Share via

Connettività privata per i cluster Kubernetes abilitati per Arc tramite collegamento privato (anteprima)

  • Articolo

collegamento privato di Azure consente di collegare in modo sicuro i servizi di Azure alla rete virtuale usando endpoint privati. Ciò significa che è possibile connettere i cluster Kubernetes locali con Azure Arc e inviare tutto il traffico tramite una connessione VPN di Azure ExpressRoute o da sito a sito anziché usare reti pubbliche. In Azure Arc è possibile usare un modello di ambito collegamento privato per consentire a più cluster Kubernetes di comunicare con le risorse di Azure Arc usando un singolo endpoint privato.

Questo documento illustra quando usare e come configurare Azure Arc collegamento privato (anteprima).

Importante

La funzionalità azure Arc collegamento privato è attualmente disponibile in ANTEPRIMA in tutte le aree in cui è presente Kubernetes abilitato per Azure Arc, ad eccezione dell'Asia sud-orientale. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Vantaggi

Con il collegamento privato è possibile:

  • Connettersi privatamente ad Azure Arc senza aprire alcun accesso alla rete pubblica.
  • Assicurarsi che i dati del cluster Kubernetes abilitato per Arc siano accessibili solo tramite reti private autorizzate.
  • Impedire l'esfiltrazione di dati dalle reti private definendo cluster Kubernetes specifici abilitati per Azure Arc e altre risorse dei servizi di Azure, ad esempio Monitoraggio di Azure, che si connette tramite l'endpoint privato.
  • Connettere in modo sicuro la rete locale privata ad Azure Arc usando ExpressRoute e il collegamento privato.
  • Mantenere tutto il traffico all'interno della rete backbone di Microsoft Azure.

Per altre informazioni, vedere Vantaggi principali di collegamento privato di Azure.

Funzionamento

L'ambito di azure Arc collegamento privato connette gli endpoint privati (e le reti virtuali in cui sono contenuti) a una risorsa di Azure, in questo caso i cluster Kubernetes abilitati per Azure Arc. Quando si abilita una delle estensioni supportate per il cluster Kubernetes abilitato per Arc, ad esempio Monitoraggio di Azure, è possibile che sia necessaria la connessione ad altre risorse di Azure per questi scenari. Ad esempio, nel caso di Monitoraggio di Azure, i log raccolti dal cluster vengono inviati all'area di lavoro Log Analytics.

Connessione ivity alle altre risorse di Azure da un cluster Kubernetes abilitato per Arc elencato in precedenza richiede la configurazione di collegamento privato per ogni servizio. Per un esempio, vedere collegamento privato per Monitoraggio di Azure.

Limitazioni correnti

Prendere in considerazione queste limitazioni correnti durante la pianificazione della configurazione di collegamento privato.

  • È possibile associare al massimo un ambito di azure Arc collegamento privato a una rete virtuale.

  • Un cluster Kubernetes abilitato per Azure Arc può connettersi a un solo ambito di Azure Arc collegamento privato.

  • Tutti i cluster Kubernetes locali devono usare lo stesso endpoint privato risolvendo le informazioni corrette sull'endpoint privato (nome di record FQDN e indirizzo IP privato) usando lo stesso server d'inoltro DNS. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure. Il cluster Kubernetes abilitato per Azure Arc, l'ambito di azure Arc collegamento privato e la rete virtuale devono trovarsi nella stessa area di Azure. Anche l'endpoint privato e la rete virtuale devono trovarsi nella stessa area di Azure, ma questa area può essere diversa da quella del cluster Kubernetes abilitato per Azure Arc collegamento privato Scope e Kubernetes abilitato per Arc.

  • Il traffico verso Microsoft Entra ID, Azure Resource Manager e i tag del servizio Registro Azure Container devono essere consentiti tramite il firewall di rete locale durante l'anteprima.

