Přístup ke službám Azure přes explicitní proxy server služby Azure Firewall (Public Preview)

Funkce explicitního proxy serveru služby Azure Firewall může bezpečně směrovat veškerý provoz Azure Arc přes privátní připojení (ExpressRoute nebo VPN typu Site-to-Site) do Azure. Tato funkce umožňuje používat Azure Arc bez zveřejnění vašeho místního prostředí na veřejný internet.

Tento článek vysvětluje postup konfigurace služby Azure Firewall s explicitním proxy serverem jako předávaným proxy serverem pro vaše servery s podporou Arc nebo prostředky Kubernetes.

Důležité

Explicitní proxy server služby Azure Firewall je aktuálně ve verzi PREVIEW. Další podmínky použití pro Microsoft Azure Preview najdete v právních podmínkách, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo jinak dosud nebyly vydány v obecné dostupnosti.

Jak funguje funkce explicitního proxy serveru služby Azure Firewall

Agenti Azure Arc můžou pro připojení ke službám Azure používat předávaný proxy server. Funkce explicitního proxy serveru služby Azure Firewall umožňuje používat bránu Azure Firewall ve vaší virtuální síti (VNet) jako předávací proxy server pro agenty Arc.

Protože explicitní proxy server služby Azure Firewall funguje ve vaší privátní virtuální síti a máte k němu zabezpečené připojení přes ExpressRoute nebo VPN typu Site-to-Site, veškerý provoz Azure Arc je možné směrovat do zamýšleného cíle v síti Microsoftu bez nutnosti přístupu k veřejnému internetu.

Pokud si chcete stáhnout diagramy architektury ve vysokém rozlišení, navštivte Jumpstart Gems.

Omezení a aktuální omezení

• Toto řešení používá explicitní proxy server služby Azure Firewall jako předávaný proxy server. Funkce explicitního proxy serveru nepodporuje kontrolu protokolu TLS.
• Certifikáty TLS nelze použít pro explicitní proxy server služby Azure Firewall.
• Toto řešení v současné době nepodporuje místní virtuální počítače Azure ani virtuální počítače Azure Arc spuštěné v Azure Local.

Náklady na Azure Firewall

Ceny služby Azure Firewall vycházejí z hodin nasazení a celkového zpracování dat. Podrobnosti o cenách služby Azure Firewall najdete na stránce s cenami služby Azure Firewall.

Požadavky a požadavky na síť

Pokud chcete toto řešení použít, musíte mít:

• Existující virtuální síť Azure.
• Existující připojení VPN typu ExpressRoute nebo site-to-site z místního prostředí k vaší virtuální síti Azure.

Konfigurace služby Azure Firewall

Pokud chcete povolit funkci explicitního proxy serveru ve službě Azure Firewall, postupujte podle těchto kroků.

Vytvořte prostředek Azure Firewall

Pokud máte ve virtuální síti existující bránu Azure Firewall, můžete tuto část přeskočit. V opačném případě pomocí těchto kroků vytvořte nový prostředek služby Azure Firewall.

1. V prohlížeči se přihlaste k webu Azure Portal a přejděte na stránku Brány firewall Azure.
2. Výběrem Vytvořit vytvořte novou bránu firewall.
3. Zadejte své předplatné, skupinu prostředků, název a oblast.
4. Pro Firewall SKU vyberte Standard nebo Premium.
5. Doplňte zbytek záložky Základy podle potřeby pro vaši konfiguraci.
6. Vyberte Zkontrolovat a vytvořit, poté vyberte Vytvořit k vytvoření firewallu.

Další informace najdete v tématu Nasazení a konfigurace služby Azure Firewall.

Povolení funkce explicitního proxy serveru (Preview)

1. Přejděte do prostředku služby Azure Firewall a pak přejděte na zásady Firewallu.

2. V Nastavení přejděte do podokna Explicit Proxy (Preview).

3. Vyberte Povolit explicitní proxy.

4. Zadejte požadované hodnoty pro porty HTTP a HTTPS.

   Poznámka:

   Běžně se používá 8080 pro port HTTP a 8443 pro port HTTPS.

5. Chcete-li uložit změny, vyberte Použít . 

Vytvoření pravidla aplikace

Pokud chcete vytvořit seznam povolených pro explicitní proxy server služby Azure Firewall, můžete volitelně vytvořit pravidlo aplikace, které povolí komunikaci s požadovanými koncovými body pro vaše scénáře.

1. Přejděte na příslušnou politiku brány firewall. 
2. V Nastavení přejděte do podokna Pravidla aplikace . 
3. Vyberte Přidat kolekci pravidel. 
4. Zadejte název kolekce pravidel.
5. Nastavte prioritu pravidla na základě jiných pravidel, která můžete mít.
6. Zadejte název pravidla.
7. Jako zdroj zadejte *nebo jakékoli zdrojové IP adresy, které máte.
8. Nastavte protokolhttp:80,https:443. 
9. Nastavte cíl jako seznam adres URL oddělených čárkami požadovaných pro váš scénář. Podrobnosti o požadovaných adresách URL najdete v požadavcích na síť Azure Arc.
10. Vyberte Přidat a uložte kolekci pravidel a pravidlo. 

Nastavení brány Azure Firewall jako přesměrového proxy serveru

Postupujte podle těchto kroků a nastavte službu Azure Firewall jako předávaný proxy server pro vaše prostředky Arc.

Servery s podporou Arc

Nastavení služby Azure Firewall jako předávacího proxy serveru při připojování nových serverů Arc:

1. Vygenerujte skript onboardingu.
2. Nastavte metodu připojení jako proxy server a nastavte adresu URL proxy serveru jako http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>.
3. Připojte servery pomocí skriptu.

Pokud chcete nastavit předávací proxy server pro existující servery s podporou Arc, spusťte následující příkaz pomocí místního rozhraní příkazového řádku agenta Azure Connected Machine:

azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`

Kubernetes s podporou Arc

Pokud chcete při připojování nových clusterů Kubernetes nastavit bránu Azure Firewall jako předávací proxy server, spusťte příkaz connect se zadanými proxy-https parametry proxy-http :

az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>  --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port> 

Pokud chcete nastavit forward proxy pro existující clustery Kubernetes s podporou Arc, spusťte následující příkaz:

az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>  

Řešení problémů

Pokud chcete ověřit, že se provoz úspěšně přesměrovává přes explicitní proxy server služby Azure Firewall, měli byste nejprve zajistit, aby byl explicitní proxy server přístupný a fungoval očekávaným způsobem z vaší sítě. Provedete to spuštěním následujícího příkazu: curl -x <proxy IP> <target FQDN>

Kromě toho můžete zobrazit protokoly pravidel aplikace služby Azure Firewall a ověřit provoz. Explicitní proxy spoléhá na aplikační pravidla, takže všechny protokoly jsou dostupné v tabulce AZFWApplicationRules, jak je znázorněno v tomto příkladu:

Integrace služby Private Link

Explicitní proxy server služby Azure Firewall můžete použít ve spojení se službou Azure Private Link. Aby bylo možné tato řešení používat společně, nakonfigurujte své prostředí tak, aby provoz ke koncovým bodům, které nepodporují Private Link, byl směrován přes Explicit proxy server, zatímco provoz ke koncovým bodům Azure Arc, které podporují Private Link, mohl obejít Explicit proxy server a místo toho byl směrován přímo na příslušný privátní koncový bod.

• Pro Azure Private Link pro servery s podporou Arc použijte funkci Vynechat proxy.
• Pro Azure Private Link pro Arc-enabled Kubernetes (Preview) zahrňte ID Microsoft Entra, Azure Resource Manager, Azure Front Door a koncové body služby Microsoft Container Registry do rozsahu přeskočení proxy serveru vašeho clusteru.

Další kroky

• Další informace o explicitním proxy serveru služby Azure Firewall (Preview)
• Přečtěte si Demystifikace explicitního proxy serveru: Zvýšení zabezpečení pomocí služby Azure Firewall