Režimy připojení a požadavky
Tento článek popisuje režimy připojení dostupné pro datové služby s podporou Azure Arc a jejich příslušné požadavky.
Režimy připojení
Existuje několik možností pro stupeň připojení z prostředí datových služeb s podporou Azure Arc do Azure. Vzhledem k tomu, že se vaše požadavky liší v závislosti na obchodních zásadách, nařízení státní správy nebo dostupnosti síťového připojení k Azure, můžete si vybrat z následujících režimů připojení.
Datové služby s podporou Azure Arc poskytují možnost připojení k Azure ve dvou různých režimech připojení:
- Přímo připojené
- Nepřímo propojené
Režim připojení poskytuje flexibilitu při výběru množství dat odesílaných do Azure a způsobu interakce uživatelů se kontrolerem dat Arc. V závislosti na zvoleném režimu připojení můžou nebo nemusí být některé funkce datových služeb s podporou Azure Arc dostupné.
Důležité je, že pokud jsou datové služby s podporou Azure Arc přímo připojené k Azure, můžou uživatelé používat rozhraní API Azure Resource Manageru, Azure CLI a Azure Portal k provozu datových služeb Azure Arc. Prostředí přímo připojeného režimu se podobá tomu, jak byste na webu Azure Portal používali jakoukoli jinou službu Azure se zřizováním a rušením zřizování, škálováním, konfigurací atd. Pokud jsou datové služby s podporou Azure Arc nepřímo připojené k Azure, pak je azure Portal zobrazením jen pro čtení. Můžete zobrazit inventář spravovaných instancí SQL a serverů PostgreSQL, které jste nasadili, a podrobnosti o nich, ale na webu Azure Portal na nich nemůžete provádět akce. V režimu nepřímo připojeného musí být všechny akce prováděné místně pomocí nástroje Azure Data Studio, příslušného rozhraní příkazového řádku nebo nativních nástrojů Kubernetes, jako je kubectl.
Microsoft Entra ID a Řízení přístupu na základě role v Azure se navíc dají používat jenom v režimu přímého připojení, protože k poskytování této funkce existuje závislost na nepřetržitém a přímém připojení k Azure.
Některé služby připojené k Azure jsou dostupné jenom v případě, že je můžete přímo dosáhnout, jako je Container Insights, a zálohování do úložiště objektů blob.
| Nepřímo propojené | Přímo připojené | Nikdy nepřipojené | |
|---|---|---|---|
| Popis | Nepřímo propojený režim nabízí většinu služeb pro správu místně ve vašem prostředí bez přímého připojení k Azure. Minimální množství dat se musí odesílat do Azure pouze pro účely inventáře a fakturace. Exportuje se do souboru a nahraje se do Azure alespoň jednou za měsíc. Nevyžaduje se přímé ani průběžné připojení k Azure. Některé funkce a služby, které vyžadují připojení k Azure, nebudou dostupné. | Přímo připojený režim nabízí všechny dostupné služby, když je možné přímé připojení navázat s Azure. Připojení se vždy inicialují z vašeho prostředí do Azure a používají standardní porty a protokoly, jako je HTTPS/443. | Do Azure ani z Azure se nedají žádným způsobem odesílat žádná data. |
| Aktuální dostupnost | dostupný | dostupný | Aktuálně se nepodporuje. |
| Typické případy použití | Místní datová centra, která nepovolují připojení v datovém centru nebo mimo oblast dat v důsledku obchodních nebo regulačních zásad dodržování předpisů nebo z obav z externích útoků nebo exfiltrace dat. Typické příklady: finanční instituce, zdravotní péče, vláda. Umístění hraničních lokalit, kde hraniční lokalita obvykle nemá připojení k internetu. Typické příklady: použití ropy/plynu nebo vojenského pole. Umístění hraničních lokalit, která mají přerušované připojení s dlouhými obdobími výpadků. Typické příklady: stadiony, výletní lodě. |
Organizace, které používají veřejné cloudy Typické příklady: Azure, AWS nebo Google Cloud. Umístění hraničních lokalit, kde je připojení k internetu obvykle k dispozici a povoleno. Typické příklady: maloobchodní prodejny, výroba. Podniková datacentra s dalšími zásadami pro připojení k datové oblasti datacentra a z internetu. Typické příklady: neregulované firmy, malé nebo střední podniky |
Skutečně "vzduchová mezera" prostředí, kde žádná data za žádných okolností mohou pocházet nebo jít z datového prostředí. Typické příklady: tajné vládní zařízení. |
