Отключенные операции для локальной среды Azure (предварительная версия)
Область применения: Локальная версия Azure, версия 23H2, выпуск 2411 и более поздние версии
В этой статье описаны отключенные операции и способы их использования в развертывании и управлении локальной службой Azure.
Внимание
Эта функция сейчас доступна в режиме предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure.
Обзор
Отключенные операции для Azure Local позволяют развертывать и управлять локальными экземплярами Azure без подключения к общедоступному облаку Azure. Эта функция позволяет создавать, развертывать и управлять виртуальными машинами и контейнерными приложениями, используя службы с поддержкой Azure Arc в локальной плоскости управления, предоставляя знакомые портал Azure и интерфейс командной строки.
Зачем использовать отключенные операции?
Ниже приведены некоторые сценарии для запуска локальной службы Azure с отключенными операциями:
Суверенитет данных и соответствие требованиям. В таких секторах, как правительство, здравоохранение и финансы, существует необходимость соответствовать требованиям к месту размещения данных или соответствия требованиям. При отключении данных и управления остаются в пределах указанных организационных границ.
Удаленные или изолированные расположения. В областях с ограниченной сетевой инфраструктурой, например удаленными или защищенными регионами, отключенные операции позволяют использовать службы Azure Arc и запускать рабочие нагрузки без использования подключения к Интернету. Например, нефтяные заводы и производственные площадки.
Безопасность. Для отраслей с жесткими требованиями к безопасности отключенные операции помогают уменьшить область атак, не предоставляя системам внешние сети.
Поддерживаемые службы
Отключенные операции для локальной службы Azure поддерживают следующие службы:
| Служба | Description |
|---|---|
| Портал Azure | Предоставляет портал Azure интерфейс, аналогичный общедоступной службе Azure. |
| Azure Resource Manager (ARM) | Управление подписками, группами ресурсов, шаблонами ARM и интерфейс командной строки Azure (CLI). |
| Управление доступом на основе ролей (RBAC) | Реализуйте RBAC для подписок и групп ресурсов. |
| Управляемое удостоверение | Используйте управляемое удостоверение, назначаемое системой, для типов ресурсов, поддерживающих управляемое удостоверение. |
| Серверы с поддержкой Arc | Управление гостями виртуальной машины для виртуальных машин Arc в локальной среде Azure. |
| Виртуальные машины Arc для локальной среды Azure | Настройте виртуальные машины Windows или Linux и управляйте ими с помощью функции отключенных операций для локальной среды Azure. |
| Kubernetes с поддержкой Arc (K8s) | Подключите кластеры Kubernetes Cloud Native Computing Foundation (CNCF), развернутые на локальных виртуальных машинах Azure, обеспечивая унифицированную конфигурацию и управление ими. |
| Служба Azure Kubernetes включен Arc для локальной среды Azure | Настройка Azure Kubernetes (AKS) и управление ими в локальной среде Azure. |
| Управление локальными устройствами Azure | Создание локальных экземпляров Azure и управление ими, включая возможность добавления и удаления узлов. |
| Реестр контейнеров | Создание реестров контейнеров и управление ими для хранения и извлечения образов контейнеров и артефактов. |
| Key Vault | Создайте и управляйте хранилищами ключей для хранения и доступа к секретам. |
| Политика | Применение стандартов с помощью политик при создании новых ресурсов. |
Необходимые компоненты
Прежде чем приступить к работе, проверьте и примените соответствующие требования к оборудованию и требованиям для локальной среды Azure:
- Требования к системе для локальной службы Azure.
- Проверенные узлы или более поздние версии см . в локальном каталоге Azure.
В следующих разделах содержатся сведения о требованиях к оборудованию, интеграции и доступу к отключенным ресурсам.
Требования к аппаратному обеспечению
Виртуальное устройство для отключенных операций выполняется в локальных экземплярах Azure. Для работы локальной службы Azure с отключенными операциями необходимо запланировать дополнительную емкость для виртуального устройства. Кроме того, необходимо выполнить более высокие минимальные требования к оборудованию для развертывания и эксплуатации локальной среды Azure с отключенными операциями, так как она размещает локальную плоскость управления.
