Azure Local 离线操作总览(系列篇之一)

📅 2026/7/3 1:17:10 👁️ 阅读次数 📝 编程学习
Azure Local 离线操作总览(系列篇之一)

0. 这套文档在讲什么

Azure Local 2606 开始提供官方支持的 Disconnected Operations部署模式:把 Azure 控制面(Portal、ARM、RBAC、Key Vault、Policy、Container Registry、AKS、Arc VM 等)的一部分搬到本地数据中心运行,让你能在完全断网 / 仅限连通窗口的环境下运维 Azure Local。

关键定位:不是 Azure Stack Hub 的复活,而是Azure Local + 本地 Arc 控制面。底层 HCI 集群不变,控制面换成"本地版"。

官方原文:"Disconnected operations for Azure Local enable you to deploy and manage Azure Local instances without a connection to the Azure public cloud. This feature allows you to build, deploy, and manage virtual machines (VMs) and containerized applications by usingselectAzure Arc-enabled services from a local control plane."


1. 一句话看清要买什么

购买前必须满足的 5 个条件(官方 Eligibility criteria,缺一不可):

#

条件

说明

1

符合条件的合约(Eligible agreement)

与 Microsoft 的合约必须支持此 SKU,MOSA(Microsoft Online Subscription Program)不符合。需要和账户团队确认

2

Support plan(Standard 或更高)

自己有,或由具备 plan 的合作伙伴代为运营

3

业务合理性证明(Business need)

由于连通性或监管限制确实无法连到 Azure 公云,纯粹为了节省成本不算

4

运营/技术能力

自有或由合作伙伴代为部署运维,并能识别要跑的工作负载

5

硬件:Premier Solutions + 自带硬件

必须用 Azure Local 解决方案目录中标为 "Disconnected operations" 的 SKU,并且自备硬件;还需单独部署一个专用管理集群

官方原文强调:生产环境"a dedicated three-node Azure Local management cluster to host the local control plane"——管理集群是强制的(最少 3 节点 512GB/24 核/8 盘),且必须与工作负载集群物理隔离


2. 在断网环境下能用什么 / 用不了什么

2.1 支持的 Azure 服务(官方完整清单)

服务

状态

备注

Azure Portal(本地)

本地版 UI,体验贴近公云

Azure Resource Manager(ARM)

订阅、资源组、ARM 模板、CLI 都支持

RBAC

标准 RBAC

Managed Identity

仅 system-assigned

Arc-enabled Servers

VM Guest 管理

Azure Local VMs

主推的本地 VM 模型

Arc-enabled Kubernetes clusters

🟡 Preview

AKS enabled by Arc for Azure Local

🟡 Preview

Azure Local 设备管理

添加/删除节点

Azure Container Registry

本地镜像仓库

Azure Key Vault

通过 CLI 创建

Azure Policy

创建资源时强制执行

2.2 不在范围内(官方默认就不支持,或对应页面明确写"不支持")

  • Marketplace 镜像:本地 VM 镜像必须来自本地共享,不能从 Marketplace / Azure 存储 / 已有 Azure Local VM 复制。官方推荐:提前导出 VHDX,然后上传 Local Image Repository。
  • Proxy 出口:本地 VM 出站连接不支持Proxy(这是 VM 文档的明确限制)
  • Arc Gateway:AKS Arc 文档明确写 "Arc Gateway isn't supported for configuring outbound URLs"
  • Microsoft Entra ID:AKS Arc 文档明确写 "Microsoft Entra ID (formerly Azure Active Directory) isn't supported for disconnected operations"——只能用 AD + AD FS
  • GPU:AKS Arc "GPUs aren't supported"
  • Windows node pools:AKS Arc 限制
  • Trusted launch 的 boot integrity verification:VM 文档明确写不支持
  • Azure Monitor 实时流式等需要常连云的服务:azurelocal.cloud 那篇非官方文章提到(微软官方页未明示完整清单)

2.3 与"有限连通模式(Limited connectivity)"的关系

官方acquire页给了两种连通模式选项,两种都能完整运行 Azure Local,区别只在辅助运维:

模式

谁负责日常运维支持

适用

Limited connectivity

设备 VM 通过 Arc 连到 Azure,日志/遥测自动上报 Microsoft;Azure Local 节点本身完全本地

"我想断网运营,但又想让 Microsoft 远程帮我看日志"

Air-gapped

完全离线,所有诊断、更新都靠人工 export/import

涉密/物理隔离场景

两种模式下,控制面和节点本身都是本地运行——连通性只影响"系统生成的日志能不能直接送到 Microsoft"。


3. 部署流程全景图(官方 Review → Plan → Deploy → Manage → Troubleshoot)

