次の方法で共有


接続モードと要件

この記事では、Azure Arc 対応データ サービスで使用できる接続モードと、それぞれの要件について説明します。

接続モード

Azure Arc 対応データ サービス環境から Azure への接続の程度には、複数のオプションがあります。 ビジネス ポリシー、政府の規制、または Azure へのネットワーク接続の可用性によって要件が異なりますが、次の接続モードから選択できます。

Azure Arc 対応データ サービスでは、2 つの異なる接続モードで Azure に接続するためのオプションが提供されます。

  • 直接接続
  • 間接接続

この接続モードにより、Azure に送信されるデータの量や、ユーザーが Arc Data Controller とやり取りする方式を柔軟に選択できます。 選択した接続モードによっては、Azure Arc 対応データ サービスの一部の機能を利用することができる場合またはできない場合があります。

重要な点として、Azure Arc 対応データ サービスが Azure に直接接続される場合、ユーザーは Azure Resource Manager API、Azure CLI、および Azure portal を使用して Azure Arc データ サービスを操作できます。 直接接続モードのエクスペリエンスは、プロビジョニング/プロビジョニング解除、スケーリング、構成など、すべて Azure portal 内で他の Azure サービスを使用する方法とほぼ同じです。 Azure Arc 対応データ サービスが Azure に間接的に接続される場合、Azure portal は読み取り専用ビューです。 デプロイした SQL マネージド インスタンスや PostgreSQL サーバーのインベントリとそれらの詳細を表示することができますが、Azure portal 内でそれらに対してアクションを実行することはできません。 間接接続モードでは、すべてのアクションは、Azure Data Studio、適切な CLI、または kubectl などの Kubernetes ネイティブ ツールを使用してローカルで実行する必要があります。

また、Microsoft Entra ID と Azure ロールベースのアクセス制御は、直接接続モードでのみ使用することができます。これは、Azure への継続的な直接接続に依存してこの機能が提供されるためです。

Container Insights、BLOB ストレージへのバックアップなど一部の Azure 接続型サービスは、これらに直接到達できる場合にのみ利用可能です。

間接接続 直接接続 非接続
説明 間接接続モードでは、ほとんどの管理サービスは環境内でローカルに提供され、Azure に直接接続することはありません。 インベントリと請求の目的に限って、最小限のデータを Azure に送信する必要があります。 ファイルにエクスポートされて、少なくとも月に 1 回 Azure にアップロードされます。 Azure への直接または継続的な接続は必要ありません。 Azure への接続を必要とする一部の機能とサービスは使用することができません。 直接接続モードでは、Azure との直接接続が確立できるときに利用可能なすべてのサービスが提供されます。 接続は常に、ご利用の環境から Azure への方向で開始され、HTTPS/443 などの標準のポートとプロトコルを使用します。 どのような方法でも、Azure との間でデータを送受信することはできません。
現在の可用性 使用可能 使用可能 現在サポートされていません。
一般的なユース ケース ビジネスまたは法令順守のポリシーにより、または外部からの攻撃やデータ流出の懸念により、データ センターのデータ領域との間で接続が許可されないオンプレミスのデータセンター。 一般的な例: 金融機関、医療、政府。

エッジ サイトから通常はインターネットに接続できないエッジ サイトの場所。 一般的な例: 石油/ガスまたは軍事分野のアプリケーション。

接続が断続的で、長期間の停止があるエッジ サイトの場所。 一般的な例: スタジアム、クルーズ船。
パブリック クラウドを使用している組織。 一般的な例: Azure、AWS、または Google Cloud。

通常はインターネット接続が存在し、許可されるエッジ サイトの場所。 一般的な例: 小売店、製造業。

データ センターのデータ領域とインターネットの間の接続に関して、比較的制限が緩いポリシーを持つ企業のデータ センター。 一般的な例: 規制のない業種、中小企業
どのような状況でも一切のデータがデータ環境を出入りできない、真の "エアギャップ" 環境。 一般的な例: 最高機密の政府機関。
Azure にデータが送信されるしくみ 請求およびインベントリ データを Azure に送信する方法には、次の 3 つのオプションがあります。

1) セキュリティで保護されたデータ領域と Azure の両方に接続できる自動プロセスによって、データ領域からデータがエクスポートされます。

2) データ領域内の自動プロセスによってデータ領域からデータがエクスポートされ、セキュリティが低い方の領域に自動的にコピーされ、セキュリティが低い方の領域内の自動プロセスによってデータが Azure にアップロードされます。

