連線 連線模式和需求
本文說明適用於已啟用 Azure Arc 的數據服務的連線模式,以及其各自的需求。
連線模式
有多個選項可讓您從已啟用 Azure Arc 的數據服務環境連線到 Azure。 由於您的需求會根據商務原則、政府法規或 Azure 的網路連線可用性而有所不同,因此您可以從下列連線模式中選擇。
已啟用 Azure Arc 的數據服務可讓您選擇以兩種不同的 連線模式連線至 Azure:
- 直接連線
- 間接連線
線上模式可讓您彈性選擇傳送至 Azure 的數據量,以及使用者如何與 Arc 數據控制器互動。 視選擇的連線模式而定,已啟用 Azure Arc 的數據服務的某些功能可能無法或可能無法使用。
重要的是,如果已啟用 Azure Arc 的數據服務直接連線到 Azure,則使用者可以使用 Azure Resource Manager API、Azure CLI 和 Azure 入口網站 來操作 Azure Arc 數據服務。 直接連線模式的體驗,就像您將如何使用任何其他 Azure 服務搭配布建/取消布建、調整、設定等等,全都在 Azure 入口網站 中。 如果已啟用 Azure Arc 的數據服務間接連線到 Azure,則 Azure 入口網站 是唯讀檢視。 您可以看到您已部署的 SQL 受控實例和 PostgreSQL 伺服器清查及其詳細數據,但無法在 Azure 入口網站 中對其採取動作。 在間接連線模式中,所有動作都必須使用 Azure Data Studio、適當的 CLI 或 Kubernetes 原生工具,例如 kubectl 在本機採取。
此外,Microsoft Entra ID 和 Azure 角色型 存取控制 只能在直接連線模式中使用,因為與 Azure 的持續和直接連線相依性可提供此功能。
某些 Azure 連結的服務只有在可以直接連線到容器深入解析,以及備份至 Blob 記憶體時才能使用。
間接連接 | 直接連線 | 永不連線 | |
---|---|---|---|
說明 | 間接連線模式可在您的環境中提供大部分本機管理服務,且不會直接連線到 Azure。 只有清查和計費目的,必須將最少的數據量傳送至 Azure。 它會匯出至檔案,並每月至少上傳至 Azure 一次。 不需要直接或連續連線至 Azure。 某些需要連線至 Azure 的功能和服務將無法使用。 | 直接連線模式可在使用 Azure 建立直接連線時,提供所有可用的服務。 連線 一律會從您的環境起始至 Azure,並使用標準埠和通訊協定,例如 HTTPS/443。 | 任何方式都無法將數據傳送至 Azure 或從 Azure 傳送。 |
目前可用性 | 可用 | 可用 | 目前不支援。 |
一般使用案例 | 內部部署數據中心,因為商務或法規合規性政策或因外部攻擊或數據外泄而無法連線到數據中心的數據區,或因擔心外部攻擊或數據外泄而無法連線。 典型範例:金融機構、醫療保健、政府。 邊緣月臺位置,邊緣網站通常無法連線到因特網。 典型範例:石油/天然氣或軍事現場應用程式。 具有長時間中斷連線的邊緣月臺位置。 典型範例:體育場、游輪。 |
使用公用雲端的組織。 一般範例:Azure、AWS 或Google Cloud。 因特網連線通常存在且允許的邊緣月臺位置。 一般範例:零售商店、製造。 公司數據中心具有更寬鬆的原則,可連線至數據中心的數據區域,或從其數據中心的數據區域連線到因特網。 典型範例:非管制企業、中小企業 |
真正「空中擷取」的環境,在任何情況下都沒有任何數據可以來自或離開數據環境。 典型範例:最高機密政府設施。 |
如何將數據傳送至 Azure | 有三個選項可用來將帳單和清查數據傳送至 Azure: 1) 資料會由可連線到安全數據區域和 Azure 的自動化程式從數據區匯出。 2) 資料會由數據區域內的自動化程式匯出,自動複製到較不安全的區域,而較不安全區域中的自動化程式會將數據上傳至 Azure。 3) 數據是由安全區域內的使用者手動導出、手動從安全區域帶出,並手動上傳至 Azure。 前兩個選項是可排程經常執行的自動化連續程式,因此將數據傳輸到 Azure 的延遲最少,只會受限於 Azure 的可用連線能力。 |
數據會自動且持續傳送至 Azure。 | 數據永遠不會傳送至 Azure。 |
依連線模式提供功能
功能 | 間接連接 | 直接連線 |
