Csatlakozási módok és követelmények
Ez a cikk az Azure Arc-kompatibilis adatszolgáltatásokhoz elérhető csatlakozási módokat és azok követelményeit ismerteti.
Csatlakozási módok
Az Azure Arc-kompatibilis adatszolgáltatási környezet és az Azure közötti kapcsolat mértékének több lehetősége is van. Mivel a követelmények az üzleti szabályzattól, a kormányzati szabályozástól vagy az Azure-hoz való hálózati kapcsolat elérhetőségétől függően változnak, az alábbi csatlakozási módok közül választhat.
Az Azure Arc-kompatibilis adatszolgáltatások lehetővé teszik az Azure-hoz való csatlakozást két különböző kapcsolati módban:
- Közvetlen csatlakozás
- Közvetett kapcsolat
A kapcsolati mód lehetővé teszi, hogy megszülje, mennyi adatot küld az Azure-nak, és hogy a felhasználók hogyan használják az Arc-adatkezelőt. A választott kapcsolati módtól függően előfordulhat, hogy az Azure Arc-kompatibilis adatszolgáltatások bizonyos funkciói elérhetők vagy nem érhetők el.
Fontos, hogy ha az Azure Arc-kompatibilis adatszolgáltatások közvetlenül csatlakoznak az Azure-hoz, akkor a felhasználók az Azure Resource Manager API-kat, az Azure CLI-t és az Azure Portalt használhatják az Azure Arc-adatszolgáltatások üzemeltetéséhez. A közvetlenül csatlakoztatott módban a felhasználói élmény nagyjából olyan, mint bármely más Azure-szolgáltatás üzembe helyezése/megszüntetése, skálázása, konfigurálása stb. az Azure Portalon. Ha az Azure Arc-kompatibilis adatszolgáltatások közvetetten csatlakoznak az Azure-hoz, akkor az Azure Portal írásvédett nézet. Megtekintheti az üzembe helyezett FELÜGYELT SQL-példányok és PostgreSQL-kiszolgálók leltárát, valamint a velük kapcsolatos részleteket, de az Azure Portalon nem végezhet rajtuk műveletet. Közvetetten csatlakoztatott módban minden műveletet helyileg kell végrehajtani az Azure Data Studio, a megfelelő parancssori felület vagy a Kubernetes natív eszközei, például a Kubectl használatával.
Emellett a Microsoft Entra ID és az Azure szerepköralapú hozzáférés-vezérlés csak közvetlenül csatlakoztatott módban használható, mivel a funkció biztosításához függőség áll fenn az Azure-hoz való folyamatos és közvetlen kapcsolattól.
Egyes Azure-beli szolgáltatások csak akkor érhetők el, ha közvetlenül elérhetők, például a Tároló Elemzések, és biztonsági másolatot készíthetnek a Blob Storage-ra.
Közvetett kapcsolat | Közvetlen csatlakozás | Soha nem csatlakozik | |
---|---|---|---|
Leírás | A közvetetten csatlakoztatott mód a legtöbb felügyeleti szolgáltatást helyileg kínálja a környezetben, és nincs közvetlen kapcsolat az Azure-ral. Csak minimális mennyiségű adatot kell elküldeni az Azure-nak leltározási és számlázási célokra. Egy fájlba exportálja, és havonta legalább egyszer feltölti az Azure-ba. Nincs szükség közvetlen vagy folyamatos azure-kapcsolatra. Egyes szolgáltatások és szolgáltatások, amelyekhez azure-kapcsolat szükséges, nem lesznek elérhetők. | A közvetlenül csatlakoztatott mód az összes elérhető szolgáltatást biztosítja, ha közvetlen kapcsolat létesíthető az Azure-ral. A Csatlakozás a környezetből mindig az Azure-ba kerülnek, és szabványos portokat és protokollokat, például HTTPS/443-at használnak. | Semmilyen módon nem küldhető adat az Azure-ba vagy az Azure-ból. |
Aktuális rendelkezésre állás | Elérhető | Elérhető | Jelenleg nem támogatott. |
Tipikus használati esetek | Olyan helyszíni adatközpontok, amelyek üzleti vagy jogszabályi megfelelőségi szabályzatok vagy külső támadások vagy adatkiszivárgás miatt nem engedélyezik az adatközpont adatrégiójában vagy azon kívül való csatlakozást. Tipikus példák: Pénzügyi intézmények, egészségügy, kormányzat. Peremhálózati helyek, ahol a peremhálózati hely általában nem rendelkezik internetkapcsolattal. Tipikus példák: olaj-/ gáz- vagy katonai terepalkalmazások. Peremhálózati helyek, amelyek időszakos kapcsolattal rendelkeznek, és hosszú ideig tartó üzemkimaradások vannak. Tipikus példák: stadionok, tengerjáró hajók. |
