Share via

Conectividade de rede para SQL Managed Instance compatíveis com o Azure Arc

  • Artigo

Os serviços de dados preparados para o Azure Arc suportam dois modos de conectividade diferentes. Os modos ligados diretamente e indiretamente ligados implementam um SQL Managed Instance compatível com o Azure Arc em execução em clusters do Kubernetes compatíveis com o Azure Arc com um plano de controlo do Azure Arc.

Os componentes dos serviços de dados compatíveis com o Arc são:

  • Controlador de Dados do Azure Arc
  • Conector do Azure Arc Active Directory
  • SQL Managed Instance compatível com o Azure Arc

Estes componentes comunicam com os pontos finais do Azure Arc, controladores de domínio do Active Directory e servidores DNS (sistema de nomes de domínio) que estão a ser executados no local e noutros ambientes da cloud.

Este artigo descreve a arquitetura de rede, considerações de conceção e recomendações de conceção para ligar ao plano de controlo do Azure a partir do local ou de outra infraestrutura de cloud. Vai aprender a gerir e a operar serviços de dados compatíveis com o Arc e um SQL Managed Instance compatível com o Arc em execução em clusters do Kubernetes compatíveis com o Arc no local e noutros ambientes na cloud.

Arquitetura

O diagrama seguinte mostra uma arquitetura de rede de serviços de dados compatíveis com o Arc que suporta modos de rede ligados diretamente e indiretamente ligados.

Um diagrama que mostra a arquitetura de rede dos serviços de dados compatíveis com o Azure Arc.

O diagrama de cenário seguinte mostra um exemplo de vários serviços de consumidores que acedem de forma segura ao SQL Managed Instance compatível com o Arc.

Um diagrama que mostra a arquitetura de rede de acesso seguro dos serviços de dados compatíveis com o Azure Arc.

Considerações de design

  • Reveja a topologia de rede e a área de design de conectividade das zonas de destino do Azure para alinhar a conectividade de rede dos serviços de dados compatíveis com o Arc com a conceção da zona de destino adotada pela sua organização.

  • Reveja a Conectividade de rede do Kubernetes compatível com o Azure Arc para compreender a arquitetura de rede e as recomendações para tomar as decisões de conceção corretas para implementar e operar serviços de dados compatíveis com o Arc no cluster do Kubernetes compatível com o Arc. Os serviços de dados compatíveis com o Arc utilizam a conectividade de rede do Kubernetes compatível com o Azure Arc para implementação e operações de serviço.

  • Reveja a disponibilidade das funcionalidades dos serviços de dados compatíveis com o Arc através dos requisitos de rede e modo de conectividade para serviços de dados compatíveis com o Azure Arc. Decida se o modo ligado diretamente ou o modo ligado indiretamente se alinha melhor com as políticas de segurança de rede da sua organização da rede no local ou de outros fornecedores de cloud.

  • O modo Ligado Diretamente requer uma ligação direta ao Azure e proporciona outros benefícios por natureza desta conectividade. Considere as compensações necessárias para ativar esta ligação direta com base nos requisitos de segurança e conformidade da sua organização.

  • Dependendo de onde o cluster do Kubernetes compatível com o Arc é executado, considere utilizar um tipo kubernetes LoadBalancer ou NodePort. Estes serviços expõem serviços de dados compatíveis com o Arc, como o Controlador de Dados e SQL Managed Instance. Um balanceador de carga mantém o mesmo número de porta em várias instâncias, enquanto a porta de nó requer números de porta diferentes para cada SQL Managed Instance compatível com o Arc.

  • Para o serviço SQL Managed Instance compatível com o Arc, considere implementar tipos de balanceador de carga de software, como o MetalLB em ambientes no local e balanceadores de carga internos em ambientes baseados na cloud. Os balanceadores de carga fornecem endereços IP consistentes e portas do SQL Server, como 1433 ou nós de porta personalizada e balanceamento de carga no cluster do Kubernetes. Os IPs de nós são alterados em clusters de dimensionamento automático. Não fornecem elevada disponibilidade quando os pods passam de um nó de trabalho do Kubernetes para outro. Por exemplo, durante a ativação pós-falha, atualizações e manutenção de clusters do Kubernetes, Controladores de Dados e SQL Managed Instance compatíveis com o Arc.

  • Considere utilizar portas TLS (Transport Layer Security), como 636 e 3269, em comparação com as portas 389 e 3268 não TLS com Active Directory Domain Services. As portas TLS mantêm as ligações seguras ao utilizar a autenticação do AD num SQL Managed Instance compatível com o Azure Arc.

