Modalità e requisiti di connettività

Questo articolo descrive le modalità di connettività disponibili per i servizi dati abilitati per Azure Arc e i rispettivi requisiti.

Modalità di connettività

Sono disponibili più opzioni per il grado di connettività dall'ambiente dei servizi dati abilitato per Azure Arc in Azure. Poiché i requisiti variano in base ai criteri aziendali, alle normative governative o alla disponibilità della connettività di rete ad Azure, è possibile scegliere tra le modalità di connettività seguenti.

I servizi dati abilitati per Azure Arc offrono la possibilità di connettersi ad Azure in due diverse modalità di connettività:

  • Connessione diretta
  • Connessione indiretta

La modalità di connettività offre la flessibilità necessaria per scegliere la quantità di dati inviati ad Azure e il modo in cui gli utenti interagiscono con il controller dei dati di Arc. A seconda della modalità di connettività scelta, alcune funzionalità dei servizi dati abilitati per Azure Arc potrebbero o meno essere disponibili.

Importante, se i servizi dati abilitati per Azure Arc sono direttamente connessi ad Azure, gli utenti possono usare API di Azure Resource Manager, l'interfaccia della riga di comando di Azure e il portale di Azure per gestire i servizi dati di Azure Arc. L'esperienza in modalità connessa diretta è molto simile a come usare qualsiasi altro servizio di Azure con provisioning/deprovisioning, ridimensionamento, configurazione e così via, tutto nel portale di Azure. Se i servizi dati abilitati per Azure Arc sono connessi indirettamente ad Azure, il portale di Azure ha una visualizzazione di sola lettura. È possibile visualizzare l'inventario delle istanze gestite di SQL e dei server PostgreSQL distribuiti e i dettagli su di essi, ma non è possibile intervenire su di essi nel portale di Azure. Nella modalità connessa indirettamente, tutte le azioni devono essere eseguite in locale usando Azure Data Studio, l'interfaccia della riga di comando appropriata o gli strumenti nativi kubernetes, ad esempio kubectl.

Inoltre, Microsoft Entra ID e il controllo degli accessi in base al ruolo di Azure possono essere usati solo in modalità connessa direttamente perché esiste una dipendenza da una connessione continua e diretta ad Azure per fornire questa funzionalità.

Alcuni servizi collegati ad Azure sono disponibili solo quando possono essere raggiunti direttamente, ad esempio Informazioni dettagliate contenitore e backup nell'archiviazione BLOB.

Con connessione indiretta Con connessione diretta Mai connesso
Descrizione La modalità di connessione indiretta offre la maggior parte dei servizi di gestione in locale nell'ambiente senza connessione diretta ad Azure. Una quantità minima di dati deve essere inviata ad Azure solo per scopi di inventario e fatturazione. Viene esportata in un file e caricata in Azure almeno una volta al mese. Non è necessaria alcuna connessione diretta o continua ad Azure. Alcune funzionalità e servizi che richiedono una connessione ad Azure non saranno disponibili. La modalità connessa diretta offre tutti i servizi disponibili quando è possibile stabilire una connessione diretta con Azure. Le connessioni vengono sempre avviate da ambiente ad Azure e usano porte e protocolli standard come HTTPS/443. Non è possibile inviare dati ad o da Azure in alcun modo.
Disponibilità corrente Disponibile Disponibile Attualmente non supportata.
Casi d'uso tipici Data center locali che non consentono la connettività all'interno o all'esterno dell'area dati del data center a causa di criteri di conformità aziendali o normativi o per problemi di attacchi esterni o esfiltrazione di dati. Esempi tipici: istituzioni finanziarie, assistenza sanitaria, governo.

Percorsi del sito perimetrale in cui il sito perimetrale in genere non ha connettività a Internet. Esempi tipici: applicazioni petrolifere/gas o militari.

Posizioni dei siti perimetrali con connettività intermittente con lunghi periodi di interruzioni. Esempi tipici: stadi, navi da crociera.
Organizzazioni che usano cloud pubblici. Esempi tipici: Azure, AWS o Google Cloud.

Percorsi del sito perimetrale in cui la connettività Internet è in genere presente e consentita. Esempi tipici: punti vendita al dettaglio, produzione.

Data center aziendali con criteri più permissivi per la connettività da/verso l'area dati del data center a Internet. Esempi tipici: imprese non regolamentate, piccole e medie imprese
Ambienti veramente "air-gapped" in cui nessun dato in qualsiasi circostanza può provenire o passare dall'ambiente dati. Esempi tipici: strutture governative top secret.
Come i dati vengono inviati ad Azure Sono disponibili tre opzioni per l'invio dei dati di fatturazione e inventario ad Azure:

1) I dati vengono esportati dall'area dati da un processo automatizzato con connettività sia all'area dati sicura che ad Azure.

2) I dati vengono esportati dall'area dati da un processo automatizzato all'interno dell'area dati, copiati automaticamente in un'area meno sicura e un processo automatizzato nell'area meno sicura carica i dati in Azure.

