Usar o Azure Private Link para conectar servidores com segurança ao Azure Arc

  • Artigo

O Azure Private Link permite que você vincule com segurança os serviços PaaS do Azure à sua rede virtual usando pontos de extremidade privados. Para muitos serviços, basta configurar um ponto de extremidade por recurso. Isso significa que você pode conectar seus servidores locais ou multicloud ao Azure Arc e enviar todo o tráfego por uma Rota Expressa do Azure ou conexão VPN site a site em vez de usar redes públicas.

Começando com os servidores habilitados para Azure Arc, você pode usar um modelo de Escopo de Link Privado para permitir que vários servidores ou máquinas se comuniquem com seus recursos do Azure Arc usando um único ponto de extremidade privado.

Este artigo aborda quando usar e como configurar um Escopo de Link Privado do Azure Arc.

Vantagens

Com Private Link você pode:

  • Conecte-se de forma privada ao Azure Arc sem abrir nenhum acesso à rede pública.
  • Certifique-se de que os dados da máquina ou servidor habilitado para Azure Arc só sejam acessados por meio de redes privadas autorizadas. Isso também inclui dados de extensões de VM instaladas na máquina ou no servidor que fornecem suporte de gerenciamento e monitoramento pós-implantação.
  • Impeça a exfiltração de dados de suas redes privadas definindo servidores específicos habilitados para Arco do Azure e outros recursos de serviços do Azure, como o Azure Monitor, que se conectam por meio de seu ponto de extremidade privado.
  • Conecte com segurança sua rede local privada ao Azure Arc usando o ExpressRoute e o Private Link.
  • Mantenha todo o tráfego dentro da rede de backbone do Microsoft Azure.

Para obter mais informações, consulte Principais benefícios do Private Link.

Como funciona

O Escopo de Link Privado do Azure Arc conecta pontos de extremidade privados (e as redes virtuais nas quais eles estão contidos) a um recurso do Azure, neste caso, servidores habilitados para Azure Arc. Quando você habilita qualquer uma das extensões de VM com suporte para servidores habilitados para Azure Arc, como o Azure Monitor, esses recursos conectam outros recursos do Azure. Tais como:

  • Espaço de trabalho do Log Analytics, necessário para o Controle de Alterações e Inventário da Automação do Azure, insights de VM do Azure Monitor e coleta de logs do Azure Monitor com agente do Log Analytics.
  • Conta de Automação do Azure, necessária para Gerenciamento de Atualizações e Controle de Alterações e Inventário.
  • Azure Key Vault
  • Armazenamento de Blob do Azure, necessário para a Extensão de Script Personalizada.

Diagrama da topologia básica de recursos

A conectividade com qualquer outro recurso do Azure a partir de um servidor habilitado para Azure Arc requer a configuração do Private Link para cada serviço, que é opcional, mas recomendado. O Azure Private Link requer configuração separada por serviço.

Para obter mais informações sobre como configurar o Private Link para os serviços do Azure listados anteriormente, consulte os artigos Automação do Azure, Azure Monitor, Azure Key Vault ou Armazenamento de Blob do Azure.

Importante

O Azure Private Link está agora em disponibilidade geral. Tanto o Private Endpoint quanto o serviço Private Link (serviço por trás do balanceador de carga padrão) estão geralmente disponíveis. PaaS do Azure diferente integrado ao Azure Private Link seguindo agendas diferentes. Consulte Disponibilidade de Link Privado para obter um status atualizado do Azure PaaS no Link Privado. Para obter limitações conhecidas, consulte Ponto de extremidade privado e Serviço de link privado.

  • O Ponto de Extremidade Privado em sua VNet permite que ele alcance os pontos de extremidade de servidores habilitados para Azure Arc por meio de IPs privados do pool da sua rede, em vez de usar para os IPs públicos desses pontos de extremidade. Isso permite que você continue usando seu recurso de servidores habilitados para Azure Arc sem abrir sua rede virtual para o tráfego de saída não solicitado.

  • O tráfego do Ponto de Extremidade Privado para seus recursos passará pelo backbone do Microsoft Azure e não será roteado para redes públicas.

  • Você pode configurar cada um dos componentes para permitir ou negar ingestão e consultas de redes públicas. Isso fornece uma proteção em nível de recurso, para que você possa controlar o tráfego para recursos específicos.

Restrições e limitações

O objeto Escopo de Link Privado de servidores habilitados para Azure Arc tem vários limites que você deve considerar ao planejar sua configuração de Link Privado.

  • Você pode associar no máximo um Escopo de Link Privado do Azure Arc a uma rede virtual.
  • Uma máquina habilitada para Azure Arc ou um recurso de servidor só pode se conectar a um Escopo de Link Privado de servidores habilitados para Azure Arc.
  • Todas as máquinas locais precisam usar o mesmo ponto de extremidade privado resolvendo as informações corretas do ponto de extremidade privado (nome de registro FQDN e endereço IP privado) usando o mesmo encaminhador DNS. Para obter mais informações, consulte Configuração do DNS do Ponto de Extremidade Privado do Azure
  • O servidor habilitado para Azure Arc e o Escopo de Link Privado do Azure Arc devem estar na mesma região do Azure. O Ponto de Extremidade Privado e a rede virtual também devem estar na mesma região do Azure, mas essa região pode ser diferente da do seu Escopo de Link Privado do Azure Arc e do servidor habilitado para Arc.
  • O tráfego de rede para o Microsoft Entra ID e o Azure Resource Manager não atravessa o Escopo do Azure Arc Private Link e continuará a usar sua rota de rede padrão para a Internet. Opcionalmente, você pode configurar um link privado de gerenciamento de recursos para enviar o tráfego do Azure Resource Manager para um ponto de extremidade privado.
  • Outros serviços do Azure que você usará, por exemplo, o Azure Monitor, exigem seus próprios pontos de extremidade privados em sua rede virtual.
  • O acesso remoto ao servidor usando o Windows Admin Center ou SSH não é suportado por link privado no momento.

Para conectar seu servidor ao Azure Arc por meio de um link privado, você precisa configurar sua rede para realizar o seguinte:

  1. Estabeleça uma conexão entre sua rede local e uma rede virtual do Azure usando uma VPN site a site ou um circuito de Rota Expressa.

  2. Implante um Escopo de Link Privado do Azure Arc, que controla quais máquinas ou servidores podem se comunicar com o Azure Arc em pontos de extremidade privados e associá-lo à sua rede virtual do Azure usando um ponto de extremidade privado.

  3. Atualize a configuração de DNS na sua rede local para resolver os endereços de ponto de extremidade privados.

  4. Configure seu firewall local para permitir o acesso ao Microsoft Entra ID e ao Azure Resource Manager.

  5. Associe as máquinas ou servidores registrados com servidores habilitados para Azure Arc ao escopo do link privado.

  6. Opcionalmente, implante pontos de extremidade privados para outros serviços do Azure pelos quais sua máquina ou servidor é gerenciado, como:

    • Azure Monitor
    • Azure Automation
    • Armazenamento de Blobs do Azure
    • Azure Key Vault

Este artigo pressupõe que você já tenha configurado seu circuito de Rota Expressa ou conexão VPN site a site.

Configuração de rede

Os servidores habilitados para Azure Arc integram-se a vários serviços do Azure para trazer gerenciamento e governança de nuvem para suas máquinas ou servidores híbridos. A maioria desses serviços já oferece pontos de extremidade privados, mas você precisa configurar seu firewall e regras de roteamento para permitir o acesso ao Microsoft Entra ID e ao Azure Resource Manager pela Internet até que esses serviços ofereçam pontos de extremidade privados.

Há duas maneiras de conseguir isso:

  • Se a sua rede estiver configurada para encaminhar todo o tráfego ligado à Internet através do circuito VPN do Azure ou da Rota Expressa, pode configurar o grupo de segurança de rede (NSG) associado à sua sub-rede no Azure para permitir o acesso TCP 443 (HTTPS) de saída ao Microsoft Entra ID e ao Azure utilizando etiquetas de serviço. As regras do NSG devem ter a seguinte aparência:

    Definição Regra do Microsoft Entra ID Regra do Azure
    Origem Rede virtual Rede virtual
    Intervalo de portas de origem * *
    Destino Etiqueta de Serviço Etiqueta de Serviço
    Etiqueta do serviço de destino AzureActiveDirectory AzureResourceManager
    Intervalos de portas de destino 443 443
    Protocolo TCP TCP
    Ação Permitir Permitir
    Prioridade 150 (deve ser inferior a quaisquer regras que bloqueiem o acesso à Internet) 151 (deve ser inferior a quaisquer regras que bloqueiem o acesso à Internet)
    Nome AllowAADOutboundAccess AllowAzOutboundAccess

  • Configure o firewall em sua rede local para permitir o acesso TCP 443 (HTTPS) de saída ao Microsoft Entra ID e ao Azure usando os arquivos de marca de serviço para download. O arquivo JSON contém todos os intervalos de endereços IP públicos usados pelo Microsoft Entra ID e pelo Azure e é atualizado mensalmente para refletir quaisquer alterações. A marca de serviço do Azure AD é AzureActiveDirectory e a marca de serviço do Azure é AzureResourceManager. Consulte o administrador da rede e o fornecedor do firewall de rede para saber como configurar as regras de firewall.

Consulte o diagrama visual na seção Como funciona para os fluxos de tráfego de rede.

  1. Inicie sessão no portal do Azure.

  2. Vá para Criar um recurso no portal do Azure e procure Escopo de Link Privado do Azure Arc. Ou você pode usar o link a seguir para abrir a página Escopo do Link Privado do Azure Arc no portal.

    Captura de ecrã da página inicial do âmbito privado com o botão Criar.

  3. Selecione Criar.

  4. Na guia Noções básicas, selecione um Grupo de Assinatura e Recursos.

  5. Insira um nome para o Escopo do Azure Arc Private Link. É melhor usar um nome significativo e claro.

    Opcionalmente, você pode exigir que cada máquina ou servidor habilitado para Azure Arc associado a este Escopo de Link Privado do Azure Arc envie dados para o serviço por meio do ponto de extremidade privado. Para fazer isso, marque a caixa Permitir acesso à rede pública para que máquinas ou servidores associados a este Escopo de Link Privado do Azure Arc possam se comunicar com o serviço por meio de redes públicas ou privadas. Você pode alterar essa configuração depois de criar o escopo se mudar de ideia.

  6. Selecione a guia Ponto de extremidade privado e, em seguida, selecione Criar.

  7. Na janela Criar ponto de extremidade privado:

    1. Insira um Nome para o ponto de extremidade.

    2. Escolha Sim para Integrar com zona DNS privada e permita que ela crie automaticamente uma nova zona DNS privada.

      Nota

      Se você escolher Não e preferir gerenciar registros DNS manualmente, primeiro conclua a configuração do seu Link Privado - incluindo este Ponto Final Privado e a configuração do Escopo Privado. Em seguida, configure o DNS de acordo com as instruções em Configuração do DNS do Ponto Final Privado do Azure. Não crie registos vazios como preparação da configuração da Ligação Privada. Os registros DNS criados podem substituir as configurações existentes e afetar sua conectividade com os servidores habilitados para Azure Arc.

    3. Selecione OK.

  8. Selecione Rever + Criar.

    Captura de ecrã a mostrar a janela Criar Âmbito de Ligação Privada

  9. Deixe a validação passar e selecione Criar.

Configurar o encaminhamento DNS local

Suas máquinas ou servidores locais precisam ser capazes de resolver os registros DNS de link privado para os endereços IP de ponto de extremidade privados. Como você configura isso depende se você está usando zonas DNS privadas do Azure para manter registros DNS ou se você está usando seu próprio servidor DNS local e quantos servidores você está configurando.

Configuração de DNS usando zonas DNS privadas integradas ao Azure

Se você configurar zonas DNS privadas para servidores habilitados para Azure Arc e Configuração de Convidado ao criar o ponto de extremidade privado, suas máquinas ou servidores locais precisarão ser capazes de encaminhar consultas DNS para os servidores DNS internos do Azure para resolver os endereços de ponto de extremidade privados corretamente. Você precisa de um encaminhador DNS no Azure (uma VM criada especificamente ou uma instância do Firewall do Azure com proxy DNS habilitado), após o qual você pode configurar seu servidor DNS local para encaminhar consultas ao Azure para resolver endereços IP de ponto de extremidade privados.

A documentação do ponto de extremidade privado fornece orientação para configurar cargas de trabalho locais usando um encaminhador DNS.

Configuração manual do servidor DNS

Se você optou por não usar as zonas DNS privadas do Azure durante a criação do ponto de extremidade privado, precisará criar os registros DNS necessários em seu servidor DNS local.

  1. Aceda ao portal do Azure.

  2. Navegue até o recurso de ponto de extremidade privado associado à sua rede virtual e escopo de link privado.

  3. No painel esquerdo, selecione Configuração de DNS para ver uma lista dos registros DNS e endereços IP correspondentes que você precisará configurar no seu servidor DNS. Os FQDNs e endereços IP serão alterados com base na região selecionada para seu ponto de extremidade privado e nos endereços IP disponíveis em sua sub-rede.

    Detalhes da configuração do DNS

  4. Siga as orientações do fornecedor do servidor DNS para adicionar as zonas DNS e os registos A necessários para corresponder à tabela no portal. Certifique-se de selecionar um servidor DNS com escopo apropriado para sua rede. Cada máquina ou servidor que usa esse servidor DNS agora resolve os endereços IP de ponto de extremidade privado e deve ser associado ao Escopo de Link Privado do Azure Arc, ou a conexão será recusada.

Cenários de servidor único

Se estiver a planear utilizar apenas Ligações Privadas para suportar algumas máquinas ou servidores, poderá não querer atualizar toda a configuração de DNS da rede. Nesse caso, você pode adicionar os nomes de host de ponto de extremidade privado e endereços IP ao arquivo Hosts de seus sistemas operacionais. Dependendo da configuração do sistema operacional, o arquivo Hosts pode ser o método principal ou alternativo para resolver o nome do host para o endereço IP.

Windows

  1. Usando uma conta com privilégios de administrador, abra C:\Windows\System32\drivers\etc\hosts.

  2. Adicione os IPs de ponto de extremidade privado e os nomes de host conforme mostrado na tabela da etapa 3 em Configuração manual do servidor DNS. O arquivo hosts requer o endereço IP primeiro seguido por um espaço e, em seguida, o nome do host.

  3. Salve o arquivo com suas alterações. Talvez seja necessário salvar em outro diretório primeiro e, em seguida, copiar o arquivo para o caminho original.

Linux

  1. Abra o /etc/hosts arquivo hosts em um editor de texto.

  2. Adicione os IPs de ponto de extremidade privado e os nomes de host conforme mostrado na tabela da etapa 3 em Configuração manual do servidor DNS. O arquivo hosts solicita o endereço IP primeiro, seguido por um espaço e, em seguida, o nome do host.

  3. Salve o arquivo com suas alterações.

Conectar-se a um servidor habilitado para Azure Arc

Nota

A versão mínima suportada do agente de máquina conectado ao Azure Arc com ponto de extremidade privado é a versão 1.4. O script de implantação de servidores habilitados para Azure Arc gerado no portal baixa a versão mais recente.

Ao conectar uma máquina ou servidor com servidores habilitados para Azure Arc pela primeira vez, você pode, opcionalmente, conectá-lo a um Escopo de Link Privado. Os seguintes passos são

  1. No browser, aceda ao portal do Azure.

  2. Navegue até Máquinas - Azure Arc.

  3. Na página Máquinas - Azure Arc, selecione Adicionar/Criar no canto superior esquerdo e, em seguida, selecione Adicionar uma máquina no menu suspenso.

  4. Na página Adicionar servidores com o Azure Arc , selecione Adicionar um único servidor ou Adicionar vários servidores , dependendo do seu cenário de implantação, e selecione Gerar script.

  5. Na página Gerar script, selecione a assinatura e o grupo de recursos onde você deseja que a máquina seja gerenciada no Azure. Selecione um local do Azure onde os metadados da máquina serão armazenados. Esse local pode ser o mesmo ou diferente, como o local do grupo de recursos.

