你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 专用链接将服务器安全地连接到 Azure Arc

通过 Azure 专用链接,可使用专用终结点将 Azure PaaS 服务安全地链接到你的虚拟网络。 对于很多服务,一个资源只需设置一个终结点即可。 这意味着你可以使用 Azure Arc 连接本地或多云服务器,并通过 Azure ExpressRoute 或站点到站点 VPN 连接(而不是使用公用网络)发送所有流量。

从已启用 Azure Arc 的服务器开始,你可以使用专用链接范围模型让多个服务器或计算机能够通过单个专用终结点与其 Azure Arc 资源进行通信。

本文介绍 Azure Arc 专用链接范围的适用情况及设置方法。

优势

借助专用链接,你可以:

  • 以专用方式连接到 Azure Arc,无需开放任何公共网络访问权限。
  • 确保仅通过授权的专用网络访问已启用 Azure Arc 的计算机或服务器的数据。 这也包括在提供部署后管理和监视支持的计算机或服务器上安装的 VM 扩展的数据。
  • 定义通过专用终结点连接的已启用 Azure Arc 的特定服务器及其他 Azure 服务资源(例如 Azure Monitor),以防止来自专用网络的数据外泄。
  • 使用 ExpressRoute 和专用链接将你的专用本地网络安全地连接到 Azure Arc。
  • 将所有流量保留在 Microsoft Azure 主干网络中。

有关详细信息,请参阅专用链接的主要优势

工作原理

Azure Arc 专用链接范围将专用终结点(及其所在的虚拟网络)连接到 Azure 资源(本例中为已启用 Azure Arc 的服务器)。 启用任何一个已启用 Azure Arc 的服务器支持的 VM 扩展(如 Azure Monitor)时,这些资源将连接其他 Azure 资源。 如:

  • Log Analytics 工作区,在 Azure 自动化更改跟踪和清单、Azure Monitor VM 见解以及 Azure Monitor 中使用 Log Analytics 代理收集日志时的必要项。
  • Azure 自动化帐户,更新管理以及更改跟踪和清单时的必要项。
  • Azure Key Vault
  • Azure Blob 存储,自定义脚本扩展的必要项。

Diagram of basic resource topology

从已启用 Azure Arc 的服务器连接到任何其他 Azure 资源时,需要为每个服务配置专用链接,这是可选的,但建议这样做。 Azure 专用链接需要为每个服务单独配置。

有关配置早前列出的 Azure 服务的专用链接的详细信息,请参阅 Azure 自动化Azure MonitorAzure Key VaultAzure Blob 存储文章。

重要

Azure 专用链接现已推出正式版。 专用终结点和专用链接服务(标准负载均衡器后面的服务)都已推出正式版。 不同的 Azure PaaS 会按不同计划加入 Azure 专用链接。 有关专用链接上的 Azure PaaS 的更新状态,请参阅专用链接可用性。 有关已知的限制,请参阅专用终结点专用链接服务

  • VNet 中的专用终结点允许其通过网络池中的专用 IP 来访问已启用 Azure Arc 的服务器终结点,而不是使用这些终结点的公共 IP。 这样就可以继续使用已启用 Azure Arc 的服务器资源,无需向未请求的出站流量开放 VNet。