3) I dati vengono esportati manualmente da un utente all'interno dell'area protetta, portati manualmente dall'area sicura e caricati manualmente in Azure.

Le prime due opzioni sono un processo continuo automatizzato che può essere pianificato per l'esecuzione frequente, quindi si verifica un ritardo minimo nel trasferimento dei dati in Azure soggetto solo alla connettività disponibile in Azure.
I dati vengono inviati automaticamente e continuamente ad Azure. I dati non vengono mai inviati ad Azure.

Disponibilità delle funzionalità in base alla modalità di connettività

Funzionalità Con connessione indiretta Con connessione diretta
Disponibilità elevata automatica Supportata Supportata
Provisioning self-service Supportata
Usare Azure Data Studio, l'interfaccia della riga di comando appropriata o gli strumenti nativi Kubernetes come Helm, kubectl o ocoppure usare il provisioning di Kubernetes abilitato per Azure Arc.
Supportata
Oltre alle opzioni di creazione in modalità connessa indirettamente, è anche possibile creare tramite il portale di Azure, le API di Azure Resource Manager, l'interfaccia della riga di comando di Azure o i modelli di ARM.
Scalabilità elastica Supportata Supportata
Fatturazione Supportata
I dati di fatturazione vengono esportati periodicamente e inviati ad Azure.
Supportata
I dati di fatturazione vengono inviati automaticamente e continuamente ad Azure e riflesse quasi in tempo reale.
Gestione magazzino Supportata
I dati di inventario vengono esportati periodicamente e inviati ad Azure.

Usare strumenti client come Azure Data Studio, l'interfaccia della riga di comando dei dati di Azure o kubectl per visualizzare e gestire l'inventario in locale.
Supportata
I dati di inventario vengono inviati automaticamente e continuamente ad Azure e riflesse quasi in tempo reale. Di conseguenza, è possibile gestire l'inventario direttamente dal portale di Azure.
Aggiornamenti automatici e applicazione di patch Supportata
Il controller dei dati deve avere accesso diretto al Registro Contenitori Microsoft o le immagini del contenitore devono essere estratte da MCR ed è necessario eseguire il push in un registro contenitori locale e privato a cui il titolare del trattamento dei dati può accedere.
Supportata
Backup e ripristino automatici Supportata
Backup e ripristino locali automatici.
Supportata
Oltre al backup e al ripristino locali automatizzati, è possibile facoltativamente inviare backup all'archiviazione BLOB di Azure per la conservazione fuori sede a lungo termine.
Monitoraggio Supportata
Monitoraggio locale tramite dashboard Grafana e Kibana.
Supportata
Oltre ai dashboard di monitoraggio locale, è possibile facoltativamente inviare dati e log di monitoraggio a Monitoraggio di Azure per il monitoraggio su larga scala di più siti in un'unica posizione.
Autenticazione Usare il nome utente/password locale per il controller dati e l'autenticazione del dashboard. Usare account di accesso SQL e Postgres o Active Directory (AD attualmente non supportato) per la connettività alle istanze del database. Usare i provider di autenticazione Kubernetes per l'autenticazione all'API Kubernetes. Oltre o al posto dei metodi di autenticazione per la modalità connessa indirettamente, è possibile facoltativamente usare Microsoft Entra ID.
Controllo degli accessi in base al ruolo Usare il controllo degli accessi in base al ruolo di Kubernetes nell'API Kubernetes. Usare il controllo degli accessi in base al ruolo di SQL e Postgres per le istanze del database. È possibile usare Microsoft Entra ID e Controllo degli accessi in base al ruolo di Azure.

Requisiti di connettività

Alcune funzionalità richiedono una connessione ad Azure.

Tutte le comunicazioni con Azure vengono sempre avviate dall'ambiente. Questo vale anche per le operazioni avviate da un utente nel portale di Azure. In tal caso, esiste effettivamente un'attività, che viene accodata in Azure. Un agente nell'ambiente avvia la comunicazione con Azure per vedere quali attività si trovano nella coda, esegue le attività e segnala lo stato/completamento/non riesce ad Azure.

