Azure 本地的连接操作(预览版)

适用于:Azure 本地版本 23H2、版本 2411 及更高版本

本文介绍断开连接的操作以及如何在 Azure 本地部署和管理中使用它们。

重要

此功能目前处于预览状态。 请参阅 Azure 预览版Microsoft补充使用条款。

概述

Azure Local 的断开连接操作可部署和管理 Azure 本地实例,而无需连接到 Azure 公有云。 使用此功能,可以从本地控制平面使用选择已启用 Azure Arc 的服务生成、部署和管理虚拟机(VM)和管理容器化应用程序,从而提供熟悉的Azure 门户和 CLI 体验。

为何使用断开连接的操作?

下面是使用断开连接操作运行 Azure 本地的一些方案:

  • 数据主权和符合性:在政府、医疗保健和金融等行业,必须满足数据驻留或合规性要求。 当操作断开连接时,数据和控制将保留在指定的组织边界内。

  • 远程或隔离位置:在具有有限网络基础结构的区域(如远程或受保护区域)中,断开连接的操作允许使用 Azure Arc 服务并运行工作负载,而无需依赖 Internet 连接。 例如,石油钻机和制造地点。

  • 安全性:对于具有严格安全要求的行业,断开连接的操作通过不向外部网络公开系统来帮助减少攻击面。

支持的服务

Azure 本地的连接操作支持以下服务:

服务 说明
Azure 门户 提供类似于 Azure Public 的Azure 门户体验。
Azure 资源管理器 (ARM) 管理和利用订阅、资源组、ARM 模板和Azure 命令行接口(CLI)。
基于角色的访问控制 (RBAC) 为订阅和资源组实现 RBAC。
托管标识 对支持托管标识的资源类型使用 系统分配的 托管标识。
已启用 Arc 的服务器 在本地管理 Arc VM 的 VM 来宾。
适用于 Azure 本地的 Arc VM 使用 Azure 本地的断开连接操作功能设置和管理 Windows 或 Linux 虚拟机。
已启用 Arc 的 Kubernetes (K8s) 连接和管理部署在 Azure 本地虚拟机上的 Cloud Native Computing Foundation (CNCF) Kubernetes 群集,实现统一的配置和管理。
由 Arc for Azure Local 启用Azure Kubernetes 服务 在本地设置和管理 Azure Kubernetes (AKS)。
Azure 本地设备管理 创建和管理 Azure 本地实例,包括添加和删除节点的功能。
容器注册表 创建和管理容器注册表以存储和检索容器映像和项目。
密钥保管库 创建和管理用于存储和访问机密的密钥库。
策略 创建新资源时,通过策略强制实施标准。

先决条件

在开始之前,请确保查看并应用适用于 Azure 本地的相应硬件和要求:

下一部分提供有关硬件、集成和访问要求的详细信息,以运行断开连接。

硬件要求

用于断开连接操作的虚拟设备在 Azure 本地实例上运行。 若要使用断开连接的操作运行 Azure Local,需要规划虚拟设备的额外容量。 此外,还必须满足更高的最低硬件要求,才能使用断开连接的操作部署和操作 Azure Local,因为它托管本地控制平面。

此清单提供每个节点支持断开连接操作虚拟设备所需的最低硬件要求。 应在容量规划中考虑 VM 或 AKS 工作负荷的额外容量。

规范 最低配置
最小节点数 3 个节点
每个节点的最小内存 64 GB
每个节点的最小核心数 24 个物理核心
每个节点的最小存储数 2 TB SSD/NVME
最小启动驱动器存储 480 GB SSD/NVME
网络 支持无交换机和交换机: Azure 本地版本 23H2 云部署的网络注意事项

注意:无交换机配置仅适用于三个节点的群集大小。

集成需求

在开始断开连接的操作部署过程之前,必须与需要预先部署和配置的现有数据中心资产集成。

下表列出了在 Azure 本地实例上成功部署和运行断开连接操作的要求。

区域 支持的系统 使用
标识 Windows Server 2022 上的 Active Directory 联合身份验证服务(ADFS)。 轻型目录访问协议(LDAP)提供组成员身份和同步。

ADFS 向 Azure 本地门户的用户进行身份验证,以使用 Open-ID Connect (OIDC)管理断开连接的操作。

断开连接的操作需要 Active Directory(AD)。
公钥基础结构 (PKI) 支持专用和公用 PKIS。

如果使用公共 PKI,则必须从基础结构访问证书吊销列表(CRL)终结点。

Active Directory 证书服务(ADCS)作为专用 PKI 解决方案进行验证。
颁发证书来保护 Azure 本地断开连接的操作终结点(TLS)。
网络时间协议 (NTP) 可选 本地或公共时间服务器。 时间服务器同步系统时钟。
域名系统 (DNS) 任何 DNS 服务器,例如 Windows Server 上的 DNS 角色。 本地网络中需要 DNS 服务才能解析 Azure 本地断开连接的操作终结点并配置入口 IP。

在连接模式下运行设备以执行断开连接的操作时,DNS 服务器需要解析Microsoft域名进行日志记录和遥测。

有关部署和配置集成组件的信息,请参阅:

访问要求

若要成功配置断开连接的操作并创建必要的资源,需要适当的访问权限和权限来创建和修改以下资源:

组件 需要访问权限
AD + ADFS 为组织单位创建具有读取访问权限的服务帐户,以促进 LDAP 集成。

导出 ADFS(OIDC)的配置。
DNS 用于创建 DNS 记录或区域的访问权限,以提供对断开连接的操作终结点的查找。
PKI 能够创建和导出证书来保护断开连接的操作终结点(TLS)。
网络 访问防火墙(如果实现了本地防火墙),以确保可以完成必要的更改。

预览参与条件

若要参与预览版,必须满足以下条件:

  • 企业协议:目前与Microsoft的企业协议,通常至少涵盖三年。

  • 业务需要断开连接:断开连接的操作功能适用于因连接问题或法规限制而无法连接到 Azure 的用户。 若要有资格获得预览版,必须演示运行断开连接的有效业务需求。 有关详细信息,请参阅 为什么使用断开连接的操作?

  • 技术先决条件:组织必须满足技术要求,以确保在为 Azure Local 运行断开连接时确保安全可靠的操作。 有关详细信息,请参阅先决条件

  • 硬件:在预览版期间,已验证的 Azure 本地硬件支持断开连接的操作功能。 必须自带经验证的 Azure 本地硬件。 有关受支持的配置列表,请参阅 Azure 本地解决方案目录

开始使用

若要访问预览版,必须完成此 表单 并等待审批。 应在提交表单的 10 个工作日内通知状态、已批准、拒绝、排队或需要更多信息。

如果获得批准,将收到有关如何获取、下载和操作已断开连接的 Azure Local 的进一步说明。