在 Azure 中实现 SMA OpCon 环境
本文介绍 Azure 中实现的两个 OpCon 选项。 OpCon Cloud 是 SMA 设置和管理的托管 OpCon 实现。 OpCon 数据中心是设置和管理的云安装。
查看这两个选项以确定哪种方法最适合你的方案。
体系结构:OpCon Cloud
以下体系结构关系图显示了一个 OpCon Cloud 环境,该环境使用 Azure SQL 数据库满足数据库要求。 可以在 Azure 环境或混合环境中部署 OpCon 环境。
此实现使用单个虚拟网络和多个子网来支持各种功能。 网络安全组 (NSG) 筛选虚拟网络中 Azure 资源之间的网络流量。
下载此体系结构的 Visio 文件。
工作流:OpCon Cloud
在你管理的 Azure Kubernetes 服务 (AKS) 群集中部署 OpCon 核心服务容器。 PersistentVolumes (Azure 文件 CSI 存储驱动程序)存储日志和配置信息,以确保在容器重启时保持数据持久性。
OpCon 核心服务通过配置的 Azure 专用终结点连接到 OpCon 数据库,该终结点提供对 SQL 数据库服务器的安全访问。
OpCon 核心服务与安装在虚拟网络环境中的虚拟机(VM)上的 OpCon 代理通信。 这些服务还通过中继组件与本地系统通信。
同样,OpCon 核心服务与虚拟网络环境中的应用程序 REST API 终结点直接通信。 这些服务还通过中继组件和 无连接 系统与本地系统通信。
OpCon 核心服务提供解决方案管理器,它是与整个 OpCon 环境交互的基于 Web 的用户界面。
NSG 限制子网之间的流量流。
OpCon 数据库对象和数据安装在通过专用终结点访问的 SQL 数据库服务器中。
OpCon 核心服务通过 OpCon 连接器技术与 Azure 存储交互。 此集成提供管理 Azure Blob 存储的功能。 OpCon 托管文件传输(MFT)还支持与存储交互。
应用程序子网包括提供应用程序基础结构的 VM。 还可以在多个子网或虚拟网络中安装应用程序服务器,为 Web 服务器、应用程序服务器或其他系统创建单独的环境。
应用程序 VM 或本地旧系统需要连接到 OpCon 核心服务来管理其工作负荷。 提供 REST API 终结点的应用程序不需要额外的软件。
子网包括 OpCon MFT 服务器。 此 OpCon 组件为企业提供完整的文件传输功能,例如压缩、加密、解密、解压缩、文件监视和自动文件路由。
NSG 限制子网之间的流量流。
混合环境需要 Internet 连接才能将本地环境链接到 OpCon Cloud 实例。
OpCon 中继是管理本地代理的软件组件。
OpCon Cloud 和中继之间的链接通过 WebSocket 使用标准加密协议。
代理配置在 OpCon 环境中定义一次,然后推送到指定的中继组件。
中继收到其配置后,它会建立与本地 OpCon 代理的连接,并将其状态报告给 Azure 中的 OpCon 环境。 传入和传出代理的消息通过定义的连接传递。
还可以在中继环境中安装 无连接 代理。
所有用户请求通过 Internet 连接路由到 OpCon 核心服务环境。
用户与 OpCon 解决方案管理器进行交互,这是以下工具的基于 Web 的用户界面:
- OpCon 管理
- OpCon MFT 管理
- OpCon 工作流开发、实现和监视
- OpCon 自助服务
- OpCon 视觉(任务仪表板)
- OpCon MFT 中央应用程序(仪表板和查询应用程序)
OpCon 核心服务通过中继与本地系统上安装的 OpCon 代理通信。
同样,OpCon 核心服务使用中继通过 REST API 终结点直接与本地系统通信。 此方法使用基于 REST API 的连接选项。
方案详细信息
OpCon Cloud 是一个 Azure 安装的 OpCon 版本,SMA 设置和管理,包括软件升级和监视服务。 可以购买更多服务来帮助创建工作流。
此示例体系结构在 Azure 中运行 SMA 的 OpCon Cloud 环境。 它充当单个自动化控制点,用于在本地和 Azure 中跨企业自动执行工作流。 OpCon 有助于企业中的所有服务器和系统之间的工作流。 OpCon 计划活动监视器(SAM)是核心 OpCon 模块。 它与目标系统上的代理通信,以计划任务、监视任务和接收外部事件。 这些代理可以跨许多平台部署,包括 Windows、Linux/Unix、Unisys ClearPath Forward 大型机(MCP 和 2200)、IBM z/OS 和 IBM AIX,它将所有系统引入统一的自动化框架。
OpCon 中继通过单个接触点将本地系统与 OpCon Cloud 环境连接。 此功能无需 Azure VPN 连接。
无连接代理平台可以在 OpCon 云系统和 REST API 实现之间提供直接连接。 不需要额外的容器来支持与应用程序的连接。
本地服务器连接到中继软件组件。 可以在本地环境中安装多个中继组件。 OpCon 环境通过使用 AKS 和 SQL 数据库服务器在 Kubernetes 群集中部署。
体系结构:OpCon 数据中心
如果需要更多控制,可以在 Azure 环境中自行安装和管理 OpCon。 可以设计混合云和本地基础结构,也可以设计仅限云的基础结构。
可以从 Docker 中心获取 OpCon 软件作为 Docker 映像。 使用 AKS 和 SQL 数据库服务器在 Kubernetes 群集中部署 OpCon 环境。
以下示例体系结构使用 Kubernetes 配置在 Azure 中运行 SMA 的 OpCon。 它使用站点到站点 VPN 网关安全地连接云基础结构和本地基础结构。 此实现使用单个虚拟网络和多个子网来支持各种功能。 NSG 筛选虚拟网络中 Azure 资源之间的网络流量。
工作流:OpCon 数据中心
在管理的 AKS 群集中部署 OpCon 核心服务容器。 PersistentVolumes (Azure 文件 CSI 存储驱动程序)存储日志和配置信息,以确保在容器重启时保持数据持久性。
OpCon 核心服务通过配置的 Azure 专用终结点连接到 OpCon 数据库,该终结点提供对 SQL 数据库服务器的安全访问。
OpCon 核心服务与虚拟网络环境中的 VM 上安装的 OpCon 代理通信。 这些服务还通过虚拟网络网关与本地系统通信。
同样,OpCon 核心服务与虚拟网络环境中的应用程序 REST API 终结点直接通信。 这些服务还使用 REST API 连接选项通过虚拟网络网关与本地系统通信。
OpCon 核心服务提供解决方案管理器,它是与整个 OpCon 环境交互的基于 Web 的用户界面。
NSG 限制子网之间的流量流。
OpCon 数据库对象和数据存储在配置为通过专用终结点进行通信的 SQL 数据库中。
OpCon 核心服务通过 OpCon 连接器技术与存储交互。 此集成提供管理 Blob 存储的功能。 OpCon MFT 还支持与存储交互。
应用程序子网包括提供应用程序基础结构的 VM。 还可以将应用程序服务器安装到多个子网或虚拟网络中,为 Web 服务器、应用程序服务器或其他系统创建单独的环境。
应用程序 VM 或本地旧系统需要连接到 OpCon 核心服务来管理其工作负荷。 提供 REST API 终结点的应用程序不需要额外的软件。
子网包括 OpCon MFT 服务器。 此 OpCon 组件为企业提供完整的文件传输功能,例如压缩、加密、解密、解压缩、文件监视和自动文件路由。
NSG 限制子网之间的流量流。
在此混合环境中,网关子网通过站点到站点 VPN 隧道连接在本地环境和 Azure 环境之间提供安全连接。
网关在 Azure VPN 网关和本地 VPN 设备之间使用 IPsec/IKE 建立安全的站点到站点 VPN 连接。 在 Azure 与本地网络之间传递的所有数据都在此专用隧道中加密,因为它通过 Internet 传输。
本地网络网关表示本地环境中隧道对面的网关。 此网关包含建立和维护隧道连接所需的配置信息。
所有用户请求都通过 VPN 网关连接到 OpCon 核心服务环境进行路由。
用户与 OpCon 解决方案管理器进行交互,这是以下工具的基于 Web 的用户界面:
- OpCon 管理
- OpCon MFT 管理
- OpCon 工作流开发、实现和监视
- OfCon 自助服务
- OpCon 视觉(任务仪表板)
- OpCon MFT 中央应用程序(仪表板和查询应用程序)
OpCon 核心服务通过虚拟网络网关与本地系统上安装的 OpCon 代理通信。
同样,OpCon 核心服务使用虚拟网络网关通过应用程序 REST API 终结点直接与本地系统通信。 此方法使用基于 REST API 的连接选项。
方案详细信息
