Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive la modalità di connettività disponibile per i servizi dati abilitati per Azure Arc e i rispettivi requisiti.
Modalità di connettività
I servizi dati abilitati per Azure Arc supportano la modalità di connettività diretta.
Annotazioni
La connessione indiretta è stata dismessa. Settembre 2025.
Quando i servizi dati abilitati per Azure Arc sono connessi direttamente ad Azure, è possibile usare le API di Azure Resource Manager, l'interfaccia della riga di comando di Azure e il portale di Azure per gestire i servizi dati di Azure Arc. L'esperienza in modalità connessa diretta è molto simile a come usare qualsiasi altro servizio di Azure con provisioning/deprovisioning, ridimensionamento, configurazione e così via, tutto nel portale di Azure.
Inoltre, Microsoft Entra ID e il controllo degli accessi in base al ruolo di Azure possono essere usati solo in modalità connessa direttamente perché esiste una dipendenza da una connessione continua e diretta ad Azure per fornire questa funzionalità.
Alcuni servizi collegati ad Azure sono disponibili solo quando possono essere raggiunti direttamente, come Insights sui container e il backup automatico su Azure Blob Storage.
Connessione diretta
- Descrizione: fornisce tutti i servizi quando è disponibile una connessione diretta ad Azure. Le connessioni vengono sempre avviate dall'ambiente ad Azure usando porte/protocolli standard (ad esempio HTTPS/443).
- Disponibilità corrente: disponibile
- Casi d'uso tipici: ambienti cloud pubblici (Azure, AWS, GCP); siti perimetrali con connettività Internet consentita (vendita al dettaglio, produzione); data center aziendali con criteri di connettività permissivi.
- Modalità di invio dei dati ad Azure: i dati vengono inviati automaticamente e continuamente ad Azure.
Indirettamente connesso (ritirato)
- Descrizione: offre la maggior parte dei servizi di gestione in locale senza connessione continua ad Azure. Una quantità minima di dati di fatturazione e inventario viene esportata in un file e caricata in Azure almeno una volta al mese; alcune funzionalità dipendenti da Azure non sono disponibili.
- Disponibilità corrente: ritirato
- Casi d'uso tipici: data center locali regolamentati (finanziari, sanitari, enti pubblici); siti perimetrali senza Internet (petrolio/gas, militare); siti con connettività intermittente (stadi, navi da crociera).
- Modalità di invio dei dati ad Azure: una delle tre opzioni: (1) processo automatizzato che esporta dall'area sicura ad Azure, (2) esportazione automatizzata in un'area meno sicura e caricamento in Azure oppure (3) esportazione e caricamento manuale. I primi due possono essere pianificati per trasferimenti frequenti.
Disponibilità delle funzionalità in base alla modalità di connettività
| Feature | Indirettamente connesso (ritirato) | Connessione diretta |
|---|---|---|
| Disponibilità elevata automatica | Supported | Supported |
| Provisioning self-service | Supported Usare Azure Data Studio, l'interfaccia della riga di comando appropriata o gli strumenti nativi Kubernetes come Helm, kubectl o ocoppure usare il provisioning di Kubernetes con abilitazione per Azure Arc. |
Supported Oltre alle opzioni di creazione in modalità connessa indirettamente, è anche possibile creare tramite il portale di Azure, le API di Azure Resource Manager, l'interfaccia della riga di comando di Azure o i modelli di ARM. |
| Scalabilità elastica | Supported | Supported |
| Billing | Supported I dati di fatturazione vengono esportati periodicamente e inviati ad Azure. |
Supported I dati di fatturazione vengono inviati automaticamente e continuamente ad Azure e riflesse quasi in tempo reale. |
| Gestione dell'inventario | Supported I dati di inventario vengono esportati periodicamente e inviati ad Azure. Usare strumenti client come Azure Data Studio, l'interfaccia della riga di comando dei dati di Azure o kubectl per visualizzare e gestire l'inventario in locale. |
Supported I dati di inventario vengono inviati automaticamente e continuamente ad Azure e riflesse quasi in tempo reale. Di conseguenza, è possibile gestire l'inventario direttamente dal portale di Azure. |
