Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Azure Local versión 2411.1 y posteriores
Importante
Azure Stack HCI ahora forma parte de Azure Local. Más información.
En este artículo se proporciona información general sobre la puerta de enlace de Azure Arc para Azure Local. La puerta de enlace de Arc se puede habilitar en nuevas implementaciones de Azure Local que ejecuten la versión de software 2408 y posteriores. En este artículo también se describe cómo crear y eliminar el recurso de puerta de enlace de Arc en Azure.
Puede usar la puerta de enlace de Arc para reducir significativamente el número de puntos de conexión necesarios para implementar y administrar instancias locales de Azure. Al crear la puerta de enlace de Arc, puede conectarse a ella y usarla para nuevas implementaciones de Azure Local.
Importante
Esta característica actualmente está en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Funcionamiento
La puerta de enlace de Arc funciona mediante la introducción de los siguientes componentes:
Recurso de puerta de enlace de Arc: un recurso de Azure que actúa como punto de entrada común para el tráfico de Azure. Este recurso de puerta de enlace tiene un dominio o una dirección URL específicos que puede usar. Al crear el recurso de puerta de enlace de Arc, este dominio o dirección URL es parte de la respuesta exitosa.
Proxy Arc: un nuevo componente que se agrega al Arc Agentry. Este componente se ejecuta como servicio (denominado Proxy de Azure Arc) y funciona como proxy de reenvío para los agentes y extensiones de Azure Arc. El router de puerta de enlace no necesita ninguna configuración por tu parte. Este enrutador forma parte del agente principal de Arc y se ejecuta dentro del contexto de un recurso habilitado para Arc.
Al integrar la puerta de enlace de Arc con la versión 2411 de las implementaciones locales de Azure, cada máquina obtiene el proxy de Arc junto con otros agentes de Arc.
Cuando se usa la puerta de enlace de Arc, el flujo de tráfico http y https cambia de la siguiente manera:
Flujo de tráfico para los componentes del sistema operativo host local de Azure
La configuración del proxy del sistema operativo se usa para enrutar todo el tráfico del host HTTPS a través del proxy de Arc.
Desde el proxy de Arc, el tráfico se reenvía a la pasarela de Arc.
En función de la configuración de la puerta de enlace de Arc, si se permite, el tráfico se envía a los servicios de destino. Si no se permite el acceso, el proxy de Arc redirige este tráfico al proxy empresarial (o directamente hacia el exterior si no hay ningún proxy establecido). El proxy de Arc determina automáticamente la ruta de acceso correcta para el punto de conexión.
Flujo de tráfico para el dispositivo Arc, puente de recursos de Azure Arc y plano de control de AKS
La dirección IP enrutable (recurso de IP en clúster de conmutación por error actualmente) se usa para dirigir el tráfico a través del proxy de Arc que se ejecuta en las máquinas host locales de Azure.
El puente de recursos de Azure Arc y el proxy de reenvío de Azure Kubernetes Service (AKS) están configurados para usar ip enrutable.
Con la configuración de proxy en su lugar, el puente de recursos de Arc y el tráfico saliente de AKS se reenvían al proxy de Arc que se ejecuta en una de las máquinas locales de Azure sobre IP enrutable.
Cuando el tráfico llega al proxy de Arc, el flujo restante toma la misma ruta como se describe. Si está permitido el tráfico al servicio de destino, se envía al gateway de Arc. Si no es así, se envía al proxy de la empresa (o de forma directa si no hay ningún proxy establecido). En el caso de AKS específicamente, esta ruta se utiliza para descargar imágenes de Docker para los pods de Arc Agentry y Arc Extension.
Flujo de tráfico para máquinas virtuales locales de Azure
El tráfico HTTP y HTTPS se reenvía al proxy de empresa. El proxy de Arc dentro de una máquina virtual (VM) local de Azure habilitada por Arc aún no se admite en esta versión.
Los flujos de tráfico se muestran en el diagrama siguiente:
Escenarios admitidos y no admitidos
Puede utilizar la puerta de enlace de Arc en el siguiente escenario para las versiones 2411.1 o posteriores de Azure Local:
- Habilitar Arc gateway durante la implementación de nuevas instancias de Azure Local que ejecuten las versiones 2411.1 o posteriores.
- El recurso de puerta de enlace de Arc debe crearse en la misma suscripción en la que planea implementar la instancia local de Azure.
Entre los escenarios no admitidos para Azure Local se incluyen:
- No se admite habilitar la puerta de enlace de Arc una vez realizada la implementación.
