أوضاع الاتصال ومتطلباته
أوضاع الاتصال
هناك خيارات متعددة لدرجة الاتصال من بيئة خدمات البيانات التي تدعم Azure Arc إلى Azure. نظرا لأن متطلباتك تختلف بناء على سياسة العمل أو اللوائح الحكومية أو توفر اتصال الشبكة ب Azure، يمكنك الاختيار من بين أوضاع الاتصال التالية.
توفر لك خدمات البيانات التي تدعم Azure Arc خيار الاتصال ب Azure في وضعي اتصال مختلفين:
- متصل مباشرة
- اتصال غير مباشر
يوفر لك وضع الاتصال المرونة لاختيار مقدار البيانات المرسلة إلى Azure وكيفية تفاعل المستخدمين مع Arc Data Controller. استنادا إلى وضع الاتصال الذي تم اختياره، قد تتوفر أو لا تتوفر بعض وظائف خدمات البيانات التي تدعم Azure Arc.
الأهم من ذلك، إذا كانت خدمات البيانات التي تدعم Azure Arc متصلة مباشرة ب Azure، فيمكن للمستخدمين استخدام واجهات برمجة تطبيقات Azure Resource Manager وAzure CLI وبوابة Azure لتشغيل خدمات بيانات Azure Arc. تشبه التجربة في وضع الاتصال المباشر إلى حد كبير كيفية استخدامك لأي خدمة Azure أخرى مع التوفير/إلغاء التوفير، والتوسع، والتكوين، وما إلى ذلك، كل ذلك في مدخل Azure. إذا كانت خدمات البيانات التي تدعم Azure Arc متصلة بشكل غير مباشر ب Azure، فإن مدخل Azure هو طريقة عرض للقراءة فقط. يمكنك الاطلاع على مخزون المثيلات المدارة SQL ومثيلات PostgreSQL Hyperscale التي قمت بنشرها والتفاصيل المتعلقة بها، ولكن لا يمكنك اتخاذ إجراء بشأنها في مدخل Azure. في وضع الاتصال غير المباشر، يجب اتخاذ جميع الإجراءات محليا باستخدام Azure Data Studio أو CLI المناسب أو أدوات Kubernetes الأصلية مثل kubectl.
بالإضافة إلى ذلك، يمكن استخدام Azure Active Directory وAzure Role-Based Access Control في وضع الاتصال المباشر فقط نظرا لوجود تبعية على اتصال مستمر ومباشر ب Azure لتوفير هذه الوظيفة.
تتوفر بعض الخدمات المرفقة ب Azure فقط عندما يمكن الوصول إليها مباشرة مثل Insights الحاويات والنسخ الاحتياطي إلى تخزين blob.
| اتصال غير مباشر | متصل مباشرة | لم تتصل أبدا | |
|---|---|---|---|
| الوصف | يوفر وضع الاتصال غير المباشر معظم خدمات الإدارة محليا في بيئتك بدون اتصال مباشر ب Azure. يجب إرسال الحد الأدنى من البيانات إلى Azure لأغراض المخزون والفوترة فقط. يتم تصديره إلى ملف وتحميله إلى Azure مرة واحدة على الأقل في الشهر. لا يلزم الاتصال المباشر أو المستمر ب Azure. لن تتوفر بعض الميزات والخدمات التي تتطلب اتصالا ب Azure. | يوفر وضع الاتصال المباشر جميع الخدمات المتوفرة عندما يمكن إنشاء اتصال مباشر مع Azure. يتم دائما بدء الاتصالات من بيئتك إلى Azure واستخدام المنافذ والبروتوكولات القياسية مثل HTTPS/443. | لا يمكن إرسال أي بيانات من Azure أو إليه بأي شكل من الأشكال. |
| التوافر الحالي | متوفر | متوفر | غير مدعومة في الوقت الحالي. |
