Topologie et connectivité réseau pour les serveurs avec Azure Arc

Les serveurs avec Azure Arc vous permettent de gérer vos serveurs physiques et machines virtuelles Windows et Linux (hébergés dans votre environnement local ou par un fournisseur cloud tiers) à l’aide du plan de contrôle Azure. Ce document vous guide tout au long des principales considérations relatives à la conception et aux meilleures pratiques pour la connectivité des serveurs avec Azure Arc dans le cadre d’un guide de zone d’atterrissage Cloud Adoption Framework à l’échelle de l’entreprise.

Cet article part du principe que vous avez correctement implémenté la zone d’atterrissage à l’échelle de l’entreprise et établi des connexions réseau hybrides, et se concentre donc sur la connectivité de l’agent Connected Machine aux serveurs avec Azure Arc. Pour plus d’informations sur ce prérequis, consultez la vue d’ensemble à l’échelle de l’entreprise et l’aide relative à l’implémentation.

Architecture

Le diagramme suivant montre une architecture de référence conceptuelle pour la connectivité des serveurs avec Azure Arc.

Considérations sur la conception

La liste suivante fournit une vue d’ensemble des considérations relatives à la conception du réseau pour les serveurs avec Azure Arc.

• Définissez la méthode de connectivité de l’agent : Passez en revue votre infrastructure existante, vos exigences de sécurité et décidez comment Connected Machine Agent communiquera avec Azure à partir de votre réseau local ou d’autres fournisseurs cloud. Cette connexion peut passer directement par Internet, par le biais d’un serveur proxy, ou vous pouvez implémenter Private Link pour une connexion privée.
• Gérer l’accès aux étiquettes de service Azure : créez un processus automatisé pour maintenir les règles réseau de pare-feu et de proxy à jour en fonction des exigences réseau de Connected Machine Agent.
• Sécurisez votre connectivité réseau à Azure Arc : configurez le système d’exploitation de l’ordinateur pour utiliser le protocole TLS (Transport Layer Security) version 1.2. Les versions antérieures ne sont pas recommandées en raison de vulnérabilités connues.
• Définissez la méthode de connectivité des extensions : les extensions Azure déployées sur un serveur avec Azure Arc doivent généralement communiquer avec d’autres services Azure. Cette connectivité peut utiliser directement des réseaux publics, via un pare-feu ou un serveur proxy. Si votre conception nécessite une connectivité privée, vous devez prendre des mesures supplémentaires au-delà de la configuration de points de terminaison privés pour l’agent Arc afin d’activer la connectivité de point de terminaison privé pour chaque service accessible par les extensions.
• Passez en revue votre architecture globale de connectivité : Passez en revue la topologie réseau et la zone de conception de connectivité de la zone d’atterrissage Azure à l’échelle de l’entreprise pour évaluer l’impact des serveurs avec Azure Arc sur votre connectivité globale.

Recommandations de conception

Définir la méthode de connectivité de l’agent Azure Arc

Les serveurs avec Azure Arc vous permettent de connecter des machines hybrides à l’aide des méthodes suivantes :

• Connexion directe, éventuellement à partir d’un pare-feu ou d’un serveur proxy
• Azure Private Link

Connexion directe

Les serveurs avec Azure Arc offrent une connectivité directe aux points de terminaison publics Azure. Avec cette méthode de connectivité, tous les agents de machine ouvrent une connexion via Internet à l’aide d’un point de terminaison public. Connected Machine Agent pour Linux et Windows communique le trafic sortant vers Azure de manière sécurisée à l’aide du protocole HTTPS (TCP/443).

Lorsque vous utilisez la méthode de connexion directe, vous devez passer en revue votre accès Internet pour Connected Machine Agent. Nous vous recommandons de configurer les règles réseau requises.

Serveur proxy ou connexion de pare-feu (facultatif)

Si l’ordinateur utilise un pare-feu ou un serveur proxy pour communiquer sur Internet, l’agent se connecte en sortie en utilisant le protocole HTTPS.

Si la connectivité sortante est limitée par votre pare-feu ou un serveur proxy, veillez à autoriser les plages d’adresses IP conformément aux exigences réseau de Connected Machine Agent. Lorsque vous autorisez uniquement les plages d’adresses IP ou les noms de domaine requis pour que l’agent communique avec le service, utilisez des étiquettes de service et des URL pour configurer votre pare-feu ou votre serveur proxy.

Si vous déployez des extensions sur vos serveurs avec Azure Arc, chaque extension se connecte à son ou ses propres points de terminaison. Vous devez également autoriser toutes les URL correspondantes dans le pare-feu ou le proxy. L’ajout de ces points de terminaison garantit un trafic réseau sécurisé granulaire pour respecter le principe du privilège minimum (PoLP).

Liaison privée

En utilisant le serveur avec Azure Arc avec l’étendue de liaison privée Arc, vous avez l'assurance que tout le trafic provenant de vos agents Arc reste sur votre réseau. Cette configuration présente des avantages sur le plan de la sécurité : le trafic ne transite pas par Internet et il n'est pas nécessaire d'ouvrir autant d'exceptions sortantes sur le pare-feu de votre centre de données. Toutefois, l'utilisation d'une liaison privée pose un certain nombre de problèmes de gestion tout en augmentant la complexité et les coûts globaux, en particulier pour les organisations internationales. Voici quelques-uns de ces défis :

• Le choix d'utiliser des étendues de liaisons privées Arc concerne tous les clients Arc sous la même étendue DNS. On ne peut pas avoir des clients Arc qui utilisent des points de terminaison privés et d'autres qui utilisent des points de terminaison publics lorsqu'ils partagent un serveur DNS (sans solution de contournement comme des stratégies DNS)
• Pour vos clients Arc, il faut soit utiliser tous les points de terminaison privés dans une région primaire, soit configurer le DNS de manière à ce que les mêmes noms de points de terminaison privés se résolvent en adresses IP différentes (par exemple, en utilisant des partitions DNS répliquées de manière sélective pour le DNS intégré à l'Active Directory). Si vous utilisez les mêmes points de terminaison privés pour tous vos clients Arc, vous devez être en mesure d’acheminer le trafic de tous vos réseaux vers les points de terminaison privés.
• Des étapes supplémentaires sont nécessaires pour s'assurer que des points de terminaison privés sont également utilisés pour tous les services Azure auxquels accèdent les composants logiciels Extensions déployés à l'aide d'Arc, notamment les espaces de travail Log Analytics, les comptes Automation, Key Vault ou Azure Storage
• La connectivité à Azure Entra ID utilise un point de terminaison public, de sorte que les clients ont toujours besoin d'un accès à Internet

Compte tenu de ces difficultés, nous vous recommandons de déterminer si une liaison privée est indispensable à la mise en œuvre d'Arc. Tenez compte du fait qu'avec des points de terminaison publics, le trafic sera crypté et, en fonction de l'utilisation d'Arc pour les serveurs, peut être limité à la gestion et au trafic des métadonnées. Les problèmes de sécurité peuvent être atténués par la mise en œuvre de contrôles de sécurité de l’agent local.

Pour plus d’informations, consultez les restrictions et limitations associées à la prise en charge d'une liaison privée pour Arc.

Conseil

Consultez Sécurité d’Azure Private Link pour plus d’informations.

Gérer l’accès aux étiquettes de service Azure

Nous vous recommandons d’implémenter un processus automatisé pour maintenir les règles réseau de pare-feu et de proxy à jour en fonction des exigences réseau d’Azure Arc.

Sécuriser votre connectivité réseau à Azure Arc

Nous vous recommandons d’utiliser le protocole Transport Layer Security 1.2 pour garantir la sécurité des données en transit vers Azure. Les versions antérieures de TLS/SSL (Secure Sockets Layer), jugées vulnérables, ne sont pas recommandées.

Définir la méthode de connectivité des extensions

Lorsque vous activez l’une des extensions de machine virtuelle prises en charge par les serveurs avec Azure Arc, ces extensions se connectent à d’autres services Azure. Il est important de déterminer la méthode de connectivité pour ces extensions : soit directement, derrière un serveur proxy/pare-feu, soit en utilisant Azure Private Link.

Si vos serveurs avec Azure Arc utilisent un proxy ou un pare-feu, vous devez également autoriser toutes les URL requises pour les extensions, car ils communiquent avec leurs propres points de terminaison.

Si vous passez par Private Link, vous devez configurer Private Link pour chaque service.

Étapes suivantes

Pour plus d’informations sur le parcours d’adoption du cloud hybride, consultez les ressources suivantes :

• Passer en revue les scénarios de Démarrage rapide avec Azure Arc.
• Passez en revue les conditions préalables pour les serveurs avec Azure Arc.
• Passez en revue la configuration réseau requise pour la méthode de connectivité Private Link.
• Comprenez comment Private Link fonctionne pour les serveurs avec Azure Arc.
• Planifiez un déploiement à grande échelle de serveurs avec Azure Arc.
• Planifiez votre configuration Private Link.
• Pour résoudre les problèmes de connectivité, consultez le Guide de connexion de l’agent pour les serveurs avec Azure Arc.
• Apprenez-en davantage sur Azure Arc via le Parcours d’apprentissage Azure Arc.