Azure Stack Hub 統合システムの Azure から切断されたデプロイ計画の決定
Azure Stack Hub をハイブリッド クラウド環境に統合する方法
インターネットに接続せずに Azure Stack Hub をデプロイして使用できます。 ただし、切断されたデプロイでは、Active Directory フェデレーション サービス (AD FS) ID ストアと容量ベースの課金モデルに制限されます。 マルチテナントでは Microsoft Entra ID を使用する必要があるため、切断された展開ではマルチテナントはサポートされません。
次の場合は、このオプションを選択します。
- インターネットに接続されていない環境に Azure Stack Hub をデプロイする必要があるセキュリティまたはその他の制限があります。
- データ (使用状況データを含む) が Azure に送信されないようにする必要があります。
- Azure Stack Hub は、企業のイントラネットにデプロイされ、ハイブリッド シナリオには関心のないプライベート クラウド ソリューションとして純粋に使用する必要があります。
ヒント
この種の環境は、海底シナリオとも呼ばれます。
切断されたデプロイでは、後でハイブリッド テナント VM シナリオのために Azure Stack Hub インスタンスを Azure に接続することを制限しません。 これは、デプロイ中に Azure に接続できないこと、または Id ストアとして Microsoft Entra ID を使用したくないことを意味します。
切断されたデプロイで損なわれる機能または使用できない機能
Azure Stack Hub は、Azure に接続するときに最適に動作するように設計されているため、切断モードで障害が発生するか、完全に使用できない機能があることに注意することが重要です。
| 特徴 | 切断モードでの影響 |
|---|---|
| デプロイ後に VM を構成するための DSC 拡張機能を使用した VM のデプロイ | 損なわれる - DSC 拡張機能は、最新の WMF がないかどうかインターネットを参照します。 |
| Docker コマンドを実行するための Docker 拡張機能を使用した VM のデプロイ | 損なわれる - Docker はインターネットで最新バージョンをチェックし、このチェックは失敗します。 |
| Azure Stack Hub ポータルのドキュメント リンク | 利用不可 - インターネット URL を使用するフィードバック、ヘルプ、クイック スタートなどのリンクは機能しません。 |
| オンライン修復ガイドを参照するアラートの修復/軽減策 | 使用不可 - インターネット URL を使用するアラート修復リンクは機能しません。 |
| Marketplace - Azure Marketplace からギャラリー パッケージを直接選択して追加する機能 | 損なわれる - 切断モードで Azure Stack Hub をデプロイする場合、Azure Stack Hub ポータルを使用してマーケットプレースアイテムをダウンロードすることはできません。 ただし、マーケットプレース シンジケーション ツール を使用して、インターネットに接続されているマシンに Marketplace アイテムをダウンロードし、Azure Stack Hub 環境に転送することができます。 |
| Microsoft Entra フェデレーション アカウントを使用した Azure Stack Hub デプロイの管理 | 使用不可 - この機能には、Azure への接続が必要です。 代わりに、ローカル Active Directory インスタンスを含む AD FS を使用する必要があります。 |
| アプリサービス | 損なわれる - WebApps では、コンテンツの更新のためにインターネットへのアクセスが必要な場合があります。 |
| コマンド ライン インターフェイス (CLI) | 損なわれる - CLI では、サービス プリンシパルの認証およびプロビジョニングの機能が削減されます。 |
| Visual Studio - クラウド検出 | 損なわれる - Cloud Discovery は、異なるクラウドを検出するか、まったく機能しません。 |
| Visual Studio - AD FS | 損なわれる - AD FS 認証をサポートするのは、Visual Studio Enterprise と Visual Studio Code のみです。 |
| テレメトリー | 利用不可 - Azure Stack Hub のテレメトリ データと、テレメトリ データに依存するサードパーティのギャラリー パッケージ。 |
| 証明機関 (CA) | パブリック/外部証明機関 (CA) 使用不可 – HTTPS のコンテキストで証明書失効リスト (CRL) およびオンライン証明書状態プロトコル (OCSP) サービスにアクセスするためにインターネット接続が必要であるため、パブリック CA から証明書が発行された場合、展開は失敗します。 プライベート/内部証明機関 (CA) 影響なし - 展開で組織内の内部 CA など、プライベート CA によって発行された証明書を使用する場合は、CRL エンドポイントへの内部ネットワーク アクセスのみが必要です。 インターネット接続は必要ありませんが、証明書 CDP 拡張機能で定義されている CRL エンドポイントに接続するために必要なネットワーク アクセス権が Azure Stack Hub インフラストラクチャにあることを確認する必要があります。 |
| Key Vault | 損なわれる - Key Vault の一般的なユース ケースは、アプリが実行時にシークレットを読み取る場合です。 このユース ケースでは、アプリにはディレクトリ内のサービス プリンシパルが必要です。 Microsoft Entra ID では、通常のユーザー (管理者以外) は既定でサービス プリンシパルを追加できます。 Microsoft Entra ID (AD FS を使用) では、これらは使用されません。 この障害は、常にディレクトリ管理者を経由してアプリを追加する必要があるため、エンド ツー エンドのエクスペリエンスにハードルが発生します。 |
| コンテナー | 損なわれる - Azure パブリックまたは別のアクセス可能なレジストリの Azure Container Registry から、切断モードでコンテナー イメージをインポートできません。 Kubernetes を実行している切断された Azure Stack Hub デプロイに Azure Container Registry 内のコンテナー イメージをインポートする方法については、Azure Stack Hub の Azure Container Registry |
次の手順
- ユース ケース、購入、パートナー、OEM ハードウェア ベンダーの詳細については、Azure Stack Hub 製品ページを参照してください。
- Azure Stack Hub 統合システムのロードマップと geo 可用性の詳細については、「Azure Stack Hub の : Azureの拡張機能」を参照してください。
- Microsoft Azure Stack Hub のパッケージ化と価格については、.pdf 価格ガイド
ダウンロードしてください。 - データセンター ネットワーク統合