| حالات الاستخدام النموذجية | مراكز البيانات المحلية التي لا تسمح بالاتصال داخل أو خارج منطقة البيانات في مركز البيانات بسبب سياسات الامتثال التجارية أو التنظيمية أو بسبب المخاوف من الهجمات الخارجية أو استخراج البيانات. أمثلة نموذجية: المؤسسات المالية والرعاية الصحية والحكومة. مواقع مواقع الحافة حيث لا يكون لموقع الحافة عادة اتصال بالإنترنت. أمثلة نموذجية: النفط / الغاز أو التطبيقات الميدانية العسكرية. مواقع مواقع الحافة التي لديها اتصال متقطع مع فترات طويلة من الانقطاعات. أمثلة نموذجية: الملاعب والسفن السياحية. |
المؤسسات التي تستخدم السحب العامة. أمثلة نموذجية: Azure أو AWS أو Google Cloud. مواقع مواقع الحافة حيث يكون الاتصال بالإنترنت موجودا ومسموحا به عادة. أمثلة نموذجية: متاجر البيع بالتجزئة والتصنيع. مراكز بيانات الشركات ذات السياسات الأكثر تساهلا للاتصال ب / من منطقة البيانات الخاصة بها من مركز البيانات إلى الإنترنت. أمثلة نموذجية: الشركات غير الخاضعة للتنظيم، الشركات الصغيرة/المتوسطة الحجم |
بيئات "ذات فجوة هوائية" حقا حيث لا يمكن لأي بيانات تحت أي ظرف من الظروف أن تأتي أو تذهب من بيئة البيانات. أمثلة نموذجية: مرافق حكومية سرية للغاية. |
| كيفية إرسال البيانات إلى Azure | هناك ثلاثة خيارات لكيفية إرسال بيانات الفوترة والمخزون إلى Azure: 1) يتم تصدير البيانات خارج منطقة البيانات من خلال عملية آلية لها اتصال بكل من منطقة البيانات الآمنة وAzure. 2) يتم تصدير البيانات خارج منطقة البيانات من خلال عملية تلقائية داخل منطقة البيانات، ويتم نسخها تلقائيا إلى منطقة أقل أمانا، وتقوم عملية تلقائية في المنطقة الأقل أمانا بتحميل البيانات إلى Azure. 3) يتم تصدير البيانات يدويا بواسطة مستخدم داخل المنطقة الآمنة، ويتم إخراجها يدويا من المنطقة الآمنة، وتحميلها يدويا إلى Azure. الخياران الأولان هما عملية مستمرة تلقائية يمكن جدولتها لتشغيلها بشكل متكرر بحيث يكون هناك الحد الأدنى من التأخير في نقل البيانات إلى Azure رهنا فقط بالاتصال المتوفر ب Azure. |
يتم إرسال البيانات تلقائيا وبشكل مستمر إلى Azure. | لا يتم إرسال البيانات أبدا إلى Azure. |
توفر الميزة حسب وضع الاتصال
| الميزة | اتصال غير مباشر | متصل مباشرة |
|---|---|---|
| توافر تلقائي عالي | مدعوم | مدعوم |
| توفير الخدمة الذاتية | مدعوم يمكن إجراء الإنشاء من خلال Azure Data Studio أو CLI المناسب أو أدوات Kubernetes الأصلية (helm أو kubectl أو oc أو ما إلى ذلك) أو باستخدام توفير Kubernetes GitOps الذي يدعم Azure Arc. |
مدعوم بالإضافة إلى خيارات إنشاء الوضع المتصل بشكل غير مباشر، يمكنك أيضا الإنشاء من خلال مدخل Azure أو واجهات برمجة تطبيقات Azure Resource Manager أو قوالب Azure CLI أو ARM. |
| قابلية التوسع المرنة | مدعوم | مدعوم |
| الفوترة | مدعوم يتم تصدير بيانات الفوترة بشكل دوري وإرسالها إلى Azure. |
مدعوم يتم إرسال بيانات الفوترة تلقائيا وبشكل مستمر إلى Azure وتنعكس في الوقت الفعلي تقريبا. |
| إدارة المخزون | مدعوم يتم تصدير بيانات المخزون بشكل دوري وإرسالها إلى Azure. استخدم أدوات العميل مثل Azure Data Studio أو Azure Data CLI أو kubectl لعرض المخزون وإدارته محليا. |
مدعوم يتم إرسال بيانات المخزون تلقائيا وبشكل مستمر إلى Azure وتنعكس في الوقت الفعلي تقريبا. على هذا النحو، يمكنك إدارة المخزون مباشرة من مدخل Azure. |
