Azure Stack Hub 集成系统的 Azure 非联网部署计划决策
在决定如何将 Azure Stack Hub 集成到混合云环境后,即可完成 Azure Stack Hub 部署决策。
无需连接到 Internet 即可部署和使用 Azure Stack Hub。 但是,使用断开连接部署,你将受限于一个 Active Directory 联合身份验证服务(AD FS) 标识存储和基于容量的计费模型。 由于多租户需要使用 Microsoft Entra ID,因此断开连接的部署不支持多租户。
适用情况:
- 存在要求你在未连接到 Internet 的环境中部署 Azure Stack Hub 的安全性或其他限制。
- 想要阻止将数据(包括使用情况数据)发送到 Azure。
- 希望单纯将 Azure Stack Hub 用作部署到公司 Intranet 的私有云解决方案,并且不考虑在混合方案中使用。
提示
有时候,这种类型的环境也称为“潜艇方案”。
非联网部署不会限制你以后将 Azure Stack Hub 实例连接到 Azure 以实现混合租户 VM 方案。 这意味着你在部署期间未连接到 Azure,或者不想将 Microsoft Entra ID 用作标识存储。
在断开连接部署中被削弱或不可用的功能
Azure Stack Hub 设计为在连接到 Azure 的情况下功能最佳,因此请务必注意,在离线模式下,有些功能被损坏或完全不可用。
| 功能 | 断开连接模式的影响 |
|---|---|
| VM 部署(带有用于配置 VM 后期部署的 DSC 扩展) | 被削弱 - DSC 扩展从 Internet 查找最新 WMF。 |
| VM 部署(带有用于运行 Docker 命令的 Docker 扩展) | 被削弱 - Docker 将检查 Internet 来查找最新版本并且此检查将失败。 |
| Azure Stack Hub 门户中的文档链接 | 不可用 -“提供反馈”、“帮助”、“快速入门”之类的使用 Internet URL 的链接将不起作用。 |
| 引用联机修正指南的警报修正/缓解 | 不可用 - 使用 Internet URL 的任何警报修正链接都不起作用。 |
| 市场 - 直接从 Azure 市场中选择并添加库包的能力 | 被损坏 - 在离线模式下部署 Azure Stack Hub 时,不能通过 Azure Stack Hub 门户下载市场项。 但是,可以使用市场联合工具将市场项下载到有 Internet 连接的计算机,然后再将这些项转移到 Azure Stack Hub 环境。 |
| 使用 Microsoft Entra 联合身份验证帐户管理 Azure Stack Hub 部署 | 不可用 - 此功能要求连接到 Azure。 必须改用具有本地 Active Directory 实例的 AD FS。 |
| 应用服务 | 被损坏 - WebApps 可能需要访问 Internet 以获取更新的内容。 |
| 命令行接口 (CLI) | 被削弱 - CLI 在对服务主体进行身份验证和预配方面的功能已减弱。 |
| Visual Studio - Cloud discovery | 被削弱 - Cloud Discovery 将发现不同的云或根本不工作。 |
| Visual Studio - AD FS | 被削弱 - 仅 Visual Studio Enterprise 和 Visual Studio Code 支持 AD FS 身份验证。 |
| 遥测 | 不可用 - Azure Stack Hub 的遥测数据以及依赖于遥测数据的任何第三方库包。 |
| 证书颁发机构 (CA) | 公共/外部证书颁发机构 (CA) 不可用 - 如果证书从公共 CA 颁发,部署将失败,因为访问 HTTPS 上下文中的证书吊销列表 (CRL) 和联机证书状态协议 (OCSP) 服务需要 Internet 连接。 专用/内部证书颁发机构 (CA) 无影响 - 如果部署使用专用 CA 颁发的证书(例如组织内部 CA),则只需对 CRL 终结点进行内部网络访问。 不需要 Internet 连接,但应验证你的 Azure Stack Hub 基础结构是否具有联系证书 CDP 扩展中定义的 CRL 终结点所需的网络访问权限。 |
| Key Vault | 被削弱 - Key Vault 的一个常见用例是让应用在运行时读取机密。 对于此用例,应用需要目录中的一个服务主体。 在 Microsoft Entra ID 中,默认允许常规用户(非管理员)添加服务主体。 在 Microsoft Entra ID(使用 AD FS)中,则不允许。 此限制妨碍了端对端体验,因为用户必须始终通过目录管理员来添加任何应用。 |
| 容器 | 受损 - 无法以脱机模式从 Azure 公共的或其他可访问的注册表中的 Azure 容器注册表导入容器映像。 若要了解如何将 Azure 容器注册表中的容器映像导入到运行 Kubernetes 的脱机的 Azure Stack Hub 部署,请参阅 Azure Stack Hub 上的 Azure 容器注册表的“常见问题解答”条目。 |
了解详细信息
- 有关用例、购买、合作伙伴和 OEM 硬件供应商的信息,请参阅 Azure Stack Hub 产品页。