Odpojené operace pro Místní Azure (Preview)
Platí pro: Azure Local, verze 23H2, verze 2411 a novější
Tento článek popisuje odpojené operace a způsob jejich použití při nasazení a správě místního prostředí Azure.
Důležité
Tato funkce je aktuálně ve verzi PREVIEW. Podívejte se na doplňkové podmínky použití pro verze Preview Microsoft Azure.
Přehled
Odpojené operace pro Azure Local umožňují nasazení a správu místních instancí Azure bez připojení k veřejnému cloudu Azure. Tato funkce umožňuje sestavovat, nasazovat a spravovat virtuální počítače a kontejnerizované aplikace pomocí vybraných služeb s podporou Azure Arc z místní řídicí roviny a poskytuje známé prostředí Azure Portal a rozhraní příkazového řádku.
Proč používat odpojené operace?
Tady je několik scénářů spuštění Azure Local s odpojenými operacemi:
Suverenita a dodržování předpisů dat: V odvětvích, jako je státní správa, zdravotnictví a finance, je potřeba splnit požadavky na rezidenci dat nebo dodržování předpisů. Při odpojení zůstanou data a řízení v rámci určených organizačních hranic.
Vzdálená nebo izolovaná umístění: V oblastech s omezenou síťovou infrastrukturou, jako jsou vzdálené nebo chráněné oblasti, umožňují odpojené operace používat služby Azure Arc a spouštět úlohy bez nutnosti spoléhat se na připojení k internetu. Například olejové plošiny a výrobní závody.
Zabezpečení: Pro odvětví s přísnými požadavky na zabezpečení pomáhají odpojené operace snížit prostor pro útoky tím, že nevystavují systémy externím sítím.
Podporované služby
Odpojené operace pro Místní azure podporují následující služby:
| Služba | Popis |
|---|---|
| portál Azure | Poskytuje prostředí webu Azure Portal, které se podobá veřejné službě Azure. |
| Azure Resource Manager (ARM) | Správa a využití předplatných, skupin prostředků, šablon ARM a rozhraní příkazového řádku Azure (CLI). |
| Řízení přístupu na základě role (RBAC) | Implementujte RBAC pro předplatná a skupiny prostředků. |
| Spravovaná identita | Použijte spravovanou identitu přiřazenou systémem pro typy prostředků, které podporují spravovanou identitu. |
| Servery s podporou arc | Správa hostů virtuálních počítačů pro virtuální počítače Arc v místním prostředí Azure |
| Virtuální počítače Arc pro místní Azure | Nastavte a spravujte virtuální počítače s Windows nebo Linuxem pomocí funkce odpojených operací pro místní Azure. |
| Kubernetes s podporou arc (K8s) | Připojte a spravujte clustery Kubernetes Kubernetes (Cloud Native Computing Foundation) nasazené na místních virtuálních počítačích Azure, které umožňují jednotnou konfiguraci a správu. |
| Služba Azure Kubernetes Service povolená službou Arc pro místní Azure | Nastavení a správa Azure Kubernetes (AKS) v místním prostředí Azure |
| Správa místních zařízení Azure | Vytvářejte a spravujte místní instance Azure, včetně možnosti přidávat a odebírat uzly. |
| Container Registry | Vytváření a správa registrů kontejnerů pro ukládání a načítání imagí kontejnerů a artefaktů |
| Key Vault | Vytváření a správa trezorů klíčů pro ukládání tajných kódů a přístup k nim |
| Zásady | Při vytváření nových prostředků vynucujte standardy prostřednictvím zásad. |
Požadavky
Než začnete, ujistěte se, že zkontrolujete a použijete odpovídající hardware a požadavky pro místní Azure:
- Požadavky na systém pro Azure Local
- Ověřované uzly nebo vyšší najdete v místním katalogu Azure.
Další části obsahují podrobnosti o požadavcích na hardware, integraci a přístup pro provoz odpojených zařízení.
Požadavky na hardware
Virtuální zařízení pro odpojené operace běží v místních instancích Azure. Pokud chcete provozovat Azure Local s odpojenými operacemi, musíte pro virtuální zařízení naplánovat další kapacitu. Kromě toho musíte splnit vyšší minimální požadavky na hardware pro nasazení a provoz Azure Local s odpojenými operacemi, protože je hostitelem místní řídicí roviny.
Tento kontrolní seznam poskytuje minimální požadavky na hardware, které každý uzel potřebuje k podpoře odpojeného virtuálního zařízení. Při plánování kapacity byste měli počítat s dodatečnou kapacitou pro virtuální počítače nebo úlohy AKS.
| Specifikace | Minimální konfigurace |
|---|---|
| Minimální počet uzlů | 3 uzly |
| Minimální paměť na uzel | 64 GB |
| Minimální počet jader na uzel | 24 fyzických jader |
| Minimální úložiště na uzel | 2 TB SSD/NVME |
| Minimální úložiště spouštěcí jednotky | 480 GB SSD/NVME |
| Síť | Podporují se přepínání a přepínání: Důležité informace o síti pro cloudová nasazení místního Azure verze 23H2 Poznámka: Bezpínací konfigurace fungují pouze pro velikost clusteru se třemi uzly. |
Požadavky na integraci
Před zahájením procesu nasazení odpojeného provozu musíte provést integraci se stávajícími prostředky datacentra, které je potřeba předem nasadit a nakonfigurovat.
