Режимы подключения и требования
В этой статье описываются режимы подключения, доступные для служб данных с поддержкой Azure Arc, и их соответствующие требования.
Режимы подключения
Существуют различные варианты подключения из среды служб данных с поддержкой Azure Arc к среде Azure. С учетом конкретных требований, которые зависят от бизнес-политики, законодательства и доступности сетевого подключения к Azure, можно выбрать один из перечисленных ниже режимов подключения.
Службы данных с поддержкой Azure Arc предоставляют возможность подключения к Azure в двух разных режимах подключения:
- Прямое соединение
- Косвенное соединение
Режим подключения позволяет гибко выбирать объемы данных, отправляемые в Azure, и способ взаимодействия пользователей с контроллером данных Arc. В зависимости от выбранного режима подключения некоторые функции служб данных с поддержкой Azure Arc могут быть недоступны.
Если службы данных с поддержкой Azure Arc напрямую подключены к Azure, пользователи могут работать с ними через API Azure Resource Manager, Azure CLI и портал Azure. Интерфейс непосредственно подключенного режима очень похож на использование любой другой службы Azure с подготовкой или отменой подготовки, масштабирования, настройки и т. д. в портал Azure. Если службы данных с поддержкой Azure Arc подключены к Azure в режиме косвенного соединения, на портале Azure они доступны только для чтения. Вы можете просмотреть инвентаризацию управляемых экземпляров SQL и развернутых серверов PostgreSQL и подробных сведений о них, но вы не можете принять меры на них в портал Azure. В режиме косвенного соединения все действия должны выполняться локально с помощью Azure Data Studio, соответствующего CLI или собственных инструментов Kubernetes, таких как kubectl.
Кроме того, идентификатор Microsoft Entra и контроль доступа на основе ролей Azure можно использовать только в режиме прямого подключения, так как существует зависимость от непрерывного и прямого подключения к Azure для предоставления этой функции.
Некоторые службы, подключенные к Azure, доступны только в том случае, если они могут быть напрямую доступны, например Container Insights, и резервное копирование в хранилище BLOB-объектов.
| Косвенное соединение | Прямое соединение | Без подключения | |
|---|---|---|---|
| Description | В режиме косвенного соединения большинство служб управления становятся доступны в вашей среде локально без прямого подключения к Azure. В Azure отправляется минимальный объем данных только в целях учета и выставления счетов. Он экспортируется в файл и отправляется в Azure по крайней мере один раз в месяц. Прямое или постоянное соединение с Azure не требуется. Некоторые функции и службы, требующие подключения к Azure, не будут доступны. | В режиме прямого соединения предлагаются все доступные службы при наличии прямого соединения с Azure. Подключения всегда инициируются из вашей среды в Azure по стандартным портам и протоколам, таким как HTTPS/443. | При этом обмен никакими данными с Azure не происходит. |
| Текущая доступность | Доступно | Доступно | Не поддерживается в текущей версии. |
| Типичные варианты использования | Локальные центры обработки данных, в которых исходящие и входящие соединения с областью данных центра запрещены в соответствии с бизнес-политиками или нормативными требованиями либо из соображений защиты от внешних атак и кражи данных. Типичные примеры: финансовые учреждения, здравоохранение, государственные учреждения. Периферийные расположения, откуда нет подключения к Интернету. Типичные примеры: нефтегазовые или военные объекты. Периферийные расположения с периодическим отключением от Интернета на длительное время. Типичные примеры: стадионы, круизные лайнеры. |
Организации, использующие общедоступные облачные среды. Типичные примеры: Azure, AWS и Google Cloud. Периферийные расположения с подключением к Интернету, которое обычно доступно и разрешено. Типичные примеры: розничные магазины, производство. Корпоративные центры обработки данных с менее строгими политиками в отношении соединения с Интернетом для своей области данных. Типичные примеры: нерегулируемые предприятия, малые и средние предприятия |
Полностью изолированные среды, где абсолютно исключен какой-либо обмен данными с внешней средой. Типичные примеры: сверхсекретные государственные учреждения. |
