Modos e requisitos de conectividade

Modos de conectividade

Existem múltiplas opções para o grau de conectividade desde o ambiente de serviços de dados habilitados a Azure Arc para Azure. Como os seus requisitos variam com base na política de negócios, regulação do governo ou disponibilidade de conectividade de rede para Azure, você pode escolher entre os seguintes modos de conectividade.

Os serviços de dados ativados pelo Azure Arc oferecem-lhe a opção de ligar ao Azure em dois modos de conectividade diferentes:

  • Diretamente ligado
  • Indiretamente ligado

O modo de conectividade proporciona-lhe a flexibilidade para escolher a quantidade de dados enviados para o Azure e como os utilizadores interagem com o Controlador de Dados do Arco. Dependendo do modo de conectividade escolhido, alguma funcionalidade dos serviços de dados ativados pelo Azure Arc pode ou não estar disponível.

Importante, se os serviços de dados ativados pelo Arco Azure estiverem diretamente ligados ao Azure, então os utilizadores podem utilizar APIs Azure Resource Manager, o CLI Azure e o portal do Azure para operar os serviços de dados do Arco Azure. A experiência em modo ligado diretamente é muito semelhante à forma como utilizaria qualquer outro serviço Azure com provisionamento/desavisionamento, escala, configuração, e assim por diante no portal do Azure. Se os serviços de dados ativados pelo Arco Azure estiverem indiretamente ligados ao Azure, então o portal do Azure é uma visão apenas de leitura. Pode ver o inventário de instâncias geridas pela SQL e servidores PostgreSQL que implementou e os detalhes sobre eles, mas não pode tomar medidas sobre eles no portal do Azure. No modo indiretamente ligado, todas as ações devem ser tomadas localmente usando O Azure Data Studio, o CLI apropriado, ou ferramentas nativas kubernetes como kubectl.

Além disso, o Azure Ative Directory e o Azure Role-Based Controlo de Acesso podem ser utilizados no modo ligado diretamente apenas porque existe uma dependência de uma ligação contínua e direta ao Azure para fornecer esta funcionalidade.

Alguns serviços ligados ao Azure só estão disponíveis quando podem ser contactados diretamente, tais como Container Insights, e cópias de segurança para o armazenamento de bolhas.

Indiretamente ligado Diretamente ligado Nunca ligado
Descrição O modo indiretomente conectado oferece a maioria dos serviços de gestão localmente no seu ambiente sem ligação direta ao Azure. Uma quantidade mínima de dados deve ser enviada para a Azure apenas para efeitos de inventário e faturação. É exportado para um ficheiro e enviado para Azure pelo menos uma vez por mês. Não é necessária qualquer ligação direta ou contínua ao Azure. Algumas funcionalidades e serviços que requerem uma ligação ao Azure não estarão disponíveis. O modo ligado diretamente oferece todos os serviços disponíveis quando uma ligação direta pode ser estabelecida com o Azure. As ligações são sempre iniciadas do seu ambiente para Azure e utilizam portas e protocolos padrão como HTTPS/443. Nenhum dado pode ser enviado de ou para Azure de qualquer forma.
Disponibilidade atual Disponível Disponível Não apoiado atualmente.
Casos de uso típico Centros de dados no local que não permitem a conectividade dentro ou fora da região de dados do centro de dados devido a políticas de conformidade empresarial ou regulamentar ou por preocupações de ataques externos ou exfiltração de dados. Exemplos típicos: Instituições financeiras, cuidados de saúde, governo.

Locais do site de borda onde o site de borda normalmente não tem conectividade com a Internet. Exemplos típicos: aplicações de petróleo/gás ou de campo militar.

Localizações do site edge que têm conectividade intermitente com longos períodos de interrupções. Exemplos típicos: estádios, navios de cruzeiro.
Organizações que usam nuvens públicas. Exemplos típicos: Azure, AWS ou Google Cloud.

Locais de borda onde a conectividade da Internet é tipicamente presente e permitida. Exemplos típicos: lojas de retalho, fabrico.

