この記事では、Azure Arc 対応データ サービスで使用できる接続モードと、それぞれの要件について説明します。
接続モード
Azure Arc 対応データ サービスでは、直接接続モードがサポートされています。
注
間接接続は廃止されました。 2025 年 9 月。
Azure Arc 対応データ サービスが Azure に直接接続されている場合は、 Azure Resource Manager API、Azure CLI、Azure portal を使用して Azure Arc データ サービスを操作できます。 直接接続モードのエクスペリエンスは、プロビジョニング/プロビジョニング解除、スケーリング、構成など、すべて Azure portal 内で他の Azure サービスを使用する方法とほぼ同じです。
また、Microsoft Entra ID と Azure ロールベースのアクセス制御は、直接接続モードでのみ使用することができます。これは、Azure への継続的な直接接続に依存してこの機能が提供されるためです。
一部の Azure 接続サービスは、Container Insights や Azure BLOB ストレージへの自動バックアップなど、直接アクセスできる場合にのみ使用できます。
直接接続
- 説明: Azure への直接接続が使用可能な場合に、すべてのサービスを提供します。 接続は、標準のポート/プロトコル (HTTPS/443 など) を使用して、環境から Azure に対して常に開始されます。
- 現在の可用性: 利用可能
- 一般的なユース ケース: パブリック クラウド環境 (Azure、AWS、GCP);インターネット接続が許可されているエッジ サイト (小売、製造)制限の緩やかな接続ポリシーを持つ企業のデータセンター。
- データを Azure に送信する方法: データは自動的かつ継続的に Azure に送信されます。
間接接続 (廃止済み)
- 説明: Azure への継続的な接続なしで、ほとんどの管理サービスをローカルで提供します。 最小限の課金およびインベントリ データがファイルにエクスポートされ、少なくとも 1 か月に 1 回 Azure にアップロードされます。Azure に依存する一部の機能は使用できません。
- 現在の可用性: 廃止
- 一般的なユース ケース: 規制対象のオンプレミス データ センター (金融、医療、政府)インターネットのないエッジサイト(石油/ガス、軍事);間欠的な接続を持つサイト (スタジアム、クルーズ船)。
- データを Azure に送信する方法: (1) セキュリティで保護されたリージョンから Azure にエクスポートする自動化されたプロセス、(2) 安全性の低いリージョンへの自動エクスポートと Azure へのアップロード、または (3) 手動エクスポートとアップロードの 3 つのオプションのいずれか。 最初の 2 つを頻繁に転送するようにスケジュールできます。
接続モード別の機能の可用性
| Feature | 間接的に接続された(廃止) | 直接接続 |
|---|---|---|
| 自動高可用性 | Supported | Supported |
| セルフサービス プロビジョニング | Supported 適切な CLI、または Helm、 kubectl、 oc などの Kubernetes ネイティブ ツールを使用するか、Azure Arc 対応 Kubernetes GitOps プロビジョニングを使用します。 |
Supported 間接接続モードの作成オプションに加えて、Azure portal、Azure Resource Manager API、Azure CLI、または ARM テンプレートを使用して作成することもできます。 |
| 柔軟なスケーラビリティ | Supported | Supported |
| Billing | Supported 請求データは定期的にエクスポートされ、Azure に送信されます。 |
Supported 請求データは自動的かつ継続的に Azure に送信され、ほぼリアルタイムで反映されます。 |
| 在庫管理 | Supported インベントリ データは定期的にエクスポートされ、Azure に送信されます。 Azure Data CLI などのクライアント ツールを使用するか、 kubectl を使用して、インベントリをローカルで表示および管理します。 |
Supported インベントリ データは自動的かつ継続的に Azure に送信され、ほぼリアルタイムで反映されます。 そのため、Azure portal から直接インベントリを管理できます。 |
| 自動アップグレードとパッチ適用 | Supported データ コントローラーから Microsoft Container Registry (MCR) に直接アクセスできる必要があります。または、コンテナー イメージを MCR からプルして、データ コントローラーからアクセスできるローカルのプライベート コンテナー レジストリにプッシュする必要があります。 |
Supported |
| 自動バックアップと復元 | Supported 自動ローカル バックアップと復元。 |
Supported ローカルの自動バックアップと復元に加えて、 必要に応じて 、長期的なオフサイトリテンション期間のために Azure BLOB ストレージにバックアップを送信することもできます。 |
| Monitoring | Supported ローカル ダッシュボードを使用したローカル監視。 |
Supported ローカル監視ダッシュボードに加えて、 必要に応じて 監視データとログを Azure Monitor に送信して、複数のサイトを 1 か所で大規模に監視できます。 |
| Authentication | データ コントローラーとダッシュボードの認証には、ローカルのユーザー名/パスワードを使用します。 データベース インスタンスへの接続には、SQL と Postgres ログインまたは Active Directory (AD は現時点ではサポートされていません) を使用します。 Kubernetes API への認証には Kubernetes 認証プロバイダーを使用します。 | 間接的に接続されたモードの認証方法に加えて、または代わりに、 必要に応じて Microsoft Entra ID を使用できます。 |
| ロールベースのアクセス制御 (RBAC) | Kubernetes API では Kubernetes RBAC を使用します。 データベース インスタンスには SQL および Postgres RBAC を使用します。 | Microsoft Entra ID と Azure RBAC を使用できます。 |
接続の要件
一部の機能では Azure への接続が必要です。
Azure とのすべての通信は常に、ご利用の環境から開始されます。 これは、Azure portal 内でユーザーが開始する操作にも当てはまります。 その場合、実質的にタスクが存在し、Azure でキューに登録されます。 環境内のエージェントによって、キュー内のタスクを確認するために Azure との通信が開始され、タスクが実行されて、ステータス/完了/失敗が Azure に報告されます。
| データの種類 | Direction | Required/Optional | 追加コスト | モードが必要です | Notes |
