Operações desconectadas para o Azure Local (visualização)
Aplica-se a: Azure Local, versão 23H2, versão 2411 e posterior
Este artigo descreve operações desconectadas e como elas podem ser usadas na implantação e no gerenciamento do seu Azure Local.
Importante
Este recurso está atualmente em visualização. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure.
Descrição geral
As operações desconectadas para o Azure Local habilitam a implantação e o gerenciamento de instâncias locais do Azure sem uma conexão com a nuvem pública do Azure. Esse recurso permite que você crie, implante e gerencie máquinas virtuais (VMs) e aplicativos em contêineres usando serviços selecionados habilitados para Azure Arc a partir de um plano de controle local, fornecendo um portal do Azure e uma experiência de CLI familiar.
Por que usar operações desconectadas?
Aqui estão alguns cenários para executar o Azure Local com operações desconectadas:
Soberania e conformidade de dados: em setores como governo, saúde e finanças, há a necessidade de atender aos requisitos de residência ou conformidade de dados. Ao operar desconectado, os dados e o controle permanecem dentro dos limites organizacionais designados.
Locais remotos ou isolados: em áreas com infraestrutura de rede limitada, como regiões remotas ou protegidas, as operações desconectadas permitem que você use os serviços do Azure Arc e execute cargas de trabalho sem depender da conectividade com a Internet. Por exemplo, plataformas de petróleo e locais de fabricação.
Segurança: Para indústrias com requisitos de segurança rigorosos, as operações desconectadas ajudam a reduzir a superfície de ataque ao não expor os sistemas a redes externas.
Serviços suportados
As operações desconectadas para o Azure Local oferecem suporte aos seguintes serviços:
| Serviço | Description |
|---|---|
| Portal do Azure | Oferece uma experiência de portal do Azure semelhante ao Azure Public. |
| Azure Resource Manager (ARM) | Gerencie e utilize assinaturas, grupos de recursos, modelos ARM e CLI (Interface de Linha de Comando) do Azure. |
| Controle de acesso baseado em função (RBAC) | Implemente o RBAC para assinaturas e grupos de recursos. |
| Identidade Gerida | Use a identidade gerenciada atribuída ao sistema para tipos de recursos que oferecem suporte à identidade gerenciada. |
| Servidores habilitados para arco | Gerencie convidados de VM para VMs Arc no Azure Local. |
| VMs do Arc para Azure Local | Configure e gerencie máquinas virtuais Windows ou Linux usando o recurso de operações desconectadas para o Azure Local. |
| Kubernetes habilitado para arco (K8s) | Conecte e gerencie clusters Kubernetes do Cloud Native Computing Foundation (CNCF) implantados em máquinas virtuais locais do Azure, habilitando a configuração e o gerenciamento unificados. |
| Serviço Kubernetes do Azure habilitado pelo Arc para Azure Local | Configure e gerencie o Azure Kubernetes (AKS) no Azure Local. |
| Gerenciamento de dispositivos locais do Azure | Crie e gerencie instâncias locais do Azure, incluindo a capacidade de adicionar e remover nós. |
| Container Registry | Crie e gerencie registros de contêiner para armazenar e recuperar imagens e artefatos de contêiner. |
| Key Vault | Crie e gerencie Cofres de Chaves para armazenar e acessar segredos. |
| Política | Aplique padrões por meio de políticas ao criar novos recursos. |
Pré-requisitos
Antes de começar, certifique-se de revisar e aplicar o hardware e os requisitos apropriados para o Azure Local:
- Requisitos do sistema para o Azure Local.
- Nós validados ou superiores, consulte Catálogo local do Azure.
As próximas seções fornecem detalhes sobre os requisitos de hardware, integração e acesso para operar desconectado.
Requisitos de Hardware
O dispositivo virtual para operações desconectadas é executado em instâncias locais do Azure. Para operar o Azure Local com operações desconectadas, você precisa planejar a capacidade extra para o dispositivo virtual. Além disso, você deve atender aos requisitos mínimos de hardware mais altos para implantar e operar o Azure Local com operações desconectadas, pois ele hospeda um plano de controle local.
Esta lista de verificação fornece os requisitos mínimos de hardware de que cada nó precisa para dar suporte ao dispositivo virtual de operações desconectadas. Você deve considerar a capacidade extra para cargas de trabalho de VM ou AKS em seu planejamento de capacidade.
| Especificação | Configuração mínima |
|---|---|
| Número mínimo de nós | 3 nós |
| Memória mínima por nó | 64 GB |
| Núcleos mínimos por nó | 24 núcleos físicos |
| Armazenamento mínimo por nó | SSD/NVMe de 2 TB |
| Armazenamento mínimo da unidade de arranque | SSD/NVMe DE 480 GB |
| Rede | Há suporte para Switchless e Switched: Considerações de rede para implantações em nuvem do Azure Local, versão 23H2 Nota: As configurações sem comutador funcionam apenas para o tamanho do cluster de três nós. |
Requisitos de integração
Você deve integrar com ativos de datacenter existentes que precisam ser pré-implantados e configurados antes de iniciar o processo de implantação de operações desconectadas.
