Azure Proposal Toolbox

Trong những năm vừa qua làm việc với tư cách Solution Architect cho Azure Cloud, tôi tổng hợp lại tập các câu hỏi và lĩnh vực thường xuyên phải trả lời, bạn có thể tìm thấy trong bài viết này các nguồn tư liệu tham khảo tôi dùng để làm proposal hoặc giải đáp lo ngại khách hàng khi chọn datacenter on Azure.

* Update: Dec 11, 2017
* Dịch từ blog của Arnaud – CSA và cập nhật phù hợp với thị trường Việt Nam

Networking và connectivity

Khi thiết kế giải pháp chạy trên Azure thì phần lớn trường hợp sẽ sử dụng Virtual Network, bạn có thể sử dụng phương thức kết nối tới:

  • Datacenter của bạn thông qua IPsec VPN: bạn sử dụng đường truyền Internet để truyền các IPsec packets được mã hóa. Phần đường truyền Internet (cung cấp bơi FPT, Viettel, VNPT…) thì do nhà mạng đảm bảo SLA, nhưng phần IPsec gateway thì Microsoft đảm bảo 99.95% SLA và tốc độ tối đa 1 Gbps
  • Datacenter của bạn thông qua ExpressRoute: đây là đường private connection, đảm bảo SLA từ nhà mạng là 99.95% và tốc độ tối đa 10 Gbps. Nối từ DC ở Saigon đến Singapore đảm bảo nhanh hơn từ Saigon đến Hà Nội ^^, tội giá cũng “chát” lắm.
  • Datacenter của bạn thông qua ExpressRoute_Mini (* bổ sung cho Vietnam market): ExpressRoute cung cấp băng thông rất lớn, có thể ứng dụng hiện tại của bạn chỉ yêu cầu đường private conn khoảng 10 Mbps vậy trả tiền cho đường 1 Gbps là lãng phí. Vậy nên có hãng thứ 3 – như 1cloudstar – đứng ra thuê đường ExpressRoute đến Việt Nam rồi sau đó chia nhỏ ra cho thuê lại với giá rẻ hơn.

  • Internet qua Public IP: public IP endpoint hỗ trợ HA, load balancing nếu cần, còn được bảo vệ khỏi DoS. Nếu cần thêm các Network Virtual Appliances thì có thể tích hợp các giải pháp của hãng khác (vd: Barracuda, F5) ngay trong marketplace. Ngoài ra, nếu cần WAF (web app firewall) as a Service, thì có thể dùng Azure Application gateway để bảo vệ khỏi tấn công thường gặp như SQL injection, cross-site scripting attacks, và session hijacking

Nguồn:

High availability, Disaster Recovery và SLA

Khi xây dựng giải pháp trên Azure, bạn cần chọn vùng sẽ lưu trữ dữ liệu của mình (hiện tại có 42+ regions, và 100+ datacenters), ở chế độ mặc định thì dữ liệu sẽ được replicated ở 3 ổ đĩa trong cùng 1 DC (locally redundant storage), còn chế độ cao cấp hơn tý thì dữ liệu sẽ được replicated đến các vùng khác, ví dụ 1 bản ở Singpore, 1 bản ở Hongkong, 1 bản ở Japan, đảm bảo động đất làm sập DC ở Singapore thì vẫn còn 2 bản backkup ở Hongkong và Japan.

Với VM thì high availability:

  • Regionally:
    • Với single instance VM (1 VM duy nhất) sử dụng premium storage thì Microsoft cam kết SLA là 99.9%
    • Với 2 VM trở lên được triển khai trong 1 Availability Set thì Microsoft cam kết SLA là 99.95%

  • Cross-regions: có thể tăng high availability lên bằng cách dựng 1 secondary site / DR site ở 1 region khác. Dữ liệu được replicated ở application-level hoặc Azure Site Recovery, sau đó load balancing sử dụng Traffic Manager

Lưu ý, Microsoft cam kết SLA là có chính sách đến bù nếu không đạt SLA rõ ràng nhé, ví dụ VM mà monthly uptime < 95% được credit lại 100%. Tham khảo link ở bảng dưới.

SLA cho các dịch vụ thường dùng trên Azure:

VM For all Virtual Machines that have two or more instances deployed in the same Availability Set, we guarantee you will have Virtual Machine Connectivity
to at least one instance at least 99.95% of the time.For any Single Instance Virtual Machine using premium storage for all Operating System Disks and Data Disks, we guarantee you will have Virtual
Machine Connectivity of at least 99.9%.
Storage We guarantee that at least 99.9% (99% for Cool Access Tier) of the time, we will successfully process requests to read data from Locally Redundant Storage (LRS), Zone Redundant Storage (ZRS), and Geo Redundant Storage (GRS) Accounts.
ExpressRoute We guarantee a minimum of 99.95% ExpressRoute Dedicated Circuit availability.
IPsec Gateway We guarantee 99.9% availability for each Basic Gateway for VPN or Basic Gateway for ExpressRoute.

