Menyederhanakan persyaratan konfigurasi jaringan dengan Azure Arc Gateway (pratinjau)

Jika Anda menggunakan proksi perusahaan untuk mengelola lalu lintas keluar, gateway Azure Arc (pratinjau) dapat membantu menyederhanakan proses pengaktifan konektivitas.

Gateway Azure Arc (pratinjau) memungkinkan Anda:

• Sambungkan ke Azure Arc dengan membuka akses jaringan publik hanya ke tujuh nama domain yang sepenuhnya memenuhi syarat (FQDN).
• Lihat dan audit semua lalu lintas yang dikirim agen Arc ke Azure melalui gateway Arc.

Penting

Gateway Azure Arc saat ini dalam pratinjau.

Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku untuk fitur Azure yang dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Cara kerja Gateway "Azure Arc"

Gateway Arc berfungsi dengan memperkenalkan dua komponen baru

Sumber Daya Gateway Arc adalah sumber daya Azure yang berfungsi sebagai antarmuka umum untuk lalu lintas Azure. Sumber daya gateway dilayani pada domain/URL tertentu. Anda harus membuat sumber daya ini dengan mengikuti langkah-langkah yang diuraikan dalam artikel ini. Setelah Anda berhasil membuat sumber daya gateway, domain/URL ini disertakan dalam respons keberhasilan.

Proksi Arc adalah komponen baru yang berjalan sebagai pod tersendiri (disebut "Proksi Arc Azure"). Komponen ini bertindak sebagai proksi penerusan yang digunakan oleh agen dan ekstensi Azure Arc. Tidak ada konfigurasi yang diperlukan dari pihak Anda untuk Azure Arc Proxy. Pada versi 1.21.10 dari agen Kubernetes berkemampuan Arc, pod ini sekarang menjadi bagian dari agen-agen inti Arc dan berjalan dalam konteks Kluster Kubernetes berkemampuan Arc. 

Saat gateway diberlakukan, lalu lintas mengalir melalui hop berikut: Arc Agents → Azure Arc Proxy → Proksi Perusahaan → Arc Gateway → Layanan Target.

Untuk mengunduh diagram arsitektur dalam resolusi tinggi, kunjungi Jumpstart Gems.

Batasan saat ini

Selama pratinjau publik, batasan berikut berlaku. Pertimbangkan faktor-faktor ini saat merencanakan konfigurasi Anda.

• Proksi yang mengakhiri TLS tidak didukung oleh gateway Arc.
• Anda tidak dapat menggunakan ExpressRoute/VPN antar situs atau titik akhir privat bersamaan dengan gateway Arc.
• Ada batas lima sumber daya gateway Arc per langganan Azure.
• Gateway Arc hanya dapat digunakan untuk konektivitas di cloud publik Azure.

Anda dapat membuat sumber daya gateway Arc dengan menggunakan Azure CLI atau Azure PowerShell.

Saat membuat sumber daya gateway Arc, Anda menentukan langganan dan grup sumber daya tempat sumber daya dibuat, bersama dengan wilayah Azure. Namun, semua sumber daya dengan dukungan Arc di penyewa yang sama dapat menggunakan sumber daya, terlepas dari langganan atau wilayah mereka sendiri.

Untuk membuat sumber daya gateway Arc, dan mengelola asosiasinya dengan kluster Kubernetes dengan dukungan Arc, izin berikut diperlukan:

• Microsoft.Kubernetes/connectedClusters/settings/default/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

Membuat sumber daya gateway Arc

Azure CLI

1. Di komputer dengan akses ke Azure, jalankan perintah Azure CLI berikut:

   az extension add -n arcgateway
   

2. Selanjutnya, jalankan perintah berikut pada Azure CLI untuk membuat sumber daya gateway Arc Anda, mengganti placeholder dengan nilai yang Anda inginkan.

   az arcgateway create --name <gateway's name> --resource-group <resource group> --location <region> --gateway-type public --allowed-features * --subscription <subscription name or id>
   

Azure PowerShell

1. Pada mesin dengan akses ke Azure, jalankan perintah Azure PowerShell berikut untuk membuat sumber daya gateway Arc Anda, mengganti placeholder dengan nilai yang Anda inginkan.

   New-AzArcgateway 
   -name <gateway's name> 
   -resource-group <resource group> 
   -location <region> 
   -subscription <subscription name or id> 
   -gateway-type public  
   -allowed-features *
   

Umumnya dibutuhkan sekitar sepuluh menit untuk menyelesaikan pembuatan sumber daya gateway Arc.

Mengonfirmasi akses ke URL yang diperlukan

Setelah sumber daya berhasil dibuat, respons keberhasilan akan menyertakan URL gateway Arc. Pastikan URL gateway Arc Anda dan semua URL di bawah ini diizinkan di lingkungan tempat sumber daya Arc Anda berada.

URL	Tujuan
[Your URL prefix].gw.arc.azure.com	URL gateway Anda. URL ini dapat diperoleh dengan menjalankan az arcgateway list setelah Anda membuat sumber daya.
management.azure.com	Titik Akhir Azure Resource Manager, diperlukan untuk kanal kontrol ARM.
<region>.obo.arc.azure.com	Diperlukan saat Koneksi kluster dikonfigurasikan.
login.microsoftonline.com, <region>.login.microsoft.com	Titik akhir ID Microsoft Entra, digunakan untuk memperoleh token akses identitas.
gbl.his.arc.azure.com, <region>.his.arc.azure.com	Titik akhir layanan cloud untuk berkomunikasi dengan Agen Arc. Menggunakan nama pendek, misalnya eus untuk US Timur.
mcr.microsoft.com, *.data.mcr.microsoft.com	Dibutuhkan untuk mengunduh gambar kontainer bagi agen Azure Arc.

Tambahkan kluster Kubernetes ke Azure Arc menggunakan sumber daya gateway Anda

Azure CLI

1. Pastikan lingkungan Anda memenuhi semua prasyarat yang diperlukan untuk Kubernetes dengan dukungan Azure Arc. Karena Anda menggunakan gateway Azure Arc, Anda tidak perlu memenuhi serangkaian persyaratan jaringan lengkap.

2. Pada komputer penyebaran, atur variabel lingkungan yang diperlukan agar Azure CLI menggunakan server proksi keluar:

   export HTTP_PROXY=<proxy-server-ip-address>:<port> export HTTPS_PROXY=<proxy-server-ip-address>:<port> export NO_PROXY=<cluster-apiserver-ip-address>:<port>

3. Pada kluster Kubernetes, jalankan perintah connect dengan parameter proxy-https dan proxy-http yang ditentukan. Jika server proksi Anda disiapkan dengan HTTP dan HTTPS, pastikan untuk menggunakan --proxy-http untuk proksi HTTP dan --proxy-https untuk proksi HTTPS. Jika server proksi Anda hanya menggunakan HTTP, Anda dapat menggunakan nilai tersebut untuk kedua parameter.

   az connectedk8s connect -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id> --proxy-https <proxy_value> --proxy-http http://<proxy-server-ip-address>:<port> --proxy-skip-range <excludedIP>,<excludedCIDR> --location <region>

   Nota

   Beberapa permintaan jaringan, seperti yang melibatkan komunikasi layanan ke layanan dalam kluster, harus dipisahkan dari lalu lintas yang dirutekan melalui server proksi untuk komunikasi keluar. Parameter --proxy-skip-range dapat digunakan untuk menentukan rentang CIDR dan titik akhir dengan cara yang dipisahkan koma, sehingga komunikasi dari agen ke titik akhir ini tidak melalui proksi keluar. Minimal, rentang CIDR dari layanan dalam kluster harus ditentukan sebagai nilai untuk parameter ini. Misalnya, jika kubectl get svc -A mengembalikan daftar layanan di mana semua layanan memiliki ClusterIP nilai dalam rentang 10.0.0.0/16, maka nilai yang --proxy-skip-range akan ditentukan adalah 10.0.0.0/16,kubernetes.default.svc,.svc.cluster.local,.svc.

   --proxy-http, --proxy-https, dan --proxy-skip-range diharapkan ada di sebagian besar lingkungan proksi keluar. --proxy-cert hanya diperlukan jika Anda perlu menyuntikkan sertifikat tepercaya yang diharapkan oleh proksi ke penyimpanan sertifikat tepercaya pod agen.

   Proksi keluar harus dikonfigurasi untuk memungkinkan koneksi websocket.

Azure PowerShell

1. Pastikan lingkungan Anda memenuhi semua prasyarat yang diperlukan untuk Kubernetes dengan dukungan Azure Arc. Karena Anda menggunakan gateway Azure Arc, Anda tidak perlu memenuhi serangkaian persyaratan jaringan lengkap.

