تبسيط متطلبات تكوين الشبكة باستخدام بوابة Azure Arc (معاينة)

إذا كنت تستخدم وكلاء المؤسسة لإدارة نسبة استخدام الشبكة الصادرة، يمكن أن تساعد بوابة Azure Arc (معاينة) في تبسيط عملية تمكين الاتصال.

تتيح لك بوابة Azure Arc (معاينة) ما يلي:

• اتصل ب Azure Arc عن طريق فتح الوصول إلى الشبكة العامة إلى سبعة أسماء مجالات مؤهلة بالكامل فقط (FQDNs).
• عرض وتدقيع جميع حركة المرور التي يرسلها وكلاء Arc إلى Azure عبر بوابة Arc.

Important

بوابة Azure Arc قيد المعاينة حاليا.

للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.

Note

إنشاء بوابة Arc يتأثر حاليا بتغييرات مؤقتة في Azure Front Door. قد يستغرق إنشاء الموارد ما يصل إلى ساعتين وساعتين وقد ينتهي الوقت، مما يسبب أعطالا. إذا فشل إنشاء الموارد، يرجى محاولة إنشاء موارد بوابة Arc مرة أخرى.

كيفية عمل بوابة Azure Arc

تعمل بوابة Arc من خلال تقديم مكونين جديدين

مورد بوابة Arc هو مورد Azure الذي يعمل كواجهة أمامية مشتركة لحركة مرور Azure. يتم تقديم مورد البوابة على مجال/عنوان URL محدد. يجب إنشاء هذا المورد باتباع الخطوات الموضحة في هذه المقالة. بعد إنشاء مورد البوابة بنجاح، يتم تضمين هذا المجال/عنوان URL في استجابة النجاح.

وكيل Arc هو مكون جديد يعمل كجراب خاص به (يسمى "وكيل Azure Arc"). يعمل هذا المكون كوكيل إعادة توجيه يستخدمه وكلاء وملحقات Azure Arc. لا يوجد تكوين مطلوب من جانبك لوكيل Azure Arc. اعتبارا من الإصدار 1.21.10 من عوامل Kubernetes الممكنة بواسطة Arc، أصبح هذا الجراب الآن جزءا من عوامل Arc الأساسية، ويعمل ضمن سياق نظام مجموعة Kubernetes الممكن بواسطة Arc. 

عندما تكون البوابة في مكانها، تتدفق نسبة استخدام الشبكة عبر القفزات التالية: Arc Agents → وكيل Azure Arc → Enterprise Proxy → بوابة Arc → Target Service.

لتنزيل الرسومات التخطيطية المعمارية بدقة عالية، تفضل بزيارة Jumpstart Gems.

القيود الحالية

أثناء المعاينة العامة، تنطبق القيود التالية. ضع في اعتبارك هذه العوامل عند التخطيط للتكوين الخاص بك.

• وكلاء إنهاء TLS غير مدعومين مع بوابة Arc.
• هناك حد من خمسة موارد بوابة Arc لكل اشتراك Azure.
• يمكن استخدام بوابة Arc فقط للاتصال في سحابة Azure العامة.

Important

بينما توفر بوابة Azure Arc الاتصال المطلوب لاستخدام Kubernetes التي تدعم Azure Arc، قد تحتاج إلى تمكين نقاط نهاية إضافية من أجل استخدام بعض الملحقات والخدمات مع مجموعاتك. للحصول على التفاصيل، راجع السيناريوهات الإضافية.

الأذونات المطلوبة

لإنشاء موارد بوابة Arc وإدارة اقترانها مع مجموعات Kubernetes الممكنة بواسطة Arc، يلزم توفر الأذونات التالية:

• Microsoft.Kubernetes/connectedClusters/settings/default/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

إنشاء مورد بوابة Arc

يمكنك إنشاء مورد بوابة Arc باستخدام Azure CLI أو Azure PowerShell.

عند إنشاء مورد بوابة Arc، يمكنك تحديد الاشتراك ومجموعة الموارد التي يتم إنشاء المورد فيها، جنبا إلى جنب مع منطقة Azure. ومع ذلك، يمكن لجميع الموارد الممكنة بواسطة Arc في نفس المستأجر استخدام المورد، بغض النظر عن اشتراكها أو منطقتها.

Azure CLI

1. على جهاز لديه حق الوصول إلى Azure، قم بتشغيل أمر Azure CLI التالي:

   az extension add -n arcgateway
   

2. بعد ذلك، قم بتشغيل أمر Azure CLI التالي لإنشاء مورد بوابة Arc، واستبدال العناصر النائبة بالقيم المطلوبة:

   az arcgateway create --name <gateway's name> --resource-group <resource group> --location <region> --gateway-type public --allowed-features * --subscription <subscription name or id>
   

1. على جهاز لديه حق الوصول إلى Azure، قم بتشغيل أمر Azure PowerShell التالي لإنشاء مورد بوابة Arc الخاص بك، واستبدال العناصر النائبة بالقيم المطلوبة:

   New-AzArcgateway 
   -name <gateway's name> 
   -resource-group <resource group> 
   -location <region> 
   -subscription <subscription name or id> 
   -gateway-type public  
   -allowed-features *
   

يستغرق الأمر بشكل عام حوالي عشر دقائق للانتهاء من إنشاء مورد بوابة Arc.

تأكيد الوصول إلى عناوين URL المطلوبة

بعد إنشاء المورد بنجاح، ستتضمن استجابة النجاح عنوان URL لبوابة Arc. تأكد من السماح بعنوان URL لبوابة Arc وجميع عناوين URL أدناه في البيئة التي تعيش فيها موارد Arc.

URL	Purpose
<Your URL prefix>.gw.arc.azure.com	عنوان URL للبوابة. يمكن الحصول على عنوان URL هذا عن طريق التشغيل az arcgateway list بعد إنشاء المورد.
management.azure.com	نقطة نهاية Azure Resource Manager، مطلوبة لقناة التحكم ARM.
<region>.obo.arc.azure.com	مطلوب عند تكوين اتصال نظام المجموعة .
login.microsoftonline.com، <region>.login.microsoft.com	نقطة نهاية معرف Microsoft Entra، المستخدمة للحصول على رموز الوصول إلى الهوية.
gbl.his.arc.azure.com، <region>.his.arc.azure.com	نقطة نهاية الخدمة السحابية للتواصل مع Arc Agents. يستخدم أسماء قصيرة، على سبيل المثال eus لشرق الولايات المتحدة.
mcr.microsoft.com، <region>.data.mcr.microsoft.com	مطلوب لسحب صور الحاوية لعوامل Azure Arc.

إلحاق مجموعات Kubernetes ب Azure Arc مع مورد بوابة Arc

1. تأكد من أن بيئتك تفي بجميع المتطلبات الأساسية المطلوبة ل Kubernetes التي تدعم Azure Arc. نظرا لأنك تستخدم بوابة Azure Arc، فلن تحتاج إلى تلبية المجموعة الكاملة من متطلبات الشبكة.

2. على جهاز التوزيع، قم بتعيين متغيرات البيئة المطلوبة ل Azure CLI لاستخدام خادم الوكيل الصادر:

   export HTTP_PROXY=<proxy-server-ip-address>:<port> export HTTPS_PROXY=<proxy-server-ip-address>:<port> export NO_PROXY=<cluster-apiserver-ip-address>:<port>

3. في مجموعة Kubernetes، قم بتشغيل أمر الاتصال مع proxy-https المعلمات و proxy-http المحددة. إذا تم إعداد الخادم الوكيل الخاص بك مع كل من HTTP وHTTPS، فتأكد من استخدام --proxy-http لوكيل HTTP ووكيل --proxy-https HTTPS. إذا كان الخادم الوكيل الخاص بك يستخدم HTTP فقط، يمكنك استخدام هذه القيمة لكلا المعلمتين.

   az connectedk8s connect -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id> --proxy-https <proxy_value> --proxy-http http://<proxy-server-ip-address>:<port> --proxy-skip-range <excludedIP>,<excludedCIDR> --location <region>

   Note

   يجب فصل بعض طلبات الشبكة، مثل تلك التي تتضمن اتصال خدمة إلى خدمة داخل المجموعة، عن حركة المرور التي يتم توجيهها عبر الخادم الوكيل للاتصال الصادر. --proxy-skip-range يمكن استخدام المعلمة لتحديد نطاق CIDR ونقاط النهاية بطريقة مفصولة بفواصل، بحيث لا ينتقل الاتصال من العوامل إلى نقاط النهاية هذه عبر الوكيل الصادر. كحد أدنى، يجب تحديد نطاق CIDR للخدمات في نظام المجموعة كقيمة لهذه المعلمة. على سبيل المثال، إذا أرجعت kubectl get svc -A قائمة بالخدمات حيث تحتوي ClusterIP جميع الخدمات على قيم في النطاق 10.0.0.0/16، فإن القيمة التي يجب تحديدها هي --proxy-skip-range10.0.0.0/16,kubernetes.default.svc,.svc.cluster.local,.svc.

   --proxy-http، --proxy-httpsو، و --proxy-skip-range متوقعة لمعظم بيئات الوكيل الصادرة. --proxy-cert مطلوب فقط إذا كنت بحاجة إلى إدخال شهادات موثوق بها متوقعة من قبل الوكيل في مخزن الشهادات الموثوق به لوحدات جراب العامل.

   يجب تكوين الوكيل الصادر للسماح باتصالات websocket.

1. تأكد من أن بيئتك تفي بجميع المتطلبات الأساسية المطلوبة ل Kubernetes التي تدعم Azure Arc. نظرا لأنك تستخدم بوابة Azure Arc، فلن تحتاج إلى تلبية المجموعة الكاملة من متطلبات الشبكة.

2. قم بتوصيل مجموعة Kubernetes الخاصة بك، باستخدام إحدى الطرق التالية:

   • إذا لم يكن نظام المجموعة خلف خادم وكيل صادر، فقم بتشغيل أمر Azure PowerShell التالي:

   New-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> -Location <region>> –GatewayResourceId <resourceId>

   • إذا كان نظام المجموعة الخاص بك خلف خادم وكيل صادر:

     1. على جهاز التوزيع، قم بتعيين متغيرات البيئة المطلوبة ل Azure PowerShell لاستخدام خادم الوكيل الصادر:

        $Env:HTTP_PROXY = "<proxy-server-ip-address>:<port>" $Env:HTTPS_PROXY = "<proxy-server-ip-address>:<port>" $Env:NO_PROXY = "<cluster-apiserver-ip-address>:<port>"

     2. في مجموعة Kubernetes، قم بتشغيل أمر الاتصال مع معلمة الوكيل المحددة:

     New-AzConnectedKubernetes -ClusterName <cluster-name> -ResourceGroupName <resource-group> -Location <region> -HttpProxy 'http://<proxy-server-ip-address>:<port>', -HttpsProxy 'https://<proxy-server-ip-address>:<port>' -NoProxy <excludedIP>,<excludedCIDR>

تكوين المجموعات الموجودة لاستخدام بوابة Arc

لتحديث المجموعات الموجودة بحيث تستخدم بوابة Arc، قم بتشغيل الأمر التالي:

az connectedk8s update -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id>

للتحقق من نجاح التحديث، قم بتشغيل الأمر التالي وتأكد من أن الاستجابة هي true:

 az connectedk8s show -g <resource_group> -n <cluster_name> --query 'gateway.enabled' 

$connectedCluster = Get-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> 
Get-AzConnectedKubernetes -InputObject $connectedCluster -GatewayResourceId <resourceId> 

بعد تحديث مجموعاتك لاستخدام بوابة Arc، لم تعد هناك حاجة إلى بعض نقاط نهاية Arc التي تم السماح بها سابقا في وكيل المؤسسة أو جدران الحماية ويمكن إزالتها. نوصي بالانتظار لمدة ساعة واحدة على الأقل قبل إزالة أي نقاط نهاية لم تعد هناك حاجة إليها. تأكد من عدم إزالة أي من نقاط النهاية المطلوبة لبوابة Arc.

إزالة بوابة Arc

Important

تنطبق الخطوة الموضحة هنا فقط على بوابة Arc على Kubernetes التي تدعم Arc. للحصول على تفاصيل حول فصل بوابة Arc على Azure Local، راجع حول بوابة Azure Arc ل Azure Local (معاينة).

لتعطيل بوابة Arc وإزالة الاقتران بين مورد بوابة Arc ومجموعة Arc الممكنة، قم بتشغيل الأمر التالي:

az connectedk8s update -g <resource_group> -n <cluster_name> --disable-gateway 

Get-AzConnectedKubernetes -ClusterName <cluster_name> -ResourceGroupName <resource_group> | Set-AzConnectedKubernetes -DisableGateway   

مراقبة حركة المرور

لتدقيق حركة مرور البوابة، اعرض سجلات موجه البوابة:

1. شغّل kubectl get pods -n azure-arc
2. حدد جراب وكيل Arc (سيبدأ اسمه ب arc-proxy-).
3. شغّل kubectl logs -n azure-arc <Arc Proxy pod name>

سيناريوهات إضافية

أثناء المعاينة العامة، تغطي بوابة Arc نقاط النهاية المطلوبة لإلحاق نظام مجموعة، وجزء من نقاط النهاية المطلوبة للسيناريوهات الإضافية الممكنة بواسطة Arc. استنادا إلى السيناريوهات التي تعتمدها، لا يزال مطلوبا السماح بنقاط نهاية إضافية في الوكيل الخاص بك.

يجب السماح بجميع نقاط النهاية المدرجة للسيناريوهات التالية في وكيل المؤسسة الخاص بك عندما تكون بوابة Arc قيد الاستخدام:

• نتائج تحليلات الحاوية في Azure Monitor:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com
• Azure Key Vault:
  • <vault-name>.vault.azure.net
• نهج Azure:
  • data.policy.core.windows.net
  • store.policy.core.windows.net
• Microsoft Defender للحاويات:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
• خدمات البيانات التي تدعم Azure Arc
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com