Centros de dados corporativos com políticas mais permissivas de conectividade de/para a sua região de dados do datacenter para a Internet. Exemplos típicos: Empresas não regulamentadas, pequenas e médias empresas
Ambientes verdadeiramente "abertos ao ar" onde nenhum dado em nenhuma circunstância pode vir ou sair do ambiente de dados. Exemplos típicos: instalações governamentais ultrassecretas.
Como os dados são enviados para Azure Existem três opções para como os dados de faturação e inventário podem ser enviados para a Azure:

1) Os dados são exportados para fora da região de dados por um processo automatizado que tem conectividade tanto com a região de dados seguras como com o Azure.

2) Os dados são exportados para fora da região de dados por um processo automatizado dentro da região de dados, copiado automaticamente para uma região menos segura, e um processo automatizado na região menos segura envia os dados para a Azure.

3) Os dados são exportados manualmente por um utilizador dentro da região segura, trazido manualmente para fora da região segura, e enviado manualmente para Azure.

As duas primeiras opções são um processo contínuo automatizado que pode ser programado para funcionar com frequência, pelo que há um atraso mínimo na transferência de dados para a Azure sujeito apenas à conectividade disponível para a Azure.
Os dados são enviados automaticamente e continuamente para a Azure. Os dados nunca são enviados para o Azure.

Disponibilidade de recursos por modo de conectividade

Funcionalidade Indiretamente ligado Diretamente ligado
Alta disponibilidade automática Suportado Suportado
Prestação de self-service Suportado
A criação pode ser feita através do Azure Data Studio, o CLI apropriado, ou ferramentas nativas kubernetes (helm, kubectl, oc, etc.), ou usando o provisionamento de Kubernetes GitOps habilitado para o Arco Azure.
Suportado
Além das opções de criação de modo indiretamente ligados, também pode criar através dos portal do Azure, Azure Resource Manager APIs, os modelos Azure CLI ou ARM.
Escalabilidade elástica Suportado Suportado
Faturação Suportado
Os dados de faturação são periodicamente exportados e enviados para Azure.
Suportado
Os dados de faturação são enviados automaticamente e continuamente para a Azure e refletidos em tempo real.
Gestão de inventário Suportado
Os dados de inventário são periodicamente exportados e enviados para Azure.

Use ferramentas de cliente como Azure Data Studio, Azure Data CLI, ou kubectl para ver e gerir o inventário localmente.
Suportado
Os dados de inventário são enviados automaticamente e continuamente para a Azure e refletidos em tempo real. Como tal, pode gerir o inventário diretamente a partir do portal do Azure.
Atualizações automáticas e remendos Suportado
O controlador de dados deve ter acesso direto ao Registo de Contentores da Microsoft (MCR) ou as imagens do contentor devem ser retiradas da MCR e empurradas para um registo local de contentores privados a que o responsável pelo tratamento de dados tem acesso.
Suportado
Backup automático e restauro Suportado
Cópia de segurança local automática e restauro.
Suportado
Além de cópias de segurança locais automatizadas e restauro, você pode opcionalmente enviar backups para o armazenamento de blob Azure para retenção fora do local de longo prazo.
Monitorização Suportado
Monitorização local utilizando tabliers Grafana e Kibana.
Suportado
Além dos dashboards de monitorização locais, pode enviar opcionalmente dados de monitorização e registos para o Azure Monitor para monitorização em escala de vários sites num só local.
Autenticação Utilize o nome de utilizador/palavra-passe local para o controlador de dados e a autenticação do painel de instrumentos. Utilize logins SQL e Postgres ou Ative Directory (AD não é suportado atualmente) para conectividade com casos de base de dados. Utilize fornecedores de autenticação Kubernetes para autenticação na API de Kubernetes. Além dos métodos de autenticação para o modo indireto ligado, pode utilizar opcionalmente o Azure Ative Directory.
Controlo de acesso baseado em funções (RBAC) Use Kubernetes RBAC na API de Kubernetes. Utilize SQL e Postgres RBAC para casos de base de dados. Você pode usar Azure Ative Directory e Azure RBAC. Disponibilidade pendente no modo ligado diretamente

Requisitos de conectividade

Algumas funcionalidades requerem uma ligação ao Azure.

