Operacje rozłączone dla platformy Azure w wersji lokalnej (wersja zapoznawcza)
Dotyczy: Azure Local, wersja 23H2, wersja 2411 i nowsze
W tym artykule opisano operacje rozłączone i sposób ich użycia we wdrożeniu i zarządzaniu lokalną platformą Azure.
Ważne
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure.
Omówienie
Rozłączone operacje dla usługi Azure Local umożliwiają wdrażanie i zarządzanie wystąpieniami lokalnymi platformy Azure bez połączenia z chmurą publiczną platformy Azure. Ta funkcja umożliwia tworzenie, wdrażanie maszyn wirtualnych i konteneryzowanych aplikacji oraz zarządzanie nimi przy użyciu wybranych usług z obsługą usługi Azure Arc z lokalnej płaszczyzny sterowania, co zapewnia znane środowisko witryny Azure Portal i interfejsu wiersza polecenia.
Dlaczego warto używać operacji rozłączonych?
Poniżej przedstawiono kilka scenariuszy uruchamiania usługi Azure Local z rozłącznymi operacjami:
Niezależność i zgodność danych: w sektorach takich jak instytucje rządowe, opieka zdrowotna i finanse konieczne jest spełnienie wymagań dotyczących rezydencji danych lub zgodności. W przypadku odłączenia działania dane i kontrola pozostają w wyznaczonych granicach organizacyjnych.
Lokalizacje zdalne lub izolowane: w obszarach z ograniczoną infrastrukturą sieciową, takimi jak regiony zdalne lub chronione, rozłączone operacje umożliwiają korzystanie z usług Azure Arc i uruchamianie obciążeń bez korzystania z łączności z Internetem. Na przykład platformy naftowe i zakłady produkcyjne.
Zabezpieczenia: w przypadku branż z rygorystycznymi wymaganiami dotyczącymi zabezpieczeń rozłączone operacje pomagają zmniejszyć obszar ataków, nie ujawniając systemów sieciom zewnętrznym.
Obsługiwane usługi
Rozłączone operacje dla usługi Azure Local obsługują następujące usługi:
| Usługa | opis |
|---|---|
| Azure Portal | Zapewnia środowisko witryny Azure Portal podobne do publicznego platformy Azure. |
| Azure Resource Manager (ARM) | Zarządzanie subskrypcjami, grupami zasobów, szablonami usługi ARM i interfejsem wiersza polecenia platformy Azure oraz korzystanie z niej. |
| Kontrola dostępu oparta na rolach (RBAC) | Zaimplementuj kontrolę dostępu opartą na rolach dla subskrypcji i grup zasobów. |
| Tożsamość usługi zarządzanej (MSI, Managed Service Identity) | Uzyskiwanie dostępu do zasobów przy użyciu obsługi tożsamości usługi zarządzanej dla obciążeń użytkowników. |
| Serwery z obsługą usługi Arc | Zarządzanie gośćmi maszyn wirtualnych usługi Arc dla maszyn wirtualnych usługi Arc w środowisku lokalnym platformy Azure. |
| Maszyny wirtualne usługi Arc dla platformy Azure — lokalne | Konfigurowanie maszyn wirtualnych z systemem Windows lub Linux i zarządzanie nimi przy użyciu funkcji rozłączonych operacji dla usługi Azure Local. |
| Platforma Kubernetes z obsługą usługi Arc (K8s) | Łączenie klastrów Kubernetes Platformy Kubernetes z platformą Cloud Native Computing Foundation (CNCF) wdrożonych na lokalnych maszynach wirtualnych platformy Azure i zarządzanie nimi, co umożliwia ujednoliconą konfigurację i zarządzanie. |
| Usługa Azure Kubernetes Service włączona przez usługę Arc dla usługi Azure Local | Konfigurowanie usługi Azure Kubernetes (AKS) i zarządzanie nią w środowisku lokalnym platformy Azure. |
| Zarządzanie urządzeniami lokalnymi na platformie Azure | Tworzenie wystąpień lokalnych platformy Azure, dodawanie i usuwanie węzłów oraz zarządzanie nimi. |
| Container Registry | Tworzenie rejestrów kontenerów i zarządzanie nimi w celu przechowywania i pobierania obrazów kontenerów oraz artefaktów. |
| Key Vault | Tworzenie magazynów kluczy i zarządzanie nimi w celu przechowywania wpisów tajnych i uzyskiwania do ich dostępu. |
| Zasady | Wymuszanie standardów za pomocą zasad podczas tworzenia nowych zasobów. |
Wymagania wstępne
Przed rozpoczęciem upewnij się, że zapoznasz się z odpowiednim sprzętem i wymaganiami dotyczącymi usługi Azure Local:
- Wymagania systemowe dotyczące usługi Azure Local.