Этот контрольный список предоставляет минимальные требования к оборудованию для каждого узла, необходимого для поддержки виртуального устройства отключенных операций. Необходимо учитывать дополнительную емкость для рабочих нагрузок виртуальной машины или AKS в планировании емкости.
| Спецификация | Минимальная конфигурация |
|---|---|
| Минимальное количество узлов | 3 узла |
| Минимальная память на узел | 64 ГБ |
| Минимальные ядра на узел | 24 физических ядер |
| Минимальное хранилище на узел | 2 ТБ SSD/NVME |
| Минимальное хранилище загрузочного диска | 480 ГБ SSD/NVME |
| Network | Поддерживаются бессерверные и переключения: рекомендации по сети для облачных развертываний Azure Local, версия 23H2 Примечание. Конфигурации без переключения работают только для размера кластера трех узлов. |
Требования к интеграции
Перед началом процесса развертывания отключенных операций необходимо интегрировать с существующими ресурсами центра обработки данных, которые необходимо предварительно развернуть и настроить.
В следующей таблице перечислены требования к успешному развертыванию и запуску отключенных операций в локальных экземплярах Azure.
| Площадь | Поддерживаемая система | Использование |
|---|---|---|
| Идентификация | Служба федерации Active Directory (ADFS) в Windows Server 2022. | Протокол LDAP обеспечивает членство в группах и синхронизацию. ADFS проверяет подлинность пользователей на локальном портале Azure для управления отключенными операциями с помощью Open-ID Connect (OIDC). Для отключенных операций требуется Active Directory (AD). |
| Инфраструктура открытых ключей (PKI) | Поддерживаются частные и общедоступные PKIs. При использовании общедоступного PKI конечные точки списка отзыва сертификатов (CRL) должны быть доступны из инфраструктуры. Службы сертификатов Active Directory (ADCS) проверены как частное решение PKI. |
Выдача сертификатов для защиты конечных точек локальных отключенных операций Azure (TLS). |
| Необязательный протокол сетевого времени (NTP) | Локальный или общедоступный сервер времени. | Сервер времени синхронизирует системные часы. |
| Служба доменных имен (DNS) | Любой DNS-сервер, например роль DNS на Windows Server. | Служба DNS необходима в локальной сети для разрешения конечных точек локальных операций Azure и настройки IP-адресов входящего трафика. При запуске устройства для отключенных операций в подключенном режиме DNS-сервер требуется для разрешения доменных имен Майкрософт для ведения журнала и телеметрии. |
Сведения о развертывании и настройке компонентов интеграции см. в следующих статье:
- Установка и настройка DNS-сервера в Windows Server
- Служба времени Windows
- Обзор доменных служб Active Directory
- Что такое службы сертификатов Active Directory?
- Реализация служб сертификатов Active Directory и управление ими
- Развертывание ADFS 2016
- Варианты проектирования ADFS для Windows Server
Требования доступа
Чтобы успешно настроить отключенные операции и создать необходимые ресурсы, вам потребуется соответствующий доступ и разрешения для создания и изменения следующих ресурсов:
| Компонент | Требуется доступ |
|---|---|
| AD + ADFS | Создайте учетную запись службы с доступом на чтение для подразделения, чтобы упростить интеграцию LDAP. Экспорт конфигурации для ADFS (OIDC). |
| DNS | Доступ к созданию записей ИЛИ зон DNS для предоставления подстановок для отключенной конечной точки операций. |
| PKI | Возможность создавать и экспортировать сертификаты для защиты отсоединяемых конечных точек операций (TLS). |
| Network | Доступ к брандмауэру (если реализуется локальный брандмауэр), чтобы обеспечить выполнение необходимых изменений. |
Предварительные условия участия
Чтобы принять участие в предварительной версии, необходимо выполнить следующие условия:
Соглашение Enterprise: текущее соглашение предприятия с Корпорацией Майкрософт, обычно охватывающее по крайней мере три года.
Бизнес должен работать в отключенном режиме. Функция отключенных операций — это для тех, кто не может подключиться к Azure из-за проблем с подключением или нормативных ограничений. Чтобы иметь право на предварительную версию, необходимо продемонстрировать действительную бизнес-потребность в отключенном режиме. Дополнительные сведения см. в разделе "Зачем использовать отключенные операции?".
Технические предварительные требования. Ваша организация должна соответствовать техническим требованиям, чтобы обеспечить безопасную и надежную операцию при отключении от сети Azure Local. Дополнительные сведения см. в разделе Необходимые условия.
Оборудование. Функция отключенных операций поддерживается на проверенном локальном оборудовании Azure во время предварительной версии. Необходимо принести собственное проверенное локальное оборудование Azure. Список поддерживаемых конфигураций см. в каталоге локальных решений Azure.
Начало работы
Чтобы получить доступ к предварительной версии, необходимо выполнить эту форму и ждать утверждения. Вы должны быть проинформированы о своем состоянии, утверждении, отклонении, очереди или требуются дополнительные сведения в течение 10 рабочих дней после отправки формы.
Если утверждено, вы получите дополнительные инструкции о том, как получить, скачать и работать с отключенными для Локальной службы Azure.