新版的Azure Stack HCI 21H2超融合基礎架構提供了許多新功能,可滿足人工智慧、機器學習、虛擬桌面基礎架構的多方需求。本文將深入剖析並實作啟用及整合Azure權益,讓原本只能運作在Azure公有雲的Windows Server 2022 : Azure Edition,也能運作在地端資料中心內。
在微軟的「超融合基礎架構」(Hyper-Converged Infrastructure,HCI)技術藍圖中,原本HCI技術直接內建於Windows Server 2016作業系統中,讓管理人員能夠使用已經熟悉的Windows Server作業系統架構,輕鬆建構出HCI超融合基礎架構,如圖1所示。
圖1 透過Windows Server搭建HCI超融合基礎架構示意圖。 (圖片來源:儲存空間直接存取概觀 | Microsoft Docs)
然而,隨著時間的推進和管理人員的意見反應,微軟發現應該將HCI超融合基礎架構技術獨立出來,因為在Windows Server作業系統中通常都運作企業在地端資料中心常用的服務(例如DC網域控制站、DNS名稱解析伺服器、DHCP伺服器等等),所以採用Windows Server所搭建的HCI超融合基礎架構中,有著過多未使用的系統服務和函式庫,以及舊有Windows Server架構的包袱,導致HCI超融合基礎架構技術無法進行精簡設計和效能最佳化。
因此,從Windows Server 2019版本開始,除了維持將HCI超融合基礎架構技術內建外,也同時發佈針對HCI超融合基礎架構技術進行精簡設計和效能最佳化的「Azure Stack HCI OS」雲端作業系統,如圖2所示,並且官方宣佈後續所有的進階功能,都只會在Azure Stack HCI OS雲端作業系統中推出,而非Windows Server 2019和後續版本。
圖2 Azure Stack HCI OS雲端作業系統運作架構示意圖。 (圖片來源:Azure Stack HCI 解決方案概觀 | Microsoft Docs)
舉例來說,最新的「延展叢集」(Stretch Cluster)、「4倍快速修復儲存空間」(4x Faster Storage Spaces Repairs)、「引導式部署」(Guided Deployment)等等進階功能,便只能運作在Azure Stack HCI雲端作業系統所搭建的HCI超融合基礎架構運作環境中。
Azure Stack HCI 21H2亮眼新功能
基本上,Azure Stack HCI雲端作業系統和Windows 10/11設計理念相同,除了每個月定期的安全性更新外,每隔「六個月」便會推出新版本,如圖3所示,Azure Stack HCI新版本包括新增或增強功能以及臭蟲修復和安全性更新。值得注意的是,企業或組織採用Windows Server 2019作業系統所建構的HCI超融合基礎架構,不支援就地升級為Azure Stack HCI超融合基礎架構,必須整合叢集升級機制,在升級程序過程中個別重建每台HCI超融合叢集節點才行。
圖3 Azure Stack HCI雲端作業系統產品生命週期示意圖。 (圖片來源:更新和升級 - Azure Stack HCI | Microsoft Docs)
那麼管理人員該如何確認每次Azure Stack HCI更新版本有哪些特色功能,舉例來說,支援的Kubernetes版本有哪些、是否支援新的GPU機制、是否採用新一代的ContainerD取代舊有的Moby等等。只要前往Azure Stack HCI在GitHub上的發行公告(Release Notes),即可了解每一個版本詳細的功能說明。
支援Windows Server 2022 : Azure Edition
對於Microsoft Azure公有雲有熟悉度的管理人員應該知道,在Azure公有雲環境中,有些工作負載和服務僅能運作在公有雲環境,無法運作在企業組織的地端資料中心內。此外,在Windows Server 2022發行版本中,眼尖的管理人員應該已經發現,除了原有的Standard和Datacenter之外,還多出一個僅限於在Azure公有雲環境上運作的「Windows Server 2022 Datacenter : Azure Edition」發行版本。
這個新的Windows Server 2022發行版本,由於在Azure公有雲環境中的特殊設計,因此更支援幾項特殊進階功能,例如SMB over QUIC、Azure Extended Network、Hot Patching等等,這些特殊進階功能在Standard和Datacenter發行版本中並不支援。有關Windows Server 2022不同發行版本的功能比較表詳細資訊,可參考Comparison of Standard, Datacenter, and Datacenter Azure Edition editions of Windows Server 2022 | Microsoft Docs文件內容。
