Besonderheiten des Dienstconnectors
Service Connector ist ein Azure-Erweiterungsressourcenanbieter, der eine einfache Möglichkeit zum Erstellen und Verwalten von Verbindungen zwischen Azure-Diensten bietet.
De Dienstconnector bietet die folgenden Features:
- Hiermit können Sie Azure-Dienste mit einem einzigen Azure CLI-Befehl oder in wenigen Schritten über das Azure-Portal verbinden.
- Unterstützt eine zunehmende Anzahl von Datenbanken, Speichern, Echtzeitdiensten, Zustands- und Geheimnisspeichern, die mit Ihrer cloudnativen Anwendung verwendet werden.
- Konfiguriert Netzwerkeinstellungen und Authentifizierung und verwaltet Verbindungsumgebungsvariablen oder -eigenschaften für Sie.
- Überprüft Verbindungen und bietet Vorschläge zum Beheben fehlerhafter Verbindungen.
Übersicht über Dienstverbindungen
Das Konzept der Dienstverbindung ist ein zentrales Konzept im Ressourcenmodell des Dienstconnectors. Eine Dienstverbindung stellt eine Abstraktion der Verknüpfung zwischen zwei Diensten dar. Dienstverbindungen weisen die folgenden Eigenschaften auf:
| Eigenschaft | Beschreibung |
|---|---|
| Verbindungsname | Der eindeutige Name der Dienstverbindung. |
| Art des Quelldiensts | Quelldienste sind Dienste, die Sie mit Zieldiensten verbinden können. Sie sind in der Regel Azure-Computedienste und umfassen Azure-App Service, Azure Functions, Azure Container Apps und Azure Spring Apps. |
| Art des Zieldiensts | Zieldienste sind unterstützende Dienste oder Abhängigkeitsdienste, mit denen Ihre Computedienste eine Verbindung herstellen. Der Dienstconnector unterstützt verschiedene Arten von Zieldiensten. Hierzu zählen beispielsweise gängige Datenbanken, Speicher, Echtzeitdienste sowie Zustands- und Geheimnisspeicher. |
| Clienttyp | Der Clienttyp bezieht sich auf Ihren Computelaufzeitstapel, das Entwicklungsframework oder den spezifischen Clientbibliothekstyp, der bzw. das das spezifische Format der Verbindungsumgebungsvariablen oder -eigenschaften akzeptiert. |
| Authentifizierungstyp | Der für die Dienstverbindung verwendete Authentifizierungstyp. Dabei kann es sich um eine Geheimnis-/Verbindungszeichenfolge, um eine verwaltete Identität oder um einen Dienstprinzipal handeln. |
Quelldienste und Zieldienste unterstützen mehrere gleichzeitige Dienstverbindungen, was bedeutet, dass Sie jede Ressource mit mehreren Ressourcen verbinden können.
Der Dienstconnector verwaltet Verbindungen in den Eigenschaften der Quellinstanz. Das Erstellen, Abrufen, Aktualisieren und Löschen von Verbindungen erfolgt direkt durch Öffnen der Quelldienstinstanz im Azure-Portal oder über die CLI-Befehle des Quelldiensts.
Verbindungen können abonnement- oder mandantenübergreifend hergestellt werden, was bedeutet, dass Quell- und Zieldienste zu verschiedenen Abonnements oder Mandanten gehören können. Wenn Sie eine neue Dienstverbindung erstellen, wird die Verbindungsressource standardmäßig in derselben Region wie Ihre Computedienstinstanz erstellt.
Erstellen und Aktualisieren von Dienstverbindungen
Der Dienstconnector führt beim Erstellen oder Aktualisieren von Dienstverbindungen mehrere Aufgaben aus, darunter:
Konfigurieren der Netzwerk- und Firewalleinstellungen. Erfahren Sie mehr über Netzwerklösungen.
Konfigurieren von Verbindungsinformationen. Weitere Informationen zu Verbindungskonfigurationen.
Konfigurieren von Authentifizierungsinformationen. Der Dienst Verbinden or unterstützt alle verfügbaren Authentifizierungstypen zwischen Quelldiensten und Zieldiensten.
- Vom System zugewiesene verwaltete Identität. Der Dienst Verbinden or ermöglicht die vom System zugewiesene verwaltete Identität für Quelldienste, falls noch nicht aktiviert, und gewährt dann RBAC-Rollen von Zieldiensten der verwalteten Identität. Der Benutzer kann die zu erteilenden Rollen angeben.
- Vom Benutzer zugewiesene verwaltete Identität. Der Dienst Verbinden or ermöglicht benutzern zugewiesene verwaltete Identität für Quelldienste, falls noch nicht aktiviert, und gewährt dann RBAC-Rollen von Zieldiensten der verwalteten Identität. Der Benutzer kann die zu erteilenden Rollen angeben.
