Simplifiez les exigences de configuration réseau via la passerelle Azure Arc (préversion limitée)

Remarque

Il s’agit d’une préversion publique limitée. Les abonnements clients doivent donc être autorisés par Microsoft à utiliser la fonctionnalité. Pour participer, remplissez le formulaire d’inscription à la préversion publique limitée de la passerelle Azure Arc.

Si vous utilisez des pare-feu d’entreprise ou des proxies pour gérer le trafic sortant, la passerelle Azure Arc vous permet d’intégrer l’infrastructure à Azure Arc en utilisant seulement sept (7) points de terminaison. Avec la passerelle Azure Arc, vous pouvez :

• Connectez-vous à Azure Arc en ouvrant l’accès au réseau public à seulement sept domaines complets (FQDN).
• Affichez et auditez tout le trafic qu’un Azure Connected Machine Agent envoie à Azure via la passerelle Arc.

Cet article explique comment configurer et utiliser une ressource de passerelle Arc.

Important

La fonctionnalité de passerelle Arc pour les serveurs avec Azure Arc est actuellement en préversion limitée dans toutes les régions où les serveurs avec Azure Arc sont présents. Consultez l’Avenant aux conditions d’utilisation des préversions limitées de Microsoft Azure pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure disponibles en version bêta, en préversion limitée ou qui ne sont pas encore en phase de disponibilité générale.

Scénarios pris en charge

La passerelle Azure Arc prend en charge les scénarios suivants :

• Azure Monitor (Agent Azure Monitor + Dependency Agent) ¹
• Microsoft Defender pour le cloud ²
• Windows Admin Center
• SSH
• Microsoft Sentinel
• Azure Update Management
• Extension Azure pour SQL Server

¹ Trafic vers les espaces de travail Log Analytics n’est pas couvert par la passerelle Arc. Par conséquent, les noms de domaine complets pour vos espaces de travail Log Analytics doivent toujours être autorisés dans vos pare-feu ou proxys d’entreprise.

² Pour envoyer le trafic Microsoft Defender via la passerelle Arc, vous devez configurer les paramètres de proxy de l’extension.

Fonctionnement

La passerelle Azure Arc se compose de deux composants principaux :

Ressource de passerelle Arc : une ressource Azure qui sert de front-end commun pour le trafic Azure. Cette ressource de passerelle est servie sur un domaine spécifique. Une fois la ressource de la passerelle Arc créée, le domaine vous est renvoyé dans la réponse de réussite.

Proxy Arc : nouveau composant ajouté aux activités des agents Arc. Ce composant s’exécute en tant que service appelé « Proxy Azure Arc » et agit comme un proxy de transfert utilisé par les agents et extensions Azure Arc. Aucune configuration n'est requise de votre part pour le routeur passerelle. Ce routeur fait partie de l’agent principal Arc et s’exécute dans le contexte d’une ressource avec Arc.

Lorsque la passerelle est en place, le trafic transite via les tronçons suivants : Activités des agents Arc → Proxy Arc → Proxy d’entreprise → Passerelle Arc → Service cible

Limitations et restrictions

L’objet de passerelle Arc a des limites à prendre en compte lors de la planification de votre configuration. Ces limitations s’appliquent uniquement à la préversion publique limitée. Ces limitations peuvent ne pas s’appliquer lorsque la fonctionnalité de passerelle Arc est généralement disponible.

• Les proxys d’arrêt TLS ne sont pas pris en charge.
• ExpressRoute/VPN site à site utilisé avec la passerelle Arc (préversion limitée) n’est pas pris en charge.
• La passerelle Arc (préversion limitée) est prise en charge uniquement pour les serveurs avec Azure Arc.
• Il existe une limite de cinq ressources de passerelle Arc (préversion limitée) par abonnement Azure.

Comment utiliser la passerelle Arc (préversion limitée)

Une fois que vous avez complété le formulaire d’inscription en préversion publique limitée de la passerelle Azure Arc, votre abonnement est autorisé à utiliser la fonctionnalité dans un délai de 1 jour ouvré. Vous recevrez un e-mail lorsque la fonctionnalité de passerelle Arc (préversion limitée) a été autorisée sur l’abonnement que vous avez envoyé.

Il existe six étapes principales pour utiliser la fonctionnalité :

1. Téléchargez le fichier az connected.whl et utilisez-le pour installer l’extension az connectedmachine.
2. Créez une ressource de passerelle Arc.
3. Vérifiez que les URL requises sont autorisées dans votre environnement.
4. Associez des ressources Azure Arc nouvelles ou existantes à votre ressource de passerelle Arc.
5. Vérifiez que l’installation a réussi.
6. Vérifiez que d’autres scénarios utilisent la passerelle Arc (Linux uniquement).

Étape 1 : Télécharger le fichier az connectedmachine.whl

1. Sélectionnez le lien pour télécharger le fichier az connectedmachine.whl.

   Ce fichier contient les commandes de machine connectée az requises pour créer et gérer votre ressource de passerelle.

2. Installez l’interface de ligne de commande Azure (si ce n'est pas déjà fait).

3. Exécutez la commande suivante pour ajouter l’extension connectedmachine :

   az extension add --allow-preview true --source [whl file path]

Étape 2 : Créer une ressource de passerelle Arc

Sur un ordinateur disposant d’un accès à Azure, exécutez les commandes suivantes pour créer votre ressource de passerelle Arc :

az login --use-device-code
az account set --subscription [subscription name or id]
az connectedmachine gateway create --name [Your gateway’s Name] --resource-group [Your Resource Group] --location [Location] --gateway-type public --allowed-features * --subscription [subscription name or id]

Le processus de création de passerelle prend 9 à 10 minutes.

Étape 3 : Vérifier que les URL requises sont autorisées dans votre environnement

Lorsque la ressource est créée, la réponse de réussite inclut l’URL de la passerelle Arc. Vérifiez que votre URL de passerelle Arc et toutes les URL du tableau suivant sont autorisées dans l’environnement dans lequel vos ressources Arc sont actives :

URL	Objectif
[Votre préfixe d’URL].gw.arc.azure.com	Votre URL de passerelle (cette URL peut être obtenue en exécutant az connectedmachine gateway list une fois que vous avez créé votre ressource de passerelle)
management.azure.com	Point de terminaison Azure Resource Manager requis pour le canal de contrôle Azure Resource Manager
login.microsoftonline.com	Point de terminaison de Microsoft Entra ID, pour l’acquisition de jetons d’accès d’identité
gbl.his.arc.azure.com	Point de terminaison de service cloud pour communiquer avec les agents Azure Arc
<region.his.arc.azure.com>	Utilisé pour le canal de contrôle principal d’Arc
packages.microsoft.com	Requis pour acquérir une charge utile d’activités des agents Arc linux, nécessaire uniquement pour connecter des serveurs Linux à Arc
download.microsoft.com	Utilisée pour télécharger le package d’installation Windows

Étape 4 : Associer des ressources Azure Arc nouvelles ou existantes à votre ressource de passerelle

Pour intégrer un nouveau serveur à la passerelle Arc, générez un script d’installation, puis modifiez le script pour spécifier votre ressource de passerelle :

1. Générez le script d’installation. Suivez les instructions de Démarrage rapide : Connecter des machines hybrides avec des serveurs avec Azure Arc pour créer un script qui automatise le téléchargement et l’installation de l’Azure Connected Machine Agent et établit la connexion avec Azure Arc.

2. Modifiez le script d’installation. Votre ressource de passerelle doit être spécifique dans le script d’installation. Pour ce faire, un nouveau paramètre appelé --gateway-id est ajouté à la commande de connexion.

   Pour les serveurs Linux :

   1. Obtenez l’ID de ressource de votre passerelle en exécutant la commande az connectedmachine gateway list. Notez le paramètre « id » dans la sortie (autrement dit, l’ID de ressource ARM complet).
   2. Dans le script d’installation, ajoutez l'« ID » trouvé à l’étape précédente en tant que paramètre suivant : --gateway-id "[Your-gateway’s-Resource-ID]"

   Exemple de script d’intégration de serveur Linux :

   Ce modèle de script inclut des paramètres pour vous permettre de spécifier votre serveur proxy d’entreprise.

   export subscriptionId="SubscriptionId"; 
   export resourceGroup="ResourceGroup"; 
   export tenantId="TenantID"; 
   export location="Region"; 
   export authType="AuthType"; 
   export cloud="AzureCloud"; 
   export gatewayID="gatewayResourceID"; 
   
   # Download the installation package 
   output=$(wget https://aka.ms/azcmagent -e use_proxy=yes -e https_proxy="[Your Proxy URL]" -O /tmp/install_linux_azcmagent.sh 2>&1); 
   if [ $? != 0 ]; then wget -qO- -e use_proxy=yes -e https_proxy="[Your Proxy URL]" --method=PUT --body-data="{\"subscriptionId\":\"$subscriptionId\",\"resourceGroup\":\"$resourceGroup\",\"tenantId\":\"$tenantId\",\"location\":\"$location\",\"correlationId\":\"$correlationId\",\"authType\":\"$authType\",\"operation\":\"onboarding\",\"messageType\":\"DownloadScriptFailed\",\"message\":\"$output\"}" "https://gbl.his.arc.azure.com/log" &> /dev/null || true; fi; 
   echo "$output"; 
   