---|---|---|
自動高可用性 | 支援 | 支援 |
自助式布建 | 支援 使用 Azure Data Studio、適當的 CLI 或 Kubernetes 原生工具,例如 Helm、 kubectl 或 ,或使用 oc 已啟用 Azure Arc 的 Kubernetes GitOps 布建。 |
支援 除了間接連線模式建立選項之外,您也可以透過 Azure 入口網站、Azure Resource Manager API、Azure CLI 或 ARM 範本來建立。 |
彈性延展性 | 支援 | 支援 |
Billing | 支援 計費數據會定期匯出並傳送至 Azure。 |
支援 計費數據會自動且持續傳送至 Azure,並近乎即時地反映。 |
庫存管理 | 支援 清查數據會定期匯出並傳送至 Azure。 使用 Azure Data Studio、Azure Data CLI 之類的用戶端工具,或在 kubectl 本機檢視和管理清查。 |
支援 清查數據會自動且持續傳送至 Azure,並近乎即時地反映。 因此,您可以直接從 Azure 入口網站 管理清查。 |
自動升級和修補 | 支援 數據控制者必須能夠直接存取 Microsoft Container Registry (MCR),或需要從 MCR 提取容器映像,並推送至數據控制者可存取的本機私人容器登錄。 |
支援 |
自動備份和還原 | 支援 自動本機備份和還原。 |
支援 除了自動本機備份和還原之外,您也可以 選擇性地 將備份傳送至 Azure Blob 記憶體,以取得長期、異地保留。 |
監視 | 支援 使用 Grafana 和 Kibana 儀錶板進行本機監視。 |
支援 除了本機監視儀錶板之外,您也可以 選擇性地 將監視數據和記錄傳送至 Azure 監視器,以在一個地方大規模監視多個月臺。 |
驗證 | 使用本機用戶名稱/密碼進行數據控制器和儀錶板驗證。 使用 SQL 和 Postgres 登入或 Active Directory(目前不支援 AD)來連線到資料庫實例。 使用 Kubernetes 驗證提供者向 Kubernetes API 進行驗證。 | 除了或取代間接連線模式的驗證方法之外,您可以選擇性地使用 Microsoft Entra ID。 |
角色型存取控制 (RBAC) | 在 Kubernetes API 上使用 Kubernetes RBAC。 針對資料庫實例使用 SQL 和 Postgres RBAC。 | 您可以使用 Microsoft Entra ID 和 Azure RBAC。 |
連線需求
某些功能需要連線至 Azure。
所有與 Azure 的通訊一律會從您的環境起始。 即使是使用者在 Azure 入口網站 中起始的作業也是如此。 在此情況下,有一項工作實際上會在 Azure 中排入佇列。 您環境中的代理程式會起始與 Azure 的通訊,以查看佇列中有哪些工作、執行工作,以及回報 Azure 的狀態/完成/失敗。
資料類型 | 方向 | 必要/選擇性 | 其他成本 | 需要模式 | 注意事項 |
---|---|---|---|---|---|
容器映像 | Microsoft Container Registry -> 客戶 | 必要 | No | 間接或直接 | 容器映像是散發軟體的方法。 在可以透過因特網連線到 Microsoft Container Registry (MCR) 的環境中,可以直接從 MCR 提取容器映像。 如果部署環境沒有直接連線能力,您可以從 MCR 提取映像,並將其推送至部署環境中的私人容器登錄。 在建立時,您可以設定建立程式以從私人容器登錄提取,而不是 MCR。 這也適用於自動更新。 |
資源清查 | 客戶環境 -> Azure | 必要 | No | 間接或直接 | 數據控制者、資料庫實例(PostgreSQL 和 SQL)的清查會保留在 Azure 中,以便計費,也為了在一個位置建立所有數據控制器和資料庫實例的清查,如果您在 Azure Arc 數據服務有多個環境時特別有用。 隨著實例的布建、取消布建、相應放大/縮小、相應增加/減少,清查會在 Azure 中更新。 |
計費遙測數據 | 客戶環境 -> Azure | 必要 | No | 間接或直接 | 必須針對計費目的,將資料庫實例的使用率傳送至 Azure。 |
監視數據和記錄 | 客戶環境 -> Azure | 選擇性 | 也許取決於資料量 (請參閱 Azure 監視器定價) | 間接或直接 | 您可能想要將本機收集的監視數據和記錄傳送至 Azure 監視器,以將多個環境的數據匯總到一個位置,並使用 Azure 監視器服務,例如警示、使用 Azure 機器學習 中的數據等。 |
Azure 角色型 存取控制 (Azure RBAC) | 客戶環境 -> Azure -> 客戶環境 | 選擇性 | No | 僅限直接 | 如果您想要使用 Azure RBAC,則必須隨時使用 Azure 建立連線能力。 如果您不想使用 Azure RBAC,則可以使用本機 Kubernetes RBAC。 |
Microsoft Entra ID (未來) | 客戶環境 -> Azure -> 客戶環境 | 選擇性 | 也許,但您可能已經支付 Microsoft Entra ID 的費用 | 僅限直接 | 如果您想要使用 Microsoft Entra ID 進行驗證,則必須隨時使用 Azure 建立連線能力。 如果您不想使用 Microsoft Entra ID 進行驗證,您可以在 Active Directory 上使用 Active Directory 同盟服務 (ADFS)。 直接連線模式中的擱置可用性 |
備份與還原 | 客戶環境 -> 客戶環境 | 必要 | No | 直接或間接 | 備份和還原服務可以設定為指向本機記憶體類別。 |
Azure 備份 - 長期保留 (未來) | 客戶環境 -> Azure | 選擇性 | 適用於 Azure 記憶體的 [是] | 僅限直接 | 您可能會想要將本機的備份傳送至 Azure 備份,以進行長期、異地保留備份,並將它們帶回本機環境以進行還原。 |
從 Azure 入口網站 布建和設定變更 | 客戶環境 -> Azure -> 客戶環境 | 選擇性 | No | 僅限直接 | 您可以使用 Azure Data Studio 或適當的 CLI 在本機完成佈建和設定變更。 在直接連線模式中,您也可以從 Azure 入口網站 布建和進行組態變更。 |
因特網位址、埠、加密和 Proxy 伺服器支援的詳細數據
服務 | 通訊埠 | URL | 方向 | 注意事項 |
---|---|---|---|---|
Helm 圖表(僅限直接連線模式) | 443 | arcdataservicesrow1.azurecr.io |
輸出 | 從 Azure Container Registry 提取 Azure Arc 數據控制器啟動載入器和叢集層級物件,例如自定義資源定義、叢集角色和叢集角色系結。 |
Azure 監視器 API * | 443 | *.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com |
輸出 | Azure Data Studio 和 Azure CLI 會連線到 Azure Resource Manager API,以針對某些功能來傳送和擷取 Azure 中的數據。 請參閱 Azure 監視器 API。 |
Azure Arc 數據處理服務 * | 443 | *.<region>.arcdataservices.com 2 |
輸出 |
1 需求取決於部署模式:
- 針對直接模式,Kubernetes 叢集上的控制器 Pod 必須具有端點的輸出連線能力,才能將記錄、計量、清查和計費資訊傳送至 Azure 監視器/數據處理服務。
- 針對間接模式,執行
az arcdata dc upload
的計算機必須具有 Azure 監視器和數據處理服務的輸出連線能力。
2 針對 2024 年 2 月 13 日和包含的擴充功能版本,請使用 san-af-<region>-prod.azurewebsites.net
。
Azure 監視器 API
從 Azure Data Studio 到 Kubernetes API 伺服器 連線 使用您已建立的 Kubernetes 驗證和加密。 每個使用 Azure Data Studio 或 CLI 的使用者都必須具有 Kubernetes API 的已驗證連線,才能執行與已啟用 Azure Arc 的數據服務相關的許多動作。
其他網路需求
此外,資源網橋需要 已啟用Arc的 Kubernetes 端點。