3) セキュリティで保護された領域内のユーザーによってデータが手動でエクスポートされ、セキュリティで保護された領域から手動で持ち出されて、Azure に手動でアップロードされます。

最初の 2 つのオプションは、頻繁な実行をスケジュールすることができる自動化された継続的プロセスであるため、Azure への接続が利用可能であれば、最小限の遅延で Azure にデータが送信されます。
データは自動的かつ継続的に Azure に送信されます。 データが Azure に送信されることはありません。

接続モード別の機能の可用性

機能 間接接続 直接接続
自動高可用性 サポートされています サポートされています
セルフサービス プロビジョニング サポートされています
Azure Data Studio、適切な CLI、Kubernetes ネイティブ ツール (Helm、kubectloc など)、または Azure Arc 対応の Kubernetes GitOps プロビジョニングを使用します。
サポートされています
間接接続モードの作成オプションに加えて、Azure portal、Azure Resource Manager API、Azure CLI、または ARM テンプレートを使用して作成することもできます。
柔軟なスケーラビリティ サポートされています サポートされています
Billing サポートされています
請求データは定期的にエクスポートされ、Azure に送信されます。
サポートされています
請求データは自動的かつ継続的に Azure に送信され、ほぼリアルタイムで反映されます。
在庫管理 サポートされています
インベントリ データは定期的にエクスポートされ、Azure に送信されます。

Azure Data Studio、Azure Data CLI、 kubectl などのクライアント ツールを使用して、インベントリをローカルで表示および管理します。
サポートされています
インベントリ データは自動的かつ継続的に Azure に送信され、ほぼリアルタイムで反映されます。 そのため、Azure portal から直接インベントリを管理できます。
自動アップグレードとパッチ適用 サポートされています
データ コントローラーから Microsoft Container Registry (MCR) に直接アクセスできる必要があります。または、コンテナー イメージを MCR からプルして、データ コントローラーからアクセスできるローカルのプライベート コンテナー レジストリにプッシュする必要があります。
サポートされています
自動バックアップと復元 サポートされています
自動ローカル バックアップと復元。
サポートされています
自動化されたローカルバックアップと復元に加えて、"必要に応じて"、長期間のオフサイト保持のためにバックアップを Azure Blob Storage に送信することができます。
Monitoring サポートされています
Grafana と Kibana のダッシュボードを使用したローカル監視。
サポートされています
ローカルの監視ダッシュボードに加えて、必要に応じて、複数のサイトを 1 か所でまとめて監視するために、監視データとログを Azure Monitor に送信することができます。
認証 データ コントローラーとダッシュボードの認証には、ローカルのユーザー名/パスワードを使用します。 データベース インスタンスへの接続には、SQL と Postgres ログインまたは Active Directory (AD は現時点ではサポートされていません) を使用します。 Kubernetes API への認証には Kubernetes 認証プロバイダーを使用します。 間接接続モードの認証方法に加えて、またはその代わりに、"必要に応じて" Microsoft Entra ID を使用できます。
ロールベースのアクセス制御 (RBAC) Kubernetes API では Kubernetes RBAC を使用します。 データベース インスタンスには SQL および Postgres RBAC を使用します。 Microsoft Entra ID と Azure RBAC を使用できます。

接続の要件

一部の機能では Azure への接続が必要です。

Azure とのすべての通信は常に、ご利用の環境から開始されます。 これは、Azure portal 内でユーザーが開始する操作にも当てはまります。 その場合、Azure のキューに入れられるタスクが実質的に存在します。 環境内のエージェントによって、キュー内のタスクを確認するために Azure との通信が開始され、タスクが実行されて、ステータス/完了/失敗が Azure に報告されます。

