Mode dan persyaratan konektivitas
Artikel ini menjelaskan mode konektivitas yang tersedia untuk layanan data dengan dukungan Azure Arc, dan persyaratannya masing-masing.
Mode konektivitas
Ada beberapa opsi untuk tingkat konektivitas dari lingkungan layanan data dengan dukungan Azure Arc ke Azure. Karena persyaratan Anda bervariasi berdasarkan kebijakan bisnis, peraturan pemerintah, atau ketersediaan konektivitas jaringan ke Azure, Anda dapat memilih dari mode konektivitas berikut.
Layanan data dengan dukungan Azure Arc memberi Anda opsi untuk menyambungkan ke Azure dalam dua mode konektivitas yang berbeda:
- Terhubung langsung
- Terhubung secara tidak langsung
Mode konektivitas memberi Anda fleksibilitas untuk memilih berapa banyak data yang dikirim ke Azure dan cara pengguna berinteraksi dengan Arc Data Controller. Bergantung pada mode konektivitas yang dipilih, beberapa fungsionalitas layanan data dengan dukungan Azure Arc mungkin atau mungkin tidak tersedia.
Yang penting, jika layanan data dengan dukungan Azure Arc terhubung langsung ke Azure, maka pengguna dapat menggunakan API Azure Resource Manager, Azure CLI, dan portal Microsoft Azure untuk mengoperasikan layanan data Azure Arc. Pengalaman dalam mode terhubung langsung sama seperti bagaimana Anda akan menggunakan layanan Azure lainnya dengan provisi/deprovisi, penskalaan, konfigurasi, dan sebagainya, semua dalam portal Azure. Jika layanan data dengan dukungan Azure Arc tidak langsung tersambung ke Azure, maka portal Microsoft Azure adalah tampilan baca-saja. Anda dapat melihat inventaris instans terkelola SQL dan server PostgreSQL yang telah Anda sebarkan dan detailnya, tetapi Anda tidak dapat mengambil tindakan di portal Azure. Dalam mode terhubung secara tidak langsung, semua tindakan harus dilakukan secara lokal menggunakan Azure Data Studio, CLI yang sesuai, atau alat asli Kubernetes seperti kubectl.
Selain itu, ID Microsoft Entra dan Kontrol Akses Berbasis Peran Azure dapat digunakan dalam mode terhubung langsung hanya karena ada dependensi pada koneksi berkelanjutan dan langsung ke Azure untuk menyediakan fungsionalitas ini.
Beberapa layanan terlampir Azure hanya tersedia ketika dapat langsung dijangkau seperti Container Insights, dan pencadangan ke penyimpanan blob.
| Terhubung secara tidak langsung | Terhubung langsung | Tidak pernah terhubung | |
|---|---|---|---|
| Keterangan | Mode terhubung secara tidak langsung menawarkan sebagian besar layanan manajemen secara lokal di lingkungan Anda tanpa koneksi langsung ke Azure. Jumlah data minimal harus dikirim ke Azure untuk tujuan inventaris dan penagihan saja. Ini diekspor ke file dan diunggah ke Azure setidaknya sekali per bulan. Tidak diperlukan koneksi langsung atau berkelanjutan ke Azure. Beberapa fitur dan layanan yang memerlukan koneksi ke Azure tidak akan tersedia. | Mode terhubung langsung menawarkan semua layanan yang tersedia ketika koneksi langsung dapat dibuat dengan Azure. Koneksi selalu dimulai dari lingkungan Anda ke Azure dan menggunakan port dan protokol standar seperti HTTPS/443. | Tidak ada data yang dapat dikirim ke atau dari Azure dengan cara apa pun. |
| Ketersediaan saat ini | Tersedia | Tersedia | Saat ini tidak didukung. |
| Kasus penggunaan biasa | Pusat data lokal yang tidak mengizinkan konektivitas masuk atau keluar dari wilayah data pusat data karena kebijakan kepatuhan bisnis atau peraturan atau karena kekhawatiran serangan eksternal atau pemusnahan data. Contoh umum: Lembaga keuangan, perawatan kesehatan, pemerintah. Lokasi situs tepi tempat situs tepi biasanya tidak memiliki konektivitas ke Internet. Contoh umum: aplikasi minyak/gas atau lapangan militer. Lokasi situs tepi yang memiliki konektivitas terputus-putus dengan periode pemadaman yang lama. Contoh umum: stadion, kapal pesiar. |
Organisasi yang menggunakan cloud publik. Contoh umum: Azure, AWS, atau Google Cloud. Lokasi situs tepi tempat konektivitas Internet biasanya ada dan diizinkan. Contoh umum: toko ritel, manufaktur. Pusat data perusahaan dengan kebijakan yang lebih permisif untuk konektivitas ke/dari wilayah data pusat data mereka ke Internet. Contoh umum: Bisnis yang tidak diatur, bisnis kecil/menengah |
