Režimy připojení a požadavky

Tento článek popisuje režimy připojení dostupné pro datové služby s podporou Azure Arc a jejich příslušné požadavky.

Režimy připojení

Existuje několik možností pro stupeň připojení z prostředí datových služeb s podporou Azure Arc do Azure. Vzhledem k tomu, že se vaše požadavky liší v závislosti na obchodních zásadách, nařízení státní správy nebo dostupnosti síťového připojení k Azure, můžete si vybrat z následujících režimů připojení.

Datové služby s podporou Azure Arc poskytují možnost připojení k Azure ve dvou různých režimech připojení:

  • Přímo připojené
  • Nepřímo propojené

Režim připojení poskytuje flexibilitu při výběru množství dat odesílaných do Azure a způsobu interakce uživatelů se kontrolerem dat Arc. V závislosti na zvoleném režimu připojení můžou nebo nemusí být některé funkce datových služeb s podporou Azure Arc dostupné.

Důležité je, že pokud jsou datové služby s podporou Azure Arc přímo připojené k Azure, můžou uživatelé používat rozhraní API Azure Resource Manageru, Azure CLI a Azure Portal k provozu datových služeb Azure Arc. Prostředí přímo připojeného režimu se podobá tomu, jak byste na webu Azure Portal používali jakoukoli jinou službu Azure se zřizováním a rušením zřizování, škálováním, konfigurací atd. Pokud jsou datové služby s podporou Azure Arc nepřímo připojené k Azure, pak je azure Portal zobrazením jen pro čtení. Můžete zobrazit inventář spravovaných instancí SQL a serverů PostgreSQL, které jste nasadili, a podrobnosti o nich, ale na webu Azure Portal na nich nemůžete provádět akce. V režimu nepřímo připojeného musí být všechny akce prováděné místně pomocí nástroje Azure Data Studio, příslušného rozhraní příkazového řádku nebo nativních nástrojů Kubernetes, jako je kubectl.

Microsoft Entra ID a Řízení přístupu na základě role v Azure se navíc dají používat jenom v režimu přímého připojení, protože k poskytování této funkce existuje závislost na nepřetržitém a přímém připojení k Azure.

Některé služby připojené k Azure jsou dostupné jenom v případě, že se k nim dostanete přímo, jako je Přehledy kontejneru a zálohování do úložiště objektů blob.

Nepřímo propojené Přímo připojené Nikdy nepřipojené
Popis Nepřímo propojený režim nabízí většinu služeb pro správu místně ve vašem prostředí bez přímého připojení k Azure. Minimální množství dat se musí odesílat do Azure pouze pro účely inventáře a fakturace. Exportuje se do souboru a nahraje se do Azure alespoň jednou za měsíc. Nevyžaduje se přímé ani průběžné připojení k Azure. Některé funkce a služby, které vyžadují připojení k Azure, nebudou dostupné. Přímo připojený režim nabízí všechny dostupné služby, když je možné přímé připojení navázat s Azure. Připojení iony se vždy inicialují z vašeho prostředí do Azure a používají standardní porty a protokoly, jako je HTTPS/443. Do Azure ani z Azure se nedají žádným způsobem odesílat žádná data.
Aktuální dostupnost dostupný dostupný Aktuálně se nepodporuje.
Typické případy použití Místní datová centra, která nepovolují připojení v datovém centru nebo mimo oblast dat v důsledku obchodních nebo regulačních zásad dodržování předpisů nebo z obav z externích útoků nebo exfiltrace dat. Typické příklady: finanční instituce, zdravotní péče, vláda.

Umístění hraničních lokalit, kde hraniční lokalita obvykle nemá připojení k internetu. Typické příklady: použití ropy/plynu nebo vojenského pole.

Umístění hraničních lokalit, která mají přerušované připojení s dlouhými obdobími výpadků. Typické příklady: stadiony, výletní lodě.
Organizace, které používají veřejné cloudy Typické příklady: Azure, AWS nebo Google Cloud.

Umístění hraničních lokalit, kde je připojení k internetu obvykle k dispozici a povoleno. Typické příklady: maloobchodní prodejny, výroba.

Podniková datacentra s dalšími zásadami pro připojení k datové oblasti datacentra a z internetu. Typické příklady: neregulované firmy, malé nebo střední podniky
Skutečně "vzduchová mezera" prostředí, kde žádná data za žádných okolností mohou pocházet nebo jít z datového prostředí. Typické příklady: tajné vládní zařízení.
Jak se data odesílají do Azure Existují tři možnosti, jak se data fakturace a inventáře dají odesílat do Azure:

1) Data se exportují z oblasti dat automatizovaným procesem, který má připojení k zabezpečené oblasti dat i Azure.

2) Data se exportují z oblasti dat automatizovaným procesem v rámci oblasti dat, automaticky se zkopírují do méně zabezpečené oblasti a automatizovaný proces v méně zabezpečené oblasti nahraje data do Azure.

3) Data ručně exportuje uživatel v rámci zabezpečené oblasti, ručně vynesená ze zabezpečené oblasti a ručně nahraje do Azure.

První dvě možnosti jsou automatizovaný průběžný proces, který je možné naplánovat tak, aby se často spouštěl, takže přenos dat do Azure je minimální zpoždění, a to pouze na dostupné připojení k Azure.
Data se automaticky a nepřetržitě odesílají do Azure. Data se nikdy neodesílají do Azure.

Dostupnost funkcí podle režimu připojení

Funkce Nepřímo propojené Přímo připojené
Automatická vysoká dostupnost Podporováno Podporováno
Samoobslužné zřizování Podporováno
Použijte Azure Data Studio, příslušné rozhraní příkazového řádku nebo nativní nástroje Kubernetes, jako je Helm, kubectlnebo ocnebo použijte zřizování GitOps s podporou Azure Arc.
Podporováno
Kromě možností vytváření nepřímo připojeného režimu můžete vytvořit také prostřednictvím webu Azure Portal, rozhraní API Azure Resource Manageru, Azure CLI nebo šablon ARM.
Elastická škálovatelnost Podporováno Podporováno
Fakturace Podporováno
Fakturační data se pravidelně exportují a odesílají do Azure.
Podporováno
Fakturační data se automaticky a nepřetržitě odesílají do Azure a projeví se téměř v reálném čase.
Řízení zásob Podporováno
Data inventáře se pravidelně exportují a odesílají do Azure.

K místnímu zobrazení a správě inventáře použijte klientské nástroje, jako je Azure Data Studio, Azure Data CLI nebo kubectl zobrazení a správa inventáře.
Podporováno
Data inventáře se automaticky a nepřetržitě odesílají do Azure a odráží se téměř v reálném čase. Proto můžete spravovat inventář přímo z webu Azure Portal.
Automatické upgrady a opravy Podporováno
Kontroler dat musí mít buď přímý přístup ke službě Microsoft Container Registry (MCR), nebo image kontejnerů je potřeba načíst z MCR a odeslat je do místního privátního registru kontejneru, ke kterému má kontroler dat přístup.
Podporováno
Automatické zálohování a obnovení Podporováno
Automatické místní zálohování a obnovení.
Podporováno
Kromě automatizovaného místního zálohování a obnovení můžete volitelně odesílat zálohy do úložiště objektů blob v Azure za účelem dlouhodobého uchovávání mimo lokalitu.
Monitorování Podporováno
Místní monitorování pomocí řídicích panelů Grafana a Kibany
Podporováno
Kromě místních řídicích panelů monitorování můžete volitelně odesílat data monitorování a protokoly do služby Azure Monitor pro monitorování více lokalit na jednom místě.
Authentication Pro ověřování kontroleru dat a řídicího panelu použijte místní uživatelské jméno a heslo. Pro připojení k instancím databáze používejte přihlášení SQL a Postgres nebo Active Directory (AD se v současné době nepodporuje). Pro ověřování v rozhraní API Kubernetes použijte zprostředkovatele ověřování Kubernetes. Kromě metod ověřování pro nepřímo připojený režim můžete volitelně použít ID Microsoft Entra.
Řízení přístupu na základě role (RBAC) Použijte Kubernetes RBAC v rozhraní Kubernetes API. Pro instance databáze používejte SQL a Postgres RBAC. Můžete použít Microsoft Entra ID a Azure RBAC.

Požadavky na připojení

Některé funkce vyžadují připojení k Azure.

Veškerá komunikace s Azure je vždy inicializována z vašeho prostředí. To platí i pro operace iniciované uživatelem na webu Azure Portal. V takovém případě existuje skutečně úloha, která se zařadí do fronty v Azure. Agent ve vašem prostředí zahájí komunikaci s Azure, aby viděl, jaké úlohy jsou ve frontě, spouští úlohy a hlásí zpět stav/dokončení/selhání Azure.

