Azure Stack Hub 統合システムの Azure から切断されたデプロイ計画の決定
Azure Stack Hub をご利用のハイブリッド クラウド環境に統合する方法を決定したら、Azure Stack Hub デプロイの決定を完了することができます。
インターネットに接続していなくても、Azure Stack Hub をデプロイして使用することができます。 ただし、切断されたデプロイでは、Active Directory フェデレーション サービス (AD FS) ID ストアおよび容量ベースの課金モデルに制限されます。 マルチテナントにはMicrosoft Entra ID を使用する必要があるため、切断されたデプロイではマルチテナント機能はサポートされていません。
このオプションは、次の場合に選択します。
- インターネットに接続されていない環境で Azure Stack Hub をデプロイすることが必要なセキュリティまたはその他の制限がある。
- データ (使用状況データを含む) を Azure に送信されないようにブロックしたい。
- Azure Stack Hub を純粋に、社内イントラネットにデプロイされるプライベート クラウド ソリューションとして使用したい。ハイブリッド シナリオには関心がない。
ヒント
この種類の環境は "サブマリン シナリオ" と呼ばれる場合もあります。
切断されたデプロイは、後でハイブリッド テナント VM シナリオのためにご利用の Azure Stack Hub インスタンスを Azure に接続することを制限するものではありません。 つまり、デプロイ中に Azure に接続できないか、ID ストアとして Microsoft Entra ID を使用したくないということです。
切断されたデプロイで損なわれるか、または使用できない機能
Azure Stack Hub は Azure に接続されているときに最適に機能するように設計されているため、切断モードでは損なわれるか、または完全に使用できない機能がいくつか存在することに注意することが重要です。
特徴量 | 切断モードでの影響 |
---|---|
VM のデプロイ後を構成するための DSC 拡張機能を備えた VM デプロイ | 損なわれる - DSC 拡張機能は、最新の WMF がないかどうかインターネットを参照します。 |
Docker コマンドを実行するための Docker 拡張機能を備えた VM デプロイ | 損なわれる - Docker は最新バージョンがないかどうかインターネットをチェックするため、このチェックは失敗します。 |
Azure Stack Hub ポータルでのドキュメント リンク | 使用できない - インターネット URL を使用するリンク ([フィードバックの送信]、[ヘルプ]、[クイック スタート] など) は機能しません。 |
オンライン修復ガイドを参照する、アラートによる修復/軽減 | 使用できない - インターネット URL を使用するアラート修復リンクはすべて機能しません。 |
Marketplace - Azure Marketplace から直接ギャラリー パッケージを選択して追加する機能 | 損なわれる - Azure Stack Hub を非接続モードでデプロイする場合、Azure Stack Hub ポータルを使用して Marketplace 項目をダウンロードすることはできません。 ただし、マーケットプレース シンジケーション ツールを使用して、インターネットに接続されたマシンに Marketplace アイテムをダウンロードしてから、ご利用の Azure Stack Hub 環境に転送することができます。 |
Microsoft Entraフェデレーション アカウントを使用して Azure Stack Hub デプロイを管理する | 使用できない - この機能には Azure への接続が必要です。 代わりに、ローカルの Active Directory インスタンスによる AD FS を使用する必要があります。 |
アプリケーション サービス | 損なわれる - WebApps では、コンテンツの更新のためにインターネットへのアクセスが必要な場合があります。 |
コマンド ライン インターフェイス (CLI) | 損なわれる - CLI では、サービス プリンシパルの認証およびプロビジョニングの機能が削減されます。 |
Visual Studio - クラウド検出 | 損なわれる - Cloud Discovery は別のクラウドを検出するか、まったく機能しないかのどちらかです。 |
Visual Studio - AD FS | 損なわれる - AD FS 認証をサポートするのは、Visual Studio Enterprise と Visual Studio Code のみです。 |
製品利用統計情報 | 使用できない - Azure Stack Hub のテレメトリ データや、テレメトリ データに依存するすべてのサード パーティ製ギャラリー パッケージ。 |
証明機関 (CA) |
パブリック/外部証明機関 (CA) 使用できない - HTTPS のコンテキストで証明書失効リスト (CRL) およびオンライン証明書状態プロトコル (OCSP) サービスにアクセスするにはインターネット接続が必要であるため、証明書がパブリック CA から発行された場合は、デプロイが失敗します。 プライベート/内部証明機関 (CA) 影響なし - プライベート CA (組織の内部 CA など) から発行された証明書をデプロイで使用する場合は、CRL エンドポイントへの内部ネットワーク アクセスのみが必要です。 インターネット接続は必要ありませんが、お使いの Azure Stack Hub インフラストラクチャに、証明書の CDP 拡張機能で定義されている CRL エンドポイントに接続するために必要なネットワーク アクセス権が付与されていることを確認する必要があります。 |
Key Vault | 損なわれる - Key Vault の一般的なユースケースでは、実行時にアプリにシークレットを読み取らせます。 このユース ケースの場合、アプリはそのディレクトリ内にサービス プリンシパルを必要とします。 Microsoft Entra ID では、通常のユーザー (管理者以外) は既定でサービス プリンシパルを追加できます。 Microsoft Entra ID (AD FS を使用) では、これらの ID は使用されません。 アプリの追加には必ずディレクトリ管理者を経由する必要があるため、この欠損により、エンド ツー エンドのエクスペリエンスに問題が発生します。 |
コンテナー | 損なわれる - 切断モードでは、Azure パブリック レジストリまたは別のアクセス可能なレジストリの Azure Container Registry から、コンテナー イメージをインポートできません。 Kubernetes を実行している切断された Azure Stack Hub のデプロイに Azure Container Registry 内のコンテナー イメージをインポートする方法については、Azure Stack Hub 上の Azure Container Registry に関する FAQ エントリをご覧ください。 |
詳細情報
- ユース ケース、購入、パートナー、OEM ハードウェア ベンダーの詳細については、Azure Stack Hub の製品ページを参照してください。
- Azure Stack Hub 統合システムのロードマップと地理的な可用性については、ホワイト ペーパー「Azure Stack Hub: An extension of Azure」 (Azure Stack: Azure の拡張機能) を参照してください。
- Microsoft Azure Stack Hub のパッケージと価格の詳細については、.pdf をダウンロードしてください。