Edit

Bagikan melalui

Arsitektur referensi garis besar Azure Local

Azure Local
Azure Arc
Azure Key Vault
Azure Monitor
Microsoft Defender for Cloud

Arsitektur referensi dasar ini menyediakan panduan dan rekomendasi agnostik beban kerja untuk mengonfigurasi infrastruktur Azure Local 2311 dan yang lebih baru untuk memastikan platform yang andal yang dapat menyebarkan dan mengelola beban kerja virtual dan kontainer yang sangat tersedia. Arsitektur ini menjelaskan komponen sumber daya dan pilihan desain kluster untuk simpul fisik yang menyediakan fitur komputasi, penyimpanan, dan jaringan lokal. Ini juga menjelaskan cara menggunakan layanan Azure untuk menyederhanakan dan menyederhanakan manajemen Sehari-hari Azure Local.

Untuk informasi selengkapnya tentang pola arsitektur beban kerja yang dioptimalkan untuk dijalankan di Azure Local, lihat konten yang terletak di beban kerja Azure Local menu navigasi.

Arsitektur ini adalah titik awal untuk cara menggunakan desain jaringan yang dialihkan penyimpanan untuk menyebarkan instans Azure Local multinode. Aplikasi beban kerja yang disebarkan pada instans Azure Local harus dirancang dengan baik. Aplikasi beban kerja yang dirancang dengan baik harus disebarkan menggunakan beberapa instans atau ketersediaan tinggi dari layanan beban kerja penting apa pun dan memiliki kontrol kelangsungan bisnis dan pemulihan bencana (BCDR) yang sesuai. Kontrol BCDR ini mencakup pencadangan reguler dan kemampuan failover pemulihan bencana. Untuk fokus pada platform infrastruktur HCI, aspek desain beban kerja ini sengaja dikecualikan dari artikel ini.

Untuk informasi selengkapnya tentang panduan dan rekomendasi untuk lima pilar Azure Well-Architected Framework, lihat panduan layanan Azure Local Well-Architected Framework .

Tata letak artikel

Arsitektur Keputusan desain pendekatan Well-Architected Framework
▪ Arsitektur
Potensi kasus penggunaan
detail Skenario
sumber daya Platform
sumber daya pendukung Platform
Sebarkan skenario ini
▪ pilihan desain Kluster
disk drive fisik
desain jaringan
Pemantauan
manajemen Pembaruan 		▪ Keandalan
Keamanan
pengoptimalan biaya
keunggulan operasional
Efisiensi performa

Ujung

logo GitHub Templat lokal Azure menunjukkan cara menggunakan templat Azure Resource Management (templat ARM) dan file parameter untuk menyebarkan penyebaran multi-server Azure Local yang dialihkan. Atau, contoh Bicep menunjukkan cara menggunakan templat Bicep untuk menyebarkan instans Azure Local dan sumber daya prasyaratnya.

Arsitektur

Diagram yang menunjukkan arsitektur referensi instans Lokal Azure multinode dengan sakelar Top-of-Rack (ToR) ganda untuk konektivitas eksternal utara-selatan.

Untuk informasi selengkapnya, lihat Sumber daya terkait.

Potensi kasus penggunaan

Kasus penggunaan umum untuk Azure Local mencakup kemampuan untuk menjalankan beban kerja ketersediaan tinggi (HA) di lokasi lokal atau tepi, yang menyediakan solusi untuk memenuhi persyaratan beban kerja. Kamu bisa:

  • Berikan solusi cloud hibrid yang disebarkan secara lokal untuk mengatasi kedaulatan data, peraturan dan kepatuhan, atau persyaratan latensi.

  • Menyebarkan dan mengelola beban kerja edge berbasis ha atau berbasis kontainer yang disebarkan di satu lokasi atau di beberapa lokasi. Strategi ini memungkinkan aplikasi dan layanan penting bisnis beroperasi dengan cara yang tangguh, hemat biaya, dan dapat diskalakan.

  • Turunkan total biaya kepemilikan (TCO) dengan menggunakan solusi yang disertifikasi oleh Microsoft, penyebaran berbasis cloud, manajemen terpusat, serta pemantauan dan pemberitahuan.

  • Berikan kemampuan provisi terpusat menggunakan Azure dan Azure Arc untuk menyebarkan beban kerja di beberapa lokasi secara konsisten dan aman. Alat seperti portal Microsoft Azure, Azure CLI, atau templat infrastruktur sebagai kode (IaC) menggunakan Kubernetes untuk kontainerisasi atau virtualisasi beban kerja tradisional untuk mendorong otomatisasi dan pengulangan.

  • Mematuhi persyaratan keamanan, kepatuhan, dan audit yang ketat. Azure Local disebarkan dengan postur keamanan yang diperkuat yang dikonfigurasi secara default, atau aman secara default. Azure Local menggabungkan perangkat keras bersertifikat, Boot Aman, Modul Platform Tepercaya (TPM), keamanan berbasis virtualisasi (VBS), Credential Guard, dan kebijakan Kontrol Aplikasi Pertahanan Windows yang diberlakukan. Ini juga terintegrasi dengan layanan keamanan dan manajemen ancaman berbasis cloud modern seperti Pertahanan Microsoft untuk Cloud dan Microsoft Sentinel.

Detail skenario

Bagian berikut ini menyediakan informasi selengkapnya tentang skenario dan potensi kasus penggunaan untuk arsitektur referensi ini. Bagian ini mencakup daftar manfaat bisnis dan contoh jenis sumber daya beban kerja yang dapat Anda sebarkan di Azure Local.

Menggunakan Azure Arc dengan Azure Local

Azure Local langsung terintegrasi dengan Azure menggunakan Azure Arc untuk menurunkan TCO dan overhead operasional. Azure Local disebarkan dan dikelola melalui Azure, yang menyediakan integrasi bawaan Azure Arc melalui penyebaran komponen jembatan sumber daya Azure Arc . Komponen ini diinstal selama proses penyebaran instans Azure Local. Komputer Lokal Azure terdaftar dengan Azure Arc untuk server sebagai prasyarat untuk memulai penyebaran kluster berbasis cloud. Selama penyebaran, ekstensi wajib diinstal pada setiap simpul, seperti Lifecycle Manager, Microsoft Edge Device Management, dan Telemetri dan Diagnostik. Anda dapat menggunakan Azure Monitor dan Analitik Log untuk memantau instans Lokal Azure setelah penyebaran dengan mengaktifkan Insight untuk Azure Local. Pembaruan fitur untuk Azure Local dirilis secara berkala untuk meningkatkan pengalaman pelanggan. Pembaruan dikontrol dan dikelola melalui Azure Update Manager.

Anda dapat menyebarkan sumber daya beban kerja seperti komputer virtual (VM) Azure Arc, Azure Kubernetes Service (AKS) dengan dukungan Azure Arc, dan host sesi Azure Virtual Desktop yang menggunakan portal Microsoft Azure dengan memilih lokasi kustom instans Azure Local sebagai target untuk penyebaran beban kerja. Komponen-komponen ini menyediakan administrasi, manajemen, dan dukungan terpusat. Jika Anda memiliki Jaminan Perangkat Lunak aktif pada lisensi inti Pusat Data Windows Server yang ada, Anda dapat mengurangi biaya lebih lanjut dengan menerapkan Azure Hybrid Benefit ke kluster Azure Local, Windows Server VM, dan AKS. Pengoptimalan ini membantu mengelola biaya secara efektif untuk layanan ini.

Integrasi Azure dan Azure Arc memperluas kemampuan beban kerja virtual dan kontainer Azure Local untuk menyertakan:

  • VM Azure Arc untuk aplikasi atau layanan tradisional yang berjalan di VM di Azure Local.

  • AKS di Azure Local untuk aplikasi atau layanan kontainer yang mendapat manfaat dari penggunaan Kubernetes sebagai platform orkestrasi mereka.

  • Azure Virtual Desktop untuk menyebarkan host sesi Anda untuk beban kerja Azure Virtual Desktop di Azure Local (lokal). Anda dapat menggunakan sarana kontrol dan manajemen di Azure untuk memulai pembuatan dan konfigurasi kumpulan host.

  • layanan data dengan dukungan Azure Arc untuk Azure SQL Managed Instance kontainer atau server Azure Database for PostgreSQL yang menggunakan AKS dengan dukungan Azure Arc yang dihosting di Azure Local.

  • Ekstensi Azure Event Grid dengan dukungan Azure Arc untuk Kubernetes untuk menyebarkan broker Event Grid dan operator Event Grid komponen. Penyebaran ini memungkinkan kemampuan seperti topik Event Grid dan langganan untuk pemrosesan peristiwa.

  • pembelajaran mesin dengan dukungan Azure Arc dengan kluster AKS yang disebarkan di Azure Local sebagai target komputasi untuk menjalankan Azure Machine Learning. Anda dapat menggunakan pendekatan ini untuk melatih atau menyebarkan model pembelajaran mesin di tepi.

Beban kerja yang terhubung dengan Azure Arc menyediakan konsistensi dan otomatisasi Azure yang ditingkatkan untuk penyebaran Azure Local, seperti mengotomatiskan konfigurasi OS tamu dengan ekstensi VM Azure Arc atau mengevaluasi kepatuhan terhadap peraturan industri atau standar perusahaan melalui Azure Policy. Anda dapat mengaktifkan Azure Policy melalui portal Microsoft Azure atau otomatisasi IaC.