3.1 Review

步骤

文档

已知问题

known-issues

资格条件

上面 §1

3.2 Plan(5 篇核心文档)

步骤

关键点

文档

网络

FQDN、Ingress/Management IP、DNS、容器网段、10.131.19.0/24避让

plan-network.md

身份

AD (Universal groups) + AD FS (OIDC) + LDAP (3268/3269)

plan-identity.md

安全控制

TLS 1.2/1.3、BitLocker AES-XTS256、Secure Boot、WDAC、HGS 证书、syslog

plan-security.md

PKI

23 个 ingress 端点证书+2 个 management 证书,必须私有 CA + CRL 可达

plan-pki.md

硬件/管理集群拓扑

3 节点 512GB/24 核/8 盘,与 workload 物理隔离

plan-control-plane.md

3.3 Deploy(4 篇操作文档)

步骤

关键点

文档

Acquire(采购)

必须先有 Azure 订阅 + 资格审批;下载 manifest + ~250GB appliance 文件

deploy-acquire.md

Prepare 节点

OS 安装、改名、vSwitch、证书导入、DISCONNECTED_OPS_SUPPORT=1、加域、NTP

deploy-prepare.md

Deploy appliance

seed node → OperationsModule → 三组配置对象 → Install-Appliance

deploy-appliance.md

Register(注册)

必须联网一次性执行,用 self-attestation PowerShell 函数

deploy-register.md

3.4 Manage(5 篇操作文档)

功能

文档

Azure CLI(含证书信任)

manage-cli.md

本地 Azure Local VM

manage-vm.md

AKS Arc (Preview)

manage-aks.md

Azure Container Registry

manage-acr.md

Azure Policy(含内置策略清单)

manage-policy.md

监控(SCOM MP)

manage-monitoring.md

3.5 Troubleshoot(2 篇操作文档)

功能

文档

主动日志收集(On-demand)

troubleshoot-on-demand-logs.md

故障回退日志收集(Fallback)

troubleshoot-fallback-logs.md


4. 文档分层标注(避免混淆)

按徐老师的文档编写准则,这套官方文档有几层内容需要明确分清:

层级

例子

怎么写

官方硬要求

3 节点管理集群、23+2 证书、23 个 ingress FQDN

原文怎么说就怎么写;保留"必须""不支持""fail" 等绝对措辞

官方推荐

入门用 4 节点做 POC、3+1/1+3/1+1+1+1 拓扑

用"建议""推荐"区分

官方实现示例

PowerShell 脚本里的192.168.200.115autonomous.cloud.private

明确标注"示例值,按你的环境替换"

非官方补强

azurelocal.cloud 那篇

不并入正文,独立放备注

特别需要注意的"看起来强制、其实不是":

  • DISCONNECTED_OPS_SUPPORT环境变量:官方说"set to true to support disconnected operations"——这是 OS 层开关,不是"必须配才能跑"
  • Update-AzLocalStorage这种:官方没写,别生造
  • "管理集群只跑控制面,不要装工作负载":原文是Important加粗的强约束,但未写"违反会怎样"——实际是隔离建议,不是认证阻断

5. 快速决策参考

你的场景

我的建议

完全 Air-gapped 涉密

必须走 3 节点管理集群 + Air-gapped 模式;重点投资 PKI 和身份(自建 AD FS、域 CA)

工厂/分支弱连通

Limited connectivity 模式,用 Arc Gateway(注意 AKS 不支持 Arc Gateway)

想试水

4 节点做 POC,Option 1(管理聚焦)最稳

已有 Azure Local 工作负载集群

单独再买 3 节点做专用管理集群;按官方 hardware catalog 选 SKU

想要 GPU/Windows node pool

❌ 当前不支持,AKS Arc 文档明确写

想要 Marketplace 镜像

❌ 必须自备 VHDX 放到本地共享


6. 文档版本 & 来源清单

所有 16 篇官方文档 URL(moniker = azloc-2606,2026-06 月窗口):

  1. Disconnected operations for Azure Local overview - Azure Local | Microsoft Learn
  2. Release Notes for Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  3. Plan Your Network for Disconnected Operations on Azure Local - Azure Local | Microsoft Learn
  4. Plan your Identity for Disconnected Operations on Azure Local - Azure Local | Microsoft Learn
  5. Security Controls with Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  6. Understand Public Key Infrastructure (PKI) requirements for disconnected operations on Azure Local - Azure Local | Microsoft Learn
  7. Dedicated Management Cluster for Disconnected Operations - Azure Local | Microsoft Learn
  8. Acquire Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  9. Prepare Azure Local for Disconnected Deployments - Azure Local | Microsoft Learn
  10. Deploy Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  11. Register Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  12. Use Azure CLI for Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  13. Disconnected operations with Azure Local VMs enabled by Azure Arc - Azure Local | Microsoft Learn
  14. Use Azure Policy in a Disconnected Azure Local Environment - Azure Local | Microsoft Learn
  15. Deploy Azure Container Registry with Disconnected Operations for Azure Local - Azure Local | Microsoft Learn
  16. Monitor Disconnected Operations in Azure Local - Azure Local | Microsoft Learn
  17. Collect Logs On-Demand with Azure Local Disconnected Operations - Azure Local | Microsoft Learn
  18. Appliance Fallback Log Collection for Disconnected Operations with Azure Local VMs Enabled by Azure Arc - Azure Local | Microsoft Learn
  19. Manage AKS Arc for Azure Local with disconnected operations (preview) - AKS enabled by Azure Arc | Microsoft Learn