| Jak se data odesílají do Azure | Existují tři možnosti, jak se data fakturace a inventáře dají odesílat do Azure: 1) Data se exportují z oblasti dat automatizovaným procesem, který má připojení k zabezpečené oblasti dat i Azure. 2) Data se exportují z oblasti dat automatizovaným procesem v rámci oblasti dat, automaticky se zkopírují do méně zabezpečené oblasti a automatizovaný proces v méně zabezpečené oblasti nahraje data do Azure. 3) Data ručně exportuje uživatel v rámci zabezpečené oblasti, ručně vynesená ze zabezpečené oblasti a ručně nahraje do Azure. První dvě možnosti jsou automatizovaný průběžný proces, který je možné naplánovat tak, aby se často spouštěl, takže přenos dat do Azure je minimální zpoždění, a to pouze na dostupné připojení k Azure. |
Data se automaticky a nepřetržitě odesílají do Azure. | Data se nikdy neodesílají do Azure. |
Dostupnost funkcí podle režimu připojení
| Funkce | Nepřímo propojené | Přímo připojené |
|---|---|---|
| Automatická vysoká dostupnost | Podporováno | Podporováno |
| Samoobslužné zřizování | Podporováno Použijte Azure Data Studio, příslušné rozhraní příkazového řádku nebo nativní nástroje Kubernetes, jako je Helm, kubectlnebo ocnebo použijte zřizování GitOps s podporou Azure Arc. |
Podporováno Kromě možností vytváření nepřímo připojeného režimu můžete vytvořit také prostřednictvím webu Azure Portal, rozhraní API Azure Resource Manageru, Azure CLI nebo šablon ARM. |
| Elastická škálovatelnost | Podporováno | Podporováno |
| Fakturace | Podporováno Fakturační data se pravidelně exportují a odesílají do Azure. |
Podporováno Fakturační data se automaticky a nepřetržitě odesílají do Azure a projeví se téměř v reálném čase. |
| Řízení zásob | Podporováno Data inventáře se pravidelně exportují a odesílají do Azure. K místnímu zobrazení a správě inventáře použijte klientské nástroje, jako je Azure Data Studio, Azure Data CLI nebo kubectl zobrazení a správa inventáře. |
Podporováno Data inventáře se automaticky a nepřetržitě odesílají do Azure a odráží se téměř v reálném čase. Proto můžete spravovat inventář přímo z webu Azure Portal. |
| Automatické upgrady a opravy | Podporováno Kontroler dat musí mít buď přímý přístup ke službě Microsoft Container Registry (MCR), nebo image kontejnerů je potřeba načíst z MCR a odeslat je do místního privátního registru kontejneru, ke kterému má kontroler dat přístup. |
Podporováno |
| Automatické zálohování a obnovení | Podporováno Automatické místní zálohování a obnovení. |
Podporováno Kromě automatizovaného místního zálohování a obnovení můžete volitelně odesílat zálohy do úložiště objektů blob v Azure za účelem dlouhodobého uchovávání mimo lokalitu. |
| Monitorování | Podporováno Místní monitorování pomocí řídicích panelů Grafana a Kibany |
Podporováno Kromě místních řídicích panelů monitorování můžete volitelně odesílat data monitorování a protokoly do služby Azure Monitor pro monitorování více lokalit na jednom místě. |
| Authentication | Pro ověřování kontroleru dat a řídicího panelu použijte místní uživatelské jméno a heslo. Pro připojení k instancím databáze používejte přihlášení SQL a Postgres nebo Active Directory (AD se v současné době nepodporuje). Pro ověřování v rozhraní API Kubernetes použijte zprostředkovatele ověřování Kubernetes. | Kromě metod ověřování pro nepřímo připojený režim můžete volitelně použít ID Microsoft Entra. |
| Řízení přístupu na základě role (RBAC) | Použijte Kubernetes RBAC v rozhraní Kubernetes API. Pro instance databáze používejte SQL a Postgres RBAC. | Můžete použít Microsoft Entra ID a Azure RBAC. |
Požadavky na připojení
Některé funkce vyžadují připojení k Azure.
Veškerá komunikace s Azure je vždy inicializována z vašeho prostředí. To platí i pro operace iniciované uživatelem na webu Azure Portal. V takovém případě existuje skutečně úloha, která se zařadí do fronty v Azure. Agent ve vašem prostředí zahájí komunikaci s Azure, aby viděl, jaké úlohy jsou ve frontě, spouští úlohy a hlásí zpět stav/dokončení/selhání Azure.
| Typ dat | Směr | Povinné nebo volitelné | Další náklady | Požadovaný režim | Poznámky |
|---|---|---|---|---|---|
| Image kontejnerů | Microsoft Container Registry –> zákazník | Požaduje se | No | Nepřímé nebo přímé | Image kontejnerů jsou metodou distribuce softwaru. V prostředí, které se může připojit ke službě Microsoft Container Registry (MCR) přes internet, je možné image kontejnerů načíst přímo z MCR. Pokud prostředí nasazení nemá přímé připojení, můžete vyžádat image z MCR a odeslat je do privátního registru kontejneru v prostředí nasazení. Při vytváření můžete proces vytváření nakonfigurovat tak, aby místo MCR načítá z privátního registru kontejneru. Týká se to také automatizovaných aktualizací. |
| Inventář prostředků | Zákaznické prostředí –> Azure | Požaduje se | No | Nepřímé nebo přímé | Inventář kontrolerů dat, instancí databáze (PostgreSQL a SQL) se uchovává v Azure pro účely fakturace a také pro účely vytvoření inventáře všech kontrolerů dat a instancí databáze na jednom místě, což je zvlášť užitečné, pokud máte více než jedno prostředí s datovými službami Azure Arc. Vzhledem k tomu, že jsou instance zřízené, zrušené, škálované nebo horizontální navýšení kapacity, vertikální navýšení/snížení kapacity inventáře se aktualizuje v Azure. |
| Telemetrická data fakturace | Zákaznické prostředí –> Azure | Požaduje se | No | Nepřímé nebo přímé | Využití databázových instancí musí být odesláno do Azure pro účely fakturace. |
| Monitorování dat a protokolů | Zákaznické prostředí –> Azure | Volitelné | Možná v závislosti na objemu dat (viz ceny služby Azure Monitor) | Nepřímé nebo přímé | Možná budete chtít místně shromážděná data monitorování a protokoly odeslat do služby Azure Monitor, abyste mohli agregovat data napříč několika prostředími na jednom místě a také používat služby Azure Monitor, jako jsou upozornění, používání dat ve službě Azure Machine Learning atd. |
| Řízení přístupu na základě role v Azure (Azure RBAC) | Prostředí zákazníka –> Azure –> Prostředí zákazníka | Volitelné | No | Pouze přímé | Pokud chcete použít Azure RBAC, musí být připojení navázané s Azure za všech okolností. Pokud nechcete používat Azure RBAC, můžete použít místní Kubernetes RBAC. |
| Microsoft Entra ID (budoucnost) | Prostředí zákazníka –> Azure –> Prostředí zákazníka | Volitelné | Možná, ale možná už platíte za Microsoft Entra ID. | Pouze přímé | Pokud chcete k ověřování použít ID Microsoft Entra, musí být připojení navázané s Azure za všech okolností. Pokud pro ověřování nechcete používat ID Microsoft Entra, můžete použít Active Directory Federation Services (AD FS) (ADFS) přes Active Directory. Čekající dostupnost v režimu přímého připojení |
| Zálohování a obnovení | Prostředí zákazníka –> Prostředí zákazníka | Požaduje se | No | Přímé nebo nepřímé | Službu zálohování a obnovení je možné nakonfigurovat tak, aby odkazovala na místní třídy úložiště. |
| Azure Backup – dlouhodobé uchovávání (budoucnost) | Zákaznické prostředí –> Azure | Volitelné | Ano pro úložiště Azure | Pouze přímé | Možná budete chtít odesílat zálohy, které se posílají místně do služby Azure Backup za účelem dlouhodobého uchovávání záloh mimo lokalitu, a přenést je zpět do místního prostředí pro obnovení. |
| Změny zřizování a konfigurace na webu Azure Portal | Prostředí zákazníka –> Azure –> Prostředí zákazníka | Volitelné | No | Pouze přímé | Změny zřizování a konfigurace je možné provádět místně pomocí nástroje Azure Data Studio nebo příslušného rozhraní příkazového řádku. V režimu přímého připojení můžete také zřídit a provádět změny konfigurace z webu Azure Portal. |
Podrobnosti o internetových adresách, portech, šifrování a podpoře proxy serveru
| Služba | Port | Adresa URL | Směr | Poznámky |
|---|---|---|---|---|
| Chart Helm (pouze přímý připojený režim) | 443 | arcdataservicesrow1.azurecr.io |
Odchozí | Zřídí bootstrapper kontroleru dat Azure Arc a objekty na úrovni clusteru, jako jsou vlastní definice prostředků, role clusteru a vazby rolí clusteru, se načítá ze služby Azure Container Registry. |
| Rozhraní API služby Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Odchozí | Azure Data Studio a Azure CLI se připojují k rozhraním API Azure Resource Manageru pro odesílání a načítání dat do a z Azure pro některé funkce. Viz rozhraní API služby Azure Monitor. |
| Služba zpracování dat Azure Arc 1 | 443 | *.<region>.arcdataservices.com 2 |
Odchozí |
1 Požadavek závisí na režimu nasazení:
- V případě přímého režimu musí pod kontroleru v clusteru Kubernetes mít odchozí připojení ke koncovým bodům, aby mohl odesílat protokoly, metriky, inventář a fakturační údaje do služby Azure Monitor/Zpracování dat.
- V případě nepřímého režimu musí mít počítač, na kterém běží
az arcdata dc upload, odchozí připojení ke službě Azure Monitor a zpracování dat.
2 Pro verze rozšíření až do 13. února 2024 použijte san-af-<region>-prod.azurewebsites.net.
Rozhraní API služby Azure Monitor
Připojení ze sady Azure Data Studio k serveru rozhraní API Kubernetes používá ověřování a šifrování Kubernetes, které jste vytvořili. Každý uživatel, který používá Azure Data Studio nebo rozhraní příkazového řádku, musí mít ověřené připojení k rozhraní API Kubernetes, aby mohl provádět řadu akcí souvisejících s datovými službami s podporou Azure Arc.
Další požadavky na síť
Most prostředků navíc vyžaduje koncové body Kubernetes s podporou Arc.