Conectividade de rede para o Instância Gerenciada de SQL habilitado para Azure Arc
Os serviços de dados habilitados para Azure Arc dão suporte a dois modos de conectividade diferentes. Os modos conectados diretamente e conectados indiretamente implantam um Instância Gerenciada de SQL habilitado para Azure Arc em execução em clusters kubernetes habilitados para Azure Arc com um plano de controle do Azure Arc.
Os componentes de serviços de dados habilitados para Arc são:
- Controlador de Dados do Azure Arc
- Conector do Azure Arc Active Directory
- Instância Gerenciada de SQL habilitada para Azure Arc
Esses componentes se comunicam com os pontos de extremidade do Azure Arc, controladores de domínio do Active Directory e servidores DNS (sistema de nomes de domínio) que estão em execução localmente e em outros ambientes de nuvem.
Este artigo descreve a arquitetura de rede, as considerações de design e as recomendações de design para se conectar ao plano de controle do Azure do local ou de outra infraestrutura de nuvem. Você aprenderá a gerenciar e operar serviços de dados habilitados para Arc e um Instância Gerenciada de SQL habilitado para Arc em execução em clusters kubernetes habilitados para Arc em ambientes locais e em outros ambientes de nuvem.
Arquitetura
O diagrama a seguir mostra uma arquitetura de rede de serviços de dados habilitada para Arc que dá suporte a modos de rede conectados diretamente e conectados indiretamente.
O diagrama de cenário a seguir mostra um exemplo de vários serviços de consumidor acessando com segurança o Instância Gerenciada de SQL habilitado para Arc.
Considerações sobre o design
Examine a área de design de conectividade e topologia de rede das zonas de destino do Azure para alinhar a conectividade de rede dos serviços de dados habilitados para Arc com o design da zona de destino adotada pela sua organização.
Examine a Conectividade de rede do Kubernetes habilitado para Azure Arc para entender a arquitetura de rede e as recomendações para tomar decisões de design corretas para implantar e operar serviços de dados habilitados para Arc no cluster do Kubernetes habilitado para Arc. Os serviços de dados habilitados para Arc usam a conectividade de rede do Kubernetes habilitada para Azure Arc para implantação e operações de serviço.
Examine a disponibilidade do recurso de serviços de dados habilitados para Arc por meio do modo de conectividade e dos requisitos de rede para serviços de dados habilitados para Azure Arc. Decida se o modo conectado diretamente ou o modo conectado indiretamente se alinha melhor com as políticas de segurança de rede da sua organização da rede local ou de outros provedores de nuvem.
O modo Conectado Diretamente requer uma conexão direta com o Azure e fornece outros benefícios por natureza dessa conectividade. Considere as compensações necessárias para habilitar essa conexão direta com base nos requisitos de segurança e conformidade da sua organização.
Dependendo de onde o cluster do Kubernetes habilitado para Arc é executado, considere usar um tipo LoadBalancer do Kubernetes ou NodePort. Esses serviços expõem serviços de dados habilitados para Arc, como Controlador de Dados e Instância Gerenciada de SQL. Um balanceador de carga mantém o mesmo número de porta em várias instâncias, enquanto a porta de nó requer números de porta diferentes para cada Instância Gerenciada de SQL habilitado para Arc.
Para o serviço de Instância Gerenciada de SQL habilitado para Arc, considere implantar tipos de balanceador de carga de software, como o MetalLB, em ambientes locais e balanceadores de carga internos em ambientes baseados em nuvem. Os balanceadores de carga fornecem endereços IP consistentes e portas do SQL Server, como nós 1433 ou porta personalizada e balanceadores de carga no cluster do Kubernetes. Os IPs de nó são alterados em clusters de dimensionamento automático. Eles não fornecem alta disponibilidade quando os pods passam de um nó de trabalho do Kubernetes para outro. Por exemplo, durante o failover, atualizações e manutenção de clusters kubernetes, controladores de dados e Instância Gerenciada de SQL habilitados para Arc.
Considere usar portas TLS (Transport Layer Security), como 636 e 3269 contra portas não TLS 389 e 3268 com Active Directory Domain Services. As portas TLS mantêm as conexões seguras ao usar a autenticação do AD em uma Instância Gerenciada de SQL habilitada para Azure Arc.
Ao usar o Azure Key Vault para proteger os segredos do Kubernetes do Instância Gerenciada de SQL habilitado para Arc para autenticação do AD, considere usar pontos de extremidade privados Key Vault do Azure para manter as conexões privadas. Confira a extensão provedor de segredos do Azure Key Vault para saber como buscar segredos em clusters do Kubernetes habilitados para Azure Arc e para obter mais detalhes sobre como usar o Azure Key Vault com clusters kubernetes habilitados para Arc.
