Azure Local 离线操作总览(系列篇之一)
0. 这套文档在讲什么
Azure Local 2606 开始提供官方支持的 Disconnected Operations部署模式:把 Azure 控制面(Portal、ARM、RBAC、Key Vault、Policy、Container Registry、AKS、Arc VM 等)的一部分搬到本地数据中心运行,让你能在完全断网 / 仅限连通窗口的环境下运维 Azure Local。
关键定位:不是 Azure Stack Hub 的复活,而是Azure Local + 本地 Arc 控制面。底层 HCI 集群不变,控制面换成"本地版"。
官方原文:"Disconnected operations for Azure Local enable you to deploy and manage Azure Local instances without a connection to the Azure public cloud. This feature allows you to build, deploy, and manage virtual machines (VMs) and containerized applications by usingselectAzure Arc-enabled services from a local control plane."
1. 一句话看清要买什么
购买前必须满足的 5 个条件(官方 Eligibility criteria,缺一不可):
# | 条件 | 说明 |
1 | 符合条件的合约(Eligible agreement) | 与 Microsoft 的合约必须支持此 SKU,MOSA(Microsoft Online Subscription Program)不符合。需要和账户团队确认 |
2 | Support plan(Standard 或更高) | 自己有,或由具备 plan 的合作伙伴代为运营 |
3 | 业务合理性证明(Business need) | 由于连通性或监管限制确实无法连到 Azure 公云,纯粹为了节省成本不算 |
4 | 运营/技术能力 | 自有或由合作伙伴代为部署运维,并能识别要跑的工作负载 |
5 | 硬件:Premier Solutions + 自带硬件 | 必须用 Azure Local 解决方案目录中标为 "Disconnected operations" 的 SKU,并且自备硬件;还需单独部署一个专用管理集群 |
官方原文强调:生产环境"a dedicated three-node Azure Local management cluster to host the local control plane"——管理集群是强制的(最少 3 节点 512GB/24 核/8 盘),且必须与工作负载集群物理隔离。
2. 在断网环境下能用什么 / 用不了什么
2.1 支持的 Azure 服务(官方完整清单)
服务 | 状态 | 备注 |
Azure Portal(本地) | ✅ | 本地版 UI,体验贴近公云 |
Azure Resource Manager(ARM) | ✅ | 订阅、资源组、ARM 模板、CLI 都支持 |
RBAC | ✅ | 标准 RBAC |
Managed Identity | ✅ | 仅 system-assigned |
Arc-enabled Servers | ✅ | VM Guest 管理 |
Azure Local VMs | ✅ | 主推的本地 VM 模型 |
Arc-enabled Kubernetes clusters | 🟡 Preview | |
AKS enabled by Arc for Azure Local | 🟡 Preview | |
Azure Local 设备管理 | ✅ | 添加/删除节点 |
Azure Container Registry | ✅ | 本地镜像仓库 |
Azure Key Vault | ✅ | 通过 CLI 创建 |
Azure Policy | ✅ | 创建资源时强制执行 |
2.2 不在范围内(官方默认就不支持,或对应页面明确写"不支持")
- Marketplace 镜像:本地 VM 镜像必须来自本地共享,不能从 Marketplace / Azure 存储 / 已有 Azure Local VM 复制。官方推荐:提前导出 VHDX,然后上传 Local Image Repository。
- Proxy 出口:本地 VM 出站连接不支持Proxy(这是 VM 文档的明确限制)
- Arc Gateway:AKS Arc 文档明确写 "Arc Gateway isn't supported for configuring outbound URLs"
- Microsoft Entra ID:AKS Arc 文档明确写 "Microsoft Entra ID (formerly Azure Active Directory) isn't supported for disconnected operations"——只能用 AD + AD FS
- GPU:AKS Arc "GPUs aren't supported"
- Windows node pools:AKS Arc 限制
- Trusted launch 的 boot integrity verification:VM 文档明确写不支持
- Azure Monitor 实时流式等需要常连云的服务:azurelocal.cloud 那篇非官方文章提到(微软官方页未明示完整清单)
2.3 与"有限连通模式(Limited connectivity)"的关系
官方acquire页给了两种连通模式选项,两种都能完整运行 Azure Local,区别只在辅助运维:
模式 | 谁负责日常运维支持 | 适用 |
Limited connectivity | 设备 VM 通过 Arc 连到 Azure,日志/遥测自动上报 Microsoft;Azure Local 节点本身完全本地 | "我想断网运营,但又想让 Microsoft 远程帮我看日志" |
Air-gapped | 完全离线,所有诊断、更新都靠人工 export/import | 涉密/物理隔离场景 |
两种模式下,控制面和节点本身都是本地运行——连通性只影响"系统生成的日志能不能直接送到 Microsoft"。
3. 部署流程全景图(官方 Review → Plan → Deploy → Manage → Troubleshoot)
3.1 Review
步骤 | 文档 |
已知问题 | known-issues |
资格条件 | 上面 §1 |
3.2 Plan(5 篇核心文档)
步骤 | 关键点 | 文档 |
网络 | FQDN、Ingress/Management IP、DNS、容器网段、 | plan-network.md |
身份 | AD (Universal groups) + AD FS (OIDC) + LDAP (3268/3269) | plan-identity.md |
安全控制 | TLS 1.2/1.3、BitLocker AES-XTS256、Secure Boot、WDAC、HGS 证书、syslog | plan-security.md |
PKI | 23 个 ingress 端点证书+2 个 management 证书,必须私有 CA + CRL 可达 | plan-pki.md |
硬件/管理集群拓扑 | 3 节点 512GB/24 核/8 盘,与 workload 物理隔离 | plan-control-plane.md |
3.3 Deploy(4 篇操作文档)
步骤 | 关键点 | 文档 |