| الترقيات التلقائية والترقيع | مدعوم يجب أن يكون لدى وحدة التحكم في البيانات إما حق الوصول المباشر إلى سجل حاويات Microsoft (MCR) أو يجب سحب صور الحاوية من MCR ودفعها إلى سجل حاوية محلي خاص يمكن لوحدة التحكم في البيانات الوصول إليه. |
مدعوم |
| النسخ الاحتياطي التلقائي والاستعادة | مدعوم النسخ الاحتياطي المحلي التلقائي والاستعادة. |
مدعوم بالإضافة إلى النسخ الاحتياطي المحلي التلقائي والاستعادة، يمكنك اختياريا إرسال نسخ احتياطية إلى وحدة تخزين Azure blob للاحتفاظ بها على المدى الطويل خارج الموقع. |
| المراقبة | مدعوم المراقبة المحلية باستخدام لوحات معلومات Grafana و Kibana. |
مدعوم بالإضافة إلى لوحات معلومات المراقبة المحلية، يمكنك اختياريا إرسال بيانات المراقبة والسجلات إلى Azure Monitor للمراقبة على نطاق واسع لمواقع متعددة في مكان واحد. |
| المصادقة | استخدم اسم المستخدم / كلمة المرور المحلية لوحدة التحكم في البيانات ومصادقة لوحة المعلومات. استخدم SQL وتسجيلات الدخول إلى Postgres أو Active Directory (AD غير مدعوم حاليا) للاتصال بمثيلات قاعدة البيانات. استخدم موفري مصادقة Kubernetes للمصادقة على واجهة برمجة تطبيقات Kubernetes. | بالإضافة إلى طرق المصادقة الخاصة بوضع الاتصال غير المباشر أو بدلا منها، يمكنك اختياريا استخدام Azure Active Directory. |
| التحكم في الوصول استنادًا إلى الدور (RBAC) | استخدم Kubernetes RBAC على Kubernetes API. استخدم SQL وPostgres RBAC لمثيلات قاعدة البيانات. | يمكنك استخدام Azure Active Directory وAzure RBAC. التوفر المعلق في وضع الاتصال المباشر |
متطلبات الاتصال
تتطلب بعض الوظائف اتصالا ب Azure.
يتم دائما بدء جميع الاتصالات مع Azure من بيئتك. وينطبق هذا حتى على العمليات التي يبدأها مستخدم في مدخل Azure. في هذه الحالة ، هناك مهمة فعالة ، يتم وضعها في قائمة الانتظار في Azure. يبدأ عامل في بيئتك الاتصال مع Azure لمعرفة المهام الموجودة في قائمة الانتظار، ويقوم بتشغيل المهام، ويعيد التقارير إلى Azure عن الحالة/الانتهاء/الفشل.
| نوع البيانات | الاتجاه | مطلوب/اختياري | تكاليف إضافية | الوضع مطلوب | ملاحظات |
|---|---|---|---|---|---|
| صور الحاوية | سجل حاويات Microsoft -> العميل | مطلوب | لا | غير مباشر أو مباشر | صور الحاويات هي طريقة توزيع البرنامج. في بيئة يمكنها الاتصال بسجل حاويات Microsoft (MCR) عبر الإنترنت، يمكن سحب صور الحاوية مباشرة من MCR. في حالة عدم وجود اتصال مباشر في بيئة النشر، يمكنك سحب الصور من MCR ودفعها إلى سجل حاوية خاص في بيئة النشر. في وقت الإنشاء، يمكنك تكوين عملية الإنشاء للسحب من سجل الحاوية الخاصة بدلا من MCR. سينطبق هذا أيضا على التحديثات التلقائية. |
| جرد الموارد | بيئة العملاء -> Azure | مطلوب | لا | غير مباشر أو مباشر | يتم الاحتفاظ بمخزون من وحدات التحكم في البيانات ومثيلات قاعدة البيانات (PostgreSQL و SQL) في Azure لأغراض الفوترة وأيضا لأغراض إنشاء جرد لجميع وحدات التحكم في البيانات ومثيلات قاعدة البيانات في مكان واحد وهو أمر مفيد بشكل خاص إذا كان لديك أكثر من بيئة واحدة مع خدمات بيانات Azure Arc. عند توفير المثيلات، وإلغاء توفيرها، وتوسيع نطاقها/توسيعها، وتوسيع نطاقها/خفضها، يتم تحديث المخزون في Azure. |
