Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano tryb łączności dostępny dla danych usług z obsługą technologii Azure Arc oraz ich odpowiednie wymagania.
Tryb łączności
Usługi danych obsługiwane przez Azure Arc obsługują tryb łączności bezpośredniej.
Uwaga / Notatka
Pośrednio połączone jest wycofane. Wrzesień 2025 r.
Gdy usługi danych z obsługą usługi Azure Arc są bezpośrednio połączone z platformą Azure, możesz używać interfejsów API usługi Azure Resource Manager, interfejsu wiersza polecenia platformy Azure i witryny Azure Portal do obsługi usług danych Azure Arc. Środowisko w trybie bezpośredniego połączenia przypomina użycie dowolnej innej usługi Azure z aprowizowaniem, anulowaniem aprowizacji, skalowaniem, konfigurowaniem itp., wszystko w portalu Azure.
Ponadto usługa Microsoft Entra ID i Kontrola dostępu oparta na rolach platformy Azure mogą być używane tylko w trybie bezpośrednio połączonym, ponieważ istnieje zależność od ciągłego i bezpośredniego połączenia z platformą Azure w celu zapewnienia tej funkcji.
Niektóre usługi dołączone do platformy Azure są dostępne tylko wtedy, gdy można uzyskać bezpośredni dostęp do usługi Container Insights i automatyczne tworzenie kopii zapasowych w usłudze Azure Blob Storage.
Bezpośrednie połączenie
- Opis: udostępnia wszystkie usługi, gdy jest dostępne bezpośrednie połączenie z platformą Azure. Połączenia są zawsze inicjowane ze środowiska do platformy Azure przy użyciu standardowych portów/protokołów (na przykład HTTPS/443).
- Bieżąca dostępność: Dostępna
- Typowe przypadki użycia: środowiska chmury publicznej (Azure, AWS, GCP); punktów brzegowych z dozwoloną łącznością internetową (sprzedaż detaliczna, produkcja); firmowe centra danych z permissywnymi zasadami łączności.
- Jak dane są wysyłane na platformę Azure: dane są automatycznie i stale wysyłane na platformę Azure.
Pośrednio połączone (wycofane)
- Opis: oferuje większość usług zarządzania lokalnie bez ciągłego połączenia z platformą Azure. Minimalna ilość danych dotyczących rozliczeń i spisu jest eksportowana do pliku i przekazywanych na platformę Azure co najmniej raz w miesiącu; niektóre funkcje zależne od platformy Azure są niedostępne.
- Bieżąca dostępność: Wycofano
- Typowe przypadki użycia: regulowane lokalne centra danych (finansowe, opieki zdrowotnej, instytucje rządowe); strony brzegowe bez Internetu (ropa naftowa/gaz, wojsko); miejsca z sporadycznymi połączeniami (stadiony, statki wycieczkowe).
- Sposób wysyłania danych na platformę Azure: jeden z trzech opcji — (1) zautomatyzowany proces, który eksportuje z bezpiecznego regionu do platformy Azure, (2) automatyczny eksport do mniej bezpiecznego regionu i przekazywanie do platformy Azure lub (3) ręczne eksportowanie i przekazywanie. Pierwsze dwa można zaplanować na częste transfery.
Dostępność funkcji według trybu łączności
| Feature | Pośrednio połączone (wycofane) | Bezpośrednie połączenie |
|---|---|---|
| Automatyczna wysoka dostępność | Supported | Supported |
| Samoobsługowe udostępnianie | Supported Użyj narzędzia Azure Data Studio, odpowiedniego interfejsu wiersza polecenia lub narzędzi natywnych platformy Kubernetes, takich jak Helm, kubectl, lub oc, albo użyj oprogramowania GitOps dla Kubernetes z obsługą Azure Arc. |
Supported Oprócz pośrednio połączonych opcji tworzenia trybu można również utworzyć go za pośrednictwem portalu Azure, interfejsów API usługi Azure Resource Manager, interfejsu wiersza polecenia Azure lub szablonów ARM. |
| Elastyczna skalowalność | Supported | Supported |
| Billing | Supported Dane rozliczeniowe są okresowo eksportowane i wysyłane na platformę Azure. |
Supported Dane rozliczeniowe są automatycznie i stale wysyłane na platformę Azure i odzwierciedlane niemal w czasie rzeczywistym. |
| Zarządzanie zapasami | Supported Dane spisu są okresowo eksportowane i wysyłane na platformę Azure. Użyj narzędzi klienckich, takich jak Azure Data Studio, Interfejs wiersza polecenia platformy Azure lub kubectl do lokalnego wyświetlania spisu i zarządzania nim. |
Supported Dane spisu są automatycznie i stale wysyłane na platformę Azure i odzwierciedlane niemal w czasie rzeczywistym. W związku z tym można zarządzać spisem bezpośrednio w witrynie Azure Portal. |
| Automatyczne uaktualnienia i stosowanie poprawek | Supported Kontroler danych musi mieć bezpośredni dostęp do rejestru Microsoft Container Registry (MCR) lub obrazy kontenerów muszą zostać ściągnięte z rejestru MCR i wypchnięte do lokalnego, prywatnego rejestru kontenerów, do którego ma dostęp kontroler danych. |
Supported |
| Automatyczne tworzenie kopii zapasowej i przywracanie | Supported Automatyczne tworzenie i przywracanie lokalnych kopii zapasowych. |
Supported Oprócz automatycznej lokalnej kopii zapasowej i przywracania można opcjonalnie wysyłać kopie zapasowe do usługi Azure Blob Storage w celu długoterminowego przechowywania poza witryną. |
| Monitoring | Supported Lokalne monitorowanie przy użyciu pulpitów nawigacyjnych Grafana i Kibana. |
Supported Oprócz lokalnych pulpitów nawigacyjnych monitorowania można opcjonalnie wysyłać dane monitorowania i dzienniki do usługi Azure Monitor w celu monitorowania na dużą skalę wielu lokacji w jednym miejscu. |
| Authentication | Użyj lokalnej nazwy użytkownika/hasła na potrzeby uwierzytelniania kontrolera danych i pulpitu nawigacyjnego. Użyj logowania SQL i Postgres lub Active Directory (AD nie jest obecnie obsługiwany) do łączności z instancjami baz danych. Użyj dostawców uwierzytelniania Kubernetes do uwierzytelniania w interfejsie API Kubernetes. | Oprócz metod uwierzytelniania lub zamiast metod uwierzytelniania w trybie pośrednio połączonym można opcjonalnie użyć identyfikatora Entra firmy Microsoft. |
| Kontrola dostępu oparta na rolach (RBAC) | Użyj RBAC Kubernetes w Kubernetes API. Użyj kontroli dostępu opartej na rolach SQL i Postgres dla wystąpień bazy danych. | Możesz użyć Microsoft Entra ID i Azure RBAC. |
Wymagania dotyczące łączności
Niektóre funkcje wymagają połączenia z platformą Azure.
Cała komunikacja z platformą Azure jest zawsze inicjowana ze środowiska. Dotyczy to nawet operacji inicjowanych przez użytkownika w witrynie Azure Portal. W takim przypadku istnieje zadanie, które jest kolejkowane na platformie Azure. Agent w środowisku inicjuje komunikację z platformą Azure, aby zobaczyć, jakie zadania znajdują się w kolejce, uruchamia zadania i zgłasza stan/ukończenie/niepowodzenie na platformie Azure.
| Typ danych | Direction | Required/Optional | Dodatkowe koszty | Wymagany tryb | Notes |
|---|---|---|---|---|---|
| Obrazy kontenerów | Rejestr Kontenerów Microsoft —> Klient | Required | No | Pośrednie lub bezpośrednie | Obrazy kontenerów to metoda dystrybucji oprogramowania. W środowisku, które może łączyć się z usługą Microsoft Container Registry (MCR) za pośrednictwem Internetu, obrazy kontenerów można ściągać bezpośrednio z mcR. Jeśli środowisko wdrażania nie ma bezpośredniej łączności, możesz ściągnąć obrazy z mcR i wypchnąć je do prywatnego rejestru kontenerów w środowisku wdrażania. W czasie tworzenia można skonfigurować proces tworzenia, aby pobierał dane z prywatnego rejestru kontenerów zamiast MCR. Dotyczy to również automatycznych aktualizacji. |
| Spis zasobów | Środowisko klienta —> Azure | Required | No | Pośrednie lub bezpośrednie | Spis kontrolerów danych, wystąpienia baz danych są przechowywane na platformie Azure do celów rozliczeniowych, a także do celów tworzenia spisu wszystkich kontrolerów danych i wystąpień bazy danych w jednym miejscu, co jest szczególnie przydatne, jeśli masz więcej niż jedno środowisko z usługami danych Azure Arc. W miarę aprowizacji, deprowizacji, skalowania w poziomie i pionie, inwentarz jest aktualizowany w Azure. |
| Dane telemetryczne dotyczące rozliczeń | Środowisko klienta —> Azure | Required | No | Pośrednie lub bezpośrednie | Do celów rozliczeniowych należy przesyłać do Azure użycie wystąpień bazy danych. |
| Monitorowanie danych i dzienników | Środowisko klienta —> Azure | Optional | Może w zależności od ilości danych (zobacz cennik usługi Azure Monitor) | Pośrednie lub bezpośrednie | Możesz wysłać lokalnie zebrane dane monitorowania i dzienniki do usługi Azure Monitor w celu agregowania danych w wielu środowiskach w jednym miejscu, a także do korzystania z usług Azure Monitor, takich jak alerty, przy użyciu danych w usłudze Azure Machine Learning itp. |
| Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) | Środowisko klienta —> Azure —> Środowisko klienta | Optional | No | Tylko bezpośredni | Jeśli chcesz używać kontroli dostępu opartej na rolach w Azure, łączność z Azure musi być utrzymywana cały czas. Jeśli nie chcesz używać kontroli dostępu opartej na rolach platformy Azure, możesz użyć lokalnej kontroli dostępu opartej na rolach platformy Kubernetes. |
| Microsoft Entra ID (przyszłość) | Środowisko klienta —> Azure —> środowisko klienta | Optional | Być może, ale możesz już płacić za identyfikator Entra firmy Microsoft | Tylko bezpośredni | Jeśli chcesz użyć identyfikatora Entra firmy Microsoft do uwierzytelniania, należy nawiązać łączność z platformą Azure przez cały czas. Jeśli nie chcesz używać identyfikatora Entra firmy Microsoft do uwierzytelniania, możesz użyć usług Active Directory Federation Services (ADFS) za pośrednictwem usługi Active Directory. Oczekiwanie na dostępność w trybie bezpośrednio połączonym |
| Tworzenie kopii zapasowej i przywracanie | Środowisko klienta —> środowisko klienta | Required | No | Bezpośrednie lub pośrednie | Usługę tworzenia i przywracania kopii zapasowych można skonfigurować tak, aby wskazywała lokalne klasy magazynu. |
| Kopia zapasowa platformy Azure — długoterminowe przechowywanie (przyszłość) | Środowisko klienta —> Azure | Optional | Tak dla usługi Azure Storage | Tylko bezpośredni | Możesz wysłać kopie zapasowe, które są pobierane lokalnie do usługi Azure Backup w celu długoterminowego przechowywania kopii zapasowych poza lokacją i przywrócić je do środowiska lokalnego w celu przywrócenia. |
| Zmiany aprowizacji i konfiguracji z witryny Azure Portal | Środowisko klienta —> Azure —> środowisko klienta | Optional | No | Tylko bezpośredni | Zmiany aprowizacji i konfiguracji można wykonać lokalnie przy użyciu narzędzia Azure Data Studio lub odpowiedniego interfejsu wiersza polecenia. W trybie bezpośrednio połączonym można również aprowizować i wprowadzać zmiany konfiguracji w witrynie Azure Portal. |
Szczegółowe informacje na temat obsługi adresów internetowych, portów, szyfrowania i serwera proxy
| Service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Wykres Helm (tylko tryb połączony bezpośrednio) | 443 | arcdataservicesrow1.azurecr.ioarcdataservicesrow2.azurecr.io*.blob.core.windows.net |
Outbound | Inicjuje się proces aprowizacji dla inicjatora danych usługi Azure Arc oraz obiektów na poziomie klastra, takich jak niestandardowe definicje zasobów, role klastra i powiązania ról klastra, które są pobierane z usługi Azure Container Registry. |
| Interfejsy API usługi Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Outbound | Usługa Azure Data Studio i interfejs wiersza polecenia platformy Azure łączą się z interfejsami API usługi Azure Resource Manager w celu wysyłania i pobierania danych do i z platformy Azure w celu uzyskania niektórych funkcji. Zobacz Interfejsy API usługi Azure Monitor. |
| Usługa przetwarzania danych usługi Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
Outbound |
1 Wymaganie zależy od trybu wdrożenia:
- W przypadku trybu bezpośredniego zasobnik kontrolera w klastrze Kubernetes musi mieć łączność wychodzącą do punktów końcowych, aby wysyłać dzienniki, metryki, inwentarz i informacje rozliczeniowe do usługi Azure Monitor/Data Processing Service.
- W przypadku trybu pośredniego maszyna, która działa
az arcdata dc upload, musi mieć łączność wychodzącą z usługami Azure Monitor i Data Processing Service.
2 W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net.
Interfejsy API usługi Azure Monitor
Łączność z narzędzia Azure Data Studio do serwera interfejsu API Kubernetes korzysta z uwierzytelniania i szyfrowania platformy Kubernetes, które zostało ustanowione. Każdy użytkownik korzystający z Azure Data Studio lub CLI musi mieć uwierzytelnione połączenie z API Kubernetes, aby wykonać wiele akcji związanych z usługami danych z obsługą Azure Arc.
Dodatkowe wymagania dotyczące sieci
Ponadto mostek zasobów wymaga punktów końcowych Kubernetes z obsługą Arc.