Azure 本機的離線運作(預覽)
適用於:Azure Local 2411.2 和更新版本
本文說明離線操作,以及如何在 Azure 本機的部署和管理中使用這些操作。
重要
這項功能目前為「預覽」狀態。 請參閱 Microsoft Azure 預覽版的補充使用規定。
概觀
Azure Local 的離線作業可啟用 Azure 本機實例的部署和管理,而不需要連線到 Azure 公有雲。 此功能可讓您使用從本機控制平面選取已啟用 Azure Arc 的服務,建置、部署和管理虛擬機(VM)和管理容器化應用程式,以提供熟悉的 Azure 入口網站 和 CLI 體驗。
為什麼要使用中斷連線的作業?
以下是一些以無網路連線狀態運行 Azure Local 的情境:
數據主權和合規性:在政府、醫療保健和金融等部門中,必須符合數據落地或合規性需求。 當作業中斷連線時,數據和控件會保留在指定的組織界限內。
遠端或隔離位置:在具有有限網路基礎結構的區域,例如遠端或受保護的區域,中斷聯機的作業可讓您使用 Azure Arc 服務並執行工作負載,而不需要依賴因特網連線。 例如,石油鑽機和製造地點。
安全性:對於具有嚴格安全性需求的產業,中斷聯機的作業可藉由不向外部網路公開系統來協助降低受攻擊面。
支援的服務
Azure Local 的斷線操作支援下列服務:
| 服務 | 描述 |
|---|---|
| Azure 入口網站 | 提供與 Azure 公用類似的 Azure 入口網站 體驗。 |
| Azure Resource Manager (ARM) | 管理和利用訂用帳戶、資源群組、ARM 範本和 Azure 命令列介面 (CLI)。 |
| 角色型存取控制 (RBAC) | 針對訂用帳戶和資源群組實作 RBAC。 |
| 受管理的身份 | 針對支援受控識別的資源類型,使用 系統指派的 受控識別。 |
| 已啟用 Arc 的伺服器 | 管理 Azure 環境上 Arc VM 的 VM 客體。 |
| 適用於 Azure 本機的 Arc VM | 使用 Azure 本機的斷線操作功能,設定及管理 Windows 或 Linux 虛擬機器。 |
| 已啟用 Arc 的 Kubernetes (K8s) | 連線及管理部署在 Azure 本機虛擬機上的雲端原生運算基礎 (NCF) Kubernetes 叢集,以啟用統一的設定和管理。 |
| Arc for Azure Local 所啟用的 Azure Kubernetes Service | 在 Azure 本機上設定和管理 Azure Kubernetes (AKS)。 |
| Azure 本機裝置管理 | 建立和管理 Azure 本機實例,包括新增和移除節點的能力。 |
| 容器註冊表 | 建立和管理容器登錄,以儲存和擷取容器映射和成品。 |
| 金鑰保存庫 | 建立和管理 金鑰保存庫 來儲存及存取秘密。 |
| 政策 | 在建立新資源時,透過原則強制執行標準。 |
必要條件
在開始之前,請確保您已檢閱並套用適用於 Azure Local 的正確硬體和需求。
- Azure 本機的系統需求。
- 已驗證的節點或更高版本,請參閱 Azure 本機目錄。
接下來的各節將提供有關硬體、整合及存取需求的詳情,以在離線狀態下運作。
硬體需求
中斷連線作業的虛擬設備會在 Azure 本機實例上執行。 要運行 Azure 本地離線作業,需為虛擬設備安排額外的容量。 此外,您必須符合較高的最低硬體需求,才能使用離線運作來部署及操作 Azure Local,因為它承載著本地控制平台。
此檢查清單提供您每個節點支援中斷連線作業虛擬設備所需的最低硬體需求。 您應該在容量規劃中考慮 VM 或 AKS 工作負載的額外容量。
| 規格 | 最低配置 |
|---|---|
| 節點數目下限 | 3 個節點 |
| 每個節點的最小記憶體 | 64 GB |
| 每個節點的最低核心數量 | 24 個實體核心 |
| 每個節點的最小記憶體 | 2 TB SSD/NVME |
| 最小開機磁碟驅動器記憶體 | 480 GB SSD/NVME |
| 網路 | 支援 Switchless(無交換機)和 Switched(交換機):針對 Azure 本地 雲端部署的網路考慮 注意:無交換器設定僅適用於三個節點的叢集大小。 |
整合需求
您必須與現有的資料中心資產整合,這些資產需在開始中斷連線作業部署進程前預先部署和設定。
下表列出在 Azure 本機實例上成功部署和執行中斷連線作業的需求。
| 區域 | 支援的系統 | 使用 |
|---|---|---|
| 身份 | Windows Server 2022 上的 Active Directory 同盟服務 (ADFS)。 | 輕量型目錄存取通訊協定 (LDAP) 提供群組成員資格和同步處理。 ADFS 會驗證使用者以存取 Azure 本地入口網站,並使用 OpenID Connect(OIDC)管理中斷連線的作業。 中斷聯機作業需要 Active Directory (AD)。 |
| 公鑰基礎結構 (PKI) | 支援私有和公共 PKI。 如果您使用公用 PKI,則必須從基礎結構連線到證書吊銷清單 (CRL) 端點。 Active Directory 憑證服務 (ADCS) 已驗證為私人 PKI 解決方案。 |
發行憑證以保護 Azure 本機離線操作端點(TLS)。 |
| 網路時間協定(NTP)可選 | 本機或公用時間伺服器。 | 時間伺服器會同步系統時鐘。 |
| 網域名稱系統 (DNS) | 任何 DNS 伺服器,例如 Windows Server 上的 DNS 角色。 | 在局域網路中需要 DNS 服務,以解析 Azure 離線操作端點,並配置進入 IP。 當您在連線模式中執行離線作業的設備時,需要 DNS 伺服器才能解析 Microsoft 網域名稱以進行記錄和遙測。 |
如需部署和設定整合元件的相關信息,請參閱:
- 在 Windows Server 上安裝及設定 DNS 伺服器
- Windows Time 服務
- Active Directory 網域服務概觀
- 什麼是 Active Directory 憑證服務?
- 實作和管理 Active Directory 憑證服務
- ADFS 2016 部署
- 適用於 Windows Server 的 ADFS 設計選項
存取需求
若要成功設定中斷連線的作業並建立必要的資源,您需要適當的存取權和許可權,才能建立和修改下列資源:
| 元件 | 需要存取權 |
|---|---|
| AD + ADFS | 建立具有組織單位讀取許可權的服務帳戶,以利LDAP整合。 匯出ADFS (OIDC) 的組態。 |
| DNS(網域名稱系統) | 用於查詢離線作業端點的 DNS 記錄或區域的建立存取權。 |
| PKI | 能夠建立和導出憑證,以保護中斷聯機的作業端點 (TLS)。 |
| 網路 | 確保可以存取防火牆(如果已實作本機防火牆),以便進行必要的變更。 |
預覽參與準則
若要參與預覽,您必須符合下列準則:
企業協議:目前與Microsoft簽訂的企業協議,通常涵蓋至少三年的期間。
運營需要離線作業:離線作業功能適用於因連線問題或法規限制而無法連線到 Azure 的人員。 若要符合預覽資格,您必須證明離線運作的商業需求有效性。 如需詳細資訊,請參閱 為何使用離線操作?。
技術必要條件:貴組織必須符合技術需求,以確保在 Azure Local 上離線運行時的安全且可靠的操作。 如需詳細資訊,請參閱必要條件。
硬體:在預覽期間,已驗證的 Azure 本機硬體支援已中斷連線的作業功能。 您必須自備自己已驗證的 Azure 本機硬體。 如需支援的組態清單,請參閱 Azure 本機解決方案目錄。
開始
若要存取預覽,您必須完成此 表單 並等候核准。 您應在提交表單後的 10 個工作天內收到有關您的狀態的通知,例如核准、拒絕、列入佇列或需要更多資訊。
如果獲得核准,您將收到進一步指示,告知如何取得、下載及操作脫機版本的 Azure 本地版本。
此功能僅適用於 Azure Local 2411.2。