Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'acceleratore di zona di destinazione di Azure Arc consente alle organizzazioni di implementare architetture ibride e multicloud scalabili. Azure Arc progetta e gestisce le risorse esistenti all'esterno di Azure, come server on-premise, cluster Kubernetes e servizi multicloud, nel piano di controllo di Azure. Questo approccio ibrido e multicloud offre governance unificata, sicurezza e operazioni in ambienti distribuiti.
Questo articolo illustra come integrare le risorse di Azure Arc nelle zone di destinazione di Azure. Questa integrazione definisce come gestire le risorse esterne come cittadini di prima classe in Azure e questo approccio garantisce una gestione e una conformità coerenti in tutti gli ambienti.
Collegamento rapido:Modelli comuni per le risorse di Azure Arc nelle zone di destinazione di Azure
Operazioni unificate di Azure Arc in ambienti Azure, locali, multicloud e perimetrali, gestite tramite un piano di controllo centrale di Azure, con Azure Arc che proietta risorse esterne in Azure Resource Manager per la governance e le operazioni centralizzate.
Stabilire un ambiente di Azure di base per le risorse ibride e multicloud
Le organizzazioni devono stabilire un ambiente Azure ben strutturato per supportare la governance e la gestione delle risorse ibride e multicloud. Le zone di destinazione di Azure forniscono le basi necessarie per una gestione efficace delle risorse.
Distribuire le zone di destinazione di Azure per supportare scenari ibridi e multicloud.Le zone di destinazione di Azure (piattaforma e applicazione) stabiliscono una base scalabile e sicura per l'ambiente in uso. Queste zone di destinazione includono aree di progettazione come identità, topologia di rete, organizzazione delle risorse e governance. Selezionare un'architettura della zona di destinazione allineata alla strategia cloud dell'organizzazione. Questo allineamento garantisce che l'ambiente si ridimensioni in modo appropriato man mano che l'organizzazione cresce.
Progettare architetture di rete per connettere ambienti ibridi e multicloud.L'architettura di rete deve supportare la connettività sicura e affidabile tra Azure e gli ambienti esterni. Prendere in considerazione VPN, ExpressRoute ed endpoint privati per integrare le risorse locali e multicloud con Azure. La progettazione di rete offre le basi per il trasferimento sicuro dei dati e le prestazioni coerenti in tutti gli ambienti.
Estendere la governance e le operazioni con Azure Arc. Azure Arc esegue l'onboarding di risorse esterne in Azure Resource Manager (ARM) per abilitare la gestione centralizzata. Azure Arc consente l'applicazione centralizzata dei criteri, il monitoraggio e l'automazione usando strumenti nativi di Azure, ad esempio Criteri di Azure, Monitoraggio di Azure e Microsoft Defender for Cloud. Questo approccio centralizzato riduce la complessità operativa e garantisce una governance coerente in tutti gli ambienti.
Linee guida per la zona di destinazione di Azure Arc con punti decisionali per le organizzazioni con e senza zone di destinazione di Azure esistenti, delineando i percorsi per l'implementazione degli aggiornamenti della sicurezza estesa tramite Azure Arc per i server locali.
Integrare le risorse di Azure Arc con le zone di destinazione dell'applicazione
Le risorse di Azure Arc si integrano nelle architetture dell'applicazione per fornire una gestione unificata in ambienti diversi. Esempi comuni includono server abilitati per Azure Arc, VMware vSphere, System Center Virtual Machine Manager, cluster Kubernetes gestiti dal cliente e servizi dati abilitati per Azure Arc.
Proiettare gli asset IT locali in Azure con server abilitati per Azure Arc, VMware vSphere e System Center Virtual Machine Manager. Questi servizi Azure Arc proiettano gli asset IT locali nel piano di controllo di Azure. Questa proiezione consente la gestione centralizzata dell'infrastruttura locale insieme alle risorse di Azure.
Gestire i cluster Kubernetes gestiti dal cliente in ambienti multicloud. I cluster Kubernetes gestiti dal cliente operano in ambienti multicloud con il controllo centralizzato tramite Azure Arc. Questo approccio centralizzato semplifica la gestione dei cluster e garantisce un'applicazione coerente dei criteri in tutti gli ambienti.
Estendere le funzionalità di Azure alle posizioni perimetrali con i servizi abilitati per Azure Arc. I dati, le applicazioni e i servizi di Machine Learning abilitati per Azure Arc estendono le funzionalità di Azure alle posizioni perimetrali in cui esistono requisiti di sovranità o latenza dei dati. Questa estensione offre esperienze di Azure coerenti indipendentemente dalla posizione fisica.
Le sottoscrizioni dell'area di destinazione dell'applicazione includono sia le risorse native di Azure che le risorse abilitate per Azure Arc. Le risorse di Azure Arc vengono eseguite all'esterno di Azure e vengono proiettate in Azure Resource Manager come risorse di Azure gestite con gli stessi controlli di governance e sicurezza. Gestire le risorse di Azure Arc come qualsiasi altra risorsa di Azure nella zona di destinazione (piattaforma o applicazione) allineate ai principi di progettazione.
Architettura di progettazione della zona di destinazione con gruppi di gestione, sottoscrizioni e gruppi di risorse organizzati in modo gerarchico per supportare l'integrazione di Azure Arc, dimostrando come le risorse di Azure Arc si integrano nelle zone di destinazione dell'applicazione come risorse di metadati.