A tabela a seguir lista os requisitos para implantar e executar operações desconectadas com êxito em instâncias locais do Azure.
| Área | Sistema suportado | Utilizar |
|---|---|---|
| Identidade | Serviço de Federação do Ative Directory (ADFS) no Windows Server 2022. | O protocolo LDAP (Lightweight Directory Access Protocol) fornece associação e sincronização de grupo. O ADFS autentica os usuários no portal local do Azure para gerenciar operações desconectadas usando o Open-ID Connect (OIDC). O Ative Directory (AD) é necessário para operações desconectadas. |
| Infraestrutura de chave pública (PKI) | PKIs públicas e privadas são suportadas. Se você usar uma PKI pública, os pontos de extremidade da lista de revogação de certificados (CRL) deverão estar acessíveis a partir de sua infraestrutura. Serviços de Certificados do Ative Directory (ADCS) validados como uma solução PKI privada. |
Emita certificados para proteger os pontos de extremidade de operações desconectadas (TLS) locais do Azure. |
| Network Time Protocol (NTP) opcional | Servidor de horário local ou público. | O servidor de tempo sincroniza o relógio do sistema. |
| Sistema de Nomes de Domínio (DNS) | Qualquer servidor DNS, como a função DNS no Windows Server. | O serviço DNS é necessário na rede local para resolver pontos de extremidade de operações desconectadas do Azure Local e configurar IPs de entrada. Quando você executa o dispositivo para operações desconectadas em um modo conectado, um servidor DNS é necessário para resolver nomes de domínio da Microsoft para registro em log e telemetria. |
Para obter informações sobre como implantar e configurar os componentes de integração, consulte:
- Instalar e configurar o Servidor DNS no Windows Server
- Serviço de Tempo do Windows
- Descrição Geral dos Serviços de Domínio do Active Directory
- O que são os Serviços de Certificados do Ative Directory?
- Implementar e gerenciar os Serviços de Certificados do Ative Directory
- Implantação do ADFS 2016
- Opções de design do ADFS para Windows Server
Requisitos de acesso
Para configurar com êxito operações desconectadas e criar os recursos necessários, você precisa de acesso e permissões apropriados para criar e modificar os seguintes recursos:
| Componente | Acesso necessário |
|---|---|
| AD + ADFS | Crie uma conta de serviço com acesso de leitura para a unidade organizacional para facilitar a integração LDAP. Exporte a configuração para ADFS (OIDC). |
| DNS | Acesso para criar registros DNS ou zonas para fornecer pesquisas para um ponto de extremidade de operações desconectado. |
| PKI | Capacidade de criar e exportar certificados para proteger pontos de extremidade de operações desconectados (TLS). |
| Rede | Acesso ao firewall (se um firewall local for implementado) para garantir que as alterações necessárias possam ser feitas. |
Pré-visualizar critérios de participação
Para participar da visualização, você deve atender aos seguintes critérios:
Enterprise agreement: um contrato empresarial atual com a Microsoft, normalmente abrangendo um período de pelo menos três anos.
As empresas precisam operar desconectadas: o recurso de operações desconectadas é para aqueles que não podem se conectar ao Azure devido a problemas de conectividade ou restrições regulatórias. Para ser elegível para a visualização, você deve demonstrar uma necessidade comercial válida para operar desconectado. Para obter mais informações, consulte Por que usar operações desconectadas?.
Pré-requisitos técnicos: sua organização deve atender aos requisitos técnicos para garantir uma operação segura e confiável ao operar desconectada para o Azure Local. Para obter mais informações, veja os Pré-requisitos.
Hardware: o recurso de operações desconectadas é suportado no hardware Local do Azure validado durante a visualização. Você deve trazer seu próprio hardware Local do Azure validado. Para obter uma lista de configurações suportadas, consulte o catálogo de soluções locais do Azure.
Começar agora
Para aceder à pré-visualização, deve preencher este formulário e aguardar a aprovação. Você deve ser informado de seu status, aprovado, rejeitado, enfileirado ou precisar de mais informações, no prazo de 10 dias úteis após o envio do formulário.
Se aprovado, você receberá mais instruções sobre como adquirir, baixar e operar desconectado para o Azure Local.