- Zweryfikowane węzły lub nowsze— zobacz Katalog lokalny platformy Azure.
W następnych sekcjach przedstawiono szczegółowe informacje na temat sprzętu, integracji i wymagań dotyczących dostępu do obsługi rozłączenia.
Wymagania sprzętowe
Urządzenie wirtualne dla operacji rozłączonych jest uruchamiane w wystąpieniach lokalnych platformy Azure. Aby obsługiwać usługę Azure Local z odłączonymi operacjami, należy zaplanować dodatkową pojemność dla urządzenia wirtualnego. Ponadto należy spełnić wyższe minimalne wymagania sprzętowe, aby wdrożyć i obsługiwać platformę Azure Lokalnie z odłączonymi operacjami, ponieważ hostuje lokalną płaszczyznę sterowania.
Ta lista kontrolna zawiera minimalne wymagania sprzętowe wymagane przez każdy węzeł do obsługi odłączonego urządzenia wirtualnego operacji. W planowaniu pojemności należy uwzględnić dodatkową pojemność dla obciążeń maszyn wirtualnych lub usługi AKS.
| Specyfikacja | Minimalna konfiguracja |
|---|---|
| Minimalna liczba węzłów | 3 węzły |
| Minimalna ilość pamięci na węzeł | 64 GB |
| Minimalna liczba rdzeni na węzeł | 24 rdzenie fizyczne |
| Minimalny magazyn na węzeł | 2 TB SSD/NVME |
| Minimalny magazyn dysku rozruchowego | 480 GB SSD/NVME |
| Sieć | Obsługiwane są przełączniki i przełączniki: zagadnienia dotyczące sieci dla wdrożeń w chmurze usługi Azure Local w wersji 23H2 Uwaga: Konfiguracje bez przełączników działają tylko dla rozmiaru klastra o rozmiarze trzech węzłów. |
Wymagania dotyczące integracji
Przed rozpoczęciem procesu wdrażania odłączonych operacji należy zintegrować z istniejącymi elementami zawartości centrum danych, które muszą zostać wstępnie wdrożone i skonfigurowane.
W poniższej tabeli wymieniono wymagania dotyczące pomyślnego wdrażania i uruchamiania operacji rozłączonych w wystąpieniach lokalnych platformy Azure.
| Obszar | Obsługiwany system | Używanie |
|---|---|---|
| Tożsamość | Usługa federacyjna Active Directory (ADFS) w systemie Windows Server 2022 | Protokół LDAP (Lightweight Directory Access Protocol) zapewnia członkostwo w grupach i synchronizację. Usługa ADFS uwierzytelnia użytkowników w witrynie Azure Local Portal w celu zarządzania operacjami rozłączonymi przy użyciu protokołu Open-ID Connect (OIDC). Usługa Active Directory (AD) jest wymagana w przypadku operacji rozłączonych. |
| Infrastruktura kluczy publicznych (PKI) | Zarówno prywatna, jak i publiczna infrastruktura kluczy publicznych są obsługiwane i wymagane Usługi certyfikatów Active Directory (ADCS) zweryfikowane jako prywatne rozwiązanie infrastruktury kluczy publicznych |
Wystawianie certyfikatów w celu zabezpieczenia lokalnych punktów końcowych operacji odłączonych od platformy Azure (TLS). |
| Protokół NTP (Network Time Protocol) opcjonalny | Lokalny lub publiczny serwer czasu | Serwer czasu synchronizuje zegar systemowy. |
| System nazw domen (DNS) | Dowolny serwer DNS, taki jak rola DNS w systemie Windows Server | Usługa DNS jest wymagana w sieci lokalnej w celu rozpoznawania punktów końcowych operacji rozłączonych lokalnie i konfigurowania adresów IP ruchu przychodzącego. Po uruchomieniu urządzenia na potrzeby odłączonych operacji w trybie połączonym serwer DNS jest wymagany do rozpoznawania nazw domen firmy Microsoft na potrzeby rejestrowania i telemetrii. |
Aby uzyskać informacje na temat wdrażania i konfigurowania składników integracji, zobacz:
- Instalowanie i konfigurowanie serwera DNS w systemie Windows Server
- Usługa czasowa systemu Windows
- Active Directory Domain Services — omówienie
- Co to są usługi certyfikatów Active Directory?