| بيانات القياس عن بعد للفوترة | بيئة العملاء -> Azure | مطلوب | لا | غير مباشر أو مباشر | يجب إرسال استخدام مثيلات قاعدة البيانات إلى Azure لأغراض الفوترة. |
| مراقبة البيانات والسجلات | بيئة العملاء -> Azure | اختياري | ربما اعتمادا على حجم البيانات (راجع تسعير Azure Monitor) | غير مباشر أو مباشر | قد ترغب في إرسال بيانات المراقبة والسجلات التي تم جمعها محليا إلى Azure Monitor لتجميع البيانات عبر بيئات متعددة في مكان واحد وكذلك لاستخدام خدمات Azure Monitor مثل التنبيهات واستخدام البيانات الموجودة في Azure التعلم الآلي وما إلى ذلك. |
| Azure Role-based Access Control (Azure RBAC) | بيئة العميل - Azure ->> بيئة العملاء | اختياري | لا | مباشر فقط | إذا كنت ترغب في استخدام Azure RBAC، فيجب إنشاء اتصال مع Azure في جميع الأوقات. إذا كنت لا ترغب في استخدام Azure RBAC ، فيمكن استخدام Kubernetes RBAC المحلي. |
| Azure Active Directory (AAD (دليل Azure النشط)) (Future) | بيئة العملاء - Azure ->> بيئة العملاء | اختياري | ربما، ولكن قد تكون تدفع بالفعل مقابل Azure AD | مباشر فقط | إذا كنت ترغب في استخدام Azure AD للمصادقة، فيجب إنشاء اتصال مع Azure في جميع الأوقات. إذا كنت لا تريد استخدام Azure AD للمصادقة، فيمكنك استخدام خدمات الأمان المشترك لـ Active Directory (ADFS) عبر Active Directory. التوفر المعلق في وضع الاتصال المباشر |
| النسخ الاحتياطي والاستعادة | بيئة العملاء -> بيئة العملاء | مطلوب | لا | مباشر أو غير مباشر | يمكن تكوين خدمة النسخ الاحتياطي والاستعادة للإشارة إلى فئات التخزين المحلية. |
| Azure backup - الاحتفاظ طويل الأجل (المستقبل) | بيئة العملاء -> Azure | اختياري | نعم لتخزين Azure | مباشر فقط | قد ترغب في إرسال نسخ احتياطية يتم نقلها محليا إلى Azure Backup للاحتفاظ بالنسخ الاحتياطية على المدى الطويل خارج الموقع وإعادتها إلى البيئة المحلية لاستعادتها. |
| تغييرات التوفير والتكوين من مدخل Azure | بيئة العملاء - Azure ->> بيئة العملاء | اختياري | لا | مباشر فقط | يمكن إجراء تغييرات التوفير والتكوين محليا باستخدام Azure Data Studio أو CLI المناسب. في وضع الاتصال المباشر، ستتمكن أيضا من توفير وإجراء تغييرات في التكوين من مدخل Azure. |
تفاصيل حول عناوين الإنترنت والمنافذ والتشفير ودعم الخادم الوكيل
هناك ثلاثة اتصالات مطلوبة للخدمات المتاحة على الإنترنت. وتشمل هذه الاتصالات:
يتم تشفير جميع اتصالات HTTPS ب Azure وسجل حاويات Microsoft باستخدام SSL/TLS باستخدام شهادات موقعة رسميا ويمكن التحقق منها.
توفر الأقسام التالية تفاصيل عن هذه الاتصالات.
تسجيل حاويات مايكروسوفت (MCR)
يستضيف سجل حاويات Microsoft صور حاوية خدمات البيانات التي تدعم Azure Arc. يمكنك سحب هذه الصور من MCR ودفعها إلى سجل حاوية خاص وتكوين عملية نشر وحدة تحكم البيانات لسحب صور الحاوية من سجل الحاوية الخاص هذا.
