当前位置: 首页 > news >正文

Azure Local 离线操作总览(系列篇之一)

0. 这套文档在讲什么

Azure Local 2606 开始提供官方支持的 Disconnected Operations部署模式:把 Azure 控制面(Portal、ARM、RBAC、Key Vault、Policy、Container Registry、AKS、Arc VM 等)的一部分搬到本地数据中心运行,让你能在完全断网 / 仅限连通窗口的环境下运维 Azure Local。

关键定位:不是 Azure Stack Hub 的复活,而是Azure Local + 本地 Arc 控制面。底层 HCI 集群不变,控制面换成"本地版"。

官方原文:"Disconnected operations for Azure Local enable you to deploy and manage Azure Local instances without a connection to the Azure public cloud. This feature allows you to build, deploy, and manage virtual machines (VMs) and containerized applications by usingselectAzure Arc-enabled services from a local control plane."


1. 一句话看清要买什么

购买前必须满足的 5 个条件(官方 Eligibility criteria,缺一不可):

#

条件

说明

1

符合条件的合约(Eligible agreement)

与 Microsoft 的合约必须支持此 SKU,MOSA(Microsoft Online Subscription Program)不符合。需要和账户团队确认

2

Support plan(Standard 或更高)

自己有,或由具备 plan 的合作伙伴代为运营

3

业务合理性证明(Business need)

由于连通性或监管限制确实无法连到 Azure 公云,纯粹为了节省成本不算

4

运营/技术能力

自有或由合作伙伴代为部署运维,并能识别要跑的工作负载

5

硬件:Premier Solutions + 自带硬件

必须用 Azure Local 解决方案目录中标为 "Disconnected operations" 的 SKU,并且自备硬件;还需单独部署一个专用管理集群

官方原文强调:生产环境"a dedicated three-node Azure Local management cluster to host the local control plane"——管理集群是强制的(最少 3 节点 512GB/24 核/8 盘),且必须与工作负载集群物理隔离


2. 在断网环境下能用什么 / 用不了什么

2.1 支持的 Azure 服务(官方完整清单)

服务

状态

备注

Azure Portal(本地)

本地版 UI,体验贴近公云

Azure Resource Manager(ARM)

订阅、资源组、ARM 模板、CLI 都支持

RBAC

标准 RBAC

Managed Identity

仅 system-assigned

Arc-enabled Servers

VM Guest 管理

Azure Local VMs

主推的本地 VM 模型

Arc-enabled Kubernetes clusters

🟡 Preview

AKS enabled by Arc for Azure Local

🟡 Preview

Azure Local 设备管理

添加/删除节点

Azure Container Registry

本地镜像仓库

Azure Key Vault

通过 CLI 创建

Azure Policy

创建资源时强制执行

2.2 不在范围内(官方默认就不支持,或对应页面明确写"不支持")

  • Marketplace 镜像:本地 VM 镜像必须来自本地共享,不能从 Marketplace / Azure 存储 / 已有 Azure Local VM 复制。官方推荐:提前导出 VHDX,然后上传 Local Image Repository。
  • Proxy 出口:本地 VM 出站连接不支持Proxy(这是 VM 文档的明确限制)
  • Arc Gateway:AKS Arc 文档明确写 "Arc Gateway isn't supported for configuring outbound URLs"
  • Microsoft Entra ID:AKS Arc 文档明确写 "Microsoft Entra ID (formerly Azure Active Directory) isn't supported for disconnected operations"——只能用 AD + AD FS
  • GPU:AKS Arc "GPUs aren't supported"
  • Windows node pools:AKS Arc 限制
  • Trusted launch 的 boot integrity verification:VM 文档明确写不支持
  • Azure Monitor 实时流式等需要常连云的服务:azurelocal.cloud 那篇非官方文章提到(微软官方页未明示完整清单)

2.3 与"有限连通模式(Limited connectivity)"的关系

官方acquire页给了两种连通模式选项,两种都能完整运行 Azure Local,区别只在辅助运维:

模式

谁负责日常运维支持

适用

Limited connectivity

设备 VM 通过 Arc 连到 Azure,日志/遥测自动上报 Microsoft;Azure Local 节点本身完全本地

"我想断网运营,但又想让 Microsoft 远程帮我看日志"