Acquire(采购) | 必须先有 Azure 订阅 + 资格审批;下载 manifest + ~250GB appliance 文件 | deploy-acquire.md |
Prepare 节点 | OS 安装、改名、vSwitch、证书导入、 | deploy-prepare.md |
Deploy appliance | seed node → OperationsModule → 三组配置对象 → Install-Appliance | deploy-appliance.md |
Register(注册) | 必须联网一次性执行,用 self-attestation PowerShell 函数 | deploy-register.md |
3.4 Manage(5 篇操作文档)
功能 | 文档 |
Azure CLI(含证书信任) | manage-cli.md |
本地 Azure Local VM | manage-vm.md |
AKS Arc (Preview) | manage-aks.md |
Azure Container Registry | manage-acr.md |
Azure Policy(含内置策略清单) | manage-policy.md |
监控(SCOM MP) | manage-monitoring.md |
3.5 Troubleshoot(2 篇操作文档)
功能 | 文档 |
主动日志收集(On-demand) | troubleshoot-on-demand-logs.md |
故障回退日志收集(Fallback) | troubleshoot-fallback-logs.md |
4. 文档分层标注(避免混淆)
按徐老师的文档编写准则,这套官方文档有几层内容需要明确分清:
层级 | 例子 | 怎么写 |
官方硬要求 | 3 节点管理集群、23+2 证书、23 个 ingress FQDN | 原文怎么说就怎么写;保留"必须""不支持""fail" 等绝对措辞 |
官方推荐 | 入门用 4 节点做 POC、3+1/1+3/1+1+1+1 拓扑 | 用"建议""推荐"区分 |
官方实现示例 | PowerShell 脚本里的 | 明确标注"示例值,按你的环境替换" |
非官方补强 | azurelocal.cloud 那篇 | 不并入正文,独立放备注 |
特别需要注意的"看起来强制、其实不是":
DISCONNECTED_OPS_SUPPORT环境变量:官方说"set to true to support disconnected operations"——这是 OS 层开关,不是"必须配才能跑"Update-AzLocalStorage这种:官方没写,别生造- "管理集群只跑控制面,不要装工作负载":原文是
Important加粗的强约束,但未写"违反会怎样"——实际是隔离建议,不是认证阻断
5. 快速决策参考
你的场景 | 我的建议 |
完全 Air-gapped 涉密 | 必须走 3 节点管理集群 + Air-gapped 模式;重点投资 PKI 和身份(自建 AD FS、域 CA) |
工厂/分支弱连通 | 选Limited connectivity 模式,用 Arc Gateway(注意 AKS 不支持 Arc Gateway) |
想试水 | 4 节点做 POC,Option 1(管理聚焦)最稳 |
已有 Azure Local 工作负载集群 | 单独再买 3 节点做专用管理集群;按官方 hardware catalog 选 SKU |
想要 GPU/Windows node pool | ❌ 当前不支持,AKS Arc 文档明确写 |
想要 Marketplace 镜像 | ❌ 必须自备 VHDX 放到本地共享 |
6. 文档版本 & 来源清单
所有 16 篇官方文档 URL(moniker = azloc-2606,2026-06 月窗口):
- Disconnected operations for Azure Local overview - Azure Local | Microsoft Learn
- Release Notes for Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
- Plan Your Network for Disconnected Operations on Azure Local - Azure Local | Microsoft Learn
- Plan your Identity for Disconnected Operations on Azure Local - Azure Local | Microsoft Learn
- Security Controls with Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
- Understand Public Key Infrastructure (PKI) requirements for disconnected operations on Azure Local - Azure Local | Microsoft Learn
- Dedicated Management Cluster for Disconnected Operations - Azure Local | Microsoft Learn
- Acquire Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
- Prepare Azure Local for Disconnected Deployments - Azure Local | Microsoft Learn
- Deploy Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
- Register Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
- Use Azure CLI for Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
- Disconnected operations with Azure Local VMs enabled by Azure Arc - Azure Local | Microsoft Learn
- Use Azure Policy in a Disconnected Azure Local Environment - Azure Local | Microsoft Learn
- Deploy Azure Container Registry with Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
- Monitor Disconnected Operations in Azure Local - Azure Local | Microsoft Learn
- Collect Logs On-Demand with Azure Local Disconnected Operations - Azure Local | Microsoft Learn
- Appliance Fallback Log Collection for Disconnected Operations with Azure Local VMs Enabled by Azure Arc - Azure Local | Microsoft Learn
- Manage AKS Arc for Azure Local with disconnected operations (preview) - AKS enabled by Azure Arc | Microsoft Learn
