Решения по планированию развертывания в отключенном режиме Azure для интегрированных систем Azure Stack Hub
После того как вы решите , как интегрировать Azure Stack Hub в вашу гибридную облачную среду, можно приступить к окончательным решениям по развертыванию Azure Stack Hub.
Вы можете развернуть и использовать Azure Stack Hub без подключения к Интернету. Однако при отключенном развертывании вы ограничены использованием хранилища удостоверений для служб федерации Active Directory (AD FS) и моделью выставления счетов, основанной на емкости. Так как для мультитенантности требуется использование идентификатора Microsoft Entra, мультитенантность не поддерживается для отключенных развертываний.
Выберите этот параметр, если:
- У вас есть ограничения безопасности или другие ограничения, требующие развертывания Azure Stack Hub в среде, которая не подключена к Интернету.
- Вы хотите заблокировать отправку данных (включая данные об использовании) в Azure.
- Вы хотите использовать Azure Stack Hub исключительно как частное облачное решение, развернутое в корпоративной интрасети, и не заинтересованы в гибридных сценариях.
Подсказка
Этот тип среды также называется сценарием подводной среды .
Отключенное развертывание не ограничивает возможность последующего подключения вашего экземпляра Azure Stack Hub к Azure для гибридных сценариев виртуальных машин арендаторов. Это означает, что у вас нет подключения к Azure во время развертывания или вы не хотите использовать идентификатор Microsoft Entra в качестве хранилища удостоверений.
Функции, которые ограничены или недоступны в автономных развертываниях
Azure Stack Hub был разработан для оптимальной работы при подключении к Azure, поэтому важно отметить, что в режиме отключения некоторые функции и возможности либо ограничены, либо полностью недоступны.
| Особенность | Влияние в отключенном режиме |
|---|---|
| Развертывание виртуальных машин с расширением DSC для настройки виртуальной машины после развертывания | Недоступность - расширение DSC обращается к интернету за самой последней версией WMF. |
| Развертывание виртуальной машины с расширением Docker для выполнения команд Docker | Нарушения — Docker проверяет Интернет для последней версии, и эта проверка завершается ошибкой. |
| Ссылки на документацию на портале Azure Stack Hub | Недоступно — ссылки, такие как «Предоставление отзывов», «Справка» и «Краткое руководство», которые используют URL-адрес, не работают. |
| Устранение/смягчение оповещений, ссылающееся на онлайн руководство по исправлению | Недоступно. Все ссылки на исправление оповещений, использующие URL-адрес Интернета, не работают. |
| Marketplace — возможность выбора и добавления пакетов коллекции непосредственно из Azure Marketplace | Нарушения. При развертывании Azure Stack Hub в отключенном режиме невозможно скачать элементы Marketplace с помощью портала Azure Stack Hub. Однако вы можете использовать средство синдикации для скачивания элемента Marketplace на компьютер, имеющий подключение к Интернету, а затем передать их в среду Azure Stack Hub. |
| Использование учетных записей федерации Microsoft Entra для управления развертыванием Azure Stack Hub | Недоступно. Для этой функции требуется подключение к Azure. Вместо этого необходимо использовать AD FS с локальным экземпляром Active Directory. |
| Службы приложений | Ограниченный: Веб-приложения могут требовать доступ к Интернету для обновления содержания. |
| Интерфейс командной строки (CLI) | Ограниченные возможности. Интерфейс командной строки имеет ограниченные функциональные возможности для проверки подлинности и создания субъектов-служб. |
| Visual Studio — облачное обнаружение | Нарушения — Cloud Discovery либо обнаруживает разные облака, либо не работает вообще. |
| Visual Studio — AD FS | Ограничения - Только Visual Studio Enterprise и Visual Studio Code поддерживают аутентификацию AD FS. |
| Телеметрия | Недоступно — Данные телеметрии для Azure Stack Hub и любых сторонних пакетов галереи, зависящих от данных телеметрии. |
| Центр сертификации (ЦС) |
Общедоступного или внешнего центра сертификации (ЦС) Недоступно. Развертывание завершается ошибкой, если сертификаты были выданы из общедоступного ЦС, так как подключение к Интернету требуется для доступа к службам списка отзыва сертификатов (CRL) и протокола OCSP в контексте HTTPS. частный/внутренний центр сертификации (ЦС) Не влияет. В случаях, когда развертывание использует сертификаты, выданные частным ЦС, например внутренний ЦС в организации, требуется только внутренний сетевой доступ к конечной точке списка отзыва сертификатов. Подключение к Интернету не требуется, но убедитесь, что инфраструктура Azure Stack Hub имеет необходимый сетевой доступ для связи с конечной точкой CRL, определенной в расширении CDP сертификатов. |
| хранилище ключей | Нарушенные функции: Одна из распространенных ситуаций использования Key Vault заключается в том, чтобы приложение читало секреты во время выполнения. В этом случае приложению требуется субъект-служба в каталоге. В Microsoft Entra ID обычные пользователи (неадминистраторы) по умолчанию могут добавлять учетные записи службы. В Microsoft Entra ID (с использованием AD FS) их нет. Это ограничение создает препятствие для целостного взаимодействия, так как для добавления любого приложения необходимо всегда обращаться к администратору каталога. |
| Контейнеры | Ограничена возможность: невозможно импортировать образы контейнеров в автономном режиме из реестра контейнеров Azure в общедоступном или другом доступном реестре. Информацию о том, как импортировать образы контейнеров в реестр контейнеров Azure в отключённое окружение Azure Stack Hub с использованием Kubernetes, смотрите в разделе Реестр контейнеров Azure на Azure Stack Hub. |
Дальнейшие действия
- Сведения о вариантах использования, покупках, партнерах и поставщиках оборудования OEM см. на странице
продукта Azure Stack Hub. - Сведения о стратегии и геодоступности интегрированных систем Azure Stack Hub см. в статье Azure Stack Hub: расширение Azure.
- Чтобы ознакомиться с информацией об упаковке и ценах на Microsoft Azure Stack Hub, скачайте руководство по ценам.pdf.
- интеграция сети центра обработки данных