Lingkungan yang benar-benar "dengan celah udara" di mana tidak ada data dalam keadaan apa pun yang dapat datang atau pergi dari lingkungan data. Contoh umum: fasilitas rahasia pemerintah. |
| Cara data dikirim ke Azure | Ada tiga opsi tentang cara data penagihan dan inventaris dapat dikirim ke Azure: 1) Data diekspor keluar dari wilayah data dengan proses otomatis yang memiliki konektivitas ke wilayah data aman dan Azure. 2) Data diekspor keluar dari wilayah data dengan proses otomatis di dalam wilayah data, secara otomatis disalin ke wilayah yang kurang aman, dan proses otomatis di wilayah yang kurang aman mengunggah data ke Azure. 3) Data diekspor secara manual oleh pengguna dalam wilayah aman, dibawa keluar secara manual dari wilayah aman, dan diunggah secara manual ke Azure. Dua opsi pertama adalah proses berkelanjutan otomatis yang dapat dijadwalkan untuk sering berjalan sehingga ada penundaan minimal dalam transfer data ke Azure hanya tunduk pada konektivitas yang tersedia ke Azure. |
Data secara otomatis dan terus-menerus dikirim ke Azure. | Data tidak pernah dikirim ke Azure. |
Ketersediaan fitur berdasarkan mode konektivitas
| Fitur | Terhubung secara tidak langsung | Terhubung langsung |
|---|---|---|
| Ketersediaan tinggi otomatis | Didukung | Didukung |
| Provisi layanan mandiri | Didukung Gunakan Azure Data Studio, alat asli CLI, atau Kubernetes yang sesuai seperti Helm, kubectl, atau oc, atau gunakan provisi GitOps Kubernetes dengan dukungan Azure Arc. |
Didukung Selain opsi pembuatan mode yang terhubung secara tidak langsung, Anda juga dapat membuat melalui portal Azure, API Resource Manager Azure, templat Azure CLI, atau ARM. |
| Skalabilitas elastis | Didukung | Didukung |
| Billing | Didukung Data penagihan secara berkala diekspor dan dikirim ke Azure. |
Didukung Data penagihan secara otomatis dan terus-menerus dikirim ke Azure dan ditampilkan hampir secara real time. |
| Pengelolaan inventaris | Didukung Data inventaris secara berkala diekspor dan dikirim ke Azure. Gunakan alat klien seperti Azure Data Studio, Azure Data CLI, atau kubectl untuk menampilkan dan mengelola inventaris secara lokal. |
Didukung Data inventaris secara otomatis dan terus-menerus dikirim ke Azure dan direfleksikan hampir secara real time. Dengan demikian, Anda dapat mengelola inventaris langsung dari portal Azure. |
| Peningkatan dan patching otomatis | Didukung Pengontrol data harus memiliki akses langsung ke Microsoft Container Registry (MCR) atau gambar kontainer harus diambil dari MCR dan didorong ke registri kontainer privat lokal yang dapat diakses oleh pengontrol data. |
Didukung |
| Pencadangan dan pemulihan otomatis | Didukung Pencadangan dan pemulihan lokal otomatis. |
Didukung Selain pencadangan dan pemulihan lokal otomatis, Anda dapat secara opsional mengirim cadangan ke penyimpanan blob Azure untuk retensi jangka panjang di luar situs. |
| Pemantauan | Didukung Pemantauan lokal menggunakan dasbor Grafana dan Kibana. |
Didukung Selain dasbor pemantauan lokal, Anda dapat secara opsional mengirim data pemantauan dan log ke Azure Monitor untuk pemantauan skala besar dari beberapa situs di satu tempat. |
| Autentikasi | Gunakan nama pengguna/kata sandi lokal untuk pengontrol data dan autentikasi dasbor. Gunakan login SQL dan Postgres atau Direktori Aktif (AD saat ini tidak didukung) untuk konektivitas ke instans database. Gunakan penyedia autentikasi Kubernetes untuk autentikasi ke API Kubernetes. | Selain atau alih-alih metode autentikasi untuk mode yang terhubung secara tidak langsung, Anda dapat secara opsional menggunakan ID Microsoft Entra. |
| Kontrol akses berbasis peran (RBAC) | Gunakan Kubernetes RBAC di API Kubernetes. Gunakan SQL dan Postgres RBAC untuk instans database. | Anda dapat menggunakan MICROSOFT Entra ID dan Azure RBAC. |
Persyaratan konektivitas
Beberapa fungsi memerlukan koneksi ke Azure.
Semua komunikasi dengan Azure selalu dimulai dari lingkungan Anda. Ini berlaku bahkan untuk operasi yang dimulai oleh pengguna di portal Azure. Dalam hal ini, ada tugas yang secara efektif diantrekan di Azure. Agen di lingkungan Anda memulai komunikasi dengan Azure untuk melihat tugas apa yang ada dalam antrean, menjalankan tugas, dan melaporkan kembali status/penyelesaian/gagal ke Azure.
| Jenis Data | Arah | Diperlukan/Opsional | Biaya Tambahan | Modus Diperlukan | Catatan |
|---|---|---|---|---|---|
| Gambar kontainer | Microsoft Container Registry -> Pelanggan | Diperlukan | No | Tidak langsung atau langsung | Gambar kontainer adalah metode untuk mendistribusikan perangkat lunak. Dalam lingkungan yang dapat terhubung ke Microsoft Container Registry (MCR) melalui Internet, gambar kontainer dapat ditarik langsung dari MCR. Jika lingkungan penyebaran tidak memiliki konektivitas langsung, Anda dapat menarik gambar dari MCR dan mendorongnya ke registri kontainer privat di lingkungan penyebaran. Pada waktu pembuatan, Anda dapat mengonfigurasi proses pembuatan untuk menarik dari registri penampung privat daripada MCR. Ini juga berlaku untuk pembaruan otomatis. |
| Inventaris sumber daya | Lingkungan pelanggan -> Azure | Diperlukan | No | Tidak langsung atau langsung | Inventaris pengontrol data, instans database (PostgreSQL dan SQL) disimpan di Azure untuk tujuan penagihan dan juga untuk tujuan membuat inventaris semua pengontrol data dan instans database di satu tempat yang sangat berguna jika Anda memiliki lebih dari satu lingkungan dengan layanan data Azure Arc. Saat instans disediakan, dicabut aksesnya, diperkecil/dimasukkan, diperbesar/diperkecil, inventaris diperbarui di Azure. |
| Data telemetri penagihan | Lingkungan pelanggan -> Azure | Diperlukan | No | Tidak langsung atau langsung | Pemanfaatan instans database harus dikirim ke Azure untuk tujuan penagihan. |
| Memantau data dan log | Lingkungan pelanggan -> Azure | Opsional | Mungkin tergantung pada volume data (lihat harga Azure Monitor) | Tidak langsung atau langsung | Anda mungkin ingin mengirim data pemantauan dan log yang dikumpulkan secara lokal ke Azure Monitor untuk menggabungkan data di beberapa lingkungan ke dalam satu tempat dan juga untuk menggunakan layanan Azure Monitor seperti pemberitahuan, menggunakan data di Azure Pembelajaran Mesin, dll. |
| Kontrol Akses Berbasis Peran Azure (Azure RBAC) | Lingkungan pelanggan -> Azure -> Lingkungan Pelanggan | Opsional | No | Hanya langsung | Jika Anda ingin menggunakan Azure RBAC, maka konektivitas harus dibuat dengan Azure setiap saat. Jika Anda tidak ingin menggunakan Azure RBAC, maka RBAC Kubernetes lokal dapat digunakan. |
| ID Microsoft Entra (Masa Depan) | Lingkungan pelanggan -> Azure -> Lingkungan pelanggan | Opsional | Mungkin, tetapi Anda mungkin sudah membayar ID Microsoft Entra | Hanya langsung | Jika Anda ingin menggunakan ID Microsoft Entra untuk autentikasi, konektivitas harus dibuat dengan Azure setiap saat. Jika Anda tidak ingin menggunakan ID Microsoft Entra untuk autentikasi, Anda dapat menggunakan Layanan Federasi Direktori Aktif (ADFS) melalui Direktori Aktif. Ketersediaan tertunda untuk mode terhubung langsung |
