連線模式和需求
本文說明適用於已啟用 Azure Arc 的資料服務的連線模式,以及其各自的需求。
連線模式
從已啟用 Azure Arc 資料服務環境到 Azure 的連線能力程度有多種選項。 由於您的需求會根據符合商務原則、政府法規或 Azure 的網路連線能力可用性而有所不同,您可以從下列連線能力模式中選擇。
已啟用 Azure Arc 的資料服務可讓您選擇以兩種不同的連線能力模式連線至 Azure:
- 直接連線
- 間接連線
連線能力模式可讓您彈性地選擇傳送至 Azure 的資料量,以及使用者與 Arc 資料控制器互動的方式。 視所選擇的連線能力模式而定,已啟用 Azure Arc 的資料服務部分功能可能無法使用。
重要的是,如果已啟用 Azure Arc 的資料服務直接連線到 Azure,則使用者可以使用 Azure Resource Manager API、Azure CLI 和 Azure 入口網站來操作 Azure Arc 資料服務。 直接連線模式的體驗與在 Azure 入口網站中佈建/取消、佈建、縮放、設定等使用任何其他 Azure 服務的方式非常類似。 如果已啟用 Azure Arc 的資料服務間接連線到 Azure,則 Azure 入口網站是唯讀檢視。 您可以看到已部署的 SQL 受控執行個體和 PostgreSQL 伺服器庫存以及其詳細資料,但是您無法在 Azure 入口網站中對其採取動作。 在間接連線模式中,所有動作都必須使用 Azure Data Studio、適當的 CLI 或 kubectl 等 Kube 原生工具在本機執行。
此外,Microsoft Entra ID 和 Azure 角色型存取控制只能在直接連線模式中使用,因為有 Azure 連續和直接連線相依才能提供這項功能。
部分 Azure 已連結的服務只有在可以直接觸達容器深入解析以及備份至 blob 儲存體等的時候才可使用。
| 間接連線 | 直接連線 | 從未連線 | |
|---|---|---|---|
| 說明 | 間接連線模式會在您的環境中提供大部分的管理服務,且不需要直接連線到 Azure。 最少的資料量必須傳送至 Azure,僅供庫存和帳單用途。 其每月至少會匯出至檔案並上傳至 Azure 一次。 不需要直接或連續連線至 Azure。 部分需要 Azure 連線的功能和服務將無法使用。 | 可以與 Azure 建立直接連線時,直接連線模式會提供所有可用的服務。 一律會從您的環境起始連線到 Azure,並使用 HTTPS/443 等標準連接埠和通訊協定。 | 任何方式都無法將資料傳送至 Azure 或從 Azure 傳送。 |
| 目前可用性 | 可用 | 可用 | 目前不支援。 |
| 一般使用案例 | 內部部署資料中心因為企業或法規合規性政策或外部攻擊或資料外流,所以不允許資料中心的資料區連線能力。 典型範例:金融機構、醫療保健、政府。 邊緣站台位置的邊緣站台通常沒有網際網路連線能力。 典型範例:油/天然氣或軍事現場應用程式。 具有間歇性連線能力和長時間中斷連線的邊緣站台位置。 典型範例:體育館、遊輪。 |
使用公用雲端的組織。 典型範例:Azure、AWS 或 Google Cloud。 邊緣站台位置通常存在且允許網際網路連線能力。 典型範例:零售商店、製造業。 具有更寬鬆原則的公司資料中心,可連線到資料中心的資料區,或從其資料中心的資料區連線到網際網路。 典型範例:非管制企業、小型/中型企業 |
真正的「實體隔離」環境,在任何情況下都無法取得或離開資料環境的資料。 典型範例:最高祕密政府設施。 |
| 資料如何傳送至 Azure | 帳單和庫存資料傳送至 Azure 的方式有三個選項: 1) 資料是由可連線至安全資料區和 Azure 的自動化流程從資料區匯出。 2) 資料會由資料區內的自動化流程從資料區匯出,自動複製到較不安全的區域,而較不安全區域中的自動化流會將資料上傳至 Azure。 3) 資料是由安全區域內的使用者手動匯出、手動帶出安全區域,以及手動上傳至 Azure。 前兩個選項是可排程經常執行的自動化連續流程,因此將資料傳輸至 Azure 的延遲最少,只受限於 Azure 的可用連線能力。 |
資料會自動且持續傳送至 Azure。 | 資料永遠不會傳送至 Azure。 |
依連線能力模式區分的功能可用性
| 功能 | 間接連線 | 直接連線 |
