你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

连接模式和要求

本文介绍了可用于已启用 Azure Arc 的数据服务的连接模式及其各自的要求。

连接模式

从已启用 Azure Arc 的数据服务环境到 Azure 的连接程度有多种选项。 根据业务策略、政府法规或与 Azure 的网络连接的可用性,你的要求会不同,你可以从以下连接模式中进行选择。

已启用 Azure Arc 的数据服务向你提供在两种不同连接模式下连接到 Azure 的选项

  • 直接连接
  • 间接连接

利用连接模式,你可以灵活地选择发送到 Azure 的数据量,以及用户与 Arc 数据控制器的交互方式。 根据所选的连接模式,已启用 Azure Arc 的数据服务的某些功能可能可用也可能不可用。

重要的是,如果已启用 Azure Arc 的数据服务直接连接到 Azure,则用户可以使用 Azure 资源管理器 API、Azure CLI 和 Azure 门户来操作 Azure Arc 数据服务。 直接连接模式的体验非常类似于在 Azure 门户中使用任何其他 Azure 服务进行预配/取消预配、缩放、配置等的体验。 如果已启用 Azure Arc 的数据服务间接连接到 Azure,则 Azure 门户为只读视图。 你可以查看已部署的 SQL 托管实例和 PostgreSQL 服务器的清单,以及有关它们的详细信息,但无法在 Azure 门户中对其执行操作。 在间接连接模式下,必须使用 Azure Data Studio、相应的 CLI 或 Kubernetes 原生工具(如 kubectl)在本地执行所有操作。

此外,Microsoft Entra ID 和 Azure 基于角色的访问控制只能在直接连接模式下使用,因为这种方式依赖于与 Azure 之间的连续直接连接来提供此功能。

某些 Azure 附加服务仅在可直接访问时才可用,例如容器见解和到 Blob 存储的备份。

间接连接 直接连接 从未连接
描述 间接连接模式在环境中本地提供大多数管理服务,而不直接连接到 Azure。 仅出于清单和计费目的,必须将最小数量的数据发送到 Auzre。 此数据每月至少导出一次到文件并上传到 Azure。 不需要直接或连续连接到 Azure。 一些需要连接到 Azure 的功能和服务将无法使用。 直接连接模式提供了可与 Azure 建立直接连接时的所有可用服务。 连接始终从你的环境启动到 Azure,并使用标准端口和协议(如 HTTPS/443) 不能以任何方式将数据发送到 Azure 或从 Azure 发送数据。
当前可用性 可用 可用 目前尚不支持。
典型用例 本地数据中心,因业务或法规符合性策略或出于担心外部攻击或数据泄露,其不允许数据中心的数据区域内外的连接。 典型示例:金融机构、医疗保健业、政府。

边缘站点通常未连接到 Internet 的边缘站点位置。 典型示例:石油/天然气或军事领域应用程序。

有长时间中断的间接性连接的边缘站点位置。 典型示例:体育场、大型游轮。
使用公有云的组织。 典型示例: Azure、AWS 或 Google Cloud。

通常存在和允许 Internet 连接的边缘站点位置。 典型示例:零售商店、制造业。

具有更多宽容策略的公司数据中心,可用于到数据中心的数据区域的连接,或从数据中心的数据区域连接到 Internet。 典型示例:非管控企业、中小型企业
真正的“气隙”环境,其中在任何情况下都没有来自数据环境的数据。 典型示例:最高机密政府设施。
如何将数据发送到 Azure 如何向 Azure 发送计费和清单数据有三个选项:

1) 通过连接到安全数据区域和 Azure 的自动化过程,将数据导出数据区域。

2) 通过数据区域中的自动化过程将数据从数据区域导出,自动将其复制到安全级别较低的区域,然后该区域中的自动过程将数据上传到 Azure。

3) 数据由安全区域内的用户手动导出,手动将其带出安全区域,并手动上传到 Azure。

前两个选项是一个自动化的连续过程,可以安排频繁运行,因此将数据传输到 Azure 的延迟最小,但仅限于与 Azure 的可用连接。
数据自动并持续发送到 Azure。 数据永远不会发送到 Azure。

按连接模式的功能可用性

功能 间接连接 直接连接
自动高可用性 支持 支持
自助式预配 支持
使用 Azure Data Studio、适当的 CLI 或 Kubernetes 本机工具(如 Helm、kubectloc),或使用已启用 Azure Arc 的 Kubernetes GitOps 预配。
支持
除了间接连接模式创建选项以外,还可以通过 Azure 门户、Azure 资源管理器 API、Azure CLI 或 ARM 模板进行创建。
弹性的可伸缩性 支持 支持
计费 支持
计费数据会定期导出并发送到 Azure。
支持
计费数据自动并持续发送到 Azure 并准实时反映。
库存管理 支持
清单数据定期导出并发送到 Azure。

使用客户端工具(如 Azure Data Studio、Azure Data CLI 或 kubectl)在本地查看和管理清单。
支持
清单数据自动并持续发送到 Azure 并准实时反映。 因此,你可以直接从 Azure 门户管理清单。
自动升级和修补 支持
数据控制器必须能够直接访问 Microsoft Container Registry (MCR),或需要从 MCR 拉取容器映像,并将其推送到数据控制器有权访问的本地专用容器注册表。
支持
自动备份和还原 支持
自动本地备份和还原。
支持
除了自动本地备份和还原外,你可以选择将备份发送到 Azure Blob 存储以进行长期、异地保留
监视 支持
使用 Grafana 和 Kibana 仪表板进行本地监视。
支持
除了本地监视仪表板,你可以选择将监视数据和日志发送到 Azure Monitor 以在一个位置进行多个站点的大规模监视
身份验证 使用本地用户名/密码进行数据控制器和仪表板身份验证。 使用 SQL 和 Postgres 登录名或 Active Directory(AD 当前不受支持)连接到数据库实例。 使用 Kubernetes 身份验证提供程序对 Kubernetes API 进行身份验证。 除了间接连接模式的身份验证方法,可以选择使用 Microsoft Entra ID。
基于角色的访问控制 (RBAC) 在 Kubernetes API 上使用 Kubernetes RBAC。 对数据库实例使用 SQL 和 Postgres RBAC。 可以使用 Microsoft Entra ID 和 Azure RBAC。