Manfaatkan konfigurasi keamanan default Azure Local

Konfigurasi keamanan default Azure Local menyediakan strategi pertahanan mendalam untuk menyederhanakan biaya keamanan dan kepatuhan. Penyebaran dan manajemen layanan TI untuk skenario ritel, manufaktur, dan kantor jarak jauh menghadirkan tantangan keamanan dan kepatuhan yang unik. Mengamankan beban kerja terhadap ancaman internal dan eksternal sangat penting di lingkungan yang memiliki dukungan TI terbatas atau kurang atau pusat data khusus. Azure Local memiliki penguatan keamanan default dan integrasi mendalam dengan layanan Azure untuk membantu Anda mengatasi tantangan ini.

Perangkat keras bersertifikat Lokal Azure memastikan dukungan Secure Boot, Unified Extensible Firmware Interface (UEFI) bawaan, dan TPM. Gunakan teknologi ini dalam kombinasi dengan VBS untuk membantu melindungi beban kerja sensitif keamanan Anda. Anda dapat menggunakan BitLocker Drive Encryption untuk mengenkripsi volume disk boot dan ruang penyimpanan volume langsung saat tidak aktif. Enkripsi Blok Pesan Server (SMB) menyediakan enkripsi lalu lintas otomatis antara simpul di kluster (pada jaringan penyimpanan) dan penandatanganan lalu lintas SMB antara node kluster dan sistem lainnya. Enkripsi SMB juga membantu mencegah serangan relai dan memfasilitasi kepatuhan terhadap standar peraturan.

Anda dapat melakukan onboarding Azure Local VM di Defender for Cloud untuk mengaktifkan analitik perilaku berbasis cloud, deteksi ancaman dan remediasi, pemberitahuan, dan pelaporan. Kelola Azure Local VM di Azure Arc sehingga Anda dapat menggunakan Azure Policy untuk mengevaluasi kepatuhan mereka terhadap peraturan industri dan standar perusahaan.

Komponen

Arsitektur ini terdiri dari perangkat keras server fisik yang dapat Anda gunakan untuk menyebarkan instans Lokal Azure di lokasi lokal atau tepi. Untuk meningkatkan kemampuan platform, Azure Local terintegrasi dengan Azure Arc dan layanan Azure lainnya yang menyediakan sumber daya pendukung. Azure Local menyediakan platform tangguh untuk menyebarkan, mengelola, dan mengoperasikan aplikasi pengguna atau sistem bisnis. Sumber daya dan layanan platform dijelaskan di bagian berikut.

Sumber daya platform

Arsitektur memerlukan sumber daya dan komponen wajib berikut:

  • Azure Local adalah solusi infrastruktur hyperconverged (HCI) yang disebarkan secara lokal atau di lokasi tepi menggunakan perangkat keras server fisik dan infrastruktur jaringan. Azure Local menyediakan platform untuk menyebarkan dan mengelola beban kerja virtual seperti VM, kluster Kubernetes, dan layanan lain yang diaktifkan oleh Azure Arc. Instans Azure Local dapat menskalakan dari penyebaran simpul tunggal ke maksimum enam belas simpul menggunakan kategori perangkat keras tervalidasi, terintegrasi, atau premium yang disediakan oleh mitra produsen peralatan asli (OEM).

  • Azure Arc adalah layanan berbasis cloud yang memperluas model manajemen berdasarkan Azure Resource Manager ke Azure Local dan lokasi non-Azure lainnya. Azure Arc menggunakan Azure sebagai sarana kontrol dan manajemen untuk memungkinkan manajemen berbagai sumber daya seperti VM, kluster Kubernetes, dan layanan data dan pembelajaran mesin dalam kontainer.

  • Azure Key Vault adalah layanan cloud yang dapat Anda gunakan untuk menyimpan dan mengakses rahasia dengan aman. Rahasia adalah apa pun yang ingin Anda batasi aksesnya dengan ketat, seperti kunci API, kata sandi, sertifikat, kunci kriptografi, kredensial admin lokal, dan kunci pemulihan BitLocker.

  • bukti Cloud adalah fitur Azure Storage yang bertindak sebagai kuorum kluster failover. Simpul kluster Azure Local menggunakan kuorum ini untuk pemungutan suara, yang memastikan ketersediaan tinggi untuk kluster. Akun penyimpanan dan konfigurasi bukti dibuat selama proses penyebaran cloud Azure Local.

  • Update Manager adalah layanan terpadu yang dirancang untuk mengelola dan mengatur pembaruan untuk Azure Local. Anda dapat menggunakan Update Manager untuk mengelola beban kerja yang disebarkan di Azure Local, termasuk kepatuhan pembaruan OS tamu untuk VM Windows dan Linux. Pendekatan terpadu ini menyederhanakan manajemen patch di Seluruh Azure, lingkungan lokal, dan platform cloud lainnya melalui satu dasbor.

Sumber daya pendukung platform

Arsitektur mencakup layanan pendukung opsional berikut untuk meningkatkan kemampuan platform:

  • Monitor adalah layanan berbasis cloud untuk mengumpulkan, menganalisis, dan bertindak pada log diagnostik dan telemetri dari beban kerja cloud dan lokal Anda. Anda dapat menggunakan Monitor untuk memaksimalkan ketersediaan dan performa aplikasi dan layanan Anda melalui solusi pemantauan yang komprehensif. Sebarkan Wawasan untuk Azure Local untuk menyederhanakan pembuatan aturan pengumpulan data Monitor (DCR) dan mengaktifkan pemantauan instans Lokal Azure dengan cepat.

  • azure Policy adalah layanan yang mengevaluasi Azure dan sumber daya lokal. Azure Policy mengevaluasi sumber daya melalui integrasi dengan Azure Arc dengan menggunakan properti sumber daya tersebut ke aturan bisnis, yang disebut definisi kebijakan , untuk menentukan kepatuhan atau kemampuan yang dapat Anda gunakan untuk menerapkan Konfigurasi Tamu VM menggunakan pengaturan kebijakan.

  • Defender for Cloud adalah sistem manajemen keamanan infrastruktur yang komprehensif. Ini meningkatkan postur keamanan pusat data Anda dan memberikan perlindungan ancaman tingkat lanjut untuk beban kerja hibrid, baik berada di Azure atau di tempat lain, dan di seluruh lingkungan lokal.

  • Azure Backup adalah layanan berbasis cloud yang menyediakan solusi sederhana, aman, dan hemat biaya untuk mencadangkan data Anda dan memulihkannya dari Microsoft Cloud. Azure Backup Server digunakan untuk mengambil cadangan VM yang disebarkan di Azure Local dan menyimpannya di layanan Backup.

  • Site Recovery adalah layanan pemulihan bencana yang menyediakan kemampuan BCDR dengan memungkinkan aplikasi bisnis dan beban kerja gagal jika ada bencana atau pemadaman. Site Recovery mengelola replikasi dan failover beban kerja yang berjalan di server fisik dan VM antara situs utama mereka (lokal) dan lokasi sekunder (Azure).

Pilihan desain kluster

Penting untuk memahami performa beban kerja dan persyaratan ketahanan saat Anda merancang instans Azure Local. Persyaratan ini termasuk tujuan waktu pemulihan (RTO) dan waktu tujuan titik pemulihan (RPO), komputasi (CPU), memori, dan persyaratan penyimpanan untuk semua beban kerja yang disebarkan pada instans Azure Local. Beberapa karakteristik beban kerja memengaruhi proses pengambilan keputusan dan meliputi:

  • Kemampuan arsitektur central processing unit (CPU), termasuk fitur teknologi keamanan perangkat keras, jumlah CPU, frekuensi GHz (kecepatan) dan jumlah inti per soket CPU.

  • Persyaratan unit pemrosesan grafis (GPU) beban kerja, seperti untuk AI atau pembelajaran mesin, inferensi, atau penyajian grafis.

  • Memori per simpul, atau kuantitas memori fisik yang diperlukan untuk menjalankan beban kerja.

  • Jumlah simpul fisik dalam instans yang berskala 1 hingga 16 simpul. Jumlah maksimum simpul adalah empat ketika Anda menggunakan arsitektur jaringan tanpa sakelar penyimpanan .

    • Untuk menjaga ketahanan komputasi, Anda perlu mencadangkan setidaknya kapasitas node N+1 dalam kluster. Strategi ini memungkinkan pengurasan simpul untuk pembaruan atau pemulihan dari pemadaman mendadak seperti pemadaman listrik atau kegagalan perangkat keras.

    • Untuk beban kerja yang penting bagi bisnis atau misi penting, pertimbangkan untuk mempertahankan kapasitas node N+2 untuk meningkatkan ketahanan. Misalnya, jika dua node dalam kluster offline, beban kerja dapat tetap online. Pendekatan ini memberikan ketahanan untuk skenario di mana simpul yang menjalankan beban kerja offline selama prosedur pembaruan yang direncanakan dan menghasilkan dua simpul offline secara bersamaan.

