Udostępnij za pośrednictwem

Wewnętrzne elementy łącznika usługi

  • Artykuł

Service Connector to dostawca zasobów rozszerzenia platformy Azure zaprojektowany w celu zapewnienia prostego sposobu tworzenia połączeń między usługami platformy Azure i zarządzania nimi.

Łącznik usługi oferuje następujące funkcje:

  • Umożliwia łączenie usług platformy Azure z jednym poleceniem interfejsu wiersza polecenia platformy Azure lub w kilku krokach przy użyciu witryny Azure Portal.
  • Obsługuje coraz większą liczbę baz danych, magazynu, usług w czasie rzeczywistym, stanów i magazynów wpisów tajnych, które są używane z natywną aplikacją w chmurze.
  • Konfiguruje ustawienia sieci, uwierzytelnianie i zarządza zmiennymi środowiskowymi połączenia lub właściwościami.
  • Weryfikuje połączenia i udostępnia sugestie dotyczące naprawiania uszkodzonych połączeń.

Omówienie połączenia z usługą

Koncepcja połączenia z usługą jest kluczową koncepcją w modelu zasobów łącznika usługi. Połączenie usługi reprezentuje abstrakcję połączenia między dwiema usługami. Połączenia usług mają następujące właściwości:

Właściwości opis
Nazwa połączenia Unikatowa nazwa połączenia usługi.
Typ usługi źródłowej Usługi źródłowe to usługi, które można połączyć z usługami docelowymi. Są to zazwyczaj usługi obliczeniowe platformy Azure i obejmują aplikacja systemu Azure Service, Azure Container Apps, Azure Functions, Azure Kubernetes Service (AKS) i Azure Spring Apps.
Docelowy typ usługi Usługi docelowe są usługami zapasowymi lub usługami zależności, z którymi łączą się usługi obliczeniowe. Łącznik usługi obsługuje różne typy usług docelowych, w tym główne bazy danych, magazyny, usługi w czasie rzeczywistym, stany i magazyny wpisów tajnych.
Typ klienta Typ klienta odnosi się do stosu środowiska uruchomieniowego obliczeniowego, struktury programistycznej lub określonego typu biblioteki klienta, która akceptuje określony format zmiennych środowiskowych lub właściwości połączenia.
Typ uwierzytelniania Typ uwierzytelniania używany na potrzeby połączenia z usługą. Może to być wpis tajny/parametry połączenia, tożsamość zarządzana lub jednostka usługi.

Usługi źródłowe i usługi docelowe obsługują wiele równoczesnych połączeń usług, co oznacza, że można połączyć każdy zasób z wieloma zasobami.

Łącznik usługi zarządza połączeniami we właściwościach wystąpienia źródłowego. Tworzenie, aktualizowanie i usuwanie połączeń odbywa się bezpośrednio przez otwarcie wystąpienia usługi źródłowej w witrynie Azure Portal lub za pomocą poleceń interfejsu wiersza polecenia usługi źródłowej.

Połączenia mogą być wykonywane między subskrypcjami lub dzierżawami, co oznacza, że usługi źródłowe i docelowe mogą należeć do różnych subskrypcji lub dzierżaw. Podczas tworzenia nowego połączenia z usługą zasób połączenia jest tworzony w tym samym regionie co wystąpienie usługi obliczeniowej domyślnie.

Tworzenie i aktualizowanie połączenia z usługą

Łącznik usługi uruchamia wiele zadań podczas tworzenia lub aktualizowania połączeń usług, w tym:

  • Konfigurowanie ustawień sieci i zapory. Dowiedz się więcej o rozwiązaniach sieciowych.

  • Konfigurowanie informacji o połączeniu. Dowiedz się więcej o konfiguracjach połączeń.

  • Konfigurowanie informacji o uwierzytelnianiu. Łącznik usługi obsługuje wszystkie dostępne typy uwierzytelniania między usługami źródłowymi i usługami docelowymi.