| Aggiornamenti automatici e applicazione di patch | Supported Il controller dei dati deve avere accesso diretto al Registro Contenitori Microsoft o le immagini del contenitore devono essere estratte da MCR ed è necessario eseguire il push in un registro contenitori locale e privato a cui il titolare del trattamento dei dati può accedere. |
Supported |
| Backup e ripristino automatici | Supported Backup e ripristino locali automatici. |
Supported Oltre al backup e al ripristino locali automatizzati, è possibile inviare facoltativamente backup all'archivio BLOB di Azure per la conservazione fuori sede a lungo termine. |
| Monitoring | Supported Monitoraggio locale tramite dashboard Grafana e Kibana. |
Supported Oltre ai dashboard di monitoraggio locale, è possibile inviare facoltativamente dati e log di monitoraggio a Monitoraggio di Azure per il monitoraggio su larga scala di più siti in un'unica posizione. |
| Authentication | Usare il nome utente/password locale per il controller dati e l'autenticazione del dashboard. Usare account di accesso SQL e Postgres o Active Directory (AD attualmente non supportato) per la connettività alle istanze del database. Usare i provider di autenticazione Kubernetes per l'autenticazione all'API Kubernetes. | Oltre a o invece ai metodi di autenticazione per la modalità connessa indirettamente, è possibile usare facoltativamente Microsoft Entra ID. |
| Controllo degli accessi in base al ruolo | Usare il controllo degli accessi in base al ruolo di Kubernetes nell'API Kubernetes. Usare il controllo degli accessi in base al ruolo di SQL e Postgres per le istanze del database. | È possibile usare Microsoft Entra ID e Controllo degli accessi in base al ruolo di Azure. |
Requisiti di connettività
Alcune funzionalità richiedono una connessione ad Azure.
Tutte le comunicazioni con Azure vengono sempre avviate dall'ambiente. Questo vale anche per le operazioni avviate da un utente nel portale di Azure. In tal caso, esiste effettivamente un'attività, che viene accodata in Azure. Un agente nell'ambiente avvia la comunicazione con Azure per vedere quali attività si trovano nella coda, esegue le attività e segnala lo stato/completamento/non riesce ad Azure.
| Tipo di dati | Direction | Required/Optional | Costi aggiuntivi | Modalità obbligatoria | Notes |
|---|---|---|---|---|---|
| Immagini del contenitore | Registro Container Microsoft -> Cliente | Required | No | Diretto o indiretto | Le immagini del contenitore rappresentano il metodo per la distribuzione del software. In un ambiente che può connettersi al Registro Container Microsoft tramite Internet, le immagini del contenitore possono essere estratte direttamente da MCR. Se l'ambiente di distribuzione non dispone di connettività diretta, è possibile eseguire il pull delle immagini da MCR ed eseguirne il push in un registro container privato nell'ambiente di distribuzione. In fase di creazione, è possibile configurare il processo di creazione per eseguire il pull dal registro container privato invece di MCR. Questo vale anche per gli aggiornamenti automatizzati. |
| Inventario risorse | Ambiente del cliente -> Azure | Required | No | Diretto o indiretto | Un inventario dei titolari del trattamento dei dati, le istanze di database vengono mantenute in Azure per scopi di fatturazione e anche ai fini della creazione di un inventario di tutti i titolari del trattamento dei dati e delle istanze di database in un'unica posizione, particolarmente utile se si dispone di più di un ambiente con i servizi dati di Azure Arc. Quando viene effettuato il provisioning delle istanze, il deprovisioning, la scalabilità out/in, l'aumento/riduzione dell'inventario viene aggiornato in Azure. |
| Dati di telemetria di fatturazione | Ambiente del cliente -> Azure | Required | No | Diretto o indiretto | L'utilizzo delle istanze del database deve essere inviato ad Azure a scopo di fatturazione. |
| Monitoraggio di dati e log | Ambiente del cliente -> Azure | Optional | Forse a seconda del volume di dati (vedere Prezzi di Monitoraggio di Azure) | Diretto o indiretto | È possibile inviare i dati e i log di monitoraggio raccolti in locale a Monitoraggio di Azure per aggregare i dati in più ambienti in un'unica posizione e usare anche i servizi di Monitoraggio di Azure come avvisi, usando i dati in Azure Machine Learning e così via. |