| Pencadangan dan pemulihan | Lingkungan pelanggan -> Lingkungan pelanggan | Diperlukan | No | Langsung atau tidak langsung | Layanan pencadangan dan pemulihan dapat dikonfigurasi untuk menunjuk ke kelas penyimpanan lokal. |
| Cadangan Azure - retensi jangka panjang (Masa Depan) | Lingkungan pelanggan -> Azure | Opsional | Ya untuk penyimpanan Azure | Hanya langsung | Anda mungkin ingin mengirim cadangan yang diambil secara lokal ke Azure Backup untuk retensi cadangan jangka panjang di luar situs dan membawanya kembali ke lingkungan lokal untuk dipulihkan. |
| Perubahan penyediaan dan konfigurasi dari portal Azure | Lingkungan pelanggan -> Azure -> Lingkungan pelanggan | Opsional | No | Hanya langsung | Perubahan provisi dan konfigurasi dapat dilakukan secara lokal menggunakan Azure Data Studio atau CLI yang sesuai. Dalam mode terhubung langsung, Anda juga dapat menyediakan dan membuat perubahan konfigurasi dari portal Azure. |
Detail tentang alamat internet, port, enkripsi, dan dukungan server proxy
| Layanan | Port | URL | Arah | Catatan |
|---|---|---|---|---|
| Bagan helm (mode terhubung langsung saja) | 443 | arcdataservicesrow1.azurecr.io |
Keluar | Menyediakan bootstrapper pengontrol data Azure Arc dan objek tingkat kluster, seperti definisi sumber daya kustom, peran kluster, dan pengikatan peran kluster, ditarik dari Azure Container Registry. |
| API azure monitor * | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Keluar | Azure Data Studio, dan Azure CLI terhubung ke API Azure Resource Manager untuk mengirim dan mengambil data ke dan dari Azure untuk beberapa fitur. Lihat API Azure Monitor. |
| Layanan pemrosesan data Azure Arc * | 443 | *.<region>.arcdataservices.com2 |
Keluar |
1 Persyaratan tergantung pada mode penyebaran:
- Untuk mode langsung, pod pengontrol pada kluster Kubernetes harus memiliki konektivitas keluar ke titik akhir untuk mengirim log, metrik, inventori, dan informasi penagihan ke Azure Monitor/Data Processing Service.
- Untuk mode tidak langsung, komputer yang berjalan
az arcdata dc uploadharus memiliki konektivitas keluar ke Azure Monitor dan Layanan Pemrosesan Data.
2 Untuk versi ekstensi hingga dan termasuk 13 Februari 2024, gunakan san-af-<region>-prod.azurewebsites.net.
API Azure Monitor
Konektivitas dari Azure Data Studio ke server API Kubernetes menggunakan autentikasi dan enkripsi Kubernetes yang telah Anda buat. Setiap pengguna yang menggunakan Azure Data Studio atau CLI harus memiliki koneksi yang diautentikasi ke API Kubernetes untuk melakukan banyak tindakan yang terkait dengan layanan data dengan dukungan Azure Arc.
Persyaratan jaringan tambahan
Selain itu, jembatan sumber daya memerlukan titik akhir Kubernetes dengan dukungan Arc.