  • Altri servizi di Azure che verranno usati, ad esempio Monitoraggio di Azure, richiedono i propri endpoint privati nella rete virtuale.

    Nota

    La funzionalità Cluster Connessione (e di conseguenza la posizione personalizzata) non è supportata nei cluster Kubernetes abilitati per Azure Arc con connettività privata abilitata. Questa operazione è pianificata e verrà aggiunta in un secondo momento. La connettività di rete tramite collegamenti privati per i servizi di Azure Arc come i servizi dati abilitati per Azure Arc e i servizi app abilitati per Azure Arc che usano queste funzionalità non sono ancora supportati. Vedere la sezione seguente per un elenco di estensioni del cluster o servizi di Azure Arc che supportano la connettività di rete tramite collegamenti privati.

Nei cluster Kubernetes abilitati per Azure Arc configurati con collegamenti privati, le estensioni seguenti supportano la connettività end-to-end tramite collegamenti privati. Per altri passaggi di configurazione e dettagli sul supporto per i collegamenti privati, vedere le linee guida collegate a ogni estensione del cluster.

Per connettere il cluster Kubernetes ad Azure Arc tramite un collegamento privato, è necessario configurare la rete per eseguire le operazioni seguenti:

  1. Stabilire una connessione tra la rete locale e una rete virtuale di Azure usando una VPN da sito a sito o un circuito ExpressRoute.
  2. Distribuire un ambito di azure Arc collegamento privato, che controlla quali cluster Kubernetes possono comunicare con Azure Arc su endpoint privati e associarlo alla rete virtuale di Azure usando un endpoint privato.
  3. Aggiornare la configurazione DNS nella rete locale per risolvere gli indirizzi dell'endpoint privato.
  4. Configurare il firewall locale per consentire l'accesso a Microsoft Entra ID, Azure Resource Manager e Registro Contenitori Microsoft.
  5. Associare i cluster Kubernetes abilitati per Azure Arc all'ambito di collegamento privato di Azure Arc.
  6. Facoltativamente, distribuire endpoint privati per altri servizi di Azure gestiti dal cluster Kubernetes abilitato per Azure Arc, ad esempio Monitoraggio di Azure. Il resto di questo documento presuppone che sia già stato configurato il circuito ExpressRoute o la connessione VPN da sito a sito.

Configurazione di rete

Kubernetes abilitato per Azure Arc si integra con diversi servizi di Azure per portare la gestione e la governance del cloud nei cluster Kubernetes ibridi. La maggior parte di questi servizi offre già endpoint privati, ma è necessario configurare il firewall e le regole di routing per consentire l'accesso a Microsoft Entra ID e Azure Resource Manager su Internet fino a quando questi servizi non offrono endpoint privati. È anche necessario consentire l'accesso a Registro Azure Container (e AzureFrontDoor.FirstParty come precursore del Registro Azure Container) per eseguire il pull di immagini e grafici Helm per abilitare i servizi come Monitoraggio di Azure, nonché per la configurazione iniziale degli agenti di Azure Arc nei cluster Kubernetes.

È possibile ottenere questo risultato in due modi:

  • Se la rete è configurata per instradare tutto il traffico associato a Internet attraverso la VPN di Azure o il circuito ExpressRoute, è possibile configurare il gruppo di sicurezza di rete (NSG) associato alla subnet in Azure per consentire l'accesso TCP 443 (HTTPS) in uscita a Microsoft Entra ID, Azure Resource Manager, Frontdoor di Azure e Registro Contenitori Microsoft usando i tag del servizio. Le regole del gruppo di sicurezza di rete dovrebbero essere simili alle seguenti:

    Impostazione Regola MICROSOFT Entra ID Regola di Azure Resource Manager Regola di AzureFrontDoorFirstParty Regola del Registro Azure Container
    Origine Rete virtuale Rete virtuale Rete virtuale Rete virtuale
    Intervalli di porte di origine * * * *
    Destinazione Tag del servizio Tag del servizio Tag del servizio Tag del servizio
    Tag del servizio di destinazione AzureActiveDirectory AzureResourceManager AzureFrontDoor.FirstParty MicrosoftContainerRegistry
    Intervalli porte di destinazione 443 443 443 443
    Protocollo TCP TCP TCP TCP
    Azione Consenti Consenti Consenti (sia in ingresso che in uscita) Consenti
    Priorità 150 (deve essere inferiore a qualsiasi regola che blocca l'accesso a Internet) 151 (deve essere inferiore a qualsiasi regola che blocca l'accesso a Internet) 152 (deve essere inferiore a qualsiasi regola che blocca l'accesso a Internet) 153 (deve essere inferiore a qualsiasi regola che blocca l'accesso a Internet)
    Nome AllowAADOutboundAccess AllowAzOutboundAccess AllowAzureFrontDoorFirstPartyAccess AllowMCROutboundAccess

  • Configurare il firewall nella rete locale per consentire l'accesso TCP 443 (HTTPS) in uscita a Microsoft Entra ID, Azure Resource Manager e Registro Contenitori Microsoft e all'accesso in ingresso e in uscita ad AzureFrontDoor.FirstParty usando i file di tag del servizio scaricabili. Il file JSON contiene tutti gli intervalli di indirizzi IP pubblici usati da Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty e Registro Contenitori Microsoft e viene aggiornato mensilmente per riflettere eventuali modifiche. Il tag del servizio Microsoft Entra è AzureActiveDirectory, il tag di servizio di Azure Resource Manager è AzureResourceManager, il tag di servizio del Registro Azure Container è MicrosoftContainerRegistry e il tag di servizio di Frontdoor di Azure è AzureFrontDoor.FirstParty. Consultare l'amministratore di rete e il fornitore del firewall di rete per informazioni su come configurare le regole del firewall.

  1. Accedere al portale di Azure.

  2. Passare a Creare una risorsa nella portale di Azure e quindi cercare Azure Arc collegamento privato Scope. In alternativa, è possibile passare direttamente alla pagina Ambito di Azure Arc collegamento privato nel portale.

  3. Seleziona Crea.

  4. Selezionare una sottoscrizione e un gruppo di risorse. Durante l'anteprima, la rete virtuale e i cluster Kubernetes abilitati per Azure Arc devono trovarsi nella stessa sottoscrizione dell'ambito di azure Arc collegamento privato.

  5. Assegnare un nome all'ambito di Azure Arc collegamento privato.

  6. Facoltativamente, è possibile richiedere a ogni cluster Kubernetes abilitato per Arc associato a questo ambito di Azure Arc collegamento privato di inviare dati al servizio tramite l'endpoint privato. Se si seleziona Abilita l'accesso alla rete pubblica, i cluster Kubernetes associati a questo ambito di Azure Arc collegamento privato possono comunicare con il servizio su reti private o pubbliche. È possibile modificare questa impostazione dopo aver creato l'ambito in base alle esigenze.

  7. Selezionare Rivedi e crea.

    Screenshot of the Azure Arc Private Link Scope creation screen in the Azure portal.

  8. Al termine della convalida selezionare Crea.

Creare un endpoint privato

Dopo aver creato l'ambito di azure Arc collegamento privato, è necessario connetterlo a una o più reti virtuali usando un endpoint privato. L'endpoint privato espone l'accesso ai servizi Azure Arc in un indirizzo IP privato nello spazio di indirizzi della rete virtuale.

L'endpoint privato nella rete virtuale consente di raggiungere gli endpoint del cluster Kubernetes abilitati per Azure Arc tramite indirizzi IP privati dal pool della rete, anziché usare gli indirizzi IP pubblici di questi endpoint. Ciò consente di continuare a usare i cluster Kubernetes abilitati per Azure Arc senza aprire la rete virtuale per il traffico in uscita non richiesto. Il traffico dall'endpoint privato alle risorse passa attraverso Microsoft Azure e non viene instradato alle reti pubbliche.