2. Sambungkan kluster Kubernetes Anda, menggunakan salah satu metode berikut:

   • Jika kluster Anda tidak berada di belakang server proksi keluar, jalankan perintah Azure PowerShell berikut:

   New-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> -Location <region>> –GatewayResourceId <resourceId>

   • Jika kluster Anda berada di belakang server proksi eksternal:

     1. Pada komputer penyebaran, atur variabel lingkungan yang diperlukan agar Azure PowerShell menggunakan server proksi keluar:

        $Env:HTTP_PROXY = "<proxy-server-ip-address>:<port>" $Env:HTTPS_PROXY = "<proxy-server-ip-address>:<port>" $Env:NO_PROXY = "<cluster-apiserver-ip-address>:<port>"

     2. Pada kluster Kubernetes, jalankan perintah sambungkan dengan parameter proksi yang ditentukan:

     New-AzConnectedKubernetes -ClusterName <cluster-name> -ResourceGroupName <resource-group> -Location <region> -HttpProxy 'http://<proxy-server-ip-address>:<port>', -HttpsProxy 'https://<proxy-server-ip-address>:<port>' -NoProxy <excludedIP>,<excludedCIDR>

Mengonfigurasi kluster yang ada untuk menggunakan gateway Arc

Untuk memperbarui kluster yang ada sehingga mereka menggunakan gateway Arc, jalankan perintah berikut:

Azure CLI

az connectedk8s update -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id>

Untuk memverifikasi bahwa pembaruan berhasil, jalankan perintah berikut dan konfirmasikan bahwa responsnya adalah true:

 az connectedk8s show -g <resource_group> -n <cluster_name> --query 'gateway.enabled' 

Azure PowerShell

$connectedCluster = Get-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> 
Get-AzConnectedKubernetes -InputObject $connectedCluster -GatewayResourceId <resourceId> 

Setelah kluster Anda diperbarui untuk menggunakan gateway Arc, beberapa titik akhir Arc yang sebelumnya diizinkan di proksi perusahaan atau firewall Anda tidak lagi diperlukan dan dapat dihapus. Sebaiknya tunggu setidaknya satu jam sebelum Anda menghapus titik akhir apa pun yang tidak lagi diperlukan. Pastikan untuk tidak menghapus salah satu titik akhir yang diperlukan untuk gateway Arc.

Menghapus gateway Arc

Penting

Langkah yang dijelaskan di sini hanya berlaku untuk gateway Arc pada Kubernetes dengan dukungan Arc. Untuk detail tentang mencopot gateway Arc di Azure Local, lihat Tentang gateway Azure Arc untuk Azure Local (pratinjau).

Untuk menonaktifkan gateway Arc dan menghapus hubungan antara sumber daya gateway Arc dan kluster berkemampuan Arc, jalankan perintah berikut:

Azure CLI

az connectedk8s update -g <resource_group> -n <cluster_name> --disable-gateway 

Azure PowerShell

Get-AzConnectedKubernetes -ClusterName <cluster_name> -ResourceGroupName <resource_group> | Set-AzConnectedKubernetes -DisableGateway   

Memantau lalu lintas

Untuk mengaudit lalu lintas gateway Anda, lihat log router gateway:

1. Jalankan kubectl get pods -n azure-arc
2. Identifikasi pod Proksi Arc (namanya akan dimulai dengan arc-proxy-).
3. Jalankan kubectl logs -n azure-arc <Arc Proxy pod name>

Skenario tambahan

Selama pratinjau publik, gateway Arc mencakup titik akhir yang diperlukan untuk penggabungan kluster, dan sebagian dari titik akhir yang diperlukan untuk skenario tambahan dengan dukungan Arc. Berdasarkan skenario yang Anda adopsi, titik akhir tambahan masih diperlukan untuk diizinkan dalam proksi Anda.

Semua titik akhir yang tercantum untuk skenario berikut harus diizinkan di proksi perusahaan Anda saat gateway Arc sedang digunakan:

• Wawasan kontainer di Azure Monitor:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com
• Azure Key Vault:
  • <vault-name>.vault.azure.net
• Azure Policy:
  • data.policy.core.windows.net
  • store.policy.core.windows.net
• Pertahanan Microsoft untuk Kontainer:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
• Layanan data dengan dukungan Azure Arc
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com