Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird der Konnektivitätsmodus beschrieben, der für Azure Arc-fähige Datendienste und ihre jeweiligen Anforderungen verfügbar ist.
Verbindungsmodus
Azure Arc-fähige Datendienste unterstützen den direkten Verbindungsmodus.
Hinweis
Indirekt verbunden ist außer Betrieb genommen. September 2025.
Wenn Azure Arc-fähige Datendienste direkt mit Azure verbunden sind, können Sie Azure Resource Manager-APIs, die Azure CLI und das Azure-Portal verwenden, um die Azure Arc-Datendienste zu betreiben. Das Verhalten im direkt verbundenen Modus ist ähnlich wie bei der Verwendung eines beliebigen anderen Azure-Diensts mit Bereitstellung/Aufhebung der Bereitstellung, Skalierung, Konfiguration usw. im Azure-Portal.
Darüber hinaus kann die Microsoft Entra ID und rollenbasierte Azure-Zugriffssteuerung nur im Modus „Direkt verbunden“ verwendet werden, da die Bereitstellung dieser Funktionalität von einer kontinuierlichen und direkten Verbindung mit Azure abhängt.
Einige an Azure angebundene Dienste sind nur verfügbar, wenn sie direkt erreicht werden können, wie z. B. Container Insights und die automatische Sicherung auf Azure Blob Storage.
Direkt verbunden
- Beschreibung: Stellt alle Dienste bereit, wenn eine direkte Verbindung mit Azure verfügbar ist. Verbindungen werden immer über Standardports/Protokolle (z. B. HTTPS/443) von Ihrer Umgebung zu Azure initiiert.
- Aktuelle Verfügbarkeit: Verfügbar
- Typische Anwendungsfälle: Öffentliche Cloudumgebungen (Azure, AWS, GCP); Edgestandorte mit zulässiger Internetverbindung (Einzelhandel, Fertigung); Unternehmensdatencenter mit zulässigen Konnektivitätsrichtlinien.
- Wie Daten an Azure gesendet werden: Daten werden automatisch und kontinuierlich an Azure gesendet.
Indirekt verbunden (außer Betrieb genommen)
- Beschreibung: Bietet die meisten Verwaltungsdienste lokal ohne kontinuierliche Verbindung mit Azure an. Eine minimale Menge an Abrechnungs- und Bestandsdaten wird in eine Datei exportiert und mindestens einmal pro Monat in Azure hochgeladen; Einige von Azure abhängige Features sind nicht verfügbar.
- Aktuelle Verfügbarkeit: Aus dem Betrieb genommen
- Typische Anwendungsfälle: Regulierte lokale Rechenzentren (Finanzwesen, Gesundheitswesen, Regierung); Edge-Sites ohne Internet (Öl/Gas, Militär); Standorte mit zeitweiliger Konnektivität (Stadien, Kreuzfahrtschiffe).
- Wie Daten an Azure gesendet werden: Eine von drei Optionen – (1) automatisierter Prozess, der aus der sicheren Region nach Azure exportiert, (2) automatisierten Export in eine weniger sichere Region und Hochladen in Azure oder (3) manuelles Exportieren und Hochladen. Die ersten beiden können für häufige Übertragungen geplant werden.
Funktionsverfügbarkeit nach Konnektivitätsmodus
| Feature | Indirekt verbunden (zurückgezogen) | Direkt verbunden |
|---|---|---|
| Automatische Hohe Verfügbarkeit | Supported | Supported |
| Self-Service-Bereitstellung | Supported Verwenden Sie Azure Data Studio, die richtigen CLI-Befehle oder kubernetesnative Tools wie Helm, kubectl oder oc. Sie können auch die GitOps- Bereitstellung für Azure Arc-fähiges Kubernetes verwenden. |
Supported Neben den Erstellungsoptionen im Modus „Indirekt verbunden“ können Sie zum Erstellen auch das Azure-Portal, Azure Resource Manager-APIs, die Azure CLI oder ARM-Vorlagen verwenden. |
| Elastische Skalierbarkeit | Supported | Supported |
| Billing | Supported Abrechnungsdaten werden in regelmäßigen Abständen exportiert und an Azure gesendet. |
Supported Abrechnungsdaten werden automatisch und kontinuierlich an Azure gesendet und in nahezu Echtzeit angezeigt. |
| Bestandsverwaltung | Supported Inventardaten werden in regelmäßigen Abständen exportiert und an Azure gesendet. Verwenden Sie Clienttools wie Azure Data Studio, Azure Data CLI oder kubectl, um den Bestand lokal anzuzeigen und zu verwalten. |
Supported Inventardaten werden automatisch und kontinuierlich an Azure gesendet und in nahezu Echtzeit angezeigt. Sie können so den Bestand direkt im Azure-Portal verwalten. |
| Automatische Upgrades und Patching | Supported Der Datencontroller muss entweder direkt auf Microsoft Container Registry (MCR) zugreifen können, oder die Containerimages müssen aus MCR gepullt und in eine lokale private Containerregistrierung gepusht werden, auf die der Datencontroller Zugriff besitzt. |
Supported |
| Automatische Sicherung und Wiederherstellung | Supported Automatische lokale Sicherung und Wiederherstellung. |
Supported Zusätzlich zur automatisierten lokalen Sicherung und Wiederherstellung können Sie optional Sicherungen zur langfristigen Aufbewahrung außerhalb des Standorts an Azure Blob Storage hochladen. |
| Monitoring | Supported Lokale Überwachung mit Grafana- und Kibana-Dashboards. |
Supported Zusätzlich zu lokalen Überwachungsdashboards können Sie optional Überwachungsdaten und Protokolle an Azure Monitor senden, um mehrere Standorte an einem zentralen Ort zu überwachen. |
| Authentication | Verwenden Sie einen lokalen Benutzernamen bzw. ein lokales Kennwort für die Datencontroller- und Dashboardauthentifizierung. Verwenden Sie SQL- und Postgres-Anmeldungen oder Active Directory (AD wird zurzeit nicht unterstützt) für Verbindungen mit Datenbankinstanzen. Verwenden Sie Kubernetes-Authentifizierungsanbieter für die Authentifizierung bei der Kubernetes-API. | Zusätzlich zu oder anstelle der Authentifizierungsmethoden für den indirekt verbundenen Modus können Sie optional Microsoft Entra ID verwenden. |
| Rollenbasierte Zugriffssteuerung (RBAC) | Verwenden Sie Kubernetes RBAC mit der Kubernetes-API. Verwenden Sie SQL und Postgres RBAC für Datenbankinstanzen. | Sie können Microsoft Entra ID und Azure RBAC verwenden. |
Konnektivitätsanforderungen
Für einige Funktionen ist eine Verbindung mit Azure erforderlich.
Die gesamte Kommunikation mit Azure wird immer aus Ihrer Umgebung initiiert. Dies gilt auch für Vorgänge, die von einem Benutzer im Azure-Portal initiiert werden. In diesem Fall gibt es effektiv eine Aufgabe, die in Azure in die Warteschlange gestellt wird. Ein Agent in Ihrer Umgebung initiiert die Kommunikation mit Azure, um zu ermitteln, welche Tasks in der Warteschlange enthalten sind, führt die Tasks aus und meldet den Status/Abschluss/Fehler an Azure.
| Datentyp | Direction | Required/Optional | Nebenkosten | Modus erforderlich | Notes |
|---|---|---|---|---|---|
| Container-Bilder | Microsoft Container Registry > Kunde | Required | No | Indirekt oder direkt | Containerimages stellen die Methode zum Verteilen der Software dar. In einer Umgebung, die eine Verbindung mit Microsoft Container Registry (MCR) über das Internet herstellen kann, können die Containerimages direkt aus MCR gepullt werden. Wenn die Bereitstellungsumgebung über keine direkte Verbindung verfügt, können Sie die Images aus MCR pullen und in eine private Containerregistrierung in der Bereitstellungsumgebung pushen. Zum Zeitpunkt der Erstellung können Sie den Erstellungsprozess so konfigurieren, dass der Pullvorgang aus der privaten Containerregistrierung anstatt aus MCR erfolgt. Dies gilt auch für automatisierte Updates. |
| Ressourcenbestand | Kundenumgebung > Azure | Required | No | Indirekt oder direkt | Eine Bestandsaufnahme der Datenverantwortlichen, Datenbankinstanzen werden zu Abrechnungszwecken in Azure aufbewahrt und dienen auch zum Erstellen eines Inventars aller Datenverantwortlichen und Datenbankinstanzen an einem Ort, der besonders nützlich ist, wenn Sie mehr als eine Umgebung mit Azure Arc-Datendiensten haben. Wenn Instanzen bereitgestellt werden bzw. ihre Bereitstellung aufgehoben wird, sie horizontal hoch- und herunterskaliert oder zentral hoch- oder herunterskaliert werden, wird das Inventar in Azure aktualisiert. |
| Abrechnungs-Telemetriedaten | Kundenumgebung > Azure | Required | No | Indirekt oder direkt | Die Nutzung von Datenbankinstanzen muss zu Abrechnungszwecken an Azure gesendet werden. |
| Überwachen von Daten und Protokollen | Kundenumgebung > Azure | Optional | Je nach Datenvolumen (siehe Azure Monitor-Preise) | Indirekt oder direkt | Vielleicht möchten Sie die lokal erfassten Überwachungsdaten und -protokolle an Azure Monitor senden, um Daten aus mehreren Umgebungen an einem Ort zu aggregieren und auch Azure Monitor-Dienste wie Warnungen zu nutzen, die Daten in Azure Machine Learning zu verwenden usw. |
| Azure Role-based Access Control (Azure RBAC) | Kundenumgebung > Azure > Kundenumgebung | Optional | No | Nur direkt | Wenn Sie Azure RBAC verwenden möchten, muss die Konnektivität mit Azure jederzeit hergestellt werden. Wenn Sie Azure RBAC nicht verwenden möchten, können Sie die lokale Kubernetes-RBAC verwenden. |
| Microsoft Entra ID (Zukunft) | Kundenumgebung > Azure > Kundenumgebung | Optional | Möglicherweise zahlen Sie für die Microsoft Entra-ID bereits jetzt. | Nur direkt | Wenn Sie Microsoft Entra ID für die Authentifizierung verwenden möchten, muss Konnektivität mit Azure jederzeit hergestellt werden. Wenn Sie Microsoft Entra ID für die Authentifizierung nicht verwenden möchten, können Sie die Active Directory Federation Services (ADFS) über Active Directory verwenden. Ausstehende Verfügbarkeit im direkten Konnektivitätsmodus |
| Sichern und Wiederherstellen | Kundenumgebung > Kundenumgebung | Required | No | Indirekt oder direkt | Der Sicherungs- und Wiederherstellungsdienst kann so konfiguriert werden, dass er auf lokale Speicherklassen verweist. |
| Azure-Sicherung – langfristige Aufbewahrung (Zukunft) | Kundenumgebung > Azure | Optional | Ja, für Azure Storage | Nur direkt | Möglicherweise möchten Sie Sicherungen, die lokal erstellt wurden, an Azure Backup für die langfristige, externe Aufbewahrung von Sicherungen senden und sie zur Wiederherstellung in die lokale Umgebung zurückholen. |
| Bereitstellungs- und Konfigurationsänderungen aus dem Azure-Portal | Kundenumgebung > Azure > Kundenumgebung | Optional | No | Nur direkt | Bereitstellungs- und Konfigurationsänderungen können lokal mithilfe von Azure Data Studio oder der geeigneten CLI erfolgen. Im Modus „Direkt verbunden“ können Sie auch Konfigurationsänderungen im Azure-Portal bereitstellen und vornehmen. |
Details zu Internetadressen, Ports, Verschlüsselung und Proxyserverunterstützung
| Service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Helm-Chart (nur direkt verbundener Modus) | 443 | arcdataservicesrow1.azurecr.ioarcdataservicesrow2.azurecr.io*.blob.core.windows.net |
Outbound | Stellt den Azure Arc-Datencontroller-Bootstrapper und der Objekte auf Clusterebene bereit, z. B. benutzerdefinierte Ressourcendefinitionen, Clusterrollen und Clusterrollenbindungen, abgerufen per Pull aus einer Azure Container Registry. |
| Azure Monitor-APIs 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Outbound | Azure Data Studio und die Azure CLI stellen eine Verbindung mit den Azure Resource Manager-APIs her, um für einige Funktionen Daten an Azure zu und aus Azure abzurufen. Siehe Azure Monitor-APIs. |
| Azure Arc-Datenverarbeitungsdienst 1 | 443 |
*.<region>.arcdataservices.com
2 |
Outbound |
1 Die Anforderung hängt vom Bereitstellungsmodus ab:
- Für den direkten Modus muss der Controller-Pod im Kubernetes-Cluster über ausgehende Verbindungen mit den Endpunkten verfügen, um die Protokolle, Metriken, Bestands- und Abrechnungsinformationen an Azure Monitor/Data Processing Service zu senden.
- Für den indirekten Modus muss der Computer, wo
az arcdata dc uploadausgeführt wird, über die ausgehende Verbindung zum Azure Monitor- und Datenverarbeitungsdienst verfügen.
2 Für Erweiterungsversionen bis einschließlich 13. Februar 2024 verwenden Sie san-af-<region>-prod.azurewebsites.net.
Azure Monitor-APIs
Verbindungen aus Azure Data Studio mit dem Kubernetes-API-Server verwenden die von Ihnen eingerichtete Kubernetes-Authentifizierung und -Verschlüsselung. Jeder Benutzer, der Azure Data Studio oder CLI verwendet, muss über eine authentifizierte Verbindung mit der Kubernetes-API verfügen, um viele der Aktionen im Zusammenhang mit Azure Arc-fähigen Datendiensten auszuführen.
Zusätzliche Netzwerkanforderungen
Darüber hinaus erfordert die Ressourcenbrücke Arc-fähige Kubernetes-Endpunkte.