Air-gapped

完全离线,所有诊断、更新都靠人工 export/import

涉密/物理隔离场景

两种模式下,控制面和节点本身都是本地运行——连通性只影响"系统生成的日志能不能直接送到 Microsoft"。


3. 部署流程全景图(官方 Review → Plan → Deploy → Manage → Troubleshoot)

3.1 Review

步骤

文档

已知问题

known-issues

资格条件

上面 §1

3.2 Plan(5 篇核心文档)

步骤

关键点

文档

网络

FQDN、Ingress/Management IP、DNS、容器网段、10.131.19.0/24避让

plan-network.md

身份

AD (Universal groups) + AD FS (OIDC) + LDAP (3268/3269)

plan-identity.md

安全控制

TLS 1.2/1.3、BitLocker AES-XTS256、Secure Boot、WDAC、HGS 证书、syslog

plan-security.md

PKI

23 个 ingress 端点证书+2 个 management 证书,必须私有 CA + CRL 可达

plan-pki.md

硬件/管理集群拓扑

3 节点 512GB/24 核/8 盘,与 workload 物理隔离

plan-control-plane.md

3.3 Deploy(4 篇操作文档)

步骤

关键点

文档

Acquire(采购)

必须先有 Azure 订阅 + 资格审批;下载 manifest + ~250GB appliance 文件

deploy-acquire.md

Prepare 节点

OS 安装、改名、vSwitch、证书导入、DISCONNECTED_OPS_SUPPORT=1、加域、NTP

deploy-prepare.md

Deploy appliance

seed node → OperationsModule → 三组配置对象 → Install-Appliance

deploy-appliance.md

Register(注册)

必须联网一次性执行,用 self-attestation PowerShell 函数

deploy-register.md

3.4 Manage(5 篇操作文档)

功能

文档

Azure CLI(含证书信任)

manage-cli.md

本地 Azure Local VM

manage-vm.md

AKS Arc (Preview)

manage-aks.md

Azure Container Registry

manage-acr.md

Azure Policy(含内置策略清单)

manage-policy.md

监控(SCOM MP)

manage-monitoring.md

3.5 Troubleshoot(2 篇操作文档)

功能

文档

主动日志收集(On-demand)

troubleshoot-on-demand-logs.md

故障回退日志收集(Fallback)

troubleshoot-fallback-logs.md


4. 文档分层标注(避免混淆)

按徐老师的文档编写准则,这套官方文档有几层内容需要明确分清:

层级

例子

怎么写

官方硬要求

3 节点管理集群、23+2 证书、23 个 ingress FQDN

原文怎么说就怎么写;保留"必须""不支持""fail" 等绝对措辞

官方推荐

入门用 4 节点做 POC、3+1/1+3/1+1+1+1 拓扑

用"建议""推荐"区分

官方实现示例

PowerShell 脚本里的192.168.200.115autonomous.cloud.private

明确标注"示例值,按你的环境替换"

非官方补强

azurelocal.cloud 那篇

不并入正文,独立放备注

特别需要注意的"看起来强制、其实不是":

  • DISCONNECTED_OPS_SUPPORT环境变量:官方说"set to true to support disconnected operations"——这是 OS 层开关,不是"必须配才能跑"
  • Update-AzLocalStorage这种:官方没写,别生造
  • "管理集群只跑控制面,不要装工作负载":原文是Important加粗的强约束,但未写"违反会怎样"——实际是隔离建议,不是认证阻断

5. 快速决策参考

你的场景

我的建议

完全 Air-gapped 涉密

必须走 3 节点管理集群 + Air-gapped 模式;重点投资 PKI 和身份(自建 AD FS、域 CA)

工厂/分支弱连通

Limited connectivity 模式,用 Arc Gateway(注意 AKS 不支持 Arc Gateway)

想试水

4 节点做 POC,Option 1(管理聚焦)最稳

已有 Azure Local 工作负载集群

单独再买 3 节点做专用管理集群;按官方 hardware catalog 选 SKU

想要 GPU/Windows node pool

❌ 当前不支持,AKS Arc 文档明确写

想要 Marketplace 镜像

❌ 必须自备 VHDX 放到本地共享


6. 文档版本 & 来源清单

所有 16 篇官方文档 URL(moniker = azloc-2606,2026-06 月窗口):

