この記事では、Azure Arc 対応データ サービスで使用できる接続モードと、それぞれの要件について説明します。
接続モード
Azure Arc 対応データ サービスでは、直接接続モードがサポートされています。
注
間接接続は廃止されました。 2025 年 9 月。
Azure Arc 対応データ サービスが Azure に直接接続されている場合は、 Azure Resource Manager API、Azure CLI、Azure portal を使用して Azure Arc データ サービスを操作できます。 直接接続モードのエクスペリエンスは、プロビジョニング/プロビジョニング解除、スケーリング、構成など、すべて Azure portal 内で他の Azure サービスを使用する方法とほぼ同じです。
また、Microsoft Entra ID と Azure ロールベースのアクセス制御は、直接接続モードでのみ使用することができます。これは、Azure への継続的な直接接続に依存してこの機能が提供されるためです。
一部の Azure 接続サービスは、Container Insights や Azure BLOB ストレージへの自動バックアップなど、直接アクセスできる場合にのみ使用できます。
直接接続
- 説明: Azure への直接接続が使用可能な場合に、すべてのサービスを提供します。 接続は、標準のポート/プロトコル (HTTPS/443 など) を使用して、環境から Azure に対して常に開始されます。
- 現在の可用性: 利用可能
- 一般的なユース ケース: パブリック クラウド環境 (Azure、AWS、GCP);インターネット接続が許可されているエッジ サイト (小売、製造)制限の緩やかな接続ポリシーを持つ企業のデータセンター。
- データを Azure に送信する方法: データは自動的かつ継続的に Azure に送信されます。
間接接続 (廃止済み)
- 説明: Azure への継続的な接続なしで、ほとんどの管理サービスをローカルで提供します。 最小限の課金およびインベントリ データがファイルにエクスポートされ、少なくとも 1 か月に 1 回 Azure にアップロードされます。Azure に依存する一部の機能は使用できません。
- 現在の可用性: 廃止
- 一般的なユース ケース: 規制対象のオンプレミス データ センター (金融、医療、政府)インターネットのないエッジサイト(石油/ガス、軍事);間欠的な接続を持つサイト (スタジアム、クルーズ船)。
- データを Azure に送信する方法: (1) セキュリティで保護されたリージョンから Azure にエクスポートする自動化されたプロセス、(2) 安全性の低いリージョンへの自動エクスポートと Azure へのアップロード、または (3) 手動エクスポートとアップロードの 3 つのオプションのいずれか。 最初の 2 つを頻繁に転送するようにスケジュールできます。
接続モード別の機能の可用性
| Feature | 間接的に接続された(廃止) | 直接接続 |
|---|---|---|
| 自動高可用性 | Supported | Supported |
| セルフサービス プロビジョニング | Supported Azure Data Studio、適切な CLI、Kubernetes ネイティブ ツール (Helm、 kubectl、oc など)、または Azure Arc 対応の Kubernetes GitOps プロビジョニングを使用します。 |
Supported 間接接続モードの作成オプションに加えて、Azure portal、Azure Resource Manager API、Azure CLI、または ARM テンプレートを使用して作成することもできます。 |
| 柔軟なスケーラビリティ | Supported | Supported |
| Billing | Supported 請求データは定期的にエクスポートされ、Azure に送信されます。 |
Supported 請求データは自動的かつ継続的に Azure に送信され、ほぼリアルタイムで反映されます。 |
| 在庫管理 | Supported インベントリ データは定期的にエクスポートされ、Azure に送信されます。 Azure Data Studio、Azure Data CLI、 kubectl などのクライアント ツールを使用して、インベントリをローカルで表示および管理します。 |
Supported インベントリ データは自動的かつ継続的に Azure に送信され、ほぼリアルタイムで反映されます。 そのため、Azure portal から直接インベントリを管理できます。 |
| 自動アップグレードとパッチ適用 | Supported データ コントローラーから Microsoft Container Registry (MCR) に直接アクセスできる必要があります。または、コンテナー イメージを MCR からプルして、データ コントローラーからアクセスできるローカルのプライベート コンテナー レジストリにプッシュする必要があります。 |
Supported |
| 自動バックアップと復元 | Supported 自動ローカル バックアップと復元。 |
Supported ローカルの自動バックアップと復元に加えて、 必要に応じて 、長期的なオフサイトリテンション期間のために Azure BLOB ストレージにバックアップを送信することもできます。 |
| Monitoring | Supported Grafana と Kibana のダッシュボードを使用したローカル監視。 |
Supported ローカル監視ダッシュボードに加えて、 必要に応じて 監視データとログを Azure Monitor に送信して、複数のサイトを 1 か所で大規模に監視できます。 |
| Authentication | データ コントローラーとダッシュボードの認証には、ローカルのユーザー名/パスワードを使用します。 データベース インスタンスへの接続には、SQL と Postgres ログインまたは Active Directory (AD は現時点ではサポートされていません) を使用します。 Kubernetes API への認証には Kubernetes 認証プロバイダーを使用します。 | 間接的に接続されたモードの認証方法に加えて、または代わりに、 必要に応じて Microsoft Entra ID を使用できます。 |
| ロールベースのアクセス制御 (RBAC) | Kubernetes API では Kubernetes RBAC を使用します。 データベース インスタンスには SQL および Postgres RBAC を使用します。 | Microsoft Entra ID と Azure RBAC を使用できます。 |
接続の要件
一部の機能では Azure への接続が必要です。
Azure とのすべての通信は常に、ご利用の環境から開始されます。 これは、Azure portal 内でユーザーが開始する操作にも当てはまります。 その場合、実質的にタスクが存在し、Azure でキューに登録されます。 環境内のエージェントによって、キュー内のタスクを確認するために Azure との通信が開始され、タスクが実行されて、ステータス/完了/失敗が Azure に報告されます。
| データの種類 | Direction | Required/Optional | 追加コスト | モードが必要です | Notes |
