整合 Azure VMware 解決方案工作負載與 Azure 登陸區域
每個組織都會管理工作負載,並獨一無二地操作其雲端環境。 常見的雲端作業模型是 分散式、集中式、企業,以及 分散式。
各種模型之間的最重要差異是擁有權層級。 在分散式模型中,工作負載擁有者可以自主權,而不需要任何中央 IT 監督進行治理。 例如,他們會管理自己的網路、監視和身分識別需求。 頻譜的另一端是集中式模型,其中工作負載擁有者會遵守中央IT小組所設定的治理需求。
如需模型的詳細討論,請參閱 審查和比較常見的雲端作業模型。
身為工作負載擁有者,您應該了解組織所使用的作業模型。 該選擇會影響您負責的技術決策,以及您導向中央小組的技術需求。
若要充分利用 Azure VMware 解決方案的功能,您應該利用適用於組織的最佳做法。 此平臺提供適應性和彈性,可協助 Azure VMware 解決方案環境適應未來的成長。
Azure 登陸區域
Azure 登陸區域是一種概念架構,描述組織的整體雲端使用量。 它有多個訂用帳戶,每個訂用帳戶都有唯一的用途。 中央團隊持有部分訂閱帳戶,例如 Azure 平臺登陸區域。
若要熟悉 Azure 登陸區域的概念,請參閱 什麼是 Azure 登陸區域?。
重要
Azure VMware 解決方案具有特定的考慮和需求,特別是與 Azure 服務整合相關的考慮和需求。 Azure VMware 解決方案登陸區域加速器和 Azure VMware 解決方案的 Azure Well-Architected 架構指引旨在強調這些必要的自定義。 這些資源也會納入雲端採用的架構觀點,以整體方式達成雲端就緒。
下載此架構的 Visio 檔案。
平臺登陸區域
有時候,Azure VMware 解決方案私人雲端會在工作負載移轉之前部署。 其他時候,私人雲端會部署在工作負載上。 在這兩種情況下,私人雲端必須與多個外部服務互動。 中央團隊可能會擁有其中一些服務,作為平台著陸區域的一部分。 這些服務的範例包括網域解析、網路連線和安全性服務。 與這些外部服務的互動是一個基本考慮。 若要完全正常運作,部署在 Azure VMware 解決方案私人雲端上的工作負載需要平臺小組和工作負載小組共用相同的責任心態。
如需了解 Azure VMware 解決方案工作負載運行所需的平臺著陸區域示範,請參閱 Microsoft Azure VMware 解決方案的 Azure 著陸區域檢閱 。 本文說明穩固的平台基礎,可加速從內部部署 VMware 環境移轉至 Azure VMware 解決方案私人雲端。
應用程式登陸區域
另外還有一個訂用帳戶,也稱為 Azure 應用程式登陸區域,其適用於工作負載擁有者。 此應用程式登陸區域是您部署 VMware 工作負載的位置。 其可存取平臺登陸區域,以提供執行工作負載所需的基本基礎結構。 範例包括網路功能、身分識別存取管理、原則和監視基礎結構。
應用程式登陸區域的指引適用於 Azure VMware 解決方案工作負載。 如需詳細資訊,請參閱 平臺登陸區域與應用程式登陸區域。 本指南包含有效控管和管理工作負載的建議。
如需 Azure VMware 解決方案工作負載之應用程式登陸區域的示範,請參閱 Azure VMware 解決方案
設計區域整合
本節強調平臺所提供的堅實基礎。 討論也涵蓋平臺小組與工作負載小組之間共同責任的領域。
平台責任
Azure VMware 解決方案平臺小組可確保基礎結構已準備好讓應用程式小組建置。 一些常見的工作包括:
- 藉由確保 Azure VMware 解決方案軟體定義資料中心 (SDDC) 啟用已發生,並已定義區域、節點和網路設定,以要求容量。 平臺小組接著會配置計算資源、資源集區、虛擬儲存局域網路 (vSAN) 記憶體和叢集。
- 設計以達成復原點目標(RPO)和復原時間目標(RTO),透過策略性建立基礎設施來符合服務層級協議(SLA)。
- 保護及優化內部部署系統、Azure 和因特網的連線能力。 此工作包括路由、設定防火牆條目,以及管理集中式網路設備。
