Azure 本機中斷連線的作業 (預覽)
適用於:Azure 本機版本 23H2,版本 2411 和更新版本
本文說明中斷連線的作業,以及如何在 Azure 本機的部署和管理中使用它們。
重要
這項功能目前為「預覽」狀態。 請參閱 Azure 預覽版Microsoft補充使用規定。
概觀
Azure Local 的已中斷連線作業可啟用 Azure 本機實例的部署和管理,而不需要連線到 Azure 公用雲端。 此功能可讓您使用從本機控制平面選取已啟用 Azure Arc 的服務,建置、部署和管理虛擬機(VM)和管理容器化應用程式,以提供熟悉的 Azure 入口網站 和 CLI 體驗。
為什麼要使用中斷連線的作業?
以下是使用中斷連線作業執行 Azure Local 的一些案例:
數據主權和合規性:在政府、醫療保健和金融等部門中,必須符合數據落地或合規性需求。 當作業中斷連線時,數據和控件會保留在指定的組織界限內。
遠端或隔離位置:在具有有限網路基礎結構的區域,例如遠端或受保護的區域,中斷聯機的作業可讓您使用 Azure Arc 服務並執行工作負載,而不需要依賴因特網連線。 例如,石油鑽機和製造地點。
安全性:對於具有嚴格安全性需求的產業,中斷聯機的作業可藉由不向外部網路公開系統來協助降低受攻擊面。
支援的服務
Azure 本機中斷連線的作業支援下列服務:
| Service | 描述 |
|---|---|
| Azure 入口網站 | 提供與 Azure 公用類似的 Azure 入口網站 體驗。 |
| Azure Resource Manager (ARM) | 管理和利用訂用帳戶、資源群組、ARM 範本和 Azure 命令列介面 (CLI)。 |
| 角色型存取控制 (RBAC) | 針對訂用帳戶和資源群組實作 RBAC。 |
| 受控識別 | 針對支援受控識別的資源類型,使用 系統指派的 受控識別。 |
| 已啟用 Arc 的伺服器 | 管理 Azure 本機上 Arc VM 的 VM 客體。 |
| 適用於 Azure 本機的 Arc VM | 使用 Azure 本機的已中斷連線作業功能,設定及管理 Windows 或 Linux 虛擬機。 |
| 已啟用 Arc 的 Kubernetes (K8s) | 連線及管理部署在 Azure 本機虛擬機上的雲端原生運算基礎 (NCF) Kubernetes 叢集,以啟用統一的設定和管理。 |
| Arc for Azure Local 所啟用的 Azure Kubernetes Service | 在 Azure 本機上設定和管理 Azure Kubernetes (AKS)。 |
| Azure 本機裝置管理 | 建立和管理 Azure 本機實例,包括新增和移除節點的能力。 |
| Container Registry | 建立和管理容器登錄,以儲存和擷取容器映射和成品。 |
| 金鑰保存庫 | 建立和管理 金鑰保存庫 來儲存及存取秘密。 |
| 原則 | 在建立新資源時,透過原則強制執行標準。 |
必要條件
開始之前,請確定您檢閱並套用 Azure 本機的適當硬體和需求:
- Azure 本機的系統需求。
- 已驗證的節點或更新版本,請參閱 Azure 本機目錄。
下一節提供硬體、整合和存取需求的詳細數據,以中斷聯機運作。
硬體需求
中斷連線作業的虛擬設備會在 Azure 本機實例上執行。 若要使用中斷連線的作業操作 Azure Local,您必須規劃虛擬設備的額外容量。 此外,您必須符合較高的最低硬體需求,才能使用中斷連線的作業來部署及操作 Azure Local,因為它裝載本機控制平面。
此檢查清單提供您每個節點支援中斷連線作業虛擬設備所需的最低硬體需求。 您應該在容量規劃中考慮 VM 或 AKS 工作負載的額外容量。
| 規格 | 最小組態 |
|---|---|
| 節點數目下限 | 3 個節點 |
| 每個節點的最小記憶體 | 64 GB |
| 每個節點的核心下限 | 24 個實體核心 |
| 每個節點的最小記憶體 | 2 TB SSD/NVME |
| 最小開機磁碟驅動器記憶體 | 480 GB SSD/NVME |
| 網路 | 支援無交換器和交換器: Azure 本機 23H2 版雲端部署的網路考慮 注意:無交換器設定僅適用於三個節點的叢集大小。 |
整合需求
您必須與必須預先部署和設定的現有資料中心資產整合,才能開始中斷聯機的作業部署程式。
下表列出在 Azure 本機實例上成功部署和執行中斷連線作業的需求。
| 區域 | 支援的系統 | 使用 |
|---|---|---|
| 身分識別 | Windows Server 2022 上的 Active Directory 同盟服務 (ADFS)。 | 輕量型目錄存取通訊協定 (LDAP) 提供群組成員資格和同步處理。 ADFS 會向 Azure 本機入口網站驗證使用者,以使用 Open-ID Connect (OIDC) 管理中斷連線的作業。 中斷聯機作業需要 Active Directory (AD)。 |
| 公鑰基礎結構 (PKI) | 支援私人和公用 PKIS。 如果您使用公用 PKI,則必須從基礎結構連線到證書吊銷清單 (CRL) 端點。 Active Directory 憑證服務 (ADCS) 已驗證為私人 PKI 解決方案。 |
發行憑證以保護 Azure 本機中斷連線的作業端點 (TLS)。 |
| 網路時間通訊協定 (NTP) 選用 | 本機或公用時間伺服器。 | 時間伺服器會同步處理系統時鐘。 |
| 網域名稱系統 (DNS) | 任何 DNS 伺服器,例如 Windows Server 上的 DNS 角色。 | 局域網路中需要 DNS 服務,才能解析 Azure 本機中斷連線的作業端點,並設定輸入 IP。 當您在連線模式中執行已中斷連線作業的設備時,需要 DNS 伺服器才能解析Microsoft功能變數名稱以進行記錄和遙測。 |
如需部署和設定整合元件的相關信息,請參閱:
- 在 Windows Server 上安裝及設定 DNS 伺服器
- Windows Time 服務
- Active Directory 網域服務概觀
- 什麼是 Active Directory 憑證服務?
- 實作和管理 Active Directory 憑證服務
- ADFS 2016 部署
- 適用於 Windows Server 的 ADFS 設計選項
存取需求
若要成功設定中斷連線的作業並建立必要的資源,您需要適當的存取權和許可權,才能建立和修改下列資源:
| 元件 | 需要存取權 |
|---|---|
| AD + ADFS | 建立具有組織單位讀取許可權的服務帳戶,以利LDAP整合。 匯出ADFS (OIDC) 的組態。 |
| DNS | 建立 DNS 記錄或區域的存取權,以提供中斷連線作業端點的查閱。 |
| PKI | 能夠建立和導出憑證,以保護中斷聯機的作業端點 (TLS)。 |
| 網路 | 防火牆的存取權(如果實作本機防火牆),以確保可以完成必要的變更。 |
預覽參與準則
若要參與預覽,您必須符合下列準則:
Enterprise 合約:目前具有Microsoft的企業合約,通常涵蓋至少三年的期間。
商務需要中斷連線:已中斷連線的作業功能適用於因連線問題或法規限制而無法連線到 Azure 的人員。 若要符合預覽資格,您必須示範中斷聯機作業的有效商務需求。 如需詳細資訊,請參閱 為何使用中斷聯機的作業?。
技術必要條件:貴組織必須符合技術需求,以確保 Azure 本機的作業中斷連線時,安全且可靠的作業。 如需詳細資訊,請參閱必要條件。
硬體:在預覽期間,已驗證的 Azure 本機硬體支援已中斷連線的作業功能。 您必須自備已驗證的 Azure 本機硬體。 如需支援的組態清單,請參閱 Azure 本機解決方案目錄。
開始使用
若要存取預覽,您必須完成此 表單 並等候核准。 您應該在提交表單的 10 個工作天內收到狀態、核准、拒絕、已排入佇列或需要更多資訊的通知。
如果核准,您會收到有關如何取得、下載及操作已中斷 Azure 本機連線的進一步指示。