Opérations déconnectées pour Azure Local (préversion)
S’applique à : Azure Local, version 23H2, version 2411 et ultérieure
Cet article décrit les opérations déconnectées et la façon dont elles peuvent être utilisées dans le déploiement et la gestion de votre local Azure.
Important
Cette fonctionnalité est actuellement en PRÉVERSION. Consultez les conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure.
Vue d’ensemble
Les opérations déconnectées pour Azure Local permettent le déploiement et la gestion d’instances locales Azure sans connexion au cloud public Azure. Cette fonctionnalité vous permet de créer, déployer et gérer des machines virtuelles et des applications en conteneur à l’aide de services avec Azure Arc à partir d’un plan de contrôle local, offrant ainsi une expérience familière Portail Azure et CLI.
Pourquoi utiliser des opérations déconnectées ?
Voici quelques scénarios d’exécution d’Azure Local avec des opérations déconnectées :
Souveraineté et conformité des données : dans les secteurs tels que le gouvernement, les soins de santé et les finances, il est nécessaire de répondre aux exigences de résidence ou de conformité des données. Lors de l’exploitation déconnectée, les données et le contrôle restent dans les limites organisationnelles désignées.
Emplacements distants ou isolés : dans les zones avec une infrastructure réseau limitée, comme des régions distantes ou protégées, les opérations déconnectées vous permettent d’utiliser les services Azure Arc et d’exécuter des charges de travail sans compter sur la connectivité Internet. Par exemple, des plates-formes pétrolières et des sites de fabrication.
Sécurité : Pour les secteurs avec des exigences de sécurité strictes, les opérations déconnectées permettent de réduire la surface d’attaque en n’exposant pas les systèmes aux réseaux externes.
Services pris en charge
Les opérations déconnectées pour Azure Local prennent en charge les services suivants :
| Service | Description |
|---|---|
| Portail Azure | Offre une expérience Portail Azure similaire à Azure Public. |
| Azure Resource Manager (ARM) | Gérez et utilisez des abonnements, des groupes de ressources, des modèles ARM et des interface de ligne de commande Azure (CLI). |
| Contrôle d’accès en fonction du rôle (RBAC) | Implémentez RBAC pour les abonnements et les groupes de ressources. |
| Identité managée | Utilisez l’identité managée affectée par le système pour les types de ressources qui prennent en charge l’identité managée. |
| Serveurs avec Arc | Gérer les invités de machine virtuelle pour les machines virtuelles Arc sur Azure Local. |
| Machines virtuelles Arc pour Azure Local | Configurez et gérez des machines virtuelles Windows ou Linux à l’aide de la fonctionnalité d’opérations déconnectées pour Azure Local. |
| Kubernetes avec Arc (K8s) | Connectez et gérez des clusters Kubernetes Cloud Native Computing Foundation (CNCF) déployés sur des machines virtuelles locales Azure, ce qui permet une configuration et une gestion unifiées. |
| Azure Kubernetes Service activé par Arc pour Azure Local | Configurez et gérez Azure Kubernetes (AKS) sur Azure Local. |
| Gestion des appareils locaux Azure | Créez et gérez des instances locales Azure, notamment la possibilité d’ajouter et de supprimer des nœuds. |
| Container Registry | Créez et gérez des registres de conteneurs pour stocker et récupérer des images et artefacts conteneur. |
| Key Vault | Créez et gérez des coffres de clés pour stocker et accéder aux secrets. |
| Stratégie | Appliquer des normes par le biais de stratégies lors de la création de ressources. |
Prérequis
Avant de commencer, vérifiez et appliquez le matériel et la configuration requise appropriés pour Azure Local :
- Configuration système requise pour Azure Local.
- Nœuds validés ou version ultérieure, consultez le catalogue local Azure.
Les sections suivantes fournissent des détails sur le matériel, l’intégration et les exigences d’accès pour fonctionner déconnectées.
Configuration matérielle requise
L’appliance virtuelle pour les opérations déconnectées s’exécute sur des instances locales Azure. Pour utiliser Azure Local avec des opérations déconnectées, vous devez planifier une capacité supplémentaire pour l’appliance virtuelle. En outre, vous devez répondre à une configuration matérielle minimale plus élevée pour déployer et exploiter Azure Local avec des opérations déconnectées, car il héberge un plan de contrôle local.
Cette liste de contrôle vous fournit la configuration matérielle minimale requise pour chaque nœud afin de prendre en charge l’appliance virtuelle des opérations déconnectées. Vous devez prendre en compte une capacité supplémentaire pour les charges de travail DE machine virtuelle ou AKS dans votre planification de capacité.
| Spécification | Configuration minimale |
|---|---|
| Nombre minimal de nœuds | 3 nœuds |
| Mémoire minimale par nœud | 64 Go |
| Cœurs minimaux par nœud | 24 cœurs physiques |
| Stockage minimal par nœud | SSD/NVME de 2 To |
| Stockage minimal du lecteur de démarrage | SSD/NVME de 480 Go |
| Network (Réseau) | Switchless et Switched sont pris en charge : considérations relatives au réseau pour les déploiements cloud d’Azure Local, version 23H2 Remarque : Les configurations sans commutateur fonctionnent uniquement pour la taille du cluster de trois nœuds. |
Exigences d’intégration
Vous devez intégrer des ressources de centre de données existantes qui doivent être prédéployées et configurées avant de démarrer le processus de déploiement des opérations déconnectées.
Le tableau suivant répertorie les conditions requises pour déployer et exécuter des opérations déconnectées sur des instances locales Azure.
| Zone | Système pris en charge | Utiliser |
|---|---|---|
| Identité | Service de fédération Active Directory (ADFS) sur Windows Server 2022. | Le protocole LDAP (Lightweight Directory Access Protocol) fournit l’appartenance et la synchronisation des groupes. ADFS authentifie les utilisateurs auprès du portail local Azure pour gérer les opérations déconnectées à l’aide d’Open-ID Connect (OIDC). Active Directory (AD) est requis pour les opérations déconnectées. |
| Infrastructure à clé publique (PKI) | Les PKIs privés et publics sont pris en charge. Si vous utilisez une infrastructure à clé publique, les points de terminaison de la liste de révocation de certificats (CRL) doivent être accessibles à partir de votre infrastructure. Les services de certificats Active Directory (ADCS) ont été validés en tant que solution PKI privée. |
Émettre des certificats pour sécuriser les points de terminaison d’opérations déconnectées locales Azure (TLS). |
| Protocole NTP (Network Time Protocol) facultatif | Serveur de temps local ou public. | Le serveur de temps synchronise l’horloge système. |
| DNS (Domain Name System) | Tout serveur DNS, tel que le rôle DNS sur Windows Server. | Le service DNS est requis dans le réseau local pour résoudre les points de terminaison d’opérations déconnectés d’Azure et configurer les adresses IP d’entrée. Lorsque vous exécutez l’appliance pour les opérations déconnectées en mode connecté, un serveur DNS est requis pour résoudre les noms de domaine Microsoft pour la journalisation et la télémétrie. |
Pour plus d’informations sur le déploiement et la configuration des composants d’intégration, consultez :
- Installer et configurer dns Server sur Windows Server
- Service de temps Windows
- Vue d’ensemble d’Active Directory Domain Services
- Qu’est-ce que les services de certificats Active Directory ?
- Implémenter et gérer des services de certificats Active Directory
- Déploiement ADFS 2016
- Options de conception pour ADFS pour Windows Server
Conditions d’accès
Pour configurer correctement les opérations déconnectées et créer les ressources nécessaires, vous avez besoin d’un accès et d’autorisations appropriés pour créer et modifier les ressources suivantes :
| Composant | Accès requis |
|---|---|
| AD + ADFS | Créez un compte de service avec accès en lecture pour l’unité organisationnelle afin de faciliter l’intégration LDAP. Exportez la configuration pour ADFS (OIDC). |
| DNS | Accès à la création d’enregistrements OU de zones DNS pour fournir des recherches pour un point de terminaison d’opérations déconnecté. |
| PKI | Possibilité de créer et d’exporter des certificats pour sécuriser les points de terminaison d’opérations déconnectées (TLS). |
| Network (Réseau) | Accès au pare-feu (si un pare-feu local est implémenté) pour vous assurer que les modifications nécessaires peuvent être effectuées. |
Critères de participation en préversion
Pour participer à la préversion, vous devez respecter les critères suivants :
Contrat Entreprise : contrat entreprise actuel avec Microsoft, couvrant généralement une période d’au moins trois ans.
L’entreprise doit fonctionner déconnectée : la fonctionnalité d’opérations déconnectées est destinée aux personnes qui ne peuvent pas se connecter à Azure en raison de problèmes de connectivité ou de restrictions réglementaires. Pour être éligible à la préversion, vous devez démontrer un besoin professionnel valide pour l’exploitation déconnectée. Pour plus d’informations, consultez Pourquoi utiliser des opérations déconnectées ?.
Prérequis techniques : votre organisation doit respecter les exigences techniques pour garantir une opération sécurisée et fiable lors de l’exploitation déconnectée pour Azure Local. Pour plus d’informations, consultez Prérequis.
Matériel : la fonctionnalité d’opérations déconnectées est prise en charge sur le matériel local Azure validé pendant la préversion. Vous devez apporter leur propre matériel local Azure validé. Pour obtenir la liste des configurations prises en charge, consultez le catalogue de solutions locales Azure.
Démarrage
Pour accéder à la préversion, vous devez remplir ce formulaire et attendre l’approbation. Vous devez être informé de votre statut, approuvé, rejeté, mis en file d’attente ou avoir besoin d’informations supplémentaires dans les 10 jours ouvrables suivant l’envoi du formulaire.
Si vous êtes approuvé, vous recevez d’autres instructions sur la façon d’acquérir, télécharger et utiliser déconnecté pour Azure Local.