- 管理 Azure 整合,例如與 Azure DNS、Azure 備份、Azure 監控、Log Analytics、Microsoft Entra ID 和 Azure Key Vault 的整合。
共同責任
工作負載小組和平臺小組有其各自的責任。 但兩個小組通常會密切合作,協助確保工作負載可用性和可復原性。 各團隊協調努力,以確保在 Azure VMware 解決方案中執行的工作負載獲得整體成功。 平臺與應用程式小組之間的有效共同作業對於成功部署雲端式應用程式至關重要。
平臺和應用程式登陸區域的設計區域緊密結合。
- 如需瞭解工作負載所需平臺資源變更的描述,請參閱 Microsoft Azure VMware 解決方案的 Azure Landing Zone 檢閱。
- 如需工作負載技術規格的描述,請參閱 什麼是主要設計領域?。
設計區域 - 基礎結構
備份和災害復原 是應用程式與平臺小組在實作中都有角色的基礎結構設計區域。
- Azure VMware 解決方案平臺小組會設定虛擬機 (VM) 和 Azure VMware 解決方案元件的基礎結構層級備份和復寫。
- 應用程式小組負責應用層級備份和數據復原程式。
在某些組織中,某些作業是共同的責任。 下表列出範例:
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
|
-
基礎結構備份。 實作 Azure VMware 解決方案元件、VM 和核心基礎結構的備份。 - 配置虛擬機映像備份。 在失敗期間,快速從 VM 磁碟 (VMDK) 等格式復原基礎結構。 - 災害復原規劃。 定義網站故障轉移、數據複寫,並維持 Azure VMware 解決方案的基礎結構中 RPO 和 RTO 目標的機制。 |
-
資料備份。 使用代理程式型 VMware 相容的備份解決方案,將應用程式特定的數據和資料庫備份到記憶體位置。 - 應用程式組態。 管理應用程式需要運作的應用程式組態、設定和連結庫。 - 工作優先順序。 區分重要任務和不重要任務。 - 數據還原和復原。 定期從備份還原應用程式數據。 確定應用程式在真實世界的案例中回到功能狀態。 |
設計區域 - 網路
DNS 解析 是網路設計區域中的重要概念。
Azure VMware 解決方案中的 DNS 設定牽涉到將主機名對應至IP位址。 此對應會在 Azure VMware 解決方案與更廣泛的網路內建立 VM 和服務之間的連線。 下表列出 DNS 責任:
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
| - 將 VM 啟動為域控制器。 - 建立私人 DNS 區域。 - 管理網域名稱。 - 設定反向 DNS 查閱。 |
- 設定主機名。 - 管理應用程式存留時間 (TTL) 設定。 - 管理內部 DNS 解析。 - 管理影響應用程式的 DNS 監視和上線下線警示。 |
設計區域 - 運營
金鑰管理 是作業的重要領域。
應用程式和平臺小組都負責金鑰和密碼管理。 他們扮演的角色有助於確保 Azure VMware 解決方案中執行之應用程式的安全性和存取控制。 下表列出小組責任的差異:
| 平臺小組責任 | 工作負載小組責任 |
|---|---|
|
-
基礎結構金鑰管理。 管理加密金鑰和基礎結構層級的數據,例如加密的磁碟和 VM 範本。 - 基礎結構認證。 管理 VMware vCenter Server 和 VMware ESXi 主機等元件的 Azure VMware 解決方案系統管理認證。 - 平台存取控制。 在 Azure VMware 解決方案環境中定義使用者角色和許可權。 - Key Vault: 建立 Key Vault 實例、設定原則來保護保存庫、管理基礎結構和平台密碼,以及管理加密和解密作業。 |
- 管理應用程式特定的認證和金鑰,例如用來存取 API、資料庫和秘密的認證和金鑰。 - 實作一般密碼輪替和認證到期原則,以防止未經授權的存取。 - 請確定應用程式認證會安全地儲存,而且不會硬式編碼在應用程式程式代碼或組態檔中。 - 定義金鑰保存庫的存取原則,這些保存庫專屬於需要存取這些秘密的應用程式或服務。 |
後續步驟
使用評估工具來評估您的設計選擇。