Decisões de planeamento da implementação desligada do Azure para sistemas integrados do Azure Stack Hub
Depois de decidir como irá integrar o Azure Stack Hub no seu ambiente de cloud híbrida, pode concluir as suas decisões de implementação do Azure Stack Hub.
Pode implementar e utilizar o Azure Stack Hub sem uma ligação à Internet. No entanto, com uma implementação desligada, está limitado a um arquivo de identidades Serviços de Federação do Active Directory (AD FS) (AD FS) e ao modelo de faturação baseado na capacidade. Uma vez que a multi-inquilino requer a utilização de Microsoft Entra ID, a multi-inquilino não é suportada para implementações desligadas.
Escolha esta opção se:
- Tem restrições de segurança ou outras que exigem que implemente o Azure Stack Hub num ambiente que não esteja ligado à Internet.
- Quer bloquear o envio de dados (incluindo dados de utilização) para o Azure.
- Quer utilizar o Azure Stack Hub puramente como uma solução de nuvem privada implementada na intranet empresarial e que não está interessada em cenários híbridos.
Dica
Por vezes, este tipo de ambiente também é referido como um cenário submarino.
Uma implementação desligada não o impede de ligar posteriormente a instância do Azure Stack Hub ao Azure para cenários de VM de inquilino híbrido. Significa que não tem conectividade com o Azure durante a implementação ou não quer utilizar Microsoft Entra ID como arquivo de identidades.
Funcionalidades com deficiência ou indisponíveis em implementações desligadas
O Azure Stack Hub foi concebido para funcionar melhor quando está ligado ao Azure, pelo que é importante ter em atenção que existem algumas funcionalidades que estão indisponíveis ou estão totalmente indisponíveis no modo desligado.
Funcionalidade | Impacto no modo Desligado |
---|---|
Implementação da VM com a extensão DSC para configurar a VM após a implementação | Deficientes – a extensão DSC procura na Internet o WMF mais recente. |
Implementação da VM com a Extensão do Docker para executar comandos do Docker | Deficientes – o Docker verificará a versão mais recente da Internet e esta verificação falhará. |
Ligações de documentação no Portal do Azure Stack Hub | Indisponível – as ligações como Enviar Comentários, Ajuda e Início Rápido que utilizam um URL da Internet não funcionarão. |
Remediação/mitigação de alertas que referencia um guia de remediação online | Indisponível – quaisquer ligações de remediação de alertas que utilizem um URL da Internet não funcionarão. |
Marketplace – a capacidade de selecionar e adicionar pacotes da Galeria diretamente a partir do Azure Marketplace | Deficientes – quando implementa o Azure Stack Hub num modo desligado, não pode transferir itens do marketplace com o portal do Azure Stack Hub. No entanto, pode utilizar a ferramenta de distribuição do marketplace para transferir os itens do marketplace para um computador com conectividade Internet e, em seguida, transferi-los para o ambiente do Azure Stack Hub. |
Utilizar Microsoft Entra contas de federação para gerir uma implementação do Azure Stack Hub | Indisponível – esta funcionalidade requer conectividade ao Azure. O AD FS com uma instância local do Active Directory tem de ser utilizado. |
Serviços Aplicacionais | Deficientes – as WebApps podem exigir acesso à Internet para conteúdos atualizados. |
Interface de Linha de Comandos (CLI) | Deficientes – a CLI tem funcionalidade reduzida para autenticação e aprovisionamento de principais de serviço. |
Visual Studio - Cloud Discovery | Deficientes – a Cloud Discovery irá detetar clouds diferentes ou não funcionará de todo. |
Visual Studio - AD FS | Deficientes – apenas o Visual Studio Enterprise e o Visual Studio Code suportam a autenticação do AD FS. |
Telemetria | Indisponível – dados telemétricos para o Azure Stack Hub e quaisquer pacotes de galeria de terceiros que dependam de dados telemétricos. |
Autoridade de Certificação (AC) |
Autoridade de Certificação Pública/Externa (AC) Indisponível – a implementação falhará se os certificados forem emitidos a partir de uma AC pública, uma vez que é necessária conectividade à Internet para aceder aos serviços Lista de Revogação de Certificados (CRL) e Protocolo OCSP (Online Certificate Status Protocol) no contexto de HTTPS. Autoridade de Certificação Privada/Interna (AC) Sem impacto – nos casos em que a implementação utiliza certificados emitidos por uma AC privada, como uma AC interna numa organização, só é necessário acesso de rede interna ao ponto final da CRL. A conectividade à Internet não é necessária, mas deve verificar se a infraestrutura do Azure Stack Hub tem o acesso de rede necessário para contactar o ponto final de CRL definido na extensão CDP de certificados. |
Key Vault | Deficientes – um caso de utilização comum para Key Vault é ter uma aplicação a ler segredos no runtime. Para este caso de utilização, a aplicação precisa de um principal de serviço no diretório. No Microsoft Entra ID, os utilizadores normais (não administradores) têm, por predefinição, permissão para adicionar principais de serviço. No Microsoft Entra ID (com o AD FS), não o são. Esta deficiência coloca um obstáculo na experiência ponto a ponto, porque é necessário passar sempre por um administrador de diretórios para adicionar qualquer aplicação. |
Contentores | Deficientes – não é possível importar imagens de contentor no modo desligado de um Azure Container Registry no Azure público ou noutro registo acessível. Veja Entrada de FAQ no Azure Container Registry no Azure Stack Hub para obter informações sobre como importar imagens de contentor no Azure Container Registry para uma implementação desligada do Azure Stack Hub com o Kubernetes. |
Saber mais
- Para obter informações sobre casos de utilização, compras, parceiros e fornecedores de hardware OEM, veja a página de produtos do Azure Stack Hub .
- Para obter informações sobre o mapa de objetivos e a georrespetiva dos sistemas integrados do Azure Stack Hub, veja o documento técnico: Azure Stack Hub: Uma extensão do Azure.
- Para saber mais sobre o empacotamento e os preços do Microsoft Azure Stack Hub, transfira o .pdf.