    • Tożsamość zarządzana przypisana przez system. Łącznik usługi umożliwia przypisaną przez system tożsamość zarządzaną w usługach źródłowych, jeśli nie została jeszcze włączona, a następnie przyznaje role RBAC usług docelowych tożsamości zarządzanej. Użytkownik może określić role, które mają zostać przyznane.
    • Tożsamość zarządzana przypisana przez użytkownika. Łącznik usługi umożliwia przypisaną przez użytkownika tożsamość zarządzaną w usługach źródłowych, jeśli nie została jeszcze włączona, a następnie przyznaje role RBAC usług docelowych tożsamości zarządzanej. Użytkownik może określić role, które mają zostać przyznane.
    • Parametry połączenia. Łącznik usługi pobiera parametry połączenia z usług docelowych, takich jak Storage, Redis Cache itp., lub tworzy parametry połączenia na podstawie danych wejściowych użytkownika, takich jak usługa Azure Database for SQL, PostgreSQL itp.
    • Jednostka usługi. Łącznik usługi przyznaje role RBAC usług docelowych tożsamości zarządzanej. Użytkownik może określić role, które mają zostać przyznane.

    Łącznik usługi zapisuje odpowiednie konfiguracje uwierzytelniania w usługach źródłowych, na przykład zapisywanie AZURE_CLIENT_ID, AZURE_TENANT_ID AZURE_STORAGEACCOUNT_ENDPOINT dla usługi Storage z tożsamością zarządzaną przypisaną przez użytkownika typu uwierzytelniania.

  • Tworzenie lub aktualizowanie wycofywania połączenia w przypadku wystąpienia błędu

Jeśli krok zakończy się niepowodzeniem podczas tego procesu, łącznik usługi wycofa wszystkie poprzednie kroki, aby zachować początkowe ustawienia w wystąpieniach źródłowych i docelowych.

Dostawca zasobów

Microsoft.ServiceLinker jest nazwą dostawcy zasobów łącznika usług.

Gdy użytkownik otworzy kartę Łącznik usługi w witrynie Azure Portal, dostawca zasobów ServiceLinker zostanie automatycznie zarejestrowany w aktywnej subskrypcji użytkownika. Użytkownik, który wygenerował rejestrację, jest wymieniony jako inicjator zdarzenia rejestracji.

Łącznik usługi umożliwia użytkownikom łączenie usług między subskrypcjami. Gdy użytkownik utworzy połączenie z usługą docelową zarejestrowaną w innej subskrypcji, usługa Service Linker również zostanie zarejestrowana w subskrypcji usługi docelowej. Ta rejestracja występuje, gdy użytkownik wybierze kartę Przeglądanie i tworzenie przed utworzeniem połączenia.

Konfiguracje połączeń

Konfiguracje połączeń są ustawiane w usłudze źródłowej.

W witrynie Azure Portal otwórz usługę źródłową i przejdź do pozycji Łącznik usługi. Rozwiń każde połączenie i wyświetl konfiguracje połączeń.

Zrzut ekranu witryny Azure Portal przedstawiający szczegóły połączenia z usługą.

W interfejsie wiersza polecenia użyj list-configuration polecenia , aby uzyskać konfiguracje połączeń.

az webapp connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>

az spring connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>

az containerapp connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>

Konwencja nazewnictwa konfiguracji

Łącznik usługi ustawia konfigurację połączenia podczas tworzenia połączenia. Pary klucz-wartość zmiennej środowiskowej są określane na podstawie typu klienta i typu uwierzytelniania. Na przykład użycie zestawu Azure SDK z tożsamością zarządzaną wymaga identyfikatora klienta, klucza tajnego klienta itp. Użycie sterownika JDBC wymaga parametry połączenia bazy danych. Postępuj zgodnie z tymi konwencjami, aby nazwać konfiguracje:

  • Klient Spring Boot: biblioteka Spring Boot dla każdej usługi docelowej ma własną konwencję nazewnictwa. Na przykład ustawienia połączenia MySQL to spring.datasource.url, spring.datasource.username, spring.datasource.password. Ustawienia połączenia platformy Kafka to spring.kafka.properties.bootstrap.servers.

  • Inni klienci:

    • Nazwa klucza pierwszej konfiguracji połączenia używa formatu <Cloud>_<Type>_<Name>. Na przykład , AZURE_STORAGEBLOB_RESOURCEENDPOINT. CONFLUENTCLOUD_KAFKA_BOOTSTRAPSERVER
    • W przypadku tego samego typu zasobu docelowego nazwa klucza drugiej konfiguracji połączenia używa formatu <Cloud>_<Type>_<Connection Name>_<Name>. Na przykład , AZURE_STORAGEBLOB_CONN2_RESOURCEENDPOINT. CONFLUENTCLOUD_KAFKA_CONN2_BOOTSTRAPSERVER

Rozwiązanie sieciowe usługi

Łącznik usługi oferuje trzy rozwiązania sieciowe dla użytkowników do wyboru podczas tworzenia połączenia. Te rozwiązania zostały zaprojektowane tak, aby ułatwić bezpieczną i wydajną komunikację między zasobami.

