Connectiviteitsmodi en -vereisten
In dit artikel worden de connectiviteitsmodi beschreven die beschikbaar zijn voor gegevensservices met Azure Arc en hun respectieve vereisten.
Connectiviteitsmodi
Er zijn meerdere opties voor de mate van connectiviteit van uw azure Arc-omgeving voor gegevensservices naar Azure. Naarmate uw vereisten variëren op basis van bedrijfsbeleid, overheidsregelgeving of de beschikbaarheid van netwerkconnectiviteit met Azure, kunt u kiezen uit de volgende connectiviteitsmodi.
Gegevensservices met Azure Arc bieden u de mogelijkheid om verbinding te maken met Azure in twee verschillende connectiviteitsmodi:
- Rechtstreeks verbonden
- Indirect verbonden
De connectiviteitsmodus biedt u de flexibiliteit om te kiezen hoeveel gegevens naar Azure worden verzonden en hoe gebruikers communiceren met de Arc-gegevenscontroller. Afhankelijk van de connectiviteitsmodus die is gekozen, is bepaalde functionaliteit van gegevensservices met Azure Arc mogelijk of niet beschikbaar.
Belangrijk is dat als de gegevensservices met Azure Arc rechtstreeks zijn verbonden met Azure, gebruikers Azure Resource Manager-API's, De Azure CLI en Azure Portal kunnen gebruiken om de Azure Arc-gegevensservices te gebruiken. De ervaring in de rechtstreeks verbonden modus is vergelijkbaar met hoe u een andere Azure-service zou gebruiken met inrichting/de inrichting, schalen, configureren, enzovoort, allemaal in Azure Portal. Als de gegevensservices met Azure Arc indirect zijn verbonden met Azure, is Azure Portal een alleen-lezenweergave. U kunt de inventaris bekijken van door SQL beheerde exemplaren en PostgreSQL-servers die u hebt geïmplementeerd en de details ervan, maar u kunt er geen actie op ondernemen in Azure Portal. In de indirect verbonden modus moeten alle acties lokaal worden uitgevoerd met behulp van Azure Data Studio, de juiste CLI of Kubernetes native hulpprogramma's, zoals kubectl.
Daarnaast kunnen Microsoft Entra ID en op rollen gebaseerd toegangsbeheer van Azure alleen worden gebruikt in de rechtstreeks verbonden modus, omdat er een afhankelijkheid is van een continue en directe verbinding met Azure om deze functionaliteit te bieden.
Sommige aan Azure gekoppelde services zijn alleen beschikbaar wanneer ze rechtstreeks kunnen worden bereikt, zoals Container Insights en back-up naar blobopslag.
| Indirect verbonden | Rechtstreeks verbonden | Nooit verbonden | |
|---|---|---|---|
| Beschrijving | Indirect verbonden modus biedt de meeste beheerservices lokaal in uw omgeving zonder directe verbinding met Azure. Een minimale hoeveelheid gegevens moet alleen naar Azure worden verzonden voor voorraad- en factureringsdoeleinden. Het wordt geëxporteerd naar een bestand en ten minste één keer per maand geüpload naar Azure. Er is geen directe of continue verbinding met Azure vereist. Sommige functies en services waarvoor een verbinding met Azure is vereist, zijn niet beschikbaar. | De modus Rechtstreeks verbonden biedt alle beschikbare services wanneer er een directe verbinding tot stand kan worden gebracht met Azure. Verbinding maken ionen worden altijd gestart vanuit uw omgeving naar Azure en gebruiken standaardpoorten en protocollen zoals HTTPS/443. | Er kunnen op geen enkele manier gegevens naar of van Azure worden verzonden. |
| Huidige beschikbaarheid | Beschikbaar | Beschikbaar | Momenteel niet ondersteund. |
