Operazioni disconnesse per Azure Locale (anteprima)
Si applica a: Locale di Azure, versione 23H2, versione 2411 e successive
Questo articolo descrive le operazioni disconnesse e come possono essere usate nella distribuzione e nella gestione dell'istanza locale di Azure.
Importante
La funzionalità è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.
Panoramica
Le operazioni disconnesse per Azure Locale consentono la distribuzione e la gestione delle istanze locali di Azure senza una connessione al cloud pubblico di Azure. Questa funzionalità consente di compilare, distribuire e gestire macchine virtuali e applicazioni in contenitori usando i servizi abilitati per Azure Arc selezionati da un piano di controllo locale, offrendo un'esperienza familiare portale di Azure e interfaccia della riga di comando.
Perché usare le operazioni disconnesse?
Ecco alcuni scenari per l'esecuzione di Azure Local con operazioni disconnesse:
Sovranità e conformità dei dati: in settori come enti pubblici, sanitari e finanze, è necessario soddisfare i requisiti di residenza o conformità dei dati. Quando il funzionamento è disconnesso, i dati e il controllo rimangono entro i limiti dell'organizzazione designati.
Posizioni remote o isolate: in aree con un'infrastruttura di rete limitata, ad esempio aree remote o protette, le operazioni disconnesse consentono di usare i servizi di Azure Arc ed eseguire carichi di lavoro senza basarsi sulla connettività Internet. Ad esempio, impianti petroliferi e siti di produzione.
Sicurezza: per i settori con requisiti di sicurezza rigorosi, le operazioni disconnesse contribuiscono a ridurre la superficie di attacco non esponendo i sistemi alle reti esterne.
Servizi supportati
Le operazioni disconnesse per Azure Local supportano i servizi seguenti:
| Servizio | Descrizione |
|---|---|
| Portale di Azure | Offre un'esperienza di portale di Azure simile a Quella pubblica di Azure. |
| Azure Resource Manager (ARM) | Gestire e usare sottoscrizioni, gruppi di risorse, modelli di Resource Manager e interfaccia della riga di comando di Azure (INTERFACCIA della riga di comando). |
| Controllo degli accessi in base al ruolo | Implementare il controllo degli accessi in base al ruolo per sottoscrizioni e gruppi di risorse. |
| Identità gestita | Usare l'identità gestita assegnata dal sistema per i tipi di risorse che supportano l'identità gestita. |
| Server con abilitazione di Arc | Gestire gli utenti guest della macchina virtuale per le macchine virtuali Arc in Locale di Azure. |
| Macchine virtuali Arc per Azure Locale | Configurare e gestire macchine virtuali Windows o Linux usando la funzionalità operazioni disconnesse per Azure Locale. |
| Kubernetes abilitato per Arc (K8s) | Connettere e gestire cluster Kubernetes (CLOUD Native Computing Foundation) distribuiti in macchine virtuali locali di Azure, abilitando la configurazione e la gestione unificate. |
| servizio Azure Kubernetes abilitato da Arc per Azure Local | Configurare e gestire Azure Kubernetes (AKS) in Locale di Azure. |
| Gestione dei dispositivi locali di Azure | Creare e gestire istanze locali di Azure, inclusa la possibilità di aggiungere e rimuovere nodi. |
| Registro Container | Creare e gestire registri contenitori per archiviare e recuperare immagini e artefatti del contenitore. |
| Insieme di credenziali delle chiavi di | Creare e gestire insiemi di credenziali delle chiavi per archiviare e accedere ai segreti. |
| Criteri | Applicare gli standard tramite criteri durante la creazione di nuove risorse. |
Prerequisiti
Prima di iniziare, assicurarsi di esaminare e applicare i requisiti e l'hardware appropriati per Azure Locale:
- Requisiti di sistema per l'ambiente locale di Azure.
- Nodi convalidati o versione successiva, vedere Catalogo locale di Azure.
Le sezioni successive forniscono informazioni dettagliate sull'hardware, l'integrazione e i requisiti di accesso per il funzionamento disconnesso.
Requisiti hardware
L'appliance virtuale per le operazioni disconnesse viene eseguita nelle istanze locali di Azure. Per gestire le operazioni locali di Azure con operazioni disconnesse, è necessario pianificare una capacità aggiuntiva per l'appliance virtuale. Inoltre, è necessario soddisfare requisiti hardware minimi più elevati per distribuire e gestire Le operazioni locali di Azure con operazioni disconnesse, in quanto ospita un piano di controllo locale.
Questo elenco di controllo fornisce i requisiti hardware minimi necessari per ogni nodo per supportare l'appliance virtuale per le operazioni disconnesse. È consigliabile prendere in considerazione capacità aggiuntiva per i carichi di lavoro del servizio Azure Kubernetes o delle macchine virtuali nella pianificazione della capacità.
| Specifica | Configurazione minima |
|---|---|
| Numero minimo di nodi | 3 nodi |
| Memoria minima per nodo | 64 GB |
| Core minimi per nodo | 24 core fisici |
| Archiviazione minima per nodo | SSD/NVME da 2 TB |
| Archiviazione minima dell'unità di avvio | SSD/NVME da 480 GB |
| Rete | Sono supportati commutatori e commutatori: considerazioni sulla rete per le distribuzioni cloud di Azure locale, versione 23H2 Nota: le configurazioni senza cambio funzionano solo per le dimensioni del cluster di tre nodi. |
Requisiti di integrazione
È necessario eseguire l'integrazione con gli asset del data center esistenti che devono essere pre-distribuiti e configurati prima di avviare il processo di distribuzione delle operazioni disconnesse.
