Utiliser Azure Private Link pour connecter des serveurs à Azure Arc de manière sécurisée

Avec Azure Private Link, vous pouvez lier en toute sécurité des services PaaS (Platform-as-a-Service) Azure à votre réseau virtuel à l’aide de points de terminaison privés. Pour de nombreux services, vous configurez un point de terminaison par ressource. Vous pouvez ensuite connecter vos serveurs locaux ou multiclouds à Azure Arc et envoyer tout le trafic via Azure ExpressRoute ou une connexion de réseau privé virtuel de site à site (VPN) au lieu d’utiliser des réseaux publics.

Avec les serveurs avec Azure Arc, vous pouvez utiliser un modèle d’étendue de liaison privée pour permettre à plusieurs serveurs ou machines de communiquer avec leurs ressources Azure Arc à l’aide d’un seul point de terminaison privé.

Cet article explique quand utiliser l’étendue Azure Arc Private Link et comment la configurer.

Avantages

Avec Private Link, vous pouvez :

• vous connecter en privé à Azure Arc sans ouvrir d'accès au réseau public ;
• Vérifiez que les données de la machine ou du serveur avec Azure Arc sont accessibles uniquement via des réseaux privés autorisés. Cette exigence inclut également les données des extensions de machine virtuelle installées sur la machine ou le serveur qui fournissent une prise en charge de la gestion et de la surveillance après le déploiement.
• Empêchez l’exfiltration des données de vos réseaux privés en définissant des serveurs avec Azure Arc spécifiques et d’autres ressources de services Azure, telles qu’Azure Monitor, qui se connecte via votre point de terminaison privé.
• Connectez en toute sécurité votre réseau local privé à Azure Arc à l’aide d’ExpressRoute et de Private Link.
• Conservez tout le trafic au sein du réseau principal Microsoft Azure.

Pour plus d’informations, consultez Principaux avantages d’Azure Private Link.

Fonctionnement

Azure Arc Private Link Scope connecte des points de terminaison privés (et les réseaux virtuels où ils sont contenus) à une ressource Azure. Dans ce cas, il s’agit de serveurs avec Azure Arc. Lorsque vous activez l’une des extensions de machine virtuelle prises en charge pour les serveurs avec Azure Arc, comme Azure Monitor, ces ressources connectent d’autres ressources Azure, telles que :

• Espace de travail Log Analytics, requis pour le Suivi des modifications et inventaire Azure Automation, les informations sur les machines virtuelles Azure Monitor et la collecte des journaux Azure Monitor avec l'agent Azure Monitor.
• Azure Key Vault.
• Le Stockage Blob Azure, qui est nécessaire pour l'extension de script personnalisée.

Pour télécharger des diagrammes d’architecture en haute résolution, visitez Jumpstart Gems.

La connectivité à n’importe quelle autre ressource Azure à partir d’un serveur avec Azure Arc vous oblige à configurer Private Link pour chaque service, ce qui est facultatif, mais nous le recommandons. Private Link nécessite une configuration distincte par service.

Pour plus d’informations sur la configuration de Private Link pour les services Azure répertoriés précédemment, consultez les articles sur Azure Automation, Azure Monitor, Key Vault ou Stockage Blob.

Important

Private Link est désormais en disponibilité générale. Les services de point de terminaison privé et de liaison privée (service derrière un équilibreur de charge standard) sont généralement disponibles. Différents services PaaS Azure sont intégrés à Private Link en suivant différentes planifications. Pour obtenir un état mis à jour d’Azure PaaS sur Private Link, consultez la disponibilité de Private Link. Pour connaître les limitations connues, consultez le service de point de terminaison privé et de liaison privée.

• Le point de terminaison privé sur votre réseau virtuel lui permet d’atteindre des points de terminaison de serveurs avec Azure Arc via des adresses IP privées à partir du pool de votre réseau, au lieu d’utiliser les adresses IP publiques de ces points de terminaison. De cette façon, vous pouvez continuer à utiliser votre ressource de serveurs avec Azure Arc sans ouvrir votre réseau virtuel au trafic sortant qui n’a pas été demandé.
• Le trafic du point de terminaison privé vers vos ressources passe par le réseau principal Azure et n’est pas routé vers les réseaux publics.
• Vous pouvez configurer chacun de vos composants pour qu'ils autorisent ou refusent l'ingestion et les requêtes en provenance de réseaux publics. Cela fournit une protection au niveau des ressources afin que vous puissiez contrôler le trafic vers des ressources spécifiques.

Restrictions et limitations

L'objet d'étendue de liaison privée pour les serveurs habilités Azure Arc a plusieurs limites que vous devez prendre en compte lorsque vous planifiez votre configuration de liaison privée :

• Au plus, une étendue de liaison privée Azure Arc peut être associée à un réseau virtuel.
• Une ressource de serveur ou d’ordinateur avec Azure Arc ne peut se connecter qu’à une seule étendue de liaison privée de serveurs avec Azure Arc.
• Toutes les machines locales doivent utiliser le même point de terminaison privé en résolvant les informations de point de terminaison privé appropriées, telles que le nom de domaine complet (FQDN) et l’adresse IP privée. Ils doivent utiliser le même redirecteur DNS (Domain Name System). Pour plus d’informations, consultez Configuration DNS des points de terminaison privés Azure.
• Le serveur avec Azure Arc et l’étendue de liaison privée Azure Arc doivent se trouver dans la même région Azure que l’autre. Le point de terminaison privé et le réseau virtuel doivent se trouver dans la même région Azure que l’autre, mais il peut être différent de la région de votre étendue de liaison privée Azure Arc et du serveur avec Azure Arc.
• Le trafic réseau vers l’ID Microsoft Entra et Azure Resource Manager ne traverse pas l’étendue de liaison privée Azure Arc et continue d’utiliser votre itinéraire réseau par défaut vers Internet. Vous pouvez éventuellement configurer une liaison privée de gestion des ressources pour envoyer le trafic Resource Manager à un point de terminaison privé.
• D’autres services Azure que vous utilisez, par exemple Azure Monitor, nécessitent leurs propres points de terminaison privés dans votre réseau virtuel.
• L’accès à distance au serveur à l’aide de Windows Admin Center ou SSH n’est pas pris en charge pour l’instant via une liaison privée.

Planifier la configuration de votre liaison privée

Pour connecter votre serveur à Azure Arc via une liaison privée, vous devez configurer votre réseau pour effectuer les tâches suivantes :

1. Établissez une connexion entre votre réseau local et un réseau virtuel Azure à l’aide d’un VPN de site à site ou d’un circuit ExpressRoute.

2. Déployez une étendue de liaison privée Azure Arc, qui contrôle les machines ou les serveurs qui peuvent communiquer avec Azure Arc sur des points de terminaison privés. Associez-le à votre réseau virtuel Azure à l’aide d’un point de terminaison privé.

3. Mettez à jour la configuration DNS sur votre réseau local afin de résoudre les adresses des points de terminaison privés.

4. Configurez votre pare-feu local pour autoriser l’accès à Microsoft Entra ID et Resource Manager.

5. Associez les machines ou les serveurs enregistrés auprès des serveurs compatibles Azure Arc à l'étendue de liaison privée.

6. Si vous le souhaitez, déployez des points de terminaison privés pour d’autres services Azure qui gèrent votre machine ou votre serveur, par exemple :

   • Azure Monitor
   • Azure Automation
   • Stockage Blob Azure
   • Azure Key Vault

Cet article suppose que vous avez déjà configuré votre circuit ExpressRoute ou votre connexion VPN de site à site.

Configuration réseau

Les serveurs Azure Arc s'intègrent à différents services Azure pour mettre en place la gestion et la gouvernance cloud sur vos machines ou serveurs hybrides. La plupart de ces services offrent déjà des points de terminaison privés. Vous devez configurer vos règles de pare-feu et de routage pour autoriser l’accès à Microsoft Entra ID et Resource Manager sur Internet jusqu’à ce que ces services offrent des points de terminaison privés.

Il existe deux façons d’autoriser l’accès :

• Si votre réseau est configuré pour acheminer tout le trafic lié à Internet via le circuit VPN Azure ou ExpressRoute, vous pouvez configurer le groupe de sécurité réseau associé à votre sous-réseau dans Azure. Utilisez des balises de service pour autoriser l’accès TCP 443 sortant (HTTPS) à Microsoft Entra ID et Azure. Les règles de groupe de sécurité réseau (NSG) doivent ressembler au tableau suivant :

  Paramètre	Règle Microsoft Entra ID	Règle Azure
  Origine	Réseau virtuel	Réseau virtuel
  Plages de ports sources	*	*
  Destination	Identifiant de service	Identifiant de service
  Étiquette de service de destination	AzureActiveDirectory	AzureResourceManager
  Plages de ports de destination	443	443
  Protocole	TCP	TCP
  Action	Allow	Allow
  Priorité	150 (Doit être inférieur à toutes les règles qui bloquent l’accès à Internet.)	151 (Doit être inférieur à toutes les règles qui bloquent l’accès à Internet.)
  Nom	AllowAADOutboundAccess	AllowAzOutboundAccess

