Få åtkomst till Azure-tjänster via Azure Firewall Explicit Proxy (offentlig förhandsversion)

Den explicita proxyfunktionen i Azure Firewall kan dirigera all Azure Arc-trafik på ett säkert sätt via din privata anslutning (ExpressRoute eller plats-till-plats-VPN) till Azure. Med den här funktionen kan du använda Azure Arc utan att exponera din lokala miljö för det offentliga Internet.

I den här artikeln beskrivs stegen för att konfigurera Azure Firewall med funktionen Explicit Proxy som en framåtproxy för dina Arc-aktiverade servrar eller Kubernetes-resurser.

Viktigt!

Azure Firewall Explicit proxy finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Så här fungerar den explicita proxyfunktionen i Azure Firewall

Azure Arc-agenter kan använda en proxyserver för att ansluta till Azure-tjänster. Med den explicita proxyfunktionen i Azure Firewall kan du använda en Azure Firewall i ditt virtuella nätverk (VNet) som proxy för dina Arc-agenter.

Eftersom Azure Firewall Explicit proxy fungerar i ditt privata virtuella nätverk och du har en säker anslutning till det via ExpressRoute eller plats-till-plats-VPN, kan all Azure Arc-trafik dirigeras till det avsedda målet i Microsoft-nätverket, utan att det krävs någon offentlig Internetåtkomst.

Om du vill ladda ned arkitekturdiagram i hög upplösning går du till Jumpstart Gems.

Begränsningar och aktuella begränsningar

• Den här lösningen använder Azure Firewall Explicit proxy som en vidarebefordranproxy. Den explicita proxyfunktionen stöder inte TLS-inspektion.
• TLS-certifikat kan inte tillämpas på Den explicita Proxyn för Azure Firewall.
• Den här lösningen stöds för närvarande inte av Azure Local eller Azure Arc-virtuella datorer som körs i Azure Local.

Kostnader för Azure Firewall

Prissättningen för Azure Firewall baseras på distributionstimmar och totalt antal data som bearbetas. Information om priser för Azure Firewall finns på sidan Prissättning för Azure Firewall.

Krav och nätverkskrav

Om du vill använda den här lösningen måste du ha:

• Ett befintligt virtuellt Azure-nätverk.
• En befintlig ExpressRoute- eller plats-till-plats-VPN-anslutning från din lokala miljö till ditt virtuella Azure-nätverk.

Konfigurera Azure Firewall

Följ de här stegen för att aktivera funktionen Explicit proxy i Azure Firewall.

Skapa Azure Firewall-resursen

Om du har en befintlig Azure Firewall i ditt virtuella nätverk kan du hoppa över det här avsnittet. I annat fall följer du de här stegen för att skapa en ny Azure Firewall-resurs.

1. Logga in på Azure-portalen från webbläsaren och gå till sidan Azure Firewalls.
2. Välj Skapa för att skapa en ny brandvägg.
3. Ange din prenumeration, resursgrupp, namn och region.
4. För Brandväggs-SKU väljer du Standard eller Premium .
5. Slutför resten av fliken Grundläggande efter behov för konfigurationen.
6. Välj Granska + skapa och välj sedan Skapa för att skapa brandväggen.

Mer information finns i Distribuera och konfigurera Azure Firewall.

Aktivera funktionen Explicit proxy (förhandsversion)

1. Gå till din Azure Firewall-resurs och gå sedan till Brandväggsprincipen.

2. I Inställningar navigerar du till fönstret Explicit proxy (förhandsversion).

3. Välj Aktivera explicit proxy.

4. Ange önskade värden för HTTP- och HTTPS-portarna.

   Anmärkning

   Det är vanligt att använda 8080 för HTTP-porten och 8443 för HTTPS-porten.

5. Spara ändringarna genom att välja Använd . 

Skapa en programregel

Om du vill skapa en tillåtelselista för din explicita Azure Firewall-proxy kan du välja att skapa en applikationsregel som tillåter kommunikation till de nödvändiga slutpunkterna för dina scenarier.

1. Gå till den tillämpliga brandväggspolicyn. 
2. I Inställningar navigerar du till fönstret Programregler . 
3. Välj Lägg till en regelsamling. 
4. Ange ett namn för regelsamlingen.
5. Ange regeln Prioritet baserat på andra regler som du kan ha.
6. Ange ett namn för regeln.
7. För källan anger du "*" eller eventuella käll-IP-adresser som du kan ha.
8. Ange Protokoll som http:80,https:443. 
9. Ange Destination som en kommaavgränsad lista över URL:er som krävs för ditt scenario. Mer information om nödvändiga URL:er finns i Nätverkskraven för Azure Arc.
10. Välj Lägg till för att spara regelsamlingen och regeln. 

Ange Azure Firewall som proxy för vidarebefordran

Följ de här stegen för att ange Azure Firewall som proxy för dina Arc-resurser.

Arc-aktiverade servrar

Så här anger du Azure Firewall som proxy för vidarebefordran när du registrerar nya Arc-servrar:

1. Generera registreringsskriptet.
2. Ange anslutningsmetoden som proxyserver och ange proxyserverns URL som http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>.
3. Anslut dina servrar genom skriptet.

Om du vill ange den vidarebefordrande proxyn för befintliga Arc-aktiverade servrar kör du följande kommando med hjälp av den lokala Azure Connected Machine-agenten CLI:

azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`

Arc-aktiverade Kubernetes

Om du vill ange azure-brandväggen som vidarebefordrad proxy när du registrerar nya Kubernetes-kluster kör du kommandot connect med de proxy-https parametrar och proxy-http som angetts:

az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>  --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port> 

Kör följande kommando för att ange vidarebefordranproxyn för befintliga Arc-aktiverade Kubernetes-kluster:

az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>  

Felsökning

Om du vill kontrollera att trafiken skickas via din explicita Proxy för Azure Firewall bör du först se till att den explicita proxyn är tillgänglig och fungerar som förväntat från nätverket. Kör följande kommando för att göra det: curl -x <proxy IP> <target FQDN>

Dessutom kan du visa azure firewall-programregelloggarna för att verifiera trafiken. Explicit proxy är beroende av programregler, så alla loggar är tillgängliga i tabellen AZFWApplicationRules, som du ser i det här exemplet:

Integrering av Private Link

Du kan använda azure firewall explicit proxy tillsammans med Azure Private Link. Om du vill använda dessa lösningar tillsammans konfigurerar du din miljö så att trafik till slutpunkter som inte stöder Private Link-vägen via den explicita proxyn, samtidigt som trafik till Azure Arc-slutpunkter som stöder Private Link kringgår den explicita proxyn och i stället dirigerar trafik direkt till relevant privat slutpunkt:

• För Azure Private Link för Arc-aktiverade servrar använder du funktionen Förbikoppling av proxy.
• För Azure Private Link för Arc-aktiverade Kubernetes (förhandsversion) inkluderar du Microsoft Entra-ID, Azure Resource Manager, Azure Front Door och Microsoft Container Registry-slutpunkter i klustrets proxy-undantagsområde.

Nästa steg

• Läs mer om Explicit proxy för Azure Firewall (förhandsversion)
• Läs Avmystifiera explicit proxy: Förbättra säkerheten med Azure Firewall