Uproszczenie wymagań dotyczących konfiguracji sieci za pomocą bramy usługi Azure Arc (wersja zapoznawcza)

2025-07-14

Jeśli używasz serwerów proxy przedsiębiorstwa do zarządzania ruchem wychodzącym, brama usługi Azure Arc umożliwia dołączanie infrastruktury do usługi Azure Arc przy użyciu tylko siedmiu punktów końcowych. Za pomocą bramy usługi Azure Arc można wykonywać następujące czynności:

Połącz się z usługą Azure Arc, otwierając dostęp do sieci publicznej tylko do siedmiu w pełni kwalifikowanych nazw domen (FQDN).
Wyświetlaj i sprawdzaj cały ruch wysyłany przez agenta połączonej maszyny platformy Azure do platformy Azure za pośrednictwem bramy usługi Arc.

W tym artykule wyjaśniono, jak skonfigurować i korzystać z bramy usługi Arc (wersja zapoznawcza).

Ważne

Funkcja bramy arc dla serwerów z obsługą usługi Azure Arc jest obecnie dostępna w publicznej wersji zapoznawczej we wszystkich regionach, w których znajdują się serwery z obsługą usługi Azure Arc. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, publicznej wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Jak działa brama usługi Azure Arc

Brama usługi Azure Arc składa się z dwóch głównych składników:

Zasób bramy usługi Arc: Zasób platformy Azure, który służy jako wspólny punkt dostępowy dla ruchu w platformie Azure. Ten zasób bramy jest obsługiwany w określonej domenie. Po utworzeniu zasobu bramy usługi Arc domena zostanie zwrócona w odpowiedzi na powodzenie.
Serwer proxy usługi Arc: Nowy składnik dodany do agentów usługi Azure Arc. Ten składnik działa w kontekście zasobu z obsługą Arc jako usługa o nazwie "Proxy Azure Arc". Działa jako serwer proxy przejściowy używany przez agentów i rozszerzenia usługi Azure Arc. Z Twojej strony nie jest wymagana żadna konfiguracja tego proxy.

Gdy brama jest włączona, ruch przepływa za pośrednictwem następujących przeskoków: Agenci usługi Arc → serwera proxy usługi Arc → Enterprise proxy → Brama usługi Arc → usługi Target.

Aby pobrać diagramy architektury w wysokiej rozdzielczości, odwiedź stronę Jumpstart Gems.

Bieżące ograniczenia

W publicznej wersji zapoznawczej obowiązują następujące ograniczenia. Podczas planowania konfiguracji należy wziąć pod uwagę te czynniki.

Funkcje zakończania TLS w serwerach proxy nie są obsługiwane.
Sieć ExpressRoute, VPN typu lokacja-lokacja ani prywatne punkty końcowe używane z bramą usługi Arc nie są obsługiwane.
Obejście serwera proxy nie jest obsługiwane, gdy brama Arc jest używana; nawet jeśli spróbujesz użyć funkcji, uruchamiając azcmagent config set proxy.bypass polecenie, ruch nie pomija serwera proxy.
Istnieje limit pięciu (5) zasobów bramy usługi Arc na każdą subskrypcję platformy Azure.
Brama usługi Arc może być używana tylko do łączności w chmurze publicznej platformy Azure.

Ważne

Chociaż brama usługi Azure Arc zapewnia łączność wymaganą do korzystania z serwerów z obsługą usługi Azure Arc, może być konieczne włączenie dodatkowych punktów końcowych w celu korzystania z niektórych rozszerzeń i usług z połączonymi maszynami. Aby uzyskać szczegółowe informacje, zobacz Dodatkowe scenariusze.

Wymagane uprawnienia

Aby utworzyć zasoby bramy usługi Arc i zarządzać ich skojarzeniem z serwerami z obsługą usługi Arc, wymagane są następujące uprawnienia:

Microsoft.HybridCompute/settings/zapisywanie ustawień
Microsoft.hybridcompute/gateways/read
Microsoft.hybridcompute/gateways/write

Utwórz zasób bramy Arc

Zasób bramy usługi Arc (wersja zapoznawcza) można utworzyć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Utworzenie zasobu bramy usługi Arc trwa zwykle około 10 minut po wykonaniu tych kroków.