Typ dat Směr Povinné nebo volitelné Další náklady Požadovaný režim Poznámky
Image kontejnerů Microsoft Container Registry –> zákazník Požaduje se No Nepřímé nebo přímé Image kontejnerů jsou metodou distribuce softwaru. V prostředí, které se může připojit ke službě Microsoft Container Registry (MCR) přes internet, je možné image kontejnerů načíst přímo z MCR. Pokud prostředí nasazení nemá přímé připojení, můžete vyžádat image z MCR a odeslat je do privátního registru kontejneru v prostředí nasazení. Při vytváření můžete proces vytváření nakonfigurovat tak, aby místo MCR načítá z privátního registru kontejneru. Týká se to také automatizovaných aktualizací.
Inventář prostředků Zákaznické prostředí –> Azure Požaduje se No Nepřímé nebo přímé Inventář kontrolerů dat, instancí databáze (PostgreSQL a SQL) se uchovává v Azure pro účely fakturace a také pro účely vytvoření inventáře všech kontrolerů dat a instancí databáze na jednom místě, což je zvlášť užitečné, pokud máte více než jedno prostředí s datovými službami Azure Arc. Vzhledem k tomu, že jsou instance zřízené, zrušené, škálované nebo horizontální navýšení kapacity, vertikální navýšení/snížení kapacity inventáře se aktualizuje v Azure.
Telemetrická data fakturace Zákaznické prostředí –> Azure Požaduje se No Nepřímé nebo přímé Využití databázových instancí musí být odesláno do Azure pro účely fakturace.
Monitorování dat a protokolů Zákaznické prostředí –> Azure Volitelné Možná v závislosti na objemu dat (viz ceny služby Azure Monitor) Nepřímé nebo přímé Možná budete chtít místně shromážděná data monitorování a protokoly odeslat do služby Azure Monitor, abyste mohli agregovat data napříč několika prostředími na jednom místě, a také používat služby Azure Monitor, jako jsou upozornění, používání dat ve službě Azure Machine Učení atd.
Řízení přístupu na základě role v Azure (Azure RBAC) Prostředí zákazníka –> Azure –> Prostředí zákazníka Volitelné No Pouze přímé Pokud chcete použít Azure RBAC, musí být připojení navázané s Azure za všech okolností. Pokud nechcete používat Azure RBAC, můžete použít místní Kubernetes RBAC.
Microsoft Entra ID (budoucnost) Prostředí zákazníka –> Azure –> Prostředí zákazníka Volitelné Možná, ale možná už platíte za Microsoft Entra ID. Pouze přímé Pokud chcete k ověřování použít ID Microsoft Entra, musí být připojení navázané s Azure za všech okolností. Pokud pro ověřování nechcete používat ID Microsoft Entra, můžete použít Active Directory Federation Services (AD FS) (ADFS) přes Active Directory. Čekající dostupnost v režimu přímého připojení
Zálohování a obnovení Prostředí zákazníka –> Prostředí zákazníka Požaduje se No Přímé nebo nepřímé Službu zálohování a obnovení je možné nakonfigurovat tak, aby odkazovala na místní třídy úložiště.
Azure Backup – dlouhodobé uchovávání (budoucnost) Zákaznické prostředí –> Azure Volitelné Ano pro úložiště Azure Pouze přímé Možná budete chtít odesílat zálohy, které se posílají místně do služby Azure Backup za účelem dlouhodobého uchovávání záloh mimo lokalitu, a přenést je zpět do místního prostředí pro obnovení.
Změny zřizování a konfigurace na webu Azure Portal Prostředí zákazníka –> Azure –> Prostředí zákazníka Volitelné No Pouze přímé Změny zřizování a konfigurace je možné provádět místně pomocí nástroje Azure Data Studio nebo příslušného rozhraní příkazového řádku. V režimu přímého připojení můžete také zřídit a provádět změny konfigurace z webu Azure Portal.

Podrobnosti o internetových adresách, portech, šifrování a podpoře proxy serveru

Služba Port Adresa URL Směr Poznámky
Chart Helm (pouze přímý připojený režim) 443 arcdataservicesrow1.azurecr.io Odchozí Zřídí bootstrapper kontroleru dat Azure Arc a objekty na úrovni clusteru, jako jsou vlastní definice prostředků, role clusteru a vazby rolí clusteru, se načítá ze služby Azure Container Registry.
Rozhraní API služby Azure Monitor * 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Odchozí Azure Data Studio a Azure CLI se připojují k rozhraním API Azure Resource Manageru pro odesílání a načítání dat do a z Azure pro některé funkce. Viz rozhraní API služby Azure Monitor.
Služba zpracování dat Azure Arc * 443 *.<region>.arcdataservices.com2 Odchozí

1 Požadavek závisí na režimu nasazení:

  • V případě přímého režimu musí pod kontroleru v clusteru Kubernetes mít odchozí připojení ke koncovým bodům, aby mohl odesílat protokoly, metriky, inventář a fakturační údaje do služby Azure Monitor/Zpracování dat.
  • V případě nepřímého režimu musí mít počítač, na kterém běží az arcdata dc upload , odchozí připojení ke službě Azure Monitor a zpracování dat.

2 Pro verze rozšíření až do 13. února 2024 použijte san-af-<region>-prod.azurewebsites.net.

Rozhraní API služby Azure Monitor

Připojení ivity ze sady Azure Data Studio na server rozhraní KUBERNEtes API používá ověřování a šifrování Kubernetes, které jste vytvořili. Každý uživatel, který používá Azure Data Studio nebo rozhraní příkazového řádku, musí mít ověřené připojení k rozhraní API Kubernetes, aby mohl provádět řadu akcí souvisejících s datovými službami s podporou Azure Arc.

Další požadavky na síť

Most prostředků navíc vyžaduje koncové body Kubernetes s podporou Arc.