Toda a comunicação com o Azure é sempre iniciada a partir do seu ambiente. Isto é verdade mesmo para operações que são iniciadas por um utilizador no portal do Azure. Nesse caso, existe efetivamente uma tarefa, que está em fila em Azure. Um agente no seu ambiente inicia a comunicação com o Azure para ver que tarefas estão na fila, executa as tarefas e informa de volta o estado/conclusão/falha em Azure.

Tipo de Dados Direção Obrigatório/Opcional Custos Adicionais Modo Necessário Notas
Imagens de contentor Registo do Contentor da Microsoft -> Cliente Necessário No Indireta ou direta As imagens do contentor são o método para a distribuição do software. Num ambiente que pode ligar-se ao Microsoft Container Registry (MCR) através da Internet, as imagens do contentor podem ser retiradas diretamente da MCR. No caso de o ambiente de implantação não ter conectividade direta, pode retirar as imagens da MCR e empurrá-las para um registo privado de contentores no ambiente de implantação. No momento da criação, pode configurar o processo de criação para retirar do registo privado de contentores em vez de MCR. Isto também se aplicará a atualizações automatizadas.
Inventário de recursos Ambiente de cliente -> Azure Necessário No Indireta ou direta Um inventário de controladores de dados, casos de base de dados (PostgreSQL e SQL) é mantido em Azure para efeitos de faturação e também para fins de criação de um inventário de todos os controladores de dados e instâncias de base de dados em um lugar que é especialmente útil se você tiver mais de um ambiente com serviços de dados Azure Arc. À medida que os casos são aprovisionados, desprovisionados, dimensionados para fora/para dentro, o inventário é atualizado em Azure.
Faturação de dados de telemetria Ambiente de cliente -> Azure Necessário No Indireta ou direta A utilização de casos de base de dados deve ser enviada para a Azure para efeitos de faturação.
Acompanhamento de dados e registos Ambiente de cliente -> Azure Opcional Talvez dependendo do volume de dados (ver preços do Azure Monitor) Indireta ou direta Pode querer enviar os dados e registos de monitorização recolhidos localmente para o Azure Monitor para agregar dados em vários ambientes num só local e também para utilizar serviços do Azure Monitor como alertas, utilizando os dados em Azure Machine Learning, etc.
Controlo de Acesso baseado em funções Azure (Azure RBAC) Ambiente de clientes -> Azure -> Ambiente do Cliente Opcional No Direto apenas Se quiser utilizar o Azure RBAC, então a conectividade deve ser estabelecida sempre com o Azure. Se não quiser usar o Azure RBAC, então o LOCAL Kubernetes RBAC pode ser usado.
Diretório Ativo Azure (AAD) (Futuro) Ambiente de cliente -> Azure -> Ambiente de cliente Opcional Talvez, mas já pode estar a pagar por Azure AD Direto apenas Se quiser utilizar Azure AD para autenticação, então a conectividade deve ser sempre estabelecida com o Azure. Se não quiser utilizar Azure AD para autenticação, pode utilizar Serviços de Federação do Ative Directory (AD FS) (ADFS) em diretório ativo. Disponibilidade pendente no modo ligado diretamente
Backup e restauro Ambiente de cliente -> Ambiente de cliente Necessário No Direto ou indireto O serviço de backup e restauro pode ser configurado para apontar para as aulas de armazenamento local.
Azure backup - retenção a longo prazo (Futuro) Ambiente de cliente -> Azure Opcional Sim para armazenamento Azure Direto apenas Você pode querer enviar backups que são levados localmente para Azure Backup para retenção de backups a longo prazo, fora do local e trazê-los de volta para o ambiente local para restaurar.
O provisionamento e as alterações de configuração a partir de portal do Azure Ambiente de cliente -> Azure -> Ambiente de cliente Opcional No Direto apenas As alterações de provisão e configuração podem ser feitas localmente usando o Azure Data Studio ou o CLI apropriado. No modo ligado diretamente, também poderá providenciar e escassear e fazer alterações de configuração a partir do portal do Azure.

Detalhes sobre endereços de internet, portas, encriptação e suporte ao servidor proxy

Existem três ligações necessárias aos serviços disponíveis na Internet. Estas ligações incluem:

Todas as ligações HTTPS ao Azure e ao Registo de Contentores da Microsoft são encriptadas utilizando SSL/TLS utilizando certificados oficialmente assinados e verificáveis.

