnego środowiska wdrażania chmury platformy Azure. Zapoznaj się z następującymi artykułami, aby uzyskać więcej informacji na temat przygotowywania środowiska do chmury hybrydowej.