  • Persyaratan ketahanan, kapasitas, dan performa penyimpanan:

    • Ketahanan : Kami sarankan Anda menyebarkan tiga node atau lebih untuk mengaktifkan pencerminan tiga arah, yang menyediakan tiga salinan data, untuk infrastruktur dan volume pengguna. Pencerminan tiga arah meningkatkan performa dan keandalan maksimum untuk penyimpanan.

    • Kapasitas : Total penyimpanan yang diperlukan yang dapat digunakan setelah toleransi kesalahan, atau salinan , dipertimbangkan. Jumlah ini sekitar 33% ruang penyimpanan mentah disk tingkat kapasitas Anda saat Anda menggunakan pencerminan tiga arah.

    • Performa : Operasi input/output per detik (IOPS) platform yang menentukan kemampuan throughput penyimpanan untuk beban kerja ketika dikalikan dengan ukuran blok aplikasi.

Untuk merancang dan merencanakan penyebaran Azure Local, kami sarankan Anda menggunakan alat Azure Local sizing dan membuat Proyek Baru untuk mengukur kluster HCI Anda. Menggunakan alat ukuran mengharuskan Anda memahami persyaratan beban kerja Anda. Saat mempertimbangkan jumlah dan ukuran VM beban kerja yang berjalan pada kluster Anda, pastikan untuk mempertimbangkan faktor-faktor seperti jumlah vCPU, persyaratan memori, dan kapasitas penyimpanan yang diperlukan untuk VM.

Bagian alat ukuran Preferensi memandu Anda melalui pertanyaan yang terkait dengan jenis sistem (Opsi keluarga Premier, Sistem Terintegrasi, atau Simpul Tervalidasi) dan CPU. Ini juga membantu Anda memilih persyaratan ketahanan untuk kluster. Pastikan untuk:

  • Pesan minimal kapasitas node N+1, atau satu node, di seluruh kluster.

  • Cadangkan kapasitas node N+2 di seluruh kluster untuk ketahanan ekstra. Opsi ini memungkinkan sistem untuk menahan kegagalan node selama pembaruan atau peristiwa tak terduga lainnya yang memengaruhi dua simpul secara bersamaan. Ini juga memastikan bahwa ada kapasitas yang cukup dalam kluster agar beban kerja berjalan pada simpul online yang tersisa.

Skenario ini memerlukan penggunaan pencerminan tiga arah untuk volume pengguna, yang merupakan default untuk kluster yang memiliki tiga atau lebih simpul fisik.

Output dari alat ukuran Azure Local adalah daftar SKU solusi perangkat keras yang direkomendasikan yang dapat menyediakan kapasitas beban kerja yang diperlukan dan persyaratan ketahanan platform berdasarkan nilai input dalam Proyek Sizer. Untuk informasi selengkapnya tentang solusi mitra perangkat keras OEM yang tersedia, lihat Azure Local Solutions Catalog. Untuk membantu melakukan rightsize SKU solusi untuk memenuhi kebutuhan Anda, hubungi penyedia solusi perangkat keras atau mitra integrasi sistem (SI) pilihan Anda.

Drive disk fisik

Storage Spaces Direct mendukung beberapa jenis disk drive fisik yang bervariasi dalam performa dan kapasitas. Saat Anda merancang instans Azure Local, bekerja samalah dengan mitra OEM perangkat keras yang Anda pilih untuk menentukan jenis drive disk fisik yang paling tepat untuk memenuhi persyaratan kapasitas dan performa beban kerja Anda. Contohnya termasuk memutar Hard Disk Drive (HDD), atau Solid State Drive (SSD) dan drive NVMe. Drive ini sering disebut flash drive, atau penyimpanan memori Persisten (PMem), yang dikenal sebagai memori kelas penyimpanan (SCM).

Keandalan platform tergantung pada performa dependensi platform penting, seperti jenis disk fisik. Pastikan untuk memilih jenis disk yang tepat untuk kebutuhan Anda. Gunakan solusi penyimpanan all-flash seperti drive NVMe atau SSD untuk beban kerja yang memiliki persyaratan performa tinggi atau latensi rendah. Beban kerja ini termasuk tetapi tidak terbatas pada teknologi database yang sangat transaksional, kluster AKS produksi, atau beban kerja penting misi atau bisnis yang memiliki latensi rendah atau persyaratan penyimpanan throughput tinggi. Gunakan penyebaran all-flash untuk memaksimalkan performa penyimpanan. All-NVMe konfigurasi drive atau semua drive SSD, terutama dalam skala kecil, meningkatkan efisiensi penyimpanan dan memaksimalkan performa karena tidak ada drive yang digunakan sebagai tingkat cache. Untuk informasi selengkapnya, lihat penyimpanan berbasis All-flash.

Diagram yang menunjukkan arsitektur penyimpanan instans Lokal Azure multinode untuk solusi penyimpanan hibrid, menggunakan drive NVMe sebagai tingkat cache dan drive SSD untuk kapasitas.

Performa penyimpanan kluster Anda dipengaruhi oleh jenis drive disk fisik, yang bervariasi berdasarkan karakteristik performa setiap jenis drive dan mekanisme penembolokan yang Anda pilih. Jenis disk drive fisik adalah bagian integral dari desain dan konfigurasi Storage Spaces Direct apa pun. Bergantung pada persyaratan beban kerja lokal Azure dan batasan anggaran, Anda dapat memilih untuk memaksimalkan performa, memaksimalkan kapasitas, atau menerapkan konfigurasi jenis drive campuran yang menyeimbangkan performa dan kapasitas.

Untuk beban kerja tujuan umum yang memerlukan penyimpanan persisten kapasitas besar, konfigurasi penyimpanan hibrid dapat menyediakan penyimpanan yang paling dapat digunakan, seperti menggunakan drive NVMe atau SSD untuk tingkat cache dan drive HDD untuk kapasitas. Tradeoff adalah bahwa drive berputar memiliki kemampuan performa / through-put yang lebih rendah dibandingkan dengan flash drive, yang dapat memengaruhi performa penyimpanan jika beban kerja Anda melebihi set kerja cache , dan HDD memiliki waktu rata-rata yang lebih rendah antara nilai kegagalan dibandingkan dengan drive NVMe dan SSD.

Storage Spaces Direct menyediakan cache bawaan, persisten, real time, baca, tulis, sisi server yang memaksimalkan performa penyimpanan. Cache harus berukuran dan dikonfigurasi untuk mengakomodasi set kerja aplikasi dan beban kerja Anda. Disk virtual Storage Spaces Direct, atau volume , digunakan dalam kombinasi dengan cache baca dalam memori volume bersama (CSV) kluster untuk meningkatkan performa Hyper-V, terutama untuk akses input yang tidak dibuffer ke beban kerja hard disk virtual (VHD) atau file hard disk virtual v2 (VHDX).

Ujung

Untuk beban kerja berkinerja tinggi atau sensitif terhadap latensi, kami sarankan Anda menggunakan konfigurasi penyimpanan semua lampu kilat (semua NVMe atau semua SSD) dan ukuran kluster tiga node fisik atau lebih. Menyebarkan desain ini dengan pengaturan konfigurasi penyimpanan default menggunakan pencerminan tiga arah untuk infrastruktur dan volume pengguna. Strategi penyebaran ini memberikan performa dan ketahanan tertinggi. Saat Anda menggunakan konfigurasi all-NVMe atau all-SSD, Anda mendapat manfaat dari kapasitas penyimpanan yang dapat digunakan penuh dari setiap flash drive. Tidak seperti pengaturan NVMe + SSD hibrid atau campuran, tidak ada kapasitas yang dicadangkan untuk penembolokan saat menggunakan satu jenis drive. Ini memastikan pemanfaatan optimal sumber daya penyimpanan Anda. Untuk informasi selengkapnya tentang cara menyeimbangkan performa dan kapasitas untuk memenuhi persyaratan beban kerja Anda, lihat Merencanakan volume - Saat performa paling penting.

Desain jaringan

Desain jaringan adalah pengaturan keseluruhan komponen dalam infrastruktur fisik jaringan dan konfigurasi logis. Anda dapat menggunakan port kartu antarmuka jaringan fisik (NIC) yang sama untuk semua kombinasi niat jaringan manajemen, komputasi, dan penyimpanan. Menggunakan port NIC yang sama untuk semua tujuan terkait niat disebut konfigurasi jaringan yang sepenuhnya terkonvergensi.

Meskipun konfigurasi jaringan yang sepenuhnya terkonvergensi didukung, konfigurasi optimal untuk performa dan keandalan adalah untuk niat penyimpanan untuk menggunakan port adaptor jaringan khusus. Oleh karena itu, arsitektur garis besar ini memberikan panduan contoh tentang cara menyebarkan instans Azure Local multinode menggunakan arsitektur jaringan yang dialihkan penyimpanan dengan dua port adaptor jaringan yang dikonvergensi untuk niat manajemen dan komputasi dan dua port adaptor jaringan khusus untuk niat penyimpanan. Untuk informasi selengkapnya, lihat pertimbangan jaringan untuk penyebaran cloud Azure Local.

