Tryby i wymagania dotyczące łączności
W tym artykule opisano tryby łączności dostępne dla usług danych z obsługą usługi Azure Arc oraz ich odpowiednie wymagania.
Tryby łączności
Istnieje wiele opcji dotyczących stopnia łączności ze środowiska usług danych z obsługą usługi Azure Arc na platformę Azure. Ponieważ wymagania różnią się w zależności od zasad biznesowych, regulacji rządowych lub dostępności łączności sieciowej z platformą Azure, możesz wybrać spośród następujących trybów łączności.
Usługi danych z obsługą usługi Azure Arc umożliwiają nawiązywanie połączenia z platformą Azure w dwóch różnych trybach łączności:
- Bezpośrednie połączenie
- Pośrednio połączone
Tryb łączności zapewnia elastyczność wybierania ilości danych wysyłanych na platformę Azure i sposobu interakcji użytkowników z kontrolerem danych usługi Arc. W zależności od wybranego trybu łączności niektóre funkcje usług danych z obsługą usługi Azure Arc mogą być dostępne lub niedostępne.
Co ważne, jeśli usługi danych z obsługą usługi Azure Arc są bezpośrednio połączone z platformą Azure, użytkownicy mogą używać interfejsów API usługi Azure Resource Manager, interfejsu wiersza polecenia platformy Azure i witryny Azure Portal do obsługi usług danych Azure Arc. Środowisko w trybie bezpośrednio połączonym przypomina sposób użycia dowolnej innej usługi platformy Azure z aprowizowaniem/anulowaniem aprowizacji, skalowaniem, konfigurowaniem itd. w witrynie Azure Portal. Jeśli usługi danych z obsługą usługi Azure Arc są pośrednio połączone z platformą Azure, witryna Azure Portal jest widokiem tylko do odczytu. Możesz wyświetlić spis wdrożonych wystąpień zarządzanych SQL i serwerów PostgreSQL oraz szczegółowe informacje o nich, ale nie możesz podjąć na nich akcji w witrynie Azure Portal. W trybie pośrednio połączonym wszystkie akcje muszą być wykonywane lokalnie przy użyciu narzędzia Azure Data Studio, odpowiedniego interfejsu wiersza polecenia lub narzędzi natywnych platformy Kubernetes, takich jak kubectl.
Ponadto usługa Microsoft Entra ID i Kontrola dostępu oparta na rolach platformy Azure mogą być używane tylko w trybie bezpośrednio połączonym, ponieważ istnieje zależność od ciągłego i bezpośredniego połączenia z platformą Azure w celu zapewnienia tej funkcji.
Niektóre usługi dołączone do platformy Azure są dostępne tylko wtedy, gdy mogą być dostępne bezpośrednio, takie jak kontener Szczegółowe informacje i kopie zapasowe w magazynie obiektów blob.
| Pośrednio połączone | Bezpośrednie połączenie | Nigdy nie nawiązaliśmy połączenia | |
|---|---|---|---|
| Opis | Pośrednio połączony tryb oferuje większość usług zarządzania lokalnie w środowisku bez bezpośredniego połączenia z platformą Azure. Minimalna ilość danych musi być wysyłana na platformę Azure tylko do celów spisowych i rozliczeniowych. Jest eksportowany do pliku i przekazywany na platformę Azure co najmniej raz w miesiącu. Nie jest wymagane żadne bezpośrednie lub ciągłe połączenie z platformą Azure. Niektóre funkcje i usługi, które wymagają połączenia z platformą Azure, nie będą dostępne. | Tryb bezpośrednio połączony oferuje wszystkie dostępne usługi, gdy można nawiązać bezpośrednie połączenie z platformą Azure. Połączenie ions są zawsze inicjowane ze środowiska do platformy Azure i używają standardowych portów i protokołów, takich jak HTTPS/443. | Żadne dane nie mogą być wysyłane do platformy Azure ani z platformy Azure w żaden sposób. |
| Bieżąca dostępność | Dostępna | Dostępna | Obecnie nieobsługiwane. |
| Typowe przypadki użycia | Lokalne centra danych, które nie zezwalają na łączność w regionie danych lub poza tym centrum danych z powodu zasad zgodności z przepisami lub z powodu zewnętrznych ataków lub eksfiltracji danych. Typowe przykłady: instytucje finansowe, opieka zdrowotna, instytucje rządowe. Lokalizacje lokacji brzegowej, w których lokacja brzegowa zwykle nie ma łączności z Internetem. Typowe przykłady: aplikacje ropy naftowej/gazu lub pola wojskowego. Lokalizacje lokacji brzegowych, które mają sporadyczne połączenia z długimi okresami awarii. Typowe przykłady: stadiony, statki wycieczkowe. |
Organizacje korzystające z chmur publicznych. Typowe przykłady: Azure, AWS lub Google Cloud. Lokalizacje lokacji brzegowej, w których łączność z Internetem jest zwykle obecna i dozwolona. Typowe przykłady: sklepy detaliczne, produkcja. Firmowe centra danych z bardziej permisywnymi zasadami łączności z/z ich regionem danych centrum danych do Internetu. Typowe przykłady: Nieuregulowane firmy, małe/średnie firmy |
Naprawdę "air-gapped" środowiska, w których żadne dane w żadnych okolicznościach mogą pochodzić lub przechodzić ze środowiska danych. Typowe przykłady: najważniejsze tajne obiekty rządowe. |
| Jak dane są wysyłane na platformę Azure | Istnieją trzy opcje wysyłania danych rozliczeń i spisu na platformę Azure: 1) Dane są eksportowane z regionu danych przez zautomatyzowany proces, który ma łączność zarówno z bezpiecznym regionem danych, jak i platformą Azure. 2) Dane są eksportowane z regionu danych przez zautomatyzowany proces w regionie danych, automatycznie kopiowane do mniej bezpiecznego regionu i zautomatyzowany proces w mniej bezpiecznym regionie przekazuje dane na platformę Azure. 3) Dane są ręcznie eksportowane przez użytkownika w bezpiecznym regionie, ręcznie wyprowadzane z bezpiecznego regionu i ręcznie przekazywane na platformę Azure. Dwie pierwsze opcje to zautomatyzowany proces ciągły, który można zaplanować do częstego uruchamiania, więc istnieje minimalne opóźnienie w transferze danych na platformę Azure tylko do dostępnej łączności z platformą Azure. |
Dane są automatycznie i stale wysyłane na platformę Azure. | Dane nigdy nie są wysyłane na platformę Azure. |
Dostępność funkcji według trybu łączności
| Funkcja | Pośrednio połączone | Bezpośrednie połączenie |
|---|---|---|
| Automatyczna wysoka dostępność | Obsługiwane | Obsługiwane |
| Samoobsługowa aprowizacja | Obsługiwane Użyj narzędzia Azure Data Studio, odpowiedniego interfejsu wiersza polecenia lub narzędzi natywnych platformy Kubernetes, takich jak Helm, kubectllub , oclub użyj aprowizowania usługi GitOps z włączoną usługą Azure Arc. |
Obsługiwane Oprócz pośrednio połączonych opcji tworzenia trybu można również utworzyć za pośrednictwem witryny Azure Portal, interfejsów API usługi Azure Resource Manager, interfejsu wiersza polecenia platformy Azure lub szablonów usługi ARM. |
| Elastyczna skalowalność | Obsługiwane | Obsługiwane |
| Rozliczenia | Obsługiwane Dane rozliczeniowe są okresowo eksportowane i wysyłane na platformę Azure. |
Obsługiwane Dane rozliczeniowe są automatycznie i stale wysyłane na platformę Azure i odzwierciedlane niemal w czasie rzeczywistym. |
| Zarządzanie zapasami | Obsługiwane Dane spisu są okresowo eksportowane i wysyłane na platformę Azure. Użyj narzędzi klienckich, takich jak Azure Data Studio, Interfejs wiersza polecenia platformy Azure lub kubectl do lokalnego wyświetlania spisu i zarządzania nim. |
Obsługiwane Dane spisu są automatycznie i stale wysyłane na platformę Azure i odzwierciedlane niemal w czasie rzeczywistym. W związku z tym można zarządzać spisem bezpośrednio w witrynie Azure Portal. |
| Automatyczne uaktualnienia i stosowanie poprawek | Obsługiwane Kontroler danych musi mieć bezpośredni dostęp do rejestru Microsoft Container Registry (MCR) lub obrazy kontenerów muszą zostać ściągnięte z rejestru MCR i wypchnięte do lokalnego, prywatnego rejestru kontenerów, do którego ma dostęp kontroler danych. |
Obsługiwane |
| Automatyczne tworzenie kopii zapasowej i przywracanie | Obsługiwane Automatyczne tworzenie i przywracanie lokalnych kopii zapasowych. |
Obsługiwane Oprócz automatycznej lokalnej kopii zapasowej i przywracania można opcjonalnie wysyłać kopie zapasowe do usługi Azure Blob Storage w celu długoterminowego przechowywania poza witryną. |