|---|---|---|
| 自動高可用性 | 支援 | 支援 |
| 自助式佈建 | 支援 使用 Azure Data Studio、適當的 CLI 或 Helm 等 Kube 原生工具、 kubectl 或 oc,或使用已啟用 Azure Arc 的 Kube GitOps 佈建。 |
支援 除了間接連線模式建立選項之外,您也可以透過 Azure 入口網站、Azure Resource Manager API、Azure CLI 或 ARM 範本來建立。 |
| 彈性延展性 | 支援 | 支援 |
| Billing | 支援 帳單資料會定期匯出並傳送至 Azure。 |
支援 帳單資料會自動且持續傳送至 Azure,並近即時反映。 |
| 庫存管理 | 支援 庫存資料會定期匯出並傳送至 Azure。 使用 Azure Data Studio、Azure Data CLI 或 kubectl 等用戶端工具,在本機檢視和管理庫存。 |
支援 庫存資料會自動且持續傳送至 Azure,並近即時反映。 因此,您可以直接從 Azure 入口網站管理庫存。 |
| 自動升級和修補 | 支援 資料控制器必須能夠直接存取 Microsoft Container Registry (MCR),或需要從 MCR 提取容器映像,並推送至資料控制器可存取的本機私人容器登錄。 |
支援 |
| 自動備份和還原 | 支援 自動本機備份和還原。 |
支援 除了自動本機備份和還原之外,您也可以選擇性地將備份傳送至 Azure blob 儲存體,以取得長期、異地保留。 |
| 監視 | 支援 使用 Grafana 和 Kibana 儀表板進行本機監視。 |
支援 除了本機監視儀表板之外,您也可以選擇性地將監視資料和記錄傳送至 Azure 監視器,以在單一位置大規模監視多個站台。 |
| 驗證 | 使用本機使用者名稱/密碼進行資料控制器和儀表板驗證。 使用 SQL 和 Postgres 登入或 Active Directory (目前不支援 AD) 來連線至資料庫執行個體。 使用 Kube 驗證提供者向 Kube API 進行驗證。 | 除了間接連線模式的驗證方法之外,您也可以選擇性地使用 Microsoft Entra ID。 |
| 角色型存取控制 (RBAC) | 在 Kube API 上使用 Kube RBAC。 針對資料庫執行個體使用 SQL 和 Postgres RBAC。 | 您可以使用 Microsoft Entra ID 和 Azure RBAC。 |
連線需求
部分功能需要連線至 Azure。
所有與 Azure 的溝通一律會從您的環境起始。 即使是使用者在 Azure 入口網站中起始的作業也是如此。 在此情況下,有一項實際上是在 Azure 中排入佇列的工作。 您環境中的代理程式會起始與 Azure 的溝通,以查看佇列中有哪些工作、執行工作,以及向 Azure 回報狀態/完成/失敗。
| 資料類型 | 方向 | 必要/選用 | 額外的成本 | 需要的模式 | 注意事項 |
|---|---|---|---|---|---|
| 容器映像 | Microsoft Container Registry -> 客戶 | 必要 | No | 間接或直接 | 容器映像是散發軟體的方法。 在可透過網際網路連線至 Microsoft Container Registry (MCR) 的環境中,可以直接從 MCR 提取容器映像。 如果部署環境沒有直接連線能力,您可以從 MCR 提取影像,並將其推送至部署環境中的私人容器登錄。 在建立時,您可以設定建立流程,以從私人容器登錄提取,而不是 MCR。 這也適用於自動更新。 |
| 資源庫存 | 客戶環境 -> Azure | 必要 | No | 間接或直接 | 資料控制器、資料庫執行個體 (PostgreSQL 和 SQL) 的庫存會保留在 Azure 中,以供帳單用途以及在單一位置建立所有資料控制器和資料庫執行個體的庫存用途,當您有一個以上的 Azure Arc 資料服務環境時特別有用。 隨著佈建、取消佈建、擴增/減少、擴大/縮小,庫存也會在 Azure 中更新。 |
| 帳單遙測資料 | 客戶環境 -> Azure | 必要 | No | 間接或直接 | 必須針對帳單用途,將資料庫執行個體的使用率傳送至 Azure。 |
