Interní informace o konektoru služby

  • Článek

Service Connector je poskytovatel prostředků rozšíření Azure navržený tak, aby poskytoval jednoduchý způsob, jak vytvářet a spravovat připojení mezi službami Azure.

Service Connector nabízí následující funkce:

  • Umožňuje propojit služby Azure společně s jedním příkazem Azure CLI nebo několika kroky pomocí webu Azure Portal.
  • Podporuje rostoucí počet databází, úložiště, služeb v reálném čase, stav a úložiště tajných kódů, které se používají s vaší nativní aplikací v cloudu.
  • Konfiguruje nastavení sítě, ověřování a spravuje proměnné prostředí připojení nebo vlastnosti za vás.
  • Ověřuje připojení a poskytuje návrhy pro opravu chybných připojení.

Přehled připojení služby

Koncept připojení služby je klíčovým konceptem modelu prostředků konektoru služby. Připojení služby představuje abstrakci propojení mezi dvěma službami. Připojení služeb mají následující vlastnosti:

Vlastnost Popis
Název připojení Jedinečný název připojení služby.
Typ zdrojové služby Zdrojové služby jsou služby, ke které se můžete připojit k cílovým službám. Obvykle se jedná o výpočetní služby Azure a zahrnují Aplikace Azure Service, Azure Container Apps, Azure Functions, Azure Kubernetes Service (AKS) a Azure Spring Apps.
Typ cílové služby Cílové služby zálohují služby nebo závislé služby, ke kterým se vaše výpočetní služby připojují. Service Connector podporuje různé typy cílových služeb, včetně hlavních databází, úložišť, služeb v reálném čase, stavu a úložišť tajných kódů.
Typ klienta Typ klienta odkazuje na zásobník výpočetního modulu runtime, vývojovou architekturu nebo konkrétní typ klientské knihovny, která přijímá konkrétní formát proměnných nebo vlastností prostředí připojení.
Typ ověřování Typ ověřování používaný pro připojení služby. Může to být tajný klíč nebo připojovací řetězec, spravovaná identita nebo instanční objekt.

Zdrojové služby a cílové služby podporují více souběžných připojení služeb, což znamená, že každý prostředek můžete připojit k více prostředkům.

Service Connector spravuje připojení ve vlastnostech zdrojové instance. Vytváření, získávání, aktualizace a odstraňování připojení se provádí přímo otevřením instance zdrojové služby na webu Azure Portal nebo pomocí příkazů rozhraní příkazového řádku zdrojové služby.

Připojení se dají vytvořit napříč předplatnými nebo tenanty, což znamená, že zdrojové a cílové služby můžou patřit do různých předplatných nebo tenantů. Když vytvoříte nové připojení služby, prostředek připojení se ve výchozím nastavení vytvoří ve stejné oblasti jako instance výpočetní služby.

Vytvoření a aktualizace připojení služby

Service Connector spouští při vytváření nebo aktualizaci připojení služeb několik úloh, mezi které patří:

  • Konfigurace nastavení sítě a brány firewall Přečtěte si další informace o síťových řešeních.

  • Konfigurace informací o připojení Přečtěte si další informace o konfiguracích připojení.

  • Konfigurace ověřovacích informací Service Connector podporuje všechny dostupné typy ověřování mezi zdrojovými službami a cílovými službami.

    • Spravovaná identita přiřazená systémem Service Connector umožňuje spravované identitě přiřazené systémem ve zdrojových službách, pokud ještě není povolená, a pak udělí spravované identitě role RBAC cílových služeb. Uživatel může zadat role, které se mají udělit.
    • Spravovaná identita přiřazená uživatelem Service Connector umožňuje spravované identitě přiřazené uživatelem ve zdrojových službách, pokud ještě není povolená, a pak udělí spravované identitě role RBAC cílových služeb. Uživatel může zadat role, které se mají udělit.
    • Připojovací řetězec. Konektor služby načte připojovací řetězec z cílových služeb, jako je Storage, Redis Cache atd., nebo vytváří připojovací řetězec na základě uživatelského vstupu, jako je azure database for SQL, PostgreSQL atd.
    • Instanční objekt. Service Connector uděluje role RBAC cílových služeb spravované identitě. Uživatel může zadat role, které se mají udělit.

    Service Connector ukládá odpovídající konfigurace ověřování do zdrojových služeb, například ukládání AZURE_CLIENT_ID, AZURE_TENANT_ID, AZURE_STORAGEACCOUNT_ENDPOINT pro úložiště s typem ověřování spravované identity přiřazené uživatelem.

  • Vytvoření nebo aktualizace vrácení připojení zpět v případě selhání

Pokud během tohoto procesu dojde k selhání kroku, konektor Service Connector vrátí zpět všechny předchozí kroky, aby se zachovala počáteční nastavení ve zdrojových a cílových instancích.

Poskytovatel prostředků

Microsoft.ServiceLinker je název poskytovatele prostředků konektoru služby.

Když uživatel na webu Azure Portal otevře kartu Konektor služby, poskytovatel prostředků ServiceLinker se automaticky zaregistruje v aktivním předplatném uživatele. Uživatel, který registraci vygeneroval, je uveden jako iniciátor události registrace.

Service Connector umožňuje uživatelům připojit služby napříč předplatnými. Když uživatel vytvoří připojení k cílové službě zaregistrované v jiném předplatném, service Linker se zaregistruje také v předplatném cílové služby. K této registraci dochází, když uživatel před vytvořením připojení vybere kartu Zkontrolovat a vytvořit .

Konfigurace připojení

Konfigurace připojení jsou nastaveny ve zdrojové službě.