   # Install the hybrid agent 
   bash /tmp/install_linux_azcmagent.sh --proxy "[Your Proxy URL]"; 
   
   # Run connect command 
   sudo azcmagent connect --resource-group "$resourceGroup" --tenant-id "$tenantId" --location "$location" --subscription-id "$subscriptionId" --cloud "$cloud" --correlation-id "$correlationId" --gateway-id "$gatewayID";
   

   Pour les serveurs Windows :

   1. Obtenez l’ID de ressource de votre passerelle en exécutant la commande az connectedmachine gateway list. Cette commande génère des informations sur toutes les ressources de passerelle de votre abonnement. Notez le paramètre ID dans la sortie (autrement dit, l’ID de ressource ARM complet).
   2. Dans la section d’essai du script d’installation, ajoutez l’ID trouvé à l’étape précédente en tant que paramètre suivant : --gateway-id "[Your-gateway’s-Resource-ID]"
   3. Dans la section catch du script d’installation, ajoutez l’ID trouvé à l’étape précédente en tant que paramètre suivant : gateway-id="[Your-gateway’s-Resource-ID]"

   Exemple de script d'intégration d'un serveur Windows :

   Ce modèle de script inclut des paramètres pour vous permettre de spécifier votre serveur proxy d’entreprise.

   $global:scriptPath = $myinvocation.mycommand.definition 
   
   function Restart-AsAdmin { 
       $pwshCommand = "powershell" 
       if ($PSVersionTable.PSVersion.Major -ge 6) { 
           $pwshCommand = "pwsh" 
       } 
   
       try { 
           Write-Host "This script requires administrator permissions to install the Azure Connected Machine Agent. Attempting to restart script with elevated permissions..." 
           $arguments = "-NoExit -Command `"& '$scriptPath'`"" 
           Start-Process $pwshCommand -Verb runAs -ArgumentList $arguments 
           exit 0 
       } catch { 
           throw "Failed to elevate permissions. Please run this script as Administrator." 
       } 
   } 
   
   try { 
       if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) { 
           if ([System.Environment]::UserInteractive) { 
               Restart-AsAdmin 
           } else { 
               throw "This script requires administrator permissions to install the Azure Connected Machine Agent. Please run this script as Administrator." 
           } 
       } 
   
       $env:SUBSCRIPTION_ID = "SubscriptionId"; 
       $env:RESOURCE_GROUP = "ResourceGroup"; 
       $env:TENANT_ID = "TenantID"; 
       $env:LOCATION = "Region"; 
       $env:AUTH_TYPE = "AuthType"; 
       $env:CLOUD = "AzureCloud"; 
       $env:GATEWAY_ID = "gatewayResourceID"; 
   
       [Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor 3072; 
   
       # Download the installation package 
       Invoke-WebRequest -UseBasicParsing -Uri "https://aka.ms/azcmagent-windows" -TimeoutSec 30 -OutFile "$env:TEMP\install_windows_azcmagent.ps1" -proxy "[Your Proxy URL]"; 
   
       # Install the hybrid agent 
       & "$env:TEMP\install_windows_azcmagent.ps1" -proxy "[Your Proxy URL]"; 
       if ($LASTEXITCODE -ne 0) { exit 1; } 
   
       # Run connect command 
       & "$env:ProgramW6432\AzureConnectedMachineAgent\azcmagent.exe" connect --resource-group "$env:RESOURCE_GROUP" --tenant-id "$env:TENANT_ID" --location "$env:LOCATION" --subscription-id "$env:SUBSCRIPTION_ID" --cloud "$env:CLOUD" --gateway-id "$env:GATEWAY_ID"; 
   } 
   catch { 
       $logBody = @{subscriptionId="$env:SUBSCRIPTION_ID";resourceGroup="$env:RESOURCE_GROUP";tenantId="$env:TENANT_ID";location="$env:LOCATION";authType="$env:AUTH_TYPE";gatewayId="$env:GATEWAY_ID";operation="onboarding";messageType=$_.FullyQualifiedErrorId;message="$_";}; 
       Invoke-WebRequest -UseBasicParsing -Uri "https://gbl.his.arc.azure.com/log" -Method "PUT" -Body ($logBody | ConvertTo-Json) -proxy "[Your Proxy URL]" | out-null; 
       Write-Host  -ForegroundColor red $_.Exception; 
   } 
   

3. Exécutez le script d’installation pour intégrer vos serveurs à Azure Arc.

Pour configurer une machine existante pour utiliser la passerelle Arc, procédez comme suit :

Remarque

L’ordinateur existant doit utiliser l’agent de machine connectée aux serveurs avec Arc version 1.43 ou ultérieure pour utiliser la préversion publique limitée de la passerelle Arc.

1. Associez votre machine existante à votre ressource de passerelle Arc :

   az connectedmachine setting update --resource-group [res-group] --subscription [subscription name] --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name [Arc-server's resource name]  --settings-resource-name default --gateway-resource-id [Full Arm resourceid]
   

2. Mettez à jour la machine pour utiliser la ressource de passerelle Arc. Exécutez la commande suivante sur le serveur compatible avec Arc pour le configurer afin qu'il utilise la passerelle Arc :

   azcmagent config set connection.type gateway
   

3. Attendez la réconciliation.

   Une fois que vos machines ont été mises à jour pour utiliser la passerelle Arc, certains points de terminaison Azure Arc qui ont été précédemment autorisés dans votre proxy d’entreprise ou les pare-feu ne seront plus nécessaires. Toutefois, il existe une période de transition, alors attendez une heure avant de supprimer les points de terminaison inutiles de votre pare-feu/proxy d'entreprise.

Étape 5 : Vérifier que l’installation a réussi

Sur le serveur intégré, exécutez la commande suivante : azcmagent show Le résultat doit indiquer les valeurs suivantes :

• L’état de l’agent doit s’afficher comme connecté.
• L’utilisation du proxy HTTPS doit s’afficher comme http://localhost:40343
• Le proxy en amont doit s’afficher en tant que proxy d’entreprise (si vous en avez défini un)

En outre, pour vérifier que la configuration est réussie, vous pouvez exécuter la commande suivante : azcmagent check Le résultat devrait indiquer que le connection.type est défini comme une passerelle, et la colonne Accessible devrait indiquer true pour toutes les URL.

Étape 6 : Vérifier que des scénarios supplémentaires utilisent la passerelle Arc (Linux uniquement)

Sur Linux, pour utiliser Azure Monitor ou Microsoft Defender for Endpoint, des commandes supplémentaires doivent être exécutées pour fonctionner avec la passerelle Azure Arc (préversion limitée).

Pour Azure Monitor, les paramètres de proxy explicites doivent être fournis lors du déploiement de l’agent Azure Monitor. À partir d’Azure Cloud Shell, exécutez les commandes suivantes :

$settings = @{"proxy" = @{mode = "application"; address = "http://127.0.0.1:40343"; auth = false}} 

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Si vous déployez Azure Monitor via le portail Azure, veillez à sélectionner le paramètre Utiliser le proxy et à définir l’adresse du proxy sur http://127.0.0.1:40343.

Pour Microsoft Defender for Endpoint, exécutez la commande suivante :

mdatp config proxy set --value http://127.0.0.1:40343

Instructions de nettoyage

Pour nettoyer votre passerelle, détachez la ressource de passerelle du ou des serveurs applicables ; la ressource peut ensuite être supprimée en toute sécurité :

1. Définissez le type de connexion du serveur avec Azure Arc sur « direct » au lieu de « passerelle » :

   azcmagent config set connection.type direct

2. Exécutez la commande suivante pour supprimer la ressource :

   az connectedmachine gateway delete --resource group [resource group name] --gateway-name [gateway resource name]

   Cette opération peut prendre quelques minutes.

Dépannage

Vous pouvez auditer le trafic de votre passerelle Arc en consultant les journaux du routeur de passerelle.

Pour afficher les journaux du routeur de passerelle sur Windows:

1. Exécutez azcmagent logs dans PowerShell.
2. Dans le fichier .zip résultant, les journaux se trouvent dans le dossier C:\ProgramData\Microsoft\ArcGatewayRouter.

Pour afficher les journaux de routeur de passerelle sur Linux :

1. Exécutez sudo azcmagent logs.
2. Dans le fichier journal résultant, les journaux se trouvent dans le dossier /usr/local/arcrtr/logs/.

Problèmes connus

Il n’est pas encore possible d’utiliser Azure CLI pour dissocier une ressource de passerelle à partir d’un serveur avec Arc. Pour arrêter un serveur avec Arc à l’aide d’une passerelle Arc, utilisez la commande azcmagent config set connection.type direct. Cette commande configure la ressource avec Arc pour qu’elle utilise l’itinéraire direct au lieu de la passerelle Arc.