Applicare modelli comuni per le risorse di Azure Arc nelle zone di destinazione di Azure
Questi esempi illustrano come proiettare le risorse di Azure Arc come risorse di metadati nelle zone di destinazione di Azure. Ogni modello soddisfa esigenze organizzative specifiche mantenendo al contempo una governance coerente.
Esempio 1: Controller di dominio del progetto all'esterno di Azure
Le distribuzioni di Active Directory Domain Services (AD DS) esistono nella maggior parte degli ambienti dei clienti. I controller di dominio sono componenti critici di Active Directory Domain Services e l'architettura complessiva usata dalle organizzazioni per i servizi di gestione delle identità.
L'architettura concettuale dell'area di atterraggio di Azure include una sottoscrizione dedicata dell'area di atterraggio per le identità che ospita risorse basate sull'identità. È possibile ospitare le risorse di identità in Azure con macchine virtuali (controller di dominio) di Servizi di dominio Active Directory, oppure proiettare le risorse di identità in Azure da qualsiasi altra posizione tramite server abilitati per Azure Arc. Questa flessibilità consente alle organizzazioni di mantenere l'infrastruttura di gestione delle identità esistente mentre ottengono funzionalità di gestione centralizzate.
Esempio due: Proiettare i data center locali in Azure
I data center locali rimangono presenti nella maggior parte degli ambienti dei clienti. I footprint dei data center variano da server singoli a ambienti virtualizzati di grandi dimensioni che richiedono una gestione completa.
Le organizzazioni possono considerare i data center locali come normali zone di destinazione e posizionare le risorse del data center in zone di destinazione nuove o esistenti in base alle esigenze dell'organizzazione. Gli approcci comuni includono:
- Proiettare le risorse nelle sottoscrizioni di zone di atterraggio dedicate per le risorse on-premise del data center. In ambienti più grandi con più data center in tutto il mondo, le organizzazioni stabiliscono una zona di destinazione per ogni area geopolitica. Queste zone di destinazione a livello di area contengono le risorse di ogni area per garantire la separazione logica dei data center locali in Azure. Questo approccio a livello di area supporta i requisiti di sicurezza, governance e conformità per data center locali diversi.
- Proiettare le risorse in sottoscrizioni separate della zona di destinazione in base ad altre risorse di Azure che supportano la stessa applicazione o servizio. Questo approccio incentrato sulle applicazioni garantisce che tutti i componenti di un'applicazione vengano gestiti insieme indipendentemente dalla posizione fisica.
Esempio tre: Proiettare le risorse dell'applicazione remota in Azure
Le organizzazioni sviluppano applicazioni o applicazioni sensibili alla latenza con requisiti di sovranità dei dati. Queste applicazioni richiedono che le risorse siano ospitate all'esterno di Azure, mantenendo al contempo il controllo centralizzato, la governance, la sicurezza e le operazioni per tutti i componenti dell'applicazione. Azure Arc consente alle organizzazioni di ottenere una gestione centralizzata per le applicazioni distribuite.
Le organizzazioni devono proiettare le risorse di Azure Arc per le proprie applicazioni nella stessa sottoscrizione dell'area di destinazione dell'applicazione che ospita le risorse di Azure. Le organizzazioni possono quindi applicare un set di controlli a tutte le risorse da un singolo piano di controllo indipendentemente dalla posizione fisica delle risorse. Questo approccio unificato semplifica le operazioni e garantisce una governance coerente in tutti i componenti dell'applicazione.
Esempio quattro: Proiettare server locali che hanno raggiunto la fine del supporto in Azure per usare gli aggiornamenti della sicurezza estesi recapitati tramite Azure Arc
Le versioni di Windows Server raggiungono la fine del supporto e le organizzazioni non possono sempre soddisfare le scadenze di fine del supporto, mentre i server devono rimanere in locale. Le organizzazioni possono acquistare gli aggiornamenti della sicurezza estesi abilitati da Azure Arc per mantenere il supporto per la sicurezza per questi server.
Se le organizzazioni distribuiscono zone di destinazione di Azure o hanno già distribuito zone di destinazione di Azure, le organizzazioni possono considerare i data center locali come normali zone di destinazione e posizionare le risorse del data center in zone di destinazione nuove o esistenti in base alle proprie esigenze. Gli approcci comuni includono:
- Proiettare le risorse nelle sottoscrizioni di zone di atterraggio dedicate per le risorse on-premise del data center. In ambienti più grandi con più data center in tutto il mondo, le organizzazioni stabiliscono una zona di destinazione per ogni area geopolitica. Queste zone di destinazione a livello di area contengono le risorse di ogni area per garantire la separazione logica dei data center locali in Azure. Questo approccio a livello di area supporta i requisiti di sicurezza, governance e conformità per data center locali diversi.
- Proiettare le risorse in sottoscrizioni separate della zona di destinazione in base ad altre risorse di Azure che supportano la stessa applicazione o servizio.
- Le organizzazioni devono esaminare le linee guida per l'acceleratore di zona di destinazione dei server abilitati per Azure Arc per comprendere le considerazioni di progettazione e le raccomandazioni nelle aree di progettazione critiche.
Passo successivo
Informazioni su come distribuire la sandbox di Azure Arc per accelerare l'adozione di architetture ibride o multicloud.