適用於 Azure Stack Hub 整合式系統的 Azure 中斷連線部署規劃決策
在您決定如何將 Azure Stack Hub 整合到您的混合式雲端環境之後,即可完成您的 Azure Stack Hub 部署決策。
您不必連線到網際網路即可部署並使用 Azure Stack Hub。 不過,在已中斷連線的部署中,您會受限於 Active Directory 同盟服務 (AD FS) 身分識別存放區和容量型計費模型。 由於多租使用者需要使用Microsoft Entra識別碼,因此不支援中斷連線的部署使用多租使用者。
選擇此選項的前提:
- 您受到安全性或其他限制,讓您必須在未連線到網際網路的環境中部署 Azure Stack Hub。
- 您想要讓資料 (包括使用量資料) 無法傳送到 Azure。
- 您想要純粹使用 Azure Stack Hub 作為部署到您公司內部網路的私人雲端解決方案,而且對於混合式案例沒有興趣。
提示
這種環境有時也稱為「潛水艇案例」。
已中斷連線的部署不會限制您稍後在混合式租用戶 VM 案例中,將 Azure Stack Hub 執行個體連線到 Azure。 這表示您在部署期間沒有 Azure 的連線能力,或不想使用Microsoft Entra識別碼作為身分識別存放區。
中斷連線部署中受損或無法使用的功能
依照設計,Azure Stack Hub 在連線至 Azure 時的效能最佳,所以請注意,有一些特性和功能在中斷連線模式下會受損或完全無法使用。
| 功能 | 中斷連線模式的影響 |
|---|---|
| 使用 DSC 擴充功能設定 VM 後續部署的 VM 部署 | 受損 - DSC 擴充功能會依賴網際網路取得最新 WMF。 |
| 使用 Docker 擴充功能執行 Docker 命令的 VM 部署 | 受損 - Docker 會檢查網際網路中的最新版本,而且這項檢查會失敗。 |
| Azure Stack Hub 入口網站中的文件連結 | 無法使用 - 使用網際網路 URL 的連結 (例如「提供意見反應」、「說明」、「快速入門」) 將無法運作。 |
| 參考線上補救指南的警示補救/緩和方法 | 無法使用 - 任何使用網際網路 URL 的警示補救連結將無法運作。 |
| Marketplace - 能夠直接從 Azure Marketplace 選取及新增資源庫套件 | 受損 - 當您以中斷連線模式部署 Azure Stack Hub 時,您無法透過 Azure Stack Hub 入口網站下載 Marketplace 項目。 不過,您可使用 Marketplace 摘要整合工具將 Marketplace 項目下載至具有網際網路連線的電腦,再將其傳輸至 Azure Stack Hub 環境。 |
| 使用Microsoft Entra同盟帳戶來管理 Azure Stack Hub 部署 | 無法使用 - 這項功能需要連線到 Azure。 必須改為使用具有本機 Active Directory 執行個體的 AD FS。 |
| 應用程式服務 | 受損 - WebApps 可能需要存取網際網路以取得更新的內容。 |
| 命令列介面 (CLI) | 受損 - CLI 降低了服務主體的驗證和佈建功能。 |
| Visual Studio - Cloud Discovery | 受損 - Cloud Discovery 會探索不同的雲端,或完全無法運作。 |
| Visual Studio - AD FS | 受損 - 只有 Visual Studio Enterprise 和 Visual Studio Code 支援 AD FS 驗證。 |
| 遙測 | 無法使用 - Azure Stack Hub 的遙測資料,以及相依於遙測資料的任何第三方資源庫套件。 |
| 憑證授權單位 (CA) | 公用/外部憑證授權單位 (CA) 無法使用 - 如果憑證是從公用 CA 發行,部署將會失敗,因為需要網際網路連線才能在 HTTPS 的內容中存取憑證撤銷清單 (CRL) 和線上憑證狀態通訊協定 (OCSP) 服務。 私人/內部憑證授權單位 (CA) 沒有影響 - 如果部署使用由私人 CA (例如組織內的內部 CA) 發行的憑證,則只需要對 CRL 端點的內部網路存取權。 不需要網際網路連線,但是您應該確認 Azure Stack Hub 基礎結構具有必要的網路存取權,以連線到憑證 CDP 延伸模組中定義的 CRL 端點。 |
| Key Vault | 受損 - Key Vault 的常見使用案例就是讓應用程式在執行階段讀取祕密。 在此使用案例中,應用程式在目錄中需要一個服務主體。 在Microsoft Entra識別碼中,預設允許一般使用者 (非系統管理員) 新增服務主體。 在Microsoft Entra識別碼 (使用 AD FS) ,則不是。 此種阻礙會讓端對端體驗發生困難,因為使用者一律必須透過目錄管理員新增任何應用程式。 |
| 容器 | 受損 - 無法在中斷連線的模式下,從 Azure 公用或其他可存取登錄中的 Azure Container Registry 匯入容器映像。 如需將 Azure Container Registry 的容器映像,匯入執行 Kubernetes 的中斷連線 Azure Stack Hub 部署詳細資訊,請在 Azure Stack Hub 上的 Azure Container Registry 上參閱常見問題。 |
深入了解
- 如需使用案例、購買、合作夥伴和 OEM 硬體廠商的詳細資訊,請參閱 Azure Stack Hub 產品頁面。
- 如需 Azure Stack Hub 整合系統的藍圖和地區可用性資訊,請參閱技術白皮書:Azure Stack Hub:Azure 的延伸模組。
- 若要深入了解 Microsoft Azure Stack Hub 套件和定價,請下載此 .pdf。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應