| Controllo degli accessi basato sui ruoli di Azure | Ambiente del cliente -> Azure - > Ambiente del cliente | Optional | No | Solo diretto | Se si vuole usare il controllo degli accessi in base al ruolo di Azure, è necessario stabilire sempre la connettività con Azure. Se non si desidera usare il controllo degli accessi in base al ruolo di Azure, è possibile usare il controllo degli accessi in base al ruolo di Kubernetes locale. |
| Microsoft Entra ID (Futuro) | Ambiente del cliente -> Azure - > Ambiente del cliente | Optional | Forse, ma potresti già pagare per Microsoft Entra ID | Solo diretto | Se si vuole usare Microsoft Entra ID per l’autenticazione, è necessario stabilire sempre la connettività con Azure. Se non si desidera usare Microsoft Entra ID per l'autenticazione, è possibile usare Active Directory Federation Services (ADFS) su Active Directory. Disponibilità in sospeso in modalità direttamente connessa |
| Backup e ripristino | Ambiente del cliente -> Ambiente del cliente | Required | No | Diretto o indiretto | Il servizio di backup e ripristino può essere configurato in modo che punti alle classi di archiviazione locali. |
| Backup di Azure - Conservazione a lungo termine (futuro) | Ambiente del cliente -> Azure | Optional | Sì, per Archiviazione di Azure | Solo diretto | È possibile inviare backup eseguiti localmente a Backup di Azure per la conservazione fuori sede dei backup a lungo termine e riportarli all'ambiente locale per il ripristino. |
| Modifiche di provisioning e configurazione dal portale di Azure | Ambiente del cliente -> Azure - > Ambiente del cliente | Optional | No | Solo diretto | Il provisioning e le modifiche alla configurazione possono essere apportate in locale usando Azure Data Studio o l'interfaccia della riga di comando appropriata. In modalità direttamente connessa è anche possibile effettuare il provisioning e apportare modifiche alla configurazione dal portale di Azure. |
Informazioni dettagliate su indirizzi Internet, porte, crittografia e supporto del server proxy
| Service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Grafico Helm (solo modalità connessa diretta) | 443 | arcdataservicesrow1.azurecr.io |
Outbound | Esegue il provisioning del caricatore di bootstrap del titolare del trattamento dei dati e degli oggetti a livello di cluster di Azure Arc, ad esempio definizioni di risorse personalizzate, ruoli del cluster e associazioni di ruoli del cluster, viene eseguito il pull da un Registro Azure Container. |
| API di monitoraggio di Azure 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Outbound | Azure Data Studio e l'interfaccia della riga di comando di Azure si connettono alle API di Azure Resource Manager per inviare e recuperare dati da e verso Azure per alcune funzionalità. Vedere API di Monitoraggio di Azure. |
| Servizio di elaborazione dati di Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
Outbound |
1 Il requisito dipende dalla modalità di distribuzione:
- Per la modalità diretta, il pod controller nel cluster Kubernetes deve avere connettività in uscita verso gli endpoint per inviare i log, le metriche, l'inventario e le informazioni di fatturazione a Monitoraggio di Azure/Servizio di elaborazione dati.
- Per la modalità indiretta, il computer che esegue
az arcdata dc uploaddeve avere la connettività in uscita verso Monitoraggio di Azure e verso il servizio di elaborazione dati.
2 Per le versioni dell'estensione fino al 13 febbraio 2024 (inclusa), usare san-af-<region>-prod.azurewebsites.net.
API di monitoraggio di Azure
La connettività da Azure Data Studio al server API Kubernetes usa l'autenticazione e la crittografia kubernetes stabilita. Ogni utente che usa Azure Data Studio o l'interfaccia della riga di comando deve avere una connessione autenticata verso l'API Kubernetes per eseguire molte delle azioni correlate ai servizi dati abilitati per Azure Arc.
Requisiti di rete aggiuntivi
Inoltre, il bridge di risorse richiede endpoint Kubernetes con abilitazione per Arc.