現在最新推出的AzSHCI 21H2版本中,新增支援「Azure權益」(Azure Benefits)機制,能夠完整支援及運作安裝Windows Server 2022 Datacenter : Azure Edition版本的VM虛擬主機。簡單來說,AzSHCI 21H2版本將Azure權益機制內建後,便能為VM虛擬主機提供Azure平台驗證服務,讓VM虛擬主機以為運作在Azure公有雲環境中。
只要在AzSHCI 21H2運作環境中啟用Azure權益機制,系統就會在AzSHCI叢集環境中為每台AzSHCI叢集節點主機啟動HciSvc服務,並且啟動後的HciSvc服務會至Azure公有雲取得通過簽署的憑證,並將憑證存放在AzSHCI叢集節點主機記憶體保護區內。
接著,HciSvc服務會傳遞不可路由的REST端點,提供給AzSHCI叢集環境上運作的VM虛擬主機進行存取作業。所以,當安裝Windows Server 2022 Datacenter : Azure Edition版本的VM虛擬主機,自我驗證所處環境是否為Azure公有雲環境時,HciSvc服務便會將剛才儲存在記憶體保護區內憑證進行回應,讓VM虛擬主機以為自己運作在Azure公有雲環境中,但實際上VM虛擬主機是運作在企業地端資料中心內的AzSHCI叢集,如圖4所示。
圖4 運作在AzSHCI叢集中Azure權益運作架構示意圖。 (圖片來源:Azure Stack HCI的Azure權益-Azure Stack HCI | Microsoft Docs)
支援舊版Windows Server和SQL Server安全性更新
除了運作Azure公有雲才支援的新式雲端作業系統外,相信不少企業和組織因為種種因素還運作著舊有的Windows Server 2008 R2/2012 R2作業系統,以及SQL Server 2008 R2/2012 R2資料庫系統。
由於這些舊有的作業系統和資料庫系統已經到了產品生命週期結束階段,所以微軟並不提供後續任何的安全性更新。倘若企業強硬地在地端資料中心內繼續運作的話,將會使企業的機敏資訊暴露在非常大的資安風險當中。
因此,微軟推出在Azure公有雲環境運作這些舊有作業系統和資料庫系統時,能夠享有特殊的延長安全性更新服務,讓企業組織可以在這段充裕的延長時間中,將重要的營運服務遷移至新的作業系統和資料庫系統版本,但是有些企業可能因為架構環境和法規考量等種種因素,無法將舊有作業系統和資料庫系統運作在Azure公有雲環境,只能在地端資料中心內建構簡易安全防護的環境,運作這些高資安風險的舊作業系統與資料庫系統。
現在整合Azure權益機制的新版AzSHCI叢集,也支援將這些舊有作業系統和資料庫系統的VM虛擬主機運作在新版AzSHCI叢集環境中,並且因為整合的Azure權益機制,讓舊作業系統和資料庫系統就像運作在Azure公有雲環境一樣能夠進行延伸的安全性更新服務,有效解決企業的困擾並加速遷移服務至新系統的速度,如圖5所示。
圖5 新版AzSHCI 21H2支援運作舊有作業系統和資料庫系統,並提供安全性更新服務。 (圖片來源:OD141 - Learn everything about the new Azure Stack HCI feature update | Ignite 2021)
支援AVD(Azure Virtual Desktop)
過去,當企業組織需要在地端資料中心內建構及部署「虛擬桌面基礎結構」(Virtual Desktop Infrastructure,VDI)時,只能在AzSHCI運作環境中建立多台VM虛擬主機並部署「遠端桌面服務」(Remote Desktop Services,RDS)來達成,如圖6所示,後續也只能由管理人員肩負VDI架構的維護和管理工作任務。
圖6 RDS遠端桌面服務運作架構示意圖。 (圖片來源:Remote Desktop Services (RDS) Architecture Explained | Microsoft Docs)
如果企業能夠接受及允許在Azure公有雲建構VDI虛擬桌面環境時,那麼可以透過「Windows虛擬桌面」(Windows Virtual Desktop,WVD)服務,由Azure公有雲部署和管理RDS遠端桌面服務中各項主要運作元件和角色,例如RD Session Host、RD Connection Broker、RD Gateway、RD Web Access等等,除了達到快速部署的目的外,也能輕鬆建構出具備高可用性的RDS遠端桌面服務運作架構,如圖7所示,更提供安全監控機制讓管理人員易於管理WVD虛擬桌面的安全性更新。