Arsitektur ini membutuhkan dua atau lebih simpul fisik dan hingga maksimum 16 simpul dalam skala besar. Setiap simpul memerlukan empat port adaptor jaringan yang terhubung ke dua sakelar Top-of-Rack (ToR). Dua sakelar ToR harus saling terhubung melalui tautan grup agregasi tautan multi-sasis (MLAG). Dua port adaptor jaringan yang digunakan untuk lalu lintas niat penyimpanan harus mendukung Akses Memori Langsung Jarak Jauh (RDMA). Port ini memerlukan kecepatan tautan minimum 10 Gbps, tetapi kami merekomendasikan kecepatan 25 Gbps atau lebih tinggi. Dua port adaptor jaringan yang digunakan untuk manajemen dan niat komputasi dikonvergensikan menggunakan teknologi switch embedded teaming (SET). Teknologi SET menyediakan kemampuan redundansi tautan dan penyeimbangan beban. Port ini memerlukan kecepatan tautan minimum 1 Gbps, tetapi kami merekomendasikan kecepatan 10 Gbps atau lebih tinggi.

Topologi jaringan fisik

Topologi jaringan fisik berikut menunjukkan koneksi fisik aktual antara node dan komponen jaringan.

Anda memerlukan komponen berikut saat merancang penyimpanan multinode mengalihkan penyebaran Azure Local yang menggunakan arsitektur garis besar ini:

Diagram yang menunjukkan topologi jaringan fisik untuk instans Azure Local multinode yang menggunakan arsitektur yang dialihkan penyimpanan dengan sakelar ToR ganda.

  • Sakelar ToR Ganda:

    • Sakelar jaringan ToR ganda diperlukan untuk ketahanan jaringan, dan kemampuan untuk melayani atau menerapkan pembaruan firmware, ke sakelar tanpa menimbulkan waktu henti. Strategi ini mencegah satu titik kegagalan (SPoF).

    • Sakelar ToR ganda digunakan untuk penyimpanan, atau lalu lintas timur-barat. Sakelar ini menggunakan dua port Ethernet khusus yang memiliki kelas lalu lintas jaringan area lokal virtual (VLAN) penyimpanan tertentu dan kontrol alur prioritas (PFC) yang didefinisikan untuk memberikan komunikasi RDMA tanpa kehilangan.

    • Sakelar ini terhubung ke simpul melalui kabel Ethernet.

  • Dua node fisik atau lebih dan maksimal 16 simpul:

    • Setiap simpul adalah server fisik yang menjalankan OS Azure Stack HCI.

    • Setiap simpul memerlukan total empat port adaptor jaringan: dua port berkemampuan RDMA untuk penyimpanan dan dua port adaptor jaringan untuk manajemen dan lalu lintas komputasi.

    • Penyimpanan menggunakan dua port adaptor jaringan berkemampuan RDMA khusus yang terhubung dengan satu jalur ke masing-masing dari dua sakelar ToR. Pendekatan ini menyediakan redundansi jalur tautan dan bandwidth khusus yang diprioritaskan untuk lalu lintas penyimpanan SMB Direct.

    • Manajemen dan komputasi menggunakan dua port adaptor jaringan yang menyediakan satu jalur ke masing-masing dari dua sakelar ToR untuk redundansi jalur tautan.

  • Konektivitas eksternal:

    • Sakelar ToR ganda terhubung ke jaringan eksternal, seperti LAN perusahaan internal Anda, untuk menyediakan akses ke URL keluar yang diperlukan menggunakan perangkat jaringan batas tepi Anda. Perangkat ini bisa berupa tembok api atau perute. Ini mengalihkan lalu lintas rute yang masuk dan keluar dari instans Azure Local, atau lalu lintas utara-selatan.

    • Konektivitas lalu lintas utara-selatan eksternal mendukung niat manajemen kluster dan niat komputasi. Ini dicapai menggunakan dua port sakelar dan dua port adaptor jaringan per simpul yang dikonvergensikan melalui switch embedded teaming (SET) dan sakelar virtual dalam Hyper-V untuk memastikan ketahanan. Komponen-komponen ini bekerja untuk menyediakan konektivitas eksternal untuk Azure Arc VM dan sumber daya beban kerja lainnya yang disebarkan dalam jaringan logis yang dibuat di Resource Manager menggunakan portal Microsoft Azure, CLI, atau templat IaC.

Topologi jaringan logis

Topologi jaringan logis menunjukkan gambaran umum tentang bagaimana data jaringan mengalir antar perangkat, terlepas dari koneksi fisiknya.

Ringkasan penyiapan logis untuk penyimpanan multinode ini beralih arsitektur dasar untuk Azure Local adalah sebagai berikut:

Diagram yang memperlihatkan topologi jaringan logis untuk instans Azure Local multinode menggunakan arsitektur yang dialihkan penyimpanan dengan sakelar ToR ganda.

  • Sakelar ToR Ganda:

    • Sebelum Anda menyebarkan kluster, dua sakelar jaringan ToR perlu dikonfigurasi dengan ID VLAN yang diperlukan, pengaturan unit transmisi maksimum, dan konfigurasi bridging pusat data untuk manajemen , komputasi, dan penyimpanan port. Untuk informasi selengkapnya, lihat Persyaratan jaringan fisik untuk Azure Local, atau minta bantuan vendor perangkat keras switch atau mitra SI Anda.

  • Azure Local menggunakan pendekatan ATC Jaringan untuk menerapkan otomatisasi jaringan dan konfigurasi jaringan berbasis niat.

    • ATC Jaringan dirancang untuk memastikan konfigurasi jaringan dan arus lalu lintas yang optimal dengan menggunakan lalu lintas jaringan niat. ATC Jaringan menentukan port adaptor jaringan fisik mana yang digunakan untuk niat lalu lintas jaringan (atau jenis) yang berbeda, seperti untukmanajemen kluster, beban kerja komputasi, dan niat penyimpanan kluster.

    • Kebijakan berbasis niat menyederhanakan persyaratan konfigurasi jaringan dengan mengotomatiskan konfigurasi jaringan simpul berdasarkan input parameter yang ditentukan sebagai bagian dari proses penyebaran cloud Lokal Azure.

  • Komunikasi eksternal:

    • Ketika simpul atau beban kerja perlu berkomunikasi secara eksternal dengan mengakses LAN perusahaan, internet, atau layanan lain, mereka merutekan menggunakan sakelar ToR ganda. Proses ini diuraikan di bagian topologi jaringan fisik sebelumnya.

    • Ketika dua sakelar ToR bertindak sebagai perangkat Lapisan 3, mereka menangani perutean dan menyediakan konektivitas di luar kluster ke perangkat batas tepi, seperti firewall atau router Anda.

    • Niat jaringan manajemen menggunakan antarmuka virtual tim SET yang terkonvergensi, yang memungkinkan alamat IP manajemen kluster dan sumber daya sarana kontrol untuk berkomunikasi secara eksternal.

    • Untuk niat jaringan komputasi, Anda dapat membuat satu atau beberapa jaringan logis di Azure dengan ID VLAN tertentu untuk lingkungan Anda. Sumber daya beban kerja, seperti VM, menggunakan ID ini untuk memberikan akses ke jaringan fisik. Jaringan logis menggunakan dua port adaptor jaringan fisik yang digabungkan dengan menggunakan tim SET untuk niat komputasi dan manajemen.

  • Lalu lintas penyimpanan:

    • Simpul fisik berkomunikasi satu sama lain menggunakan dua port adaptor jaringan khusus yang terhubung ke sakelar ToR untuk memberikan bandwidth dan ketahanan tinggi untuk lalu lintas penyimpanan.

    • Port penyimpanan SMB1 dan SMB2 terhubung ke dua jaringan terpisah yang tidak dapat dialihkan (atau Lapisan 2). Setiap jaringan memiliki ID VLAN tertentu yang dikonfigurasi yang harus cocok dengan konfigurasi port switch pada ID VLAN penyimpanan default pengalihan ToR: 711 dan 712.

    • Tidak ada gateway default dikonfigurasi pada dua port adaptor jaringan niat penyimpanan dalam OS Azure Stack HCI.

    • Setiap simpul dapat mengakses kemampuan Storage Spaces Direct kluster, seperti drive fisik jarak jauh yang digunakan di kumpulan penyimpanan, disk virtual, dan volume. Akses ke kemampuan ini difasilitasi melalui protokol RDMA SMB-Direct melalui dua port adaptor jaringan penyimpanan khusus yang tersedia di setiap simpul. SMB Multichannel digunakan untuk ketahanan.

    • Konfigurasi ini memberikan kecepatan transfer data yang memadai untuk operasi terkait penyimpanan, seperti mempertahankan salinan data yang konsisten untuk volume yang dicerminkan.

Persyaratan sakelar jaringan

Sakelar Ethernet Anda harus memenuhi berbagai spesifikasi yang diperlukan oleh Azure Local dan ditetapkan oleh Institute of Electrical and Electronics Engineers Standards Association (IEEE SA). Misalnya, untuk penyebaran yang dialihkan penyimpanan multinode, jaringan penyimpanan digunakan untuk RDMA melalui RoCE v2 atau iWARP. Proses ini memerlukan IEEE 802.1Qbb PFC untuk memastikan komunikasi tanpa kerugian untuk kelas lalu lintas penyimpanan . Sakelar ToR Anda harus memberikan dukungan untuk IEEE 802.1Q untuk VLAN dan IEEE 802.1AB untuk Protokol Penemuan Lapisan Tautan.