  1. Nella risorsa ambito selezionare Connessioni endpoint privato nel menu delle risorse a sinistra. Selezionare Aggiungi per avviare il processo di creazione dell'endpoint. È anche possibile approvare le connessioni avviate nel centro collegamento privato selezionandole e quindi selezionando Approva.

    Screenshot of the Private Endpoint connections screen in the Azure portal.

  2. Selezionare la sottoscrizione, il gruppo di risorse e il nome dell'endpoint e l'area da usare. Deve essere la stessa area della rete virtuale.

  3. Selezionare Avanti: Risorsa.

  4. Nella pagina Risorsa seguire questa procedura:

    1. Selezionare la sottoscrizione che contiene la risorsa ambito di Azure Arc collegamento privato.
    2. In Tipo di risorsa scegliere Microsoft.HybridCompute/privateLinkScopes.
    3. Nell'elenco a discesa Risorsa scegliere l'ambito di azure Arc collegamento privato creato in precedenza.
    4. Selezionare Avanti: Configurazione.

  5. Nella pagina Configurazione eseguire le operazioni seguenti:

    1. Scegliere la rete virtuale e la subnet da cui connettersi ai cluster Kubernetes abilitati per Azure Arc.

    2. Per Integrazione con la zona DNS privata, selezionare . Verrà creata una nuova zona DNS privato. Le zone DNS effettive possono essere diverse da quanto illustrato nello screenshot seguente.

      Screenshot of the Configuration step to create a private endpoint in the Azure portal.

      Nota

      Se si sceglie No e si preferisce gestire manualmente i record DNS, completare prima di tutto la configurazione del collegamento privato, incluso questo endpoint privato e la configurazione dell'ambito privato. Configurare quindi il DNS in base alle istruzioni riportate in Configurazione DNS dell'endpoint privato di Azure. Assicurarsi di non creare record vuoti come preparazione per la configurazione del collegamento privato. I record DNS creati possono eseguire l'override delle impostazioni esistenti e influire sulla connettività con i cluster Kubernetes abilitati per Arc.

    3. Selezionare Rivedi e crea.

    4. Superare la convalida.

    5. Seleziona Crea.

Configurare l'inoltro DNS locale

I cluster Kubernetes locali devono essere in grado di risolvere i record DNS di collegamento privato negli indirizzi IP dell'endpoint privato. La configurazione dipende dal fatto che si usino zone DNS private di Azure per gestire i record DNS o usando il proprio server DNS locale, oltre al numero di cluster configurati.

Configurazione DNS con zone DNS private integrate in Azure

Se si configurano zone DNS private per i cluster Kubernetes abilitati per Azure Arc durante la creazione dell'endpoint privato, i cluster Kubernetes locali devono essere in grado di inoltrare le query DNS ai server DNS di Azure predefiniti per risolvere correttamente gli indirizzi dell'endpoint privato. È necessario un server d'inoltro DNS in Azure (una macchina virtuale predefinita o un'istanza di Firewall di Azure con proxy DNS abilitato), dopodiché è possibile configurare il server DNS locale per inoltrare query ad Azure per risolvere gli indirizzi IP dell'endpoint privato.

La documentazione dell'endpoint privato fornisce indicazioni per la configurazione dei carichi di lavoro locali tramite un server d'inoltro DNS.

Configurazione manuale del server DNS

Se si è scelto esplicitamente di usare zone DNS private di Azure durante la creazione di endpoint privati, sarà necessario creare i record DNS necessari nel server DNS locale.