  • Quando utilizar o Azure Key Vault para proteger os segredos do Kubernetes do SQL Managed Instance compatível com o Arc para autenticação do AD, considere utilizar o Azure Key Vault pontos finais privados para manter as ligações privadas. Veja Extensão do Fornecedor de Segredos do Azure Key Vault para saber como obter segredos para clusters do Kubernetes compatíveis com o Azure Arc e para obter mais detalhes sobre como utilizar o Azure Key Vault com clusters kubernetes compatíveis com o Arc.

  • Avalie pontos finais públicos versus privados ao utilizar o blob de arquivo da Conta de Armazenamento do Azure para manter os ficheiros de cópia de segurança da base de dados SQL Managed Instance compatíveis com o Arc para retenção de longo prazo.

Recomendações de conceção

  • Reveja as recomendações de design de rede do Kubernetes compatíveis com o Azure Arc, uma vez que a SQL Managed Instance implementada num cluster do Kubernetes compatível com o Arc existente.

  • Utilize o modo de conectividade direta em vez da implementação do modo de conectividade indireta dos seus serviços de dados compatíveis com o Arc e SQL Managed Instance compatíveis com o Arc para obter os benefícios de funcionalidades da implementação direta do modo ligado.

  • Selecione o tipo de serviço LoadBalancer do Kubernetes acima do tipo de serviço NodePort para serviços de dados compatíveis com o Arc, como controlador de dados, dashboards e SQL Managed Instance compatíveis com o Arc. O tipo LoadBalancer fornece resiliência em falhas de nós do Kubernetes, reinícios de nós e remoção de nós durante a atualização e manutenção de clusters do Kubernetes.

  • Utilize balanceadores de carga internos através de balanceadores de carga externos ao utilizar a infraestrutura de cloud pública para a implementação de serviços de dados compatíveis com o Arc. O balanceador de carga interno atribui endereços IP privados da rede virtual e mantém o tráfego da base de dados privado para a rede interna.

  • Para a implementação no local, utilize um balanceador de carga em contentor, como o MetalLB , para suportar o tipo de serviço do balanceador de carga. Um balanceador de carga em contentor simplifica as regras de firewall com a porta SQL 1433 padrão. É mais fácil memorizar versus utilizar portas aleatórias com o tipo de serviço NodePort . Certifique-se de que aloca um tamanho CIDR de sub-rede para suportar o número de Instâncias Geridas do SQL compatíveis com o Arc implementadas no cluster do Kubernetes compatível com o Azure Arc.

  • Ao utilizar a autenticação do AD para o seu SQL Managed Instance compatível com o Arc em modos de separador de chave geridas pelo sistema ou geridas pelo cliente, certifique-se de que automatiza o registo DNS para pontos finais de SQL Managed Instance compatíveis com o Arc. A automatização ajuda-o a detetar serviços com servidores DNS no local ou noutros servidores DNS na cloud. Também elimina a sobrecarga das operações e atualiza automaticamente os endereços IP quando estes mudam ou quando elimina uma instância de serviço.

  • Utilize regras de firewall para restringir o acesso de rede a pontos finais de SQL Managed Instance, controlador de dados e dashboards compatíveis com o Arc para impedir o acesso de origens não fidedignas. As regras de firewall reduzem a superfície de ataque do SQL Managed Instance compatível com o Arc e impedem a exfiltração de dados.

  • Quando utiliza pontos finais privados do Azure para Registo de Artefatos da Microsoft (também conhecidos como Microsoft Container Registry ou MCR), Key Vault do Azure, Log Analytics do Azure e contas de armazenamento, configure servidores DNS no local para reencaminhar consultas DNS para o reencaminhador DNS no Azure. Esta abordagem permite a deteção automática destes pontos finais privados através de nomes DNS e elimina a necessidade de utilizar entradas de anfitrião ou registo de entrada DNS em servidores DNS no local.

  • A autenticação do AD para SQL Managed Instance compatíveis com o Arc requer uma ligação ao Active Directory Domain Services. Configure a conectividade aos controladores de domínio em sites de recuperação primária e após desastre para elevada disponibilidade. Como muitas empresas implementam florestas de recuperação de sites em geografias, utilize o site mais próximo para reduzir a latência de rede para controladores de domínio. Veja a continuidade de negócio e a recuperação após desastre SQL Managed Instance compatível com o Arc para obter mais orientações.

Passos seguintes

Para obter mais informações sobre a sua cloud híbrida e o percurso de várias clouds, veja os seguintes artigos: