Топология сети и подключение для серверов с поддержкой Azure Arc

  • Статья

Серверы с поддержкой Azure Arc позволяют управлять физическими серверами и виртуальными машинами Windows и Linux (размещенными в локальной среде или сторонним поставщиком облачных служб) с помощью плоскости управления Azure. В этом документе рассматриваются основные рекомендации по проектированию и рекомендации по подключению к серверам с поддержкой Azure Arc в рамках руководства по целевой зоне в масштабе предприятия Cloud Adoption Framework.

В этой статье предполагается, что вы успешно реализовали целевую зону корпоративного масштаба и установили гибридные сетевые подключения и, следовательно, сосредоточены на подключении к подключенному агенту компьютера с поддержкой Azure Arc. Дополнительные сведения об этом условии см. в обзоре корпоративного масштаба и руководстве по реализации.

Архитектура

На следующей схеме показана концептуальная эталонная архитектура для подключения серверов с поддержкой Azure Arc.

Diagram that shows Azure Arc-enabled servers connectivity options.

Рекомендации по проектированию

В следующем списке представлен обзор рекомендаций по проектированию сети для серверов с поддержкой Azure Arc.

  • Определите метод подключения агента: просмотрите существующую инфраструктуру, требования к безопасности и определите, как агент подключенного компьютера будет взаимодействовать с Azure из локальной сети или других поставщиков облачных служб. Это подключение может проходить непосредственно через Интернет, через прокси-сервер или реализовать Приватный канал для частного подключения.
  • Управление доступом к тегам службы Azure: создайте автоматизированный процесс, чтобы обеспечить обновление правил брандмауэра и прокси-сети в соответствии с требованиями к сети агента компьютера Подключение.
  • Защита сетевого подключения к Azure Arc. Настройка операционной системы компьютера для использования протокола TLS версии 1.2. Старые версии не рекомендуется использовать из-за известных уязвимостей.
  • Определение метода подключения расширений: расширения Azure, развернутые на сервере с поддержкой Azure Arc, обычно должны взаимодействовать с другими службами Azure. Это подключение может выполняться непосредственно с помощью общедоступных сетей, через брандмауэр или через прокси-сервер. Если для разработки требуется частное подключение, вам потребуется выполнить дополнительные действия , помимо настройки частных конечных точек для агента Arc, чтобы включить подключение к частной конечной точке для каждой службы, к которым обращается расширение.
  • Просмотрите общую архитектуру подключения: просмотрите область проектирования сетевой топологии и подключения целевой зоны Azure корпоративного масштаба, чтобы оценить влияние серверов с поддержкой Azure Arc на общее подключение.

Рекомендации по проектированию

Определение метода подключения агента Azure Arc

Серверы с поддержкой Azure Arc позволяют подключать гибридные компьютеры с помощью следующих методов:

  • Прямое подключение, при необходимости от брандмауэра или прокси-сервера
  • Приватный канал Azure

Прямое подключение

Серверы с поддержкой Azure Arc обеспечивают прямое подключение к общедоступным конечным точкам Azure. С помощью этого метода подключения все агенты компьютеров будут открывать подключение через Интернет с помощью общедоступной конечной точки. Агент подключенного компьютера для Linux и Windows передает исходящий трафик в Azure с помощью протокола HTTPS (TCP/443).

При использовании метода прямого подключения необходимо проверить доступ к Интернету для агента подключенного компьютера. Рекомендуется настроить необходимые правила сети.

Прокси-сервер или подключение брандмауэра (необязательно)

Если компьютер использует брандмауэр или прокси-сервер для обмена данными через Интернет, агент подключается к исходящему трафику с помощью протокола HTTPS.

Если исходящее подключение ограничено брандмауэром или прокси-сервером, обязательно разрешите диапазоны IP-адресов в соответствии с требованиями к сети агента компьютера Подключение. Если разрешить агенту взаимодействовать с службой только требуемые диапазоны IP-адресов или доменные имена, используйте теги служб и URL-адреса для настройки брандмауэра или прокси-сервера.

При развертывании расширений на серверах с поддержкой Azure Arc каждое расширение подключается к собственной конечной точке или конечной точке, и необходимо также разрешить все соответствующие URL-адреса в брандмауэре или прокси-сервере. Добавление этих конечных точек обеспечит детализированный защищенный сетевой трафик для удовлетворения принципа наименьших привилегий (PoLP).

Используя сервер с поддержкой Azure Arc с областью Приватный канал Arc, вы можете убедиться, что весь трафик от агентов Arc остается в сети. Эта конфигурация имеет преимущества безопасности: трафик не проходит через Интернет, и вам не нужно открывать столько исходящих исключений на брандмауэре центра обработки данных. Однако использование Приватный канал накладывает ряд проблем управления при увеличении общей сложности и затрат, особенно для глобальных организаций. Примеры таких трудностей:

  • Выбор использования областей Arc Приватный канал охватывает все клиенты Arc в одном область DNS. Некоторые клиенты Arc не могут использовать частные конечные точки и некоторые из них используют общедоступные при совместном использовании DNS-сервера (без обходных решений, таких как политики DNS)
  • Клиенты Arc либо все частные конечные точки в основном регионе, либо DNS должны быть настроены таким образом, чтобы те же имена частных конечных точек разрешались в разные IP-адреса (например, при выборочном реплика секций DNS для интегрированных с Active Directory DNS). Если вы используете одни и те же частные конечные точки для всех клиентов Arc, необходимо иметь возможность направлять трафик из всех сетей в частные конечные точки.
  • Дополнительные шаги необходимы для обеспечения использования частных конечных точек для всех служб Azure, к которым обращаются компоненты программного обеспечения расширений, развернутые с помощью Arc, например рабочих областей Log Analytics, учетных записей службы автоматизации, Key Vault или служба хранилища Azure
  • Подключение тивность к идентификатору Azure Entra использует общедоступную конечную точку, поэтому клиентам по-прежнему требуется доступ к Интернету

Из-за этих проблем мы рекомендуем оценить, является ли Приватный канал обязательным требованием для реализации Arc. Учитывайте, что с общедоступными конечными точками трафик будет зашифрован и в зависимости от того, как использовать Arc для серверов, может быть ограничен трафиком управления и метаданных. Проблемы безопасности можно устранить путем реализации элементов управления безопасностью локального агента.

Дополнительные сведения см. в ограничениях и ограничениях, связанных с поддержкой Приватный канал arc.

Diagram that shows Azure Arc-enabled servers Private Link topology.

Совет

Дополнительные сведения см. в Приватный канал Azure безопасности.

Управление доступом к тегам службы Azure

Рекомендуется реализовать автоматизированный процесс для поддержания правил брандмауэра и сети прокси-сервера в соответствии с требованиями к сети Azure Arc.

Защита сетевого подключения к Azure Arc

Мы рекомендуем использовать протокол 1.2 для обеспечения безопасности передаваемых данных в Azure. Более старые версии ПРОТОКОЛА TLS/Secure Sockets Layer (SSL) были обнаружены уязвимыми и не рекомендуется.

Определение метода подключения расширений

При включении любого из поддерживаемых расширений виртуальных машин с поддержкой Azure Arc эти расширения подключаются к другим службам Azure. Важно определить метод подключения для этих расширений: непосредственно, за прокси-сервером или брандмауэром или с помощью Приватный канал Azure.

Если серверы с поддержкой Azure Arc используют прокси-сервер или брандмауэр, необходимо также разрешить все URL-адреса, необходимые для расширений, так как они будут взаимодействовать с собственными конечными точками.

Если вы используете Приватный канал, необходимо настроить Приватный канал для каждой службы.

Следующие шаги

Дополнительные рекомендации по внедрению гибридного облака см. в следующих ресурсах:

  • Ознакомьтесь со сценариями Запуска Azure Arc.
  • Просмотрите предварительные требования для серверов с поддержкой Azure Arc.
  • Проверьте необходимую конфигурацию сети для метода подключения Приватный канал.
  • Узнайте, как работают Приватный канал серверы с поддержкой Azure Arc.
  • Планирование масштабируемого развертывания серверов с поддержкой Azure Arc.
  • Запланируйте настройку Приватный канал.
  • Чтобы устранить проблемы с подключением, ознакомьтесь с руководством по устранению неполадок с агентом сервера с поддержкой Azure Arc.
  • Дополнительные сведения о Azure Arc см. в схеме обучения Azure Arc.