Delen via

Netwerkconfiguratievereisten vereenvoudigen met Azure Arc Gateway (preview)

Als u bedrijfsproxy's gebruikt om uitgaand verkeer te beheren, kan de Azure Arc-gateway (preview) het proces van het inschakelen van connectiviteit vereenvoudigen.

Met de Azure Arc-gateway (preview) kunt u het volgende doen:

  • Maak verbinding met Azure Arc door openbare netwerktoegang te openen tot slechts zeven FQDN's (Fully Qualified Domain Names).
  • Bekijk en controleer al het verkeer dat de Arc-agents naar Azure verzenden via de Arc-gateway.

Belangrijk

Azure Arc-gateway is momenteel beschikbaar als preview-versie.

Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet zijn uitgebracht in algemene beschikbaarheid.

Hoe de Azure Arc-gateway werkt

De Arc-gateway werkt door twee nieuwe onderdelen te introduceren

De Arc-gatewayresource is een Azure-resource die fungeert als een algemene front-end voor Azure-verkeer. De gatewayresource wordt geleverd op een specifiek domein/URL. U moet deze resource maken door de stappen te volgen die in dit artikel worden beschreven. Nadat u de gatewayresource met succes hebt gemaakt, wordt dit domein/deze URL opgenomen in het succesvolle antwoord.

De Arc-proxy is een nieuw onderdeel dat wordt uitgevoerd als een eigen pod (azure Arc-proxy genoemd). Dit onderdeel fungeert als een doorstuurproxy die wordt gebruikt door Azure Arc-agents en -extensies. Er is geen configuratie vereist voor uw deel voor de Azure Arc-proxy. Vanaf versie 1.21.10 van de Kubernetes-agents met Arc maakt deze pod nu deel uit van de kernagents voor Arc en wordt deze uitgevoerd binnen de context van een Kubernetes-cluster met Arc. 

Wanneer de gateway aanwezig is, stroomt het verkeer via de volgende hops: Arc-agents → Azure Arc Proxy → Enterprise Proxy → Arc-gateway → Doelservice.

Diagram van de architectuur voor Azure Arc-gateway (preview) met Arc-ingeschakelde Kubernetes.

Als u architectuurdiagrammen in hoge resolutie wilt downloaden, gaat u naar Jumpstart Gems.

Huidige beperkingen

Tijdens de openbare preview gelden de volgende beperkingen. Houd rekening met deze factoren bij het plannen van uw configuratie.

  • TLS-beëindigende proxies worden niet ondersteund door de Arc-gateway.
  • U kunt naast de Arc-gateway geen ExpressRoute-/site-naar-site-VPN of privé-eindpunten gebruiken.
  • Er geldt een limiet van vijf Arc-gatewaybronnen per Azure-abonnement.
  • De Arc-gateway kan alleen worden gebruikt voor connectiviteit in de openbare Azure-cloud.

Belangrijk

Hoewel Azure Arc-gateway de connectiviteit biedt die vereist is voor het gebruik van Kubernetes met Azure Arc, moet u mogelijk extra eindpunten inschakelen om bepaalde extensies en services met uw clusters te kunnen gebruiken. Zie Aanvullende scenario's voor meer informatie.

Vereiste toestemmingen

Als u Arc-gatewaybronnen wilt maken en de koppeling met Kubernetes-clusters met Arc wilt beheren, zijn de volgende machtigingen vereist:

  • Microsoft.Kubernetes/connectedClusters/settings/default/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

Maak de Arc-gatewayresource aan

U kunt een Arc-gatewayresource maken met behulp van Azure CLI of Azure PowerShell.

Wanneer u de Arc-gatewayresource maakt, geeft u het abonnement en de resourcegroep op waarin de resource wordt gemaakt, samen met een Azure-regio. Alle arc-resources in dezelfde tenant kunnen echter gebruikmaken van de resource, ongeacht hun eigen abonnement of regio.

  1. Voer op een computer met toegang tot Azure de volgende Azure CLI-opdracht uit:

    az extension add -n arcgateway

  2. Voer vervolgens de volgende Azure CLI-opdracht uit om uw Arc-gatewayresource te maken, waarbij u de tijdelijke aanduidingen vervangt door de gewenste waarden:

    az arcgateway create --name <gateway's name> --resource-group <resource group> --location <region> --gateway-type public --allowed-features * --subscription <subscription name or id>

Het duurt over het algemeen ongeveer tien minuten om het maken van de Arc-gatewayresource te voltooien.

Toegang tot vereiste URL's bevestigen

Nadat de resource succesvol is aangemaakt, zal de succesreactie de URL van de Arc-gateway bevatten. Zorg ervoor dat uw Arc-gateway-URL en alle onderstaande URL's zijn toegestaan in de omgeving waarin uw Arc-resources zich bevinden.

URL Doel
[Your URL prefix].gw.arc.azure.com Uw gateway-URL. Deze URL kan worden verkregen door deze uit te voeren az arcgateway list nadat u de resource hebt gemaakt.
management.azure.com Azure Resource Manager-eindpunt, vereist voor arm-besturingskanaal.
<region>.obo.arc.azure.com Vereist wanneer clusterverbinding is geconfigureerd.
login.microsoftonline.com, <region>.login.microsoft.com Microsoft Entra ID-eindpunt, gebruikt voor het verkrijgen van tokens voor identiteitstoegang.
gbl.his.arc.azure.com, <region>.his.arc.azure.com Het cloudservice-eindpunt voor communicatie met Arc-agents. Gebruikt korte namen, bijvoorbeeld eus voor Oost-VS.
mcr.microsoft.com, *.data.mcr.microsoft.com Vereist voor het ophalen van containerafbeeldingen voor Azure Arc-agents.