• Configurez le pare-feu sur votre réseau local pour autoriser l’accès TCP 443 sortant (HTTPS) à Microsoft Entra ID et Azure à l’aide des fichiers d’étiquette de service téléchargeables. Le fichier JSON contient toutes les plages d’adresses IP publiques utilisées par l’ID Microsoft Entra et Azure et est mise à jour mensuellement pour refléter toutes les modifications. La balise de service Microsoft Entra ID est AzureActiveDirectory. La balise de service Azure est AzureResourceManager. Contactez votre administrateur réseau et votre fournisseur de pare-feu réseau pour savoir comment configurer vos règles de pare-feu.

Si vous souhaitez mieux comprendre les flux de trafic réseau, consultez le diagramme dans la section Fonctionnement de cet article.

Créer une étendue de liaison privée Azure Arc

1. Connectez-vous au portail Azure.

2. Accédez à Créer une ressource dans le portail Azure, recherchez l’étendue Azure Arc Private Link, puis sélectionnez Créer.

   

   Vous pouvez également accéder directement à la page Étendues de liaison privée Azure Arc dans le portail, puis sélectionner Créer.

3. Sous l’onglet Informations de base , sélectionnez un abonnement et un groupe de ressources.

4. Entrez un nom pour l’étendue de liaison privée Azure Arc. Il est préférable d'utiliser un nom explicite et clair.

5. Si vous le souhaitez, vous pouvez exiger que chaque ordinateur ou serveur avec Azure Arc associé à cette étendue de liaison privée Azure Arc envoie des données au service via le point de terminaison privé. Pour ce faire, cochez la case Autoriser l’accès au réseau public afin que les machines ou les serveurs associés à cette étendue de liaison privée Azure Arc puissent communiquer avec le service via des réseaux privés ou publics. Vous pouvez modifier ce paramètre après avoir créé l’étendue en fonction des besoins.

6. Sélectionnez l’onglet Point de terminaison privé , puis sélectionnez Créer.

7. Dans le volet Créer un point de terminaison privé :

   1. Entrez un nom pour le point de terminaison.

   2. Pour l’intégrer à une zone DNS privée, sélectionnez Oui et laissez-le créer automatiquement une zone DNS privée.

      Remarque

      Si vous choisissez Non et préférez gérer manuellement les enregistrements DNS, commencez par configurer votre liaison privée, y compris ce point de terminaison privé et la configuration de l’étendue privée. Ensuite, configurez votre DNS en fonction des instructions de la configuration DNS du point de terminaison privé Azure. Veillez à ne pas créer d’enregistrements vides comme préparation de votre configuration de liaison privée. Les enregistrements DNS que vous créez peuvent remplacer les paramètres existants et affecter votre connectivité avec des serveurs avec Azure Arc.

      Vous ne pouvez pas utiliser la même zone de réseau virtuel/DNS pour les deux ressources Azure Arc qui utilisent des liaisons privées et celles qui n’utilisent pas de liaisons privées. Les ressources Azure Arc qui ne sont pas connectées à des liens privés doivent se résoudre vers des points de terminaison publics.

   3. Cliquez sur OK.

8. Sélectionnez Vérifier + créer.

   

9. Laissez le processus de validation se terminer, puis sélectionnez Créer.

Configurer la redirection DNS locale

Vos machines ou serveurs locaux doivent être capables de résoudre les enregistrements DNS du lien privé vers les adresses IP des points de terminaison privés. La façon dont vous configurez ce comportement dépend de l’utilisation des éléments suivants :

• Zones DNS privées Azure pour gérer les enregistrements DNS.
• Votre propre serveur DNS local et le nombre de serveurs que vous configurez.

Configuration DNS à l’aide de zones DNS privées intégrées à Azure

Si vous configurez des zones DNS privées pour les serveurs avec Azure Arc et la configuration d’invité lorsque vous créez le point de terminaison privé, vos machines ou serveurs locaux doivent être en mesure de transférer des requêtes DNS vers les serveurs Azure DNS intégrés pour résoudre correctement les adresses de point de terminaison privé. Vous avez besoin d’un redirecteur DNS dans Azure (une machine virtuelle conçue à usage unique ou une instance de pare-feu Azure avec le proxy DNS activé). Vous pouvez ensuite configurer votre serveur DNS local pour transférer des requêtes vers Azure pour résoudre les adresses IP de point de terminaison privé.

Pour plus d’informations, consultez Azure DNS Private Resolver avec le redirecteur DNS local.

Configuration manuelle du serveur DNS

Si vous avez refusé d’utiliser des zones DNS privées Azure lors de la création du point de terminaison privé, vous devez créer les enregistrements DNS requis dans votre serveur DNS local.

1. Dans le portail Azure, accédez à la ressource de point de terminaison privé associée à votre réseau virtuel et à votre étendue de liaison privée.

2. Dans le menu du service, sous Paramètres, sélectionnez Configuration DNS pour afficher la liste des enregistrements DNS et des adresses IP correspondantes que vous devez configurer sur votre serveur DNS. Les noms de domaine complets et les adresses IP changent en fonction de la région sélectionnée pour votre point de terminaison privé et des adresses IP disponibles dans votre sous-réseau.

3. Suivez les instructions de votre fournisseur de serveur DNS pour ajouter les zones DNS et les enregistrements A correspondant au tableau du portail. Vérifiez que vous sélectionnez un serveur DNS qui a été correctement étendu pour votre réseau. Chaque ordinateur ou serveur qui utilise ce serveur DNS résout désormais les adresses IP de point de terminaison privé. Chaque machine ou serveur doit être associé à l’étendue de liaison privée Azure Arc, ou la connexion est refusée.

Scénarios à serveur unique

Si vous envisagez d’utiliser des liens privés pour prendre en charge seulement quelques ordinateurs ou serveurs, vous ne souhaiterez peut-être pas mettre à jour la configuration DNS de votre réseau entier. Dans ce cas, vous pouvez ajouter les noms d’hôtes de point de terminaison privé et les adresses IP au fichier Hosts de votre système d’exploitation. Selon la configuration du système d’exploitation, le fichier Hosts peut être la méthode principale ou alternative pour résoudre un nom d’hôte vers une adresse IP.

Fenêtres

1. Utilisez un compte disposant de privilèges d’administrateur pour ouvrir C :\Windows\System32\drivers\etc\hosts.

2. Ajoutez les adresses IP de point de terminaison privé et les noms d’hôtes à partir de la liste de configuration DNS , comme décrit dans la configuration manuelle du serveur DNS. Le fichier hosts requiert d’abord l’adresse IP, suivie d’un espace, puis du nom d’hôte.

3. Enregistrez le fichier contenant vos modifications. Vous devrez peut-être d’abord enregistrer dans un autre répertoire, puis copier le fichier dans le chemin d’accès d’origine.

Linux

1. Ouvrez le fichier /etc/hosts dans un éditeur de texte.

2. Ajoutez les adresses IP de point de terminaison privé et les noms d’hôtes à partir de la liste de configuration DNS , comme décrit dans la configuration manuelle du serveur DNS. Le fichier hosts demande d’abord l’adresse IP, suivie d’un espace, puis du nom d’hôte.

3. Enregistrez le fichier contenant vos modifications.

Se connecter à un serveur Azure Arc

L’utilisation d’un point de terminaison privé nécessite l’agent Azure Connected Machine version 1.4 ou ultérieure. Le script de déploiement des serveurs Azure Arc généré sur le portail télécharge la dernière version.

Configurer un nouveau serveur avec Azure Arc pour utiliser Private Link

Lorsque vous connectez une machine ou un serveur avec des serveurs avec Azure Arc pour la première fois, vous pouvez éventuellement le connecter à une étendue de liaison privée.

1. À partir de votre navigateur, accédez au portail Azure.

2. Accédez à Machines - Azure Arc.

3. Dans la page Machines - Azure Arc , sélectionnez Ajouter/créer dans le coin supérieur gauche, puis sélectionnez Ajouter une machine dans le menu déroulant.

4. Dans la page Ajouter des serveurs avec Azure Arc , sélectionnez Ajouter un seul serveur ou Ajouter plusieurs serveurs en fonction de votre scénario de déploiement, puis sélectionnez Générer un script.

5. Dans la page Informations de base , fournissez les informations suivantes :

   1. Sélectionnez l’abonnement et le groupe de ressources de l’ordinateur.

   2. Dans la liste déroulante Région , sélectionnez la région Azure pour stocker les métadonnées de la machine ou du serveur.

   3. Dans la liste déroulante système d’exploitation , sélectionnez le système d’exploitation sur lequel le script est configuré pour s’exécuter.