圖7 WVD虛擬桌面的RDS遠端桌面服務運作架構示意圖。 (圖片來源:Remote Desktop Services architecture | Microsoft Docs)
現在,Azure公有雲的WVD虛擬桌面服務已經新服務名稱為「Azure虛擬桌面」(Azure Virtual Desktop,AVD),並且提升規模支援至1,000台虛擬桌面的運作架構,更支援Windows 10/11 Enterprise Multi-Session機制,讓多位使用者能夠同時使用,如圖8所示,更重要的是,新版AzSHCI 21H2支援部署AVD虛擬桌面服務。
圖8 Azure虛擬桌面運作架構示意圖。 (圖片來源:適用於企業的Azure虛擬桌面-Azure Example Scenarios | Microsoft Docs)
因此,企業可以同時結合這兩項優點,在地端資料中心內的AzSHCI運作環境中直接部署AVD虛擬桌面,達到快速部署和輕鬆管理的目的,如圖9所示,因為VDI虛擬桌面運作在地端資料中心內,使用者也無須擔心網路傳輸速度的問題,達到「低延遲」(Low Latency)且快速傳輸和回應的目的,同時也解決資料必須儲存在Azure公有雲環境內的疑慮。
圖9 將AVD虛擬桌面部署至Azure Stack HCI超融合基礎架構示意圖。 (圖片來源:Azure Virtual Desktop for on-premises Azure Stack HCI + other hybrid updates)
具備高可用性的GPU集區
在AI人工智慧和ML機器學習當道的時代,當VM虛擬主機支援「圖形處理器」(Graphics Processing Units,GPUs)時,能夠在訓練模型時有效縮短整體時間。
在過去的AzSHCI運作架構中,雖然也支援GPU運作架構,但通常為一對一或一對多的GPU指派關係,在一般正常情況下運作並沒有任何問題。然而,當AzSHCI叢集節點主機發生災難事件時,由於VM虛擬主機移轉至不同台AzSHCI叢集節點主機,所以必須手動為每台使用GPU的VM虛擬主機重新指派GPU的對應關係才行。
新版AzSHCI 21H2運作環境中,已支援新式的「GPU集區」(GPU Pools)架構。首先,確認在AzSHCI叢集中的每台AzSHCI叢集節點主機,皆建立相同名稱的PCI Express資源集區,並且將配置的硬體GPU加入至GPU集區中,當GPU集區機制建立完成後,將特定的VM虛擬主機指派到GPU集區中,而非傳統一對一或一對多的指派到單個GPU,後續當AzSHCI叢集節點主機發生災難事件時,移轉並重新啟動的VM虛擬主機,便會在重新啟動時自動尋找並使用其他台AzSHCI叢集節點主機,加入至GPU集區的GPU資源,而無須管理人員手動為VM虛擬主機再次建立和指派GPU對應關係,如圖10所示。
圖10 GPU集區運作架構示意圖。 (圖片來源:OD141 - Learn everything about the new Azure Stack HCI feature update | Ignite 2021)
在新版AzSHCI 21H2運作環境中,管理人員可以透過WAC整合的「離散裝置指派」(Discrete Device Assignment,DDA),或稱「GPU傳遞」(GPU Pass-Through)機制,為AzSHCI叢集建立GPU集區,並指派給特定的VM虛擬主機使用,如圖11所示。
圖11 透過WAC建立GPU Pools並指派給特定的VM虛擬主機使用。 (圖片來源:使用GPU搭配叢集VM - Azure Stack HCI | Microsoft Docs)
支援精簡佈建
過去的AzSHCI版本僅支援「固定佈建」(Fixed Provisioned)方式,這表示管理人員在儲存集區建立磁碟區時,會預先配置並一次占用指派的儲存空間在儲存集區內,即便磁碟區未存放任何資料,其他磁碟區也無法使用這些被占用的儲存空間。
而新版AzSHCI 21H2運作環境,支援新式的「精簡佈建」(Thin Provisioning)機制,如圖12所示,在儲存集區建立磁碟區時,不會預先配置並占用指派的所有儲存空間,而是當磁碟區開始新增和異動資料時,儲存空間才會開始成長,並且當刪除資料時也會自動減少儲存空間,達到彈性運用和「超量佈建」(Over-Provisioned)的目的。例如,當儲存集區總共只有1TB儲存空間,但卻可以建立五個支援新式精簡佈建且1TB大小的磁碟區,讓儲存空間彈性應用最大化。但須注意的是,雖然支援超量使用儲存空間,但上述舉例中仍須注意整體儲存空間僅有1TB而非5TB。
圖12 固定佈建和精簡佈建差異比較示意圖。 (圖片來源:儲存體Azure Stack HCI中的精簡布建-Azure Stack HCI | Microsoft Docs)
新版AzSHCI 21H2的精簡佈建,支援所有磁碟區類型,例如Two-way Mirror、Three-way Mirror、Mirror Accelerated Parity等等,並且在儲存集區使用容量達到「70%」時,如圖13所示,可以在WAC管理介面中顯示告警訊息,提醒管理人員應該為儲存集區加入更多儲存空間,或是刪除老舊和不必要的資料以釋放更多儲存空間。另外,管理人員可依據需求調整告警通知百分比,例如由預設的70%調整為85%。
圖13 儲存集區使用量達70%提醒擴充儲存空間示意圖。 (圖片來源:儲存體Azure Stack HCI中的精簡布建-Azure Stack HCI | Microsoft Docs)
同時管理多個AzSHCI叢集
很多企業和組織在世界各地都會有分公司,即便僅在台灣,也會有多個分公司據點的需求,這些分公司雖然無須太多基礎架構,但也需要運作少量的VM虛擬主機和基礎服務,例如分公司當地的檔案伺服器、印表伺服器等等。同時,在AzSHCI叢集運作架構中,最少只要「二台」AzSHCI叢集節點主機即可建構,所以非常符合分公司少量資源的部署需求。
然而,當總公司的IT管理人員為數量眾多的分公司建立許多小型AzSHCI叢集後,如何有效監控及管理便是一大難題。因此當建構AzSHCI叢集並連接及註冊至Azure環境後,便能在Azure Portal中同時監控和管理眾多AzSHCI叢集,如圖14所示。
圖14 透過Azure Portal同時監控和管理數量眾多的AzSHCI叢集。 (圖片來源:OD141 - Learn everything about the new Azure Stack HCI feature update | Ignite 2021)
管理人員只要透過幾個簡單的步驟,即可達成在Azure Portal統一監控和管理AzSHCI叢集的目的。首先,在AzSHCI叢集中為每台AzSHCI叢集節點主機安裝Azure Arc的MMA(Microsoft Monitoring Agent),MMA收集AzSHCI叢集節點主機的運作狀態和日誌,傳送到連接和註冊的Azure訂閱帳戶中的Log Analytics工作區,透過Insights解決方案提供查詢和視覺化的圖形儀表板,最後便能在Azure Monitor頁面中監控和管理多個AzSHCI叢集,如圖15所示。
圖15 同時管理多個AzSHCI叢集機制運作架構示意圖。 (圖片來源:OD141 - Learn everything about the new Azure Stack HCI feature update | Ignite 2021)
部署Windows Server 2022 Azure Edition至AzSHCI
如前所述,預設情況下,Windows Server 2022 : Azure Edition雲端作業系統只能運作在Azure公有雲環境中。然而,新版AzSHCI已經透過Azure權益機制,支援運作在企業和組織地端資料中心內的AzSHCI叢集中。接下來,將實戰演練此部分。
啟用Azure權益
首先,必須確認AzSHCI叢集已建立完成,並且透過WAC管理介面可順利連結至AzSHCI叢集。接著,在WAC管理介面中依序點選「AzSHCI Cluster > Settings > Azure Stack HCI > Azure benefits」項目,即可啟用Azure權益。值得注意的是,必須先將AzSHCI叢集註冊至企業組織的Azure訂閱帳戶內,才能啟用Azure權益機制,否則會顯示無法順利啟用Azure權益的錯誤訊息,如圖16所示。
圖16 必須先將AzSHCI叢集進行註冊後,才能順利啟用Azure權益機制。
順利完成AzSHCI叢集的註冊動作後,如圖17所示,可以透過WAC管理介面或是PowerShell指令,針對指定的AzSHCI叢集啟用Azure權益機制。
圖17 將AzSHCI叢集註冊和連結至企業及組織的Azure訂閱帳戶。
由於為AzSHCI叢集啟用Azure權益機制時,除了必須採用AzSHCI 21H2版本外,至少還要安裝2021年12月的KB5008223更新或後續版本,才能順利為AzSHCI叢集啟用Azure權益機制,否則在嘗試啟用Azure權益時,系統將會顯示「Install the latest updates and the refresh this page」錯誤訊息,並提醒管理人員必須先為AzSHCI叢集安全最新更新後再繼續。
當前置條件都滿足後,即可透過WAC管理介面,在Azure benefits頁面中按下〔Turn on〕按鈕,或在PowerShell視窗中執行「Enable-AzStackHCIAttestation」指令,即可輕鬆為AzSHCI叢集啟用Azure權益機制。預設情況下,系統會為AzSHCI叢集中所有的VM虛擬主機啟用Azure權益,當然管理人員也可以一開始不全部啟用,後續再針對個別VM虛擬主機手動進行啟用。