| Typische gebruiksvoorbeelden | On-premises datacenters die geen connectiviteit toestaan in of uit de gegevensregio van het datacenter vanwege nalevingsbeleid voor bedrijven of regelgeving of vanwege problemen met externe aanvallen of gegevensexfiltratie. Typische voorbeelden: Financiële instellingen, gezondheidszorg, overheid. Edge-sitelocaties waar de edge-site doorgaans geen verbinding heeft met internet. Typische voorbeelden: olie-/gas- of militaire veldtoepassingen. Edge-sitelocaties met onregelmatige connectiviteit met lange perioden van storingen. Typische voorbeelden: stadions, cruiseschepen. |
Organisaties die openbare clouds gebruiken. Typische voorbeelden: Azure, AWS of Google Cloud. Edge-sitelocaties waar de internetverbinding doorgaans aanwezig en toegestaan is. Typische voorbeelden: winkels, productie. Bedrijfsdatacentra met meer permissief beleid voor connectiviteit met/van hun gegevensregio van het datacenter naar internet. Typische voorbeelden: Niet-gereglementeerde bedrijven, kleine/middelgrote bedrijven |
Omgevingen met een air-gapped-omgeving waar geen gegevens onder alle omstandigheden kunnen komen of vanuit de gegevensomgeving kunnen worden verzonden. Typische voorbeelden: top geheime overheidsfaciliteiten. |
| Hoe gegevens naar Azure worden verzonden | Er zijn drie opties voor hoe de facturerings- en inventarisgegevens naar Azure kunnen worden verzonden: 1) Gegevens worden uit de gegevensregio geëxporteerd door een geautomatiseerd proces dat verbinding heeft met zowel de beveiligde gegevensregio als Azure. 2) Gegevens worden uit de gegevensregio geëxporteerd door een geautomatiseerd proces in de gegevensregio, automatisch gekopieerd naar een minder veilige regio en een geautomatiseerd proces in de minder veilige regio uploadt de gegevens naar Azure. 3) Gegevens worden handmatig geëxporteerd door een gebruiker in de beveiligde regio, handmatig uit de beveiligde regio gehaald en handmatig geüpload naar Azure. De eerste twee opties zijn een geautomatiseerd doorlopend proces dat kan worden gepland om regelmatig te worden uitgevoerd, zodat er minimale vertraging is in de overdracht van gegevens naar Azure, afhankelijk van de beschikbare connectiviteit met Azure. |
Gegevens worden automatisch en continu verzonden naar Azure. | Gegevens worden nooit naar Azure verzonden. |
Beschikbaarheid van functies per connectiviteitsmodus
| Functie | Indirect verbonden | Rechtstreeks verbonden |
|---|---|---|
| Automatische hoge beschikbaarheid | Ondersteund | Ondersteund |
| Selfservice inrichten | Ondersteund Gebruik Azure Data Studio, de juiste CLI of Kubernetes-systeemeigen hulpprogramma's, zoals Helm, kubectlof , of ocgebruik Kubernetes GitOps-inrichting met Azure Arc. |
Ondersteund Naast de indirect verbonden opties voor het maken van de modus, kunt u ook maken via Azure Portal, Azure Resource Manager-API's, de Azure CLI of ARM-sjablonen. |
| Elastische schaalbaarheid | Ondersteund | Ondersteund |
| Facturering | Ondersteund Factureringsgegevens worden periodiek geëxporteerd en verzonden naar Azure. |
Ondersteund Factureringsgegevens worden automatisch en continu verzonden naar Azure en worden in bijna realtime weergegeven. |
| Voorraadbeheer | Ondersteund Inventarisgegevens worden periodiek geëxporteerd en verzonden naar Azure. Gebruik clienthulpprogramma's zoals Azure Data Studio, Azure Data CLI of kubectl om de inventaris lokaal weer te geven en te beheren. |
Ondersteund Inventarisgegevens worden automatisch en continu verzonden naar Azure en worden in bijna realtime weergegeven. Als zodanig kunt u inventaris rechtstreeks vanuit Azure Portal beheren. |
| Automatische upgrades en patches | Ondersteund De gegevenscontroller moet directe toegang hebben tot het Microsoft Container Registry (MCR) of de containerinstallatiekopieën moeten worden opgehaald uit MCR en naar een lokaal, privécontainerregister worden gepusht waartoe de gegevenscontroller toegang heeft. |
Ondersteund |