データの種類 方向 必須/省略可能 追加コスト 必要なモード メモ
コンテナー イメージ Microsoft Container Registry -> お客様 必須 いいえ 間接または直接 コンテナー イメージは、ソフトウェアを配布するための方法です。 インターネット経由で Microsoft Container Registry (MCR) に接続できる環境では、コンテナー イメージを MCR から直接プルできます。 デプロイ環境から直接接続することができない場合、MCR からイメージをプルして、デプロイ環境内のプライベート コンテナー レジストリにそれらをプッシュすることができます。 作成時に、MCR の代わりにプライベート コンテナー レジストリからプルするように作成プロセスを構成できます。 これは自動更新にも適用されます。
リソース インベントリ お客様の環境 -> Azure 必須 いいえ 間接または直接 データ コントローラー、データベース インスタンス (PostgreSQL および SQL) のインベントリは、請求目的で、またすべてのデータ コントローラーとデータベース インスタンスのインベントリを 1 か所に作成する目的で Azure に保持されます。後者は、Azure Arc データ サービスを使用する複数の環境がある場合に特に役立ちます。 インスタンスがプロビジョニング、プロビジョニング解除、スケールアウト/イン、スケールアップ/ダウンされると、Azure でインベントリが更新されます。
請求テレメトリ データ お客様の環境 -> Azure 必須 いいえ 間接または直接 請求のために、データベース インスタンスの使用率を Azure に送信する必要があります。
監視データとログ お客様の環境 -> Azure オプション データ量によって異なる場合があります (「Azure Monitor の価格」を参照) 間接または直接 複数の環境にわたるデータを 1 か所に集約するために、ローカルで収集された監視データとログを Azure Monitor に送信することができます。また、Azure Machine Learning 内のデータを使用して、アラートなどの Azure Monitor サービスを使用することもできます。
Azure ロールベースのアクセス制御 (Azure RBAC) お客様の環境 -> Azure -> お客様の環境 オプション いいえ 直接のみ Azure RBAC を使用する場合は、常に Azure との接続が確立されている必要があります。 Azure RBAC を使用しない場合は、ローカルの Kubernetes RBAC を使用することができます。
Microsoft Entra ID (予定) お客様の環境 -> Azure -> お客様の環境 省略可能 場合によっては、Microsoft Entra ID に対する支払いが既に発生している場合があります 直接のみ 認証に Microsoft Entra ID を使う場合は、Azure との接続が常に確立されている必要があります。 認証に Microsoft Entra ID を使わない場合は、Active Directory を介して Active Directory フェデレーション サービス (AD FS) を使用できます。 直接接続モードの保留中の可用性
バックアップと復元 お客様の環境 -> お客様の環境 必須 いいえ 直接または間接 バックアップと復元サービスは、ローカル ストレージ クラスをポイントするように構成できます。
Azure Backup - 長期保有期間 (将来) お客様の環境 -> Azure オプション はい (Azure Storage の場合) 直接のみ バックアップを長期間オフサイトで保持するために、ローカルで取得したバックアップを Azure Backup に送信し、復元のためにローカル環境に戻すことができます。
Azure portal からのプロビジョニングと構成の変更 お客様の環境 -> Azure -> お客様の環境 オプション いいえ 直接のみ プロビジョニングと構成の変更は、Azure Data Studio または適切な CLI を使用してローカルで行うことができます。 直接接続モードでは、Azure portal からプロビジョニングと構成変更を行うこともできます。

インターネット アドレス、ポート、暗号化、プロキシ サーバー サポートの詳細

サービス [ポート] URL 方向 メモ
Helm chart (直接接続モードのみ) 443 arcdataservicesrow1.azurecr.io 送信 Azure Arc データ コントローラーのブートストラッパーとクラスター レベルのオブジェクト (カスタム リソース定義、クラスター ロール、クラスター ロール バインディングなど) をプロビジョニングし、Azure Container Registry からプルされます。
Azure monitor API 1 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
送信 一部の機能では、Azure との間でデータを送受信するために、Azure Data Studio および Azure CLI が Azure Resource Manager API に接続します。 「Azure Monitor API」をご覧ください。
Azure Arc データ処理サービス 1 443 *.<region>.arcdataservices.com 2 発信

1 要件は、デプロイ モードによって異なります。

  • 直接モードの場合、Kubernetes クラスター上のコントローラー ポッドには、ログ、メトリック、インベントリ、課金情報を Azure Monitor とデータ処理サービスに送信するために、エンドポイントへのアウトバウンド接続が必要です。
  • 間接モードの場合、az arcdata dc upload を実行するマシンには、Azure Monitor とデータ処理サービスへのアウトバウンド接続が必要です。

2 2024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net を使用してください。

Azure Monitor API

Azure Data Studio から Kubernetes API サーバーへの接続には、確立した Kubernetes 認証および暗号化が使用されます。 Azure Data Studio または CLI を使用している各ユーザーは、Azure Arc 対応データ サービスに関連した多くのアクションを実行するために、Kubernetes API への認証された接続を持っている必要があります。

追加のネットワーク要件

さらに、リソース ブリッジには、Arc 対応 Kubernetes エンドポイントが必要です。