Niet-verbonden bewerkingen voor Azure Local (preview)
Van toepassing op: Azure Local, versie 23H2, release 2411 en hoger
In dit artikel worden niet-verbonden bewerkingen beschreven en wordt beschreven hoe ze kunnen worden gebruikt in de implementatie en het beheer van uw Azure Local.
Belangrijk
Deze functie is momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews.
Overzicht
Niet-verbonden bewerkingen voor Azure Local maken de implementatie en het beheer van lokale Azure-exemplaren mogelijk zonder verbinding met de openbare Azure-cloud. Met deze functie kunt u virtuele machines (VM's) en toepassingen in containers bouwen, implementeren en beheren met behulp van geselecteerde azure Arc-services in een lokaal besturingsvlak, met een vertrouwde Azure-portal en CLI-ervaring.
Waarom niet-verbonden bewerkingen gebruiken?
Hier volgen enkele scenario's voor het uitvoeren van Azure Local met niet-verbonden bewerkingen:
Gegevenssoevereine en naleving: In sectoren zoals overheid, gezondheidszorg en financiën is het noodzakelijk om te voldoen aan vereisten voor gegevenslocatie of naleving. Wanneer de verbinding is verbroken, blijven gegevens en controle binnen de aangewezen organisatiegrenzen.
Externe of geïsoleerde locaties: In gebieden met een beperkte netwerkinfrastructuur, zoals externe of beveiligde regio's, kunt u niet-verbonden bewerkingen azure Arc-services gebruiken en workloads uitvoeren zonder gebruik te maken van internetverbinding. Bijvoorbeeld olieplatforms en productielocaties.
Beveiliging: Voor branches met strenge beveiligingsvereisten helpen niet-verbonden bewerkingen de kwetsbaarheid voor aanvallen te verminderen door systemen niet bloot te stellen aan externe netwerken.
Ondersteunde services
Niet-verbonden bewerkingen voor lokale Azure-ondersteuning bieden de volgende services:
| Service | Beschrijving |
|---|---|
| Azure Portal | Biedt een Azure Portal-ervaring die vergelijkbaar is met Azure Public. |
| Azure Resource Manager (ARM) | Abonnementen, resourcegroepen, ARM-sjablonen en Azure CLI (Opdrachtregelinterface) beheren en gebruiken. |
| Op rollen gebaseerd toegangsbeheer (RBAC) | Implementeer RBAC voor abonnementen en resourcegroepen. |
| Beheerde identiteit | Gebruik door het systeem toegewezen beheerde identiteit voor resourcetypen die beheerde identiteit ondersteunen. |
| Servers met Arc | VM-gasten voor Arc-VM's beheren in Azure Local. |
| Arc-VM's voor Lokaal in Azure | Virtuele Windows- of Linux-machines instellen en beheren met behulp van de functie voor niet-verbonden bewerkingen voor Azure Local. |
| Kubernetes met Arc (K8s) | Connect and manage Cloud Native Computing Foundation (CNCF) Kubernetes-clusters die zijn geïmplementeerd op lokale virtuele Azure-machines, waardoor geïntegreerde configuratie en beheer mogelijk zijn. |
| Azure Kubernetes Service ingeschakeld door Arc voor Azure Local | Azure Kubernetes (AKS) instellen en beheren in Azure Local. |
| Lokaal Azure-apparaatbeheer | Lokale Azure-exemplaren maken en beheren, inclusief de mogelijkheid om knooppunten toe te voegen en te verwijderen. |
| Container Registry | Containerregisters maken en beheren om containerinstallatiekopieën en artefacten op te slaan en op te halen. |
| Key Vault | Key Vaults maken en beheren om geheimen op te slaan en te openen. |
| Beleid | Standaarden afdwingen via beleid bij het maken van nieuwe resources. |
Voorwaarden
Voordat u begint, controleert en past u de juiste hardware en vereisten voor Azure Local toe:
- Systeemvereisten voor Lokale Azure-.
- Gevalideerde knooppunten of hoger, zie lokale Azure-catalogus.
De volgende secties bevatten details over de hardware, integratie en toegangsvereisten voor het werken met verbroken verbindingen.
Hardwarevereisten
Het virtuele apparaat voor niet-verbonden bewerkingen wordt uitgevoerd op lokale Azure-exemplaren. Als u Azure Local wilt gebruiken met niet-verbonden bewerkingen, moet u extra capaciteit voor het virtuele apparaat plannen. Daarnaast moet u voldoen aan hogere minimale hardwarevereisten om Azure Local te implementeren en te gebruiken met niet-verbonden bewerkingen, omdat deze als host fungeert voor een lokaal besturingsvlak.
Deze controlelijst biedt u de minimale hardwarevereisten die elk knooppunt nodig heeft om het virtuele apparaat met niet-verbonden bewerkingen te ondersteunen. U moet rekening houden met extra capaciteit voor VM- of AKS-workloads in uw capaciteitsplanning.
| Specificatie | Minimale configuratie |
|---|---|
| Minimum aantal knooppunten | 3 knooppunten |
| Minimaal geheugen per knooppunt | 64 GB |
| Minimale kernen per knooppunt | 24 fysieke kernen |
| Minimale opslag per knooppunt | 2 TB SSD/NVME |
| Minimale opslag van opstartschijf | 480 GB SSD/NVME |
| Netwerk | Switchless en Switched worden ondersteund: Netwerkoverwegingen voor cloudimplementaties van Azure Local, versie 23H2 Opmerking: Switchless-configuraties werken alleen voor de clustergrootte van drie knooppunten. |
Integratievereisten
U moet integreren met bestaande datacenteractiva die vooraf moeten worden geïmplementeerd en geconfigureerd voordat u het implementatieproces voor niet-verbonden bewerkingen start.
De volgende tabel bevat de vereisten voor het implementeren en uitvoeren van niet-verbonden bewerkingen op lokale Azure-exemplaren.
| Gebied | Ondersteund systeem | Gebruiken |
|---|---|---|
| Identiteit | Active Directory Federation Service (ADFS) op Windows Server 2022. | Lightweight Directory Access Protocol (LDAP) biedt groepslidmaatschap en synchronisatie. ADFS verifieert gebruikers bij azure Local Portal om niet-verbonden bewerkingen te beheren met behulp van Open-ID Connect (OIDC). Active Directory (AD) is vereist voor niet-verbonden bewerkingen. |
| Public Key Infrastructure (PKI) | Privé- en openbare PK's worden ondersteund. Als u een openbare PKI gebruikt, moeten de eindpunten van de certificaatintrekkingslijst (CRL) bereikbaar zijn vanuit uw infrastructuur. Active Directory Certificate Services (ADCS) gevalideerd als een privé-PKI-oplossing. |
Certificaten uitgeven voor het beveiligen van eindpunten van lokale niet-verbonden bewerkingen (TLS) van Azure. |
| NTP (Network Time Protocol) optioneel | Lokale of openbare tijdserver. | De tijdserver synchroniseert de systeemklok. |
| Domain Name System (DNS) | Een DNS-server, zoals DNS-functie op Windows Server. | DNS-service is vereist in het lokale netwerk om Azure lokale niet-verbonden eindpunten op te lossen en ingress IP-adressen te configureren. Wanneer u het apparaat uitvoert voor niet-verbonden bewerkingen in een verbonden modus, is een DNS-server vereist om Microsoft-domeinnamen voor logboekregistratie en telemetrie op te lossen. |
Raadpleeg voor meer informatie over het implementeren en configureren van de integratieonderdelen:
- DNS-server installeren en configureren op Windows Server
- Windows Tijd dienst
- Overzicht van Active Directory Domain Services
- Wat is Active Directory Certificate Services?
- Active Directory Certificate Services implementeren en beheren
- ADFS 2016-implementatie
- Ontwerpopties voor ADFS voor Windows Server-
Toegangsvereisten
Als u niet-verbonden bewerkingen wilt configureren en de benodigde resources wilt maken, hebt u de juiste toegang en machtigingen nodig om de volgende resources te maken en te wijzigen:
| Bestanddeel | Toegang vereist |
|---|---|
| AD + ADFS | Maak een serviceaccount met leestoegang voor de organisatie-eenheid om LDAP-integratie te vergemakkelijken. Exporteer de configuratie voor ADFS (OIDC). |
| DNS | Toegang om DNS-records of -zones te creëren voor het uitvoeren van opzoekingen voor een eindpunt van offline bewerkingen. |
| PKI | Mogelijkheid om certificaten te maken en te exporteren om niet-verbonden bewerkingseindpunten (TLS) te beveiligen. |
| Netwerk | Toegang tot de firewall (als een lokale firewall is geïmplementeerd) om ervoor te zorgen dat de benodigde wijzigingen kunnen worden uitgevoerd. |
Voorbeeld van deelnamecriteria
Als u wilt deelnemen aan de preview, moet u voldoen aan de volgende criteria:
Enterprise Agreement: Een huidige Enterprise Agreement met Microsoft, meestal met een periode van ten minste drie jaar.
De verbinding met het bedrijf moet worden verbroken: de functie voor niet-verbonden bewerkingen is bedoeld voor degenen die geen verbinding kunnen maken met Azure vanwege connectiviteitsproblemen of wettelijke beperkingen. Als u in aanmerking wilt komen voor de preview, moet u aantonen dat de verbinding met het bedrijf is verbroken. Voor meer informatie, zie Waarom niet-verbonden bewerkingen gebruiken?.
Technische vereisten: uw organisatie moet voldoen aan de technische vereisten om een veilige en betrouwbare werking te garanderen wanneer de verbinding met Azure Local wordt verbroken. Zie Vereistenvoor meer informatie.
Hardware: De functie voor niet-verbonden bewerkingen wordt ondersteund op gevalideerde lokale Azure-hardware tijdens de preview-versie. U moet hun eigen gevalideerde Azure Local-hardware meenemen. Zie de catalogus met lokale Azure-oplossingen voor een lijst met ondersteunde configuraties.
Aan de slag
Als u toegang wilt krijgen tot het voorbeeld, moet u dit formulier invullen en wachten op goedkeuring. U moet binnen 10 werkdagen na het indienen van het formulier op de hoogte worden gesteld van uw status, goedgekeurd, afgewezen, in de wachtrij geplaatst of meer informatie nodig hebben.
Indien goedgekeurd, ontvangt u verdere instructies voor het verkrijgen, downloaden en uitvoeren van de verbinding met Azure Local.
Deze functie is alleen beschikbaar in Azure Local 2411.2.