  • 从专用终结点到资源的流量将通过 Microsoft Azure 主干,而不会路由到公用网络。

  • 你可以配置每个组件,以允许或拒绝从公用网络引入和查询。 这提供了资源级保护,因此可以控制流入特定资源的流量。

限制和局限

在规划专用链接设置时,应考虑到已启用 Azure Arc 的服务器的专用链接范围对象具有许多限制。

  • 最多可以将一个 Azure Arc 专用链接范围与虚拟网络关联。
  • 已启用 Azure Arc 的计算机或服务器资源只能连接到一个已启用 Azure Arc 的服务器专用链接范围。
  • 所有本地计算机都需要使用相同的 DNS 转发器解析正确的专用终结点信息(FQDN 记录名称和专用 IP 地址),以便使用相同的专用终结点。 有关详细信息,请参阅 Azure 专用终结点 DNS 配置
  • 已启用 Azure Arc 的服务器和 Azure Arc 专用链接范围必须在同一个 Azure 区域。 专用终结点和虚拟网络还必须位于同一 Azure 区域,但此区域可不同于 Azure Arc 专用链接作用域和已启用 Arc 的服务器的区域。
  • 发往 Microsoft Entra ID 和 Azure 资源管理器的网络流量不会遍历 Azure Arc 专用链接范围,并且将继续使用到 Internet 的默认网络路由。 你可以选择配置资源管理专用链接,以将 Azure 资源管理器流量发送到专用终结点。
  • 要使用的其他 Azure 服务(例如 Azure Monitor)需要在虚拟网络中有自己的专用终结点。
  • 目前不支持通过专用链接使用 Windows Admin Center 或 SSH 远程访问服务器。

若要通过专用链接将服务器连接到 Azure Arc,需要配置网络以完成以下操作:

  1. 使用站点到站点 VPNExpressRoute 线路在本地网络和 Azure 虚拟网络之间建立连接。

  2. 部署 Azure Arc 专用链接范围,其可控制哪些计算机或服务器可以通过专用终结点与 Azure Arc 通信,并且会使用专用终结点将其与 Azure 虚拟网络关联。

  3. 更新本地网络的 DNS 配置,以解析专用终结点地址。

  4. 配置本地防火墙以允许访问 Microsoft Entra ID 和 Azure 资源管理器。

  5. 将已在已启用 Azure Arc 的服务器上注册的计算机或服务器与专用链接范围关联。

  6. (可选)为管理计算机或服务器的其他 Azure 服务部署专用终结点,例如:

    • Azure Monitor
    • Azure 自动化
    • Azure Blob 存储
    • Azure Key Vault

本文假设你已设置 ExpressRoute 线路或站点到站点 VPN 连接。

网络配置

将已启用 Azure Arc 的服务器与多个 Azure 服务集成,可以为混合计算机或服务器实现云管理和治理。 这些服务中的大多数已提供专用终结点,但需要配置防火墙和传递规则,以允许通过 Internet 访问 Microsoft Entra ID 和 Azure 资源管理器,直到这些服务提供专用终结点。

可通过两种方式实现此目的:

  • 如果网络配置为通过 Azure VPN 或 ExpressRoute 线路路由所有 Internet 绑定流量,则可以将与 Azure 中子网关联的网络安全组 (NSG) 配置为允许出站 TCP 443 (HTTPS) 使用服务标记访问 Microsoft Entra ID 和 Azure。 NSG 规则应如下所示:

    设置 Microsoft Entra ID 规则 Azure 规则
    虚拟网络 虚拟网络
    源端口范围 * *
    目标 服务标记 服务标记
    目标服务标记 AzureActiveDirectory AzureResourceManager
    目标端口范围 443 443
    协议 Tcp Tcp
    操作 Allow Allow
    优先级 150(必须低于任何阻止 Internet 访问的规则) 151(必须低于任何阻止 Internet 访问的规则)
    名称 AllowAADOutboundAccess AllowAzOutboundAccess
  • 在本地网络上配置防火墙,以允许出站 TCP 443 (HTTPS) 使用可下载的服务标记文件访问 Microsoft Entra ID 和 Azure。 该 JSON 文件包含 Microsoft Entra ID 和 Azure 使用的所有公共 IP 地址范围,并每月更新以反映任何更改。 Azure AD 的服务标记为 AzureActiveDirectory,Azure 的服务标记为 AzureResourceManager。 请咨询网络管理员和网络防火墙供应商,了解如何配置防火墙规则。

请参阅工作原理部分下的直观关系图,了解网络流量的流动方式。

  1. 登录 Azure 门户

  2. 转到 Azure 门户中的“创建资源”,并搜索“Azure Arc 专用链接范围”。 或者,可以使用以下链接在门户中打开 Azure Arc 专用链接范围页面。

    Screenshot of private scope home page with Create button.