连接要求

某些功能需要连接到 Azure。

与 Azure 的所有通信始终从你的环境中启动。 即使对于操作(由 Azure 门户中的用户启动)来说也是如此。 在这种情况下,实际上有一项任务,即在 Azure 中排队。 你的环境中的代理启动与 Azure 的通信,以查看队列中有哪些任务,运行任务,并将状态/完成/失败报告回 Azure。

数据类型 方向 必需/可选 额外成本 需要的模式 说明
容器映像 Microsoft Container Registry -> 客户 必须 间接或直接 容器映像是分发软件的方法。 在可通过 Internet 连接到 Microsoft Container Registry (MCR) 的环境中,可以直接从 MCR 拉取容器映像。 如果部署环境没有直接连接,可以从 MCR 中拉取映像,并将其推送到部署环境中的专用容器注册表。 在创建时,你可以将创建过程配置为从专用容器注册表而不是从 MCR 中拉取。 这也适用于自动更新。
资源清单 客户环境 -> Azure 必须 间接或直接 数据控制器或数据库实例(PostgreSQL 和 SQL)的清单将保留在 Azure 中以便计费,还用于在一个位置创建所有数据控制器和数据库实例的清单,如果你有多个使用 Azure Arc 数据服务的环境,将特别有用。 对实例进行预配、取消预配、横向扩展/缩减、纵向扩展/缩减时,清单会在 Azure 中更新。
计费遥测数据 客户环境 -> Azure 必须 间接或直接 必须将数据库实例的使用情况发送到 Azure 以便计费。
监视数据和日志 客户环境 -> Azure 可选 可能取决于数据量(请参阅 Azure Monitor 定价 间接或直接 你可能想要将本地收集的监视数据和日志发送到 Azure Monitor,以便将跨多个环境的数据聚合到一个位置,还可以使用 Azure Monitor 服务(如警报)、使用 Azure 机器学习中的数据等。
Azure 基于角色的访问控制 (Azure RBAC) 客户环境 -> Azure -> 客户环境 可选 仅直接 如果要使用 Azure RBAC,则必须始终与 Azure 建立连接。 如果不想使用 Azure RBAC,可以使用本地 Kubernetes RBAC。
Microsoft Entra ID(未来) 客户环境 -> Azure -> 客户环境 可选 也许,但你可能已经在为 Microsoft Entra ID 付费 仅直接 如果要使用 Microsoft Entra ID 进行身份验证,必须始终与 Azure 建立连接。 如果不想使用 Microsoft Entra ID 进行身份验证,可以使用 Active Directory 联合身份验证服务 (ADFS) 而不是 Active Directory。 直接连接模式的待定可用性
备份和还原 客户环境 -> 客户环境 必须 直接或间接 备份和还原服务可以配置为指向本地存储类。
Azure 备份 - 长期保留(将来版本) 客户环境 -> Azure 可选 Azure 存储是必需的 仅直接 你可能想要将在本地执行的备份发送到 Azure 备份,以便进行长期、异地备份保留,并将其恢复到本地环境以进行还原。
Azure 门户中的预配和配置更改 客户环境 -> Azure -> 客户环境 可选 仅直接 通过使用 Azure Data Studio 或相应的 CLI 在本地完成预配和配置更改。 在直接连接模式下,还可以从 Azure 门户进行预配和配置更改。

有关 Internet 地址、端口、加密和代理服务器支持的详细信息

服务 端口 URL 方向 说明
Helm 图表(仅限直接连接模式) 443 arcdataservicesrow1.azurecr.io 出站 预配 Azure Arc 数据控制器引导程序和群集级别对象(例如,自定义资源定义、群集角色和群集角色绑定),从 Azure 容器注册表中拉取。
Azure monitor API1 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
出站 Azure Data Studio 和 Azure CLI 连接到 Azure 资源管理器 API,以在 Azure 中传输和检索数据,从而获取某些功能。 请参阅Azure Monitor API
Azure Arc 数据处理服务1 443 *.<region>.arcdataservices.com 2 Outbound

1 要求取决于部署模式:

  • 对于直接模式,Kubernetes 群集上的控制器 Pod 需要与终结点建立出站连接,以将日志、指标、清单和计费信息发送到 Azure Monitor/数据处理服务。
  • 对于间接模式,运行az arcdata dc upload的计算机需要与 Azure Monitor 和数据处理服务建立出站连接。

2 对于 2024 年 2 月 13 日及之前发布的扩展版本,请使用 san-af-<region>-prod.azurewebsites.net

Azure Monitor API

从 Azure Data Studio 到 Kubernetes API 服务器的连接使用你已建立的 Kubernetes 身份验证和加密。 使用 Azure Data Studio 或 CLI 的每个用户都必须拥有到 Kubernetes API 的已经过身份验证的连接,才能执行与已启用 Azure Arc 的数据服务相关的许多操作。

其他网络要求

此外,资源网桥需要已启用 Arc 的 Kubernetes 终结点