As seguintes secções fornecem detalhes para estas ligações.

Registo de Contentores da Microsoft (MCR)

O Registo de Contentores da Microsoft acolhe as imagens do contentor de dados ativados pelo Arco Azure. Pode retirar estas imagens da MCR e empurrá-las para um registo privado de contentores e configurar o processo de implantação do controlador de dados para retirar as imagens do contentor desse registo privado do contentor.

Origem de ligação

O kubernetes kubelet em cada um dos nós Kubernetes puxando as imagens do recipiente.

Destino de ligação

mcr.microsoft.com

Protocolo

HTTPS

Porta

443

Pode usar proxy

Yes

Autenticação

Nenhuma

Gráfico de leme utilizado para criar controlador de dados no modo de ligação direta

O gráfico de leme utilizado para a disponibilização do controlador de dados Azure Arc e objetos de nível de cluster, tais como definições de recursos personalizados, funções de cluster e encadernações de papéis de cluster, é retirado de uma Azure Container Registry.

Origem de ligação

O kubernetes kubelet em cada um dos nós Kubernetes puxando as imagens do recipiente.

Destino de ligação

arcdataservicesrow1.azurecr.io

Protocolo

HTTPS

Porta

443

Pode usar proxy

Yes

Autenticação

Nenhuma

APIs do Azure Resource Manager

O Azure Data Studio e o Azure CLI conectam-se ao Azure Resource Manager APIs para enviar e recuperar dados de e para Azure para algumas funcionalidades.

Origem de ligação

Um computador que executa o Azure Data Studio, ou Azure CLI que está a ligar-se ao Azure.

Destino de ligação

  • login.microsoftonline.com
  • management.azure.com
  • san-af-eastus-prod.azurewebsites.net
  • san-af-eastus2-prod.azurewebsites.net
  • san-af-australiaeast-prod.azurewebsites.net
  • san-af-centralus-prod.azurewebsites.net
  • san-af-westus2-prod.azurewebsites.net
  • san-af-westeurope-prod.azurewebsites.net
  • san-af-southeastasia-prod.azurewebsites.net
  • san-af-koreacentral-prod.azurewebsites.net
  • san-af-northeurope-prod.azurewebsites.net
  • san-af-westeurope-prod.azurewebsites.net
  • san-af-uksouth-prod.azurewebsites.net
  • san-af-francecentral-prod.azurewebsites.net

Protocolo

HTTPS

Porta

443

Pode usar proxy

Yes

Autenticação

Azure Active Directory

Azure monitor APIs

O Azure Data Studio e o Azure CLI conectam-se ao Azure Resource Manager APIs para enviar e recuperar dados de e para a Azure para algumas funcionalidades.

Origem de ligação

Um computador que executa o Azure CLI que está a carregar métricas de monitorização ou registos para o Azure Monitor.

Destino de ligação

  • login.microsoftonline.com
  • management.azure.com
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com

Por exemplo, para carregar as métricas de utilização os serviços de dados ligar-se-ão a https://<azureRegion>.monitoring.azure.com/ onde <azureRegion> está a região onde os serviços de dados são implantados.

Da mesma forma, os serviços de dados ligar-se-ão ao espaço de trabalho de análise de registos onde https://<subscription_id>.ods.opinsights.azure.com<subscription_id> representa a sua subscrição Azure.

Protocolo

HTTPS

Porta

443

Pode usar proxy

Yes

Autenticação

Azure Active Directory

Nota

Por enquanto, todas as ligações HTTPS/443 do navegador ao controlador de dados para executar o comando az arcdata dc export e os dashboards Grafana e Kibana são encriptados SSL usando certificados auto-assinados. No futuro, estará disponível uma funcionalidade que lhe permitirá fornecer os seus próprios certificados para encriptação destas ligações SSL.

A conectividade do Azure Data Studio para o servidor API de Kubernetes utiliza a autenticação e encriptação de Kubernetes que estabeleceu. Cada utilizador que esteja a utilizar o Azure Data Studio ou o CLI deve ter uma ligação autenticada à API de Kubernetes para executar muitas das ações relacionadas com os serviços de dados ativados pelo Azure Arc.