Delen via


Connectiviteitsmodi en -vereisten

In dit artikel worden de connectiviteitsmodi beschreven die beschikbaar zijn voor gegevensservices met Azure Arc en hun respectieve vereisten.

Connectiviteitsmodi

Er zijn meerdere opties voor de mate van connectiviteit van uw azure Arc-omgeving voor gegevensservices naar Azure. Naarmate uw vereisten variëren op basis van bedrijfsbeleid, overheidsregelgeving of de beschikbaarheid van netwerkconnectiviteit met Azure, kunt u kiezen uit de volgende connectiviteitsmodi.

Gegevensservices met Azure Arc bieden u de mogelijkheid om verbinding te maken met Azure in twee verschillende connectiviteitsmodi:

  • Rechtstreeks verbonden
  • Indirect verbonden

De connectiviteitsmodus biedt u de flexibiliteit om te kiezen hoeveel gegevens naar Azure worden verzonden en hoe gebruikers communiceren met de Arc-gegevenscontroller. Afhankelijk van de connectiviteitsmodus die is gekozen, is bepaalde functionaliteit van gegevensservices met Azure Arc mogelijk of niet beschikbaar.

Belangrijk is dat als de gegevensservices met Azure Arc rechtstreeks zijn verbonden met Azure, gebruikers Azure Resource Manager-API's, De Azure CLI en Azure Portal kunnen gebruiken om de Azure Arc-gegevensservices te gebruiken. De ervaring in de rechtstreeks verbonden modus is vergelijkbaar met hoe u een andere Azure-service zou gebruiken met inrichting/de inrichting, schalen, configureren, enzovoort, allemaal in Azure Portal. Als de gegevensservices met Azure Arc indirect zijn verbonden met Azure, is Azure Portal een alleen-lezenweergave. U kunt de inventaris bekijken van door SQL beheerde exemplaren en PostgreSQL-servers die u hebt geïmplementeerd en de details ervan, maar u kunt er geen actie op ondernemen in Azure Portal. In de indirect verbonden modus moeten alle acties lokaal worden uitgevoerd met behulp van Azure Data Studio, de juiste CLI of Kubernetes native hulpprogramma's, zoals kubectl.

Daarnaast kunnen Microsoft Entra ID en op rollen gebaseerd toegangsbeheer van Azure alleen worden gebruikt in de rechtstreeks verbonden modus, omdat er een afhankelijkheid is van een continue en directe verbinding met Azure om deze functionaliteit te bieden.

Sommige aan Azure gekoppelde services zijn alleen beschikbaar wanneer ze rechtstreeks kunnen worden bereikt, zoals Container Insights en back-up naar blobopslag.

Indirect verbonden Rechtstreeks verbonden Nooit verbonden
Beschrijving Indirect verbonden modus biedt de meeste beheerservices lokaal in uw omgeving zonder directe verbinding met Azure. Een minimale hoeveelheid gegevens moet alleen naar Azure worden verzonden voor voorraad- en factureringsdoeleinden. Het wordt geëxporteerd naar een bestand en ten minste één keer per maand geüpload naar Azure. Er is geen directe of continue verbinding met Azure vereist. Sommige functies en services waarvoor een verbinding met Azure is vereist, zijn niet beschikbaar. De modus Rechtstreeks verbonden biedt alle beschikbare services wanneer er een directe verbinding tot stand kan worden gebracht met Azure. Verbindingen worden altijd vanuit uw omgeving naar Azure gestart en gebruiken standaardpoorten en protocollen zoals HTTPS/443. Er kunnen op geen enkele manier gegevens naar of van Azure worden verzonden.
Huidige beschikbaarheid Beschikbaar Beschikbaar Momenteel niet ondersteund.
Typische gebruiksvoorbeelden On-premises datacenters die geen connectiviteit toestaan in of uit de gegevensregio van het datacenter vanwege nalevingsbeleid voor bedrijven of regelgeving of vanwege problemen met externe aanvallen of gegevensexfiltratie. Typische voorbeelden: Financiële instellingen, gezondheidszorg, overheid.

Edge-sitelocaties waar de edge-site doorgaans geen verbinding heeft met internet. Typische voorbeelden: olie-/gas- of militaire veldtoepassingen.

Edge-sitelocaties met onregelmatige connectiviteit met lange perioden van storingen. Typische voorbeelden: stadions, cruiseschepen.
Organisaties die openbare clouds gebruiken. Typische voorbeelden: Azure, AWS of Google Cloud.

Edge-sitelocaties waar de internetverbinding doorgaans aanwezig en toegestaan is. Typische voorbeelden: winkels, productie.

Bedrijfsdatacentra met meer permissief beleid voor connectiviteit met/van hun gegevensregio van het datacenter naar internet. Typische voorbeelden: Niet-gereglementeerde bedrijven, kleine/middelgrote bedrijven
Omgevingen met een air-gapped-omgeving waar geen gegevens onder alle omstandigheden kunnen komen of vanuit de gegevensomgeving kunnen worden verzonden. Typische voorbeelden: top geheime overheidsfaciliteiten.
Hoe gegevens naar Azure worden verzonden Er zijn drie opties voor hoe de facturerings- en inventarisgegevens naar Azure kunnen worden verzonden:

1) Gegevens worden uit de gegevensregio geëxporteerd door een geautomatiseerd proces dat verbinding heeft met zowel de beveiligde gegevensregio als Azure.

2) Gegevens worden uit de gegevensregio geëxporteerd door een geautomatiseerd proces in de gegevensregio, automatisch gekopieerd naar een minder veilige regio en een geautomatiseerd proces in de minder veilige regio uploadt de gegevens naar Azure.

3) Gegevens worden handmatig geëxporteerd door een gebruiker in de beveiligde regio, handmatig uit de beveiligde regio gehaald en handmatig geüpload naar Azure.

De eerste twee opties zijn een geautomatiseerd doorlopend proces dat kan worden gepland om regelmatig te worden uitgevoerd, zodat er minimale vertraging is in de overdracht van gegevens naar Azure, afhankelijk van de beschikbare connectiviteit met Azure.
Gegevens worden automatisch en continu verzonden naar Azure. Gegevens worden nooit naar Azure verzonden.

Beschikbaarheid van functies per connectiviteitsmodus

Functie Indirect verbonden Rechtstreeks verbonden
Automatische hoge beschikbaarheid Ondersteund Ondersteund
Selfservice inrichten Ondersteund
Gebruik Azure Data Studio, de juiste CLI of Kubernetes-systeemeigen hulpprogramma's, zoals Helm, kubectlof , of ocgebruik Kubernetes GitOps-inrichting met Azure Arc.
Ondersteund
Naast de indirect verbonden opties voor het maken van de modus, kunt u ook maken via Azure Portal, Azure Resource Manager-API's, de Azure CLI of ARM-sjablonen.
Elastische schaalbaarheid Ondersteund Ondersteund
Facturering Ondersteund
Factureringsgegevens worden periodiek geëxporteerd en verzonden naar Azure.
Ondersteund
Factureringsgegevens worden automatisch en continu verzonden naar Azure en worden in bijna realtime weergegeven.
Voorraadbeheer Ondersteund
Inventarisgegevens worden periodiek geëxporteerd en verzonden naar Azure.