  1. Disconnected operations for Azure Local overview - Azure Local | Microsoft Learn
  2. Release Notes for Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  3. Plan Your Network for Disconnected Operations on Azure Local - Azure Local | Microsoft Learn
  4. Plan your Identity for Disconnected Operations on Azure Local - Azure Local | Microsoft Learn
  5. Security Controls with Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  6. Understand Public Key Infrastructure (PKI) requirements for disconnected operations on Azure Local - Azure Local | Microsoft Learn
  7. Dedicated Management Cluster for Disconnected Operations - Azure Local | Microsoft Learn
  8. Acquire Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  9. Prepare Azure Local for Disconnected Deployments - Azure Local | Microsoft Learn
  10. Deploy Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  11. Register Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  12. Use Azure CLI for Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  13. Disconnected operations with Azure Local VMs enabled by Azure Arc - Azure Local | Microsoft Learn
  14. Use Azure Policy in a Disconnected Azure Local Environment - Azure Local | Microsoft Learn
  15. Deploy Azure Container Registry with Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  16. Monitor Disconnected Operations in Azure Local - Azure Local | Microsoft Learn
  17. Collect Logs On-Demand with Azure Local Disconnected Operations - Azure Local | Microsoft Learn
  18. Appliance Fallback Log Collection for Disconnected Operations with Azure Local VMs Enabled by Azure Arc - Azure Local | Microsoft Learn
  19. Manage AKS Arc for Azure Local with disconnected operations (preview) - AKS enabled by Azure Arc | Microsoft Learn
http://www.jsqmd.com/news/1112255/

相关文章:

  • KMR221与PIC18F47K40构建高精度低功耗电压管理系统
  • Multimodal-CoT:多模态思维链的工程落地与工业实践
  • 混合量子经典Benders算法在MILP优化中的应用
  • 从零到赏金猎人:网络安全速成与漏洞挖掘完整实战方案
  • PDF 提取表格到 Excel(含扫描版),断网批量可用
  • 做一只稳健的“老龟”:从底层测试到新负责人的碎碎念
  • LV30条码扫描器与PIC18F87J60微控制器集成方案
  • 小学1-6年级暑假作业:语文+数学+英语(可打印电子版)
  • 数据结构——栈与队列:原理、实现与经典应用
  • Python 零基础入门:运算符、格式化输出与字符编码全解(避坑版)
  • 5大核心策略构建企业级CMDB:open-cmdb实战部署与优化完整指南
  • 7个节点串成Agent管道,6个场景全过,但和线上的差距都在细节里
  • Altium Designer差分对设计全攻略:从原理到高速PCB实战
  • 精通XUnity.AutoTranslator:突破Unity游戏语言壁垒的终极解决方案
  • 美国最高法院限制警方获取个人位置历史记录的权限!守护数字隐私的重大胜利:最高法院为警方调取个人位置信息戴上“紧箍咒”
  • 5分钟掌握全平台资源下载:从微信视频号到抖音快手的一站式解决方案
  • 【2025实测指南】录音转行动项用什么工具?新手避坑干货
  • “探照灯是怎么扫出那堵墙的?“:连续碰撞检测的底层计算揭秘
  • FIRRTL宽度推断:形式化建模与高效求解算法
  • ComfyUI-WanVideoWrapper Block Swap技术深度解析:实现40% VRAM优化突破
  • DIN DIEN DSIN 简述
  • 全网最简 Gorm 教程 | Gorm 模型定义
  • 2026年主流企业网盘深度测评+选型推荐|初创/中大型/涉密企业全覆盖
  • 基于IIM-42652 IMU的6DoF运动追踪系统设计与实现
  • 美国悬赏1000万美元,征集有关俄罗斯黑客攻击Signal账户的信息
  • 5.7万 Star!GitHub 爆火的 AI 求职神器
  • crictl 实战指南:没有 docker 命令后,Kubernetes 节点该怎么排障?
  • AI技术现状与未来:从大模型能力边界到开发者转型
  • 数据中心液冷沙盘模型控制系统设计与实现:基于STM32与Modbus RTU的实战方案
  • 如何快速掌握STM32嵌入式开发:5个实战项目从零到精通的完整指南