| Monitorowanie | Obsługiwane Lokalne monitorowanie przy użyciu pulpitów nawigacyjnych Grafana i Kibana. |
Obsługiwane Oprócz lokalnych pulpitów nawigacyjnych monitorowania można opcjonalnie wysyłać dane monitorowania i dzienniki do usługi Azure Monitor w celu monitorowania na dużą skalę wielu lokacji w jednym miejscu. |
| Authentication | Użyj lokalnej nazwy użytkownika/hasła na potrzeby uwierzytelniania kontrolera danych i pulpitu nawigacyjnego. Użyj identyfikatorów logowania SQL i Bazy danych Postgres lub usługi Active Directory (usługa AD nie jest obecnie obsługiwana) na potrzeby łączności z wystąpieniami bazy danych. Użyj dostawców uwierzytelniania platformy Kubernetes do uwierzytelniania w interfejsie API kubernetes. | Oprócz metod uwierzytelniania lub zamiast metod uwierzytelniania w trybie pośrednio połączonym można opcjonalnie użyć identyfikatora Entra firmy Microsoft. |
| Kontrola dostępu oparta na rolach (RBAC) | Użyj kontroli dostępu opartej na rolach platformy Kubernetes w interfejsie API kubernetes. Użyj kontroli dostępu opartej na rolach SQL i Postgres dla wystąpień bazy danych. | Możesz użyć identyfikatora Entra firmy Microsoft i kontroli dostępu opartej na rolach platformy Azure. |
Wymagania dotyczące łączności
Niektóre funkcje wymagają połączenia z platformą Azure.
Cała komunikacja z platformą Azure jest zawsze inicjowana ze środowiska. Dotyczy to nawet operacji inicjowanych przez użytkownika w witrynie Azure Portal. W takim przypadku istnieje zadanie, które jest kolejkowane na platformie Azure. Agent w środowisku inicjuje komunikację z platformą Azure, aby zobaczyć, jakie zadania znajdują się w kolejce, uruchamia zadania i zgłasza stan/ukończenie/niepowodzenie na platformie Azure.
| Typ danych | Kierunek | Wymagane/opcjonalne | Dodatkowe koszty | Tryb wymagany | Uwagi |
|---|---|---|---|---|---|
| Obrazy kontenerów | Microsoft Container Registry —> klient | Wymagania | Nie. | Pośrednie lub bezpośrednie | Obrazy kontenerów to metoda dystrybucji oprogramowania. W środowisku, które może łączyć się z usługą Microsoft Container Registry (MCR) za pośrednictwem Internetu, obrazy kontenerów można ściągać bezpośrednio z mcR. Jeśli środowisko wdrażania nie ma bezpośredniej łączności, możesz ściągnąć obrazy z mcR i wypchnąć je do prywatnego rejestru kontenerów w środowisku wdrażania. W czasie tworzenia można skonfigurować proces tworzenia, aby ściągnąć z prywatnego rejestru kontenerów zamiast mcR. Dotyczy to również automatycznych aktualizacji. |
| Spis zasobów | Środowisko klienta —> Azure | Wymagania | Nie. | Pośrednie lub bezpośrednie | Spis kontrolerów danych, wystąpień bazy danych (PostgreSQL i SQL) jest przechowywany na platformie Azure do celów rozliczeniowych, a także do celów tworzenia spisu wszystkich kontrolerów danych i wystąpień bazy danych w jednym miejscu, co jest szczególnie przydatne, jeśli masz więcej niż jedno środowisko z usługami danych Azure Arc. W miarę aprowizacji wystąpień anulowano aprowizację, skalowano w poziomie/w poziomie, skalowano w górę/w dół spis jest aktualizowany na platformie Azure. |
| Dane telemetryczne dotyczące rozliczeń | Środowisko klienta —> Azure | Wymagania | Nie. | Pośrednie lub bezpośrednie | Do celów rozliczeniowych należy wysłać do platformy Azure wykorzystanie wystąpień bazy danych. |
| Monitorowanie danych i dzienników | Środowisko klienta —> Azure | Opcjonalnie | Może w zależności od ilości danych (zobacz cennik usługi Azure Monitor) | Pośrednie lub bezpośrednie | Możesz wysłać lokalnie zebrane dane monitorowania i dzienniki do usługi Azure Monitor w celu agregowania danych w wielu środowiskach w jednym miejscu, a także do korzystania z usług Azure Monitor, takich jak alerty, przy użyciu danych w usłudze Azure Machine Edukacja itp. |
| Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) | Środowisko klienta —> Azure —> Środowisko klienta | Opcjonalnie | Nie. | Tylko bezpośredni | Jeśli chcesz używać kontroli dostępu opartej na rolach platformy Azure, łączność musi zostać nawiązana z platformą Azure przez cały czas. Jeśli nie chcesz używać kontroli dostępu opartej na rolach platformy Azure, możesz użyć lokalnej kontroli dostępu opartej na rolach platformy Kubernetes. |
| Microsoft Entra ID (przyszłość) | Środowisko klienta —> Azure —> środowisko klienta | Opcjonalnie | Być może, ale możesz już płacić za identyfikator Entra firmy Microsoft | Tylko bezpośredni | Jeśli chcesz użyć identyfikatora Entra firmy Microsoft do uwierzytelniania, należy nawiązać łączność z platformą Azure przez cały czas. Jeśli nie chcesz używać identyfikatora Entra firmy Microsoft do uwierzytelniania, możesz użyć usług Active Directory Federation Services (ADFS) za pośrednictwem usługi Active Directory. Oczekiwanie na dostępność w trybie bezpośrednio połączonym |
| Tworzenie kopii zapasowej i przywracanie | Środowisko klienta —> środowisko klienta | Wymagania | Nie. | Bezpośrednie lub pośrednie | Usługę tworzenia i przywracania kopii zapasowych można skonfigurować tak, aby wskazywała lokalne klasy magazynu. |
| Kopia zapasowa platformy Azure — długoterminowe przechowywanie (przyszłość) | Środowisko klienta —> Azure | Opcjonalnie | Tak dla usługi Azure Storage | Tylko bezpośredni | Możesz wysłać kopie zapasowe, które są pobierane lokalnie do usługi Azure Backup w celu długoterminowego przechowywania kopii zapasowych poza lokacją i przywrócić je do środowiska lokalnego w celu przywrócenia. |
| Zmiany aprowizacji i konfiguracji z witryny Azure Portal | Środowisko klienta —> Azure —> środowisko klienta | Opcjonalnie | Nie. | Tylko bezpośredni | Zmiany aprowizacji i konfiguracji można wykonać lokalnie przy użyciu narzędzia Azure Data Studio lub odpowiedniego interfejsu wiersza polecenia. W trybie bezpośrednio połączonym można również aprowizować i wprowadzać zmiany konfiguracji w witrynie Azure Portal. |
Szczegółowe informacje na temat obsługi adresów internetowych, portów, szyfrowania i serwera proxy
| Usługa | Port | Adres URL | Kierunek | Uwagi |
|---|---|---|---|---|
| Wykres Helm (tylko tryb połączony bezpośrednio) | 443 | arcdataservicesrow1.azurecr.io |
Wychodzący | Aprowizuje inicjator danych usługi Azure Arc i obiekty na poziomie klastra, takie jak niestandardowe definicje zasobów, role klastra i powiązania roli klastra, są pobierane z usługi Azure Container Registry. |
| Interfejsy API usługi Azure Monitor * | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Wychodzący | Usługa Azure Data Studio i interfejs wiersza polecenia platformy Azure łączą się z interfejsami API usługi Azure Resource Manager w celu wysyłania i pobierania danych do i z platformy Azure w celu uzyskania niektórych funkcji. Zobacz Interfejsy API usługi Azure Monitor. |
| Usługa przetwarzania danych w usłudze Azure Arc * | 443 | *.<region>.arcdataservices.com2 |
Wychodzący |
1 Wymaganie zależy od trybu wdrożenia:
- W przypadku trybu bezpośredniego zasobnik kontrolera w klastrze Kubernetes musi mieć łączność wychodzącą z punktami końcowymi w celu wysyłania dzienników, metryk, spisu i informacji rozliczeniowych do usługi Azure Monitor/Data Processing Service.
- W przypadku trybu pośredniego maszyna, która działa
az arcdata dc upload, musi mieć łączność wychodzącą z usługami Azure Monitor i Data Processing Service.
2 W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net.
Interfejsy API usługi Azure Monitor
Połączenie ivity z usługi Azure Data Studio do serwera interfejsu API Kubernetes używa ustanowionego uwierzytelniania i szyfrowania kubernetes. Każdy użytkownik korzystający z narzędzia Azure Data Studio lub interfejsu wiersza polecenia musi mieć uwierzytelnione połączenie z interfejsem API platformy Kubernetes, aby wykonać wiele akcji związanych z usługami danych z obsługą usługi Azure Arc.
Dodatkowe wymagania dotyczące sieci
Ponadto mostek zasobów wymaga punktów końcowych Platformy Kubernetes z obsługą usługi Arc.