Gebruik clienthulpprogramma's zoals Azure Data Studio, Azure Data CLI of kubectl om de inventaris lokaal weer te geven en te beheren.
Ondersteund
Inventarisgegevens worden automatisch en continu verzonden naar Azure en worden in bijna realtime weergegeven. Als zodanig kunt u inventaris rechtstreeks vanuit Azure Portal beheren.
Automatische upgrades en patches Ondersteund
De gegevenscontroller moet directe toegang hebben tot het Microsoft Container Registry (MCR) of de containerinstallatiekopieën moeten worden opgehaald uit MCR en naar een lokaal, privécontainerregister worden gepusht waartoe de gegevenscontroller toegang heeft.
Ondersteund
Automatische back-up en herstel Ondersteund
Automatische lokale back-up en herstel.
Ondersteund
Naast geautomatiseerde lokale back-up en herstel kunt u optioneel back-ups verzenden naar Azure Blob Storage voor langetermijnretentie buiten de site.
Bewaking Ondersteund
Lokale bewaking met Grafana- en Kibana-dashboards.
Ondersteund
Naast lokale bewakingsdashboards kunt u optioneel bewakingsgegevens en logboeken verzenden naar Azure Monitor voor bewaking van meerdere sites op één plaats.
Verificatie Gebruik lokale gebruikersnaam/wachtwoord voor gegevenscontroller- en dashboardverificatie. Gebruik SQL- en Postgres-aanmeldingen of Active Directory (AD wordt momenteel niet ondersteund) voor connectiviteit met database-exemplaren. Gebruik Kubernetes-verificatieproviders voor verificatie bij de Kubernetes-API. Naast of in plaats van de verificatiemethoden voor de indirect verbonden modus, kunt u eventueel Microsoft Entra-id gebruiken.
Op rollen gebaseerd toegangsbeheer (RBAC) Kubernetes RBAC gebruiken in kubernetes-API. Gebruik SQL en Postgres RBAC voor database-exemplaren. U kunt Microsoft Entra ID en Azure RBAC gebruiken.

Connectiviteitsvereisten

Voor sommige functionaliteit is een verbinding met Azure vereist.

Alle communicatie met Azure wordt altijd gestart vanuit uw omgeving. Dit geldt zelfs voor bewerkingen die worden geïnitieerd door een gebruiker in Azure Portal. In dat geval is er effectief een taak, die in de wachtrij wordt geplaatst in Azure. Een agent in uw omgeving initieert de communicatie met Azure om te zien welke taken in de wachtrij staan, voert de taken uit en rapporteert de status/voltooiing/mislukt in Azure.

Type gegevens Richting Vereist/optioneel Extra kosten Modus vereist Notes
Containerinstallatiekopieën Microsoft Container Registry -> Klant Vereist Nee Indirect of direct Containerinstallatiekopieën zijn de methode voor het distribueren van de software. In een omgeving die via internet verbinding kan maken met Microsoft Container Registry (MCR), kunnen de containerinstallatiekopieën rechtstreeks vanuit MCR worden opgehaald. Als de implementatieomgeving geen directe connectiviteit heeft, kunt u de installatiekopieën van MCR ophalen en naar een privécontainerregister in de implementatieomgeving pushen. Tijdens het maken kunt u het aanmaakproces zo configureren dat het wordt opgehaald uit het privécontainerregister in plaats van MCR. Dit geldt ook voor geautomatiseerde updates.
Resource-inventaris Klantomgeving -> Azure Vereist Nee Indirect of direct Een inventaris van gegevenscontrollers, database-exemplaren (PostgreSQL en SQL) wordt bewaard in Azure voor factureringsdoeleinden en ook voor het maken van een inventaris van alle gegevenscontrollers en database-exemplaren op één plaats die vooral nuttig is als u meer dan één omgeving hebt met Azure Arc-gegevensservices. Wanneer exemplaren worden ingericht, wordt de inrichting ongedaan gemaakt, uitgeschaald/ingeschaald, de voorraad omhoog/omlaag geschaald in Azure.
Factureringstelemetriegegevens Klantomgeving -> Azure Vereist Nee Indirect of direct Het gebruik van database-exemplaren moet worden verzonden naar Azure voor factureringsdoeleinden.
Gegevens en logboeken bewaken Klantomgeving -> Azure Optioneel Afhankelijk van het gegevensvolume (zie prijzen voor Azure Monitor) Indirect of direct U kunt de lokaal verzamelde bewakingsgegevens en logboeken naar Azure Monitor verzenden voor het samenvoegen van gegevens in meerdere omgevingen op één plaats en ook voor het gebruik van Azure Monitor-services zoals waarschuwingen, met behulp van de gegevens in Azure Machine Learning, enzovoort.
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) Klantomgeving -> Azure -> Klantomgeving Optioneel Nee Alleen direct Als u Azure RBAC wilt gebruiken, moet er altijd verbinding worden gemaakt met Azure. Als u Azure RBAC niet wilt gebruiken, kan lokale Kubernetes RBAC worden gebruikt.
Microsoft Entra-id (toekomstige) Klantomgeving -> Azure -> Klantomgeving Optioneel Misschien, maar u betaalt mogelijk al voor Microsoft Entra ID Alleen direct Als u Microsoft Entra-id voor verificatie wilt gebruiken, moet de verbinding altijd met Azure tot stand worden gebracht. Als u Microsoft Entra ID niet wilt gebruiken voor verificatie, kunt u Active Directory Federation Services (ADFS) gebruiken via Active Directory. Beschikbaarheid in behandeling in direct verbonden modus
Back-up en herstel Klantomgeving -> Klantomgeving Vereist Nee Direct of indirect De back-up- en herstelservice kan worden geconfigureerd om te verwijzen naar lokale opslagklassen.
Azure Backup - langetermijnretentie (toekomst) Klantomgeving -> Azure Optioneel Ja voor Azure Storage Alleen direct Mogelijk wilt u back-ups die lokaal naar Azure Backup worden gemaakt, verzenden voor langetermijnretentie van back-ups buiten de site en deze terugbrengen naar de lokale omgeving voor herstel.
Wijzigingen in de inrichting en configuratie vanuit De Azure-portal Klantomgeving -> Azure -> Klantomgeving Optioneel Nee Alleen direct Het inrichten en configureren van wijzigingen kan lokaal worden uitgevoerd met behulp van Azure Data Studio of de juiste CLI. In de rechtstreeks verbonden modus kunt u ook configuratiewijzigingen inrichten en aanbrengen vanuit Azure Portal.

