Topología de red y conectividad para servidores habilitados para Azure Arc

  • Artículo

Los servidores habilitados para Azure Arc le permiten administrar los servidores físicos y máquinas virtuales de Windows y Linux (hospedados en el entorno local o con un proveedor de nube de terceros) mediante el plano de control de Azure. Este documento le guiará por los puntos que debe tener en cuenta en función del diseño clave y los procedimientos recomendados para la conectividad de servidores habilitados para Azure Arc, como parte de una guía de zona de aterrizaje a escala empresarial de Cloud Adoption Framework.

En este artículo se da por supuesto que ha implementado correctamente la zona de aterrizaje de escala empresarial y que ha establecido conexiones de red híbridas; por lo tanto, se centra en la conectividad del agente de máquina conectado a los servidores habilitados para Azure Arc. Para obtener más información sobre este requisito previo, revise la información general de escala empresarial y la guía de implementación.

Arquitectura

En el diagrama siguiente se muestra una arquitectura de referencia conceptual para la conectividad de los servidores habilitados para Azure Arc.

Diagram that shows Azure Arc-enabled servers connectivity options.

Consideraciones de diseño

En la lista siguiente se proporciona información general sobre las consideraciones de diseño de red que se deben tener en cuenta en los servidores habilitados para Azure Arc.

  • Defina el método de conectividad del agente: Revise la infraestructura existente, los requisitos de seguridad y decida cómo se comunicará el agente de máquina conectado con Azure desde la red local u otros proveedores de nube. Esta conexión puede ir directamente a través de Internet, a través de un servidor proxy o puede implementar Private Link para obtener una conexión privada.
  • Administración del acceso a las etiquetas de servicio de Azure: Cree un proceso automatizado para mantener actualizadas las reglas de red de firewall y proxy según los requisitos de red del agente de Connected Machine.
  • Proteja la conectividad de red con Azure Arc: Configure el sistema operativo de la máquina para que use la versión 1.2 de Seguridad de la capa de transporte (TLS). Las versiones anteriores no se recomiendan debido a vulnerabilidades conocidas.
  • Defina el método de conectividad de extensiones: Las extensiones de Azure implementadas en un servidor habilitado para Azure Arc normalmente deben comunicarse con otros servicios de Azure. Esta conectividad puede realizarse directamente mediante redes públicas, a través de un firewall o a través de un servidor proxy. Si el diseño requiere conectividad privada, deberá seguir pasos adicionales más allá de configurar puntos de conexión privados para que el agente de Arc habilite la conectividad de punto de conexión privado para cada servicio al que acceden las extensiones.
  • Revise la arquitectura de conectividad general: Revise el área de diseño de la topología de red y la conectividad de la escala empresarial de la zona de aterrizaje de Azure para evaluar el impacto de los servidores habilitados para Azure Arc en la conectividad general.

Recomendaciones de diseño

Definición del método de conectividad del agente de Azure Arc

Los servidores habilitados para Azure Arc permiten conectar máquinas híbridas mediante los métodos siguientes:

  • Conexión directa, opcionalmente desde un firewall o un servidor proxy
  • Azure Private Link

Conexión directa

Los servidores habilitados para Azure Arc ofrecen una conectividad directa a los puntos de conexión públicos de Azure. Con este método de conectividad, todos los agentes de máquina abrirán una conexión a través de Internet mediante un punto de conexión público. El agente de máquina conectada para Linux y Windows comunica la salida a Azure de forma segura mediante el protocolo HTTPS (TCP/443).

Al usar el método de conexión directa, debe revisar el acceso a Internet del agente de la máquina conectada. Es recomendable configurar las reglas de red necesarias.

Servidor proxy o conexión de firewall (opcional)

Si la máquina usa un cortafuegos o un servidor proxy para comunicarse a través de internet, el agente se conecta de forma saliente mediante el protocolo HTTPS.

Si el firewall o un servidor proxy restringen la conectividad saliente, asegúrese de permitir los intervalos IP según los requisitos de red del agente de Connected Machine. Cuando solo se permiten los intervalos IP o los nombres de dominio necesarios para que el agente se comunique con el servicio, use etiquetas de servicio y direcciones URL para configurar el firewall o el servidor proxy.