  1. Vai al portale di Azure.

  2. Passare alla risorsa endpoint privato associata alla rete virtuale e all'ambito di azure Arc collegamento privato.

  3. Nel riquadro a sinistra selezionare Configurazione DNS per visualizzare un elenco dei record DNS e degli indirizzi IP corrispondenti che sarà necessario configurare nel server DNS. I nomi di dominio completo e gli indirizzi IP cambieranno in base all'area selezionata per l'endpoint privato e agli indirizzi IP disponibili nella subnet.

    Screenshot showing manual DNS server configuration in the Azure portal.

  4. Seguire le indicazioni del fornitore del server DNS per aggiungere le zone DNS necessarie e i record A necessari in modo che corrispondano alla tabella nel portale. Assicurarsi di selezionare un server DNS con ambito appropriato per la rete. Ogni cluster Kubernetes che usa questo server DNS risolve ora gli indirizzi IP dell'endpoint privato e deve essere associato all'ambito di collegamento privato di Azure Arc oppure la connessione verrà rifiutata.

Nota

La configurazione dei collegamenti privati per i cluster Kubernetes abilitati per Azure Arc è supportata a partire dalla versione 1.3.0 dell'estensione dell'interfaccia della riga di comando, ma richiede la versione dell'interfaccia della connectedk8s riga di comando di Azure successiva alla 2.3.0. Se si usa una versione successiva alla 1.3.0 per l'estensione dell'interfaccia della connectedk8s riga di comando, sono state introdotte le convalide per verificare e connettere correttamente il cluster ad Azure Arc solo se si esegue la versione dell'interfaccia della riga di comando di Azure successiva alla 2.3.0.

È possibile configurare collegamenti privati per un cluster Kubernetes abilitato per Azure Arc esistente o durante l'onboarding di un cluster Kubernetes in Azure Arc per la prima volta usando il comando seguente:

az connectedk8s connect -g <resource-group-name> -n <connected-cluster-name> -l <location> --enable-private-link true --private-link-scope-resource-id <pls-arm-id>
Nome parametro Descrizione
--enable-private-link Proprietà per abilitare/disabilitare la funzionalità dei collegamenti privati. Impostarla su "True" per abilitare la connettività con collegamenti privati.
--private-link-scope-resource-id ID della risorsa dell'ambito del collegamento privato creata in precedenza. Ad esempio: /subscriptions//resourceGroups//providers/Microsoft.HybridCompute/privateLinkScopes/

Per i cluster Kubernetes abilitati per Azure Arc configurati prima di configurare l'ambito del collegamento privato di Azure Arc, è possibile configurare collegamenti privati tramite il portale di Azure seguendo questa procedura:

  1. Nella portale di Azure passare alla risorsa ambito di Azure Arc collegamento privato.

  2. Nel riquadro sinistro selezionare Risorse di Azure Arc e quindi + Aggiungi.

  3. Selezionare i cluster Kubernetes nell'elenco da associare all'ambito collegamento privato e quindi scegliere Seleziona per salvare le modifiche.

    Nota

    L'elenco mostra solo i cluster Kubernetes abilitati per Azure Arc che si trovano nella stessa sottoscrizione e nella stessa area dell'ambito di collegamento privato.

    Screenshot of the list of Kubernetes clusters for the Azure Arc Private Link Scope.

Risoluzione dei problemi

In caso di problemi, possono essere utili i suggerimenti seguenti:

  • Controllare i server DNS locali per verificare che sia in corso l'inoltro a DNS di Azure o che sia configurato con i record A appropriati nella zona di collegamento privato. Questi comandi di ricerca devono restituire indirizzi IP privati nella rete virtuale di Azure. Se risolvono gli indirizzi IP pubblici, controllare la configurazione DNS del computer o del server e della rete.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
nslookup dp.kubernetesconfiguration.azure.com

  • Se si verificano problemi durante l'onboarding del cluster Kubernetes, verificare di aver aggiunto l'ID Microsoft Entra, Azure Resource Manager, AzureFrontDoor.FirstParty e i tag del servizio Registro Azure Container al firewall di rete locale.

Passaggi successivi