- Implementowanie usług certyfikatów Active Directory i zarządzanie nimi
- Wdrażanie usług ADFS 2016
- Opcje projektowania usług ADFS dla systemu Windows Server
Wymagania dotyczące dostępu
Aby pomyślnie skonfigurować operacje rozłączone i utworzyć niezbędne zasoby, potrzebujesz odpowiedniego dostępu i uprawnień, aby utworzyć i zmodyfikować następujące zasoby:
| Składnik | Wymagany dostęp |
|---|---|
| AD + ADFS | Utwórz konto usługi z dostępem do odczytu dla jednostki organizacyjnej w celu ułatwienia integracji LDAP. Wyeksportuj konfigurację dla usług ADFS (OIDC). |
| DNS | Dostęp do tworzenia rekordów LUB stref DNS w celu zapewnienia odnośników dla odłączonego punktu końcowego operacji. |
| PKI | Możliwość tworzenia i eksportowania certyfikatów w celu zabezpieczenia odłączonych punktów końcowych operacji (TLS). |
| Sieć | Dostęp do zapory (jeśli wdrożono lokalną zaporę), aby upewnić się, że można wprowadzić niezbędne zmiany. |
Kryteria uczestnictwa w wersji zapoznawczej
Aby wziąć udział w wersji zapoznawczej, musisz spełnić następujące kryteria:
Umowa Enterprise Agreement: bieżąca umowa Enterprise Agreement z firmą Microsoft, zwykle obejmująca okres co najmniej trzech lat.
Firma musi działać bez połączenia: funkcja rozłączonych operacji dotyczy tych, którzy nie mogą nawiązać połączenia z platformą Azure z powodu problemów z łącznością lub ograniczeń regulacyjnych. Aby kwalifikować się do korzystania z wersji zapoznawczej, musisz wykazać prawidłową potrzebę biznesową rozłączenia działania. Aby uzyskać więcej informacji, zobacz Dlaczego warto używać operacji rozłączonych?
Wymagania techniczne: Twoja organizacja musi spełniać wymagania techniczne, aby zapewnić bezpieczną i niezawodną operację podczas odłączania działania dla usługi Azure Local. Aby uzyskać więcej informacji, zobacz Wymagania wstępne.
Sprzęt: Funkcja rozłączonych operacji jest obsługiwana na zweryfikowanym sprzęcie lokalnym platformy Azure w wersji zapoznawczej. Musisz mieć własny zweryfikowany sprzęt lokalny platformy Azure. Aby uzyskać listę obsługiwanych konfiguracji, zobacz katalog rozwiązań lokalnych platformy Azure.
Rozpocznij
Aby uzyskać dostęp do wersji zapoznawczej, musisz ukończyć ten formularz i poczekać na zatwierdzenie. Powinien zostać poinformowany o stanie, zatwierdzeniu, odrzuceniu, kolejce lub uzyskaniu dodatkowych informacji w ciągu 10 dni roboczych od przesłania formularza.
W przypadku zatwierdzenia otrzymasz dalsze instrukcje dotyczące uzyskiwania, pobierania i obsługi rozłączenia dla usługi Azure Local.