Avalie os pontos de extremidade públicos versus privados ao usar o blob de arquivos da Conta de Armazenamento do Azure para reter arquivos de backup de banco de dados Instância Gerenciada de SQL habilitados para Arc para retenção de longo prazo.
Recomendações sobre design
Examine as recomendações de design de rede do Kubernetes habilitada para Azure Arc como Instância Gerenciada de SQL habilitadas para Arc implantadas em um cluster kubernetes habilitado para Arc existente.
Use o modo de conectividade direta em vez da implantação do modo de conectividade indireto dos serviços de dados habilitados para Arc e do Instância Gerenciada de SQL habilitado para Arc para obter os benefícios do recurso da implantação do modo conectado diretamente.
Escolha o tipo de serviço LoadBalancer do Kubernetes acima do tipo de serviço NodePort para serviços de dados habilitados para Arc, como controlador de dados, dashboards e Instância Gerenciada de SQL habilitados para Arc. O tipo LoadBalancer fornece resiliência entre falhas de nó do Kubernetes, reinicializações de nó e remoção de nó durante a atualização e manutenção de clusters do Kubernetes.
Use balanceadores de carga internos em relação a balanceadores de carga externos ao usar a infraestrutura de nuvem pública para implantação de serviços de dados habilitados para Arc. O balanceador de carga interno atribui endereços IP privados da rede virtual e mantém o tráfego de banco de dados privado para a rede interna.
Para implantação local, use um balanceador de carga em contêineres, como o MetalLB , para dar suporte ao tipo de serviço do balanceador de carga. Um balanceador de carga em contêineres simplifica as regras de firewall usando a porta SQL padrão 1433. É mais fácil lembrar em vez de usar portas aleatórias com o tipo de serviço NodePort . Certifique-se de alocar um tamanho CIDR de sub-rede para dar suporte ao número de Instâncias Gerenciadas de SQL habilitadas para Arc implantadas no cluster do Kubernetes habilitado para Azure Arc.
Ao usar a autenticação do AD para sua Instância Gerenciada de SQL habilitada para Arc em modos de guia de chave gerenciada pelo sistema ou gerenciada pelo cliente, certifique-se de automatizar o registro DNS para pontos de extremidade de Instância Gerenciada de SQL habilitados para Arc. A automação ajuda você a descobrir serviços usando servidores DNS locais ou de outras nuvens. Ele também elimina a sobrecarga de operações e atualiza automaticamente os endereços IP quando eles são alterados ou quando você exclui uma instância de serviço.
Use regras de firewall para restringir o acesso à rede aos pontos de extremidade de Instância Gerenciada de SQL, controlador de dados e dashboards habilitados para Arc para impedir o acesso de fontes não confiáveis. As regras de firewall reduzem a superfície de ataque do Instância Gerenciada de SQL habilitado para Arc e impedem a exfiltração de dados.
Quando você usa pontos de extremidade privados do Azure para Registro de Artefato da Microsoft (também conhecido como Registro de Contêiner da Microsoft ou MCR), a Key Vault do Azure, o Azure Log Analytics e as contas de armazenamento, configure servidores DNS locais para encaminhar consultas DNS para o encaminhador DNS no Azure. Essa abordagem permite a descoberta automática desses pontos de extremidade privados usando nomes DNS e elimina a necessidade de usar entradas de host ou registro de entrada DNS em servidores DNS locais.
A autenticação do AD para Instância Gerenciada de SQL habilitada para Arc requer uma conexão com Active Directory Domain Services. Configure a conectividade com controladores de domínio em sites primários e de recuperação de desastre para alta disponibilidade. Como muitas empresas implantam florestas de recuperação de site em regiões geográficas, use o site mais próximo para reduzir a latência de rede para controladores de domínio. Examine a continuidade dos negócios e a recuperação de desastres do Instância Gerenciada de SQL habilitado para Arc para obter mais diretrizes.
Próximas etapas
Para obter mais informações sobre sua jornada de nuvem híbrida e de várias nuvens, consulte os seguintes artigos:
- Examine os modos e os requisitos de conectividade dos serviços de dados habilitados para Azure Arc.
- Examine a autenticação do Active Directory.
- Examine a Conectividade de rede do Kubernetes habilitado para Azure Arc.
- Use cenários automatizados Instância Gerenciada de SQL habilitados para Arc com o Azure Arc Jumpstart.
- Examine o roteiro de aprendizagem do Azure Arc no Microsoft Learn.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de