- Verbinden ion Zeichenfolge. Der Dienst Verbinden or ruft Verbindungszeichenfolge s von Zieldiensten wie Speicher, Redis Cache usw. ab oder erstellt Verbindungszeichenfolge basierend auf Benutzereingaben, z. B. Azure-Datenbank für SQL, PostgreSQL usw.
- Dienstprinzipal. Der Dienst Verbinden or gewährt RBAC-Rollen von Zieldiensten der verwalteten Identität. Der Benutzer kann die zu erteilenden Rollen angeben.
Der Dienst-Verbinden or speichert die entsprechenden Authentifizierungskonfigurationen beispielsweise in Quelldiensten, z. B. beim Speichern von AZURE_CLIENT_ID, AZURE_TENANT_ID, AZURE_STORAGEACCOUNT_ENDPOINT für den Speicher mit vom Authentifizierungstyp zugewiesener verwalteter Identität.
Erstellen oder Aktualisieren des Verbindungsrollbacks, wenn ein Fehler auftritt
Sollte bei einem der Schritte in diesem Vorgang ein Fehler auftreten, führt der Dienstconnector ein Rollback für alle vorherigen Schritte aus, um die ursprünglichen Einstellungen in den Quell- und Zielinstanzen beizubehalten.
Ressourcenanbieter
Microsoft.ServiceLinker ist der Name des Ressourcenanbieters des Diensts Verbinden or.
Wenn ein Benutzer die Registerkarte "Dienst Verbinden or" im Azure-Portal öffnet, wird der ServiceLinker-Ressourcenanbieter automatisch im aktiven Abonnement des Benutzers registriert. Der Benutzer, der die Registrierung generiert hat, wird als Initiator des Registrierungsereignisses aufgeführt.
Mit service Verbinden or können Benutzer Dienste über Abonnements hinweg verbinden. Wenn ein Benutzer eine Verbindung mit einem Zieldienst erstellt, der in einem anderen Abonnement registriert ist, wird Service Linker auch im Abonnement des Zieldiensts registriert. Diese Registrierung tritt auf, wenn der Benutzer die Registerkarte "Überprüfen + Erstellen " auswählt, bevor die Verbindung endgültig erstellt wird.
Verbindungskonfigurationen
Verbindungskonfigurationen werden im Quelldienst festgelegt.
Öffnen Sie im Azure-Portal einen Quelldienst, und navigieren Sie zu Dienstconnector. Erweitern Sie die einzelnen Verbindungen, und sehen Sie sich die Verbindungskonfigurationen an.
Verwenden Sie in der CLI den Befehl list-configuration, um die Verbindungskonfigurationen abzurufen.
az webapp connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>
az spring connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>
az containerapp connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>
Namenskonvention für Konfigurationen
Der Dienstconnector legt beim Erstellen einer Verbindung die Verbindungskonfiguration fest. Die Schlüsselwertpaare der Umgebungsvariable werden basierend auf dem Clienttyp und dem Authentifizierungstyp bestimmt. Wenn Sie also beispielsweise das Azure SDK mit einer verwalteten Identität verwenden, sind die Client-ID, der geheime Clientschlüssel usw. erforderlich. Bei Verwendung eines JDBC-Treibers wird eine Datenbank-Verbindungszeichenfolge benötigt. Befolgen Sie die folgenden Konventionen, um die Konfigurationen zu benennen:
Spring Boot-Client: Für die Spring Boot-Bibliothek der einzelnen Zieldienste gilt jeweils eine eigene Namenskonvention. Die MySQL-Verbindungseinstellungen lauten beispielsweise
spring.datasource.url,spring.datasource.usernameundspring.datasource.password. Für Kafka werden folgende Verbindungseinstellungen verwendet:spring.kafka.properties.bootstrap.servers.Andere Clients:
- Der Schlüsselname der ersten Verbindungskonfiguration verwendet das Format
<Cloud>_<Type>_<Name>. Platzhalter in einer derartigen Schreibweise sind z.B.AZURE_STORAGEBLOB_RESOURCEENDPOINTundCONFLUENTCLOUD_KAFKA_BOOTSTRAPSERVER. - Der Schlüsselname der zweiten Verbindungskonfiguration verwendet für dieselbe Art von Zielressource das Format
<Cloud>_<Type>_<Connection Name>_<Name>. Platzhalter in einer derartigen Schreibweise sind z.B.AZURE_STORAGEBLOB_CONN2_RESOURCEENDPOINTundCONFLUENTCLOUD_KAFKA_CONN2_BOOTSTRAPSERVER.
