Поделиться через

Внутренние компоненты соединителя служб

  • Статья

Соединитель служб — это поставщик ресурсов расширения Azure, предназначенный для простого способа создания подключений между службами Azure и управления ими.

Соединитель служб предлагает следующие функции:

  • Позволяет подключать службы Azure вместе с одной командой Azure CLI или несколькими шагами с помощью портал Azure.
  • Поддерживает все больше баз данных, хранилища, служб реального времени, состояний и хранилищ секретов, используемых с вашим облачным приложением.
  • Настраивает параметры сети, проверку подлинности и управляет переменными среды подключения или свойствами для вас.
  • Проверяет подключения и предоставляет предложения по устранению ошибок подключений.

Общие сведения о подключении службы

Концепция подключения к службе — это ключевое понятие в модели ресурсов соединителя служб. Подключение службы представляет абстракцию связи между двумя службами. Подключения службы имеют следующие свойства:

Свойство Description
Имя подключения Уникальное имя подключения службы.
Тип службы источника Исходные службы — это службы, которые можно подключить к целевым службам. Обычно они являются службами вычислений Azure и включают в себя службы приложение Azure, приложения контейнеров Azure, Функции Azure, Служба Azure Kubernetes (AKS) и Azure Spring Apps.
Тип целевой службы Целевые службы — это резервные службы или службы зависимостей, к которым подключаются вычислительные службы. Соединитель служб поддерживает различные типы целевых служб, в том числе основные базы данных, хранилище, службы в реальном времени, состояние и хранилища секретов.
Тип клиента Тип клиента относится к стеку среды выполнения вычислений, платформе разработки или определенному типу клиентской библиотеки, которая принимает определенный формат переменных или свойств среды подключения.
Тип проверки подлинности Тип проверки подлинности, используемый для подключения службы. Это может быть секрет или строка подключения, управляемое удостоверение или субъект-служба.

Исходные службы и целевые службы поддерживают несколько одновременных подключений к службам, что означает, что каждый ресурс можно подключить к нескольким ресурсам.

Соединитель службы управляет подключениями в свойствах исходного экземпляра. Создание, обновление и удаление подключений выполняется непосредственно путем открытия экземпляра исходной службы в портал Azure или с помощью команд CLI исходной службы.

Подключения можно выполнять между подписками или клиентами, что означает, что исходные и целевые службы могут принадлежать разным подпискам или клиентам. При создании подключения к службе ресурс подключения создается в том же регионе, что и экземпляр вычислительной службы по умолчанию.

Создание и обновление подключения службы

Соединитель служб выполняет несколько задач при создании или обновлении подключений к службе, в том числе:

  • Настройка параметров сети и брандмауэра. Дополнительные сведения о сетевых решениях.

  • Настройка сведений о подключении. Дополнительные сведения о конфигурациях подключения.

  • Настройка сведений о проверке подлинности. Соединитель служб поддерживает все доступные типы проверки подлинности между исходными службами и целевыми службами.

    • Назначаемое системой управляемое удостоверение. Соединитель служб включает управляемое удостоверение, назначенное системой, в исходных службах, если оно еще не включено, а затем предоставляет роли RBAC целевых служб управляемому удостоверению. Пользователь может указать роли, которые необходимо предоставить.
    • Назначаемое пользователем управляемое удостоверение. Соединитель служб позволяет назначаемого пользователем управляемому удостоверению в исходных службах, если он еще не включен, а затем предоставляет роли RBAC целевых служб управляемому удостоверению. Пользователь может указать роли, которые необходимо предоставить.
    • Строка подключения. Соединитель служб извлекает строка подключения из целевых служб, таких как хранилище, кэш Redis и т. д., или создает строка подключения на основе входных данных пользователей, таких как база данных Azure для SQL, PostgreSQL и т. д.
    • Субъект-служба. Соединитель служб предоставляет роли RBAC целевых служб управляемому удостоверению. Пользователь может указать роли, которые необходимо предоставить.

    Соединитель служб сохраняет соответствующие конфигурации проверки подлинности в исходных службах, например сохранение AZURE_CLIENT_ID, AZURE_TENANT_ID, AZURE_STORAGEACCOUNT_ENDPOINT для хранилища с назначенным пользователем управляемым удостоверением типа проверки подлинности.

  • Создание или обновление отката подключения при возникновении сбоя

Если шаг завершается сбоем во время этого процесса, соединитель службы откатит все предыдущие шаги, чтобы сохранить начальные параметры в исходных и целевых экземплярах.

Поставщик ресурсов

Microsoft.ServiceLinker — это имя поставщика ресурсов соединителя служб.

Когда пользователь открывает вкладку "Соединитель службы" в портал Azure, поставщик ресурсов ServiceLinker автоматически регистрируется в активной подписке пользователя. Пользователь, создавший регистрацию, указан в качестве инициатора события регистрации.

Соединитель служб позволяет пользователям подключать службы между подписками. Когда пользователь создает подключение к целевой службе, зарегистрированной в другой подписке, компоновщик служб также регистрируется в подписке целевой службы. Эта регистрация возникает, когда пользователь выбирает вкладку "Просмотр и создание " перед созданием подключения.

Конфигурации подключения

Конфигурации подключения задаются в исходной службе.