Na webu Azure Portal otevřete zdrojovou službu a přejděte na Service Connector. Rozbalte každé připojení a zobrazte konfigurace připojení.

Snímek obrazovky webu Azure Portal zobrazující podrobnosti o připojení služby

V rozhraní příkazového řádku použijte list-configuration příkaz k získání konfigurací připojení.

az webapp connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>

az spring connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>

az containerapp connection list-configuration --resource-group <source-service-resource-group> --name <source-service-name> --connection <connection-name>

Zásady vytváření názvů konfigurace

Service Connector nastaví konfiguraci připojení při vytváření připojení. Páry klíč-hodnota proměnné prostředí se určují na základě typu klienta a typu ověřování. Například použití sady Azure SDK se spravovanou identitou vyžaduje ID klienta, tajný klíč klienta atd. Použití ovladače JDBC vyžaduje připojovací řetězec databáze. Podle těchto konvencí pojmenujte konfigurace:

  • Klient Spring Boot: Knihovna Spring Boot pro každou cílovou službu má vlastní zásady vytváření názvů. Například nastavení připojení MySQL by bylo spring.datasource.url, spring.datasource.username, spring.datasource.password. Nastavení připojení Kafka by bylo spring.kafka.properties.bootstrap.servers.

  • Ostatní klienti:

    • Název klíče první konfigurace připojení používá formát <Cloud>_<Type>_<Name>. Například , AZURE_STORAGEBLOB_RESOURCEENDPOINTCONFLUENTCLOUD_KAFKA_BOOTSTRAPSERVER.
    • Pro stejný typ cílového prostředku používá název klíče druhé konfigurace připojení formát <Cloud>_<Type>_<Connection Name>_<Name>. Například , AZURE_STORAGEBLOB_CONN2_RESOURCEENDPOINTCONFLUENTCLOUD_KAFKA_CONN2_BOOTSTRAPSERVER.

Řešení sítě služeb

Service Connector nabízí tři síťová řešení, ze které si uživatelé můžou vybrat při vytváření připojení. Tato řešení jsou navržená tak, aby usnadnila zabezpečenou a efektivní komunikaci mezi prostředky.

  1. Brána firewall: Toto řešení umožňuje připojení prostřednictvím veřejné sítě a výpočetního prostředku, který přistupuje k cílovému prostředku s veřejnou IP adresou. Když vyberete tuto možnost, Konektor služby ověří nastavení brány firewall cílového prostředku a přidá pravidlo, které povolí připojení z veřejné IP adresy zdrojového prostředku. Pokud brána firewall prostředku podporuje povolení přístupu ke všem prostředkům Azure, konektor service connector toto nastavení povolí. Pokud ale cílový prostředek ve výchozím nastavení odepře veškerý veřejný síťový provoz, konektor služby toto nastavení nezmění. V takovém případě byste před dalším pokusem měli zvolit jinou možnost nebo aktualizovat nastavení sítě ručně.

  2. Koncový bod služby: Toto řešení umožňuje výpočetnímu prostředku připojit se k cílovým prostředkům přes virtuální síť a zajistit, aby provoz připojení neprošel veřejnou sítí. Je k dispozici pouze v případě splnění určitých předpokladů:

    • Výpočetní prostředek musí mít povolenou integraci virtuální sítě. Pro službu Aplikace Azure je možné ji nakonfigurovat v nastavení sítě. Pro Azure Spring Apps musí uživatelé během fáze vytváření prostředků nastavit injektáž virtuální sítě.
    • Cílová služba musí podporovat koncový bod služby. Seznam podporovaných služeb najdete v koncových bodech služeb virtuální sítě.

    Když vyberete tuto možnost, konektor service connector přidá privátní IP adresu výpočetního prostředku ve virtuální síti do pravidel virtuální sítě cílového prostředku a povolí koncový bod služby v konfiguraci podsítě zdrojového prostředku. Pokud uživatel nemá dostatečná oprávnění nebo skladovou položku prostředku nebo oblast nepodporuje koncové body služby, vytvoření připojení se nezdaří.

  3. Privátní koncový bod: Toto řešení je doporučený způsob připojení prostředků přes virtuální síť a je k dispozici pouze v případě splnění určitých předpokladů:

  • Výpočetní prostředek musí mít povolenou integraci virtuální sítě. Pro službu Aplikace Azure je možné ji nakonfigurovat v nastavení sítě. Pro Azure Spring Apps musí uživatelé během fáze vytváření prostředků nastavit injektáž virtuální sítě.

  • Cílová služba musí podporovat privátní koncové body. Seznam podporovaných služeb najdete v části Prostředek Private-Link.

    Když vyberete tuto možnost, Service Connector neprovádí žádné další konfigurace ve výpočetních nebo cílových prostředcích. Místo toho ověří existenci platného privátního koncového bodu a připojení selže, pokud ho nenajdete. Pro usnadnění můžete uživatelům při vytváření připojení zaškrtnout políčko Nový privátní koncový bod na webu Azure Portal. Díky tomu Service Connector automaticky vytvoří všechny související prostředky pro privátní koncový bod ve správném pořadí a zjednoduší proces vytváření připojení.

Ověření připojení služby

Při ověřování připojení konektor service zkontroluje následující prvky:

  • Zdroj a cílové prostředky existují.
  • Zdroj: jsou zaregistrovány správné informace o připojení.
  • Cíl: registrují se správná nastavení sítě a brány firewall.
  • Zdrojové a cílové prostředky: jsou zaregistrovány správné ověřovací informace.

Odstranění připojení

Při odstranění připojení služby se odstraní také informace o připojení.

Další kroky

Další informace o konektoru Service Connector najdete v následujícím článku o konceptu.

Vysoká dostupnost