Netwerkconfiguratievereisten vereenvoudigen met Azure Arc-gateway (preview)

Als u bedrijfsproxy's gebruikt om uitgaand verkeer te beheren, kunt u met de Azure Arc-gateway infrastructuur onboarden naar Azure Arc met slechts zeven eindpunten. Met Azure Arc-gateway kunt u het volgende doen:

• Maak verbinding met Azure Arc door openbare netwerktoegang te openen tot slechts zeven FQDN's (Fully Qualified Domain Names).
• Bekijk en controleer al het verkeer dat een Azure Connected Machine Agent verzendt naar Azure via de Arc-gateway.

In dit artikel wordt uitgelegd hoe u Arc-gateway (preview) instelt en gebruikt.

Belangrijk

De functie Arc-gateway voor servers met Azure Arc is momenteel beschikbaar als openbare preview in alle regio's waar servers met Azure Arc aanwezig zijn. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, openbare preview of anderszins nog niet in algemene beschikbaarheid bevinden.

Hoe de Azure Arc-gateway werkt

Azure Arc-gateway bestaat uit twee hoofdonderdelen:

• Arc-gatewayresource: Een Azure-resource die fungeert als een algemene front-end voor Azure-verkeer. Deze gatewayresource wordt geleverd op een specifiek domein. Zodra de Arc-gatewayresource is gemaakt, wordt het domein geretourneerd in het succesvolle antwoord.

• Arc-proxy: Er is een nieuw onderdeel toegevoegd aan de Azure Arc-agents. Dit onderdeel wordt uitgevoerd binnen de context van een resource met Arc als een service met de naam Azure Arc Proxy. Het fungeert als een doorstuurproxy die wordt gebruikt door de Azure Arc-agents en -extensies. Er is geen configuratie vereist voor uw deel voor deze proxy.

Wanneer de gateway is ingesteld, stroomt het verkeer via de volgende hops: Arc-agents → Arc-proxy → Enterprise-proxy → Arc-gateway → Target-service.

Als u architectuurdiagrammen in hoge resolutie wilt downloaden, gaat u naar Jumpstart Gems.

Huidige beperkingen

Tijdens de openbare preview gelden de volgende beperkingen. Houd rekening met deze factoren bij het plannen van uw configuratie.

• TLS-afsluitproxys worden niet ondersteund.
• ExpressRoute/site-naar-site-VPN of privé-eindpunten die worden gebruikt met de Arc-gateway, worden niet ondersteund.
• Proxy-bypass wordt niet ondersteund wanneer Arc-gateway wordt gebruikt; zelfs als u de functie probeert te gebruiken door uit te voeren azcmagent config set proxy.bypass, wordt de proxy niet overgeslagen.
• Er geldt een limiet van vijf (5) Arc-gatewaybronnen per Azure-abonnement.
• Arc-gateway kan alleen worden gebruikt voor connectiviteit in de openbare Azure-cloud.

Belangrijk

Hoewel Azure Arc-gateway de connectiviteit biedt die is vereist voor het gebruik van servers met Azure Arc, moet u mogelijk extra eindpunten inschakelen om bepaalde extensies en services met uw verbonden machines te kunnen gebruiken. Zie Aanvullende scenario's voor meer informatie.

Vereiste machtigingen

Als u Arc-gatewaybronnen wilt maken en de koppeling met servers met Arc wilt beheren, zijn de volgende machtigingen vereist:

• Microsoft.HybridCompute/settings/schrijven
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

Maak de Arc-gatewayresource aan

U kunt een Arc-gatewayresource in preview maken via de Azure Portal, Azure CLI of Azure PowerShell. Het duurt over het algemeen ongeveer tien minuten om de Arc-gatewayresource te maken nadat u deze stappen hebt voltooid.

Portaal

1. Meld u vanuit uw browser aan bij Azure Portal.

2. Navigeer naar Azure Arc. Selecteer in het servicemenu onder Beheer de optie Azure Arc-gateway (preview) en selecteer Vervolgens Maken.

3. Selecteer het abonnement en de resourcegroep waar u de Arc-gatewayresource wilt beheren in Azure. Een Arc-gatewayresource kan worden gebruikt door elke resource met Arc in dezelfde Azure-tenant.

4. Voer bij Naam de naam in voor de Arc-gatewayresource.

5. Voer voor Locatie de regio in waar de Arc-gatewayresource zich moet bevinden. Een Arc-gatewayresource kan worden gebruikt door elke resource met Arc in dezelfde Azure-tenant.