We guarantee 99.95% availability for each Standard, High Performance, VpnGw1, VpnGw2, VpnGw3 Gateway for VPN.
We guarantee 99.95% availability for each Standard, High Performance, Ultra Performance Gateway for ExpressRoute.
Application Gateway We guarantee that each Application Gateway Cloud Service having two or more medium or larger instances will be available at least 99.95% of the time.
Azure Site Recovery For each Protected Instance configured for On-Premises-to-On-Premises Failover, we guarantee at least 99.9% availability of the Site Recovery service.

For each Protected Instance configured for On-Premises-to-Azure planned and unplanned Failover, we guarantee a two-hour Recovery Time Objective

BOM / Total Cost of Ownership

Về build BOM mình có 1 bài viết riêng về check list rồi. Bạn xem tại bài dưới.

Giờ liên quan đến việc giúp khách hàng so sánh việc để datacenter on Azure chi phí hơn gì so với đặt tại công ty hay tại local hosting providers (FPT, Viettel…) thông qua TCO. Microsoft đã xây dựng sẵn công cụ TCO calculator rồi nên công việc này cũng nhẹ nhàng hơn rất nhiều, có sẵn template với phương pháp luận chuẩn mực, bạn vào điền thông số thôi:

  • Chi phí cho hardware
  • Chi phí cho software
  • Chi phí điện
  • Chi phí thuê chỗ đặt
  • Chi phí cho ảo hóa
  • Chi phí nhân lực quản trị vận hành

Data security, isolation and confidentiality

Với các trường hợp datacenter migration, khách hàng thường quan tâm đến việc dữ liệu được bảo vệ như thế nào? dữ liệu được tách biệt so với các tài khoản Azure của khách hàng khác như nào? Làm như nào bảo vệ dữ liệu in-transit, at-rest và in-processing.

Bạn nên tham khảo tài liệu về getting started with Azure security tại đây https://docs.microsoft.com/en-us/azure/security/azure-security-getting-started

Data security cũng liên quan đến Backup, bạn có thể sử dụng

  • Azure Backup service
    • Backup cả VMs on Azure sử dụng tính năng có sẵn snapshot
    • Backup file / folder trên Windows Client & Server qua 1 agent cài tại chính máy đó
    • Backup 1 Linux/Windows VM ở on-prem/ hoặc các workload như Exchange, SharePoint, SQL Server
  • 3rd party solution sử dụng Azure Cool Storage hoặc Azure Archive Storage để lưu trữ backup (tiết kiệm hơn Azure hot storage bình thường)

Datacenter certifications & compliance

Azure gần như đáp ứng phần lớn yêu cầu về certifications & compliance mà bạn thấy các global hay local cloud provider khác có. Microsoft làm việc với rất nhiều tổ chức, ngành nghề, khối chính phủ để đảm bảo Azure phù hợp với phần lớn các tiêu chuẩn.
Nguồn:

Threat protection, detection and incident response

Khách hàng thắc mắc cách Microsoft bảo vệ các instance, cách Microsoft phản hồi lại các sự cố? Liệu Azure có bao gồm sẵn DoS protection và IDS/IPS? Khách hàng hay đối tác có thể làm penetration testing cho các giải pháp trên Azure không?

Có 1 dịch vụ rất tốt và đặc biệt có free tier để ai cũng dùng được đó là Azure Security Center.

Operations Excellence

Việc quản trị, vận hành hệ thống trên Azure như thế nào? Làm như nào để phân quyền hay triển khai role-based access control (RBAC)?
Bạn có thể tích hợp Active Directory on-prem hiện tại với Azure Active Directory, sau đó quản lý hay ủy quyền truy cập qua RBAC. Bạn cũng có thể sử dụng các tính năng nâng cao của Azure
Active Directory Premium như Just in-time admin.
Nguồn:
Bạn có thể tham khảo thêm các reference architecture on Azure tại đây https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/. Và download các icon để tiện cho việc design hệ thống sử dụng Azure tại đay https://www.microsoft.com/en-us/download/details.aspx?id=41937
Tạm kết thúc ở đây, mọi người góp ý để hoàn thiện dần nhé.

KhoaPhiDang

Anh Phi Đăng Khoa là chuyên gia giải pháp tại Microsoft Việt Nam, đã có kinh nghiệm 4 năm phát triển dự án Azure từ IaaS đến PaaS, từ new development đến cloud migration. Đến với AzureVN.net, Khoa sẽ tập trung chia sẻ các kinh nghiệm làm việc về Cloud Transformation và Cognitive Computing trên nền tảng Azure.

khoa has 7 posts and counting.See all posts by khoa

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.