| 監視資料和記錄 | 客戶環境 -> Azure | 選擇性 | 可能取決於資料量 (請參閱 Azure 監視器價格) | 間接或直接 | 您可能會想要將本機收集的監視資料和記錄傳送至 Azure 監視器,以將多個環境中的資料彙總到單一位置,並使用 Azure 監視器服務,例如警示、使用 Azure Machine Learning 中的資料等。 |
| Azure 角色型存取控制 (Azure RBAC) | 客戶環境 -> Azure -> 客戶環境 | 選擇性 | No | 僅限直接 | 如果您想要使用 Azure RBAC,則必須隨時與 Azure 建立連線。 如果您不想使用 Azure RBAC,則可以使用本機 Kube RBAC。 |
| Microsoft Entra ID (未來) | 客戶環境 -> Azure -> 客戶環境 | 選擇性 | 也許,但您可能已經支付 Microsoft Entra ID 的費用 | 僅限直接 | 如果您想要使用 Microsoft Entra ID 進行驗證,則必須隨時與 Azure 建立連線。 如果您不想使用 Microsoft Entra ID 進行驗證,則可以透過 Active Directory 使用 Active Directory 同盟服務 (ADFS)。 直接連線模式中的擱置可用性 |
| 備份與還原 | 客戶環境 -> 客戶環境 | 必要 | No | 直接或間接 | 備份和還原服務可以設定為指向本機儲存類別。 |
| Azure 備份 - 長期保留 (未來) | 客戶環境 -> Azure | 選擇性 | 是,適用於 Azure 儲存體 | 僅限直接 | 您可能想要將本機執行的備份傳送給 Azure 備份,以進行長期、異地保留備份,並將其帶回本機環境以進行還原。 |
| 從 Azure 入口網站佈建和設定變更 | 客戶環境 -> Azure -> 客戶環境 | 選擇性 | No | 僅限直接 | 可以使用 Azure Data Studio 或適當的 CLI 在本機完成佈建和設定變更。 在直接連線模式中,您也可以從 Azure 入口網站佈建和進行組態變更。 |
網際網路位址、連接埠、加密和 Proxy 伺服器支援的詳細資料
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| Helm 圖表 (僅限直接連線模式) | 443 | arcdataservicesrow1.azurecr.io |
輸出 | 從 Azure Container Registry 提取而來,以佈建 Azure Arc 資料控制器啟動載入器和叢集等級物件,例如自訂資源定義、叢集角色和叢集角色繫結。 |
| Azure 監視 API 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
輸出 | Azure Data Studio 和 Azure CLI 會連線至 Azure Resource Manager API,以針對某些功能向 Azure 傳送資料和從 Azure 擷取資料。 請參閱 Azure 監視器 API。 |
| Azure Arc 資料處理服務 1 | 443 | *.<region>.arcdataservices.com 2 |
輸出 |
1 需求取決於部署模式:
- 針對直接模式,Kubernetes 叢集上的控制器 Pod 必須具有端點的輸出連線能力,才能將記錄、計量、清查和計費資訊傳送至 Azure 監視器/資料處理服務。
- 針對間接模式,執行
az arcdata dc upload的機器必須具有 Azure 監視器和資料處理服務的輸出連線能力。
1 對於 2024 年 2 月 13 日 (含) 之前的延伸模組,請使用 san-af-<region>-prod.azurewebsites.net。
Azure 監視器 API
從 Azure Data Studio 到 Kube API 伺服器的連線能力會使用您已建立的 Kube 驗證和加密。 使用 Azure Data Studio 或 CLI 的每個使用者都必須具有 Kube API 的已驗證連線,才能執行與已啟用 Azure Arc 資料服務相關的各種動作。
其他網路需求
此外,資源橋接器還需要已啟用 Arc的 Kubernetes 端點。