La tabella seguente elenca i requisiti per distribuire ed eseguire correttamente le operazioni disconnesse nelle istanze locali di Azure.
| Area | Sistema supportato | Utilizzo |
|---|---|---|
| Identità | Active Directory Federation Service (ADFS) in Windows Server 2022. | Lightweight Directory Access Protocol (LDAP) fornisce l'appartenenza ai gruppi e la sincronizzazione. ADFS autentica gli utenti nel portale locale di Azure per gestire le operazioni disconnesse tramite Open-ID Connect (OIDC). Active Directory (AD) è necessario per le operazioni disconnesse. |
| Infrastruttura a chiave pubblica (PKI) | Sono supportate le infrastruttura a chiave pubblica e privata. Se si usa un'infrastruttura a chiave pubblica, gli endpoint dell'elenco di revoche di certificati (CRL) devono essere raggiungibili dall'infrastruttura. Servizi certificati Active Directory (ADCS) convalidati come soluzione PKI privata. |
Rilasciare certificati per proteggere gli endpoint operativi disconnessi locali di Azure (TLS). |
| Protocollo NTP (Network Time Protocol) facoltativo | Server ora locale o pubblico. | Il server ora sincronizza l'orologio di sistema. |
| Domain Name System (DNS) | Qualsiasi server DNS, ad esempio il ruolo DNS in Windows Server. | Il servizio DNS è necessario nella rete locale per risolvere gli endpoint delle operazioni disconnesse locali di Azure e configurare gli indirizzi IP in ingresso. Quando si esegue l'appliance per le operazioni disconnesse in una modalità connessa, è necessario un server DNS per risolvere i nomi di dominio Microsoft per la registrazione e la telemetria. |
Per informazioni sulla distribuzione e la configurazione dei componenti di integrazione, vedere:
- Installare e configurare il server DNS in Windows Server
- Servizio Ora di Windows
- Active Directory Domain Services Overview (Panoramica di Active Directory Domain Services)
- Che cos'è Servizi certificati Active Directory?
- Implementare e gestire Servizi certificati Active Directory
- Distribuzione di ADFS 2016
- Opzioni di progettazione per ADFS per Windows Server
Requisiti di accesso
Per configurare correttamente le operazioni disconnesse e creare le risorse necessarie, sono necessarie le autorizzazioni e l'accesso appropriati per creare e modificare le risorse seguenti:
| Componente | Accesso richiesto |
|---|---|
| AD + ADFS | Creare un account del servizio con accesso in lettura per l'unità organizzativa per facilitare l'integrazione LDAP. Esportare la configurazione per ADFS (OIDC). |
| DNS | Accesso per creare record DNS o zone per fornire ricerche per un endpoint operativo disconnesso. |
| PKI | Possibilità di creare ed esportare certificati per proteggere gli endpoint operativi disconnessi (TLS). |
| Rete | Accesso al firewall (se è implementato un firewall locale) per garantire che sia possibile apportare le modifiche necessarie. |
Criteri di partecipazione in anteprima
Per partecipare all'anteprima, è necessario soddisfare i criteri seguenti:
Contratto Enterprise: un contratto Enterprise corrente con Microsoft, che in genere copre un periodo di almeno tre anni.
Business deve funzionare disconnesso: la funzionalità delle operazioni disconnesse è destinata a coloro che non possono connettersi ad Azure a causa di problemi di connettività o restrizioni normative. Per essere idoneo per l'anteprima, è necessario dimostrare una necessità aziendale valida per il funzionamento disconnesso. Per altre informazioni, vedere Perché usare le operazioni disconnesse?
Prerequisiti tecnici: l'organizzazione deve soddisfare i requisiti tecnici per garantire un funzionamento sicuro e affidabile quando il funzionamento è disconnesso per Azure Locale. Per altre informazioni, consulta Prerequisiti.
Hardware: la funzionalità delle operazioni disconnesse è supportata nell'hardware locale di Azure convalidato durante l'anteprima. È necessario usare l'hardware locale di Azure convalidato. Per un elenco delle configurazioni supportate, vedere il catalogo delle soluzioni locali di Azure.
Operazioni preliminari
Per accedere all'anteprima, è necessario completare il modulo e attendere l'approvazione. Si dovrebbe essere informati dello stato, approvato, rifiutato, accodato o bisogno di altre informazioni, entro 10 giorni lavorativi dall'invio del modulo.
Se approvato, si ricevono altre istruzioni su come acquisire, scaricare e usare disconnesso per Azure Locale.