Tipo di dati Direzione Obbligatoria/Facoltativa Costi aggiuntivi Modalità obbligatoria Note
Immagini dei contenitori Registro Container Microsoft -> Cliente Richiesto No Diretto o indiretto Le immagini del contenitore rappresentano il metodo per la distribuzione del software. In un ambiente che può connettersi al Registro Container Microsoft tramite Internet, le immagini del contenitore possono essere estratte direttamente da MCR. Se l'ambiente di distribuzione non dispone di connettività diretta, è possibile eseguire il pull delle immagini da MCR ed eseguirne il push in un registro container privato nell'ambiente di distribuzione. In fase di creazione, è possibile configurare il processo di creazione per eseguire il pull dal registro container privato invece di MCR. Questo vale anche per gli aggiornamenti automatizzati.
Inventario risorse Ambiente del cliente -> Azure Richiesto No Diretto o indiretto Un inventario dei controller dei dati, le istanze di database (PostgreSQL e SQL) vengono mantenute in Azure per scopi di fatturazione e anche per la creazione di un inventario di tutti i controller dei dati e delle istanze di database in un'unica posizione, particolarmente utile se si dispone di più di un ambiente con i servizi dati di Azure Arc. Quando viene effettuato il provisioning delle istanze, il deprovisioning, la scalabilità out/in, l'aumento/riduzione dell'inventario viene aggiornato in Azure.
Dati di telemetria di fatturazione Ambiente del cliente -> Azure Richiesto No Diretto o indiretto L'utilizzo delle istanze del database deve essere inviato ad Azure a scopo di fatturazione.
Monitoraggio dei dati e log Ambiente del cliente -> Azure Facoltativo A seconda del volume di dati (vedere Prezzi di Monitoraggio di Azure) Diretto o indiretto È possibile inviare i dati e i log di monitoraggio raccolti in locale a Monitoraggio di Azure per aggregare i dati in più ambienti in un'unica posizione e usare anche i servizi di Monitoraggio di Azure come avvisi, usando i dati in Azure Machine Learning e così via.
Controllo degli accessi in base al ruolo di Azure Ambiente del cliente -> Azure - > Ambiente del cliente Facoltativo No Solo diretto Se si vuole usare il controllo degli accessi in base al ruolo di Azure, è necessario stabilire sempre la connettività con Azure. Se non si desidera usare il controllo degli accessi in base al ruolo di Azure, è possibile usare il controllo degli accessi in base al ruolo di Kubernetes locale.
Microsoft Entra ID (Future) Ambiente del cliente -> Azure - > Ambiente del cliente Facoltativo Forse, ma potresti già pagare per Microsoft Entra ID Solo diretto Se si vuole usare Microsoft Entra ID per l’autenticazione, è necessario stabilire sempre la connettività con Azure. Se non si desidera usare Microsoft Entra ID per l'autenticazione, è possibile usare Active Directory Federation Services (ADFS) su Active Directory. Disponibilità in sospeso in modalità direttamente connessa
Backup e ripristino Ambiente del cliente -> Ambiente del cliente Richiesto No Diretto o indiretto Il servizio di backup e ripristino può essere configurato in modo che punti alle classi di archiviazione locali.
Backup di Azure - Conservazione a lungo termine (Future) Ambiente del cliente -> Azure Facoltativo Sì, per Archiviazione di Azure Solo diretto È possibile inviare backup eseguiti localmente a Backup di Azure per la conservazione fuori sede dei backup a lungo termine e riportarli all'ambiente locale per il ripristino.
Modifiche di provisioning e configurazione dal portale di Azure Ambiente del cliente -> Azure - > Ambiente del cliente Facoltativo No Solo diretto Il provisioning e le modifiche alla configurazione possono essere apportate in locale usando Azure Data Studio o l'interfaccia della riga di comando appropriata. In modalità direttamente connessa è anche possibile effettuare il provisioning e apportare modifiche alla configurazione dal portale di Azure.

Informazioni dettagliate su indirizzi Internet, porte, crittografia e supporto del server proxy

Servizio Porta URL Direzione Note
Grafico Helm (solo modalità connessa diretta) 443 arcdataservicesrow1.azurecr.io In uscita Esegue il provisioning del programma di avvio automatico del controller dei dati di Azure Arc e degli oggetti a livello di cluster, ad esempio definizioni di risorse personalizzate, ruoli del cluster e associazioni di ruoli del cluster, viene eseguito il pull da un Registro Azure Container.
API di monitoraggio di Azure 1 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
In uscita Azure Data Studio e l'interfaccia della riga di comando di Azure si connettono alle API di Azure Resource Manager per inviare e recuperare dati da e verso Azure per alcune funzionalità. Vedere API di Monitoraggio di Azure.
Servizio di elaborazione dati di Azure Arc 1 443 *.<region>.arcdataservices.com 2 In uscita

1 Il requisito dipende dalla modalità di distribuzione:

  • Per la modalità diretta, il pod controller nel cluster Kubernetes deve avere connettività in uscita verso gli endpoint per inviare i log, le metriche, l'inventario e le informazioni di fatturazione a Monitoraggio di Azure/Servizio di elaborazione dati.
  • Per la modalità indiretta, il computer che esegue az arcdata dc upload deve avere la connettività in uscita verso Monitoraggio di Azure e verso il servizio di elaborazione dati.

2 Per le versioni delle estensioni fino al 13 febbraio 13 compreso, usare san-af-<region>-prod.azurewebsites.net.

API di monitoraggio di Azure

La connettività da Azure Data Studio al server API Kubernetes usa l'autenticazione e la crittografia kubernetes stabilita. Ogni utente che usa Azure Data Studio o l'interfaccia della riga di comando deve avere una connessione autenticata verso l'API Kubernetes per eseguire molte delle azioni correlate ai servizi dati abilitati per Azure Arc.

Requisiti di rete aggiuntivi

Inoltre, il bridge di risorse richiede endpoint Kubernetes abilitati per Arc.