Share via

Conectividade privada para clusters Kubernetes habilitados para Arc usando link privado (visualização)

  • Artigo

O Azure Private Link permite que você vincule com segurança os serviços do Azure à sua rede virtual usando pontos de extremidade privados. Isso significa que você pode conectar seus clusters Kubernetes locais com o Azure Arc e enviar todo o tráfego por uma Rota Expressa do Azure ou conexão VPN site a site em vez de usar redes públicas. No Azure Arc, você pode usar um modelo de Escopo de Link Privado para permitir que vários clusters Kubernetes se comuniquem com seus recursos do Azure Arc usando um único ponto de extremidade privado.

Este documento aborda quando usar e como configurar o Azure Arc Private Link (visualização).

Importante

O recurso Azure Arc Private Link está atualmente em PREVIEW em todas as regiões onde o Kubernetes habilitado para Azure Arc está presente, exceto no Sudeste Asiático. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Vantagens

Com Private Link você pode:

  • Conecte-se de forma privada ao Azure Arc sem abrir nenhum acesso à rede pública.
  • Certifique-se de que os dados do cluster Kubernetes habilitado para Arc só sejam acessados por meio de redes privadas autorizadas.
  • Impeça a exfiltração de dados de suas redes privadas definindo clusters Kubernetes habilitados para Azure Arc específicos e outros recursos de serviços do Azure, como o Azure Monitor, que se conectam por meio de seu ponto de extremidade privado.
  • Conecte com segurança sua rede local privada ao Azure Arc usando o ExpressRoute e o Private Link.
  • Mantenha todo o tráfego dentro da rede de backbone do Microsoft Azure.

Para obter mais informações, consulte Principais benefícios do Azure Private Link.

Como funciona

O Escopo de Link Privado do Azure Arc conecta pontos de extremidade privados (e as redes virtuais nas quais eles estão contidos) a um recurso do Azure, neste caso, clusters Kubernetes habilitados para Azure Arc. Quando você habilita qualquer uma das extensões com suporte de cluster do Kubernetes habilitado para Arc, como o Azure Monitor, a conexão com outros recursos do Azure pode ser necessária para esses cenários. Por exemplo, no caso do Azure Monitor, os logs coletados do cluster são enviados para o espaço de trabalho do Log Analytics.

A conectividade com os outros recursos do Azure de um cluster Kubernetes habilitado para Arc listado anteriormente requer a configuração do Private Link para cada serviço. Para obter um exemplo, consulte Link privado para o Azure Monitor.

Limitações atuais

Considere essas limitações atuais ao planejar a configuração do Private Link.

  • Você pode associar no máximo um Escopo de Link Privado do Azure Arc a uma rede virtual.

  • Um cluster Kubernetes habilitado para Azure Arc só pode se conectar a um Escopo de Link Privado do Azure Arc.

  • Todos os clusters Kubernetes locais precisam usar o mesmo ponto de extremidade privado resolvendo as informações corretas do ponto de extremidade privado (nome do registro FQDN e endereço IP privado) usando o mesmo encaminhador DNS. Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure. O cluster Kubernetes habilitado para Azure Arc, o Escopo de Link Privado do Azure Arc e a rede virtual devem estar na mesma região do Azure. O Ponto de Extremidade Privado e a rede virtual também devem estar na mesma região do Azure, mas essa região pode ser diferente da do seu Escopo de Link Privado do Azure Arc e do cluster Kubernetes habilitado para Arc.

  • O tráfego para as tags de serviço Microsoft Entra ID, Azure Resource Manager e Microsoft Container Registry deve ser permitido por meio do firewall de rede local durante a visualização.

  • Outros serviços do Azure que você usará, por exemplo, o Azure Monitor, exigem seus próprios pontos de extremidade privados em sua rede virtual.

    Nota

    O recurso Cluster Connect (e, portanto, o local personalizado) não é suportado em clusters Kubernetes habilitados para Azure Arc com conectividade privada habilitada. Isso está planejado e será adicionado mais tarde. A conectividade de rede usando links privados para serviços do Azure Arc, como serviços de dados habilitados para Azure Arc e serviços de Aplicativo habilitados para Azure Arc que usam esses recursos, também ainda não são suportados. Consulte a seção abaixo para obter uma lista de extensões de cluster ou serviços do Azure Arc que oferecem suporte à conectividade de rede por meio de links privados.

Nos clusters Kubernetes habilitados para Azure Arc configurados com links privados, as extensões a seguir oferecem suporte à conectividade de ponta a ponta por meio de links privados. Consulte as orientações vinculadas a cada extensão de cluster para obter etapas de configuração adicionais e detalhes sobre o suporte para links privados.

Para conectar seu cluster Kubernetes ao Azure Arc por meio de um link privado, você precisa configurar sua rede para fazer o seguinte:

  1. Estabeleça uma conexão entre sua rede local e uma rede virtual do Azure usando uma VPN site a site ou um circuito de Rota Expressa .
  2. Implante um Escopo de Link Privado do Azure Arc, que controla quais clusters do Kubernetes podem se comunicar com o Azure Arc em pontos de extremidade privados e associá-lo à sua rede virtual do Azure usando um ponto de extremidade privado.
  3. Atualize a configuração de DNS na sua rede local para resolver os endereços de ponto de extremidade privados.
  4. Configure seu firewall local para permitir o acesso ao Microsoft Entra ID, Azure Resource Manager e Microsoft Container Registry.
  5. Associe os clusters Kubernetes habilitados para Azure Arc ao Escopo de Link Privado do Azure Arc.
  6. Opcionalmente, implante pontos de extremidade privados para outros serviços do Azure pelos quais seu cluster Kubernetes habilitado para Azure Arc é gerenciado, como o Azure Monitor. O restante deste documento pressupõe que você já tenha configurado seu circuito de Rota Expressa ou conexão VPN site a site.

Configuração de rede

O Kubernetes habilitado para Azure Arc integra-se a vários serviços do Azure para trazer gerenciamento e governança de nuvem para seus clusters Kubernetes híbridos. A maioria desses serviços já oferece pontos de extremidade privados, mas você precisa configurar seu firewall e regras de roteamento para permitir o acesso ao Microsoft Entra ID e ao Azure Resource Manager pela Internet até que esses serviços ofereçam pontos de extremidade privados. Você também precisa permitir o acesso ao Microsoft Container Registry (e ao AzureFrontDoor.FirstParty como precursor do Microsoft Container Registry) para extrair imagens e gráficos Helm para habilitar serviços como o Azure Monitor, bem como para a configuração inicial de agentes do Azure Arc nos clusters do Kubernetes.

Há duas maneiras de conseguir isso:

  • Se a sua rede estiver configurada para encaminhar todo o tráfego ligado à Internet através do circuito VPN do Azure ou da Rota Expressa, pode configurar o grupo de segurança de rede (NSG) associado à sua sub-rede no Azure para permitir o acesso TCP 443 (HTTPS) de saída ao Microsoft Entra ID, Azure Resource Manager, Azure Front Door e Microsoft Container Registry utilizando etiquetas de serviço. As regras do NSG devem ter a seguinte aparência:

    Definição Regra do Microsoft Entra ID Regra do Azure Resource Manager Regra AzureFrontDoorFirstParty Regra do Registro de Contêiner da Microsoft
    Source Rede Virtual Rede Virtual Rede Virtual Rede Virtual
    Intervalos de portas de origem * * * *
    Destino Etiqueta de Serviço Etiqueta de Serviço Etiqueta de Serviço Etiqueta de Serviço
    Etiqueta do serviço de destino AzureActiveDirectory AzureResourceManager AzureFrontDoor.FirstParty MicrosoftContainerRegistry
    Intervalos de portas de destino 443 443 443 443
    Protocolo TCP TCP TCP TCP
    Ação Permitir Permitir Permitir (entrada e saída) Permitir
    Prioridade 150 (deve ser inferior a quaisquer regras que bloqueiem o acesso à Internet) 151 (deve ser inferior a quaisquer regras que bloqueiem o acesso à Internet) 152 (deve ser inferior a quaisquer regras que bloqueiem o acesso à Internet) 153 (deve ser inferior a quaisquer regras que bloqueiem o acesso à Internet)
    Nome AllowAADOutboundAccess AllowAzOutboundAccess AllowAzureFrontDoorFirstPartyAccess AllowMCROutboundAccess

  • Configure o firewall em sua rede local para permitir o acesso TCP 443 (HTTPS) de saída ao Microsoft Entra ID, ao Azure Resource Manager e ao Microsoft Container Registry, e o acesso de entrada e saída do AzureFrontDoor.FirstParty usando os arquivos de marca de serviço para download. O arquivo JSON contém todos os intervalos de endereços IP públicos usados pelo Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty e Microsoft Container Registry e é atualizado mensalmente para refletir quaisquer alterações. A etiqueta de serviço do Microsoft Entra é AzureActiveDirectory, a etiqueta de serviço do Azure Resource Manager é AzureResourceManager, a etiqueta de serviço do Microsoft Container Registry é MicrosoftContainerRegistry e a etiqueta de serviço do Azure Front Door é AzureFrontDoor.FirstParty. Consulte o administrador da rede e o fornecedor do firewall de rede para saber como configurar as regras de firewall.

  1. Inicie sessão no portal do Azure.

  2. Vá para Criar um recurso no portal do Azure e procure Escopo de Link Privado do Azure Arc. Ou você pode ir diretamente para a página Escopo de Link Privado do Azure Arc no portal.

  3. Selecione Criar.

  4. Selecione uma assinatura e um grupo de recursos. Durante a visualização, sua rede virtual e clusters Kubernetes habilitados para Azure Arc devem estar na mesma assinatura que o Escopo de Link Privado do Azure Arc.

  5. Dê um nome ao Escopo de Link Privado do Azure Arc.

  6. Opcionalmente, você pode exigir que cada cluster Kubernetes habilitado para Arc associado a este Escopo de Link Privado do Arco do Azure envie dados para o serviço por meio do ponto de extremidade privado. Se você selecionar Habilitar acesso à rede pública, os clusters Kubernetes associados a este Escopo de Link Privado do Azure Arc poderão se comunicar com o serviço por meio de redes públicas ou privadas. Você pode alterar essa configuração depois de criar o escopo, conforme necessário.

  7. Selecione Rever + Criar.

    Screenshot of the Azure Arc Private Link Scope creation screen in the Azure portal.

  8. Após a conclusão da validação, selecione Criar.

Criar um ponto final privado

Depois que o escopo do Azure Arc Private Link for criado, você precisará conectá-lo a uma ou mais redes virtuais usando um ponto de extremidade privado. O ponto de extremidade privado expõe o acesso aos serviços do Azure Arc em um IP privado em seu espaço de endereço de rede virtual.

O Ponto de Extremidade Privado em sua rede virtual permite que ele alcance pontos de extremidade de cluster Kubernetes habilitados para Azure Arc por meio de IPs privados do pool da sua rede, em vez de usar para os IPs públicos desses pontos de extremidade. Isso permite que você continue usando seus clusters Kubernetes habilitados para Azure Arc sem abrir sua VNet para tráfego de saída não solicitado. O tráfego do Ponto de Extremidade Privado para seus recursos passará pelo Microsoft Azure e não será roteado para redes públicas.

  1. No recurso de escopo, selecione Conexões de ponto de extremidade privado no menu de recursos à esquerda. Selecione Adicionar para iniciar o processo de criação do ponto de extremidade. Você também pode aprovar conexões que foram iniciadas no Centro de Link Privado selecionando-as e, em seguida, selecionando Aprovar.

    Screenshot of the Private Endpoint connections screen in the Azure portal.

  2. Escolha a assinatura, o grupo de recursos e o nome do ponto de extremidade, bem como a região que deseja usar. Esta deve ser a mesma região da sua rede virtual.

  3. Selecione Next: Resource.

  4. Na página Recurso, execute o seguinte:

    1. Selecione a assinatura que contém seu recurso Escopo de Link Privado do Azure Arc.
    2. Para Tipo de recurso, escolha Microsoft.HybridCompute/privateLinkScopes.
    3. Na lista suspensa Recurso, escolha o Escopo de Link Privado do Azure Arc que você criou anteriormente.
    4. Selecione Next: Configuration.

  5. Na página Configuração, execute o seguinte:

    1. Escolha a rede virtual e a sub-rede a partir da qual você deseja se conectar aos clusters Kubernetes habilitados para Azure Arc.

    2. Em Integrar com zona DNS privada, selecione Sim. Será criada uma nova Zona DNS Privada. As zonas DNS reais podem ser diferentes do que é mostrado na captura de tela abaixo.

      Screenshot of the Configuration step to create a private endpoint in the Azure portal.

      Nota

      Se você escolher Não e preferir gerenciar registros DNS manualmente, primeiro conclua a configuração do seu Link Privado, incluindo este ponto de extremidade privado e a configuração do Escopo Privado. Em seguida, configure seu DNS de acordo com as instruções na configuração do DNS do Ponto de Extremidade Privado do Azure. Não crie registos vazios como preparação da configuração da Ligação Privada. Os registros DNS criados podem substituir as configurações existentes e afetar sua conectividade com clusters Kubernetes habilitados para Arc.

    3. Selecione Rever + criar.

    4. Deixe a validação passar.

    5. Selecione Criar.

Configurar o encaminhamento DNS local

Seus clusters Kubernetes locais precisam ser capazes de resolver os registros DNS de link privado para os endereços IP de ponto de extremidade privados. Como você configura isso depende se você está usando zonas DNS privadas do Azure para manter registros DNS ou usando seu próprio servidor DNS local, juntamente com quantos clusters você está configurando.

Configuração de DNS usando zonas DNS privadas integradas ao Azure

Se você configurar zonas DNS privadas para clusters Kubernetes habilitados para Azure Arc ao criar o ponto de extremidade privado, seus clusters Kubernetes locais deverão ser capazes de encaminhar consultas DNS para os servidores DNS internos do Azure para resolver os endereços de ponto de extremidade privados corretamente. Você precisa de um encaminhador DNS no Azure (uma VM criada especificamente ou uma instância do Firewall do Azure com proxy DNS habilitado), após o qual você pode configurar seu servidor DNS local para encaminhar consultas ao Azure para resolver endereços IP de ponto de extremidade privados.

A documentação do ponto de extremidade privado fornece orientação para configurar cargas de trabalho locais usando um encaminhador DNS.

Configuração manual do servidor DNS

Se você optou por não usar as zonas DNS privadas do Azure durante a criação do ponto de extremidade privado, precisará criar os registros DNS necessários em seu servidor DNS local.

  1. Aceda ao portal do Azure.

  2. Navegue até o recurso de ponto de extremidade privado associado à sua rede virtual e ao Escopo de Link Privado do Azure Arc.

  3. No painel esquerdo, selecione Configuração de DNS para ver uma lista dos registros DNS e endereços IP correspondentes que você precisará configurar no seu servidor DNS. Os FQDNs e endereços IP serão alterados com base na região selecionada para seu ponto de extremidade privado e nos endereços IP disponíveis em sua sub-rede.

    Screenshot showing manual DNS server configuration in the Azure portal.

  4. Siga as orientações do fornecedor do servidor DNS para adicionar as zonas DNS e os registos A necessários para corresponder à tabela no portal. Certifique-se de selecionar um servidor DNS com escopo apropriado para sua rede. Cada cluster Kubernetes que usa esse servidor DNS agora resolve os endereços IP de ponto de extremidade privados e deve ser associado ao Escopo de Link Privado do Azure Arc, ou a conexão será recusada.

Nota

A configuração de links privados para clusters Kubernetes habilitados para Azure Arc é suportada a partir da versão 1.3.0 da extensão CLI, mas requer a connectedk8s versão da CLI do Azure maior que 2.3.0. Se você usar uma versão maior que 1.3.0 para a extensão CLI, introduzimos validações para verificar e conectar com êxito o cluster ao Azure Arc somente se você estiver executando a connectedk8s versão da CLI do Azure maior que 2.3.0.

Você pode configurar links privados para um cluster Kubernetes habilitado para Azure Arc existente ou ao integrar um cluster Kubernetes ao Azure Arc pela primeira vez usando o comando abaixo:

az connectedk8s connect -g <resource-group-name> -n <connected-cluster-name> -l <location> --enable-private-link true --private-link-scope-resource-id <pls-arm-id>
Nome do parâmetro Description
--habilitar-private-link Propriedade para ativar/desativar o recurso de links privados. Defina-o como "True" para permitir a conectividade com links privados.
--private-link-scope-resource-id ID do recurso de escopo de link privado criado anteriormente. Por exemplo: /subscriptions//resourceGroups//providers/Microsoft.HybridCompute/privateLinkScopes/

Para clusters Kubernetes habilitados para Azure Arc que foram configurados antes de configurar o escopo de link privado do Azure Arc, você pode configurar links privados por meio do portal do Azure usando as seguintes etapas:

  1. No portal do Azure, navegue até o recurso Escopo de Link Privado do Azure Arc.

  2. No painel esquerdo, selecione Recursos do Azure Arc e, em seguida, + Adicionar.

  3. Selecione os clusters do Kubernetes na lista que você deseja associar ao Escopo do Link Privado e escolha Selecionar para salvar as alterações.

    Nota

    A lista mostra apenas clusters Kubernetes habilitados para Azure Arc que estão dentro da mesma assinatura e região que seu Escopo de Link Privado.

    Screenshot of the list of Kubernetes clusters for the Azure Arc Private Link Scope.

Resolução de Problemas

Se tiver problemas, as seguintes sugestões podem ajudar:

  • Verifique o(s) seu(s) servidor(es) DNS local para verificar se está a reencaminhar para o DNS do Azure ou se está configurado com registos A apropriados na sua zona de ligação privada. Esses comandos de pesquisa devem retornar endereços IP privados em sua rede virtual do Azure. Se eles resolverem endereços IP públicos, verifique novamente a configuração de DNS da sua máquina ou servidor e da rede.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
nslookup dp.kubernetesconfiguration.azure.com

  • Se você estiver tendo problemas para integrar seu cluster Kubernetes, confirme que adicionou as tags de serviço Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty e Microsoft Container Registry ao firewall da rede local.

Próximos passos

  • Saiba mais sobre o Ponto de Extremidade Privado do Azure.
  • Saiba como solucionar problemas de conectividade do Ponto Final Privado do Azure.
  • Saiba como configurar o Private Link para o Azure Monitor.