Jika Anda berencana menggunakan sakelar jaringan yang ada untuk penyebaran Azure Local, tinjau daftar standar dan spesifikasi IEEE wajib yang harus disediakan oleh sakelar dan konfigurasi jaringan. Saat membeli sakelar jaringan baru, tinjau daftar model sakelar bersertifikat vendor perangkat keras yang mendukung persyaratan jaringan Lokal Azure.

Persyaratan alamat IP

Dalam penyebaran yang dialihkan penyimpanan multinode, jumlah alamat IP yang diperlukan meningkat dengan penambahan setiap simpul fisik, hingga maksimum 16 simpul dalam satu kluster. Misalnya, untuk menyebarkan konfigurasi pengalihan penyimpanan dua node Azure Local, infrastruktur kluster memerlukan minimal 11 alamat IP x untuk dialokasikan. Lebih banyak alamat IP diperlukan jika Anda menggunakan mikrosegmentasi atau jaringan yang ditentukan perangkat lunak. Untuk informasi selengkapnya, lihat Meninjau persyaratan alamat IP pola referensi penyimpanan dua simpul untuk Azure Local.

Saat Anda merancang dan merencanakan persyaratan alamat IP untuk Azure Local, ingatlah untuk memperhitungkan alamat IP tambahan atau rentang jaringan yang diperlukan untuk beban kerja Anda di luar yang diperlukan untuk instans Azure Local dan komponen infrastruktur. Jika Anda berencana untuk menyebarkan AKS di Azure Local, lihat AKS yang diaktifkan oleh persyaratan jaringan Azure Arc.

Pemantauan

Untuk meningkatkan pemantauan dan pemberitahuan, aktifkan Monitor Insights di Azure Local. Wawasan dapat menskalakan untuk memantau dan mengelola beberapa kluster lokal menggunakan pengalaman konsisten Azure. Wawasan menggunakan penghitung kinerja kluster dan saluran log peristiwa untuk memantau fitur Utama Azure Local. Log dikumpulkan oleh DCR yang dikonfigurasi melalui Monitor dan Analitik Log.

Wawasan untuk Azure Local dibangun menggunakan Monitor dan Log Analytics, yang memastikan solusi yang selalu up-to-date dan dapat diskalakan yang sangat dapat disesuaikan. Insight menyediakan akses ke buku kerja default dengan metrik dasar, bersama dengan buku kerja khusus yang dibuat untuk memantau fitur utama Azure Local. Komponen-komponen ini menyediakan solusi pemantauan hampir real-time dan memungkinkan pembuatan grafik, penyesuaian visualisasi melalui agregasi dan pemfilteran, dan konfigurasi aturan pemberitahuan kesehatan sumber daya kustom.

Manajemen pembaruan

Instans Azure Local dan sumber daya beban kerja yang disebarkan, seperti Azure Arc VM, perlu diperbarui dan di-patch secara teratur. Dengan menerapkan pembaruan secara teratur, Anda memastikan bahwa organisasi Anda mempertahankan postur keamanan yang kuat, dan Anda meningkatkan keandalan dan dukungan estat Anda secara keseluruhan. Kami menyarankan agar Anda menggunakan penilaian manual otomatis dan berkala untuk penemuan awal dan penerapan patch keamanan dan pembaruan OS.

Pembaruan infrastruktur

Azure Local terus diperbarui untuk meningkatkan pengalaman pelanggan dan menambahkan fitur dan fungsionalitas baru. Proses ini dikelola melalui kereta rilis, yang memberikan build garis besar baru triwulanan. Build garis besar diterapkan ke instans Azure Local agar tetap terbarui. Selain pembaruan build garis besar reguler, Azure Local diperbarui dengan pembaruan keamanan dan keandalan OS bulanan.

Update Manager adalah layanan Azure yang dapat Anda gunakan untuk menerapkan, menampilkan, dan mengelola pembaruan untuk Azure Local. Layanan ini menyediakan mekanisme untuk melihat semua instans Azure Local di seluruh infrastruktur dan lokasi tepi Anda dengan menggunakan portal Microsoft Azure untuk memberikan pengalaman manajemen terpusat. Untuk informasi selengkapnya, lihat sumber daya berikut ini:

Penting untuk memeriksa pembaruan driver dan firmware baru secara teratur, seperti setiap tiga hingga enam bulan. Jika Anda menggunakan versi kategori solusi Premier untuk perangkat keras Azure Local Anda, pembaruan paket Ekstensi Penyusun Solusi terintegrasi dengan Update Manager untuk memberikan pengalaman pembaruan yang disederhanakan. Jika Anda menggunakan simpul tervalidasi atau kategori sistem terintegrasi, mungkin ada persyaratan untuk mengunduh dan menjalankan paket pembaruan khusus OEM yang berisi pembaruan firmware dan driver untuk perangkat keras Anda. Untuk menentukan bagaimana pembaruan disediakan untuk perangkat keras Anda, hubungi OEM perangkat keras atau mitra SI Anda.

Patching OS tamu beban kerja

Anda dapat mendaftarkan Azure Arc VM yang disebarkan di Azure Local ke Azure Update Manager (AUM) untuk memberikan pengalaman manajemen patch terpadu menggunakan mekanisme yang sama yang digunakan untuk memperbarui simpul fisik instans Lokal Azure. Anda dapat menggunakan AUM untuk membuat konfigurasi pemeliharaan tamu . Pengaturan kontrol konfigurasi ini seperti pengaturan Reboot reboot jika perlu, jadwal (tanggal, waktu, dan opsi ulangi), dan dinamis (langganan) atau daftar statis Azure Arc VM untuk cakupan. Pengaturan ini mengontrol konfigurasi saat patch keamanan OS diinstal di dalam OS tamu VM beban kerja Anda.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keandalan

Keandalan memastikan aplikasi Anda dapat memenuhi komitmen yang Anda buat kepada pelanggan Anda. Untuk informasi selengkapnya, lihat daftar periksa tinjauan desain untukKeandalan .

Mengidentifikasi titik kegagalan potensial

Setiap arsitektur rentan terhadap kegagalan. Anda dapat mengantisipasi kegagalan dan siap dengan mitigasi dengan analisis mode kegagalan. Tabel berikut ini menjelaskan empat contoh titik potensi kegagalan dalam arsitektur ini:

Komponen Risiko Kemungkinan Efek/mitigasi/catatan Outage
Pemadaman instans Azure Local Kegagalan daya, jaringan, perangkat keras, atau perangkat lunak Sedang Untuk mencegah pemadaman aplikasi yang berkepanjangan yang disebabkan oleh kegagalan instans Azure Local untuk kasus penggunaan bisnis atau misi penting, beban kerja Anda harus dirancang menggunakan prinsip HA dan DR. Misalnya, Anda dapat menggunakan teknologi replikasi data beban kerja standar industri untuk mempertahankan beberapa salinan data status persisten yang disebarkan menggunakan beberapa VM Azure Arc atau instans AKS yang disebarkan pada instans Lokal Azure terpisah dan di lokasi fisik terpisah. Potensi pemadaman
Pemadaman simpul fisik tunggal Azure Local Kegagalan daya, perangkat keras, atau perangkat lunak Sedang Untuk mencegah pemadaman aplikasi yang berkepanjangan yang disebabkan oleh kegagalan satu komputer Azure Local, instans Azure Local Anda harus memiliki beberapa simpul fisik. Persyaratan kapasitas beban kerja Anda selama fase desain kluster menentukan jumlah simpul. Kami menyarankan agar Anda memiliki tiga node atau lebih. Kami juga menyarankan agar Anda menggunakan pencerminan tiga arah, yang merupakan mode ketahanan penyimpanan default untuk kluster dengan tiga node atau lebih. Untuk mencegah SPoF dan meningkatkan ketahanan beban kerja, sebarkan beberapa instans beban kerja Anda dengan menggunakan dua atau beberapa VM Azure Arc atau pod kontainer yang berjalan di beberapa simpul pekerja AKS. Jika satu simpul gagal, VM Azure Arc dan layanan beban kerja /aplikasi dimulai ulang pada simpul fisik online yang tersisa di kluster. Potensi pemadaman
Simpul pekerja Azure Arc VM atau AKS (beban kerja) Kesalahan konfigurasi Sedang Pengguna aplikasi tidak dapat masuk atau mengakses aplikasi. Kesalahan konfigurasi harus ditangkap selama penyebaran. Jika kesalahan ini terjadi selama pembaruan konfigurasi, tim DevOps harus mengembalikan perubahan. Anda dapat menyebarkan ulang VM jika perlu. Penyebaran ulang membutuhkan waktu kurang dari 10 menit untuk disebarkan tetapi dapat memakan waktu lebih lama sesuai dengan jenis penyebaran. Potensi pemadaman
Konektivitas ke Azure Pemadaman jaringan Sedang Kluster perlu menjangkau sarana kontrol Azure secara teratur untuk kemampuan penagihan, manajemen, dan pemantauan. Jika kluster Anda kehilangan konektivitas ke Azure, kluster beroperasi dalam keadaan terdegradasi. Misalnya, tidak mungkin untuk menyebarkan VM Azure Arc atau kluster AKS baru jika kluster Anda kehilangan konektivitas ke Azure. Beban kerja yang ada yang berjalan pada kluster HCI terus berjalan, tetapi Anda harus memulihkan koneksi dalam waktu 48 hingga 72 jam untuk memastikan operasi yang tidak terganggu. Tidak

Untuk informasi selengkapnya, lihat Rekomendasi untuk melakukan analisis mode kegagalan.

