Simplifique os requisitos de configuração de rede com o gateway Arc do Azure

Se você usar proxies corporativos para gerenciar o tráfego de saída, o gateway do Azure Arc permitirá que você integre a infraestrutura ao Azure Arc usando apenas sete pontos de extremidade. Com o gateway do Azure Arc, pode:

• Conecte-se ao Azure Arc abrindo o acesso à rede pública para apenas sete nomes de domínio totalmente qualificados.
• Exiba e audite todo o tráfego que um agente do Azure Connected Machine envia para o Azure por meio do gateway do Azure Arc.

Como funciona o gateway do Azure Arc

O gateway do Azure Arc consiste em dois componentes principais:

• Recurso de gateway do Azure Arc: Um recurso do Azure que serve como um front-end comum para o tráfego do Azure. Este recurso de gateway é servido em um domínio específico. Depois que o recurso de gateway do Azure Arc é criado, o domínio é retornado para você na resposta de êxito.
• Proxy do Azure Arc: Um novo componente adicionado aos agentes do Azure Arc. Esse componente é executado no contexto de um recurso habilitado para Azure Arc como um serviço chamado proxy Azure Arc. Ele atua como um proxy de encaminhamento que os agentes e extensões do Azure Arc usam. Nenhuma configuração é necessária da sua parte para este proxy.

Quando o gateway está em vigor, o tráfego flui por meio de agentes do Azure Arc>>>>. Para obter mais informações, consulte Protocolo de encaminhamento do gateway do Azure Arc.

Limitações atuais

O gateway do Azure Arc tem as seguintes limitações atuais. Considere estes fatores ao planejar sua configuração:

• Não há suporte para bypass de proxy quando o gateway do Azure Arc está em uso. Mesmo se você tentar usar o recurso executando azcmagent config set proxy.bypass, o tráfego não poderá ignorar o proxy.
• Cada assinatura do Azure tem um limite de cinco recursos de gateway do Azure Arc.
• O gateway do Azure Arc é usado apenas para conectividade na plataforma de nuvem pública do Azure.
• O gateway do Azure Arc não é recomendado para utilização em ambientes em que seja necessária a terminação ou inspeção da Segurança da Camada de Transporte (TLS). Se o seu ambiente exigir terminação ou inspeção de TLS, recomendamos que não faça a inspeção de TLS para o seu ponto de extremidade do gateway do Azure Arc (<Your URL prefix>.gw.arc.azure.com). Para mais informações, consulte Azure Arc Gateway e inspeção TLS.

Embora o gateway do Azure Arc forneça a conectividade necessária para usar servidores habilitados para o Azure Arc, poderá ainda precisar permitir manualmente que mais endereços no seu ambiente utilizem algumas extensões e serviços com as suas máquinas conectadas. Para obter mais informações, consulte Mais cenários. Com o tempo, o gateway do Azure Arc cobre gradualmente mais pontos de extremidade e elimina ainda mais a necessidade dessas permissões manuais.

Planejar a configuração do gateway do Azure Arc

• Escolha de região: o gateway do Azure Arc é um serviço global. A conectividade de tempo de execução é fornecida através da rede de borda global do Azure Front Door, que encaminha automaticamente os clientes para o ponto de presença mais próximo para acesso de baixa latência e transição contínua. A região selecionada ao criar o gateway determina apenas o plano de controle. Esta é a região onde residem os recursos do gateway e os metadados de gestão, e onde ocorrem as ações de criar, atualizar e eliminar. A região que escolhes não limita os endpoints de runtime ou o desempenho do gateway. Por exemplo, escolher Leste dos EUA versus Europa Ocidental não muda onde os clientes se conectam em tempo de execução. Afeta apenas o posicionamento do plano de gestão e a localidade do controlo de acesso baseado em políticas ou funções.
• Recursos habilitados para Azure Arc por recurso de gateway do Azure Arc: ao planejar sua implantação do Azure Arc com o gateway do Azure Arc, você deve determinar quantos recursos de gateway são necessários para seu ambiente. Esse valor depende do número de recursos que você planeja gerenciar em cada região do Azure. Somente para servidores habilitados para Azure Arc, uma regra geral é que um recurso de gateway do Azure Arc pode lidar com 2.000 recursos por região do Azure. Você pode usar o gateway do Azure Arc com uma combinação de servidores habilitados para Azure Arc, clusters Kubernetes habilitados para Azure Arc e instâncias locais do Azure. A fórmula que fornecemos pode ajudá-lo a calcular o número de recursos de gateway do Azure Arc de que você precisa.

