你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Stack Edge 的断开连接方案

  • 项目

适用于:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

本文可帮助确定当需要使用已从 Internet 断开的 Azure Stack Edge 时要考虑的事项。

通常,Azure Stack Edge 部署在连接的场景中,并可以在云中访问 Azure 门户、服务和资源。 但有时出于安全性或其他限制的原因,需要在没有 Internet 连接的环境中部署 Azure Stack Edge 设备。 这样 Azure Stack Edge 便成为一个独立部署,与 Azure 和其他 Azure 服务均断开连接且不与之通信。

假设

在将 Azure Stack Edge 设备与支持 Internet 访问的网络断开连接之前,需要做以下准备:

  • 为了确保大多数 Azure Stack Edge 功能能在这种断开连接的模式下运行,将通过 Azure 门户激活设备,并在连接 Internet 时部署容器化和非容器化工作负载,如 Kerberos、虚拟机 (VM) 和 IoT Edge 用例。

    在脱机使用期间,将无法通过访问 Azure 门户来管理工作负载;所有管理工作将通过本地控制平面操作来实施。 有关脱机使用期间无法访问的 Azure 终结点的列表,请参阅防火墙规则的 URL 模式

  • 对于 IoT Edge 和 Kubernetes 部署,需要在断开连接之前完成以下任务:

    1. 启用和配置 IoT Edge 和/或 Kubernetes 组件。
    2. 在设备上部署计算模块和容器。
    3. 确保模块和组件正在运行。

    有关 Kubernetes 部署指南,请参阅选择部署类型。 有关 IoT Edge 部署指南,请参阅使用 IoT Edge 模块在 Azure Stack Edge 上运行计算工作负载

    注意

    在 VM、Kerberos 和 IoT Edge 中运行的某些工作负载可能需要连接到 Azure。 例如,某些 Azure AI 服务需要连接进行计费。

断开连接使用场景的主要区别

当断开 Azure Stack Edge 部署的连接时,它将无法访问 Azure 终结点。 缺少这一访问权限会影响可用的功能。

下表描述了设备断开连接时功能和组件的行为。

Azure Stack Edge 功能/组件 断开连接时的影响/行为
本地 UI 和 Windows PowerShell 接口 通过将客户端计算机直接连接到设备,可以通过本地 Web UI 或 Windows PowerShell 接口进行本地访问。
Kubernetes 断开连接的设备上的 Kubernetes 部署有以下不同之处:
  • 创建 Kubernetes 群集后,可以使用本机工具(如 kubectl)从设备本地连接到并管理群集。 通过使用 kubectlkubeconfig 文件支持 Kubernetes 客户端直接与 Kubernetes 群集通信,而无需连接到设备的 PowerShell 接口。 获得配置文件后,可以使用 kubectl 命令指导群集,而无需对群集的物理访问权限。 有关详细信息,请参阅在 Azure Stack Edge Pro GPU 设备上创建和管理 Kubernetes 群集
  • Azure Stack Edge 有一个本地容器注册表 - Edge 容器注册表 - 并通过它来托管容器映像。 当设备断开连接后,你需要管理这些映像的部署,需要通过本地网络将其推送到 Edge 容器注册表中以及从其中将其删除。 无法直接访问云中的 Azure 容器注册表。 有关详细信息,请参阅在 Azure Stack Edge Pro GPU 设备上启用 Edge 容器注册表
  • 无法使用 Azure Monitor 监视 Kubernetes 群集。 请改为使用计算网络上可用的本地 Kubernetes 仪表板。 有关详细信息,请参阅通过 Kubernetes 仪表板监视 Azure Stack Edge Pro 设备
有关详细信息,请参阅 Azure Stack Edge Pro GPU 设备上的 Kubernetes
Kubernetes 上的 Azure Arc 不能在断开连接的部署中使用启用了 Azure Arc 的 Kubernetes 部署。
已启用 Azure Arc 的数据服务 在设备上部署容器映像后,启用了 Azure Arc 的数据服务可继续在断开连接的部署中运行。 将通过本地网络来部署和管理这些映像。 将把映像推送到 Edge 容器注册表和从其中将其删除。 有关详细信息,请参阅管理容器注册表映像
IoT Edge IoT Edge 模块需要在连接到 Azure 的情况下进行部署和更新。 如果从 Azure 断开连接,它们可继续运行。
Azure 存储访问层 在断开连接的使用场景中:
  • Azure 存储帐户中的数据不会上传到 Azure 云中的访问层,也不会从访问层中传入帐户。
  • 无法通过设备直接访问幻影数据。 任何访问尝试都会失败、出现错误。
  • “刷新”选项无法用于将 Azure 存储帐户中的数据与 Azure 云中的共享同步。 建立连接后,数据同步将恢复。
VM 管理 在断开连接的使用场景中,可以使用本地 Azure 资源管理器 (ARM) 创建、修改、停止、启动和删除虚拟机。 但是,无法从云中将 VM 映像下载到设备。 有关详细信息,请转到通过 Azure PowerShell 在 Azure Stack Edge 设备上部署 VM
本地 ARM 本地 Azure 资源管理器 (ARM) 无需连接到 Azure 也可正常运行。 然而,在本地 ARM 的注册和配置过程中需要连接才能(例如)设置 ARM Edge 用户密码和 ARM 订阅 ID。
VPN 未连接到 Azure 时,配置的虚拟专用网络 (VPN) 将保持不变。 与 Azure 建立连接后,将通过 VPN 动态传输数据。
更新 在断开连接的情况下,无法自动从 Windows Server Update Services (WSUS) 进行更新。 若要应用更新,需要手动下载更新包,然后通过设备的本地 Web UI 来应用更新。
可支持性 /
支持日志收集 /
远程可支持性		 仍可使用 Microsoft 支持,但存在以下差异:
  • 无法通过 Azure 门户自动生成支持请求并向 Microsoft 支持部门发送日志。 而是需要通过设备的本地 Web UI 收集支持包。 Microsoft 支持部门将向你发送共享访问签名 (SAS) URI,供你将支持包上传到其中。
  • 设备断开连接时,Microsoft 无法执行远程诊断和修复。 在设备上运行命令需要与 Azure 直接通信。
计费 无论 Azure Stack Edge 设备是否连接到 Internet,订单资源或管理资源的计费都将继续。

后续步骤