|---|---|---|---|---|---|
| コンテナー イメージ | Microsoft Container Registry -> 顧客 | Required | No | 間接または直接 | コンテナー イメージは、ソフトウェアを配布するための方法です。 インターネット経由で Microsoft Container Registry (MCR) に接続できる環境では、コンテナー イメージを MCR から直接プルできます。 デプロイ環境から直接接続することができない場合、MCR からイメージをプルして、デプロイ環境内のプライベート コンテナー レジストリにそれらをプッシュすることができます。 作成時に、MCR の代わりにプライベート コンテナー レジストリからプルするように作成プロセスを構成できます。 これは自動更新にも適用されます。 |
| リソース インベントリ | お客様の環境 -> Azure | Required | No | 間接または直接 | データ コントローラーのインベントリ、データベース インスタンスは、課金目的で Azure に保持されます。また、すべてのデータ コントローラーとデータベース インスタンスのインベントリを 1 か所に作成する目的で保持されます。これは、Azure Arc データ サービスを使用する複数の環境がある場合に特に便利です。 インスタンスがプロビジョニング、プロビジョニング解除、スケールアウト/イン、スケールアップ/ダウンされると、Azure でインベントリが更新されます。 |
| 請求テレメトリ データ | お客様の環境 -> Azure | Required | No | 間接または直接 | 請求のために、データベース インスタンスの使用率を Azure に送信する必要があります。 |
| 監視データとログ | お客様の環境 -> Azure | Optional | データ量によって異なる場合があります (「Azure Monitor の価格」を参照) | 間接または直接 | 複数の環境にわたるデータを 1 か所に集約するために、ローカルで収集された監視データとログを Azure Monitor に送信することができます。また、Azure Machine Learning 内のデータを使用して、アラートなどの Azure Monitor サービスを使用することもできます。 |
| Azure ロールベースのアクセス制御 (Azure RBAC) | お客様の環境 -> Azure -> お客様の環境 | Optional | No | ダイレクトのみ | Azure RBAC を使用する場合は、常に Azure との接続が確立されている必要があります。 Azure RBAC を使用しない場合は、ローカルの Kubernetes RBAC を使用することができます。 |
| Microsoft Entra ID (予定) | お客様の環境 -> Azure -> お客様の環境 | Optional | 場合によっては、Microsoft Entra ID に対する支払いが既に発生している場合があります | ダイレクトのみ | 認証に Microsoft Entra ID を使う場合は、Azure との接続が常に確立されている必要があります。 認証に Microsoft Entra ID を使わない場合は、Active Directory を介して Active Directory フェデレーション サービス (AD FS) を使用できます。 直接接続モードの保留中の可用性 |
| バックアップと復元 | お客様の環境 -> お客様の環境 | Required | No | 直接または間接 | バックアップと復元サービスは、ローカル ストレージ クラスをポイントするように構成できます。 |
| Azure Backup - 長期保有期間 (将来) | お客様の環境 -> Azure | Optional | はい (Azure Storage の場合) | ダイレクトのみ | バックアップを長期間オフサイトで保持するために、ローカルで取得したバックアップを Azure Backup に送信し、復元のためにローカル環境に戻すことができます。 |
| Azure portal からのプロビジョニングと構成の変更 | お客様の環境 -> Azure -> お客様の環境 | Optional | No | ダイレクトのみ | プロビジョニングと構成の変更は、適切な CLI を使用してローカルで行うことができます。 直接接続モードでは、Azure portal からプロビジョニングと構成変更を行うこともできます。 |
インターネット アドレス、ポート、暗号化、プロキシ サーバー サポートの詳細
| Service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Helm チャート (直接接続モードのみ) | 443 | arcdataservicesrow1.azurecr.ioarcdataservicesrow2.azurecr.io*.blob.core.windows.net |
Outbound | Azure Arc データ コントローラーのブートストラッパーとクラスター レベルのオブジェクト (カスタム リソース定義、クラスター ロール、クラスター ロール バインディングなど) をプロビジョニングし、Azure Container Registry からプルされます。 |
| Azure monitor API 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Outbound | Azure CLI は、Azure Resource Manager API に接続して、一部の機能について Azure との間でデータを送受信します。 「Azure Monitor API」をご覧ください。 |
| Azure Arc データ処理サービス 1 | 443 |
*.<region>.arcdataservices.com
2 |
Outbound |
1 要件は、デプロイ モードによって異なります。
- 直接モードの場合、Kubernetes クラスター上のコントローラー ポッドには、ログ、メトリック、インベントリ、課金情報を Azure Monitor とデータ処理サービスに送信するために、エンドポイントへのアウトバウンド接続が必要です。
- 間接モードの場合、
az arcdata dc uploadを実行するマシンには、Azure Monitor とデータ処理サービスへのアウトバウンド接続が必要です。
2 2024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net をお使いください。
Azure Monitor API
Kubernetes API サーバーへの接続では、確立した Kubernetes 認証と暗号化が使用されます。 Azure CLI を使用している各ユーザーは、Azure Arc 対応データ サービスに関連する多くのアクションを実行するために、Kubernetes API への認証済み接続を持っている必要があります。
追加のネットワーク要件
さらに、リソース ブリッジには、Arc 対応 Kubernetes エンドポイントが必要です。