Kubernetes-clusters integreren met Azure Arc via uw Arc-gatewayresource

  1. Zorg ervoor dat uw omgeving voldoet aan alle vereiste vereisten voor Kubernetes met Azure Arc. Omdat u Azure Arc-gateway gebruikt, hoeft u niet aan de volledige set netwerkvereisten te voldoen.

  2. Stel op de implementatiecomputer de omgevingsvariabelen in die nodig zijn voor Azure CLI om de uitgaande proxyserver te gebruiken:

    export HTTP_PROXY=<proxy-server-ip-address>:<port> export HTTPS_PROXY=<proxy-server-ip-address>:<port> export NO_PROXY=<cluster-apiserver-ip-address>:<port>

  3. Voer op het Kubernetes-cluster de opdracht connect uit met de parameters proxy-https en proxy-http. Als uw proxyserver is ingesteld met zowel HTTP als HTTPS, moet u deze gebruiken --proxy-http voor de HTTP-proxy en --proxy-https voor de HTTPS-proxy. Als uw proxyserver alleen HTTP gebruikt, kunt u die waarde voor beide parameters gebruiken.

    az connectedk8s connect -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id> --proxy-https <proxy_value> --proxy-http http://<proxy-server-ip-address>:<port> --proxy-skip-range <excludedIP>,<excludedCIDR> --location <region>

    Notitie

    Sommige netwerkaanvragen, zoals aanvragen die betrekking hebben op service-naar-service-communicatie in het cluster, moeten worden gescheiden van verkeer dat wordt gerouteerd via de proxyserver voor uitgaande communicatie. De --proxy-skip-range parameter kan worden gebruikt om het CIDR-bereik en eindpunten op een door komma's gescheiden manier op te geven, zodat communicatie van de agents naar deze eindpunten niet via de uitgaande proxy verloopt. Minimaal moet het CIDR-bereik van de services in het cluster worden opgegeven als waarde voor deze parameter. Als kubectl get svc -A bijvoorbeeld een lijst met services retourneert waarin alle services waarden hebben in het bereik ClusterIP10.0.0.0/16, dan is --proxy-skip-range de waarde die u voor 10.0.0.0/16,kubernetes.default.svc,.svc.cluster.local,.svc moet opgeven.

    --proxy-http, --proxy-httpsen --proxy-skip-range worden verwacht voor de meeste uitgaande proxyomgevingen. --proxy-cert is alleen vereist als u vertrouwde certificaten moet injecteren die door de proxy worden verwacht in het vertrouwde certificaatarchief van agentpods.

    De uitgaande proxy moet worden geconfigureerd om websocket-verbindingen toe te staan.

Bestaande clusters configureren voor het gebruik van de Arc-gateway

Als u bestaande clusters wilt bijwerken zodat ze de Arc-gateway gebruiken, voert u de volgende opdracht uit:

az connectedk8s update -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id>

Voer de volgende opdracht uit om te controleren of de update is geslaagd en controleer of het antwoord is true:

 az connectedk8s show -g <resource_group> -n <cluster_name> --query 'gateway.enabled'

Nadat uw clusters zijn bijgewerkt om de Arc-gateway te gebruiken, zijn sommige Arc-eindpunten die eerder zijn toegestaan in uw bedrijfsproxy of firewalls niet meer nodig en kunnen ze worden verwijderd. U wordt aangeraden ten minste één uur te wachten voordat u eindpunten verwijdert die niet meer nodig zijn. Zorg ervoor dat u geen eindpunten verwijdert die vereist zijn voor de Arc-gateway.

De Arc-gateway verwijderen

Belangrijk

De stap die hier wordt beschreven, is alleen van toepassing op Arc-gateway op Kubernetes met Arc. Zie voor meer informatie over het loskoppelen van de Arc-gateway op Azure Local Over Azure Arc-gateway voor Azure Local (preview).

Als u de Arc-gateway wilt uitschakelen en de koppeling tussen de Arc-gatewayresource en het cluster met Arc wilt verwijderen, voert u de volgende opdracht uit:

az connectedk8s update -g <resource_group> -n <cluster_name> --disable-gateway

Verkeer bewaken

Als u het verkeer van uw gateway wilt controleren, bekijkt u de logboeken van de gatewayrouter:

  1. kubectl get pods -n azure-arc uitvoeren
  2. Identificeer de Arc Proxy-pod (de naam begint met arc-proxy-).
  3. kubectl logs -n azure-arc <Arc Proxy pod name> uitvoeren

Meer scenario's

Tijdens de openbare preview behandelt Arc-gateway eindpunten die vereist zijn voor het onboarden van een cluster en een deel van de eindpunten die vereist zijn voor aanvullende scenario's met Arc. Op basis van de scenario's die u gebruikt, zijn er nog steeds extra eindpunten die u moet toestaan in uw proxy.

Alle eindpunten die worden vermeld voor de volgende scenario's, moeten zijn toegestaan in uw bedrijfsproxy wanneer Arc-gateway wordt gebruikt: