Compartilhar via

Uso de conectividade privada para clusters Kubernetes habilitados para Arc com link privado (versão prévia)

  • Artigo

O Link Privado do Azure permite vincular com segurança os serviços do Azure à sua rede virtual usando pontos de extremidade privados. Isso significa que você pode conectar os seus clusters do Kubernetes locais com o Azure Arc e enviar todo o tráfego por uma conexão VPN site a site ou do Azure ExpressRoute em vez de usar redes públicas. No Azure Arc, você pode usar um modelo de Escopo de Link Privado para permitir que vários clusters do Kubernetes se comuniquem com os respectivos recursos do Azure Arc usando um só ponto de extremidade privado.

Este documento aborda quando usar e como configurar um Link Privado do Azure Arc (versão prévia).

Importante

O recurso de Link Privado do Azure Arc está atualmente em VERSÃO PRÉVIA em todas as regiões em que o Kubernetes habilitado para Azure Arc está presente, exceto no Sudeste da Ásia. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Vantagens

Com o Link Privado, você pode:

  • Conectar-se de maneira particular ao Azure Arc sem abrir nenhum acesso de rede pública.
  • Garantir que os dados do cluster do Kubernetes habilitado para Arc só sejam acessados por meio de redes privadas autorizadas.
  • Evitar a exfiltração dos dados das suas redes privadas definindo clusters do Kubernetes específicos habilitados para Azure Arc e outros recursos de serviços do Azure, como o Azure Monitor, que se conecta por meio do ponto de extremidade privado.
  • Conectar sua rede local privada ao Azure Arc com segurança usando o ExpressRoute e o Link Privado.
  • Manter todo o tráfego dentro da rede de principal do Microsoft Azure.

Para obter mais informações, confira Principais benefícios do Link Privado do Azure.

Como ele funciona

O Escopo de Link Privado do Azure Arc conecta pontos de extremidade privados (e as redes virtuais em que eles estão contidos) com um recurso do Azure, nesse caso os clusters do Kubernetes habilitados para o Azure Arc. Quando você habilita uma extensão de cluster Kubernetes habilitado para Arc, a conexão com outros recursos do Azure pode ser necessária para esses cenários. Por exemplo, com o Azure Monitor, os logs coletados do cluster são enviados para o workspace do Log Analytics.

A conectividade com os outros recursos do Azure em um cluster do Kubernetes habilitado para Arc listado anteriormente exige a configuração do Link Privado para cada serviço. Para obter um exemplo, confira Link Privado para o Azure Monitor.

Limitações atuais

Considere essas limitações atuais ao planejar sua configuração de Link Privado.

  • Você pode associar apenas um Escopo de Link Privado do Azure Arc a uma rede virtual.

  • Um cluster do Kubernetes habilitado para o Azure Arc só pode se conectar com um Escopo de Link Privado do Azure Arc.

  • Todos os clusters do Kubernetes locais precisam usar o mesmo ponto de extremidade privado, resolvendo as informações corretas do ponto de extremidade privado (nome do registro FQDN e endereço IP privado) com o mesmo encaminhador de DNS. Para obter mais informações, consulte Valores da zona DNS privada do ponto de extremidade privado do Azure. O cluster do Kubernetes habilitado para Azure Arc, o Escopo de Link Privado do Azure Arc e a rede virtual precisam estar na mesma região do Azure. O ponto de extremidade privado e a rede virtual também devem estar na mesma região do Azure, mas essa região pode ser diferente daquela do Escopo de Link Privado do Azure Arc e do cluster do Kubernetes habilitado para Arc.

  • O tráfego para as marcas de serviço do Microsoft Entra ID, o Azure Resource Manager e o Registro de Contêiner da Microsoft deve ser permitido por meio do firewall de rede local durante a pré-visualização.

  • Outros serviços do Azure que você use, como o Azure Monitor, podem exigir seus próprios pontos de extremidade privados na sua rede virtual.

    Observação

    No momento, não há suporte para a funcionalidade Cluster Connect (e, portanto, para o Local personalizado) em clusters do Kubernetes habilitados para Azure Arc com conectividade privada habilitada. A conectividade de rede usando links privados para serviços do Azure Arc, como serviços de dados habilitados para Azure Arc e serviços de aplicativo habilitados para Azure Arc que usam esses recursos, também não têm suporte no momento.

Nos clusters do Kubernetes habilitados para Azure Arc configurados com links privados, as extensões a seguir dão suporte à conectividade de ponta a ponta por meio de links privados:

Para conectar seu cluster do Kubernetes ao Azure Arc por meio de um link privado, configure sua rede da seguinte maneira:

  1. Estabelecer uma conexão entre a rede local e uma rede virtual do Azure usando uma VPN site a site ou um circuito do ExpressRoute.
  2. Implante um Escopo de Link Privado do Azure Arc, que controla quais clusters do Kubernetes podem se comunicar com o Azure Arc por meio de pontos de extremidade privados, e associe-o à sua rede virtual do Azure usando um ponto de extremidade privado.
  3. Atualize a configuração de DNS na rede local para resolver os endereços de pontos de extremidade privados.
  4. Configure o firewall local para permitir o acesso ao Microsoft Entra ID, ao Azure Resource Manager e ao Registro de Contêiner da Microsoft.
  5. Associar os clusters do Kubernetes habilitados para Azure Arc ao Escopo de Link Privado do Azure Arc.
  6. Como opção, implante pontos de extremidade privados para outros serviços do Azure usados com seu cluster do Kubernetes habilitado para Azure Arc, como o Azure Monitor.

O restante deste artigo pressupõe que você já tenha configurado o circuito do ExpressRoute ou a conexão VPN site a site.

Configuração de rede

O Kubernetes habilitado para Azure Arc integra-se a vários serviços do Azure para levar o gerenciamento e a governança de nuvem para os seus clusters do Kubernetes híbridos. A maioria desses serviços já oferece pontos de extremidade privados. No entanto, você precisa configurar o firewall e as regras de roteamento para permitir o acesso ao Microsoft Entra ID e ao Azure Resource Manager pela Internet até que esses serviços ofereçam pontos de extremidade privados. Você também precisa permitir o acesso ao Registro de Contêiner da Microsoft (e ao AzureFrontDoor.FirstParty como um precursor do Registro de Contêiner da Microsoft) para baixar imagens e gráficos Helm, a fim de habilitar serviços como o Azure Monitor e para a configuração inicial dos agentes do Azure Arc em clusters do Kubernetes.

Há duas maneiras de habilitar essa configuração:

  • Se sua rede estiver configurada para rotear todo o tráfego associado à Internet por meio da VPN do Azure ou do circuito do ExpressRoute, você poderá configurar o NSG (grupo de segurança de rede) associado à sua sub-rede no Azure para permitir o acesso de saída do TCP 443 (HTTPS) ao Microsoft Entra ID, ao Azure Resource Manager, ao Azure Front Door e ao Registro de Contêiner da Microsoft usando marcas de serviço. As regras NSG devem ser semelhantes às seguintes:

    Configuração Regra da Microsoft Entra ID Regra do Azure Resource Manager Regra do AzureFrontDoorFirstParty Regra do Microsoft Container Registry
    Origem Rede Virtual Rede Virtual Rede Virtual Rede Virtual
    Intervalos de portas de origem * * * *
    Destino Marca de serviço Marca de serviço Marca de serviço Marca de serviço
    Marca de serviço de destino AzureActiveDirectory AzureResourceManager AzureFrontDoor.FirstParty MicrosoftContainerRegistry
    Intervalos de portas de destino 443 443 443 443
    Protocolo TCP TCP TCP TCP
    Ação Allow Permitir Permitir (entrada e saída) Permitir
    Prioridade 150 (precisa ser inferior a qualquer regra que bloqueie o acesso à Internet) 151 (precisa ser inferior a qualquer regra que bloqueie o acesso à Internet) 152 (precisa ser inferior a qualquer regra que bloqueie o acesso à Internet) 153 (precisa ser inferior a qualquer regra que bloqueie o acesso à Internet)
    Nome AllowAADOutboundAccess AllowAzOutboundAccess AllowAzureFrontDoorFirstPartyAccess AllowMCROutboundAccess

  • Como alternativa, configure o firewall em sua rede local para permitir acesso de saída do TCP 443 (HTTPS) ao Microsoft Entra ID, ao Azure Resource Manager e ao Registro de Contêiner da Microsoft e acesso de entrada e de saída ao AzureFrontDoor.FirstParty usando os arquivos de marca de serviço para download. O arquivo JSON contém todos os intervalos de endereços IP públicos usados pelo Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty e Registro de Contêiner da Microsoft e é atualizado mensalmente para refletir quaisquer alterações. A marca de serviço do Microsoft Entra é AzureActiveDirectory, a marca de serviço do Azure Resource Manager é AzureResourceManager, a marca de serviço do Registro de Contêiner da Microsoft é MicrosoftContainerRegistry e a marca de serviço do Azure Front Door é AzureFrontDoor.FirstParty. Consulte o administrador da sua rede e o fornecedor do firewall de rede para saber como configurar as regras de firewall.

  1. Entre no portal do Azure.

  2. Pesquise o Escopo de Link Privado do Azure Arc. Ou, então, acesse diretamente a página Escopos de Link Privado do Azure Arc no portal.

  3. Selecione Criar.

  4. Selecionar uma assinatura e um grupo de recursos. Durante a versão prévia, a sua rede virtual e os clusters do Kubernetes habilitados para Azure Arc precisam estar na mesma assinatura do Escopo de Link Privado do Azure Arc.

  5. Dê um nome ao Escopo de Link Privado do Azure Arc.

  6. Para exigir que todos os clusters do Kubernetes habilitados para Azure Arc associados a esse Escopo de Link Privado do Azure Arc enviem dados para o serviço por meio do ponto de extremidade privado, selecione Permitir acesso à rede pública. Se você fizer isso, os clusters do Kubernetes associados a esse Escopo de Link Privado do Azure Arc poderão se comunicar com o serviço por redes públicas ou privadas. Você poderá alterar essa configuração após a criação do escopo, conforme necessário.

    Captura da tela da criação do Escopo de Link Privado do Azure Arc no portal do Azure.

  7. Selecione Examinar + criar.

  8. Após concluir a validação, selecione Criar.

Criar um ponto de extremidade privado

Depois que o Escopo de Link Privado do Azure Arc for criado, você precisará conectá-lo a uma ou mais redes virtuais usando um ponto de extremidade privado. O ponto de extremidade privado expõe o acesso aos serviços do Azure Arc em um IP privado no seu espaço de endereço de rede virtual.

O ponto de extremidade privado na sua rede virtual permite que ela acesse os pontos de extremidade dos clusters do Kubernetes habilitados para Azure Arc por meio de IPs privados do seu pool da rede, em vez de usar os IPs públicos desses pontos de extremidade. Isso permite que você continue usando os clusters do Kubernetes habilitados para Azure Arc sem abrir a sua VNet para o tráfego de saída não solicitado. O tráfego do ponto de extremidade privado para os seus recursos passa pelo Microsoft Azure e não é roteado para redes públicas.

  1. No portal do Azure, navegue até o recurso de Escopo de Link Privado do Azure Arc que você criou.

  2. No menu de recursos, em Configurar, selecione Conexões de ponto de extremidade privado.

  3. Selecione Adicionar para iniciar o processo de criação do ponto de extremidade. Você também pode aprovar as conexões iniciadas no centro de Links Privados. Basta selecioná-las e selecionar Aprovar.

    Captura de tela das conexões do Ponto de extremidade privado no portal do Azure.

  4. Selecione a assinatura e o grupo de recursos e insira um nome para o ponto de extremidade. Selecione a mesma região que a sua rede virtual.

  5. Selecione Avançar: Recurso.

  6. Na página Recurso, se esses valores ainda não estiverem selecionados, faça o seguinte:

    1. Selecione a assinatura que contém o seu recurso de Escopo de Link Privado do Azure Arc.
    2. Para Tipo de recurso, escolha Microsoft.HybridCompute/privateLinkScopes.
    3. Para Recurso, escolha o Escopo de Link Privado do Azure Arc criado anteriormente.
    4. Selecione Próximo: Rede Virtual.

  7. Na página Rede virtual:

    1. Selecione a rede virtual e a sub-rede da qual você deseja se conectar com os clusters do Kubernetes habilitados para Azure Arc.
    2. Selecione Avançar: DNS.

  8. Na página DNS:

    1. Para Integrar com a zona de DNS privado, selecione Sim. Uma nova Zona DNS Privada é criada.

      Como alternativa, se você preferir gerenciar os registros DNS manualmente, selecione Não e, depois, conclua a configuração do seu Link Privado, incluindo este ponto de extremidade privado e a configuração do Escopo Privado. Em seguida, configure seu DNS de acordo com as instruções em Valores da zona DNS privada do ponto de extremidade privado do Azure. Certifique-se de não criar registros vazios como preparação para a configuração do seu link privado. Os registros DNS que você cria podem substituir as configurações existentes e afetar a conectividade com os clusters de Kubernetes habilitados para Azure Arc.

    2. Selecione Examinar + criar.

    3. Aguarde a aprovação de validação.

    4. Selecione Criar.

Configurar o encaminhamento de DNS local

Os clusters do Kubernetes locais precisam conseguir resolver os registros DNS de link privado para os endereços IP do ponto de extremidade privado. As etapas de configuração variam dependendo se você usa zonas DNS privadas do Azure para manter registros DNS ou seu próprio servidor DNS local.

Configuração de DNS usando zonas DNS privadas integradas ao Azure

Se você selecionou Sim para Integrar com a zona DNS privada ao criar o ponto de extremidade privado, seus clusters do Kubernetes locais devem ser capazes de encaminhar consultas DNS para os servidores DNS internos do Azure para resolver corretamente os endereços do ponto de extremidade privado. Você precisa ter um encaminhador de DNS no Azure (uma VM criada com finalidade específica ou uma instância do Firewall do Azure com o proxy DNS habilitado). Depois disso, você pode configurar o servidor DNS local para encaminhar consultas ao Azure a fim de resolver endereços IP do ponto de extremidade privado.

A documentação do ponto de extremidade privado fornece diretrizes para configurar cargas de trabalho locais usando um encaminhador de DNS.

Configuração manual do servidor DNS

Se você tiver recusado o uso de zonas DNS privadas do Azure durante a criação do ponto de extremidade privado, deverá criar os registros DNS necessários no seu servidor DNS local.

  1. Acesse o portal do Azure.
  2. Acesse o recurso de ponto de extremidade privado associado à sua rede virtual e ao Escopo de Link Privado do Azure Arc.
  3. No painel esquerdo, selecione Configuração de DNS para ver uma lista dos registros DNS e dos endereços IP correspondentes que você precisará configurar no servidor DNS. Os FQDNs e os endereços IP serão alterados de acordo com a região selecionada para o ponto de extremidade privado e os endereços IP disponíveis na sub-rede.
  4. Siga as diretrizes do fornecedor do servidor DNS para adicionar as zonas DNS necessárias e os registros A para que eles correspondam à tabela no portal. Escolha um servidor DNS com escopo adequado para sua rede. Cada cluster do Kubernetes que usa esse servidor DNS agora resolverá os endereços IP do ponto de extremidade privado e deverá estar associado ao Escopo de Link Privado do Azure Arc, ou a conexão será recusada.

Observação

A configuração de links privados para clusters do Kubernetes habilitados para o Azure Arc tem suporte a partir da versão 1.3.0 da extensão da CLI connectedk8s, mas requer uma versão da CLI do Azure posterior à 2.3.0. Se você usar uma versão posterior à 1.3.0 para a extensão da CLI connectedk8s, apresentamos validações para verificar e conectar com êxito o cluster ao Azure Arc somente se você estiver executando a versão da CLI do Azure posterior à 2.3.0.

Você pode configurar links privados para um cluster do Kubernetes habilitado para Azure Arc existente ou ao integrar um cluster do Kubernetes ao Azure Arc pela primeira vez usando o seguinte comando:

az connectedk8s connect -g <resource-group-name> -n <connected-cluster-name> -l <location> --enable-private-link true --private-link-scope-resource-id <pls-arm-id>
Nome do Parâmetro Descrição
--enable-private-link Habilita o recurso de link privado se definido como True.
--private-link-scope-resource-id ID do recurso de escopo de link privado criado anteriormente. Por exemplo: /subscriptions//resourceGroups//providers/Microsoft.HybridCompute/privateLinkScopes/

Para clusters do Kubernetes habilitados para Azure Arc que foram configurados antes de configurar o Escopo de Link Privado do Azure Arc, configure links privados no portal do Azure usando as seguintes etapas:

  1. No portal do Azure, acesse o recurso de Escopo de Link Privado do Azure Arc.
  2. No menu de recursos, em Configurar, selecione Recursos do Azure Arc. Depois, selecione Adicionar.
  3. Você verá todos os clusters do Kubernetes habilitados para Arc na mesma assinatura e região que o seu Escopo de Link Privado. Marque a caixa para cada cluster do Kubernetes que você deseja associar ao Escopo do Link Privado. Quando terminar, escolha Selecionar para salvar suas alterações.

Solução de problemas

Se você tiver problemas, as seguintes sugestões poderão ajudar:

  • Verifique os servidores DNS locais para confirmar se eles estão fazendo o encaminhamento para o DNS do Azure ou se estão configurados com registros A apropriados na zona de link privado. Esses comandos de pesquisa devem retornar endereços IP privados na sua rede virtual do Azure. Se eles resolverem endereços IP públicos, verifique duas vezes a configuração de DNS do servidor e da rede.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
nslookup dp.kubernetesconfiguration.azure.com

  • Para problemas ao integrar seu cluster do Kubernetes, confirme se adicionou as marcas de serviço Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty e Registro de Contêiner da Microsoft ao firewall de rede local.

Próximas etapas