Планирование развертываний без подключения к Azure для интегрированных систем Azure Stack Hub

Когда вы решите, как интегрировать Azure Stack Hub в свою среду гибридного облака, вы сможете завершить планирование развертывания Azure Stack Hub.

Вы можете развернуть и использовать Azure Stack Hub без подключения к Интернету. Но при этом вы будете ограничены хранилищем удостоверений службы федерации Active Directory (AD FS) и моделью выставления счетов на основе емкости. Мультитенантность в развертываниях без подключения к Интернету не поддерживается, так как для нее требуется использование Azure Active Directory (Azure AD).

Выбирайте этот вариант в следующих случаях:

  • существуют ограничения, например связанные с безопасностью, которые требуют развертывать Azure Stack Hub в среде, не подключенной к Интернету;
  • вам нужно заблокировать отправку данных в Azure, в том числе данные об использовании;
  • вы хотите использовать Azure Stack Hub исключительно как решение частного облака, которое развертывается в корпоративной интрасети, и вам не нужны гибридные сценарии.

Совет

Иногда среды такого типа называют сценарий подводной лодки.

Автономное развертывание не означает, что вы не сможете позднее подключить экземпляр Azure Stack Hub к Azure и реализовать гибридный сценарий для клиентской виртуальной машины. Это означает, что во время развертывания отсутствует подключение к Azure или что вы не хотите использовать Azure AD в качестве хранилища идентификаторов.

Компоненты, которые работают с ограничениями или становятся недоступными в развертываниях без подключения

Инфраструктура Azure Stack Hub рассчитана на наличие подключения к Azure, поэтому важно учитывать, что некоторые компоненты и функции работают хуже или полностью недоступны в автономном режиме.

Компонент Влияние отключенного режима
Развертывание виртуальных машин с расширением DSC для настройки виртуальной машины после развертывания. Ограничено. Расширение DSC ищет в Интернете последнюю версию WMF.
Развертывание виртуальной машины с расширением Docker для выполнения команд Docker. Ограничено. Docker ищет в Интернете последнюю версию, и этот поиск завершается ошибкой.
Ссылки на документацию на портале Azure Stack Hub. Недоступно. Не будут работать такие ссылки, как "Отправить отзыв", "Справка", "Краткое руководство" и т. д., которые используют URL-адреса.
Устранение рисков и исправление оповещений, которое ссылается на онлайн-руководство по исправлению. Недоступно. Не будут работать все ссылки на исправление оповещений, которые используют URL-адреса.
Marketplace. Возможность выбирать и добавлять пакеты для коллекции непосредственно в Azure Marketplace. Ограничено. При развертывании Azure Stack Hub в отключенном режиме вы не сможете скачать элементы Marketplace с помощью портала Azure Stack Hub. Но можно воспользоваться средством синдикации Marketplace, чтобы скачать элементы Marketplace на компьютер с подключением к Интернету, а затем передать их в среду Azure Stack Hub.
Использование учетных записей федерации Azure Active Directory для управления развертыванием Azure Stack Hub. Недоступно. Для работы этого компонента требуется возможность подключения к Azure. Вместо этого компонента следует использовать службы федерации Active Directory (AD FS) с локальным экземпляром Active Directory.
Службы приложений Ограничено. Веб-приложениям может потребоваться доступ к Интернету для получения обновленного содержимого.
Интерфейс командной строки Ограничено. Для интерфейса командной строки ограничены возможности аутентификации и подготовки субъектов-служб.
Visual Studio — Cloud Discovery Ограничено. Решение Cloud Discovery будет обнаруживать другие облака или вообще не будет работать.
Visual Studio — службы федерации Active Directory (AD FS) Ограничено. Только Visual Studio Enterprise и Visual Studio Code поддерживают аутентификацию AD FS.
Телеметрия Недоступно. Данные телеметрии для Azure Stack Hub, как и все сторонние пакеты коллекций, которые зависят от данных телеметрии.
Центр сертификации Общедоступный или внешний центр сертификации (ЦС)
Недоступно. Развертывание завершится ошибкой, если сертификаты были выданы из общедоступного ЦС, так как для доступа к службам списка отзыва сертификатов (CRL) и протокола OCSP в контексте HTTPS требуется подключение к Интернету.

Частный или внутренний центр сертификации (ЦС)
Нет влияния. В случаях, когда развертывание использует сертификаты, выданные частным ЦС, например внутренний ЦС в организации, требуется только внутренний сетевой доступ к конечной точке списка отзыва сертификатов. Подключение к Интернету не требуется, но убедитесь, что инфраструктура Azure Stack Hub имеет необходимый сетевой доступ для связи с конечной точкой списка отзыва сертификатов, определенной в расширении CDP сертификатов.
Key Vault Ограничено. Обычно при использовании Key Vault приложение читает секреты в среде выполнения. Для этого сценария приложению требуется субъект-служба в каталоге. В Azure Active Directory обычным пользователям (не администраторам) по умолчанию разрешено добавлять субъекты-службы. В Azure AD (через AD FS) это не так. Это ограничение мешает полноценной работе, так как пользователю постоянно нужно обращаться к администратору каталога, чтобы добавлять приложения.
Контейнеры Не удалось импортировать образы контейнеров в отключенном режиме из Реестра контейнеров Azure в общедоступном или другом доступном реестре Azure. Сведения об импорте образов контейнеров в Реестре контейнеров Azure см. в записи часто задаваемых вопросов в Реестре контейнеров Azure в отключенном развертывании Azure Stack Hub под управлением Kubernetes.

Дополнительные сведения

  • Дополнительные сведения об использовании, покупке, партнерах и поставщиках оборудования OEM см. на странице продукта Azure Stack Hub.
  • Сведения о стратегии развития и географической доступности интегрированных систем Azure Stack Hub см. в техническом документе: Azure Stack Hub: расширение Azure.
  • Чтобы узнать больше о пакетах и ценах Microsoft Azure Stack Hub, скачайте документ PDF.

Дальнейшие действия

Интеграция сетей Центра обработки данных