Permissões necessárias

Para criar recursos de gateway do Azure Arc e gerenciar sua associação com servidores habilitados para Azure Arc, um usuário deve ter a função de gerente de gateway do Azure Arc.

Criar um recurso de gateway do Azure Arc

Você pode criar um recurso de gateway do Azure Arc usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Geralmente, leva cerca de 10 minutos para criar um recurso de gateway do Azure Arc depois de concluir essas etapas.

Portal

1. A partir do seu browser, inicie sessão no portal do Azure.

2. Vá para Azure Arc. No menu de serviço, em Gerenciamento, selecione Gateway do Azure Arc e selecione Criar.

3. Selecione a assinatura e o grupo de recursos onde você deseja que o recurso de gateway do Azure Arc seja gerenciado no Azure. Qualquer recurso com Azure Arc ativado no mesmo locatário do Azure pode utilizar um recurso gateway do Azure Arc.

4. Em Name, insira o nome do recurso de gateway do Azure Arc.

5. Em Local, insira a região onde o recurso de gateway do Azure Arc deve residir. Qualquer recurso com Azure Arc ativado no mesmo locatário do Azure pode utilizar um recurso gateway do Azure Arc.

6. Selecione Avançar.

7. Na página Etiquetas , especifique opcionalmente uma ou mais etiquetas personalizadas para suportar as suas normas.

8. Selecione Verificar + criar.

9. Reveja os detalhes da introdução e, em seguida, selecione Criar.

CLI

1. Adicione a extensão de gateway do Azure Arc à CLI do Azure:

   az extension add -n arcgateway

2. Em uma máquina com acesso ao Azure, execute os seguintes comandos para criar seu recurso de gateway do Azure Arc:

   az arcgateway create `
       --gateway-name [Your gateway’s Name] `
       --resource-group <Your Resource Group> `
       --location [Location]
   

PowerShell

Em uma máquina com acesso ao Azure, execute o seguinte comando do PowerShell para criar seu recurso de gateway do Azure Arc:

    New-AzArcgateway `
        -name <gateway’s name> `
        -resource-group <resource group> `
        -location <region> `
        -subscription <subscription name or id> `
        -gateway-type public

Confirmar o acesso aos URLs necessários

Depois de criar o recurso com êxito, a resposta de êxito inclui a URL do gateway do Azure Arc. Certifique-se de que a URL do gateway do Azure Arc e todas essas URLs sejam permitidas no ambiente em que os recursos do Azure Arc estão.

Important

Esta lista foi atualizada recentemente. Se anteriormente ativaste o acesso a estas URLs, poderá ser necessário rever a lista e atualizar a tua configuração de rede para garantir que cada endpoint é permitido.

URL	Purpose
<Your URL prefix>.gw.arc.azure.com	URL do gateway (obtido pela execução az arcgateway list depois de criar o recurso do gateway)
management.azure.com	Endpoint do Azure Resource Manager, necessário para o canal de controlo do Azure Resource Manager
login.microsoftonline.com, <region>.login.microsoft.com	Endpoint do Microsoft Entra ID para aquisição de tokens de acesso de identidade
gbl.his.arc.azure.com	O ponto de extremidade do serviço na nuvem para comunicação com os agentes do Azure Arc
<region>.his.arc.azure.com	Usado para o canal de controle principal do Azure Arc
packages.microsoft.com	Necessário para conectar servidores Linux ao Azure Arc
download.microsoft.com	Usado para baixar o pacote de instalação do Windows

Integre novos recursos do Azure Arc com seu recurso de gateway do Azure Arc

1. Gere o script de instalação.

   Siga as instruções em Guia de início rápido: conecte máquinas híbridas com servidores habilitados para Azure Arc para criar um script que automatize o download e a instalação do agente de Máquina Conectada do Azure e estabeleça a conexão com o Azure Arc.

   Important

   Ao gerar o script de integração, certifique-se de que Ponto público de extremidade esteja selecionado na seção Método de conectividade. Verifique também se o seu recurso de gateway do Azure Arc está selecionado na lista suspensa Recurso de gateway.

2. Execute o script de instalação para integrar seus servidores ao Azure Arc.

   No script, o ID do Azure Resource Manager do recurso gateway do Azure Arc é mostrado como --gateway-id.

Configurar recursos existentes do Azure Arc para usar o gateway do Azure Arc

Você pode associar recursos existentes do Azure Arc a um recurso de gateway do Azure Arc usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.

Portal

1. No portal do Azure, vá para Azure Arc - Azure Arc gateway.

2. Selecione o recurso de gateway do Azure Arc para ligar ao seu servidor ativado para Azure Arc.

3. No menu de serviço do recurso de gateway, selecione Recursos associados.

4. Selecione Adicionar.

5. Selecione o recurso de servidor compatível com Azure Arc para associar ao seu recurso de porta de enlace do Azure Arc.

6. Selecione Aplicar.

CLI

Em uma máquina com acesso ao Azure, execute os seguintes comandos:

az arcgateway settings update `
   --resource-group <resource_group> `
   --subscription <subscription_name> `
   --base-provider Microsoft.HybridCompute `
   --base-resource-type machines `
   --base-resource-name <server_name> `
   --gateway-resource-id <gateway_resource_id>

PowerShell

Em uma máquina com acesso ao Azure, execute os seguintes comandos:

Update-AzArcSetting `
    -ResourceGroupName <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -BaseProvider Microsoft.HybridCompute `
    -BaseResourceType machine `
    -BaseResourceName <Server Name> `
    -GatewayResourceId <resource ID>

Com o agente de Máquina Conectada versão 1.50 ou anterior, você também deve executar azcmagent config set connection.type gateway para atualizar seu servidor habilitado para Azure Arc para usar o gateway do Azure Arc. Para as versões do agente 1.51 e posteriores, esta etapa não é necessária porque a operação acontece automaticamente. Recomendamos que você use a versão mais recente do agente Connected Machine.

Verificar a configuração bem-sucedida do gateway do Azure Arc

No servidor integrado, execute o comando azcmagent show.

O resultado deve indicar os seguintes valores:

• Status do agente: mostra como conectado.
• Usando Proxy HTTPS: Mostra como http://localhost:40343.
• Proxy Upstream: Mostra como seu proxy corporativo (se você definir um). O URL do gateway do Azure Arc deve corresponder ao URL do recurso do gateway.

Para verificar a instalação bem-sucedida, execute o comando azcmagent check.

O resultado deve indicar que connection.type está definido como o gateway e a coluna Acessível deve indicar true para todas as URLs.

Remover associação de gateway do Azure Arc

Você pode desabilitar o gateway do Azure Arc e remover a associação entre o recurso de gateway do Azure Arc e o cluster habilitado para Azure Arc. Em seguida, o cluster habilitado para Azure Arc passa a usar tráfego direto.

Esta operação aplica-se apenas ao gateway do Azure Arc em servidores habilitados para Azure Arc, não ao Azure Local. Se você usar o gateway do Azure Arc no Azure Local, consulte Sobre o gateway do Azure Arc para Azure Local para obter informações sobre remoção.

1. Defina o tipo de conexão do servidor habilitado no Azure Arc para direct em vez de gateway executando o seguinte comando:

   azcmagent config set connection.type direct

   Note

   Se você executar esta etapa, todos os requisitos de rede do Azure Arc deverão ser atendidos em seu ambiente para continuar usando o Azure Arc.

2. Desanexe o recurso de gateway do Azure Arc da máquina:

   Portal

   1. No portal do Azure, vá para Azure Arc - Azure Arc gateway.

   2. Selecione o recurso de gateway do Azure Arc.

   3. No menu de serviço do recurso de gateway, selecione Recursos associados.

   4. Selecione o servidor.

   5. Selecione Remover.

   CLI

   Em uma máquina com acesso ao Azure, execute o seguinte comando da CLI do Azure:

   az arcgateway settings update `
        --resource-group <resource_group> `
        --subscription <subscription_name> `
        --base-provider Microsoft.HybridCompute `
        --base-resource-type machines `
        --base-resource-name <server_name> `
        --gateway-resource-id <gateway_resource_id>
   

   Se você estiver executando esse comando da CLI do Azure no Windows PowerShell, defina --gateway-resource-id como null.

   PowerShell

   Em uma máquina com acesso ao Azure, execute o seguinte comando do PowerShell:

   Update-AzArcSetting  `
        -ResourceGroupName <Resource Group> `
        -SubscriptionId <Subscription ID> `
        -BaseProvider Microsoft.HybridCompute `
        -BaseResourceType machine `
        -BaseResourceName <Server Name> `
        -GatewayResourceId <resource ID>
   

---

Excluir um recurso de gateway do Azure Arc

Você pode excluir um recurso de gateway do Azure Arc usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Esta operação pode levar até 5 minutos para ser concluída.

Portal

1. No portal do Azure, vá para Azure Arc - Azure Arc gateway.

2. Selecione o recurso de gateway do Azure Arc.

3. Selecione Excluir e confirme a exclusão.

CLI

Em uma máquina com acesso ao Azure, execute o seguinte comando da CLI do Azure:

az arcgateway delete `
    --resource-group <resource_group> `
    --subscription <subscription_name> `
    --gateway-name <gateway_resource_name>

PowerShell

Em uma máquina com acesso ao Azure, execute o seguinte comando do PowerShell:

Remove-AzArcGateway  
    -ResourceGroup <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -GatewayName <Gateway Resource Name>

Monitorizar o tráfego do gateway do Azure Arc

Você pode auditar o tráfego do gateway do Azure Arc exibindo os logs de proxy do Azure Arc.

Para exibir os logs de proxy do Azure Arc no Windows:

1. Executar azcmagent logs no PowerShell.
2. No arquivo .zip resultante, o arcproxy.log arquivo está localizado na ProgramData\AzureConnectedMachineAgent\Log pasta.

Para exibir os logs de proxy do Azure Arc no Linux:

1. Execute sudo azcmagent logs.
2. No arquivo .zip resultante, o arcproxy.log arquivo está localizado na /var/opt/azcmagent/log/ pasta.

Planejamento de recursos do gateway do Azure Arc para vários tipos de recursos

Para determinar quantos recursos de gateway você precisa por região do Azure para vários tipos de recursos, use a seguinte fórmula:

Pontuação = (Servidores ÷ 20) + (clusters de Kubernetes ÷ 10) + (instâncias Azure Local ÷ 10)

Where:

• Servidores = total de servidores autônomos + máquinas virtuais provisionadas (no Azure Local)

  • Clusters Kubernetes = total de clusters Kubernetes autónomos + clusters do Azure Kubernetes Service e Azure Arc (no Azure Local)
  • Instâncias locais do Azure = total de implantações locais do Azure

  Se a pontuação para cada região a partir da qual pretende gerir os seus recursos for <100, um recurso de gateway do Azure Arc é suficiente.

  Se a pontuação de qualquer região da qual você pretende gerenciar seus recursos ≥100, mais de um recurso de gateway do Azure Arc será necessário para essa região.

Os exemplos a seguir fornecem mais contexto.

Exemplo 1

Região	Servers	Clusters de Kubernetes	Instâncias locais do Azure	Cálculo da pontuação	Score
E.U.A. Leste	300	20	5	300/20 + 20/10 + 5/10	17,5
Europa Ocidental	800	50	10	800/20 + 50/10 + 10/10	46.0
Leste do Japão	100	5	2	100/20 + 5/10 + 2/10	5.7

A pontuação de cada região é <100. Um recurso de gateway do Azure Arc é suficiente.