- Der Schlüsselname der ersten Verbindungskonfiguration verwendet das Format
Dienstnetzwerklösung
Service Verbinden or bietet drei Netzwerklösungen für Benutzer, die beim Erstellen einer Verbindung ausgewählt werden können. Diese Lösungen sollen eine sichere und effiziente Kommunikation zwischen Ressourcen ermöglichen.
Firewall: Diese Lösung ermöglicht die Verbindung über das öffentliche Netzwerk und die Computeressource, die auf die Zielressource mit öffentlicher IP-Adresse zugreift. Wenn Sie diese Option auswählen, überprüft service Verbinden or die Firewalleinstellungen der Zielressource und fügt eine Regel hinzu, um Verbindungen von der öffentlichen IP-Adresse der Quellressource zuzulassen. Wenn die Firewall der Ressource den Zugriff auf alle Azure-Ressourcen unterstützt, aktiviert Service Verbinden or diese Einstellung. Wenn die Zielressource jedoch standardmäßig den gesamten öffentlichen Netzwerkdatenverkehr verweigert, ändert service Verbinden or diese Einstellung nicht. In diesem Fall sollten Sie eine andere Option auswählen oder die Netzwerkeinstellungen manuell aktualisieren, bevor Sie es erneut versuchen.
Dienstendpunkt: Diese Lösung ermöglicht die Computeressource, eine Verbindung mit Zielressourcen über ein virtuelles Netzwerk herzustellen und sicherzustellen, dass der Verbindungsdatenverkehr nicht über das öffentliche Netzwerk geleitet wird. Es ist nur verfügbar, wenn bestimmte Voraussetzungen erfüllt sind:
- Die Computeressource muss die Integration des virtuellen Netzwerks aktiviert haben. Für Azure-App Dienst kann er in seinen Netzwerkeinstellungen konfiguriert werden. Für Azure Spring Apps müssen Benutzer während der Ressourcenerstellungsphase die Einfügung des virtuellen Netzwerks festlegen.
- Der Zieldienst muss den Dienstendpunkt unterstützen. Eine Liste der unterstützten Dienste finden Sie in den Endpunkten des virtuellen Netzwerks.
Wenn Sie diese Option auswählen, fügt der Dienst-Verbinden or die private IP-Adresse der Computeressource im virtuellen Netzwerk zu den Virtual Network-Regeln der Zielressource hinzu und aktiviert den Dienstendpunkt in der Subnetzkonfiguration der Quellressource. Wenn der Benutzer über ausreichende Berechtigungen verfügt oder die SKU oder Region der Ressource keine Dienstendpunkte unterstützt, schlägt die Verbindungserstellung fehl.
Privater Endpunkt: Diese Lösung ist eine empfohlene Möglichkeit, Ressourcen über ein virtuelles Netzwerk zu verbinden und nur verfügbar, wenn bestimmte Voraussetzungen erfüllt sind:
Die Computeressource muss die Integration des virtuellen Netzwerks aktiviert haben. Für Azure-App-Dienst kann er in seinen Netzwerkeinstellungen konfiguriert werden. Für Azure Spring Apps müssen Benutzer die VNet-Einfügung während der Ressourcenerstellungsphase festlegen.
Der Zieldienst muss private Endpunkte unterstützen. Eine Liste der unterstützten Dienste finden Sie in der Ressource für private Links.
Wenn Sie diese Option auswählen, führt der Dienst Verbinden or keine weiteren Konfigurationen in den Compute- oder Zielressourcen durch. Stattdessen überprüft er das Vorhandensein eines gültigen privaten Endpunkts und schlägt die Verbindung fehl, wenn sie nicht gefunden wurde. Benutzer können das Kontrollkästchen "Neuer privater Endpunkt" im Azure-Portal aktivieren, wenn Sie eine Verbindung erstellen. Damit erstellt service Verbinden or automatisch alle zugehörigen Ressourcen für den privaten Endpunkt in der richtigen Reihenfolge und vereinfacht den Verbindungserstellungsprozess.
Überprüfen der Dienstverbindung
Beim Überprüfen einer Verbindung prüft der Dienstconnector die folgenden Elemente:
- Die Quell- und Zielressourcen sind vorhanden.
- Quelle: Es wurden die richtigen Verbindungsinformationen registriert.
- Ziel: Es wurden die richtigen Netzwerk- und Firewalleinstellungen registriert.
- Quell- und Zielressourcen: Es wurden die richtigen Authentifizierungsinformationen registriert.
Verbindungslöschung
Wenn eine Dienstverbindung gelöscht wird, werden auch die Verbindungsinformationen gelöscht.
Nächste Schritte
Weitere Informationen zu Service Verbinden or finden Sie im folgenden Konzeptartikel.