| Как данные отправляются в Azure | Данные инвентаризации и сведения для выставления счетов могут отправляться в Azure тремя способами. 1) Данные экспортируются из области данных с помощью автоматизированного процесса с подключением как к защищенной области данных, так и к Azure. 2) Данные экспортируются из области данных с помощью автоматизированного процесса в пределах этой области, автоматически копируются в менее безопасный регион, а затем автоматизированный процесс в этом регионе передает данные в Azure. 3) Данные вручную экспортируются пользователем в безопасном регионе, вручную выгружаются из него и вручную передаются в Azure. Первые два варианта — это автоматизированный непрерывный процесс, который может выполняться часто, чтобы при передаче данных в Azure была минимальная задержка при передаче данных только в доступную связь с Azure. |
Данные автоматически и постоянно отправляются в Azure. | Данные никогда не отправляются в Azure. |
Доступность функций в разных режимах подключения
| Компонент | Косвенное соединение | Прямое соединение |
|---|---|---|
| Автоматический режим высокой доступности | Поддерживается | Поддерживается |
| Самостоятельная подготовка | Поддерживается Используйте Azure Data Studio, соответствующий интерфейс командной строки или собственные средства Kubernetes, такие как Helm, kubectlили ocиспользуйте подготовку Kubernetes GitOps с поддержкой Azure Arc. |
Поддерживается Помимо возможностей для создания в режиме косвенного соединения, также можно использовать портал Azure, API Azure Resource Manager, Azure CLI и шаблоны ARM. |
| Эластичная масштабируемость | Поддерживается | Поддерживается |
| Выставление счетов | Поддерживается Данные для выставления счетов периодически экспортируются и отправляются в Azure. |
Поддерживается Данные для выставления счетов автоматически и постоянно отправляются в Azure, и изменения отражаются практически в режиме реального времени. |
| Управление запасами | Поддерживается Данные инвентаризации периодически экспортируются и отправляются в Azure. Для просмотра и управления инвентаризацией локально используйте клиентские средства, такие как Azure Data Studio, Azure Data CLI и kubectl. |
Поддерживается Данные инвентаризации автоматически и постоянно отправляются в Azure, и изменения отражаются практически в режиме реального времени. Таким образом, инвентаризацией можно управлять непосредственно с портала Azure. |
| Автоматическое обновление и установка исправлений | Поддерживается У контроллера данных должен быть прямой доступ к Microsoft Container Registry (MCR), или образы контейнеров должны извлекаться из MCR и отправляться в локальный частный реестр контейнеров, к которому есть доступ у контроллера. |
Поддерживается |
| Автоматическое резервное копирование и восстановление | Поддерживается Автоматическое локальное резервное копирование и восстановление. |
Поддерживается Помимо автоматического локального резервного копирования и восстановления, вы можете при необходимости отправлять резервные копии в хранилище BLOB-объектов Azure для долгосрочного хранения вне сайта. |
| Мониторинг | Поддерживается Локальный мониторинг с помощью панелей мониторинга Grafana и Kibana. |
Поддерживается Помимо локальных панелей мониторинга, при необходимости также можно отправлять данные мониторинга и журналы в Azure Monitor для централизованного мониторинга сразу нескольких объектов. |
| Аутентификация | Используйте локальные имя пользователя и пароль для проверки подлинности контроллера данных и панели мониторинга. Используйте имена входа SQL и Postgres или Active Directory (AD сейчас не поддерживается) для подключения к экземплярам базы данных. Используйте поставщики проверки подлинности Kubernetes для проверки подлинности в API Kubernetes. | Помимо методов проверки подлинности для косвенно подключенного режима можно использовать идентификатор Microsoft Entra. |
| управление доступом на основе ролей (RBAC); | Используйте управление доступом на основе ролей Kubernetes в API Kubernetes. Используйте управление доступом на основе ролей SQL и Postgres для экземпляров базы данных. | Вы можете использовать идентификатор Microsoft Entra и Azure RBAC. |
Требования к подключению
Для некоторых функций требуется подключение к Azure.
Любой обмен данными с Azure всегда инициируется из вашей среды. Это верно даже для операций, инициируемых пользователем в портал Azure. В этом случае фактически создается задача, которая добавляется в очередь в Azure. Агент в вашей среде инициирует обмен данными с Azure, чтобы узнать, какие задачи находятся в очереди, выполняет их и сообщает о состоянии, завершении или сбое в Azure.
| Тип данных | Направление | Обязательный или необязательный | Дополнительные затраты | Требуемый режим | Примечания |
|---|---|---|---|---|---|
| Образы контейнеров | Реестр контейнеров Майкрософт —> клиент | Обязательное поле | No | Косвенный или прямой | Образы контейнеров — это метод распространения программного обеспечения. В среде, которая может подключаться к реестру контейнеров Microsoft Container Registry (MCR) через Интернет, образы контейнеров можно извлекать непосредственно из MCR. Если в среде развертывания нет прямого подключения, вы можете извлечь образы из MCR и отправить их в частный реестр контейнеров в среде развертывания. На этапе создания процесс создания можно настроить для извлечения контейнеров из закрытого реестра вместо MCR. Это также относится к автоматическим обновлениям. |
| Инвентаризация ресурсов | Среда клиента —> Azure | Обязательное поле | No | Косвенный или прямой | Данные инвентаризации контроллеров данных и экземпляров баз данных (PostgreSQL и SQL) хранятся в Azure в целях выставления счетов, а также для формирования централизованного реестра всех контроллеров данных и экземпляров баз, что особенно полезно, если имеется несколько сред со службами данных Arc Azure. При подготовке экземпляров, отмене их подготовки, горизонтальном и вертикальном изменении масштаба данные инвентаризации в Azure обновляются. |
| Данные телеметрии для выставления счетов | Среда клиента —> Azure | Обязательное поле | No | Косвенный или прямой | Данные об использовании экземпляров баз данных должны отправляться в Azure в целях выставления счетов. |
| Данные мониторинга и журналов | Среда клиента —> Azure | Необязательно | Возможны в зависимости от объема данных (см. цены на Azure Monitor). | Косвенный или прямой | Может потребоваться отправить локально собранные данные мониторинга и журналы в Azure Monitor для агрегирования данных в нескольких средах в одном месте, а также использовать службы Azure Monitor, такие как оповещения, используя данные в Машинное обучение Azure и т. д. |
| Управление доступом на основе ролей в Azure (Azure RBAC) | Среда клиента — Azure —>> среда клиента | Необязательно | No | Только прямой | Если вы хотите использовать управление доступом на основе ролей Azure, необходимо постоянное соединение с Azure. Если вы не хотите использовать Azure RBAC, можно использовать локальный RBAC Kubernetes. |
| Идентификатор Microsoft Entra (будущее) | Среда клиента — Azure —>> среда клиента | Необязательно | Может быть, но вы уже платите за идентификатор Microsoft Entra | Только прямой | Если вы хотите использовать идентификатор Microsoft Entra для проверки подлинности, необходимо установить подключение с Azure в любое время. Если вы не хотите использовать идентификатор Microsoft Entra для проверки подлинности, вы можете использовать службы федерации Active Directory (AD FS) (ADFS) через Active Directory. Поддержка в режиме прямого соединения скоро будет реализована. |
| Резервное копирование и восстановление | Среда клиента —> среда клиента | Обязательное поле | No | Прямой или косвенный | Службу резервного копирования и восстановления можно настроить для использования классов локального хранилища. |
| Резервное копирование Azure — долгосрочное хранение (будущее) | Среда клиента —> Azure | Необязательно | Да, для службы хранилища Azure | Только прямой | Может потребоваться отправить резервные копии, которые выполняются локально в Azure Backup для долгосрочного хранения резервных копий вне сайта и вернуть их в локальную среду для восстановления. |
| Подготовка и изменение конфигурации с портала Azure | Среда клиента — Azure —>> среда клиента | Необязательно | No | Только прямой | Подготовку и изменение конфигурации можно выполнять локально с помощью Azure Data Studio или соответствующего CLI. В режиме непосредственного подключения можно также подготовить и внести изменения конфигурации из портал Azure. |
Сведения об адресах Интернета, портах, шифровании и поддержке прокси-сервера
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| Диаграмма Helm (только для прямого подключенного режима) | 443 | arcdataservicesrow1.azurecr.io |
Исходящие | Подготавливает загрузчик контроллера данных Azure Arc и объекты уровня кластера, такие как пользовательские определения ресурсов, роли кластера и привязки ролей кластера, извлекается из Реестр контейнеров Azure. |
| API Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Исходящие | Azure Data Studio, и Azure CLI подключаются к API-интерфейсам Azure Resource Manager для обмена данными с Azure для некоторых функций. См . API Azure Monitor. |
| Служба обработки данных Azure Arc 1 | 443 | *.<region>.arcdataservices.com 2 |
Исходящие |
1 Требование зависит от режима развертывания:
- Для прямого режима модуль pod контроллера в кластере Kubernetes должен иметь исходящее подключение к конечным точкам для отправки журналов, метрик, инвентаризации и выставления счетов в службу Azure Monitor/Data Processing Service.
- Для косвенного режима компьютер, на котором выполняется
az arcdata dc upload, должен иметь исходящее подключение к Службе обработки данных и Azure Monitor.
2 Для версий расширений до 13 февраля 2024 г. используйте san-af-<region>-prod.azurewebsites.net.
API Azure Monitor
При подключении из Azure Data Studio к серверу API Kubernetes используются проверка подлинности Kubernetes и настроенное вами шифрование. У каждого пользователя Azure Data Studio для выполнения различных действий, связанных со службами данных с поддержкой Azure Arc, должно быть прошедшее проверку подлинности подключение к API Kubernetes.
Дополнительные требования к сети
Кроме того, для моста ресурсов требуются конечные точки Kubernetes с поддержкой Arc.