Target keandalan

Bagian ini menjelaskan contoh skenario. Pelanggan fiktif bernama Contoso Manufacturing menggunakan arsitektur referensi ini untuk menyebarkan Azure Local. Mereka ingin memenuhi persyaratan mereka dan menyebarkan dan mengelola beban kerja lokal. Contoso Manufacturing memiliki target tujuan tingkat layanan internal (SLO) sebesar 99,8% yang disepakati oleh pemangku kepentingan bisnis dan aplikasi untuk layanan mereka.

  • SLO 99,8% waktu aktif, atau ketersediaan, menghasilkan periode waktu henti yang diizinkan berikut, atau tidak tersedia, untuk aplikasi yang disebarkan menggunakan Azure Arc VM yang berjalan di Azure Local:

    • Mingguan: 20 menit dan 10 detik

    • Bulanan: 1 jam, 26 menit, dan 56 detik

    • Triwulanan: 4 jam, 20 menit, dan 49 detik

    • Tahunan: 17 jam, 23 menit, dan 16 detik

  • Untuk membantu memenuhi target SLO, Contoso Manufacturing menerapkan prinsip hak istimewa paling sedikit (PoLP) untuk membatasi jumlah administrator instans Lokal Azure ke sekelompok kecil individu tepercaya dan memenuhi syarat. Pendekatan ini membantu mencegah waktu henti karena tindakan yang tidak disengaja atau tidak disengaja yang dilakukan pada sumber daya produksi. Selain itu, log peristiwa keamanan untuk pengontrol domain Active Directory Domain Services (AD DS) lokal dipantau untuk mendeteksi dan melaporkan perubahan keanggotaan grup akun pengguna apa pun, yang dikenal sebagai menambahkan dan menghapus tindakan, untuk administrator instans Lokal Azure grup menggunakan solusi manajemen peristiwa informasi keamanan (SIEM). Pemantauan meningkatkan keandalan dan meningkatkan keamanan solusi.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk manajemen identitas dan akses.

  • Prosedur kontrol perubahan yang ketat diterapkan untuk sistem produksi Contoso Manufacturing. Proses ini mengharuskan semua perubahan diuji dan divalidasi di lingkungan pengujian perwakilan sebelum implementasi dalam produksi. Semua perubahan yang diajukan ke proses dewan penasihat perubahan mingguan harus mencakup rencana implementasi terperinci (atau tautan ke kode sumber), skor tingkat risiko, rencana putar kembali yang komprehensif, pengujian dan verifikasi pasca-rilis, dan kriteria keberhasilan yang jelas untuk perubahan yang akan ditinjau atau disetujui.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk praktik penyebaran yang aman.

  • Patch keamanan bulanan dan pembaruan garis besar triwulanan diterapkan ke instans Azure Local produksi hanya setelah divalidasi oleh lingkungan praproduksi. Update Manager dan fitur pembaruan yang sadar kluster mengotomatiskan proses penggunaan migrasi langsung VM untuk meminimalkan waktu henti untuk beban kerja yang penting bagi bisnis selama operasi layanan bulanan. Prosedur operasi standar Contoso Manufacturing mengharuskan pembaruan keamanan, keandalan, atau build garis besar diterapkan ke semua sistem produksi dalam waktu empat minggu dari tanggal rilis mereka. Tanpa kebijakan ini, sistem produksi terus-menerus tidak dapat tetap terkini dengan PEMBARUAN OS dan keamanan bulanan. Sistem kedaluarsa berdampak negatif pada keandalan dan keamanan platform.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk membuat garis besar keamanan.

  • Contoso Manufacturing mengimplementasikan harian, mingguan, dan pencadangan bulanan untuk mempertahankan cadangan harian 6 x hari terakhir (Senin hingga Sabtu), pencadangan mingguan 3 x terakhir (setiap Minggu) dan 3 x bulanan, dengan setiap Minggu 4 minggu 4 dipertahankan untuk menjadi pencadangan bulan 1, bulan 2, dan bulan 3 menggunakan jadwal berbasis kalender bergulir yang didokumentasikan dan dapat diaudit. Pendekatan ini memenuhi persyaratan Contoso Manufacturing untuk keseimbangan yang memadai antara jumlah titik pemulihan data yang tersedia dan mengurangi biaya untuk layanan penyimpanan cadangan di luar lokasi atau cloud.

    Untuk informasi selengkapnya, lihat rekomendasi untuk merancang strategi pemulihan bencana.

  • Proses pencadangan dan pemulihan data diuji untuk setiap sistem bisnis setiap enam bulan. Strategi ini memberikan jaminan bahwa proses BCDR valid dan bahwa bisnis dilindungi jika terjadi bencana pusat data atau insiden cyber.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk merancang strategi pengujian keandalan.

  • Proses dan prosedur operasional yang dijelaskan sebelumnya dalam artikel, dan rekomendasi dalam panduan layanan Well-Architected Framework untuk Azure Local, memungkinkan Contoso Manufacturing memenuhi target SLO 99,8% mereka dan secara efektif menskalakan dan mengelola penyebaran Azure Local dan beban kerja di beberapa situs manufaktur yang didistribusikan di seluruh dunia.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk menentukan target keandalan.

Redundansi

Pertimbangkan beban kerja yang Anda sebarkan pada satu instans Azure Local sebagai penyebaran redundan lokal. Kluster ini menyediakan ketersediaan tinggi di tingkat platform, tetapi Anda harus menyebarkan kluster dalam satu rak. Untuk kasus penggunaan penting bisnis atau misi penting, kami sarankan Anda menyebarkan beberapa instans beban kerja atau layanan di dua atau beberapa instans Lokal Azure terpisah, idealnya di lokasi fisik terpisah.

Gunakan pola standar industri, ketersediaan tinggi untuk beban kerja yang menyediakan replikasi aktif/pasif, replikasi sinkron, atau replikasi asinkron seperti SQL Server Always On. Anda juga dapat menggunakan teknologi penyeimbang beban jaringan eksternal (NLB) yang merutekan permintaan pengguna di beberapa instans beban kerja yang berjalan pada instans Lokal Azure yang Anda sebarkan di lokasi fisik terpisah. Pertimbangkan untuk menggunakan perangkat NLB eksternal mitra. Atau Anda dapat mengevaluasi opsi penyeimbangan beban yang mendukung perutean lalu lintas untuk layanan hibrid dan lokal, seperti instans Azure Application Gateway yang menggunakan Azure ExpressRoute atau terowongan VPN untuk menyambungkan ke layanan lokal.

Untuk informasi selengkapnya, lihat Rekomendasi untuk merancang redundansi.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat daftar periksa tinjauan desain untuk Keamanan.

Pertimbangan keamanan meliputi:

  • Fondasi aman untuk platform Lokal Azure: Azure Local adalah produk aman secara default yang menggunakan komponen perangkat keras yang divalidasi dengan TPM, UEFI, dan Boot Aman untuk membangun fondasi yang aman untuk platform Lokal Azure dan keamanan beban kerja. Saat disebarkan dengan pengaturan keamanan default, Azure Local mengaktifkan Kontrol Aplikasi, Credential Guard, dan BitLocker. Untuk menyederhanakan pendelegasian izin menggunakan PoLP, gunakan peran kontrol akses berbasis peran (RBAC) bawaan Azure Local seperti Administrator Lokal Azure untuk administrator platform dan Kontributor VM Lokal Azure atau Pembaca VM Lokal Azure untuk operator beban kerja.

  • Pengaturan keamanan default: default keamanan Lokal Azure menerapkan pengaturan keamanan default untuk instans Azure Local Anda selama penyebaran dan memungkinkan kontrol penyimpangan untuk menjaga simpul dalam keadaan baik yang diketahui. Anda dapat menggunakan pengaturan default keamanan untuk mengelola keamanan kluster, kontrol penyimpangan, dan pengaturan server inti yang aman pada kluster Anda.

  • Log peristiwa keamanan: penerusan syslog Lokal Azure terintegrasi dengan solusi pemantauan keamanan dengan mengambil log peristiwa keamanan yang relevan untuk menggabungkan dan menyimpan peristiwa untuk retensi di platform SIEM Anda sendiri.

  • Perlindungan dari ancaman dan kerentanan: Defender for Cloud melindungi instans Lokal Azure Anda dari berbagai ancaman dan kerentanan. Layanan ini membantu meningkatkan postur keamanan lingkungan Lokal Azure Anda dan dapat melindungi dari ancaman yang ada dan berkembang.

  • deteksi ancaman dan remediasi: Microsoft Advanced Threat Analytics mendeteksi dan memulihkan ancaman, seperti yang menargetkan AD DS, yang menyediakan layanan autentikasi ke simpul instans Lokal Azure dan beban kerja VM Windows Server mereka.

  • isolasi Jaringan : Mengisolasi jaringan jika diperlukan. Misalnya, Anda dapat menyediakan beberapa jaringan logis yang menggunakan VLAN terpisah dan rentang alamat jaringan. Saat Anda menggunakan pendekatan ini, pastikan bahwa jaringan manajemen dapat menjangkau setiap jaringan logis dan VLAN sehingga simpul instans Azure Local dapat berkomunikasi dengan jaringan VLAN melalui sakelar tor atau gateway. Konfigurasi ini diperlukan untuk manajemen beban kerja, seperti memungkinkan agen manajemen infrastruktur berkomunikasi dengan OS tamu beban kerja.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk membangun strategi segmentasi.

Pengoptimalan Biaya

Pengoptimalan Biaya adalah tentang melihat cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat daftar periksa Design review untuk Pengoptimalan Biaya.

Pertimbangan pengoptimalan biaya meliputi:

  • Model penagihan gaya Cloud untuklisensi: Harga Lokal Azure mengikuti model penagihan langganan bulanan dengan tarif tetap per inti prosesor fisik dalam instans Azure Local. Biaya penggunaan tambahan berlaku jika Anda menggunakan layanan Azure lainnya. Jika Anda memiliki lisensi inti lokal untuk edisi Pusat Data Windows Server dengan Jaminan Perangkat Lunak aktif, Anda dapat memilih untuk menukar lisensi ini untuk mengaktifkan instans Lokal Azure dan biaya langganan VM Windows Server.

  • patching Tamu VM Otomatis untuk VM Azure Arc: Fitur ini membantu mengurangi overhead patching manual dan biaya pemeliharaan terkait. Tindakan ini tidak hanya membantu membuat sistem lebih aman, tetapi juga mengoptimalkan alokasi sumber daya dan berkontribusi pada efisiensi biaya secara keseluruhan.

  • Konsolidasi pemantauan biaya: Untuk mengonsolidasikan biaya pemantauan, gunakan Insights untuk Azure Local dan patch menggunakan Update Manager for Azure Local. Wawasan menggunakan Monitor untuk menyediakan metrik yang kaya dan kemampuan pemberitahuan. Komponen pengelola siklus hidup Azure Localintegrates dengan Update Manager untuk menyederhanakan tugas menjaga kluster Anda tetap terbarui dengan mengonsolidasikan alur kerja pembaruan untuk berbagai komponen ke dalam satu pengalaman. Gunakan Monitor dan Update Manager untuk mengoptimalkan alokasi sumber daya dan berkontribusi pada efisiensi biaya secara keseluruhan.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk mengoptimalkan waktu personel.

  • Kapasitas beban kerja awal danpertumbuhan : Saat Anda merencanakan penyebaran Azure Local, pertimbangkan kapasitas beban kerja awal, persyaratan ketahanan, dan pertimbangan pertumbuhan di masa mendatang. Pertimbangkan jika menggunakan arsitektur switchless penyimpanan dua, tiga, atau empat node dapat mengurangi biaya, seperti menghapus kebutuhan untuk mendapatkan sakelar jaringan kelas penyimpanan. Pengadaan sakelar jaringan kelas penyimpanan tambahan dapat menjadi komponen mahal dari penyebaran instans Lokal Azure baru. Sebagai gantinya, Anda dapat menggunakan sakelar yang ada untuk jaringan manajemen dan komputasi, yang menyederhanakan infrastruktur. Jika kapasitas beban kerja dan kebutuhan ketahanan Anda tidak menskalakan di luar konfigurasi empat node, pertimbangkan apakah Anda dapat menggunakan sakelar yang ada untuk jaringan manajemen dan komputasi, dan menggunakan arsitektur tanpa sakelar penyimpanan untuk menyebarkan Azure Local.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk mengoptimalkan biaya komponen.

Ujung

Anda dapat menghemat biaya dengan Azure Hybrid Benefit jika Anda memiliki lisensi Pusat Data Windows Server dengan Jaminan Perangkat Lunak aktif. Untuk informasi selengkapnya, lihat Azure Hybrid Benefit untuk Azure Local.

Keunggulan Operasional

Keunggulan Operasional mencakup proses operasi yang menyebarkan aplikasi dan membuatnya tetap berjalan dalam produksi. Untuk informasi selengkapnya, lihat daftar periksa tinjauan desain untukKeunggulan Operasional.

Pertimbangan keunggulan operasional meliputi:

  • Pengalaman provisi dan manajemen yang disederhanakan yang terintegrasi dengan Azure: Penyebaran Berbasis Cloud di Azure menyediakan antarmuka berbasis wizard yang menunjukkan kepada Anda cara membuat instans Azure Local. Demikian pula, Azure menyederhanakan proses mengelola instans Azure Local dan Azure Arc VM. Anda dapat mengotomatiskan penyebaran berbasis portal instans Azure Local menggunakan templat ARM ini. Menggunakan templat memberikan konsistensi dan otomatisasi untuk menyebarkan Azure Local dalam skala besar, khususnya dalam skenario tepi seperti toko ritel atau situs manufaktur yang memerlukan instans Lokal Azure untuk menjalankan beban kerja yang penting bagi bisnis.

  • kemampuan Automation untuk Virtual Machines: Azure Local menyediakan berbagai kemampuan otomatisasi untuk mengelola beban kerja, seperti Azure Arc VM, dengan penyebaran VM Azure Arc otomatis dengan menggunakan templat Azure CLI, ARM, atau Bicep, dengan pembaruan OS Komputer Virtual menggunakan Ekstensi Azure Arc untuk Pembaruan dan Azure Update Manager untuk memperbarui setiap instans Azure Local. Azure Local juga menyediakan dukungan untuk manajemen Azure Arc VM dengan menggunakan Azure CLI dan VM non-Azure Arc dengan menggunakan Windows PowerShell. Anda dapat menjalankan perintah Azure CLI secara lokal dari salah satu komputer Lokal Azure atau dari jarak jauh dari komputer manajemen. Integrasi dengan Azure Automation dan Azure Arc memfasilitasi berbagai skenario otomatisasi ekstra untuk beban kerja VM melalui ekstensi Azure Arc.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk menggunakan IaC.

  • kemampuan Automation untuk kontainer di AKS: Azure Local menyediakan berbagai kemampuan otomatisasi untuk mengelola beban kerja, seperti kontainer, di AKS. Anda dapat mengotomatiskan penyebaran kluster AKS dengan menggunakan Azure CLI. Perbarui kluster beban kerja AKS dengan menggunakan ekstensi Azure Arc untuk pembaruan Kubernetes. Anda juga dapat mengelola AKS dengan dukungan Azure Arc dengan menggunakan Azure CLI. Anda dapat menjalankan perintah Azure CLI secara lokal dari salah satu komputer Lokal Azure atau dari jarak jauh dari komputer manajemen. Integrasikan dengan Azure Arc untuk berbagai skenario otomatisasi ekstra untuk beban kerja kontainer melalui ekstensi Azure Arc.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk mengaktifkan otomatisasi.

Efisiensi Performa

Efisiensi Performa adalah kemampuan beban kerja Anda untuk memenuhi tuntutan yang ditempatkan di dalamnya oleh pengguna dengan cara yang efisien. Untuk informasi selengkapnya, lihat daftar periksa tinjauan Desain untukEfisiensi Performa .

Pertimbangan efisiensi performa meliputi:

  • Performa penyimpanan Beban Kerja: Pertimbangkan untuk menggunakan alat DiskSpd untuk menguji kemampuan performa penyimpanan beban kerja instans Azure Local. Anda dapat menggunakan alat VMFleet untuk menghasilkan beban dan mengukur performa subsistem penyimpanan. Evaluasi apakah Anda harus menggunakan VMFleet untuk mengukur performa subsistem penyimpanan.

    • Kami menyarankan agar Anda membuat garis besar untuk performa instans Lokal Azure Anda sebelum Anda menyebarkan beban kerja produksi. DiskSpd menggunakan berbagai parameter baris perintah yang memungkinkan administrator menguji performa penyimpanan kluster. Fungsi utama DiskSpd adalah mengeluarkan operasi baca dan tulis dan metrik performa output, seperti latensi, throughput, dan IOP.

      Untuk informasi selengkapnya, lihat Rekomendasi untuk pengujian performa.

  • ketahanan penyimpanan Beban Kerja : Pertimbangkan manfaat efisiensi ketahanan penyimpanan, penggunaan (atau kapasitas), dan performa. Perencanaan untuk volume Lokal Azure mencakup mengidentifikasi keseimbangan optimal antara ketahanan, efisiensi penggunaan, dan performa. Anda mungkin merasa sulit untuk mengoptimalkan keseimbangan ini karena memaksimalkan salah satu karakteristik ini biasanya memiliki efek negatif pada satu atau beberapa karakteristik lainnya. Meningkatkan ketahanan mengurangi kapasitas yang dapat digunakan. Akibatnya, performa mungkin bervariasi, tergantung pada jenis ketahanan yang dipilih. Ketika ketahanan dan performa adalah prioritas, dan ketika Anda menggunakan tiga node atau lebih, konfigurasi penyimpanan default menggunakan pencerminan tiga arah untuk infrastruktur dan volume pengguna.

    Untuk informasi selengkapnya, lihat Rekomendasi untuk perencanaan kapasitas.

  • Pengoptimalan performa jaringan: Pertimbangkan pengoptimalan performa jaringan. Sebagai bagian dari desain Anda, pastikan untuk menyertakan alokasi bandwidth lalu lintas jaringan yang diproyeksikan saat menentukan konfigurasi perangkat keras jaringan optimal Anda.

    • Untuk mengoptimalkan performa komputasi di Azure Local, Anda dapat menggunakan akselerasi GPU. Akselerasi GPU bermanfaat untuk AI berperforma tinggi atau beban kerja pembelajaran mesin yang melibatkan wawasan atau inferensi data. Beban kerja ini memerlukan penyebaran di lokasi tepi karena pertimbangan seperti gravitasi data atau persyaratan keamanan. Dalam penyebaran hibrid atau penyebaran lokal, penting untuk mempertimbangkan persyaratan performa beban kerja Anda, termasuk GPU. Pendekatan ini membantu Anda memilih layanan yang tepat saat Merancang dan mendapatkan instans Lokal Azure Anda.

      Untuk informasi selengkapnya, lihat Rekomendasi untuk memilih layanan yang tepat.

Sebarkan skenario ini

Bagian berikut ini menyediakan daftar contoh tugas tingkat tinggi atau alur kerja umum yang digunakan untuk menyebarkan Azure Local, termasuk tugas dan pertimbangan prasyarat. Daftar alur kerja ini dimaksudkan sebagai contoh panduan saja. Ini bukan daftar lengkap dari semua tindakan yang diperlukan, yang dapat bervariasi berdasarkan persyaratan organisasi, geografis, atau khusus proyek.

skenario : ada persyaratan proyek atau kasus penggunaan untuk menyebarkan solusi cloud hibrid di lokasi lokal atau tepi untuk menyediakan komputasi lokal untuk kemampuan pemrosesan data dan keinginan untuk menggunakan pengalaman manajemen dan penagihan yang konsisten dengan Azure. Detail selengkapnya dijelaskan di bagian kasus penggunaan potensial di artikel ini. Langkah-langkah yang tersisa mengasumsikan bahwa Azure Local adalah solusi platform infrastruktur yang dipilih untuk proyek.

  1. Kumpulkan beban kerja dan persyaratan kasus penggunaan dari pemangku kepentingan yang relevan. Strategi ini memungkinkan proyek untuk mengonfirmasi bahwa fitur dan kemampuan Azure Local memenuhi persyaratan skala, performa, dan fungsionalitas beban kerja. Proses peninjauan ini harus mencakup pemahaman skala beban kerja, atau ukuran, dan fitur yang diperlukan seperti Azure Arc VM, AKS, Azure Virtual Desktop, atau Layanan Data dengan dukungan Azure Arc atau layanan Pembelajaran Mesin dengan dukungan Azure Arc. Nilai RTO dan RPO beban kerja (keandalan) dan persyaratan nonfungsi lainnya (skalabilitas performa/beban) harus didokumentasikan sebagai bagian dari langkah pengumpulan persyaratan ini.

  2. Tinjau output Azure Local sizer untuk solusi mitra perangkat keras yang direkomendasikan. Output ini mencakup detail pembuatan dan model perangkat keras server fisik yang direkomendasikan, jumlah simpul fisik, dan spesifikasi untuk konfigurasi CPU, memori, dan penyimpanan setiap simpul fisik yang diperlukan untuk menyebarkan dan menjalankan beban kerja Anda.

  3. Gunakan alat Azure Local untuk membuat proyek baru yang memodelkan jenis beban kerja dan menskalakan. Proyek ini mencakup ukuran dan jumlah VM dan persyaratan penyimpanannya. Detail ini dimasukkan bersama dengan pilihan untuk jenis sistem, keluarga CPU pilihan, dan persyaratan ketahanan Anda untuk ketersediaan tinggi dan toleransi kesalahan penyimpanan, seperti yang dijelaskan di bagian pilihan desain Kluster sebelumnya.

  4. Tinjau output Azure Local Sizer untuk solusi mitra perangkat keras yang direkomendasikan. Solusi ini mencakup detail perangkat keras server fisik yang direkomendasikan (buat dan model), jumlah simpul fisik, dan spesifikasi untuk konfigurasi CPU, memori, dan penyimpanan dari setiap simpul fisik yang diperlukan untuk menyebarkan dan menjalankan beban kerja Anda.

  5. Hubungi mitra OEM atau SI perangkat keras untuk lebih memenuhi syarat kesesuaian versi perangkat keras yang direkomendasikan versus persyaratan beban kerja Anda. Jika tersedia, gunakan alat ukuran khusus OEM untuk menentukan persyaratan ukuran perangkat keras khusus OEM untuk beban kerja yang dimaksudkan. Langkah ini biasanya mencakup diskusi dengan mitra OEM atau SI perangkat keras untuk aspek komersial solusi. Aspek-aspek ini termasuk kutipan, ketersediaan perangkat keras, waktu tunggu, dan layanan profesional atau nilai tambah apa pun yang disediakan mitra untuk membantu mempercepat hasil proyek atau bisnis Anda.

  6. Sebarkan dua sakelar ToR untuk integrasi jaringan. Untuk solusi ketersediaan tinggi, kluster HCI memerlukan dua sakelar ToR untuk disebarkan. Setiap simpul fisik memerlukan empat NIC, dua di antaranya harus berkemampuan RDMA, yang menyediakan dua tautan dari setiap simpul ke dua sakelar ToR. Dua NIC, satu terhubung ke setiap sakelar, dikonvergensi untuk konektivitas utara-selatan keluar untuk jaringan komputasi dan manajemen. Dua NIC berkemampu RDMA lainnya didedikasikan untuk lalu lintas timur-barat penyimpanan. Jika Anda berencana untuk menggunakan sakelar jaringan yang ada, pastikan bahwa pembuatan dan model sakelar Anda ada di daftar sakelar jaringan yang disetujui didukung oleh Azure Local.

  7. Bekerja dengan mitra OEM atau SI perangkat keras untuk mengatur pengiriman perangkat keras. Mitra SI atau karyawan Anda kemudian diharuskan untuk mengintegrasikan perangkat keras ke pusat data lokal atau lokasi tepi Anda, seperti rak dan tumpukan perangkat keras, jaringan fisik, dan kabel unit catu daya untuk simpul fisik.

  8. Melakukan penyebaran instans Lokal Azure. Bergantung pada versi solusi yang Anda pilih (Solusi utama, Sistem terintegrasi, atau Simpul Tervalidasi), baik mitra perangkat keras, mitra SI, atau karyawan Anda dapat menyebarkan perangkat lunak Azure Local. Langkah ini dimulai dengan onboarding simpul fisik OS Azure Stack HCI ke server yang didukung Azure Arc, lalu memulai proses penyebaran cloud Azure Local. Pelanggan dan mitra dapat mengajukan permintaan dukungan langsung dengan Microsoft di portal Microsoft Azure dengan memilih ikon Dukungan + Pemecahan Masalah atau dengan menghubungi mitra OEM atau SI perangkat keras mereka, tergantung pada sifat permintaan dan kategori solusi perangkat keras.

    Ujung

    logo GitHub OS Azure Stack HCI, implementasi referensi sistem versi 23H2 menunjukkan cara menyebarkan penyebaran multi node Azure Local yang dialihkan menggunakan templat ARM dan file parameter. Atau, contoh Bicep menunjukkan cara menggunakan templat Bicep untuk menyebarkan instans Azure Local, termasuk sumber daya prasyaratnya.

  9. Menyebarkan beban kerja yang sangat tersedia di Azure Local menggunakan portal Microsoft Azure, CLI, atau templat ARM + Azure Arc untuk otomatisasi. Gunakan lokasi kustom sumber daya kluster HCI baru sebagai wilayah target saat Anda menyebarkan sumber daya beban kerja seperti Azure Arc VM, AKS, host sesi Azure Virtual Desktop, atau layanan berkemampuan Azure Arc lainnya yang dapat Anda aktifkan melalui ekstensi dan kontainerisasi AKS di Azure Local.

  10. Instal pembaruan bulanan untuk meningkatkan keamanan dan keandalan platform. Untuk selalu memperbarui instans Lokal Azure Anda, penting untuk menginstal pembaruan perangkat lunak Microsoft dan driver OEM perangkat keras dan pembaruan firmware. Pembaruan ini meningkatkan keamanan dan keandalan platform. Update Manager menerapkan pembaruan dan menyediakan solusi terpusat dan dapat diskalakan untuk menginstal pembaruan di satu kluster atau beberapa kluster. Tanyakan kepada mitra OEM perangkat keras Anda untuk menentukan proses penginstalan driver perangkat keras dan pembaruan firmware karena proses ini dapat bervariasi tergantung pada jenis kategori solusi perangkat keras yang Anda pilih (Solusi utama, Sistem terintegrasi, atau Simpul Tervalidasi). Untuk informasi selengkapnya, lihat Pembaruan infrastruktur.

Langkah berikutnya

Dokumentasi produk:

Dokumentasi produk untuk detail tentang layanan Azure tertentu:

Modul Microsoft Learn: