Udostępnij za pośrednictwem


Uproszczenie wymagań dotyczących konfiguracji sieci za pomocą bramy usługi Azure Arc (wersja zapoznawcza)

Jeśli używasz serwerów proxy przedsiębiorstwa do zarządzania ruchem wychodzącym, brama usługi Azure Arc umożliwia dołączanie infrastruktury do usługi Azure Arc przy użyciu tylko siedmiu punktów końcowych. Za pomocą bramy usługi Azure Arc można wykonywać następujące czynności:

  • Połącz się z usługą Azure Arc, otwierając dostęp do sieci publicznej tylko do siedmiu w pełni kwalifikowanych nazw domen (FQDN).
  • Wyświetlaj i sprawdzaj cały ruch wysyłany przez agenta połączonej maszyny platformy Azure do platformy Azure za pośrednictwem bramy usługi Arc.

W tym artykule wyjaśniono, jak skonfigurować i korzystać z bramy usługi Arc (wersja zapoznawcza).

Ważne

Funkcja bramy arc dla serwerów z obsługą usługi Azure Arc jest obecnie dostępna w publicznej wersji zapoznawczej we wszystkich regionach, w których znajdują się serwery z obsługą usługi Azure Arc. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, publicznej wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Jak działa brama usługi Azure Arc

Brama usługi Azure Arc składa się z dwóch głównych składników:

  • Zasób bramy usługi Arc: Zasób platformy Azure, który służy jako wspólny punkt dostępowy dla ruchu w platformie Azure. Ten zasób bramy jest obsługiwany w określonej domenie. Po utworzeniu zasobu bramy usługi Arc domena zostanie zwrócona w odpowiedzi na powodzenie.

  • Serwer proxy usługi Arc: Nowy składnik dodany do agentów usługi Azure Arc. Ten składnik działa w kontekście zasobu z obsługą Arc jako usługa o nazwie "Proxy Azure Arc". Działa jako serwer proxy przejściowy używany przez agentów i rozszerzenia usługi Azure Arc. Z Twojej strony nie jest wymagana żadna konfiguracja tego proxy.

Gdy brama jest włączona, ruch przepływa za pośrednictwem następujących przeskoków: Agenci usługi Arc → serwera proxy usługi Arc → Enterprise proxy → Brama usługi Arc → usługi Target.

Diagram przedstawiający trasę przepływu ruchu dla bramy usługi Azure Arc.

Aby pobrać diagramy architektury w wysokiej rozdzielczości, odwiedź stronę Jumpstart Gems.

Bieżące ograniczenia

W publicznej wersji zapoznawczej obowiązują następujące ograniczenia. Podczas planowania konfiguracji należy wziąć pod uwagę te czynniki.

  • Funkcje zakończania TLS w serwerach proxy nie są obsługiwane.
  • Sieć ExpressRoute, VPN typu lokacja-lokacja ani prywatne punkty końcowe używane z bramą usługi Arc nie są obsługiwane.
  • Obejście serwera proxy nie jest obsługiwane, gdy brama Arc jest używana; nawet jeśli spróbujesz użyć funkcji, uruchamiając azcmagent config set proxy.bypass polecenie, ruch nie pomija serwera proxy.
  • Istnieje limit pięciu (5) zasobów bramy usługi Arc na każdą subskrypcję platformy Azure.
  • Brama usługi Arc może być używana tylko do łączności w chmurze publicznej platformy Azure.

Ważne

Chociaż brama usługi Azure Arc zapewnia łączność wymaganą do korzystania z serwerów z obsługą usługi Azure Arc, może być konieczne włączenie dodatkowych punktów końcowych w celu korzystania z niektórych rozszerzeń i usług z połączonymi maszynami. Aby uzyskać szczegółowe informacje, zobacz Dodatkowe scenariusze.

Wymagane uprawnienia

Aby utworzyć zasoby bramy usługi Arc i zarządzać ich skojarzeniem z serwerami z obsługą usługi Arc, wymagane są następujące uprawnienia:

  • Microsoft.HybridCompute/settings/zapisywanie ustawień
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

Utwórz zasób bramy Arc

Zasób bramy usługi Arc (wersja zapoznawcza) można utworzyć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Utworzenie zasobu bramy usługi Arc trwa zwykle około 10 minut po wykonaniu tych kroków.

  1. W przeglądarce zaloguj się do witryny Azure Portal.

  2. Przejdź do usługi Azure Arc. W menu usługi w obszarze Zarządzanie wybierz pozycję Brama usługi Azure Arc (wersja zapoznawcza), a następnie wybierz pozycję Utwórz.

  3. Wybierz subskrypcję i grupę zasobów, w której chcesz zarządzać zasobem bramy usługi Arc na platformie Azure. Zasób bramy Arc może być używany przez dowolny zasób z obsługą Arc w ramach tej samej dzierżawy platformy Azure.

  4. W polu Nazwa wpisz nazwę dla zasobu bramy Arc.

  5. W polu Lokalizacja wprowadź region, w którym ma się znajdować zasób bramy Arc. Zasób bramy Arc może być używany przez dowolny zasób obsługujący Arc w tej samej dzierżawie Azure.

  6. Wybierz Dalej.

  7. Na stronie Tagi możesz opcjonalnie określić jeden lub więcej tagów niestandardowych, aby wspierać twoje standardy.

  8. Wybierz opcję Recenzja i utwórz.

  9. Przejrzyj szczegóły danych wejściowych, a następnie wybierz pozycję Utwórz.

Potwierdzanie dostępu do wymaganych adresów URL

Po pomyślnym utworzeniu zasobu odpowiedź na powodzenie będzie zawierać adres URL bramy usługi Arc. Upewnij się, że adres URL bramy usługi Arc i wszystkie te adresy URL są dozwolone w środowisku, w którym znajdują się zasoby usługi Arc.

adres URL Cel
[Your URL Prefix].gw.arc.azure.com Adres URL bramy (uzyskany po uruchomieniu az arcgateway list po utworzeniu zasobu bramy)
management.azure.com Punkt końcowy usługi Azure Resource Manager wymagany dla kanału sterowania usługi Azure Resource Manager
login.microsoftonline.com Punkt końcowy Microsoft Entra ID do uzyskiwania tokenów dostępu do tożsamości
gbl.his.arc.azure.com Punkt końcowy usługi w chmurze do komunikowania się z agentami usługi Azure Arc
\<region\>.his.arc.azure.com Używany do podstawowego kanału sterowania usługi Arc
packages.microsoft.com Wymagane do połączenia serwerów z systemem Linux z usługą Arc

Dołączanie nowych zasobów usługi Azure Arc za pomocą zasobu bramy usługi Arc

  1. Wygeneruj skrypt instalacji.

    Postępuj zgodnie z instrukcjami w przewodniku Szybki start: Łączenie maszyn hybrydowych z serwerami z obsługą usługi Azure Arc, aby utworzyć skrypt, który automatyzuje pobieranie i instalację agenta Połączonej Maszyny Azure oraz ustanawia połączenie z usługą Azure Arc.

    Ważne

    Podczas generowania skryptu wprowadzającego wybierz zasób bramy w sekcji metoda łączności.

  2. Uruchom skrypt instalacji, aby dołączyć serwery do usługi Azure Arc.

    W skrypcie, identyfikator ARM zasobu bramy usługi Arc jest wyświetlany jako --gateway-id.

Konfigurowanie istniejących zasobów usługi Azure Arc do korzystania z bramy usługi Arc

Istniejące zasoby usługi Azure Arc można skojarzyć z zasobem bramy usługi Arc przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

  1. W witrynie Azure Portal przejdź do pozycji Azure Arc — Brama usługi Azure Arc (wersja zapoznawcza).

  2. Wybierz zasób bramy usługi Arc, który ma być skojarzony z serwerem z obsługą usługi Arc.

  3. W menu usługi dla zasobu bramy sieciowej wybierz element Skojarzone zasoby.

  4. Wybierz Dodaj.

  5. Wybierz zasób serwera obsługującego Arc, który ma być skojarzony z zasobem bramy Arc.

  6. Wybierz Zastosuj.

W wersji 1.50 lub starszej agenta Connected Machine należy również uruchomić polecenie azcmagent config set connection.type gateway, aby zaktualizować serwer z obsługą Arca do korzystania z bramy Arca. W przypadku agenta w wersji 1.51 lub nowszej ten krok nie jest wymagany, ponieważ operacja odbywa się automatycznie. Zalecamy użycie najnowszej wersji agenta połączonej maszyny.

Zweryfikuj pomyślne skonfigurowanie bramy Arc

Na dołączonym serwerze uruchom następujące polecenie: azcmagent show

Wynik powinien wskazywać następujące wartości:

  • Stan agenta powinien być wyświetlany jako Połączony.
  • Używanie serwera proxy HTTPS powinno być wyświetlane jako http://localhost:40343.
  • Nadrzędny serwer proxy powinien być wyświetlany jako serwer proxy twojego przedsiębiorstwa (jeśli go ustawisz). Adres URL bramy powinien odzwierciedlać adres URL zasobu bramy.

Ponadto, aby zweryfikować pomyślne skonfigurowanie, uruchom następujące polecenie: azcmagent check

Wynik powinien wskazywać, że connection.type jest ustawiony na bramę, a kolumna Reachable powinna wskazywać true dla wszystkich adresów URL.

Usuń skojarzenie bramy Arc

Bramę usługi Arc można wyłączyć i usunąć skojarzenie między zasobem bramy usługi Arc a klastrem z obsługą usługi Arc. Spowoduje to, że klaster z obsługą usługi Arc będzie zamiast tego wykorzystywać ruch bezpośredni.

Uwaga

Ta operacja dotyczy tylko bramy usługi Azure Arc na serwerach z obsługą usługi Azure Arc, a nie w środowisku lokalnym platformy Azure. Jeśli używasz bramy usługi Azure Arc w usłudze Azure Local, zobacz Informacje o bramie usługi Azure Arc dla usługi Azure Local , aby uzyskać informacje o usunięciu.

  1. Ustaw typ połączenia serwera z obsługą usługi Arc na "bezpośredni" zamiast "bramy", uruchamiając następujące polecenie:

    azcmagent config set connection.type direct

    Uwaga

    Jeśli wykonasz ten krok, wszystkie wymagania sieciowe usługi Azure Arc muszą zostać spełnione w twoim środowisku, aby nadal korzystać z usługi Azure Arc.

  2. Odłącz zasób bramy Arc od maszyny:

    1. W witrynie Azure Portal przejdź do pozycji Azure Arc — Brama usługi Azure Arc (wersja zapoznawcza).

    2. Wybierz zasób bramy Arc.

    3. W menu usługi dla zasobu bramy sieciowej wybierz element Skojarzone zasoby.

    4. Wybierz serwer.

    5. Wybierz Usuń.


Usuń zasób bramy Arc

Zasób bramy usługi Arc można usunąć przy użyciu portalu Azure, interfejsu wiersza polecenia Azure lub programu Azure PowerShell. Wykonanie tej operacji może potrwać do 5 minut.

  1. W portalu Azure przejdź do Azure Arc - brama Azure Arc.

  2. Wybierz zasób bramy Arc.

  3. Wybierz pozycję Usuń, a następnie potwierdź usunięcie.

Monitorowanie ruchu

Możesz przeprowadzić audyt ruchu bramy usługi Arc, wyświetlając dzienniki serwera proxy usługi Azure Arc.

Aby wyświetlić dzienniki serwera proxy usługi Arc w systemie Windows:

  1. Uruchom polecenie azcmagent logs w programie PowerShell.
  2. W wynikowym pliku .zip plik arcproxy.log znajduje się w folderze ProgramData\AzureConnectedMachineAgent\Log.

Aby wyświetlić dzienniki serwera proxy usługi Arc w systemie Linux:

  1. Uruchom program sudo azcmagent logs.
  2. W wynikowym pliku .zip plik arcproxy.log znajduje się w folderze /var/opt/azcmagent/log/.

Dodatkowe scenariusze

W publicznej wersji zapoznawczej brama usługi Arc obejmuje punkty końcowe wymagane do dołączenia serwera oraz punkty końcowe do obsługi kilku dodatkowych scenariuszy z obsługą usługi Arc. Na podstawie scenariuszy, które przyjmujesz, może być konieczne zezwolenie na dodatkowe punkty końcowe na serwerze proxy.

Scenariusze, które nie wymagają dodatkowych punktów końcowych

  • Windows Admin Center
  • SSH
  • Rozszerzone aktualizacje zabezpieczeń
  • Rozszerzenie platformy Azure dla programu SQL Server

Scenariusze wymagające dodatkowych punktów końcowych

Punkty końcowe wymienione w następujących scenariuszach muszą być dozwolone na serwerze proxy przedsiębiorstwa podczas korzystania z bramy usługi Arc:

  • Usługi danych obsługiwane przez Azure Arc

    • *.ods.opinsights.azure.com
    • *.oms.opinsights.azure.com
    • *.monitoring.azure.com
  • Agent usługi Azure Monitor

    • \<log-analytics-workspace-id\>.ods.opinsights.azure.com
    • \<data-collection-endpoint\>.\<virtual-machine-region-name\>.ingest.monitor.azure.com
  • Synchronizacja certyfikatów usługi Azure Key Vault

    • \<vault-name\>.vault.azure.net
  • Rozszerzenie Hybrydowego Agenta Runbook usługi Azure Automation

    • *.azure-automation.net
  • Rozszerzenie do aktualizacji systemu operacyjnego Windows / Azure Update Manager

    • Środowisko musi spełniać wszystkie wymagania wstępne dotyczące usługi Windows Update
  • Usługa Microsoft Defender

    • Środowisko musi spełniać wszystkie wymagania wstępne dotyczące usługi Microsoft Defender