Utiliser Azure Private Link pour connecter des serveurs à Azure Arc de manière sécurisée

Azure Private Link vous permet de lier en toute sécurité les services PaaS Azure à votre réseau virtuel à l’aide de points de terminaison privés. Pour de nombreux services, il vous suffit de configurer un point de terminaison par ressource. Cela signifie que vous pouvez connecter vos serveurs locaux ou multiclouds à Azure Arc et envoyer tout le trafic via un ExpressRoute ou une connexion VPN de site à site au lieu d’utiliser des réseaux publics.

À partir des serveurs Azure Arc, vous pouvez utiliser un modèle Étendue de liaison privée pour permettre à plusieurs serveurs ou machines de communiquer avec leurs ressources Azure Arc via un même point de terminaison privé.

Cet article explique quand utiliser une étendue de liaison privée Azure Arc et comment la configurer.

Avantages

Grâce à Azure Private Link, vous pouvez :

• vous connecter en privé à Azure Arc sans ouvrir d'accès au réseau public ;
• Vérifiez que les données de la machine ou du serveur Azure Arc ne sont accessibles que via des réseaux privés autorisés. Cela s'applique également aux données provenant des extensions de machines virtuelles installées sur la machine ou le serveur et qui fournissent un support de gestion et de surveillance post-déploiement ;
• empêcher l'exfiltration de données de vos réseaux privés en définissant des serveurs Azure Arc spécifiques et d'autres ressources de services Azure, comme Azure Monitor, qui se connectent via votre point de terminaison privé ;
• connecter en toute sécurité votre réseau privé local à Azure Arc à l'aide d'ExpressRoute et de Private Link ;
• Conservez tout le trafic au sein du réseau principal Microsoft Azure.

Pour plus d’informations, consultez Principaux avantages de Private Link.

Fonctionnement

L’étendue de liaison privée Azure Arc connecte des points de terminaison privés (et les réseaux virtuels qui les hébergent) à une ressource Azure, dans ce cas des serveurs avec Azure Arc. Quand vous activez une des extensions de machine virtuelle prises en charge par les serveurs avec Azure Arc, comme Azure Monitor, ces ressources connectent d’autres ressources Azure. Par exemple :

• Espace de travail Log Analytics, requis pour Azure Automation – Suivi des modifications et inventaire, Azure Monitor – Insights sur les machines virtuelles et Collecte des journaux Azure Monitor avec l’agent Log Analytics.
• Compte Azure Automation, requis pour Update Management et Suivi des modifications et inventaire
• Azure Key Vault
• Stockage Blob Azure, requis pour l'extension de script personnalisé

La connectivité à toute autre ressource Azure à partir d’un serveur Azure Arc requiert la configuration d’une liaison privée pour chaque service, ce qui est facultatif, mais recommandé. Le liaison privée Azure nécessite une configuration séparée par service.

Pour plus d’informations sur la configuration d’une liaison privée pour les services Azure répertoriés précédemment, consultez les articles Azure Automation, Azure Monitor, Azure Key Vault ou Stockage Blob Azure.

Important

Azure Private Link est maintenant en disponibilité générale. Le point de terminaison privé et le service Private Link (service derrière l’équilibreur de charge standard) sont tous les deux en disponibilité générale. Différentes versions d’Azure PaaS seront intégrées à Azure Private Link à différentes échéances. Consultez Disponibilité de Private Link pour obtenir l’état à jour d’Azure PaaS sur Private Link. Pour en savoir plus sur les limitations connues, consultez Point de terminaison privé et Service Liaison privée.

• Le point de terminaison privé de votre réseau virtuel lui permet d'atteindre les points de terminaison des serveurs Azure Arc par le biais d'adresses IP privées à partir du pool de votre réseau, au lieu d'utiliser les adresses IP publiques de ces points de terminaison. Cela vous permet de continuer à utiliser vos ressources de serveurs Azure Arc sans ouvrir votre réseau virtuel à un trafic sortant non requis.

• Le trafic entre le point de terminaison privé et vos ressources passe par le réseau principal Microsoft Azure et n'est pas acheminé vers des réseaux publics.

• Vous pouvez configurer chacun de vos composants pour qu'ils autorisent ou refusent l'ingestion et les requêtes en provenance de réseaux publics. Vous bénéficiez ainsi d’une protection au niveau des ressources, ce qui vous permet de contrôler le trafic vers des ressources spécifiques.

Restrictions et limitations

L'objet de l’Étendue de liaison privée des serveurs Azure Arc présente un certain nombre de limites à prendre en compte lors de la planification de votre configuration Private Link.

• Vous ne pouvez associer qu'une seule Étendue de liaison privée Azure Arc à un réseau virtuel.
• Une machine ou un serveur Azure Arc ne peut se connecter qu'à une seule Étendue de liaison privée de serveurs Azure Arc.
• Toutes les machines locales doivent utiliser le même point de terminaison privé en résolvant les bonnes informations de point de terminaison privé (nom d'enregistrement FQDN et adresse IP privée) à l'aide du même redirecteur DNS. Pour plus d'informations, consultez Configuration DNS des points de terminaison privés Azure.
• Le serveur Azure Arc et l'Étendue de liaison privée Azure Arc doivent se trouver dans la même région Azure. Le point de terminaison privé et le réseau virtuel doivent également se trouver dans la même région Azure, mais cette région peut être différente de celle de votre étendue de lien privée Azure arc et du serveur Azure Arc.
• Le trafic réseau vers l’ID Microsoft Entra et Azure Resource Manager ne traverse pas l’étendue Azure Arc Private Link et continuera à utiliser votre itinéraire réseau par défaut vers Internet. Vous pouvez éventuellement configurer une liaison privée de gestion des ressources pour envoyer le trafic Azure Resource Manager à un point de terminaison privé.
• D'autres services Azure, comme Azure Monitor, ont besoin de leurs propres points de terminaison privés sur votre réseau virtuel.
• L’accès à distance au serveur à l’aide de Windows Admin Center ou SSH n’est pas pris en charge par le biais d’une liaison privée pour l’instant.

Planification de votre configuration Private Link

Pour connecter votre serveur à Azure Arc via une liaison privée, vous devez configurer votre réseau comme suit :

1. Établissez une connexion entre votre réseau local et un réseau virtuel Azure à l’aide d’un VPN site à site ou d’un circuit ExpressRoute.

2. Déployez une étendue de liaison privée Azure Arc contrôlant les machines ou serveurs qui peuvent communiquer avec Azure Arc sur des points de terminaison privés, et associez-la à votre réseau virtuel Azure avec un point de terminaison privé.

3. Mettez à jour la configuration DNS sur votre réseau local afin de résoudre les adresses des points de terminaison privés.

4. Configurez votre pare-feu local pour autoriser l’accès à l’ID Microsoft Entra et à Azure Resource Manager.

5. Associez les machines ou serveurs inscrits auprès des serveurs Azure Arc à l'étendue de liaison privée.

6. Si vous le souhaitez, déployez des points de terminaison privés pour d'autres services Azure gérant votre machine ou votre serveur, comme :

   • Azure Monitor
   • Azure Automation
   • stockage d’objets blob Azure
   • Azure Key Vault

Cet article part du principe que vous avez déjà configuré votre circuit ExpressRoute ou votre connexion VPN de site à site.

Configuration réseau

Les serveurs Azure Arc s'intègrent à différents services Azure pour mettre en place la gestion et la gouvernance cloud sur vos machines ou serveurs hybrides. La plupart de ces services offrent déjà des points de terminaison privés, mais vous devez configurer votre pare-feu et vos règles d’acheminement de manière à autoriser l’accès à Microsoft Entra ID et Azure Resource Manager sur Internet jusqu’à ce que ces services offrent des points de terminaison privés.

Pour ce faire, deux méthodes sont disponibles :

• Si votre réseau est configuré pour acheminer tout le trafic lié à Internet via le circuit VPN Azure ou ExpressRoute, vous pouvez configurer le groupe de sécurité réseau associé à votre sous-réseau dans Azure pour autoriser l’accès TCP 443 (HTTPS) sortant à Microsoft Entra ID et Azure à l’aide de balises de service. Les règles NSG doivent se présenter comme suit :

  Setting	Règle Microsoft Entra ID	Règle Azure
  Source	Réseau virtuel	Réseau virtuel
  Source port ranges	*	*
  Destination	Étiquette du service	Étiquette du service
  Identification de destination	AzureActiveDirectory	AzureResourceManager
  Plages de ports de destination	443	443
  Protocole	TCP	TCP
  Action	Allow	Autoriser
  Priorité	150 (doit être inférieure à toutes les règles qui bloquent l'accès à Internet)	151 (doit être inférieure à toutes les règles qui bloquent l'accès à Internet)
  Nom	AllowAADOutboundAccess	AllowAzOutboundAccess

• Configurez le pare-feu sur votre réseau local pour autoriser l’accès TCP 443 sortant (HTTPS) à Microsoft Entra ID et Azure à l’aide des fichiers d’étiquette de service téléchargeables. Le fichier JSON contient toutes les plages d’adresses IP publiques utilisées par l’ID Microsoft Entra et Azure et est mise à jour mensuellement pour refléter toutes les modifications. La balise de service d’Azure AD est AzureActiveDirectory et la balise de service d’Azure est AzureResourceManager. Contactez votre administrateur réseau et votre fournisseur de pare-feu réseau pour savoir comment configurer vos règles de pare-feu.

Consultez le diagramme visuel de la section Fonctionnement pour en savoir plus sur les flux de trafic réseau.

Créer une Étendue de liaison privée

1. Connectez-vous au portail Azure.

2. Sur le portail Azure, accédez à Créer une ressource et recherchez Étendue de liaison privée Azure Arc. Vous pouvez également utiliser le lien suivant pour ouvrir la page Étendue de liaison privée Azure Arc sur le portail.

   

3. Sélectionnez Créer.

4. Sous l’onglet Informations de base, sélectionnez un abonnement et un groupe de ressources.

5. Entrez un nom pour l'étendue de liaison privée Azure Arc. Il est préférable d'utiliser un nom explicite et clair.

   Vous pouvez exiger que chaque machine ou serveur avec Azure Arc associé à cette étendue de liaison privée Azure Arc envoie des données au service par le biais du point de terminaison privé. Pour ce faire, cochez la case Activer l’accès au réseau public pour permettre aux machines ou serveurs associés à cette étendue de liaison privée Azure Arc de communiquer avec le service sur des réseaux privés ou publics. Vous pouvez modifier ce paramètre après avoir créé l'étendue si vous changez d'avis.

6. Sélectionnez l’onglet Point de terminaison privé, puis Créer.

7. Dans la fenêtre Créer un point de terminaison privé :

   1. Entrez un Nom pour le point de terminaison.

   2. Choisissez Oui pour Intégrer à une zone DNS privée, et laissez-le créer automatiquement une nouvelle zone DNS privée.

      Remarque

      Si vous choisissez Non et préférez gérer les enregistrements DNS manuellement, commencez par configurer votre liaison privée, avec ce point de terminaison privé et la configuration de l'étendue privée. Ensuite, configurez votre DNS conformément aux instructions de la rubrique Configuration DNS des points de terminaison privés Azure. Veillez à ne pas créer d’enregistrements vides en préparation de votre configuration de liaison privée. Les enregistrements DNS que vous créez peuvent remplacer les paramètres existants et avoir un impact sur votre connectivité avec les serveurs Azure Arc.

   3. Cliquez sur OK.

8. Sélectionnez Vérifier + créer.

   

9. Laissez le processus de validation se terminer, puis sélectionnez Créer.

Configurer la redirection DNS locale

Vos machines ou serveurs locaux doivent être en mesure de résoudre les enregistrements DNS des liaisons privées en adresses IP de points de terminaison privés. La configuration de ces éléments varie selon que vous utilisez des zones DNS privées Azure pour gérer les enregistrements DNS ou votre propre serveur DNS local. Elle dépend également du nombre de serveurs que vous configurez.

Configuration DNS à l'aide de zones DNS privées intégrées à Azure

Si vous configurez des zones DNS privées pour les serveurs Azure Arc et la configuration des invités lors de la création du point de terminaison privé, vos machines ou serveurs locaux doivent être en mesure de transmettre les requêtes DNS aux serveurs Azure DNS intégrés afin de résoudre correctement les adresses des points de terminaison privés. Vous avez besoin dans Azure d'un redirecteur DNS (soit une machine virtuelle spécialement conçue, soit une instance de Pare-feu Azure avec proxy DNS activé), après quoi vous pouvez configurer votre serveur DNS local pour qu'il transmette les requêtes à Azure afin de résoudre les adresses IP des points de terminaison privés.

La documentation relative aux points de terminaison privés fournit des conseils sur la configuration des charges de travail locales à l'aide d'un redirecteur DNS.

Configuration manuelle du serveur DNS

Si vous avez choisi de ne pas utiliser les zones DNS privées Azure lors de la création du point de terminaison privé, vous devrez créer les enregistrements DNS requis sur votre serveur DNS local.

1. Accédez au portail Azure.

2. Accédez au point de terminaison privé associé à votre réseau virtuel et à votre étendue de liaison privée.

3. Dans le volet gauche, sélectionnez Configuration DNS pour voir la liste des enregistrements DNS et des adresses IP correspondantes à configurer sur votre serveur DNS. Les noms de domaine complets (FQDN) et les adresses IP changeront en fonction de la région que vous avez sélectionnée pour votre point de terminaison privé et des adresses IP disponibles dans votre sous-réseau.

   

4. Suivez les instructions de votre fournisseur de serveur DNS pour ajouter les zones DNS et les enregistrements A correspondant au tableau du portail. Veillez à sélectionner un serveur DNS dont l'étendue est adaptée à votre réseau. Chaque machine ou serveur qui utilise ce serveur DNS résout désormais les adresses IP des points de terminaison privés et doit être associé à l’étendue de liaison privée Azure Arc, faute de quoi la connexion sera refusée.

Scénarios à serveur unique

Si vous envisagez uniquement d’utiliser des liaisons privées pour prendre en charge quelques machines ou serveurs, vous ne souhaiterez peut-être pas mettre à jour la configuration DNS de votre réseau entier. Dans ce cas, vous pouvez ajouter les noms d'hôte et les adresses IP des points de terminaison privés au fichier Hosts de votre système d'exploitation. Selon la configuration du système d'exploitation, le fichier Hosts peut être la méthode principale ou alternative pour résoudre le nom d'hôte en adresse IP.

Windows

1. À l'aide d'un compte doté de privilèges d'administrateur, ouvrez C:\Windows\System32\drivers\etc\hosts.

2. Ajoutez les adresses IP et les noms d'hôte des points de terminaison privés comme indiqué dans le tableau de l'étape 3 sous Configuration manuelle du serveur DNS. Le fichier hosts requiert d'abord l'adresse IP suivie d'un espace, puis du nom d'hôte.

3. Enregistrez le fichier contenant vos modifications. Vous devrez peut-être d’abord enregistrer dans un autre répertoire, puis copier le fichier dans le chemin d’accès d’origine.

Linux

1. Ouvrez le fichier /etc/hosts hosts dans un éditeur de texte.

2. Ajoutez les adresses IP et les noms d'hôte des points de terminaison privés comme indiqué dans le tableau de l'étape 3 sous Configuration manuelle du serveur DNS. Le fichier hosts exige d'abord l'adresse IP suivie d'un espace, puis du nom d'hôte.

3. Enregistrez le fichier contenant vos modifications.

Se connecter à des serveurs Azure Arc

Remarque

La version minimale prise en charge de l’agent de la machine Azure Arc avec point de terminaison privé est la version 1.4. Le script de déploiement des serveurs Azure Arc généré sur le portail télécharge la dernière version.

Configurer un nouveau serveur Azure Arc pour utiliser une liaison privée

Lorsque vous connectez une machine ou un serveur à des serveurs Azure Arc pour la première fois, vous avez la possibilité de le connecter à une Étendue de liaison privée. Procédez comme suit :

1. À partir de votre navigateur, accédez au portail Azure.

2. Accédez à Machines - Azure Arc.

3. Dans la page Machines - Azure Arc , sélectionnez Ajouter/créer en haut à gauche, puis sélectionnez Ajouter un ordinateur dans le menu déroulant.

4. Sur la page Ajouter des serveurs à Azure Arc, sélectionnez Ajouter un seul serveur ou Ajouter plusieurs serveurs en fonction de votre scénario de déploiement, puis sélectionnez Générer un script.

5. Dans la page Générer un script, sélectionnez l’abonnement et le groupe de ressources où vous souhaitez que la machine soit gérée dans Azure. Sélectionnez une localisation Azure destinée au stockage des métadonnées de la machine. Cet emplacement peut être identique ou différent de l’emplacement du groupe de ressources.

6. Sur la page Informations de base, indiquez les informations suivantes :

   1. Sélectionnez Abonnement et Groupe de ressources pour les machines.

   2. Dans la liste déroulante Région, sélectionnez la région Azure dans laquelle vous souhaitez stocker les métadonnées de la machine ou du serveur.

   3. Dans la liste déroulante Système d’exploitation, sélectionnez le système d’exploitation sur lequel le script est configuré pour s’exécuter.

   4. Sous méthode de connectivité, sélectionnez point de terminaison privé et sélectionnez l’étendue Azure Arc Private Link créée dans la partie 1 dans la liste déroulante.

      

   5. Sélectionnez Suivant : Balises.

7. Si vous avez sélectionné Ajouter plusieurs serveurs, dans la page Authentification, sélectionnez le principal de service créé pour les serveurs avec Azure Arc dans la liste déroulante. Si vous n'avez pas créé de principal de service pour les serveurs Azure Arc, consultez d'abord la procédure de création d'un principal de service pour vous familiariser avec les autorisations requises et les étapes à suivre pour en créer un. Sélectionnez Suivant : Étiquettes pour continuer.

8. Dans la page Balises, passez en revue les suggestions de balises d’emplacement physique par défaut et entrez une valeur, ou spécifiez une ou plusieurs Balises personnalisées en fonction de vos standards.

9. Sélectionnez Suivant : Télécharger et exécuter le script.

10. Dans la page Télécharger et exécuter le script, passez en revue les informations de résumé, puis sélectionnez Télécharger. Si vous avez encore besoin d’apporter des modifications, sélectionnez Précédent.

Après avoir téléchargé le script, vous devez l'exécuter sur votre machine ou serveur en utilisant un compte doté de privilèges (administrateur ou racine). Selon votre configuration réseau, vous devrez peut-être télécharger l’agent à partir d’un ordinateur disposant d’un accès Internet et le transférer vers votre ordinateur ou serveur, puis modifier le script avec le chemin d’accès à l’agent.

L'agent Windows peut être téléchargé à partir de https://aka.ms/AzureConnectedMachineAgent et l'agent Linux à partir de https://packages.microsoft.com. Recherchez la dernière version d'azcmagent située dans le répertoire de distribution de votre système d'exploitation et installée avec votre gestionnaire de package local.

Le script renverra des messages d'état qui vous indiqueront si l'intégration a abouti au terme de celle-ci.

Conseil

trafic réseau de l’agent Azure Connected Machine vers l’ID Microsoft Entra (login.windows.net, login.microsoftonline.com, pas.windows.net) et Azure Resource Manager (management.azure.com) continueront d’utiliser des points de terminaison publics. Si votre serveur doit communiquer via un serveur proxy pour atteindre ces points de terminaison, configurez l’agent avec l’URL du serveur proxy avant de le connecter à Azure. Vous devrez peut-être également configurer un contournement proxy pour les services Azure Arc si votre point de terminaison privé n’est pas accessible à partir de votre serveur proxy.

Configurer un serveur Azure Arc existant

Pour permettre aux serveurs Azure Arc qui ont été configurés avant l’étendue de votre liaison privée, vous pouvez autoriser ces derniers à commencer à utiliser l'Étendue de liaison privée des serveurs Azure Arc en réalisant les étapes suivantes.

1. Sur le portail Azure, accédez à votre ressource Étendue de liaison privée Azure Arc.

2. Dans le volet gauche, sélectionnez Ressources Azure Arc, puis + Ajouter.

3. Sélectionnez les serveurs dans la liste que vous souhaitez associer à l'Étendue de liaison privée, puis choisissez Sélectionner pour enregistrer vos modifications.

L’étendue de liaison privée peut prendre jusqu’à 15 minutes pour accepter les connexions à partir du ou des serveurs récemment associés.

Dépannage

1. Vérifiez vos serveurs DNS locaux pour vous assurer qu'ils sont transférés vers Azure DNS ou qu'ils sont configurés avec les enregistrements A appropriés dans votre zone de liaison privée. Ces commandes de recherche doivent renvoyer des adresses IP privées dans votre réseau virtuel Azure. Si les adresses IP publiques sont résolues, vérifiez la configuration DNS de votre machine ou serveur et de votre réseau.

   nslookup gbl.his.arc.azure.com
   nslookup agentserviceapi.guestconfiguration.azure.com
   

2. Si vous rencontrez des problèmes d’intégration d’une machine ou d’un serveur, vérifiez que vous avez ajouté l’ID Microsoft Entra et les balises de service Azure Resource Manager à votre pare-feu de réseau local. L'agent doit communiquer avec ces services via Internet jusqu'à ce que des points de terminaison privés soient disponibles pour ceux-ci.

Étapes suivantes

• Pour plus d’informations sur les points de terminaison privés, consultez Qu’est-ce qu’Azure Private Endpoint ?.

• Si vous rencontrez des problèmes liés à la configuration de la connectivité de vos points de terminaison privés Azure, consultez Résoudre les problèmes de connectivité des points de terminaison privés Azure.

• Consultez les rubriques suivantes afin de configurer Private Link pour Azure Automation, Azure Monitor, Azure Key Vault ou Stockage Blob Azure.