Планирование развертываний без подключения к Azure для интегрированных систем Azure Stack Hub
Когда вы решите, как интегрировать Azure Stack Hub в свою среду гибридного облака, вы сможете завершить планирование развертывания Azure Stack Hub.
Вы можете развернуть и использовать Azure Stack Hub без подключения к Интернету. Но при этом вы будете ограничены хранилищем удостоверений службы федерации Active Directory (AD FS) и моделью выставления счетов на основе емкости. Мультитенантность в развертываниях без подключения к Интернету не поддерживается, так как для нее требуется использование Azure Active Directory (Azure AD).
Выбирайте этот вариант в следующих случаях:
- существуют ограничения, например связанные с безопасностью, которые требуют развертывать Azure Stack Hub в среде, не подключенной к Интернету;
- вам нужно заблокировать отправку данных в Azure, в том числе данные об использовании;
- вы хотите использовать Azure Stack Hub исключительно как решение частного облака, которое развертывается в корпоративной интрасети, и вам не нужны гибридные сценарии.
Совет
Иногда среды такого типа называют сценарий подводной лодки.
Автономное развертывание не означает, что вы не сможете позднее подключить экземпляр Azure Stack Hub к Azure и реализовать гибридный сценарий для клиентской виртуальной машины. Это означает, что во время развертывания отсутствует подключение к Azure или что вы не хотите использовать Azure AD в качестве хранилища идентификаторов.
Компоненты, которые работают с ограничениями или становятся недоступными в развертываниях без подключения
Инфраструктура Azure Stack Hub рассчитана на наличие подключения к Azure, поэтому важно учитывать, что некоторые компоненты и функции работают хуже или полностью недоступны в автономном режиме.
| Компонент | Влияние отключенного режима |
|---|---|
| Развертывание виртуальных машин с расширением DSC для настройки виртуальной машины после развертывания. | Ограничено. Расширение DSC ищет в Интернете последнюю версию WMF. |
| Развертывание виртуальной машины с расширением Docker для выполнения команд Docker. | Ограничено. Docker ищет в Интернете последнюю версию, и этот поиск завершается ошибкой. |
| Ссылки на документацию на портале Azure Stack Hub. | Недоступно. Не будут работать такие ссылки, как "Отправить отзыв", "Справка", "Краткое руководство" и т. д., которые используют URL-адреса. |
| Устранение рисков и исправление оповещений, которое ссылается на онлайн-руководство по исправлению. | Недоступно. Не будут работать все ссылки на исправление оповещений, которые используют URL-адреса. |
| Marketplace. Возможность выбирать и добавлять пакеты для коллекции непосредственно в Azure Marketplace. | Ограничено. При развертывании Azure Stack Hub в отключенном режиме вы не сможете скачать элементы Marketplace с помощью портала Azure Stack Hub. Но можно воспользоваться средством синдикации Marketplace, чтобы скачать элементы Marketplace на компьютер с подключением к Интернету, а затем передать их в среду Azure Stack Hub. |
| Использование учетных записей федерации Azure Active Directory для управления развертыванием Azure Stack Hub. | Недоступно. Для работы этого компонента требуется возможность подключения к Azure. Вместо этого компонента следует использовать службы федерации Active Directory (AD FS) с локальным экземпляром Active Directory. |
| Службы приложений | Ограничено. Веб-приложениям может потребоваться доступ к Интернету для получения обновленного содержимого. |
| Интерфейс командной строки | Ограничено. Для интерфейса командной строки ограничены возможности аутентификации и подготовки субъектов-служб. |
| Visual Studio — Cloud Discovery | Ограничено. Решение Cloud Discovery будет обнаруживать другие облака или вообще не будет работать. |
| Visual Studio — службы федерации Active Directory (AD FS) | Ограничено. Только Visual Studio Enterprise и Visual Studio Code поддерживают аутентификацию AD FS. |
| Телеметрия | Недоступно. Данные телеметрии для Azure Stack Hub, как и все сторонние пакеты коллекций, которые зависят от данных телеметрии. |
| Центр сертификации | Общедоступный или внешний центр сертификации (ЦС) Недоступно. Развертывание завершится ошибкой, если сертификаты были выданы из общедоступного ЦС, так как для доступа к службам списка отзыва сертификатов (CRL) и протокола OCSP в контексте HTTPS требуется подключение к Интернету. Частный или внутренний центр сертификации (ЦС) Нет влияния. В случаях, когда развертывание использует сертификаты, выданные частным ЦС, например внутренний ЦС в организации, требуется только внутренний сетевой доступ к конечной точке списка отзыва сертификатов. Подключение к Интернету не требуется, но убедитесь, что инфраструктура Azure Stack Hub имеет необходимый сетевой доступ для связи с конечной точкой списка отзыва сертификатов, определенной в расширении CDP сертификатов. |
| Key Vault | Ограничено. Обычно при использовании Key Vault приложение читает секреты в среде выполнения. Для этого сценария приложению требуется субъект-служба в каталоге. В Azure Active Directory обычным пользователям (не администраторам) по умолчанию разрешено добавлять субъекты-службы. В Azure AD (через AD FS) это не так. Это ограничение мешает полноценной работе, так как пользователю постоянно нужно обращаться к администратору каталога, чтобы добавлять приложения. |
| Контейнеры | Не удалось импортировать образы контейнеров в отключенном режиме из Реестра контейнеров Azure в общедоступном или другом доступном реестре Azure. Сведения об импорте образов контейнеров в Реестре контейнеров Azure см. в записи часто задаваемых вопросов в Реестре контейнеров Azure в отключенном развертывании Azure Stack Hub под управлением Kubernetes. |
Дополнительные сведения
- Дополнительные сведения об использовании, покупке, партнерах и поставщиках оборудования OEM см. на странице продукта Azure Stack Hub.
- Сведения о стратегии развития и географической доступности интегрированных систем Azure Stack Hub см. в техническом документе: Azure Stack Hub: расширение Azure.
- Чтобы узнать больше о пакетах и ценах Microsoft Azure Stack Hub, скачайте документ PDF.