Exemplo 2

Região	Servers	Clusters de Kubernetes	Instâncias locais do Azure	Cálculo da pontuação	Score
E.U.A. Leste	6000	300	40	6000/20 + 300/10 + 40/10	334.0
Europa Ocidental	2,500	120	25	2500/20 + 120/10 + 25/10	139.5
Sudeste Asiático	900	30	8	900/20 + 30/10 + 8/10	48.8

• A pontuação do Leste dos EUA é >100. Três recursos de gateway do Azure Arc são necessários para dar suporte à carga nesta região.
  • A pontuação da Europa Ocidental é >100. Dois recursos de gateway do Azure Arc são necessários para dar suporte à carga nesta região.
  • A pontuação do Sudeste Asiático é <de 100. Um recurso de gateway do Azure Arc é necessário para dar suporte à carga nessa região.

Nesse cenário, apenas três recursos de gateway são necessários no total, porque os cálculos são baseados na carga máxima por região, não na carga combinada em todas as regiões.

Mais cenários

O gateway do Azure Arc abrange os pontos de extremidade necessários para a integração de um servidor, além de pontos de extremidade para dar suporte a vários outros cenários habilitados para o Azure Arc. Com base nos cenários que adotar, poderá ser necessário permitir mais endpoints no seu ambiente.

Cenários que não exigem mais pontos de extremidade

• SSH Arc
• Atualizações de Segurança Alargadas
• Extensão do Azure para SQL Server

Cenários que necessitam de mais terminais

Os pontos de extremidade listados com os seguintes cenários devem ser permitidos em seu proxy corporativo quando você usa o gateway do Azure Arc:

• Serviços de dados habilitados para Azure Arc:

  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com

• Azure Monitor Agent:

  • <log-analytics-workspace-id>.ods.opinsights.azure.com

• Sincronização de certificados do Azure Key Vault:

  • <vault-name>.vault.azure.net

• Extensão do Automatização do Azure Hybrid Runbook Worker:

  • *.azure-automation.net

• Extensão de atualização do sistema operacional Windows/Gestor de Atualizações do Azure:

  • Seu ambiente deve atender a todos os pré-requisitos para o Windows Update.

• Microsoft Defender:

  • Seu ambiente deve atender a todos os pré-requisitos para o Microsoft Defender.

Arquitetura do gateway do Azure Arc

Analise as informações a seguir para entender mais sobre a arquitetura do gateway do Azure Arc.

Protocolo de encaminhamento do gateway do Azure Arc

O diagrama seguinte ilustra o protocolo de encaminhamento utilizado pelo gateway Azure Arc.

Inspeção de gateway e TLS do Azure Arc

O gateway do Azure Arc funciona estabelecendo uma sessão TLS entre o proxy do Azure Arc e o gateway do Azure Arc no Azure. Nesta sessão TLS, o proxy do Azure Arc envia um pedido de conexão HTTP aninhado para o recurso de gateway do Azure Arc. A solicitação de conexão instrui o recurso a encaminhar a conexão para o destino pretendido. Em seguida, se o destino em si estiver em TLS, uma sessão TLS interna de ponta a ponta será estabelecida entre o agente do Azure Arc e o destino de destino.

Quando utiliza proxies terminais com o gateway do Azure Arc, o proxy vê a solicitação de conexão HTTP aninhada. Ele pode permitir tal solicitação, mas não pode intercetar o tráfego cifrado TLS para o destino final, a menos que faça terminação TLS em camadas. Esse comportamento está fora dos recursos dos proxies de terminação TLS padrão. Quando você usa um proxy de encerramento, recomendamos que ignore a inspeção TLS para seu ponto de extremidade do gateway do Azure Arc.

Endpoints acessíveis através do Azure Arc gateway

O Arc Gateway utiliza um conjunto de endpoints para permitir que todas as funcionalidades do Arc funcionem sem falhas. Atualmente, este conjunto inclui mais de 200 endpoints, que representam os requisitos cumulativos para todas as capacidades suportadas. Para ver a lista completa, consulte endereços de gateway Azure Arc.

Alguns endpoints utilizam wildcards para simplificar a conectividade e garantir a cobertura de funcionalidades. Recomendamos que reveja estes endpoints com a sua equipa de segurança de rede para confirmar que estão alinhados com as políticas da sua organização. Estes endpoints são essenciais para a operação segura e fiável dos serviços Arc.