順利啟用Azure權益機制後,可以在WAC管理介面中依序點選「AzSHCI Cluster > Settings > Azure Stack HCI > Azure benefits」,如圖18所示,或者執行「Get-AzureStackHCI」指令,查詢AzSHCI叢集的Azure權益啟用狀態,確保AzSHCI叢集中的每一台節點主機在Azure benefits欄位為「Active」狀態,即表示AzSHCI叢集節點主機順利取得IMDS簽署證明,屆時VM虛擬主機中的作業系統需要驗證運作環境是否來自Azure時,便能夠順利通過驗證程序。
圖18 透過WAC管理介面確認AzSHCI叢集是否順利啟用Azure權益。
管理VM虛擬主機的Azure權益存取權
預設情況下,在啟用Azure權益時,會針對AzSHCI叢集上所有的VM虛擬主機啟用Azure權益,倘若預設未全部啟用,或者後續新增需要Azure權益機制的VM虛擬主機,或是管理人員想要取消某些VM虛擬主機的Azure權益時,都可以透過WAC管理介面或PowerShell指令完成。
在本文實作環境中目前AzSHCI叢集共有3台VM虛擬主機皆未套用Azure權益存取權,這些VM虛擬主機在「VM benefits status」欄位為「Off」,只要選取VM虛擬主機後點選「Turn on Azure benefits for VMs」,即可為選取的VM虛擬主機套用Azure權益存取權,套用成功後,VM虛擬主機將會移至下方「VMs with Azure benefits」區塊中,並且VM benefits status欄位顯示為「On」狀態,如圖19所示。
圖19 為特定的VM虛擬主機套用Azure權益存取權。
當然,也可以透過PowerShell的「Add-AzStackHCIVMAttestation -VMName 」指令,為特定的VM虛擬主機套用Azure權益存取權,或是執行「Add-AzStackHCIAttestation -AddAll」指令,一次性地為AzSHCI叢集中所有的VM虛擬主機套用Azure權益存取權。
同樣地,當管理人員需要取消VM虛擬主機的Azure權益存取權時,只要選取該台VM虛擬主機後點選「Turn off Azure benefits for VMs」,便會取消VM虛擬主機的Azure權益存取權。
取消作業完成後,該台VM虛擬主機將會移至上方「VMs without Azure benefits」區塊內,並且VM benefits status欄位顯示為「Off」狀態,如圖20所示。
圖20 為特定的VM虛擬主機取消Azure權益存取權。
當然,也可以透過PowerShell的「Remove-AzStackHCIVMAttestation -VMName 」指令,為特定的VM虛擬主機取消Azure權益存取權,或是執行「Remove-AzStackHCIVMAttestation -RemoveAll」指令,一次性為AzSHCI叢集中所有的VM虛擬主機套用Azure權益存取權。
管理AzSHCI叢集節點主機的Azure權益
預設情況下,一旦AzSHCI叢集順利啟用Azure權益機制,並確保AzSHCI叢集節點主機狀態為「啟用」(Active)後,便無須擔心AzSHCI叢集節點主機狀態,因為系統會自動排程同步至最新狀態。
值得注意的是,企業地端資料中心的AzSHCI叢集若發生網路中斷情況或其他因素,導致AzSHCI叢集未與Azure同步「超過30天」時,那麼在Azure benefits頁面中的AzSHCI叢集節點主機狀態,將會轉變為「過期」(Expired)或「未啟用」(Inactive)。
此時,可以點選「Sync with Azure」,如圖21所示,或執行PowerShell「Sync-AzureStackHCI」,手動為AzSHCI叢集和AzSHCI叢集節點主機與Azure進行同步。
圖21 手動為AzSHCI叢集和AzSHCI叢集節點主機同步Azure權益狀態。
結語
透過本文的深入剖析及實戰演練,相信管理人員對於新版Azure Stack HCI 21H2超融合基礎架構有哪些亮眼新功能可以幫助企業和組織已了然於胸,無論是在人工智慧(AI)、機器學習(ML)或是虛擬桌面基礎架構(VDI)上,都能夠滿足需求,最後實作演練啟用和整合Azure權益,讓原本只能運作在Azure公有雲的Windows Server 2022 : Azure Edition,也能運作在地端資料中心內。
<本文作者:王偉任,Microsoft MVP及VMware vExpert。早期主要研究Linux/FreeBSD各項整合應用,目前則專注於Microsoft及VMware虛擬化技術及混合雲運作架構,部落格weithenn.org。>