  1. Zapora: to rozwiązanie umożliwia połączenie za pośrednictwem sieci publicznej i zasobów obliczeniowych uzyskujących dostęp do zasobu docelowego przy użyciu publicznego adresu IP. Po wybraniu tej opcji łącznik usługi weryfikuje ustawienia zapory zasobu docelowego i dodaje regułę zezwalającą na połączenia z publicznego adresu IP zasobu źródłowego. Jeśli zapora zasobu obsługuje zezwalanie na dostęp do wszystkich zasobów platformy Azure, łącznik usługi włącza to ustawienie. Jeśli jednak zasób docelowy domyślnie nie zezwala na cały ruch sieciowy publiczny, łącznik usługi nie modyfikuje tego ustawienia. W takim przypadku należy wybrać inną opcję lub ręcznie zaktualizować ustawienia sieciowe przed ponowną próbą.

  2. Punkt końcowy usługi: to rozwiązanie umożliwia zasobom obliczeniowym łączenie się z zasobami docelowymi za pośrednictwem sieci wirtualnej, zapewniając, że ruch połączeń nie przechodzi przez sieć publiczną. Jest dostępna tylko wtedy, gdy spełnione są pewne warunki wstępne:

    • Zasób obliczeniowy musi mieć włączoną integrację z siecią wirtualną. W przypadku usługi aplikacja systemu Azure można ją skonfigurować w ustawieniach sieci. W przypadku usługi Azure Spring Apps użytkownicy muszą ustawić iniekcję sieci wirtualnej podczas etapu tworzenia zasobów.
    • Usługa docelowa musi obsługiwać punkt końcowy usługi. Aby uzyskać listę obsługiwanych usług, zobacz Punkty końcowe usługi dla sieci wirtualnej.

    Po wybraniu tej opcji łącznik usługi dodaje prywatny adres IP zasobu obliczeniowego w sieci wirtualnej do reguł sieci wirtualnej zasobu docelowego i włącza punkt końcowy usługi w konfiguracji podsieci zasobu źródłowego. Jeśli użytkownik nie ma wystarczających uprawnień lub jednostka SKU zasobu lub region nie obsługuje punktów końcowych usługi, tworzenie połączenia kończy się niepowodzeniem.

  3. Prywatny punkt końcowy: to rozwiązanie jest zalecanym sposobem łączenia zasobów za pośrednictwem sieci wirtualnej i jest dostępny tylko w przypadku spełnienia pewnych warunków wstępnych:

  • Zasób obliczeniowy musi mieć włączoną integrację z siecią wirtualną. W przypadku usługi aplikacja systemu Azure można ją skonfigurować w ustawieniach sieci. W przypadku usługi Azure Spring Apps użytkownicy muszą ustawić iniekcję sieci wirtualnej podczas etapu tworzenia zasobów.

  • Usługa docelowa musi obsługiwać prywatne punkty końcowe. Aby uzyskać listę obsługiwanych usług, zapoznaj się z artykułem Zasób usługi Private-link.

    Po wybraniu tej opcji łącznik usługi nie wykonuje więcej konfiguracji w zasobach obliczeniowych ani docelowych. Zamiast tego sprawdza istnienie prawidłowego prywatnego punktu końcowego i kończy się niepowodzeniem połączenia, jeśli nie zostanie znalezione. Dla wygody użytkownicy mogą wybrać pole wyboru "Nowy prywatny punkt końcowy" w witrynie Azure Portal podczas tworzenia połączenia. Dzięki temu łącznik usługi automatycznie tworzy wszystkie powiązane zasoby dla prywatnego punktu końcowego w odpowiedniej kolejności, upraszczając proces tworzenia połączenia.

Walidacja połączenia z usługą

Podczas sprawdzania poprawności połączenia łącznik usługi sprawdza następujące elementy:

  • Istnieją zasoby źródłowe i docelowe.
  • Źródło: zarejestrowane są poprawne informacje o połączeniu.
  • Cel: zarejestrowane są poprawne ustawienia sieci i zapory.
  • Zasoby źródłowe i docelowe: zarejestrowane są poprawne informacje o uwierzytelnianiu.

Usuwanie połączenia

Po usunięciu połączenia z usługą informacje o połączeniu również zostaną usunięte.

Następne kroki

Zobacz następujący artykuł koncepcyjny, aby dowiedzieć się więcej na temat łącznika usług.

Wysoka dostępność