  6. Na página Noções básicas, forneça o seguinte:

    1. Selecione o grupo Assinatura e Recursos da máquina.

    2. Na lista suspensa Região, selecione a região do Azure para armazenar os metadados da máquina ou do servidor.

    3. Na lista suspensa Sistema operacional, selecione o sistema operacional no qual o script está configurado para ser executado.

    4. Em Método de conectividade, selecione Ponto de extremidade privado e selecione o Escopo de Link Privado do Arco do Azure criado na Parte 1 na lista suspensa.

      Selecionando a opção de conectividade Private Endpoint

    5. Selecione Next: Tags.

  7. Se você selecionou Adicionar vários servidores, na página Autenticação , selecione a entidade de serviço criada para servidores habilitados para Azure Arc na lista suspensa. Se você não criou uma entidade de serviço para servidores habilitados para Azure Arc, primeiro examine como criar uma entidade de serviço para se familiarizar com as permissões necessárias e as etapas para criar uma. Selecione Next: Tags para continuar.

  8. Na página Etiquetas, reveja as etiquetas de localização física predefinidas sugeridas e introduza um valor ou especifique uma ou mais etiquetas personalizadas para suportar os seus padrões.

  9. Selecione Avançar: Baixar e executar script.

  10. Na página Baixar e executar script, revise as informações de resumo e selecione Baixar. Se ainda precisar fazer alterações, selecione Anterior.

Depois de baixar o script, você tem que executá-lo em sua máquina ou servidor usando uma conta privilegiada (administrador ou root). Dependendo da configuração de rede, talvez seja necessário baixar o agente de um computador com acesso à Internet e transferi-lo para sua máquina ou servidor e, em seguida, modificar o script com o caminho para o agente.

O agente do Windows pode ser baixado https://aka.ms/AzureConnectedMachineAgent e o agente Linux pode ser baixado do https://packages.microsoft.com. Procure a versão mais recente do azcmagent no diretório de distribuição do sistema operacional e instalada com o gerenciador de pacotes local.

O script retornará mensagens de status informando se a integração foi bem-sucedida após a conclusão.

Gorjeta

O tráfego de rede do agente Azure Connected Machine para o Microsoft Entra ID (login.windows.net, login.microsoftonline.com, pas.windows.net) e Azure Resource Manager (management.azure.com) continuará a usar pontos de extremidade públicos. Se o servidor precisar se comunicar por meio de um servidor proxy para alcançar esses pontos de extremidade, configure o agente com a URL do servidor proxy antes de conectá-lo ao Azure. Também pode ser necessário configurar um bypass de proxy para os serviços do Azure Arc se o ponto de extremidade privado não estiver acessível a partir do servidor proxy.

Configurar um servidor existente habilitado para Azure Arc

Para servidores habilitados para Azure Arc que foram configurados antes do escopo do link privado, você pode permitir que eles comecem a usar o Escopo de Link Privado dos servidores habilitados para Azure Arc concluindo as etapas a seguir.

  1. No portal do Azure, navegue até o recurso Escopo de Link Privado do Azure Arc.

  2. No painel esquerdo, selecione Recursos do Azure Arc e, em seguida, + Adicionar.

  3. Selecione os servidores na lista que pretende associar ao Âmbito da Ligação Privada e, em seguida, selecione Selecionar para guardar as alterações.

Selecionando recursos do Azure Arc

Pode levar até 15 minutos para que o Escopo de Link Privado aceite conexões do(s) servidor(es) associado(s) recentemente.

Resolução de Problemas

  1. Verifique o(s) seu(s) servidor(es) DNS local para verificar se está a reencaminhar para o DNS do Azure ou se está configurado com registos A apropriados na sua zona de ligação privada. Esses comandos de pesquisa devem retornar endereços IP privados em sua rede virtual do Azure. Se eles resolverem endereços IP públicos, verifique novamente a configuração de DNS da sua máquina ou servidor e da rede.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com

  2. Se estiver a ter problemas ao integrar uma máquina ou servidor, confirme que adicionou o ID do Microsoft Entra e as etiquetas de serviço do Azure Resource Manager à firewall da rede local. O agente precisa se comunicar com esses serviços pela Internet até que pontos de extremidade privados estejam disponíveis para esses serviços.

Próximos passos