Nyilvános felhőket használó szervezetek. Tipikus példák: Azure, AWS vagy Google Cloud. Peremhálózati helyek, ahol az internetkapcsolat általában jelen van és engedélyezett. Tipikus példák: kiskereskedelmi üzletek, gyártás. A vállalati adatközpontok megengedőbb szabályzatokkal rendelkeznek az adatközpont adatrégiójukhoz való csatlakozáshoz és az internethez való kapcsolódáshoz. Tipikus példák: Nem szabályozható vállalkozások, kis- és középvállalkozások |
Valóban "levegőbe illesztett" környezetek, ahol semmilyen körülmények között nem érkezhetnek adatok az adatkörnyezetből. Tipikus példák: szigorúan titkos kormányzati létesítmények. |
Adatok küldése az Azure-ba | A számlázási és készletadatok azure-ba való küldésének három lehetősége van: 1) Az adatokat egy automatizált folyamat exportálja az adatrégióból, amely a biztonságos adatrégióhoz és az Azure-hoz is kapcsolódik. 2) Az adatokat az adatrégióból egy automatizált folyamat exportálja az adatrégióból, amely automatikusan egy kevésbé biztonságos régióba másolódik, és egy automatizált folyamat a kevésbé biztonságos régióban feltölti az adatokat az Azure-ba. 3) Az adatokat egy felhasználó manuálisan exportálja a biztonságos régión belül, manuálisan hozza ki a biztonságos régióból, és manuálisan tölti fel az Azure-ba. Az első két lehetőség egy automatizált folyamatos folyamat, amely ütemezhető a gyakori futtatásra, így az adatok Azure-ba történő átvitele minimális késéssel jár, csak az Azure-hoz való elérhető kapcsolat függvényében. |
Az adatok automatikusan és folyamatosan érkeznek az Azure-ba. | A rendszer soha nem küld adatokat az Azure-ba. |
Szolgáltatás rendelkezésre állása kapcsolati mód szerint
Szolgáltatás | Közvetett kapcsolat | Közvetlen csatlakozás |
---|---|---|
Automatikus magas rendelkezésre állás | Támogatott | Támogatott |
Önkiszolgáló kiépítés | Támogatott Használja az Azure Data Studiót, a megfelelő parancssori felületet vagy a Kubernetes natív eszközeit, például a Helmt, kubectl vagy oc használja az Azure Arc-kompatibilis Kubernetes GitOps-kiépítést. |
Támogatott A közvetett módon csatlakoztatott létrehozási lehetőségek mellett létrehozhatja az Azure Portalt, az Azure Resource Manager API-kat, az Azure CLI-t vagy az ARM-sablonokat is. |
Rugalmas méretezhetőség | Támogatott | Támogatott |
Számlázás | Támogatott A számlázási adatok rendszeres exportálása és küldése az Azure-ba. |
Támogatott A számlázási adatok automatikusan és folyamatosan érkeznek az Azure-ba, és közel valós időben jelennek meg. |
Készletkezelés | Támogatott A leltáradatokat rendszeres időközönként exportáljuk és elküldjük az Azure-ba. Használjon olyan ügyféleszközöket, mint az Azure Data Studio, az Azure Data CLI vagy kubectl a leltár helyi megtekintése és kezelése. |
Támogatott A leltáradatok automatikusan és folyamatosan érkeznek az Azure-ba, és közel valós időben jelennek meg. Így a leltárt közvetlenül az Azure Portalról kezelheti. |
Automatikus frissítések és javítások | Támogatott Az adatkezelőnek közvetlen hozzáféréssel kell rendelkeznie a Microsoft Container Registryhez (MCR), vagy le kell kérnie a tárolólemezképeket az MCR-ből, és le kell küldenie egy helyi, privát tárolóregisztrációs adatbázisba, amelyhez az adatkezelőnek hozzáférése van. |
Támogatott |
Automatikus biztonsági mentés és visszaállítás | Támogatott Automatikus helyi biztonsági mentés és visszaállítás. |
Támogatott Az automatikus helyi biztonsági mentés és visszaállítás mellett szükség esetén biztonsági másolatokat is küldhet az Azure Blob Storage-ba a hosszú távú, helyen kívüli megőrzés érdekében. |
Figyelés | Támogatott Helyi monitorozás Grafana és Kibana irányítópultokkal. |
Támogatott A helyi monitorozási irányítópultok mellett a monitorozási adatokat és naplókat is elküldheti az Azure Monitornak, hogy egy helyen több hely nagy léptékű monitorozását is lehetővé tegye. |
Hitelesítés | Használjon helyi felhasználónevet/jelszót az adatkezelőhöz és az irányítópult-hitelesítéshez. Sql- és Postgres-bejelentkezéseket vagy Active Directoryt (az AD jelenleg nem támogatott) használ az adatbázispéldányokhoz való kapcsolódáshoz. Kubernetes-hitelesítésszolgáltatók használata a Kubernetes API-hoz való hitelesítéshez. | A közvetetten csatlakoztatott mód hitelesítési módszerei mellett vagy helyett használhatja a Microsoft Entra ID azonosítót is. |
Szerepköralapú hozzáférés-vezérlés (RBAC) | Kubernetes RBAC használata a Kubernetes API-n. Sql és Postgres RBAC használata adatbázispéldányokhoz. | Használhatja a Microsoft Entra ID-t és az Azure RBAC-t. |
Csatlakozás tivitási követelmények
Egyes funkciókhoz azure-kapcsolat szükséges.
Az Azure-ral való kommunikáció mindig a környezetből indul ki. Ez az Azure Portalon egy felhasználó által kezdeményezett műveletekre is igaz. Ebben az esetben gyakorlatilag van egy feladat, amely várólistára kerül az Azure-ban. A környezet egyik ügynöke kezdeményezi a kommunikációt az Azure-ral, hogy lássa, mely tevékenységek vannak az üzenetsorban, futtatja a feladatokat, és jelentést készít az állapotról/befejezésről/sikertelenségről az Azure-nak.
Adattípus | Direction (Irány) | Kötelező/Nem kötelező | További költségek | A mód megadása kötelező | Jegyzetek |
---|---|---|---|---|---|
Tárolórendszerképek | Microsoft Container Registry –> Ügyfél | Szükséges | Nem | Közvetett vagy közvetlen | A tárolólemezképek a szoftver terjesztésének módjai. Olyan környezetben, amely az interneten keresztül csatlakozhat a Microsoft Container Registryhez (MCR), a tárolólemezképek közvetlenül az MCR-ből is lekérehetők. Ha az üzembehelyezési környezet nem rendelkezik közvetlen kapcsolattal, lekérheti a rendszerképeket az MCR-ből, és leküldheti őket egy privát tárolóregisztrációs adatbázisba az üzembe helyezési környezetben. Létrehozáskor úgy konfigurálhatja a létrehozási folyamatot, hogy az MCR helyett lekérje a privát tárolóregisztrációs adatbázisból. Ez az automatizált frissítésekre is vonatkozik. |
Erőforrásleltár | Ügyfélkörnyezet –> Azure | Szükséges | Nem | Közvetett vagy közvetlen | Az adatkezelők, adatbázispéldányok (PostgreSQL és SQL) készletét számlázási célból, valamint az összes adatkezelő és adatbázispéldány leltárának létrehozása céljából tárolja az Azure-ban, ami különösen akkor hasznos, ha több azure Arc-adatszolgáltatással rendelkező környezettel rendelkezik. A példányok kiépítése, lebontása, felskálázása/felskálázása, fel- és leskálázása során a készlet frissül az Azure-ban. |
Számlázási telemetriai adatok | Ügyfélkörnyezet –> Azure | Szükséges | Nem | Közvetett vagy közvetlen | Az adatbázispéldányok kihasználtságát számlázási célból el kell küldeni az Azure-nak. |
Adatok és naplók monitorozása | Ügyfélkörnyezet –> Azure | Választható | Lehet, hogy az adatmennyiségtől függően (lásd az Azure Monitor díjszabását) | Közvetett vagy közvetlen | Érdemes lehet a helyileg gyűjtött monitorozási adatokat és naplókat elküldeni az Azure Monitornak, hogy az adatokat több környezetben összesíthesse egy helyre, és azure Monitor-szolgáltatásokat( például riasztásokat) használjon, az Azure Machine Tanulás adataival stb. |
Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) | Ügyfélkörnyezet –> Azure –> Ügyfélkörnyezet | Választható | Nem | Csak közvetlen | Ha az Azure RBAC-t szeretné használni, akkor mindig létre kell hozni a kapcsolatot az Azure-ral. Ha nem szeretné használni az Azure RBAC-t, akkor a helyi Kubernetes RBAC használható. |
Microsoft Entra ID (jövőbeli) | Ügyfélkörnyezet –> Azure –> Ügyfélkörnyezet | Választható | Lehet, de lehet, hogy már fizet a Microsoft Entra-azonosítóért | Csak közvetlen | Ha a Microsoft Entra-azonosítót szeretné használni a hitelesítéshez, akkor a kapcsolatot mindig létre kell hozni az Azure-ral. Ha nem szeretné a Microsoft Entra-azonosítót használni a hitelesítéshez, használhatja Active Directory összevonási szolgáltatások (AD FS) (ADFS) az Active Directoryn keresztül. Függőben lévő rendelkezésre állás közvetlenül csatlakoztatott módban |
Biztonsági mentés és visszaállítás | Ügyfélkörnyezet –> Ügyfélkörnyezet | Szükséges | Nem | Közvetlen vagy közvetett | A biztonsági mentési és visszaállítási szolgáltatás konfigurálható úgy, hogy a helyi tárolási osztályokra mutasson. |
Azure-biztonsági mentés – hosszú távú megőrzés (jövő) | Ügyfélkörnyezet –> Azure | Választható | Igen az Azure Storage-hoz | Csak közvetlen | Előfordulhat, hogy a helyileg készített biztonsági másolatokat az Azure Backupba szeretné küldeni a biztonsági másolatok hosszú távú, helyen kívüli megőrzéséhez, és visszaállítás céljából vissza szeretné őket vinni a helyi környezetbe. |
Kiépítési és konfigurációs változások az Azure Portalról | Ügyfélkörnyezet –> Azure –> Ügyfélkörnyezet | Választható | Nem | Csak közvetlen | A kiépítési és konfigurációs módosítások helyileg, az Azure Data Studióval vagy a megfelelő parancssori felülettel végezhetők el. Közvetlenül csatlakoztatott módban konfigurálási módosításokat is végezhet az Azure Portalon. |
Az internetcímek, a portok, a titkosítás és a proxykiszolgáló támogatásának részletei
Szolgáltatás | Port | URL-cím | Direction (Irány) | Jegyzetek |
---|---|---|---|---|
Helm-diagram (csak közvetlen csatlakoztatott mód) | 443 | arcdataservicesrow1.azurecr.io |
Kimenő | Az Azure Arc-adatvezérlő rendszerindítóját és fürtszintű objektumait, például egyéni erőforrásdefiníciókat, fürtszerepköröket és fürtszerepkör-kötéseket egy Azure Container Registryből kéri le a rendszer. |
Azure Monitor API-k * | 443 | *.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com |
Kimenő | Az Azure Data Studio és az Azure CLI csatlakozik az Azure Resource Manager API-khoz, hogy adatokat küldjön és kérjen le az Azure-ba és az Azure-ból bizonyos funkciókhoz. Lásd: Azure Monitor API-k. |
Azure Arc adatfeldolgozási szolgáltatás * | 443 | *.<region>.arcdataservices.com 2 |
Kimenő |
1 A követelmény az üzembe helyezési módtól függ:
- Közvetlen mód esetén a Kubernetes-fürt vezérlő podjának kimenő kapcsolattal kell rendelkeznie a végpontokhoz a naplók, metrikák, leltár és számlázási adatok Azure Monitor/Data Processing Service-nek való elküldéséhez.
- Közvetett mód esetén a futtatott
az arcdata dc upload
gépnek rendelkeznie kell az Azure Monitor és az Adatfeldolgozási szolgáltatás kimenő kapcsolatával.
2 A 2024. február 13-ig és azt is tartalmazó bővítményverziókhoz használja a következőtsan-af-<region>-prod.azurewebsites.net
: .
Azure Monitor API-k
az Azure Data Studio és a Kubernetes API-kiszolgáló közötti Csatlakozás tivitás az Ön által létrehozott Kubernetes-hitelesítést és -titkosítást használja. Az Azure Data Studio-t vagy CLI-t használó összes felhasználónak hitelesített kapcsolattal kell rendelkeznie a Kubernetes API-val az Azure Arc-kompatibilis adatszolgáltatásokhoz kapcsolódó műveletek végrehajtásához.
További hálózati követelmények
Emellett az erőforráshídhoz Arc-kompatibilis Kubernetes-végpontok szükségesek.