Operazioni disconnesse per Azure Locale (anteprima)
Si applica a: Azure Locale 2411.2 e versioni successive
Questo articolo descrive le operazioni disconnesse e come possono essere usate nella distribuzione e nella gestione dell'istanza locale di Azure.
Importante
La funzionalità è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.
Panoramica
Le operazioni disconnesse per Azure Locale consentono la distribuzione e la gestione delle istanze locali di Azure senza una connessione al cloud pubblico di Azure. Questa funzionalità consente di creare, distribuire e gestire macchine virtuali e applicazioni containerizzate utilizzando i servizi abilitati per Azure Arc selezionati da un piano di controllo locale, offrendo un'esperienza familiare con il portale di Azure e l'interfaccia della riga di comando.
Perché usare le operazioni disconnesse?
Ecco alcuni scenari per l'esecuzione di Azure Local con operazioni disconnesse:
Sovranità e conformità dei dati: in settori come enti pubblici, sanitari e finanze, è necessario soddisfare i requisiti di residenza o conformità dei dati. Quando il funzionamento è disconnesso, i dati e il controllo rimangono entro i limiti dell'organizzazione designati.
Posizioni remote o isolate: in aree con un'infrastruttura di rete limitata, ad esempio aree remote o protette, le operazioni disconnesse consentono di usare i servizi di Azure Arc ed eseguire carichi di lavoro senza basarsi sulla connettività Internet. Ad esempio, impianti petroliferi e siti di produzione.
Sicurezza: per i settori con requisiti di sicurezza rigorosi, le operazioni disconnesse contribuiscono a ridurre la superficie di attacco non esponendo i sistemi alle reti esterne.
Servizi supportati
Le operazioni disconnesse per Azure Local supportano i servizi seguenti:
| Servizio | Descrizione |
|---|---|
| Portale di Azure | Offre un'esperienza di portale di Azure simile a Quella pubblica di Azure. |
| Azure Resource Manager (ARM) | Gestire e utilizzare sottoscrizioni, gruppi di risorse, modelli ARM e l'interfaccia della riga di comando di Azure (CLI). |
| Controllo degli accessi in base al ruolo | Applicare il RBAC per sottoscrizioni e gruppi di risorse. |
| Identità gestita | Usare l'identità gestita assegnata dal sistema per i tipi di risorse che supportano l'identità gestita. |
| Server con abilitazione di Arc | Gestire le macchine virtuali guest per le VM Arc sulla Local di Azure. |
| Macchine virtuali Arc per Azure Locale | Configurare e gestire macchine virtuali Windows o Linux usando la funzionalità operazioni disconnesse per Azure Locale. |
| Kubernetes abilitato per Arc (K8s) | Connettere e gestire cluster Kubernetes (CLOUD Native Computing Foundation) distribuiti in macchine virtuali locali di Azure, abilitando la configurazione e la gestione unificate. |
| servizio Azure Kubernetes abilitato da Arc per Azure Local | Configurare e gestire Azure Kubernetes (AKS) in Locale di Azure. |
| Gestione dei dispositivi locali di Azure | Creare e gestire istanze locali di Azure, inclusa la possibilità di aggiungere e rimuovere nodi. |
| Registro dei Contenitori | Creare e gestire registri contenitori per archiviare e recuperare immagini e artefatti del contenitore. |
| Archivio di chiavi | Creare e gestire archivi chiave per memorizzare e accedere ai segreti. |
| Politica | Applicare gli standard tramite criteri durante la creazione di nuove risorse. |
Prerequisiti
Prima di iniziare, assicurarsi di esaminare e applicare i requisiti e l'hardware appropriati per Azure Locale:
- Requisiti di sistema per l'ambiente locale di Azure.
- Nodi convalidati o superiori, vedere il Catalogo locale di Azure.
Le sezioni successive forniscono informazioni dettagliate sull'hardware, l'integrazione e i requisiti di accesso per il funzionamento disconnesso.
Requisiti hardware
L'appliance virtuale per le operazioni disconnesse viene eseguita nelle istanze locali di Azure. Per gestire le operazioni locali di Azure con operazioni disconnesse, è necessario pianificare una capacità aggiuntiva per l'appliance virtuale. Inoltre, è necessario soddisfare requisiti hardware minimi più elevati per distribuire e gestire Le operazioni locali di Azure con operazioni disconnesse, in quanto ospita un piano di controllo locale.
Questo elenco di controllo fornisce i requisiti hardware minimi necessari per ogni nodo per supportare l'appliance virtuale per le operazioni disconnesse. È consigliabile prendere in considerazione capacità aggiuntiva per i carichi di lavoro delle macchine virtuali o del servizio Azure Kubernetes nella pianificazione della capacità.
| Specificazione | Configurazione minima |
|---|---|
| Numero minimo di nodi | 3 nodi |
| Memoria minima per nodo | 64 GB |
| Numero minimo di core per nodo | 24 core fisici |
| Archiviazione minima per nodo | SSD/NVME da 2 TB |
| Archiviazione minima dell'unità di avvio | SSD/NVME da 480 GB |
| Rete | Sono supportati commutatori e commutatori: considerazioni sulla rete per le distribuzioni cloud dei locali di Azure Nota: le configurazioni senza switch funzionano solo per un cluster di tre nodi. |
Requisiti di integrazione
È necessario eseguire l'integrazione con gli asset del data center esistenti che devono essere pre-distribuiti e configurati prima di avviare il processo di distribuzione delle operazioni disconnesse.
La tabella seguente elenca i requisiti per distribuire ed eseguire correttamente le operazioni disconnesse nelle istanze locali di Azure.
| Area | Sistema supportato | Utilizzo |
|---|---|---|
| Identità | Active Directory Federation Service (ADFS) in Windows Server 2022. | Lightweight Directory Access Protocol (LDAP) fornisce l'appartenenza ai gruppi e la sincronizzazione. ADFS autentica gli utenti nel portale locale di Azure per gestire le operazioni disconnesse tramite Open-ID Connect (OIDC). Active Directory (AD) è necessario per le operazioni disconnesse. |
| Infrastruttura a chiave pubblica (PKI) | Sono supportate le infrastrutture a chiave pubblica e privata. Se si usa un'infrastruttura a chiave pubblica, gli endpoint dell'elenco di revoche di certificati (CRL) devono essere raggiungibili dall'infrastruttura. Servizi certificati Active Directory (ADCS) convalidati come soluzione PKI privata. |
Rilasciare certificati per proteggere gli endpoint operativi disconnessi locali di Azure (TLS). |
| Protocollo NTP (Network Time Protocol) facoltativo | Server ora locale o pubblico. | Il server orario sincronizza l'orologio di sistema. |
| Domain Name System (DNS) | Qualsiasi server DNS, ad esempio il ruolo DNS in Windows Server. | Il servizio DNS è necessario nella rete locale per risolvere gli endpoint delle operazioni disconnesse locali di Azure e configurare gli indirizzi IP in ingresso. Quando si esegue l'appliance per le operazioni disconnesse in una modalità connessa, è necessario un server DNS per risolvere i nomi di dominio Microsoft per la registrazione e la telemetria. |
Per informazioni sulla distribuzione e la configurazione dei componenti di integrazione, vedere:
- Installare e configurare il server DNS in Windows Server
- Servizio Ora di Windows
- Panoramica dei Servizi di Dominio di Active Directory
- Che cos'è Servizi certificati Active Directory?
- Implementare e gestire Servizi certificati Active Directory
- Distribuzione di ADFS 2016
- Opzioni di progettazione per ADFS per Windows Server
Requisiti di accesso
Per configurare correttamente le operazioni disconnesse e creare le risorse necessarie, sono necessarie le autorizzazioni e l'accesso appropriati per creare e modificare le risorse seguenti:
| Componente | Accesso richiesto |
|---|---|
| AD + ADFS | Creare un account di servizio con accesso in lettura per l'unità organizzativa per facilitare l'integrazione LDAP. Esportare la configurazione per ADFS (OIDC). |
| DNS | Accesso per creare record DNS o zone per fornire ricerche per un endpoint operativo disconnesso. |
| PKI | Possibilità di creare ed esportare certificati per proteggere gli endpoint operativi disconnessi (TLS). |
| Rete | Accesso al firewall (se è implementato un firewall locale) per garantire che sia possibile apportare le modifiche necessarie. |
Criteri di partecipazione in anteprima
Per partecipare all'anteprima, è necessario soddisfare i criteri seguenti:
Contratto Enterprise: un contratto Enterprise corrente con Microsoft, che in genere copre un periodo di almeno tre anni.
Business deve funzionare disconnesso: la funzionalità delle operazioni disconnesse è destinata a coloro che non possono connettersi ad Azure a causa di problemi di connettività o restrizioni normative. Per essere idoneo per l'anteprima, è necessario dimostrare una necessità aziendale valida per il funzionamento disconnesso. Per altre informazioni, vedere Perché usare le operazioni disconnesse?
Prerequisiti tecnici: l'organizzazione deve soddisfare i requisiti tecnici per garantire un funzionamento sicuro e affidabile quando il funzionamento è disconnesso per Azure Locale. Per altre informazioni, consulta Prerequisiti.
Hardware: la funzionalità delle operazioni disconnesse è supportata nell'hardware locale di Azure convalidato durante l'anteprima. È necessario usare l'hardware locale di Azure convalidato. Per un elenco delle configurazioni supportate, vedere il catalogo delle soluzioni locali di Azure.
Inizia
Per accedere all'anteprima, è necessario completare il modulo e attendere l'approvazione. Vi verrà comunicato il vostro stato: approvato; rifiutato; accodato; o se occorrono ulteriori informazioni, entro dieci giorni lavorativi dalla presentazione del modulo.
Se l'approvazione viene concessa, riceverai ulteriori istruzioni su come acquisire, scaricare e utilizzare Azure Locale in modalità offline.
Questa funzionalità è disponibile solo in Azure Locale 2411.2.