Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются режимы подключения, доступные для служб данных с поддержкой Azure Arc, и их соответствующие требования.
Режимы подключения
Существует несколько вариантов степени подключения среды служб данных с поддержкой Azure Arc к Azure. Поскольку требования зависят от бизнес-политики, государственного регулирования или доступности сетевого подключения к Azure, можно выбрать один из следующих режимов подключения.
Службы данных с поддержкой Azure Arc предоставляют возможность подключения к Azure в двух разных режимах подключения:
- Прямое соединение
- Косвенное соединение
Режим подключения обеспечивает гибкость выбора объема данных, отправляемых в Azure, и взаимодействия пользователей с контроллером данных Arc. В зависимости от выбранного режима подключения некоторые функции служб данных с поддержкой Azure Arc могут быть недоступны.
Важно отметить, что если службы данных с поддержкой Azure Arc напрямую подключены к Azure, пользователи могут использовать API Azure Resource Manager, Azure CLI и портал Azure для работы служб данных Azure Arc. Интерфейс непосредственно подключенного режима очень похож на использование любой другой службы Azure с подготовкой или отменой подготовки, масштабирования, настройки и т. д. на портале Azure. Если службы данных с поддержкой Azure Arc косвенно подключены к Azure, портал Azure — это представление только для чтения. Вы можете увидеть список управляемых экземпляров SQL и серверов PostgreSQL, которые вы развернули, и посмотреть подробности о них, но не можете выполнить какие-либо действия в портале Azure. В косвенно подключенном режиме все действия должны выполняться локально с помощью Azure Data Studio, соответствующего интерфейса командной строки или собственных средств Kubernetes, таких как kubectl.
Кроме того, идентификатор Microsoft Entra и Azure Role-Based управление доступом можно использовать только в режиме прямого подключения, так как существует зависимость от непрерывного и прямого подключения к Azure для предоставления этой функции.
Некоторые службы, подключенные к Azure, доступны только в том случае, если к ним есть прямой доступ, например, Container Insights и резервное копирование в облачное хранилище блобов.
| Косвенно связано | Напрямую подключено | Никогда не было подключено | |
|---|---|---|---|
| Описание | Косвенно подключенный режим предлагает большинство служб управления локально в вашей среде без прямого подключения к Azure. Минимальное количество данных должно быть отправлено в Azure только для инвентаризации и выставления счетов. Он экспортируется в файл и отправляется в Azure по крайней мере один раз в месяц. Прямое или непрерывное подключение к Azure не требуется. Некоторые функции и службы, требующие подключения к Azure, не будут доступны. | Режим прямого подключения предлагает все доступные службы, когда можно установить прямое подключение с Azure. Подключения всегда инициируются из вашей среды в Azure и используют стандартные порты и протоколы, например HTTPS/443. | Никакие данные не могут быть отправлены в Azure или из Нее каким-либо образом. |
| Текущая доступность | В наличии | В наличии | Не поддерживается в текущей версии. |
| Типичные варианты использования | Локальные центры обработки данных, которые не позволяют подключаться к региону данных ни внутрь, ни наружу из-за политик, связанных с соблюдением нормативных требований, или из-за опасений внешних атак или кражи данных. Типичные примеры: финансовые учреждения, здравоохранение, правительство. Расположения периферийных площадок, где периферийная площадка как правило не имеет подключения к Интернету. Типичные примеры: области применения в нефтегазовой или военной сферах. Расположения внешних сайтов, которые имеют неустойчивое соединение с длительными перебоями. Типичные примеры: стадионы, круизные суда. |
Организации, использующие общедоступные облака. Типичные примеры: Azure, AWS или Google Cloud. Расположения периферийных узлов, где доступ к Интернету обычно присутствует и разрешён. Типичные примеры: розничные магазины, производство. Корпоративные центры обработки данных с более разрешительными политиками для подключения к или из своего региона данных центра обработки данных в Интернет. Типичные примеры: нерегулируемые предприятия, малые и средние предприятия |
Действительно изолированные среды, в которых данные, при любых обстоятельствах, не могут войти или выйти из среды данных. Типичные примеры: высшие секретные государственные учреждения. |
| Как данные отправляются в Azure | Существует три варианта отправки данных выставления счетов и инвентаризации в Azure: 1) Данные экспортируются из региона данных автоматическим процессом, который имеет подключение как к защищенному региону данных, так и к Azure. 2) Данные экспортируются из региона данных автоматизированным процессом в регионе данных, автоматически копируются в менее безопасный регион, а автоматизированный процесс в менее безопасном регионе отправляет данные в Azure. 3) Данные вручную экспортируются пользователем в защищенном регионе, вручную извлекается из безопасного региона и отправляются вручную в Azure. Первые два варианта — это автоматизированный непрерывный процесс, который может выполняться часто, чтобы минимизировать задержку при передаче данных в Azure, зависящую только от доступности подключения к Azure. |
Данные автоматически и непрерывно отправляются в Azure. | Данные никогда не отправляются в Azure. |
Доступность компонентов по режиму подключения
| Функция | Косвенно подключено | Напрямую подключено |
|---|---|---|
| Автоматическая высокая доступность | Поддерживается | Поддерживается |
| Самостоятельная подготовка | Поддерживается Используйте Azure Data Studio, соответствующий интерфейс командной строки или собственные инструменты Kubernetes, такие как Helm, kubectl или oc, или используйте подготовку Kubernetes GitOps с поддержкой Azure Arc. |
Поддерживается Помимо параметров создания косвенного режима подключения, вы также можете создавать с помощью портала Azure, API Azure Resource Manager, Azure CLI или шаблонов ARM. |
| Эластичная масштабируемость | Поддерживается | Поддерживается |
| Выставление счетов | Поддерживается Данные выставления счетов периодически экспортируются и отправляются в Azure. |
Поддерживается Данные о выставлении счетов автоматически и непрерывно отправляются в Azure и отражаются практически в реальном времени. |
| Управление инвентаризацией | Поддерживается Данные инвентаризации периодически экспортируются и отправляются в Azure. Используйте клиентские средства, такие как Azure Data Studio, Azure Data CLI, или kubectl для локального просмотра инвентаризации и управления ими. |
Поддерживается Данные инвентаризации автоматически и непрерывно отправляются в Azure и отражаются практически в реальном времени. Таким образом, вы можете управлять инвентаризацией непосредственно с портала Azure. |
| Автоматическое обновление и исправление | Поддерживается Контроллер данных должен иметь прямой доступ к реестру контейнеров Майкрософт (MCR) или образы контейнеров должны быть извлечены из MCR и отправлены в локальный частный реестр контейнеров, к которому имеет доступ контроллер данных. |
Поддерживается |
| Автоматическое резервное копирование и восстановление | Поддерживается Автоматическое локальное резервное копирование и восстановление. |
Поддерживается Помимо автоматического локального резервного копирования и восстановления, вы можете при необходимости отправлять резервные копии в хранилище BLOB-объектов Azure для долгосрочного хранения вне сайта. |
| Мониторинг | Поддерживается Локальный мониторинг с помощью панелей мониторинга Grafana и Kibana. |
Поддерживается Помимо локальных панелей мониторинга, вы можете при необходимости отправлять данные мониторинга и журналы в Azure Monitor для масштабируемого мониторинга нескольких сайтов в одном месте. |
| Аутентификация | Используйте локальное имя пользователя и пароль для контроллера данных и проверки подлинности панели мониторинга. Используйте имена входа SQL и Postgres или Active Directory (AD сейчас не поддерживается) для подключения к экземплярам базы данных. Используйте поставщики проверки подлинности Kubernetes для проверки подлинности в API Kubernetes. | Помимо методов проверки подлинности для косвенно подключенного режима можно использовать идентификатор Microsoft Entra. |
| управление доступом на основе ролей (RBAC); | Используйте RBAC на API Kubernetes. Используйте SQL и Postgres RBAC для экземпляров базы данных. | Вы можете использовать идентификатор Microsoft Entra и Azure RBAC. |
Требования к подключению
Для некоторых функций требуется подключение к Azure.
Все взаимодействие с Azure всегда инициируется из вашей среды. Это верно даже для операций, инициируемых пользователем на портале Azure. В этом случае существует эффективная задача, которая помещается в очередь в Azure. Агент в вашей среде инициирует взаимодействие с Azure, чтобы узнать, какие задачи находятся в очереди, выполнять задачи и отправлять отчеты о состоянии или завершении или сбое в Azure.
