Azure Local 离线操作总览(系列篇之一)

📅 2026/7/3 1:03:43
Azure Local 离线操作总览(系列篇之一)
0. 这套文档在讲什么Azure Local 2606 开始提供官方支持的 Disconnected Operations部署模式把 Azure 控制面Portal、ARM、RBAC、Key Vault、Policy、Container Registry、AKS、Arc VM 等的一部分搬到本地数据中心运行让你能在完全断网 / 仅限连通窗口的环境下运维 Azure Local。关键定位不是 Azure Stack Hub 的复活而是Azure Local 本地 Arc 控制面。底层 HCI 集群不变控制面换成本地版。官方原文Disconnected operations for Azure Local enable you to deploy and manage Azure Local instances without a connection to the Azure public cloud. This feature allows you to build, deploy, and manage virtual machines (VMs) and containerized applications by usingselectAzure Arc-enabled services from a local control plane.1. 一句话看清要买什么购买前必须满足的 5 个条件官方 Eligibility criteria缺一不可#条件说明1符合条件的合约Eligible agreement与 Microsoft 的合约必须支持此 SKUMOSAMicrosoft Online Subscription Program不符合。需要和账户团队确认2Support planStandard 或更高自己有或由具备 plan 的合作伙伴代为运营3业务合理性证明Business need由于连通性或监管限制确实无法连到 Azure 公云纯粹为了节省成本不算4运营/技术能力自有或由合作伙伴代为部署运维并能识别要跑的工作负载5硬件Premier Solutions 自带硬件必须用 Azure Local 解决方案目录中标为 Disconnected operations 的 SKU并且自备硬件还需单独部署一个专用管理集群官方原文强调生产环境a dedicated three-node Azure Local management cluster to host the local control plane——管理集群是强制的最少 3 节点 512GB/24 核/8 盘且必须与工作负载集群物理隔离。2. 在断网环境下能用什么 / 用不了什么2.1 支持的 Azure 服务官方完整清单服务状态备注Azure Portal本地✅本地版 UI体验贴近公云Azure Resource ManagerARM✅订阅、资源组、ARM 模板、CLI 都支持RBAC✅标准 RBACManaged Identity✅仅 system-assignedArc-enabled Servers✅VM Guest 管理Azure Local VMs✅主推的本地 VM 模型Arc-enabled Kubernetes clusters PreviewAKS enabled by Arc for Azure Local PreviewAzure Local 设备管理✅添加/删除节点Azure Container Registry✅本地镜像仓库Azure Key Vault✅通过 CLI 创建Azure Policy✅创建资源时强制执行2.2 不在范围内官方默认就不支持或对应页面明确写不支持Marketplace 镜像本地 VM 镜像必须来自本地共享不能从 Marketplace / Azure 存储 / 已有 Azure Local VM 复制。官方推荐提前导出 VHDX然后上传 Local Image Repository。Proxy 出口本地 VM 出站连接不支持Proxy这是 VM 文档的明确限制Arc GatewayAKS Arc 文档明确写 Arc Gateway isnt supported for configuring outbound URLsMicrosoft Entra IDAKS Arc 文档明确写 Microsoft Entra ID (formerly Azure Active Directory) isnt supported for disconnected operations——只能用 AD AD FSGPUAKS Arc GPUs arent supportedWindows node poolsAKS Arc 限制Trusted launch 的 boot integrity verificationVM 文档明确写不支持Azure Monitor 实时流式等需要常连云的服务azurelocal.cloud 那篇非官方文章提到微软官方页未明示完整清单2.3 与有限连通模式Limited connectivity的关系官方acquire页给了两种连通模式选项两种都能完整运行 Azure Local区别只在辅助运维模式谁负责日常运维支持适用Limited connectivity设备 VM 通过 Arc 连到 Azure日志/遥测自动上报 MicrosoftAzure Local 节点本身完全本地我想断网运营但又想让 Microsoft 远程帮我看日志Air-gapped完全离线所有诊断、更新都靠人工 export/import涉密/物理隔离场景两种模式下控制面和节点本身都是本地运行——连通性只影响系统生成的日志能不能直接送到 Microsoft。3. 部署流程全景图官方 Review → Plan → Deploy → Manage → Troubleshoot3.1 Review步骤文档已知问题known-issues资格条件上面 §13.2 Plan5 篇核心文档步骤关键点文档网络FQDN、Ingress/Management IP、DNS、容器网段、10.131.19.0/24避让plan-network.md身份AD (Universal groups) AD FS (OIDC) LDAP (3268/3269)plan-identity.md安全控制TLS 1.2/1.3、BitLocker AES-XTS256、Secure Boot、WDAC、HGS 证书、syslogplan-security.mdPKI23 个 ingress 端点证书2 个 management 证书必须私有 CA CRL 可达plan-pki.md硬件/管理集群拓扑3 节点 512GB/24 核/8 盘与 workload 物理隔离plan-control-plane.md3.3 Deploy4 篇操作文档步骤关键点文档Acquire采购必须先有 Azure 订阅 资格审批下载 manifest ~250GB appliance 文件deploy-acquire.mdPrepare 节点OS 安装、改名、vSwitch、证书导入、DISCONNECTED_OPS_SUPPORT1、加域、NTPdeploy-prepare.mdDeploy