Puntos de conexión locales de Azure no redirigidos
Los puntos de conexión de la tabla son necesarios y deben incluirse en la lista de permitidos en el proxy o firewall para implementar la instancia local de Azure:
| Punto final # | Punto de conexión necesario | Componente |
|---|---|---|
| 1 | http://aka.ms:443 |
Bootstrap |
| 2 | http://azurestackreleases.download.prss.microsoft.com:443] |
Bootstrap |
| 3 | http://login.microsoftonline.com:443 |
Registro de Arc |
| 4 | http://<region>.login.microsoft.com:443 |
Registro de Arc |
| 5 | http://management.azure.com:443 |
Registro de Arc |
| 6 | http://gbl.his.arc.azure.com:443 |
Registro de Arc |
| 7 | http://<region>.his.arc.azure.com:443 |
Registro de Arc |
| 8 | http://dc.services.visualstudio.com:443 |
Registro de Arc |
| 9 | https://<region>.obo.arc.azure.com:8084 |
Extensiones de AKS |
| 10 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Puerta de enlace de Arc |
| 11 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 12 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Cuenta de almacenamiento del testigo en la nube |
| 13 | http://files.pythonhosted.org:443 |
No es necesario a partir de 2504 nuevas implementaciones. Microsoft On-premises Cloud/ARB/AKS |
| 14 | http://pypi.org:443 |
No es necesario a partir de 2504 nuevas implementaciones. Microsoft On-premises Cloud/ARB/AKS |
| 15 | http://raw.githubusercontent.com:443 |
No es necesario a partir de 2504 nuevas implementaciones. Microsoft On-premises Cloud/ARB/AKS |
| 16 | http://pythonhosted.org:443 |
No es necesario a partir de 2504 nuevas implementaciones. Microsoft On-premises Cloud/ARB/AKS |
| 17 | http://ocsp.digicert.com |
Lista de revocación de certificados para extensiones de Arc |
| 18 | http://s.symcd.com |
Lista de revocación de certificados para extensiones de Arc |
| 19 | http://ts-ocsp.ws.symantec.com |
Lista de revocación de certificados para extensiones de Arc |
| 20 | http://ocsp.globalsign.com |
Lista de revocación de certificados para extensiones de Arc |
| Veintiuno | http://ocsp2.globalsign.com |
Lista de revocación de certificados para extensiones de Arc |
| 22 | http://oneocsp.microsoft.com |
Lista de revocación de certificados para extensiones de Arc |
| 23 | http://crl.microsoft.com/pkiinfra |
Lista de revocación de certificados para extensiones de Arc |
| veinticuatro | http://dl.delivery.mp.microsoft.com |
Actualización de Windows |
| 25 | http://*.tlu.dl.delivery.mp.microsoft.com |
Actualización de Windows |
| 26 | http://*.windowsupdate.com |
Actualización de Windows |
| 27 | http://*.windowsupdate.microsoft.com |
Actualización de Windows |
| 28 | http://*.update.microsoft.com |
Actualización de Windows |
Restricciones y limitaciones
Tenga en cuenta las siguientes limitaciones de la puerta de enlace de Arc en esta versión:
- Los proxies de terminación de TLS no son compatibles con la versión preliminar de la puerta de enlace de Arc.
- No se admite el uso de ExpressRoute, VPN de sitio a sitio ni puntos de conexión privados, además de la puerta de enlace de Arc (versión preliminar).
Creación del recurso de puerta de enlace de Arc en Azure
Puede crear un recurso de puerta de enlace de Arc mediante Azure Portal, la CLI de Azure o Azure PowerShell.
- Inicie sesión en Azure Portal.
- Vaya a la >, luego seleccione Crear.
- Seleccione la suscripción en la que planea implementar la instancia local de Azure.
- En Nombre, escriba el nombre del recurso de puerta de enlace de Arc.
- En Ubicación, escriba la región donde debe estar el recurso de puerta de enlace de Arc. Cualquier recurso habilitado para Arc en el mismo tenant de Azure utiliza un recurso de puerta de enlace Arc.
- Seleccione Siguiente.
- En la página Etiquetas, especifique una o varias etiquetas personalizadas para admitir los estándares.
- Seleccione Revisar y crear.
- Revise los detalles y, a continuación, seleccione Crear.
El proceso de creación de la puerta de enlace tarda de nueve a 10 minutos en completarse.
Desasociar o cambiar la asociación de puerta de enlace de Arc de la máquina
Para desasociar el recurso de puerta de enlace de su servidor habilitado para Arc, establezca el identificador de recurso de puerta de enlace en null. Para adjuntar el servidor habilitado para Arc a otro recurso de puerta de enlace de Arc, actualice el nombre y el identificador de recurso con la nueva información de puerta de enlace de Arc:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-enabled server name> --gateway-resource-id "
Eliminación del recurso de puerta de enlace de Arc
Antes de eliminar un recurso de puerta de enlace de Arc, asegúrese de que no hay máquinas conectadas. Para eliminar el recurso de puerta de enlace, ejecute el siguiente comando:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Esta operación puede tardar un par de minutos.
Pasos siguientes
Esta característica solo está disponible en la versión 2411.1 o posterior de Azure Local.