В портал Azure откройте исходную службу и перейдите к соединителю службы. Разверните каждое подключение и просмотрите конфигурации подключения.

Снимок экрана: портал Azure с сведениями о подключении службы.

В интерфейсе командной строки используйте list-configuration команду, чтобы получить конфигурации подключения.

az webapp connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>

az spring connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>

az containerapp connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>

Соглашение об именовании для конфигурации

Соединитель службы задает конфигурацию подключения при создании подключения. Пары переменных ключей среды определяются на основе типа клиента и типа проверки подлинности. Например, для использования пакета SDK Azure с управляемым удостоверением требуется идентификатор клиента, секрет клиента и т. д. Для использования драйвера JDBC требуется строка подключения базы данных. Чтобы присвоить имена конфигураций, выполните следующие соглашения:

  • Клиент Spring Boot: библиотека Spring Boot для каждой целевой службы имеет собственное соглашение об именовании. Например, параметры подключения MySQL будут выглядеть следующим образом: spring.datasource.url, spring.datasource.username, spring.datasource.password. Параметры подключения Kafka: spring.kafka.properties.bootstrap.servers.

  • Другие клиенты:

    • Имя ключа первой конфигурации подключения использует формат <Cloud>_<Type>_<Name>. Например, AZURE_STORAGEBLOB_RESOURCEENDPOINT, CONFLUENTCLOUD_KAFKA_BOOTSTRAPSERVER.
    • Для того же типа целевого ресурса имя ключа второй конфигурации подключения использует формат <Cloud>_<Type>_<Connection Name>_<Name>. Например, AZURE_STORAGEBLOB_CONN2_RESOURCEENDPOINT, CONFLUENTCLOUD_KAFKA_CONN2_BOOTSTRAPSERVER.

Сетевое решение службы

Соединитель служб предлагает три сетевых решения для пользователей, которые можно выбрать при создании подключения. Эти решения предназначены для упрощения безопасного и эффективного взаимодействия между ресурсами.

  1. Брандмауэр. Это решение позволяет подключиться через общедоступную сеть и вычислительные ресурсы, обращающиеся к целевому ресурсу с общедоступным IP-адресом. При выборе этого параметра соединитель службы проверяет параметры брандмауэра целевого ресурса и добавляет правило, разрешающее подключения из общедоступного IP-адреса исходного ресурса. Если брандмауэр ресурса поддерживает разрешение доступа ко всем ресурсам Azure, соединитель службы включает этот параметр. Однако если целевой ресурс запрещает весь общедоступный сетевой трафик по умолчанию, соединитель служб не изменяет этот параметр. В этом случае необходимо выбрать другой вариант или обновить параметры сети вручную, прежде чем повторить попытку.

  2. Конечная точка службы. Это решение позволяет вычислительным ресурсам подключаться к целевым ресурсам через виртуальную сеть, обеспечивая, что трафик подключения не проходит через общедоступную сеть. Доступно только в том случае, если выполнены определенные предварительные условия:

    • Вычислительный ресурс должен иметь включенную интеграцию виртуальной сети. Для службы приложение Azure ее можно настроить в параметрах сети. Для Azure Spring Apps пользователи должны установить виртуальная сеть внедрение во время этапа создания ресурса.
    • Целевая служба должна поддерживать конечную точку службы. Список поддерживаемых служб см. в виртуальная сеть конечных точках службы.

    При выборе этого параметра соединитель служб добавляет частный IP-адрес вычислительного ресурса в виртуальную сеть в правила виртуальная сеть целевого ресурса и включает конечную точку службы в конфигурации подсети исходного ресурса. Если пользователь не имеет достаточных разрешений, или номер SKU ресурса или регион не поддерживает конечные точки службы, создание подключения завершается сбоем.

  3. Частная конечная точка. Это решение рекомендуется подключать ресурсы через виртуальную сеть и доступно только в том случае, если выполнены определенные предварительные условия:

  • Вычислительный ресурс должен иметь включенную интеграцию виртуальной сети. Для службы приложение Azure ее можно настроить в параметрах сети. Для Azure Spring Apps пользователи должны установить внедрение виртуальной сети во время этапа создания ресурсов.

  • Целевая служба должна поддерживать частные конечные точки. Список поддерживаемых служб см. в ресурсе Приватного канала.

    При выборе этого параметра соединитель служб не выполняет больше конфигураций в вычислительных или целевых ресурсах. Вместо этого он проверяет наличие допустимой частной конечной точки и завершается сбоем подключения, если он не найден. Для удобства пользователи могут установить флажок "Новая частная конечная точка" в портал Azure при создании подключения. С его помощью соединитель службы автоматически создает все связанные ресурсы для частной конечной точки в правильной последовательности, упрощая процесс создания подключения.

Проверка подключения службы

При проверке подключения соединитель службы проверяет следующие элементы:

  • Исходные и целевые ресурсы существуют.
  • Источник: зарегистрирована правильная информация о подключении.
  • Целевой объект: регистрируются правильные параметры сети и брандмауэра.
  • Исходные и целевые ресурсы: зарегистрирована правильная информация о проверке подлинности.

Удаление подключения

При удалении подключения к службе также удаляются сведения о подключении.

Следующие шаги

Дополнительные сведения о соединителе служб см. в следующей статье о концепции.

Высокая доступность