Details over internetadressen, poorten, versleuteling en proxyserverondersteuning

Onderhoud Poort URL Richting Notes
Helm-grafiek (alleen directe verbonden modus) 443 arcdataservicesrow1.azurecr.io Uitgaand De azure Arc-gegevenscontroller bootstrapper- en clusterniveauobjecten, zoals aangepaste resourcedefinities, clusterrollen en clusterrolbindingen, worden opgehaald uit een Azure Container Registry.
Azure Monitor-API's 1 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Uitgaand Azure Data Studio en Azure CLI maken verbinding met de Azure Resource Manager-API's om gegevens naar en van Azure te verzenden en op te halen voor sommige functies. Zie Azure Monitor-API's.
Azure Arc-gegevensverwerkingsservice 1 443 *.<region>.arcdataservices.com 2 Uitgaand

1 Vereiste is afhankelijk van de implementatiemodus:

  • Voor de directe modus moet de controllerpod op het Kubernetes-cluster uitgaande connectiviteit hebben met de eindpunten om de logboeken, metrische gegevens, inventaris en factureringsgegevens te verzenden naar Azure Monitor/Gegevensverwerkingsservice.
  • Voor de indirecte modus moet de computer die wordt uitgevoerd az arcdata dc upload de uitgaande connectiviteit met Azure Monitor en Data Processing Service hebben.

2 Voor uitbreidingsversies tot en met 13 februari 2024 gebruikt san-af-<region>-prod.azurewebsites.netu .

Azure Monitor-API's

Connectiviteit van Azure Data Studio met de Kubernetes-API-server maakt gebruik van de Kubernetes-verificatie en -versleuteling die u hebt ingesteld. Elke gebruiker die Azure Data Studio of CLI gebruikt, moet een geverifieerde verbinding hebben met de Kubernetes-API om veel acties uit te voeren die betrekking hebben op gegevensservices met Azure Arc.

Aanvullende netwerkvereisten

Daarnaast zijn voor resourcebrug Kubernetes-eindpunten met Arc vereist.