)
1. 总体原则离线模式仍然在 Azure Local 上跑所以所有 Azure Local 的网络硬约束照常适用Physical network requirements for Azure LocalSystem requirements for Azure LocalNetwork considerations for cloud deployments官方原文Disconnected operations has a built-in container network range that can interfere with your existing network range. If you already use the range10.131.19.0/24, isolate this range from your disconnected operations environment.10.131.19.0/24 是断开操作容器网络段不可重新配置。如果企业网已有这个段必须做路由隔离。2. 双 vNIC 模型Management Ingress断开操作以VM 设备形态存在挂在 Azure Local 网络上。该 VM 设备有2 块 vNIC都连到 management intentnetwork intentvNIC用途IP 要求Management vNIC部署、运维、排障的底层 APIbootstrap 时由客户证书保护本地网段上的有效、未被占用IP如果要远程调底层 API 必须能从集群外路由到这个 IPIngress vNIC用户面流量Portal、ARM、Key Vault、Container Registry …在 Azure Local 子网内、部署保留段之外必须有 DNS A 记录指向此 IP外部流量走 443官方原文Ingress IP Requires DNS resolution to the target fully qualified domain name (FQDN)。没有 DNS 部署过不去。3. IP 选段规则官方示例集群子网: 192.168.1.0/24 部署保留段: 192.168.1.1 – 192.168.1.10 可作为 Ingress IP: 192.168.1.11 及以上⚠️ 任何看起来够用的随机地址都不行必须显式落在保留段之外。4. FQDN 与 DNS 规划4.1 FQDN 命名空间要求必须有一个独立的 DNS zone专用于断开操作环境不能把这个 zone 放在域控制器同级别上通配符子域要能解析背后是 Key Vault、Container Registry 等动态子域服务4.2 示例配置官方原文照搬$externalFqdn autonomous.cloud.private $IngressIPAddress 192.168.200.115 Add-DnsServerPrimaryZone -Name $externalFqdn -ReplicationScope Domain Add-DnsServerResourceRecordA -Name * -IPv4Address $IngressIPAddress -ZoneName $externalFqdn验证nslookup portal.autonomous.cloud.private预期Name: portal.autonomous.cloud.private Address: 192.168.200.1154.3 Ingress 端点的通配符语义官方原文Wildcard endpoints support backing services that users create dynamically, such as Azure Key Vault or Azure Container Registry. Your infrastructure needs to resolve a wildcard for these specific endpoints.也就是说*.vault.fqdn/*.blob.fqdn这种必须能解析——这也是为什么上面那条*记录不能省。5. VLAN 处理如果 Management/Ingress 网络需要 VLAN官方示例用 VLAN 2259Get-VMNetworkAdapter Set-VMNetworkAdapterIsolation -ManagementOS -VMNetworkAdapterName vManagement(ManagementCompute) -DefaultIsolationID 2259 -IsolationMode Vlan -AllowUntaggedTraffic $true6. Limited Connectivity 模式的额外 endpoint如果选 Limited Connectivityappliance 能联网用于遥测/诊断额外需要 DNS 解析以下 endpoint用途EndpointGeneva Observability Servicesgcs.prod.monitoring.core.windows.net*.prod.warm.ingest.monitor.core.windows.netArc Connected Machine Agent Managed Identitylogin.windows.netlogin.microsoftonline.compas.windows.netmanagement.azure.com*.his.arc.azure.com*.guestconfiguration.azure.com完全 Air-gapped 模式不需要这些。7. 容器网段冲突检查清单检查项答案企业网是否占用 10.131.19.0/24必须隔离 / 重规划Management IP 在保留段外必须Ingress IP 在保留段外必须官方原文outside the reserved range used for the instance deploymentIngress IP 已加 DNS A 记录必须官方原文Requires DNS resolution to the target fully qualified domain name (FQDN)通配符*.your-fqdn解析到 Ingress IP必须官方原文Your infrastructure needs to resolve a wildcard for these specific endpoints域控制器的 zone 跟断开操作 zone 冲突必须分独立 zone官方原文The FQDN cant be on the same level as your domain controllerLimited mode 下能否解析 Observability endpoint视连通策略8. 我额外注意到的官方没明说的事项官方没说必须给 appliance VM 留多少 vCPU/vMem——这是硬件/管理集群文档范围官方没说双 vNIC 是分别占两个物理网卡还是用嵌入 teaming——按 Azure Local 标准做法Ingress IP 选段公式集群子网内、保留段外但保留段具体多大由部署时决定文档没写硬性下限/上限FQDN 长度/层级官方没限制按你内部 PKI / DNS 命名规范来