| Тип данных | Направление | обязательный или необязательный | Дополнительные затраты | Обязательный режим | Примечания |
|---|---|---|---|---|---|
| Образы контейнеров | Реестр контейнеров Майкрософт —> заказчик | Обязательно | нет | Косвенное или прямое | Образы контейнеров — это метод распространения программного обеспечения. В среде, которая может подключаться к реестру контейнеров Майкрософт (MCR) через Интернет, образы контейнеров можно извлекать непосредственно из MCR. Если в среде развертывания нет прямого подключения, вы можете извлечь образы из MCR и отправить их в частный реестр контейнеров в среде развертывания. Во время создания вы можете настроить процесс создания для получения из частного реестра контейнеров вместо MCR. Это также относится к автоматическим обновлениям. |
| Инвентаризация ресурсов | Среда клиента —> Azure | Обязательно | нет | Косвенное или прямое | Инвентаризация контроллеров данных, экземпляров баз данных (PostgreSQL и SQL) хранится в Azure для выставления счетов, а также для создания инвентаризации всех контроллеров данных и экземпляров базы данных в одном месте, что особенно полезно, если у вас есть более одной среды со службами данных Azure Arc. По мере подготовки, отмены, расширения или уменьшения экземпляров, их инвентарь обновляется в Azure. |
| Данные телеметрии выставления счетов | Среда клиента —> Azure | Обязательно | нет | Косвенное или прямое | Использование экземпляров базы данных должно быть отправлено в Azure для выставления счетов. |
| Мониторинг данных и журналов | Среда клиента —> Azure | Необязательно | Может быть, в зависимости от объема данных (см. цены на Azure Monitor) | Косвенное или прямое | Возможно, вы хотите отправить локально собранные данные мониторинга и журналы в Azure Monitor для агрегирования данных в нескольких средах в одном месте, а также использовать службы Azure Monitor, такие как оповещения, используя данные в Машинном обучении Azure и т. д. |
| Управление доступом на основе ролей Azure (Azure RBAC) | Среда клиента — Azure —>> среда клиента | Необязательно | нет | Только прямой | Если вы хотите использовать Azure RBAC, необходимо установить подключение к Azure в любое время. Если вы не хотите использовать Azure RBAC, можно использовать локальный RBAC Kubernetes. |
| Microsoft Entra ID (в будущем) | Среда клиента — Azure —>> среда клиента | Необязательно | Может быть, но вы уже платите за идентификатор Microsoft Entra | Только прямой | Если вы хотите использовать идентификатор Microsoft Entra для проверки подлинности, необходимо установить подключение с Azure в любое время. Если вы не хотите использовать Microsoft Entra ID для проверки подлинности, вы можете использовать службы федерации Active Directory (ADFS) поверх Active Directory. Ожидание доступности в режиме прямого подключения |
| Резервное копирование и восстановление | Среда клиента —> среда клиента | Обязательно | нет | Прямое или косвенное | Служба резервного копирования и восстановления может быть настроена для указания на локальные классы хранилища. |
| Резервное копирование Azure — долгосрочное хранение (будущее) | Среда клиента —> Azure | Необязательно | Да для хранилища Azure | Только прямой | Возможно, вы захотите отправить резервные копии, создаваемые локально, в Azure Backup для долгосрочного удаленного хранения, а затем вернуть их в локальную систему для восстановления. |
| Изменения в подготовке и настройке на портале Azure | Среда клиента — Azure —>> среда клиента | Необязательно | нет | Только прямой | Изменения в подготовке и настройке можно выполнить локально с помощью Azure Data Studio или соответствующего интерфейса командной строки. В режиме непосредственного подключения можно также подготовить и внести изменения конфигурации на портале Azure. |
Сведения о поддержке интернет-адресов, портов, шифрования и прокси-сервера
| Служба | Порт | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| Диаграмма Helm (только для прямого подключенного режима) | 443 | arcdataservicesrow1.azurecr.io |
исходящий | Подготавливает загрузчик контроллера данных Azure Arc и объекты уровня кластера, такие как пользовательские определения ресурсов, роли кластера и привязки ролей кластера, извлекается из Реестр контейнеров Azure. |
| API Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
исходящий | Azure Data Studio, и Azure CLI подключаются к API-интерфейсам Azure Resource Manager для обмена данными с Azure для некоторых функций. См . API Azure Monitor. |
| Служба обработки данных Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
исходящий |
1 Требование зависит от режима развертывания:
- Для прямого режима модуль pod контроллера в кластере Kubernetes должен иметь исходящее подключение к конечным точкам для отправки журналов, метрик, инвентаризации и выставления счетов в службу Azure Monitor/Data Processing Service.
- Для косвенного режима компьютер, на котором выполняется
az arcdata dc upload, должен иметь исходящее подключение к Службе обработки данных и Azure Monitor.
2 Для версий расширений до 13 февраля 2024 г. используйте san-af-<region>-prod.azurewebsites.net.
API Azure Monitor
При подключении из Azure Data Studio к серверу API Kubernetes используются проверка подлинности Kubernetes и настроенное вами шифрование. У каждого пользователя Azure Data Studio для выполнения различных действий, связанных со службами данных с поддержкой Azure Arc, должно быть прошедшее проверку подлинности подключение к API Kubernetes.
Дополнительные требования к сети
Кроме того, для моста ресурсов требуются конечные точки Kubernetes с поддержкой Arc.