   4. Sous Méthode de connectivité, sélectionnez Point de terminaison privé et sélectionnez l’étendue de liaison privée Azure Arc créée dans la partie 1 dans la liste déroulante.

      

   5. Sélectionnez Suivant : Balises.

6. Si vous avez sélectionné Ajouter plusieurs serveurs sur la page Authentification , sélectionnez le principal de service créé pour les serveurs avec Azure Arc dans la liste déroulante. Si vous devez créer un principal de service pour les serveurs avec Azure Arc, passez en revue comment créer un principal de service pour en savoir plus sur les autorisations et les étapes requises pour en créer un. Sélectionnez Suivant : Étiquettes pour continuer.

7. Dans la page Balises , passez en revue les balises d’emplacement physique par défaut suggérées et entrez une valeur, ou spécifiez une ou plusieurs balises personnalisées pour prendre en charge vos normes.

8. Sélectionnez Suivant : Télécharger et exécuter le script.

9. Dans la page Télécharger et exécuter le script, passez en revue les informations de résumé, puis sélectionnez Télécharger.

Après avoir téléchargé le script, vous devez l’exécuter sur votre ordinateur ou serveur à l’aide d’un compte privilégié (administrateur ou racine). Selon votre configuration réseau, vous devrez peut-être télécharger l’agent à partir d’un ordinateur disposant d’un accès Internet et le transférer vers votre ordinateur ou serveur. Ensuite, vous modifiez le script avec le chemin d’accès à l’agent.

Vous pouvez télécharger l’agent Windows et l’agent Linux. Recherchez la dernière version dans le répertoire de distribution de votre système d'exploitation et installez-la avec votre gestionnaire de paquets local.

Le script retourne les messages d’état qui vous permettent de savoir si l’intégration a réussi une fois l’opération terminée.

Le trafic réseau de l’agent Azure Connected Machine vers l’ID Microsoft Entra (login.windows.net, , login.microsoftonline.compas.windows.net) et Resource Manager (management.azure.com) continuent d’utiliser des points de terminaison publics. Si votre serveur doit communiquer via un serveur proxy pour atteindre ces points de terminaison, configurez l’agent avec l’URL du serveur proxy avant de le connecter à Azure. Vous devrez peut-être également configurer un contournement de proxy pour les services Azure Arc si votre point de terminaison privé n’est pas accessible à partir de votre serveur proxy.

Configurer un serveur Azure Arc existant

Pour les serveurs avec Azure Arc qui ont été configurés avant votre étendue de liaison privée, vous pouvez les autoriser à démarrer à l’aide de l’étendue de liaison privée des serveurs avec Azure Arc.

1. Dans le portail Azure, accédez à votre ressource d’étendue de liaison privée Azure Arc.

2. Dans le menu du service, sous Configurer, sélectionnez ressources Azure Arc, puis sélectionnez + Ajouter.

3. Sélectionnez les serveurs dans la liste que vous souhaitez associer à l’étendue de liaison privée, puis choisissez Sélectionner pour enregistrer vos modifications.

   

Le périmètre de lien privé peut nécessiter jusqu'à 15 minutes avant d'accepter les connexions des serveurs récemment associés.

Dépannage

Si vous rencontrez des problèmes, les suggestions suivantes peuvent vous aider :

• Vérifiez votre serveur DNS local pour vous assurer qu’il est transféré vers Azure DNS ou qu’il est configuré avec les enregistrements A appropriés dans votre zone de liaison privée. Ces commandes de recherche doivent renvoyer des adresses IP privées dans votre réseau virtuel Azure. S’ils résolvent les adresses IP publiques, vérifiez deux fois votre ordinateur ou votre serveur et la configuration DNS du réseau.

  nslookup gbl.his.arc.azure.com
  nslookup agentserviceapi.guestconfiguration.azure.com
  

• Pour les problèmes liés à l’intégration d’un ordinateur ou d’un serveur, vérifiez que vous avez ajouté les balises de service Microsoft Entra ID et Resource Manager à votre pare-feu de réseau local. L'agent doit communiquer avec ces services via Internet jusqu'à ce que des points de terminaison privés soient disponibles pour ceux-ci.

Pour plus d’aide sur la résolution des problèmes, consultez Résoudre les problèmes de connectivité de point de terminaison privé Azure.

Contenu connexe

• En savoir plus sur les points de terminaison privés dans Qu’est-ce qu’un point de terminaison privé ?.
• Découvrez comment configurer des liens privés pour Azure Automation, Azure Monitor, Azure Key Vault ou Stockage Blob Azure.