Condividi tramite

Decisioni di pianificazione della distribuzione disconnesse di Azure per i sistemi integrati dell'hub di Azure Stack

  • Articolo

Dopo aver deciso come integrare l'hub di Azure Stack nell'ambiente cloud ibrido, è possibile completare le decisioni relative alla distribuzione dell'hub di Azure Stack.

È possibile distribuire e usare l'hub di Azure Stack senza una connessione a Internet. Tuttavia, con una distribuzione disconnessa, si è limitati a un archivio identità di Active Directory Federation Services (AD FS) e al modello di fatturazione basato sulla capacità. Poiché la multi-tenancy richiede l'uso di Microsoft Entra ID, la multi-tenancy non è supportata per le distribuzioni disconnesse.

Scegliere questa opzione se:

  • Sono presenti restrizioni di sicurezza o di altro tipo che richiedono la distribuzione dell'hub di Azure Stack in un ambiente non connesso a Internet.
  • Si vuole bloccare l'invio dei dati (inclusi i dati di utilizzo) ad Azure.
  • Si vuole usare l'hub di Azure Stack esclusivamente come soluzione cloud privato distribuita nella intranet aziendale e non è interessata agli scenari ibridi.

Mancia

Questo tipo di ambiente è detto anche scenario sottomarino .

Una distribuzione disconnessa non limita la connessione successiva dell'istanza dell'hub di Azure Stack ad Azure per scenari di macchine virtuali tenant ibridi. Ciò significa che non si ha connettività ad Azure durante la distribuzione o non si vuole usare Microsoft Entra ID come archivio delle identità.

Funzionalità compromesse o non disponibili nelle distribuzioni disconnesse

L'hub di Azure Stack è stato progettato per funzionare al meglio quando si è connessi ad Azure, quindi è importante notare che esistono alcune funzionalità e funzionalità compromesse o completamente non disponibili nella modalità disconnessa.

Caratteristica Impatto in modalità disconnessa
Distribuzione di macchine virtuali con estensione DSC per configurare la VM dopo la distribuzione Ostacolato: l'estensione DSC cerca su internet la versione più recente di WMF.
Distribuzione di macchine virtuali con l'estensione Docker per eseguire comandi Docker Limitato: Docker controlla Internet per la versione più recente e questo controllo fallisce.
Collegamenti alla documentazione nel portale dell'hub di Azure Stack Non disponibile: i collegamenti come Commenti e suggerimenti, Guida e Avvio rapido che usano un URL Internet non funzionano.
Correzione/mitigazione degli avvisi che fa riferimento a una guida alla correzione online Non disponibile: tutti i collegamenti di correzione degli avvisi che usano un URL Internet non funzionano.
Marketplace: possibilità di selezionare e aggiungere pacchetti dalla Galleria direttamente da Azure Marketplace Problemi: quando si distribuisce l'hub di Azure Stack in modalità disconnessa, non è possibile scaricare gli elementi del Marketplace usando il portale dell'hub di Azure Stack. Tuttavia, è possibile usare lo strumento di diffusione marketplace per scaricare gli elementi del Marketplace in un computer con connettività Internet e quindi trasferirli nell'ambiente dell'hub di Azure Stack.
Uso degli account federativi di Microsoft Entra per gestire una distribuzione dell'hub di Azure Stack Non disponibile: questa funzionalità richiede la connettività ad Azure. È necessario usare AD FS con un'istanza di Active Directory locale.
Servizi app Limitato: le app web potrebbero richiedere l'accesso a Internet per contenuti aggiornati.
Interfaccia della riga di comando Limitato: L'interfaccia a riga di comando (CLI) ha una funzionalità ridotta per l'autenticazione e il provisioning dei principali del servizio.
Visual Studio - Cloud Discovery Limitato: Cloud Discovery scopre diversi cloud o non funziona affatto.
Visual Studio - AD FS Con problemi: solo Visual Studio Enterprise e Visual Studio Code supportano l'autenticazione AD FS.
Telemetria Non disponibile: dati di telemetria per Azure Stack Hub e tutti i pacchetti della galleria di terze parti che dipendono dai dati di telemetria.
Autorità di certificazione (CA) Autorità di Certificazione Pubblica/Esterna
Non disponibile: la distribuzione ha esito negativo se i certificati sono stati rilasciati da una CA pubblica, perché è necessaria la connettività Internet per accedere all'elenco di revoche di certificati (CRL) e ai servizi OCSP (Online Certificate Status Protocol) nel contesto di HTTPS.

Autorità di Certificazione (CA) privata/interna
Nessun impatto: nei casi in cui la distribuzione usa certificati rilasciati da una CA privata, ad esempio una CA interna all'interno di un'organizzazione, è necessario solo l'accesso di rete interno all'endpoint CRL. La connettività Internet non è necessaria, ma è necessario verificare che l'infrastruttura dell'hub di Azure Stack disponga dell'accesso di rete necessario per contattare l'endpoint CRL definito nell'estensione CDP dei certificati.
Key Vault Limitato: un caso d'uso comune per Key Vault consiste nell'avere un'app che legge i segreti in fase di esecuzione. Per questo caso d'uso, l'app necessita di un'entità servizio nella directory . In Microsoft Entra ID, gli utenti regolari (non amministratori) sono di default autorizzati ad aggiungere ruoli di servizio. In Microsoft Entra ID (usando AD FS), non sono supportati. Questo problema comporta un ostacolo nell'esperienza end-to-end, perché è sempre necessario passare attraverso un amministratore della directory per aggiungere qualsiasi app.
Contenitori Non funzionante: impossibile importare immagini del container in modalità disconnessa da un Azure Container Registry pubblico o da un altro registro accessibile. Per informazioni su come importare immagini dei container in Azure Container Registry in una distribuzione disconnessa di Azure Stack Hub con Kubernetes, vedere la voce domande frequenti in Azure Container Registry su Azure Stack Hub.

Passaggi successivi