Modalità e requisiti di connettività
Questo articolo descrive le modalità di connettività disponibili per i servizi dati abilitati per Azure Arc e i rispettivi requisiti.
Modalità di connettività
Sono disponibili più opzioni per il grado di connettività dall'ambiente dei servizi dati abilitato per Azure Arc ad Azure. Poiché i requisiti variano in base ai criteri aziendali, alle normative governative o alla disponibilità della connettività di rete ad Azure, è possibile scegliere tra le modalità di connettività seguenti.
I servizi dati abilitati per Azure Arc offrono la possibilità di connettersi ad Azure in due modalità di connettività diverse:
- Connessione diretta
- Connessione indiretta
La modalità di connettività offre la flessibilità necessaria per scegliere la quantità di dati inviati ad Azure e il modo in cui gli utenti interagiscono con Arc Data Controller. A seconda della modalità di connettività scelta, alcune funzionalità dei servizi dati abilitati per Azure Arc potrebbero o meno essere disponibili.
Importante, se i servizi dati abilitati per Azure Arc sono direttamente connessi ad Azure, gli utenti possono usare le API di Azure Resource Manager, l'interfaccia della riga di comando di Azure e il portale di Azure per gestire i servizi dati di Azure Arc. L'esperienza in modalità connessa diretta è molto simile a come si userebbe qualsiasi altro servizio di Azure con provisioning/deprovisioning, ridimensionamento, configurazione e così via, tutto nel portale di Azure. Se i servizi dati abilitati per Azure Arc sono connessi indirettamente ad Azure, il portale di Azure è una visualizzazione di sola lettura. È possibile visualizzare l'inventario delle istanze gestite di SQL e dei server PostgreSQL distribuiti e i dettagli su di essi, ma non è possibile intervenire sulle istanze nel portale di Azure. Nella modalità connessa indirettamente, tutte le azioni devono essere eseguite in locale usando Azure Data Studio, l'interfaccia della riga di comando appropriata o gli strumenti nativi kubernetes, ad esempio kubectl.
Inoltre, l'ID Microsoft Entra e l'Controllo di accesso basati sui ruoli di Azure possono essere usati nella modalità connessa direttamente solo perché esiste una dipendenza da una connessione continua e diretta ad Azure per fornire questa funzionalità.
Alcuni servizi collegati ad Azure sono disponibili solo quando possono essere raggiunti direttamente, ad esempio Informazioni dettagliate contenitore e backup nell'archiviazione BLOB.
| Connesso indirettamente | Connessione diretta | Mai connesso | |
|---|---|---|---|
| Descrizione | La modalità connessa indirettamente offre la maggior parte dei servizi di gestione in locale nell'ambiente senza connessione diretta ad Azure. Una quantità minima di dati deve essere inviata ad Azure solo a scopo di inventario e fatturazione. Viene esportata in un file e caricata in Azure almeno una volta al mese. Non è necessaria alcuna connessione diretta o continua ad Azure. Alcune funzionalità e servizi che richiedono una connessione ad Azure non saranno disponibili. | La modalità connessa diretta offre tutti i servizi disponibili quando è possibile stabilire una connessione diretta con Azure. le Connessione vengono sempre avviate dall'ambiente ad Azure e usano porte e protocolli standard come HTTPS/443. | Non è possibile inviare dati ad o da Azure in alcun modo. |
| Disponibilità corrente | Disponibile | Disponibile | Attualmente non supportata. |
| Casi d'uso tipici | Data center locali che non consentono la connettività all'interno o all'esterno dell'area dati del data center a causa di criteri di conformità aziendali o normativi o per problemi di attacchi esterni o esfiltrazione di dati. Esempi tipici: istituzioni finanziarie, assistenza sanitaria, governo. Percorsi del sito Perimetrale in cui il sito perimetrale non ha in genere connettività a Internet. Esempi tipici: applicazioni petrolifere/gas o militari. Posizioni dei siti perimetrali con connettività intermittente con lunghi periodi di interruzioni. Esempi tipici: stadi, navi da crociera. |
Organizzazioni che usano cloud pubblici. Esempi tipici: Azure, AWS o Google Cloud. Percorsi del sito Perimetrale in cui la connettività Internet è in genere presente e consentita. Esempi tipici: punti vendita al dettaglio, produzione. Data center aziendali con criteri più permissivi per la connettività da/verso l'area dati del data center a Internet. Esempi tipici: imprese non regolamentate, piccole e medie imprese |
Ambienti veramente "air-gapped" in cui nessun dato in qualsiasi circostanza può provenire o passare dall'ambiente dati. Esempi tipici: strutture governative top secret. |
| Modalità di invio dei dati ad Azure | Sono disponibili tre opzioni per l'invio dei dati di fatturazione e inventario ad Azure: 1) I dati vengono esportati dall'area dati da un processo automatizzato con connettività sia all'area dati sicura che ad Azure. 2) I dati vengono esportati dall'area dati da un processo automatizzato all'interno dell'area dati, copiati automaticamente in un'area meno sicura e un processo automatizzato nell'area meno sicura carica i dati in Azure. 3) I dati vengono esportati manualmente da un utente all'interno dell'area protetta, portati manualmente dall'area sicura e caricati manualmente in Azure. Le prime due opzioni sono un processo continuo automatizzato che può essere pianificato per l'esecuzione frequente, quindi si verifica un ritardo minimo nel trasferimento dei dati in Azure soggetto solo alla connettività disponibile ad Azure. |
I dati vengono inviati automaticamente e continuamente ad Azure. | I dati non vengono mai inviati ad Azure. |
Disponibilità delle funzionalità in base alla modalità di connettività
| Funzionalità | Connesso indirettamente | Connessione diretta |
|---|---|---|
| Disponibilità elevata automatica | Supportata | Supportata |
| Provisioning self-service | Supportata Usare Azure Data Studio, l'interfaccia della riga di comando appropriata o gli strumenti nativi Kubernetes, ad esempio Helm, kubectlo oco usare il provisioning di GitOps abilitato per Azure Arc. |
Supportata Oltre alle opzioni di creazione in modalità connessa indirettamente, è anche possibile creare tramite le API di portale di Azure, Azure Resource Manager, l'interfaccia della riga di comando di Azure o i modelli di Resource Manager. |
| Scalabilità elastica | Supportata | Supportata |
| Fatturazione | Supportata I dati di fatturazione vengono esportati periodicamente e inviati ad Azure. |
Supportata I dati di fatturazione vengono inviati automaticamente e continuamente ad Azure e riflesse quasi in tempo reale. |
| Gestione magazzino | Supportata I dati di inventario vengono esportati periodicamente e inviati ad Azure. Usare strumenti client come Azure Data Studio, l'interfaccia della riga di comando di Azure Data o kubectl per visualizzare e gestire l'inventario in locale. |
Supportata I dati di inventario vengono inviati automaticamente e continuamente ad Azure e riflesse quasi in tempo reale. Di conseguenza, è possibile gestire l'inventario direttamente dal portale di Azure. |
| Aggiornamenti automatici e applicazione di patch | Supportata Il titolare del trattamento dei dati deve avere accesso diretto al Registro Contenitori Microsoft o le immagini del contenitore devono essere estratte da MCR ed è necessario eseguire il push in un registro contenitori locale e privato a cui il titolare del trattamento dei dati può accedere. |
Supportata |
| Backup e ripristino automatici | Supportata Backup e ripristino locali automatici. |
Supportata Oltre al backup e al ripristino locali automatizzati, è possibile inviare facoltativamente backup all'archivio BLOB di Azure per la conservazione fuori sede a lungo termine. |
| Monitoraggio | Supportata Monitoraggio locale tramite dashboard Grafana e Kibana. |
Supportata Oltre ai dashboard di monitoraggio locale, è possibile inviare facoltativamente dati e log di monitoraggio a Monitoraggio di Azure per il monitoraggio su larga scala di più siti in un'unica posizione. |
| Autenticazione | Usare il nome utente/password locale per il controller dati e l'autenticazione del dashboard. Usare account di accesso SQL e Postgres o Active Directory (AD attualmente non supportato) per la connettività alle istanze del database. Usare i provider di autenticazione Kubernetes per l'autenticazione all'API Kubernetes. | Oltre a o invece ai metodi di autenticazione per la modalità connessa indirettamente, è possibile usare facoltativamente Microsoft Entra ID. |
| Controllo degli accessi in base al ruolo | Usare il controllo degli accessi in base al ruolo di Kubernetes nell'API Kubernetes. Usare il controllo degli accessi in base al ruolo di SQL e Postgres per le istanze del database. | È possibile usare Microsoft Entra ID e Controllo degli accessi in base al ruolo di Azure. |
Requisiti di connettività
Alcune funzionalità richiedono una connessione ad Azure.
Tutte le comunicazioni con Azure vengono sempre avviate dall'ambiente. Questo vale anche per le operazioni avviate da un utente nel portale di Azure. In tal caso, esiste effettivamente un'attività, che viene accodata in Azure. Un agente nell'ambiente avvia la comunicazione con Azure per vedere quali attività si trovano nella coda, esegue le attività e segnala lo stato/completamento/non riesce ad Azure.
| Tipo di dati | Direzione | Obbligatorio/Facoltativo | Costi aggiuntivi | Modalità obbligatoria | Note |
|---|---|---|---|---|---|
| Immagini dei contenitori | Registro Contenitori Microsoft -> Customer | Richiesto | No | Indiretto o diretto | Le immagini del contenitore sono il metodo per la distribuzione del software. In un ambiente che può connettersi al Registro Contenitori Microsoft tramite Internet, le immagini del contenitore possono essere estratte direttamente da MCR. Se l'ambiente di distribuzione non dispone di connettività diretta, è possibile eseguire il pull delle immagini da MCR ed eseguirne il push in un registro contenitori privato nell'ambiente di distribuzione. In fase di creazione, è possibile configurare il processo di creazione per eseguire il pull dal registro contenitori privato invece di MCR. Questo vale anche per gli aggiornamenti automatizzati. |
| Inventario risorse | Ambiente del cliente -> Azure | Richiesto | No | Indiretto o diretto | Un inventario dei titolari dei dati, le istanze di database (PostgreSQL e SQL) vengono mantenute in Azure per scopi di fatturazione e anche per la creazione di un inventario di tutti i titolari del trattamento dei dati e delle istanze di database in un'unica posizione, particolarmente utile se si dispone di più di un ambiente con i servizi dati di Azure Arc. Quando viene effettuato il provisioning delle istanze, il deprovisioning, la scalabilità orizzontale/in, l'aumento/riduzione dell'inventario viene aggiornato in Azure. |
| Dati di telemetria di fatturazione | Ambiente del cliente -> Azure | Richiesto | No | Indiretto o diretto | L'utilizzo delle istanze di database deve essere inviato ad Azure a scopo di fatturazione. |
| Monitoraggio di dati e log | Ambiente del cliente -> Azure | Facoltativo | Forse a seconda del volume di dati (vedere Prezzi di Monitoraggio di Azure) | Indiretto o diretto | È possibile inviare i dati e i log di monitoraggio raccolti in locale a Monitoraggio di Azure per aggregare i dati in più ambienti in un'unica posizione e usare anche i servizi di Monitoraggio di Azure come avvisi, usando i dati in Azure Machine Learning e così via. |
| Controllo di accesso basata sui ruoli di Azure | Ambiente del cliente -> Azure -> Ambiente del cliente | Facoltativo | No | Solo diretto | Se si vuole usare il controllo degli accessi in base al ruolo di Azure, è necessario stabilire sempre la connettività con Azure. Se non si vuole usare il controllo degli accessi in base al ruolo di Azure, è possibile usare il controllo degli accessi in base al ruolo di Kubernetes locale. |
| Microsoft Entra ID (futuro) | Ambiente del cliente -> Azure -> Ambiente del cliente | Facoltativo | Forse, ma potresti già pagare per Microsoft Entra ID | Solo diretto | Se si vuole usare Microsoft Entra ID per l'autenticazione, è necessario stabilire sempre la connettività con Azure. Se non si vuole usare Microsoft Entra ID per l'autenticazione, è possibile usare Active Directory Federation Services (ADFS) su Active Directory. Disponibilità in sospeso in modalità connessa diretta |
| Backup e ripristino | Ambiente del cliente -> Ambiente del cliente | Richiesto | No | Diretto o indiretto | Il servizio di backup e ripristino può essere configurato in modo che punti alle classi di archiviazione locali. |
| Backup di Azure - Conservazione a lungo termine (futuro) | Ambiente del cliente -> Azure | Facoltativo | Sì per Archiviazione di Azure | Solo diretto | È possibile inviare backup eseguiti localmente a Backup di Azure per la conservazione fuori sede dei backup a lungo termine e riportarli nell'ambiente locale per il ripristino. |
| Modifiche di provisioning e configurazione da portale di Azure | Ambiente del cliente -> Azure -> Ambiente del cliente | Facoltativo | No | Solo diretto | Il provisioning e le modifiche alla configurazione possono essere apportate in locale usando Azure Data Studio o l'interfaccia della riga di comando appropriata. In modalità direttamente connessa, è anche possibile effettuare il provisioning e apportare modifiche di configurazione dal portale di Azure. |
Informazioni dettagliate su indirizzi Internet, porte, crittografia e supporto del server proxy
| Servizio | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Grafico Helm (solo modalità connessa diretta) | 443 | arcdataservicesrow1.azurecr.io |
In uscita | Esegue il provisioning del programma di avvio automatico del controller dati di Azure Arc e degli oggetti a livello di cluster, ad esempio definizioni di risorse personalizzate, ruoli del cluster e associazioni di ruoli del cluster, viene eseguito il pull da un Registro Azure Container. |
| API di Monitoraggio di Azure * | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
In uscita | Azure Data Studio e l'interfaccia della riga di comando di Azure si connettono alle API di Azure Resource Manager per inviare e recuperare dati da e verso Azure per alcune funzionalità. Vedere API di Monitoraggio di Azure. |
| Servizio di elaborazione dati di Azure Arc * | 443 | *.<region>.arcdataservices.com2 |
In uscita |
1 Il requisito dipende dalla modalità di distribuzione:
- Per la modalità diretta, il pod controller nel cluster Kubernetes deve avere connettività in uscita agli endpoint per inviare i log, le metriche, l'inventario e le informazioni di fatturazione a Monitoraggio di Azure/Servizio di elaborazione dati.
- Per la modalità indiretta, il computer in esecuzione
az arcdata dc uploaddeve avere la connettività in uscita a Monitoraggio di Azure e al servizio di elaborazione dati.
2 Per le versioni dell'estensione fino al 13 febbraio 2024, usare san-af-<region>-prod.azurewebsites.net.
API di Monitoraggio di Azure
Connessione ivity da Azure Data Studio al server API Kubernetes usa l'autenticazione e la crittografia kubernetes stabilite. Ogni utente che usa Azure Data Studio o l'interfaccia della riga di comando deve avere una connessione autenticata all'API Kubernetes per eseguire molte delle azioni correlate ai servizi dati abilitati per Azure Arc.
Requisiti di rete aggiuntivi
Il bridge di risorse richiede anche endpoint Kubernetes abilitati per Arc.