Si despliega extensiones en los servidores habilitados para Azure Arc, cada extensión se conecta a su propio punto de conexión o puntos de conexión y también deberá permitir todas las direcciones URL correspondientes en el firewall o el proxy. Agregar estos puntos de conexión garantizará un tráfico de red protegido pormenorizados para cumplir el principio de privilegios mínimos (PoLP).

Al utilizar un servidor habilitado para Azure Arc con ámbito de Azure Arc Private Link, puede asegurarse de que todo el tráfico de sus agentes de Arc permanezca en su red. Esta configuración presenta ventajas de seguridad: el tráfico no recorre Internet y no es necesario abrir tantas excepciones de salida en el cortafuegos del centro de datos. Sin embargo, el uso de Private Link supone una serie de retos de gestión al tiempo que aumenta la complejidad y los costes generales, especialmente para las organizaciones multinacionales. Algunos de estos desafíos son los siguientes:

  • La elección de utilizar ámbitos de Azure Arc Private Link afecta a todos los clientes de Arc bajo el mismo ámbito DNS. No es posible que algunos clientes de Arc utilicen puntos de conexión privados y que otros usen puntos públicos cuando comparten un servidor DNS (sin soluciones alternativas como directivas DNS)
  • Los clientes de Arc deben tener todos los puntos de conexión privados en una región primaria o DNS debe configurarse de modo que los mismos nombres de punto de conexión privado se resuelvan en diferentes direcciones IP (por ejemplo, utilizando particiones DNS replicadas selectivamente para DNS integrado en Active Directory). Si utiliza los mismos puntos de conexión privados para todos sus clientes de Arc, tiene que poder enrutar el tráfico de todas sus redes a los puntos de conexión privados.
  • Se requieren pasos adicionales para garantizar que los puntos de conexión privados también se utilicen para cualquier servicio de Azure al que accedan los componentes de software de Extensions implementados mediante Arc, como las áreas de trabajo de Log Analytics, las cuentas de Automation, Key Vault o Azure Storage.
  • La conectividad con Azure Entra ID utiliza un punto de conexión público, por lo que los clientes siguen necesitando acceso a Internet.

Debido a estos desafíos, recomendamos evaluar si Private Link es un requisito para la implementación de Arc. Tenga en cuenta que con los puntos de conexión públicos, el tráfico estará cifrado y, dependiendo de cómo se utilice Arc para servidores, puede limitarse al tráfico de gestión y metadatos. Los problemas de seguridad pueden reducirse mediante la implementación de controles de seguridad de los agentes locales.

Para obtener más detalles, revise las restricciones y limitaciones asociadas con el soporte de Private Link para Arc.

Diagram that shows Azure Arc-enabled servers Private Link topology.

Sugerencia

Revise la seguridad de Azure Private Link para obtener más información.

Administración del acceso a las etiquetas de servicio de Azure

Se recomienda implementar un proceso automatizado para mantener actualizadas las reglas de red de firewall y proxy según los requisitos de red de Azure Arc.

Protección de la conectividad de red con Azure Arc

Se recomienda usar el protocolo de Seguridad de la capa de transporte 1.2 para garantizar la seguridad de los datos en tránsito a Azure. Tenga en cuenta que las versiones anteriores de la TLS o la Capa de sockets seguros (SSL) eran vulnerables y no se recomienda usarlas.

Definición del método de conectividad de extensiones

Al habilitar cualquiera de las extensiones de VM compatibles con servidores habilitados para Azure Arc, esas extensiones se conectan a otros servicios de Azure. Es importante determinar el método de conectividad para esas extensiones: una conexión directa, detrás de un servidor proxy o firewall o mediante Azure Private Link.

Si los servidores habilitados para Azure Arc usan un proxy o un firewall, también debe permitir todas las direcciones URL necesarias para las extensiones, ya que se comunicarán con sus propios puntos de conexión.

Si usa Private Link, debe configurar Private Link para cada servicio.

Pasos siguientes

Para obtener más instrucciones sobre el recorrido de adopción de la nube híbrida, consulte los siguientes recursos: