Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit le mode de connectivité disponible pour les services de données avec Azure Arc et leurs exigences respectives.
Mode de connectivité
Les services de données avec Azure Arc prennent en charge le mode de connectivité directe.
Note
La connexion indirecte est retirée. Septembre 2025.
Lorsque les services de données avec Azure Arc sont directement connectés à Azure, vous pouvez utiliser les API Azure Resource Manager, Azure CLI et le portail Azure pour utiliser les services de données Azure Arc. L’expérience en mode de connexion directe est très similaire à l’utilisation d’un autre service Azure avec l’approvisionnement, le déprovisionnement, la mise à l’échelle, la configuration, etc., dans le portail Azure.
En outre, Microsoft Entra ID et le contrôle d’accès en fonction du rôle Azure peuvent être utilisés en mode connecté directement, car il existe une dépendance d’une connexion continue et directe à Azure pour fournir cette fonctionnalité.
Certains services attachés à Azure sont disponibles uniquement lorsqu’ils peuvent être directement accessibles, tels que Container Insights, et la sauvegarde automatique dans le stockage Blob Azure.
Connecté directement
- Description : fournit tous les services lorsqu’une connexion directe à Azure est disponible. Les connexions sont toujours lancées à partir de votre environnement vers Azure à l’aide de ports/protocoles standard (par exemple HTTPS/443).
- Disponibilité actuelle : Disponible
- Cas d’usage classiques : environnements de cloud public (Azure, AWS, GCP) ; sites de périphérie disposant d’une connectivité Internet autorisée (vente au détail, fabrication) ; centres de données d’entreprise avec des stratégies de connectivité permissives.
- Comment les données sont envoyées à Azure : les données sont automatiquement et envoyées en continu à Azure.
Connecté indirectement (retiré)
- Description : Offre la plupart des services de gestion localement sans connexion continue à Azure. Une quantité minimale de données de facturation et d’inventaire est exportée vers un fichier et chargée sur Azure au moins une fois par mois ; Certaines fonctionnalités dépendantes d’Azure ne sont pas disponibles.
- Disponibilité actuelle : Mise hors service
- Cas d’usage typiques : centres de données locaux réglementés (financiers, soins de santé, gouvernement) ; sites périphériques sans Internet (pétrole/gaz, militaire) ; sites avec connectivité intermittente (stades, navires de croisière).
- Comment les données sont envoyées à Azure : une des trois options : (1) processus automatisé qui exporte de la région sécurisée vers Azure, (2) l’exportation automatisée vers une région moins sécurisée et le chargement vers Azure, ou (3) l’exportation et le chargement manuels. Les deux premiers peuvent être prévus pour des transferts fréquents.
Disponibilité des fonctionnalités par mode de connectivité
| Feature | Connecté indirectement (retiré) | Connecté directement |
|---|---|---|
| Haute disponibilité automatique | Supported | Supported |
| Approvisionnement en libre-service | Supported Utilisez Azure Data Studio, l’interface CLI appropriée ou des outils natifs Kubernetes, tels que Helm, kubectl ou oc, ou utilisez l’approvisionnement Kubernetes GitOps avec Azure Arc. |
Supported Outre les options de création en mode connecté indirectement, vous pouvez créer via le portail Azure, des API Azure Resource Manager, Azure CLI ou des modèles Resource Manager. |
| Extensibilité élastique | Supported | Supported |
| Billing | Supported Les données de facturation sont régulièrement exportées et envoyées à Azure. |
Supported Les données de facturation sont envoyées automatiquement et en permanence à Azure, et elles sont reflétées en temps quasi réel. |
| Gestion des stocks | Supported Les données d’inventaire sont régulièrement exportées et envoyées à Azure. Utilisez des outils clients comme Azure Data Studio, Azure Data CLI ou kubectl pour afficher et gérer l’inventaire localement. |
Supported Les données d’inventaire sont envoyées automatiquement et en permanence à Azure, et elles sont reflétées en temps quasi réel. Vous pouvez ainsi gérer l’inventaire directement à partir du portail Azure. |
| Mises à niveau et mises à jour correctives automatiques | Supported Le contrôleur de données doit avoir un accès direct à Microsoft Container Registry (MCR) ou les images de conteneur doivent être extraites de la valeur de la clé et transmises à un registre de conteneurs privé local auquel le contrôleur de données a accès. |
Supported |
| Sauvegarde et restauration automatiques | Supported Sauvegarde et restauration locales automatiques. |
Supported Outre la sauvegarde et la restauration locales automatisées, vous pouvez éventuellement envoyer des sauvegardes au stockage Blob Azure pour une rétention hors site à long terme. |
| Monitoring | Supported Analyse locale à l’aide des tableaux de bord Grafana et Kibana. |
Supported En plus des tableaux de bord de surveillance locaux, vous pouvez éventuellement envoyer des données et des journaux de surveillance à Azure Monitor pour une surveillance à grande échelle de plusieurs sites à un seul endroit. |
| Authentication | Utilisez le nom d’utilisateur/mot de passe local pour l’authentification du contrôleur de données et du tableau de bord. Utilisez soit les connexions SQL et Postgres, soit Active Directory (AD n’est pas pris en charge pour le moment) pour la connectivité aux instances de base de données. Utilisez les fournisseurs d’authentification Kubernetes pour l’authentification auprès de l’API Kubernetes. | En plus ou au lieu des méthodes d’authentification pour le mode connecté indirectement, vous pouvez éventuellement utiliser l’ID Microsoft Entra. |
| Contrôle d’accès en fonction du rôle (RBAC) | Utilisez le contrôle d’accès en fonction du rôle Kubernetes sur l’API Kubernetes. Utilisez le contrôle d’accès en fonction du rôle SQL et Postgres pour les instances de base de données. | Vous pouvez utiliser Microsoft Entra ID et Azure RBAC. |
Connectivité requise
Certaines fonctionnalités nécessitent une connexion à Azure.
Toutes les communications avec Azure sont toujours lancées à partir de votre environnement. Cela est vrai même pour les opérations qui sont initiées par un utilisateur dans le portail Azure. Dans ce cas, une tâche est effectivement mise en file d’attente dans Azure. Un agent de votre environnement lance la communication avec Azure pour voir quelles tâches sont dans la file d’attente, exécute les tâches et renvoie l’état/l’achèvement/l’échec à Azure.
| Type de données | Direction | Required/Optional | Coûts supplémentaires | Mode requis | Notes |
|---|---|---|---|---|---|
| Images de conteneurs | Microsoft Container Registry -> Client | Required | No | Indirect ou direct | Les images conteneur sont la méthode de distribution du logiciel. Dans un environnement qui peut se connecter à Microsoft Container Registry (MCR) par le biais d’Internet, les images de conteneur peuvent être extraites directement à partir de la valeur de la valeur. Si l’environnement de déploiement ne dispose pas d’une connectivité directe, vous pouvez extraire les images de la clé et les envoyer vers un registre de conteneurs privé dans l’environnement de déploiement. Au moment de la création, vous pouvez configurer le processus de création pour effectuer l’extraction à partir du registre de conteneurs privé au lieu de MCR. Cela s’applique également aux mises à jour automatisées. |
| Inventaire des ressources | Environnement client -> Azure | Required | No | Indirect ou direct | Un inventaire des contrôleurs de données, les instances de base de données sont conservées dans Azure à des fins de facturation et également à des fins de création d’un inventaire de tous les contrôleurs de données et instances de base de données dans un emplacement qui est particulièrement utile si vous avez plusieurs environnements avec les services de données Azure Arc. À mesure que les instances sont approvisionnées, annulées, mises à l’échelle (scale-up/scale-down), l’inventaire est mis à jour dans Azure. |
| Données de télémétrie de facturation | Environnement client -> Azure | Required | No | Indirect ou direct | L’utilisation des instances de base de données doit être envoyée à Azure à des fins de facturation. |
| Analyse des données et des journaux | Environnement client -> Azure | Optional | Peut-être en fonction du volume de données (voir Tarification Azure Monitor) | Indirect ou direct | Vous pouvez envoyer les données de surveillance et les journaux collectés localement à Azure Monitor pour agréger des données dans plusieurs environnements à un même emplacement et pour utiliser des services Azure Monitor comme des alertes, à l’aide des données d’Azure Machine Learning, etc. |
| Contrôle d’accès en fonction du rôle Azure (Azure RBAC) | Environnement client -> Azure -> Environnement client | Optional | No | Direct uniquement | Si vous souhaitez utiliser Azure RBAC, la connectivité doit être établie avec Azure à tout moment. Si vous ne souhaitez pas utiliser Azure RBAC, vous pouvez utiliser le contrôle d’accès en fonction du rôle Kubernetes local. |
| Microsoft Entra ID (futur) | Environnement client -> Azure -> environnement client | Optional | Peut-être, mais vous payez déjà peut-être Microsoft Entra ID | Direct uniquement | Si vous souhaitez utiliser Microsoft Entra ID pour l’authentification, la connectivité doit être établie avec Azure à tout moment. Si vous ne souhaitez pas utiliser Microsoft Entra ID pour l’authentification, vous pouvez utiliser les services de fédération Active Directory (AD FS) sur Active Directory. Disponibilité en attente en mode de connexion directe |
| Sauvegarde et restauration | Environnement client -> Environnement client | Required | No | Direct ou indirect | Le service de sauvegarde et de restauration peut être configuré pour pointer vers des classes de stockage locales. |
| Sauvegarde Azure – Conservation à long terme (à venir) | Environnement client -> Azure | Optional | Oui, pour Stockage Azure | Direct uniquement | Vous souhaiterez peut-être envoyer des sauvegardes effectuées localement à Sauvegarde Azure pour la rétention à long terme et hors site des sauvegardes, puis les remettre dans l’environnement local pour la restauration. |
| Mise en service et modification de la configuration à partir du Portail Azure | Environnement client -> Azure -> environnement client | Optional | No | Direct uniquement | Les modifications de provisionnement et de configuration peuvent être effectuées localement à l’aide d’Azure Data Studio ou de l’interface CLI appropriée. En mode de connexion directe, vous pouvez également approvisionner et apporter des modifications de configuration à partir du portail Azure. |
Détails sur les adresses Internet, les ports, le chiffrement et la prise en charge du serveur proxy
| Service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Graphique Helm (mode de connexion directe uniquement) | 443 | arcdataservicesrow1.azurecr.ioarcdataservicesrow2.azurecr.io*.blob.core.windows.net |
Outbound | Approvisionne les objets de programme d’amorçage et de niveau de cluster du contrôleur de données Azure Arc, tels que les définitions de ressources personnalisées, les rôles de cluster et les liaisons de rôle de cluster. Extrait d’Azure Container Registry. |
| API Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Outbound | Azure Data Studio et Azure CLI se connectent aux API Azure Resource Manager pour envoyer et récupérer des données vers et depuis Azure pour certaines fonctionnalités. Consultez la section API Azure Monitor. |
| Service de traitement des données Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
Outbound |
1 Condition requise dépend du mode de déploiement :
- Pour le mode direct, le pod de contrôleur sur le cluster Kubernetes doit disposer d’une connectivité sortante aux points de terminaison pour envoyer les journaux, les métriques, l’inventaire et les informations de facturation à Azure Monitor/service de traitement des données.
- Pour le mode indirect, la machine qui exécute
az arcdata dc uploaddoit disposer de la connectivité sortante à Azure Monitor et au service de traitement des données.
2 Pour les versions d’extension jusqu’au 13 février 2024, utilisez san-af-<region>-prod.azurewebsites.net.
API Azure Monitor
La connectivité d’Azure Data Studio au serveur d’API Kubernetes utilise l’authentification et le chiffrement Kubernetes que vous avez établis. Chaque utilisateur qui utilise Azure Data Studio ou CLI doit disposer d’une connexion authentifiée à l’API Kubernetes pour effectuer de nombreuses actions liées aux services de données avec Azure Arc.
Conditions requises supplémentaires du réseau
De plus, le pont de ressources nécessite des points de terminaison Kubernetes avec Arc.