applianceseed node → OperationsModule → 三组配置对象 → Install-Appliancedeploy-appliance.mdRegister注册必须联网一次性执行用 self-attestation PowerShell 函数deploy-register.md3.4 Manage5 篇操作文档功能文档Azure CLI含证书信任manage-cli.md本地 Azure Local VMmanage-vm.mdAKS Arc (Preview)manage-aks.mdAzure Container Registrymanage-acr.mdAzure Policy含内置策略清单manage-policy.md监控SCOM MPmanage-monitoring.md3.5 Troubleshoot2 篇操作文档功能文档主动日志收集On-demandtroubleshoot-on-demand-logs.md故障回退日志收集Fallbacktroubleshoot-fallback-logs.md4. 文档分层标注避免混淆按徐老师的文档编写准则这套官方文档有几层内容需要明确分清层级例子怎么写官方硬要求3 节点管理集群、232 证书、23 个 ingress FQDN原文怎么说就怎么写保留必须不支持fail 等绝对措辞官方推荐入门用 4 节点做 POC、31/13/1111 拓扑用建议推荐区分官方实现示例PowerShell 脚本里的192.168.200.115、autonomous.cloud.private明确标注示例值按你的环境替换非官方补强azurelocal.cloud 那篇不并入正文独立放备注特别需要注意的看起来强制、其实不是DISCONNECTED_OPS_SUPPORT环境变量官方说set to true to support disconnected operations——这是 OS 层开关不是必须配才能跑Update-AzLocalStorage这种官方没写别生造管理集群只跑控制面不要装工作负载原文是Important加粗的强约束但未写违反会怎样——实际是隔离建议不是认证阻断5. 快速决策参考你的场景我的建议完全 Air-gapped 涉密必须走 3 节点管理集群 Air-gapped 模式重点投资 PKI 和身份自建 AD FS、域 CA工厂/分支弱连通选Limited connectivity 模式用 Arc Gateway注意 AKS 不支持 Arc Gateway想试水4 节点做 POCOption 1管理聚焦最稳已有 Azure Local 工作负载集群单独再买 3 节点做专用管理集群按官方 hardware catalog 选 SKU想要 GPU/Windows node pool❌ 当前不支持AKS Arc 文档明确写想要 Marketplace 镜像❌ 必须自备 VHDX 放到本地共享6. 文档版本 来源清单所有 16 篇官方文档 URLmoniker azloc-26062026-06 月窗口Disconnected operations for Azure Local overview - Azure Local | Microsoft LearnRelease Notes for Disconnected Operations for Azure Local - Azure Local | Microsoft LearnPlan Your Network for Disconnected Operations on Azure Local - Azure Local | Microsoft LearnPlan your Identity for Disconnected Operations on Azure Local - Azure Local | Microsoft LearnSecurity Controls with Disconnected Operations for Azure Local - Azure Local | Microsoft LearnUnderstand Public Key Infrastructure (PKI) requirements for disconnected operations on Azure Local - Azure Local | Microsoft LearnDedicated Management Cluster for Disconnected Operations - Azure Local | Microsoft LearnAcquire Disconnected Operations for Azure Local - Azure Local | Microsoft LearnPrepare Azure Local for Disconnected Deployments - Azure Local | Microsoft LearnDeploy Disconnected Operations for Azure Local - Azure Local | Microsoft LearnRegister Disconnected Operations for Azure Local - Azure Local | Microsoft LearnUse Azure CLI for Disconnected Operations for Azure Local - Azure Local | Microsoft LearnDisconnected operations with Azure Local VMs enabled by Azure Arc - Azure Local | Microsoft LearnUse Azure Policy in a Disconnected Azure Local Environment - Azure Local | Microsoft LearnDeploy Azure Container Registry with Disconnected Operations for Azure Local - Azure Local | Microsoft LearnMonitor Disconnected Operations in Azure Local - Azure Local | Microsoft LearnCollect Logs On-Demand with Azure Local Disconnected Operations - Azure Local | Microsoft LearnAppliance Fallback Log Collection for Disconnected Operations with Azure Local VMs Enabled by Azure Arc - Azure Local | Microsoft LearnManage AKS Arc for Azure Local with disconnected operations (preview) - AKS enabled by Azure Arc | Microsoft Learn