W przeglądarce zaloguj się do witryny Azure Portal.
Przejdź do usługi Azure Arc. W menu usługi w obszarze Zarządzanie wybierz pozycję Brama usługi Azure Arc (wersja zapoznawcza), a następnie wybierz pozycję Utwórz.
Wybierz subskrypcję i grupę zasobów, w której chcesz zarządzać zasobem bramy usługi Arc na platformie Azure. Zasób bramy Arc może być używany przez dowolny zasób z obsługą Arc w ramach tej samej dzierżawy platformy Azure.
W polu Nazwa wpisz nazwę dla zasobu bramy Arc.
W polu Lokalizacja wprowadź region, w którym ma się znajdować zasób bramy Arc. Zasób bramy Arc może być używany przez dowolny zasób obsługujący Arc w tej samej dzierżawie Azure.
Wybierz Dalej.
Na stronie Tagi możesz opcjonalnie określić jeden lub więcej tagów niestandardowych, aby wspierać twoje standardy.
Wybierz opcję Recenzja i utwórz.
Przejrzyj szczegóły danych wejściowych, a następnie wybierz pozycję Utwórz.

Dodaj rozszerzenie bramy Arc do CLI Azure.

az extension add -n arcgateway

Na maszynie z dostępem do platformy Azure uruchom następujące polecenia, aby utworzyć zasób bramy Arc.

az arcgateway create `
    --gateway-name [Your gateway’s Name] `
    --resource-group <Your Resource Group> `
    --location [Location]

Na maszynie z dostępem do platformy Azure uruchom następujące polecenie programu PowerShell, aby utworzyć zasób bramy usługi Arc:

    New-AzArcgateway `
        -name <gateway’s name> `
        -resource-group <resource group> `
        -location <region> `
        -subscription <subscription name or id> `
        -gateway-type public

Potwierdzanie dostępu do wymaganych adresów URL

Po pomyślnym utworzeniu zasobu odpowiedź na powodzenie będzie zawierać adres URL bramy usługi Arc. Upewnij się, że adres URL bramy usługi Arc i wszystkie te adresy URL są dozwolone w środowisku, w którym znajdują się zasoby usługi Arc.

adres URL	Cel
`[Your URL Prefix].gw.arc.azure.com`	Adres URL bramy (uzyskany po uruchomieniu `az arcgateway list` po utworzeniu zasobu bramy)
`management.azure.com`	Punkt końcowy usługi Azure Resource Manager wymagany dla kanału sterowania usługi Azure Resource Manager
`login.microsoftonline.com`	Punkt końcowy Microsoft Entra ID do uzyskiwania tokenów dostępu do tożsamości
`gbl.his.arc.azure.com`	Punkt końcowy usługi w chmurze do komunikowania się z agentami usługi Azure Arc
`\<region\>.his.arc.azure.com`	Używany do podstawowego kanału sterowania usługi Arc
`packages.microsoft.com`	Wymagane do połączenia serwerów z systemem Linux z usługą Arc

Dołączanie nowych zasobów usługi Azure Arc za pomocą zasobu bramy usługi Arc

Wygeneruj skrypt instalacji.

Postępuj zgodnie z instrukcjami w przewodniku Szybki start: Łączenie maszyn hybrydowych z serwerami z obsługą usługi Azure Arc, aby utworzyć skrypt, który automatyzuje pobieranie i instalację agenta Połączonej Maszyny Azure oraz ustanawia połączenie z usługą Azure Arc.

Ważne

Podczas generowania skryptu wprowadzającego wybierz zasób bramy w sekcji metoda łączności.
Uruchom skrypt instalacji, aby dołączyć serwery do usługi Azure Arc.

W skrypcie, identyfikator ARM zasobu bramy usługi Arc jest wyświetlany jako --gateway-id.

Konfigurowanie istniejących zasobów usługi Azure Arc do korzystania z bramy usługi Arc

Istniejące zasoby usługi Azure Arc można skojarzyć z zasobem bramy usługi Arc przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

W witrynie Azure Portal przejdź do pozycji Azure Arc — Brama usługi Azure Arc (wersja zapoznawcza).
Wybierz zasób bramy usługi Arc, który ma być skojarzony z serwerem z obsługą usługi Arc.
W menu usługi dla zasobu bramy sieciowej wybierz element Skojarzone zasoby.
Wybierz Dodaj.
Wybierz zasób serwera obsługującego Arc, który ma być skojarzony z zasobem bramy Arc.
Wybierz Zastosuj.

Na maszynie z dostępem do platformy Azure uruchom następujące polecenia:

az arcgateway settings update `
   --resource-group <resource_group> `
   --subscription <subscription_name> `
   --base-provider Microsoft.HybridCompute `
   --base-resource-type machines `
   --base-resource-name <server_name> `
   --gateway-resource-id <gateway_resource_id>

Na maszynie z dostępem do platformy Azure uruchom następujące polecenia:

Update-AzArcSetting `
    -ResourceGroupName <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -BaseProvider Microsoft.HybridCompute `
    -BaseResourceType machine `
    -BaseResourceName <Server Name> `
    -GatewayResourceId <resource ID>

W wersji 1.50 lub starszej agenta Connected Machine należy również uruchomić polecenie azcmagent config set connection.type gateway, aby zaktualizować serwer z obsługą Arca do korzystania z bramy Arca. W przypadku agenta w wersji 1.51 lub nowszej ten krok nie jest wymagany, ponieważ operacja odbywa się automatycznie. Zalecamy użycie najnowszej wersji agenta połączonej maszyny.

Zweryfikuj pomyślne skonfigurowanie bramy Arc

Na dołączonym serwerze uruchom następujące polecenie: azcmagent show

Wynik powinien wskazywać następujące wartości:

Stan agenta powinien być wyświetlany jako Połączony.
Używanie serwera proxy HTTPS powinno być wyświetlane jako http://localhost:40343.
Nadrzędny serwer proxy powinien być wyświetlany jako serwer proxy twojego przedsiębiorstwa (jeśli go ustawisz). Adres URL bramy powinien odzwierciedlać adres URL zasobu bramy.

Ponadto, aby zweryfikować pomyślne skonfigurowanie, uruchom następujące polecenie: azcmagent check

Wynik powinien wskazywać, że connection.type jest ustawiony na bramę, a kolumna Reachable powinna wskazywać true dla wszystkich adresów URL.

Usuń skojarzenie bramy Arc

Bramę usługi Arc można wyłączyć i usunąć skojarzenie między zasobem bramy usługi Arc a klastrem z obsługą usługi Arc. Spowoduje to, że klaster z obsługą usługi Arc będzie zamiast tego wykorzystywać ruch bezpośredni.

Uwaga

Ta operacja dotyczy tylko bramy usługi Azure Arc na serwerach z obsługą usługi Azure Arc, a nie w środowisku lokalnym platformy Azure. Jeśli używasz bramy usługi Azure Arc w usłudze Azure Local, zobacz Informacje o bramie usługi Azure Arc dla usługi Azure Local , aby uzyskać informacje o usunięciu.

Ustaw typ połączenia serwera z obsługą usługi Arc na "bezpośredni" zamiast "bramy", uruchamiając następujące polecenie:

azcmagent config set connection.type direct

Uwaga

Jeśli wykonasz ten krok, wszystkie wymagania sieciowe usługi Azure Arc muszą zostać spełnione w twoim środowisku, aby nadal korzystać z usługi Azure Arc.
Odłącz zasób bramy Arc od maszyny:
1. W witrynie Azure Portal przejdź do pozycji Azure Arc — Brama usługi Azure Arc (wersja zapoznawcza).
2. Wybierz zasób bramy Arc.
3. W menu usługi dla zasobu bramy sieciowej wybierz element Skojarzone zasoby.
4. Wybierz serwer.
5. Wybierz Usuń.
Na maszynie z dostępem do Azure uruchom następujące polecenie Azure CLI:
```
az arcgateway settings update `
     --resource-group <resource_group> `
     --subscription <subscription_name> `
     --base-provider Microsoft.HybridCompute `
     --base-resource-type machines `
     --base-resource-name <server_name> `
     --gateway-resource-id <gateway_resource_id>
```
Uwaga

Jeśli używasz tego polecenia Azure CLI w programie Windows PowerShell, ustaw wartość --gateway-resource-id na null.
Na maszynie z dostępem do platformy Azure uruchom następujące polecenie programu PowerShell:
```
Update-AzArcSetting  `
     -ResourceGroupName <Resource Group> `
     -SubscriptionId <Subscription ID> `
     -BaseProvider Microsoft.HybridCompute `
     -BaseResourceType machine `
     -BaseResourceName <Server Name> `
     -GatewayResourceId <resource ID>
```

Usuń zasób bramy Arc

Zasób bramy usługi Arc można usunąć przy użyciu portalu Azure, interfejsu wiersza polecenia Azure lub programu Azure PowerShell. Wykonanie tej operacji może potrwać do 5 minut.

W portalu Azure przejdź do Azure Arc - brama Azure Arc.
Wybierz zasób bramy Arc.
Wybierz pozycję Usuń, a następnie potwierdź usunięcie.

Na maszynie z dostępem do Azure uruchom następujące polecenie Azure CLI:

az arcgateway delete `
    --resource-group <resource_group> `
    --subscription <subscription_name> `
    --gateway-name <gateway_resource_name>

Na maszynie z dostępem do platformy Azure uruchom następujące polecenie programu PowerShell:

Remove-AzArcGateway  
    -ResourceGroup <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -GatewayName <Gateway Resource Name>

Monitorowanie ruchu

Możesz przeprowadzić audyt ruchu bramy usługi Arc, wyświetlając dzienniki serwera proxy usługi Azure Arc.

Aby wyświetlić dzienniki serwera proxy usługi Arc w systemie Windows:

Uruchom polecenie azcmagent logs w programie PowerShell.
W wynikowym pliku .zip plik arcproxy.log znajduje się w folderze ProgramData\AzureConnectedMachineAgent\Log.

Aby wyświetlić dzienniki serwera proxy usługi Arc w systemie Linux:

Uruchom program sudo azcmagent logs.
W wynikowym pliku .zip plik arcproxy.log znajduje się w folderze /var/opt/azcmagent/log/.

Dodatkowe scenariusze

W publicznej wersji zapoznawczej brama usługi Arc obejmuje punkty końcowe wymagane do dołączenia serwera oraz punkty końcowe do obsługi kilku dodatkowych scenariuszy z obsługą usługi Arc. Na podstawie scenariuszy, które przyjmujesz, może być konieczne zezwolenie na dodatkowe punkty końcowe na serwerze proxy.

Scenariusze, które nie wymagają dodatkowych punktów końcowych

Windows Admin Center
SSH
Rozszerzone aktualizacje zabezpieczeń
Rozszerzenie platformy Azure dla programu SQL Server

Scenariusze wymagające dodatkowych punktów końcowych

Punkty końcowe wymienione w następujących scenariuszach muszą być dozwolone na serwerze proxy przedsiębiorstwa podczas korzystania z bramy usługi Arc:

Usługi danych obsługiwane przez Azure Arc
- *.ods.opinsights.azure.com
- *.oms.opinsights.azure.com
- *.monitoring.azure.com
Agent usługi Azure Monitor
- \<log-analytics-workspace-id\>.ods.opinsights.azure.com
- \<data-collection-endpoint\>.\<virtual-machine-region-name\>.ingest.monitor.azure.com
Synchronizacja certyfikatów usługi Azure Key Vault
- \<vault-name\>.vault.azure.net
Rozszerzenie Hybrydowego Agenta Runbook usługi Azure Automation
- *.azure-automation.net
Rozszerzenie do aktualizacji systemu operacyjnego Windows / Azure Update Manager
- Środowisko musi spełniać wszystkie wymagania wstępne dotyczące usługi Windows Update
Usługa Microsoft Defender
- Środowisko musi spełniać wszystkie wymagania wstępne dotyczące usługi Microsoft Defender