Následující tabulka uvádí požadavky na úspěšné nasazení a spuštění odpojených operací v místních instancích Azure.
| Plocha | Podporovaný systém | Používání |
|---|---|---|
| Identita | Služba AD FS (Active Directory Federation Service) ve Windows Serveru 2022. | Protokol LDAP (Lightweight Directory Access Protocol) poskytuje členství ve skupinách a synchronizaci. ADFS ověřuje uživatele na místním portálu Azure ke správě odpojených operací pomocí open-ID Connect (OIDC). Pro odpojené operace se vyžaduje služba Active Directory (AD). |
| Infrastruktura veřejných klíčů (PKI) | Podporují se privátní a veřejné infrastruktury veřejných klíčů. Pokud používáte veřejnou infrastrukturu veřejných klíčů, musí být koncové body seznamu odvolaných certifikátů (CRL) dostupné z vaší infrastruktury. Služba Active Directory Certificate Services (ADCS) se ověřila jako privátní řešení PKI. |
Vydávat certifikáty pro zabezpečení koncových bodů operací odpojených v Azure (TLS). |
| Volitelný protokol NTP (Network Time Protocol) | Místní nebo veřejný časový server. | Časový server synchronizuje systémové hodiny. |
| DNS (Domain Name System) | Jakýkoli server DNS, například role DNS ve Windows Serveru. | Služba DNS se v místní síti vyžaduje k překladu koncových bodů operací odpojených od Azure a konfiguraci IP adres příchozího přenosu dat. Při spuštění zařízení pro odpojené operace v připojeném režimu se k překladu názvů domén Microsoftu pro protokolování a telemetrii vyžaduje server DNS. |
Informace o nasazení a konfiguraci komponent integrace najdete v tématu:
- Instalace a konfigurace serveru DNS na Windows Serveru
- Služba Windows Time
- Přehled služby AD DS (Active Directory Domain Services
- Co je služba Active Directory Certificate Services?
- Implementace a správa služby Active Directory Certificate Services
- Nasazení ADFS 2016
- Možnosti návrhu pro ADFS pro Windows Server
Požadavky na přístup
Pokud chcete úspěšně nakonfigurovat odpojené operace a vytvořit potřebné prostředky, potřebujete odpovídající přístup a oprávnění k vytvoření a úpravě následujících prostředků:
| Komponenta | Požadovaný přístup |
|---|---|
| AD+ ADFS | Vytvořte účet služby s přístupem pro čtení pro organizační jednotku pro usnadnění integrace PROTOKOLU LDAP. Export konfigurace pro ADFS (OIDC). |
| DNS | Přístup k vytváření záznamů NEBO zón DNS za účelem zajištění vyhledávání pro odpojený koncový bod operací. |
| INFRASTRUKTURY VEŘEJNÝCH KLÍČŮ | Možnost vytvářet a exportovat certifikáty pro zabezpečení odpojených koncových bodů operací (TLS). |
| Síť | Přístup k bráně firewall (pokud je implementovaná místní brána firewall), aby se zajistilo, že je možné provést potřebné změny. |
Kritéria účasti ve verzi Preview
Abyste se mohli zúčastnit verze Preview, musíte splnit následující kritéria:
Smlouva Enterprise: Aktuální smlouva Enterprise s Microsoftem, obvykle pokrývá dobu nejméně tří let.
Obchodní potřeby musí fungovat odpojeně: Funkce odpojených operací je určená pro ty, kteří se nemůžou připojit k Azure kvůli problémům s připojením nebo zákonným omezením. Pokud chcete mít nárok na verzi Preview, musíte prokázat platnou obchodní potřebu pro provoz odpojených zařízení. Další informace najdete v tématu Proč používat odpojené operace?.
Technické požadavky: Vaše organizace musí splňovat technické požadavky, aby se zajistila zabezpečená a spolehlivá operace při odpojení pro místní Azure. Další informace najdete v části Předpoklady.
Hardware: Funkce odpojených operací je podporována na ověřeném místním hardwaru Azure ve verzi Preview. Musíte použít vlastní ověřený místní hardware Azure. Seznam podporovaných konfigurací najdete v katalogu místních řešení Azure.
Začínáme
Pokud chcete získat přístup k náhledu, musíte tento formulář vyplnit a počkat na schválení. Během 10 pracovních dnů od odeslání formuláře byste měli být informováni o stavu, schválení, zamítnutí, zařazení do fronty nebo potřebujete další informace.
Pokud je schváleno, obdržíte další pokyny k získání, stažení a provozu odpojených pro místní Azure.