| Automatische back-up en herstel | Ondersteund Automatische lokale back-up en herstel. |
Ondersteund Naast geautomatiseerde lokale back-up en herstel kunt u optioneel back-ups verzenden naar Azure Blob Storage voor langetermijnretentie buiten de site. |
| Bewaking | Ondersteund Lokale bewaking met Grafana- en Kibana-dashboards. |
Ondersteund Naast lokale bewakingsdashboards kunt u optioneel bewakingsgegevens en logboeken verzenden naar Azure Monitor voor bewaking van meerdere sites op één plaats. |
| Verificatie | Gebruik lokale gebruikersnaam/wachtwoord voor gegevenscontroller- en dashboardverificatie. Gebruik SQL- en Postgres-aanmeldingen of Active Directory (AD wordt momenteel niet ondersteund) voor connectiviteit met database-exemplaren. Gebruik Kubernetes-verificatieproviders voor verificatie bij de Kubernetes-API. | Naast of in plaats van de verificatiemethoden voor de indirect verbonden modus, kunt u eventueel Microsoft Entra-id gebruiken. |
| Op rollen gebaseerd toegangsbeheer (RBAC) | Kubernetes RBAC gebruiken in kubernetes-API. Gebruik SQL en Postgres RBAC voor database-exemplaren. | U kunt Microsoft Entra ID en Azure RBAC gebruiken. |
vereisten voor Verbinding maken iviteit
Voor sommige functionaliteit is een verbinding met Azure vereist.
Alle communicatie met Azure wordt altijd gestart vanuit uw omgeving. Dit geldt zelfs voor bewerkingen die worden geïnitieerd door een gebruiker in Azure Portal. In dat geval is er effectief een taak, die in de wachtrij wordt geplaatst in Azure. Een agent in uw omgeving initieert de communicatie met Azure om te zien welke taken in de wachtrij staan, voert de taken uit en rapporteert de status/voltooiing/mislukt in Azure.
| Type gegevens | Richting | Vereist/optioneel | Extra kosten | Modus vereist | Notes |
|---|---|---|---|---|---|
| Containerinstallatiekopieën | Microsoft Container Registry -> Klant | Vereist | Nee | Indirect of direct | Containerinstallatiekopieën zijn de methode voor het distribueren van de software. In een omgeving die via internet verbinding kan maken met Microsoft Container Registry (MCR), kunnen de containerinstallatiekopieën rechtstreeks vanuit MCR worden opgehaald. Als de implementatieomgeving geen directe connectiviteit heeft, kunt u de installatiekopieën van MCR ophalen en naar een privécontainerregister in de implementatieomgeving pushen. Tijdens het maken kunt u het aanmaakproces zo configureren dat het wordt opgehaald uit het privécontainerregister in plaats van MCR. Dit geldt ook voor geautomatiseerde updates. |
| Resource-inventaris | Klantomgeving -> Azure | Vereist | Nee | Indirect of direct | Een inventaris van gegevenscontrollers, database-exemplaren (PostgreSQL en SQL) wordt bewaard in Azure voor factureringsdoeleinden en ook voor het maken van een inventaris van alle gegevenscontrollers en database-exemplaren op één plaats die vooral nuttig is als u meer dan één omgeving hebt met Azure Arc-gegevensservices. Wanneer exemplaren worden ingericht, wordt de inrichting ongedaan gemaakt, uitgeschaald/ingeschaald, de voorraad omhoog/omlaag geschaald in Azure. |
| Factureringstelemetriegegevens | Klantomgeving -> Azure | Vereist | Nee | Indirect of direct | Het gebruik van database-exemplaren moet worden verzonden naar Azure voor factureringsdoeleinden. |
| Gegevens en logboeken bewaken | Klantomgeving -> Azure | Optioneel | Afhankelijk van het gegevensvolume (zie prijzen voor Azure Monitor) | Indirect of direct | U kunt de lokaal verzamelde bewakingsgegevens en logboeken naar Azure Monitor verzenden voor het samenvoegen van gegevens in meerdere omgevingen op één plaats en ook voor het gebruik van Azure Monitor-services zoals waarschuwingen, met behulp van de gegevens in Azure Machine Learning, enzovoort. |
| Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) | Klantomgeving -> Azure -> Klantomgeving | Optioneel | Nee | Alleen direct | Als u Azure RBAC wilt gebruiken, moet er altijd verbinding worden gemaakt met Azure. Als u Azure RBAC niet wilt gebruiken, kan lokale Kubernetes RBAC worden gebruikt. |
| Microsoft Entra-id (toekomstige) | Klantomgeving -> Azure -> Klantomgeving | Optioneel | Misschien, maar u betaalt mogelijk al voor Microsoft Entra ID | Alleen direct | Als u Microsoft Entra-id voor verificatie wilt gebruiken, moet de verbinding altijd met Azure tot stand worden gebracht. Als u Microsoft Entra ID niet wilt gebruiken voor verificatie, kunt u Active Directory Federation Services (ADFS) gebruiken via Active Directory. Beschikbaarheid in behandeling in direct verbonden modus |
| Back-up en herstel | Klantomgeving -> Klantomgeving | Vereist | Nee | Direct of indirect | De back-up- en herstelservice kan worden geconfigureerd om te verwijzen naar lokale opslagklassen. |
| Azure Backup - langetermijnretentie (toekomst) | Klantomgeving -> Azure | Optioneel | Ja voor Azure Storage | Alleen direct | Mogelijk wilt u back-ups die lokaal naar Azure Backup worden gemaakt, verzenden voor langetermijnretentie van back-ups buiten de site en deze terugbrengen naar de lokale omgeving voor herstel. |
| Wijzigingen in de inrichting en configuratie vanuit De Azure-portal | Klantomgeving -> Azure -> Klantomgeving | Optioneel | Nee | Alleen direct | Het inrichten en configureren van wijzigingen kan lokaal worden uitgevoerd met behulp van Azure Data Studio of de juiste CLI. In de rechtstreeks verbonden modus kunt u ook configuratiewijzigingen inrichten en aanbrengen vanuit Azure Portal. |
Details over internetadressen, poorten, versleuteling en proxyserverondersteuning
| Onderhoud | Poort | URL | Richting | Notes |
|---|---|---|---|---|
| Helm-grafiek (alleen directe verbonden modus) | 443 | arcdataservicesrow1.azurecr.io |
Uitgaand | De azure Arc-gegevenscontroller bootstrapper- en clusterniveauobjecten, zoals aangepaste resourcedefinities, clusterrollen en clusterrolbindingen, worden opgehaald uit een Azure Container Registry. |
| Azure Monitor-API's * | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Uitgaand | Azure Data Studio en Azure CLI maken verbinding met de Azure Resource Manager-API's om gegevens naar en van Azure te verzenden en op te halen voor sommige functies. Zie Azure Monitor-API's. |
| Azure Arc-gegevensverwerkingsservice * | 443 | *.<region>.arcdataservices.com2 |
Uitgaand |
1 Vereiste is afhankelijk van de implementatiemodus:
- Voor de directe modus moet de controllerpod op het Kubernetes-cluster uitgaande connectiviteit hebben met de eindpunten om de logboeken, metrische gegevens, inventaris en factureringsgegevens te verzenden naar Azure Monitor/Gegevensverwerkingsservice.
- Voor de indirecte modus moet de computer die wordt uitgevoerd
az arcdata dc uploadde uitgaande connectiviteit met Azure Monitor en Data Processing Service hebben.
2 Voor uitbreidingsversies tot en met 13 februari 2024 gebruikt san-af-<region>-prod.azurewebsites.netu .
Azure Monitor-API's
Verbinding maken iviteit van Azure Data Studio naar de Kubernetes-API-server maakt gebruik van de Kubernetes-verificatie en -versleuteling die u hebt ingesteld. Elke gebruiker die Azure Data Studio of CLI gebruikt, moet een geverifieerde verbinding hebben met de Kubernetes-API om veel acties uit te voeren die betrekking hebben op gegevensservices met Azure Arc.
Aanvullende netwerkvereisten
Daarnaast zijn voor resourcebrug Kubernetes-eindpunten met Arc vereist.