OpCon 数据中心是 OpCon 的本地版本。 安装和管理所有软件。 此示例体系结构使用 Kubernetes 配置在 Azure 中运行 SMA 的 OpCon。 它充当单个自动化控制点,用于在本地和 Azure 中跨企业自动执行工作流。 OpCon 有助于企业中的所有服务器和系统之间的工作流。 OpCon SAM 是核心 OpCon 模块。 它与目标系统上的代理通信,以计划任务、监视任务和接收外部事件。 你可以跨许多平台(包括 Windows、Linux/Unix、Unisys ClearPath Forward 大型机(MCP 和 2200)、IBM z/OS 和 IBM AIX 部署这些代理,这将将所有系统引入统一自动化框架。
在 OpCon Cloud 和 OpCon 数据中心之间进行选择
OpCon Cloud 是 SMA 在 SMA Azure 环境中提供的托管服务。 SMA 处理环境管理,通过 OpCon 数据库备份和灾难恢复功能(包括故障转移到单独的区域)确保业务连续性。 SMA 还提供作为服务的一部分的软件升级。
OpCon 数据中心是可在本地或本地云环境中安装的 OpCon 解决方案。
如果以后想要利用 SMA 服务产品/服务,则可以从 OpCon 数据中心无缝过渡到 OpCon Cloud。
组件
AKS 群集 是托管环境,可简化使用 Kubernetes 的部署、管理和缩放容器化应用程序。
在 OpCon 云体系结构中,OpCon 核心服务部署在 AKS 群集中,以确保容器化工作负载的高效管理和可伸缩性。 AKS 群集中的 PersistentVolumes 提供存储,Azure 专用终结点建立安全数据库连接以维护数据完整性。
Azure 虚拟机 提供虚拟化的灵活性,而无需购买和维护运行它的物理硬件。 Windows 和 Linux 都支持 Azure VM。
这些体系结构使用 Azure VM 托管与 OpCon 核心服务通信的 OpCon 代理,以便进行工作负荷管理。
Azure 虚拟网络 是 Azure 中专用网络的基本构建基块。 虚拟网络使许多类型的 Azure 资源(例如 Azure VM)能够安全地相互通信、Internet 和本地网络。
在这些体系结构中,虚拟网络支持用于不同函数的多个子网,并使用 NSG 筛选流量。
Azure 网络接口卡 使 Azure VM 能够与 Internet、Azure 和本地资源通信。
在这些体系结构中,网络接口卡使 VM 能够在虚拟网络中与外部资源进行通信,从而提高安全性和性能。 它们还通过分发流量并确保服务连续性来支持高可用性和负载均衡。
Azure 文件 在云中提供完全托管的文件共享,可通过行业标准服务器消息块 (SMB) 协议进行访问。 无论是在云中还是本地运行,都可以在 Windows、Linux 和 macOS 系统上同时装载 Azure 文件共享。
在 OpCon 云体系结构中,OpCon 核心服务将事务记录(如财务记录或销售记录)存储在 Blob 存储中,用于安全且可缩放的存储。 核心服务还使用 MFT 自动将这些文件安全传输到各部门。 此集成增强了数据安全性、可靠性和运营效率。
SQL 数据库 是云的完全托管的关系数据库服务。 它为单一数据库或弹性池提供高可用性、可伸缩性和内置智能。
SQL 托管实例 是云中完全托管的 SQL Server 实例,与本地 SQL Server 几乎完全兼容。
在这些体系结构中,OpCon 数据库托管在 SQL 数据库实例中,并通过专用终结点进行访问。 OpCon 后端可以使用 SQL 数据库或 SQL 托管实例来管理 OpCon 条目。
OpCon 是一个企业级工作负载自动化和业务流程平台,使组织能够通过集中式控制和自助服务接口跨混合环境计划、监视和管理 IT 流程。
在这些体系结构中,OpCon 核心服务与虚拟网络中的代理和 REST API 终结点通信。
OpCon Cloud 是 Azure 中部署的 OpCon 自动化平台的完全托管的云托管版本。
在 OpCon 云体系结构中,OpCon Cloud 在本地和 Azure 中自动执行企业中的工作流。 OpCon 实例在 Kubernetes 副本集内的 Linux 容器中运行,SQL Server 充当 OpCon 数据库。 虚拟网络是专用且安全的。
OpCon 自助服务 是一种基于 Web 的实现,允许用户运行按需任务,通常可以选择在 OpCon 环境中输入参数。
这些体系结构使用 OpCon 自助服务为任务实现和监视提供用户界面。
OpCon Vision 提供用于监视 OpCon 任务的仪表板。 它显示了跨所有流的任务的逻辑表示形式。 任务是使用标记分组的,每个组表示所有关联的任务。 出现问题时,可以从仪表板向下钻取到失败的任务。
这些体系结构使用 OpCon Vision 为任务组设置服务级别目标(SLO)值,并在 SLO 值即将超过时提供预警。
OpCon MFT 可在 OpCon 环境中实现安全的托管文件传输。 它集成了专用 MFT 代理和文件传输服务器,以提供企业范围的文件传输和监视功能。
这些体系结构使用 OpCon MFT 来支持压缩、解压缩、加密、解密、文件监视和自动文件路由。 例如,区域医疗保健提供商可能会处理每日保险索赔,并需要使用不同的格式、加密要求和交付方法安全地将文件发送到多个保险合作伙伴。 OpCon MFT 有助于减少错误、确保加密并提供灵活性。
替代方案
以下部分介绍了实施解决方案时要考虑的替代方案。
组件放置
VM 和 OpCon 数据库的放置非常灵活。
应用程序子网可以包括应用程序 VM。 还可以在多个子网或虚拟网络中安装应用程序服务器。 如果要为不同类型的服务器(例如 Web 服务器和应用程序服务器)创建单独的环境,请使用此方法。
可以将数据库放置在 OpCon 子网内部或外部。
SQL 托管实例
可以使用 SQL 托管实例作为 OpCon 数据库,而不是使用 SQL 数据库。 可以在 OpCon 子网中安装 SQL 托管实例。 或者,可以在单独子网中安装托管实例,该子网专用于现有虚拟网络中的 SQL 托管实例。
Azure ExpressRoute
可以使用 Azure ExpressRoute(通过连接提供商建立)连接到Microsoft全局网络,而不是使用 VPN 网关和站点到站点 VPN 隧道。 ExpressRoute 连接不会绕过公共 Internet。
ExpressRoute 适用于运行需要高度可伸缩性和复原能力的大规模任务关键型工作负荷的混合应用程序。
AKS 配置
部署的 OpCon 环境由单个副本集和 Azure SQL 数据库中的两个 Pod(OpCon 和 Impex)组成。 负载均衡器控制对 Pod 的访问。 负载均衡器将外部地址和端口映射到内部 REST API 服务器终结点。
下图显示了配置要求以及 Kubernetes YAML 文件中各种定义之间的关系。
种类:机密(dbpasswords)
dbpasswords 机密包含连接到 OpCon 数据库所需的数据库密码。
种类:ConfigMap (opcon)
opcon ConfigMap 包含 OpCon REST API 信息、时区、语言和 OpCon 数据库信息,例如地址、数据库名称和数据库用户。
种类:ConfigMap (impex)
impex ConfigMap 包含 Impex REST API 信息和 OpCon 数据库信息,例如地址、数据库名称和数据库用户。
种类:PersistentVolumeClaim (impexlog)
impexlog PersistentVolumeClaim 包含与 Impex 环境关联的日志文件。
种类:PersistentVolumeClaim (opconlog)
opconlog PersistentVolumeClaim 包含与 OpCon 环境关联的日志文件。
类型:PersistentVolumeClaim (opconconfig)
opconconfig PersistentVolumeClaim 包含各种 .ini 文件和 OpCon 许可证文件。
种类:ReplicaSet (opcon)
opcon 和 impex 容器定义引用以前定义的机密、ConfigMaps 和 PersistentVolumeClaim 定义。
类型:服务(LoadBalancer)
LoadBalancer 服务定义 OpCon 和 Impex REST API 服务器内部 REST API 端口到外部地址和端口的映射。
可能的用例
全球金融公司自动执行安全文件传输,以确保及时处理日常财务报告。
零售公司集中 IT 运营控制以提高效率。
全国零售连锁店使用批量计划自动进行夜间库存对帐,确保报表在工作日开始时准备就绪。
企业 IT 团队构建自助服务工作流,以减少对管理员访问权限的依赖并增强员工的能力。
医疗保健提供商协调服务器修补程序部署,以帮助确保合规性。
保险公司使用 OpCon 工作流自动执行Microsoft修补程序星期二更新,这有助于确保及时合规。
软件开发团队自动执行 Azure 资源管理以优化云支出。
企业使用 OpCon 的集中式接口监视工作流和服务器状态,从而提高服务级别协议的遵守性。
HR 自动载入,将载入时间从小时缩短到几分钟。
物流公司跟踪发货事件。 OpCon 监视特定数据库条目,并自动触发下一个工作流,例如发票生成、电子邮件警报或更新。
注意事项
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改进工作负荷质量的指导原则。 有关详细信息,请参阅 Well-Architected Framework。
可靠性
可靠性有助于确保应用程序能够履行对客户的承诺。 有关详细信息,请参阅可靠性设计评审核对清单。
OpCon Cloud 可降低基础结构和维护成本,同时提供始终启用解决方案的安全性和可靠性。 它还提供从计划外系统中断或灾难中快速恢复。 OpCon 具有自己的内置复原能力。 或者,可以使用 Azure Site Recovery 来维护 OpCon 环境的副本,以便在灾难恢复情况下使用。
对于 AKS 中的 Azure 文件 CSI 驱动程序,建议使用Premium_LRS层。 此层提供本地冗余存储,以确保数据在单个物理位置内复制。 它还提供高性能和低延迟,因此它适合需要快速可靠的存储的工作负载。
对于灾难恢复,如果需要严格的恢复时间目标(RTO)和恢复点目标(RPO)符合任务关键型系统,OpCon 可以提供自动化业务流程。 在数据中心中断或网络事件期间,可以使用 OpCon 自动执行整个灾难恢复 playbook。 此方法可确保正常关闭主站点工作负荷,并启动到灾难恢复站点或云环境的故障转移序列。 此过程包括重新映射存储、重新建立数据库连接和执行验证检查。
此方法提供以下好处:
- 通过最少人工干预实现更快、更可靠的恢复
- 定期灾难恢复测试,而不会中断生产系统
- 法规合规性保证
- 缩短停机时间
安全
安全性提供针对故意攻击和滥用宝贵数据和系统的保证。 有关详细信息,请参阅可靠性设计审查检查表。
OpCon Cloud 配置不需要出站连接,因为中继应用管理这些连接。 中继应用使用 TLS 1.3 进行安全通信。
AKS 配置捕获并加密所需的密码。 不支持工作负荷标识。
OpCon 数据中心配置使用网关子网仅路由授权流量,在安全性中构建。 若要使 OpCon 环境中的所有目标系统保持最新漏洞修补程序,可以使用 OpCon 自动化来更新安全修补程序。 有关详细信息,请参阅 Azure 的安全基线。
成本优化
成本优化侧重于减少不必要的开支和提高运营效率的方法。 有关详细信息,请参阅成本优化设计评审核对清单。
OpCon 工作负荷自动化可减少手动步骤,以确保每次迭代提高效率的一致工作流。 此功能有助于防止人为错误和手动数据输入,从而节省重新运行所花费的时间和资源。 有关更多示例,请参阅 什么是工作负荷自动化?
卓越运营
卓越运营涵盖了部署应用程序并使其在生产环境中保持运行的运营流程。 有关详细信息,请参阅设计卓越运营的审查清单。
OpCon 提供企业功能和可伸缩性,无需复杂性或成本。 它简化了手动任务的自动化,并跨业务关键型作无缝协调工作负荷。 它可帮助你减少人为错误、节省时间,并允许 IT 团队专注于战略计划。
对于 OpCon Cloud,SMA 设置、部署和管理 OpCon 环境。 这些任务包括容器生命周期管理和灾难恢复选项,可节省时间并减少错误。
性能效率
性能效率是指工作负荷能够高效地缩放以满足用户需求。 有关详细信息,请参阅性能效率设计评审核对清单。
可以使用 OpCon 来监视工作负荷,并使用 Azure 动态缩放资源。 可以在高需求期间增加资源,也可以在非高峰期关闭资源。
供稿人
Microsoft维护本文。 以下参与者撰写了本文。
主要作者:
- 伯蒂·范欣斯伯格 |首席自动化顾问
其他参与者:
- Philip Brooks | 高级项目经理
若要查看非公开的LinkedIn个人资料,请登录LinkedIn。
后续步骤
有关此解决方案的详细信息:
- 请联系 旧版迁移工程团队。
- 请联系 SMA。 SMA Technologies 是 IT 自动化领域的Microsoft黄金级合作伙伴。