6. Selecteer Volgende.

7. Geef op de pagina Tags desgewenst een of meer aangepaste tags op om uw standaarden te ondersteunen.

8. Kies Beoordelen + creëren.

9. Controleer uw invoergegevens en selecteer Maken.

CLI

1. Voeg de Arc-gatewayextensie toe aan uw Azure CLI:

   az extension add -n arcgateway

2. Voer op een computer met toegang tot Azure de volgende opdrachten uit om uw Arc-gatewayresource te maken:

   az arcgateway create `
       --gateway-name [Your gateway’s Name] `
       --resource-group <Your Resource Group> `
       --location [Location]
   

Powershell

Voer op een computer met toegang tot Azure de volgende PowerShell-opdracht uit om uw Arc-gatewayresource te maken:

    New-AzArcgateway `
        -name <gateway’s name> `
        -resource-group <resource group> `
        -location <region> `
        -subscription <subscription name or id> `
        -gateway-type public

Toegang tot vereiste URL's bevestigen

Nadat de resource succesvol is aangemaakt, zal de succesreactie de URL van de Arc-gateway bevatten. Zorg ervoor dat uw Arc-gateway-URL en al deze URL's zijn toegestaan in de omgeving waarin uw Arc-resources zich bevinden.

URL	Doel
[Your URL Prefix].gw.arc.azure.com	Uw gateway-URL (verkregen door uit te voeren az arcgateway list nadat u de gatewayresource hebt gemaakt)
management.azure.com	Azure Resource Manager-eindpunt, vereist voor azure Resource Manager-besturingskanaal
login.microsoftonline.com	Microsoft Entra ID-eindpunt voor het verkrijgen van tokens voor identiteitstoegang
gbl.his.arc.azure.com	Het cloudservice-eindpunt voor communicatie met Azure Arc-agents
\<region\>.his.arc.azure.com	Wordt gebruikt voor het kernbeheerkanaal van Arc
packages.microsoft.com	Vereist om Linux-servers te verbinden met Arc

Nieuwe Azure Arc-resources toevoegen met behulp van uw Arc-gatewayresource

1. Genereer het installatiescript.

   Volg de instructies in quickstart: Hybride machines verbinden met servers met Azure Arc om een script te maken waarmee het downloaden en installeren van de Azure Connected Machine-agent wordt geautomatiseerd en de verbinding met Azure Arc tot stand wordt gebracht.

   Belangrijk

   Wanneer u het onboardingscript genereert, selecteert u de gatewayresource in de sectie Connectiviteitsmethode .

2. Voer het installatiescript uit om uw servers naar Azure Arc te onboarden.

   In het script wordt de ARM-id van de Arc-gatewayresource weergegeven als --gateway-id.

Bestaande Azure Arc-resources configureren voor het gebruik van Arc-gateway

U kunt bestaande Azure Arc-resources koppelen aan een Arc-gatewayresource met behulp van Azure Portal, Azure CLI of Azure PowerShell.

Portaal

1. Ga in Azure Portal naar Azure Arc - Azure Arc-gateway (preview).

2. Selecteer de Arc-gatewayresource om deze te koppelen aan uw Arc-ingeschakelde server.

3. Selecteer Gekoppelde resources in het servicemenu voor uw gatewayresource.

4. Selecteer Toevoegen.

5. Selecteer de Arc-ingeschakelde serverresource die u wilt koppelen aan uw Arc-gatewayresource.

6. Kies Toepassen.

CLI

1. Voer op een computer met toegang tot Azure de volgende opdrachten uit:

   az arcgateway settings update `
      --resource-group <resource_group> `
      --subscription <subscription_name> `
      --base-provider Microsoft.HybridCompute `
      --base-resource-type machines `
      --base-resource-name <server_name> `
      --gateway-resource-id <gateway_resource_id>
   

Powershell

1. Voer op een computer met toegang tot Azure de volgende opdrachten uit:

   Update-AzArcSetting `
       -ResourceGroupName <Resource Group> `
       -SubscriptionId <Subscription ID> `
       -BaseProvider Microsoft.HybridCompute `
       -BaseResourceType machine `
       -BaseResourceName <Server Name> `
       -GatewayResourceId <resource ID>
   

Met versie 1.50 of eerder van de Connected Machine-agent moet u ook uw met Arc ingeschakelde server bijwerken om de Arc-gateway te kunnen gebruiken. Voor agentversie 1.51 en hoger is deze stap niet vereist, omdat de bewerking automatisch wordt uitgevoerd. U wordt aangeraden de nieuwste versie van de Connected Machine-agent te gebruiken.

Controleren of de configuratie van de Arc-gateway is geslaagd

Voer op de onboarded server de volgende opdracht uit: azcmagent show

Het resultaat moet de volgende waarden aangeven:

• Agentstatus moet worden weergegeven als Verbonden.
• Als u HTTPS-proxy gebruikt, moet dit worden weergegeven als http://localhost:40343.
• Upstream Proxy moet worden weergegeven als uw bedrijfsproxy (als u er een instelt). De GATEWAY-URL moet overeenkomen met de URL van uw gatewayresource.

Voer bovendien de volgende opdracht uit om te controleren of de installatie is geslaagd: azcmagent check

Het resultaat moet aangeven dat de connection.type waarde is ingesteld op de gateway en dat de kolom Bereikbaarwaar moet aangeven voor alle URL's.

Arc-gatewaykoppeling verwijderen

U kunt Arc-gateway uitschakelen en de koppeling tussen de Arc-gatewayresource en het cluster met Arc verwijderen. Dit resulteert in het cluster met Arc dat in plaats daarvan direct verkeer gebruikt.

Notitie

Deze bewerking is alleen van toepassing op Azure Arc-gateway op servers met Azure Arc, niet op Azure Local. Als u Azure Arc-gateway op Azure Local gebruikt, raadpleegt u Over Azure Arc-gateway voor Azure Local voor informatie over het verwijderen.

1. Stel het verbindingstype van de server met Arc in op 'direct' in plaats van 'gateway' door de volgende opdracht uit te voeren:

   azcmagent config set connection.type direct

   Notitie

   Als u deze stap uitvoert, moeten aan alle vereisten van het Azure Arc-netwerk in uw omgeving worden voldaan om Azure Arc te kunnen blijven gebruiken.

2. Koppel de Arc-gateway-resource los van de machine:

   Portaal

   1. Ga in Azure Portal naar Azure Arc - Azure Arc-gateway (preview).

   2. Selecteer de Arc-gateway-resource.

   3. Selecteer Gekoppelde resources in het servicemenu voor uw gatewayresource.

   4. Selecteer de server.

   5. Selecteer Verwijderen.

   CLI

   Voer op een computer met toegang tot Azure de volgende Azure CLI-opdracht uit:

   az arcgateway settings update `
        --resource-group <resource_group> `
        --subscription <subscription_name> `
        --base-provider Microsoft.HybridCompute `
        --base-resource-type machines `
        --base-resource-name <server_name> `
        --gateway-resource-id <gateway_resource_id>
   

   Notitie

   Als u deze Azure CLI-opdracht uitvoert in Windows PowerShell, stelt u de --gateway-resource-id waarde in op null.

   Powershell

   Voer op een computer met toegang tot Azure de volgende PowerShell-opdracht uit:

   Update-AzArcSetting  `
        -ResourceGroupName <Resource Group> `
        -SubscriptionId <Subscription ID> `
        -BaseProvider Microsoft.HybridCompute `
        -BaseResourceType machine `
        -BaseResourceName <Server Name> `
        -GatewayResourceId <resource ID>
   

---

Een Arc-gatewayresource verwijderen

U kunt een Arc-gatewayresource verwijderen met behulp van Azure Portal, Azure CLI of Azure PowerShell. Het kan tot vijf minuten duren voordat deze bewerking is voltooid.

Portaal

1. Ga in Azure Portal naar de Azure Arc - Azure Arc-gateway.

2. Selecteer de Arc-gatewayresource.

3. Selecteer Verwijderen en bevestig de verwijdering.

CLI

Voer op een computer met toegang tot Azure de volgende Azure CLI-opdracht uit:

az arcgateway delete `
    --resource-group <resource_group> `
    --subscription <subscription_name> `
    --gateway-name <gateway_resource_name>

Powershell

Voer op een computer met toegang tot Azure de volgende PowerShell-opdracht uit:

Remove-AzArcGateway  
    -ResourceGroup <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -GatewayName <Gateway Resource Name>

Verkeer bewaken

U kunt het verkeer van uw Arc-gateway controleren door de Azure Arc-proxylogboeken te bekijken.

Arc-proxylogboeken weergeven in Windows:

1. Voer azcmagent logs uit in PowerShell.
2. In het resulterende .zip bestand bevindt het arcproxy.log bestand zich in de ProgramData\AzureConnectedMachineAgent\Log map.

Arc-proxylogboeken weergeven in Linux:

1. Voer sudo azcmagent logsuit.
2. In het resulterende .zip bestand bevindt het arcproxy.log bestand zich in de /var/opt/azcmagent/log/ map.

Aanvullende scenario's

Tijdens de openbare preview behandelt Arc-gateway de eindpunten die nodig zijn voor het onboarden van een server, plus eindpunten ter ondersteuning van verschillende aanvullende scenario's met Arc. Op basis van de scenario's die u in gebruik neemt, moet u mogelijk extra eindpunten in uw proxy toestaan.

Scenario's waarvoor geen extra eindpunten nodig zijn

• Windows-beheercentrum
• SSH
• Uitgebreide beveiligingsupdates
• Azure-extensie voor SQL Server

Scenario's waarvoor extra eindpunten zijn vereist

Eindpunten die worden vermeld met de volgende scenario's, moeten zijn toegestaan in uw bedrijfsproxy wanneer u Arc-gateway gebruikt:

• Data Services met Azure Arc

  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com

• Azure Monitor agent

  • \<log-analytics-workspace-id\>.ods.opinsights.azure.com
  • \<data-collection-endpoint\>.\<virtual-machine-region-name\>.ingest.monitor.azure.com

• Azure Key Vault-certificaatsynchronisatie

  • \<vault-name\>.vault.azure.net

• Azure Automation Hybrid Runbook Worker-extensie

  • *.azure-automation.net

• Update-extensie voor Windows-besturingssysteem/Azure Update Manager

  • Uw omgeving moet voldoen aan alle vereisten voor Windows Update

• Microsoft Defender

  • Uw omgeving moet voldoen aan alle vereisten voor Microsoft Defender