|---|---|---|---|---|---|
| コンテナー イメージ | Microsoft Container Registry -> 顧客 | Required | No | 間接または直接 | コンテナー イメージは、ソフトウェアを配布するための方法です。 インターネット経由で Microsoft Container Registry (MCR) に接続できる環境では、コンテナー イメージを MCR から直接プルできます。 デプロイ環境から直接接続することができない場合、MCR からイメージをプルして、デプロイ環境内のプライベート コンテナー レジストリにそれらをプッシュすることができます。 作成時に、MCR の代わりにプライベート コンテナー レジストリからプルするように作成プロセスを構成できます。 これは自動更新にも適用されます。 |
| リソース インベントリ | お客様の環境 -> Azure | Required | No | 間接または直接 | データ コントローラーのインベントリ、データベース インスタンスは、課金目的で Azure に保持されます。また、すべてのデータ コントローラーとデータベース インスタンスのインベントリを 1 か所に作成する目的で保持されます。これは、Azure Arc データ サービスを使用する複数の環境がある場合に特に便利です。 インスタンスがプロビジョニング、プロビジョニング解除、スケールアウト/イン、スケールアップ/ダウンされると、Azure でインベントリが更新されます。 |
| 請求テレメトリ データ | お客様の環境 -> Azure | Required | No | 間接または直接 | 請求のために、データベース インスタンスの使用率を Azure に送信する必要があります。 |
| 監視データとログ | お客様の環境 -> Azure | Optional | データ量によって異なる場合があります (「Azure Monitor の価格」を参照) | 間接または直接 | 複数の環境にわたるデータを 1 か所に集約するために、ローカルで収集された監視データとログを Azure Monitor に送信することができます。また、Azure Machine Learning 内のデータを使用して、アラートなどの Azure Monitor サービスを使用することもできます。 |
| Azure ロールベースのアクセス制御 (Azure RBAC) | お客様の環境 -> Azure -> お客様の環境 | Optional | No | ダイレクトのみ | Azure RBAC を使用する場合は、常に Azure との接続が確立されている必要があります。 Azure RBAC を使用しない場合は、ローカルの Kubernetes RBAC を使用することができます。 |
| Microsoft Entra ID (予定) | お客様の環境 -> Azure -> お客様の環境 | Optional | 場合によっては、Microsoft Entra ID に対する支払いが既に発生している場合があります | ダイレクトのみ | 認証に Microsoft Entra ID を使う場合は、Azure との接続が常に確立されている必要があります。 認証に Microsoft Entra ID を使わない場合は、Active Directory を介して Active Directory フェデレーション サービス (AD FS) を使用できます。 直接接続モードの保留中の可用性 |
| バックアップと復元 | お客様の環境 -> お客様の環境 | Required | No | 直接または間接 | バックアップと復元サービスは、ローカル ストレージ クラスをポイントするように構成できます。 |
| Azure Backup - 長期保有期間 (将来) | お客様の環境 -> Azure | Optional | はい (Azure Storage の場合) | ダイレクトのみ | バックアップを長期間オフサイトで保持するために、ローカルで取得したバックアップを Azure Backup に送信し、復元のためにローカル環境に戻すことができます。 |
| Azure portal からのプロビジョニングと構成の変更 | お客様の環境 -> Azure -> お客様の環境 | Optional | No | ダイレクトのみ | プロビジョニングと構成の変更は、Azure Data Studio または適切な CLI を使用してローカルで行うことができます。 直接接続モードでは、Azure portal からプロビジョニングと構成変更を行うこともできます。 |
インターネット アドレス、ポート、暗号化、プロキシ サーバー サポートの詳細
| Service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Helm チャート (直接接続モードのみ) | 443 | arcdataservicesrow1.azurecr.io |
Outbound | Azure Arc データ コントローラーのブートストラッパーとクラスター レベルのオブジェクト (カスタム リソース定義、クラスター ロール、クラスター ロール バインディングなど) をプロビジョニングし、Azure Container Registry からプルされます。 |
| Azure monitor API 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Outbound | 一部の機能では、Azure との間でデータを送受信するために、Azure Data Studio および Azure CLI が Azure Resource Manager API に接続します。 「Azure Monitor API」をご覧ください。 |
| Azure Arc データ処理サービス 1 | 443 |
*.<region>.arcdataservices.com
2 |
Outbound |
1 要件は、デプロイ モードによって異なります。
- 直接モードの場合、Kubernetes クラスター上のコントローラー ポッドには、ログ、メトリック、インベントリ、課金情報を Azure Monitor とデータ処理サービスに送信するために、エンドポイントへのアウトバウンド接続が必要です。
- 間接モードの場合、
az arcdata dc uploadを実行するマシンには、Azure Monitor とデータ処理サービスへのアウトバウンド接続が必要です。
2 2024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net をお使いください。
Azure Monitor API
Azure Data Studio から Kubernetes API サーバーへの接続には、確立した Kubernetes 認証および暗号化が使用されます。 Azure Data Studio または CLI を使用している各ユーザーは、Azure Arc 対応データ サービスに関連した多くのアクションを実行するために、Kubernetes API への認証された接続を持っている必要があります。
追加のネットワーク要件
さらに、リソース ブリッジには、Arc 対応 Kubernetes エンドポイントが必要です。