موفر المصدر للاتصال
Kubernetes kubelet على كل من عقد Kubernetes سحب صور الحاوية.
هدف الاتصال
mcr.microsoft.com
البروتوكول
HTTPS
المنفذ
443
يمكن استخدام الوكيل
نعم
المصادقة
بلا
مخطط Helm المستخدم لإنشاء وحدة تحكم في البيانات في وضع الاتصال المباشر
يتم سحب مخطط الدفة المستخدم لتوفير تمهيد وحدة تحكم بيانات Azure Arc وكائنات مستوى المجموعة، مثل تعريفات الموارد المخصصة وأدوار الكتلة وارتباطات دور المجموعة، من سجل حاوية Azure.
موفر المصدر للاتصال
Kubernetes kubelet على كل من عقد Kubernetes سحب صور الحاوية.
هدف الاتصال
arcdataservicesrow1.azurecr.io
البروتوكول
HTTPS
المنفذ
443
يمكن استخدام الوكيل
نعم
المصادقة
بلا
واجهات برمجة تطبيقات Azure Resource Manager
يتصل Azure Data Studio وAzure CLI بواجهات برمجة تطبيقات Azure Resource Manager لإرسال البيانات واستردادها من Azure وإليه للحصول على بعض الميزات.
موفر المصدر للاتصال
جهاز كمبيوتر يقوم بتشغيل Azure Data Studio أو Azure CLI متصل ب Azure.
هدف الاتصال
login.microsoftonline.commanagement.azure.comsan-af-eastus-prod.azurewebsites.netsan-af-eastus2-prod.azurewebsites.netsan-af-australiaeast-prod.azurewebsites.netsan-af-centralus-prod.azurewebsites.netsan-af-westus2-prod.azurewebsites.netsan-af-westeurope-prod.azurewebsites.netsan-af-southeastasia-prod.azurewebsites.netsan-af-koreacentral-prod.azurewebsites.netsan-af-northeurope-prod.azurewebsites.netsan-af-westeurope-prod.azurewebsites.netsan-af-uksouth-prod.azurewebsites.netsan-af-francecentral-prod.azurewebsites.net
البروتوكول
HTTPS
المنفذ
443
يمكن استخدام الوكيل
نعم
المصادقة
Azure Active Directory
Azure monitor APIs
يتصل Azure Data Studio وAzure CLI بواجهات برمجة تطبيقات Azure Resource Manager لإرسال البيانات واستردادها من Azure وإليه للحصول على بعض الميزات.
موفر المصدر للاتصال
كمبيوتر يقوم بتشغيل Azure CLI يقوم بتحميل مقاييس المراقبة أو السجلات إلى Azure Monitor.
هدف الاتصال
login.microsoftonline.commanagement.azure.com*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
على سبيل المثال، لتحميل مقاييس الاستخدام، ستتصل خدمات البيانات بالمنطقة https://<azureRegion>.monitoring.azure.com/<azureRegion> التي يتم فيها نشر خدمات البيانات.
وبالمثل، ستتصل خدمات البيانات بمساحة عمل تحليلات السجل في المكان الذي يمثل فيه <subscription_id> اشتراكك في https://<subscription_id>.ods.opinsights.azure.com Azure.
البروتوكول
HTTPS
المنفذ
443
يمكن استخدام الوكيل
نعم
المصادقة
Azure Active Directory
ملاحظة
في الوقت الحالي ، يتم تشفير جميع اتصالات HTTPS / 443 الخاصة بالمتصفح بوحدة التحكم في البيانات لتشغيل الأمر az arcdata dc export ولوحات معلومات Grafana و Kibana باستخدام شهادات موقعة ذاتيا. ستتوفر ميزة في المستقبل تسمح لك بتقديم شهاداتك الخاصة لتشفير اتصالات SSL هذه.
يستخدم الاتصال من Azure Data Studio إلى خادم Kubernetes API مصادقة Kubernetes وتشفيرها التي قمت بإنشائها. يجب أن يكون لدى كل مستخدم يستخدم Azure Data Studio أو CLI اتصال مصادق عليه بواجهة برمجة تطبيقات Kubernetes لتنفيذ العديد من الإجراءات المتعلقة بخدمات البيانات التي تدعم Azure Arc.