  3. 选择创建

  4. 在“基本信息”选项卡中,选择订阅和资源组。

  5. 输入 Azure Arc 专用链接范围的名称。 最好使用有意义且清晰的名称。

    可以选择要求与此 Azure Arc 专用链接范围关联的每台启用 Azure Arc 的计算机或服务器通过专用终结点将数据发送到服务。 为此,请选中“启用公用网络访问”框,以便与此 Azure Arc 专用链接范围关联的计算机或服务器可以通过专用或公用网络与服务通信。 如果你改变了主意,可以在创建范围后更改此设置。

  6. 选择“专用终结点”选项卡,然后选择“创建”。

  7. 在“创建专用终结点”窗口中:

    1. 为终结点输入名称

    2. 针对“与专用 DNS 区域集成”选择“是”,让它自动新建一个专用 DNS 区域 。

      注意

      如果选择“否”,并且喜欢手动管理 DNS 记录,请首先完成专用链接设置,包括此专用终结点和专用范围的配置。 然后,根据 Azure 专用终结点 DNS 配置中的说明配置 DNS。 切勿在准备专用链接设置时创建空记录。 你创建的 DNS 记录可替代现有设置,并影响与已启用 Azure Arc 的服务器之间的连接。

    3. 选择“确定”。

  8. 选择“查看 + 创建” 。

    Screenshot showing the Create Private Link Scope window

  9. 让验证通过,然后选择“创建”。

配置本地 DNS 转发

本地计算机或服务器需要能够将专用链接 DNS 记录解析为专用终结点 IP 地址。 配置方式取决于是使用 Azure 专用 DNS 区域来维护 DNS 记录,还是在本地使用自己的 DNS 服务器,另外还取决于要配置的服务器数。

使用 Azure 集成的专用 DNS 区域进行 DNS 配置

如果在创建专用终结点时为已启用 Azure Arc 的服务器和来宾配置设置了专用 DNS 区域,则本地计算机或服务器需要能够将 DNS 查询转发到内置的 Azure DNS 服务器,才能正确解析专用终结点地址。 Azure 中需要有一个 DNS 转发器(专门构建的 VM 或是启用了 DNS 代理的 Azure 防火墙实例),之后你可以将本地 DNS 服务器配置为将查询转发到 Azure,以解析专用终结点 IP 地址。

此专用终结点文档提供有关使用 DNS 转发器配置本地工作负载的操作指南。

手动配置 DNS 服务器

如果在创建专用终结点期间选择退出使用 Azure 专用 DNS 区域,则需要在本地 DNS 服务器中创建所需的 DNS 记录。

  1. 转到 Azure 门户。

  2. 导航到与虚拟网络和专用链接范围关联的专用终结点资源。

  3. 在左侧窗格中,选择“DNS 配置”以查看 DNS 记录列表以及需要在 DNS 服务器上设置的相应 IP 地址。 FQDN 和 IP 地址将根据你为专用终结点选择的区域以及子网中可用的 IP 地址而更改。

    DNS configuration details

  4. 按照 DNS 服务器供应商的指导添加必要的 DNS 区域和 A 记录,以匹配门户中的表格。 确保为你的网络选择适当的 DNS 服务器。 使用此 DNS 服务器的每台计算机或服务器现在会解析专用终结点 IP 地址,并且必须与 Azure Arc 专用链接范围相关联,否则连接将被拒绝。

单一服务器方案

如果仅计划使用专用链接来支持一些计算机或服务器,你可能不希望更新整个网络的 DNS 配置。 在这种情况下,可以将专用终结点的主机名和 IP 地址添加到操作系统的“Hosts”文件中。 根据 OS 配置,Hosts 文件可以是将主机名解析为 IP 地址的主要方法或替代方法。

Windows

  1. 使用具有管理员权限的帐户,打开“C:\Windows\System32\drivers\etc\hosts”。

  2. 添加专用终结点的 IP 和主机名,如手动配置 DNS 服务器下步骤 3 的表格中所示。 hosts 文件要求 IP 地址后先接空格,然后接主机名。

  3. 保存对文件的更改。 可能需要先保存到另一个目录,然后将文件复制到原始路径。

Linux

  1. 在文本编辑器中打开 /etc/hosts hosts 文件。

  2. 添加专用终结点的 IP 和主机名,如手动配置 DNS 服务器下步骤 3 的表格中所示。 hosts 文件要求 IP 地址后先接空格,然后接主机名。

  3. 保存对文件的更改。

连接已启用 Azure Arc 的服务器

注意

使用专用终结点的 Azure Arc Connected Machine Agent 的最低受支持版本是 1.4 版。 门户中生成的已启用 Azure Arc 的服务器部署脚本会下载最新版本。

首次使用已启用 Azure Arc 的服务器连接计算机或服务器时,可以选择将其连接到专用链接范围。 请使用以下步骤

  1. 在浏览器中转到 Azure 门户

  2. 导航到“计算机 - Azure Arc”

  3. 在“计算机 - Azure Arc”页上,选择左上角的“添加/创建”,然后从下拉菜单中选择“添加计算机”。

  4. 在“添加具有 Azure Arc 的服务器”页面上,根据部署方案不同,选择“添加单一服务器”或“添加多个服务器”,然后选择“生成脚本”。

  5. 在“生成脚本”页上,选择你要在 Azure 中管理的计算机所在的订阅和资源组。 选择要将计算机元数据存储到的 Azure 位置。 此位置可以与资源组的位置相同或不同。

  6. 在“基本信息”页上,提供以下信息:

    1. 选择计算机的订阅和资源组。

    2. 在“区域”下拉列表中,选择用于存储计算机或服务器元数据的 Azure 区域。

    3. 在“操作系统”下拉列表中,选择脚本配置为要在其上运行的操作系统。

    4. 在“连接方法”下,选择“专用终结点”,然后从下拉列表中选择第 1 部分中创建的 Azure Arc 专用链接范围。

      Selecting Private Endpoint connectivity option

    5. 在完成时选择“下一步: 标记”。

  7. 如果选择了“添加多个服务器”,请在“身份验证”页面上,从下拉列表中选择为已启用 Azure Arc 的服务器创建的服务主体。 如果尚未为已启用 Azure Arc 的服务器创建服务主体,请先查看如何创建服务主体,以便自行熟悉所需权限以及创建服务主体的步骤。 选择“下一步:标记”继续。

  8. 在“标记”页上,查看建议的默认“物理位置标记”并输入值,或指定一个或多个“自定义标记”以支持你的标准 。

  9. 在完成时选择“下一步:下载并运行脚本。

  10. 在“下载并运行脚本”页上查看摘要信息,然后选择“下载” 。 如果仍需进行更改,请选择“上一页”。

下载脚本后,必须使用具有权限的(管理员或根)帐户在计算机或服务器上运行脚本。 根据网络配置,可能需要从具有 Internet 访问权限的计算机下载代理,并将其传输至计算机或服务器,然后使用代理的路径修改脚本。

Windows 代理可以从 https://aka.ms/AzureConnectedMachineAgent 下载,Linux 代理可以从 https://packages.microsoft.com 下载。 在 OS 分发目录下查找最新版“azcmagent”,并随本地包管理器一起安装。

该脚本将返回状态消息,通知载入是否成功。

提示

从 Azure Connected Machine 代理到 Microsoft Entra ID(login.windows.net、login.microsoftonline.com、pas.windows.net)和 Azure 资源管理器 (management.azure.com) 的网络流量将继续使用公共终结点。 如果服务器需要通过代理服务器进行通信以访问这些终结点,请先使用代理服务器 URL 配置代理,然后再将其连接到 Azure。 如果无法从代理服务器访问专用终结点,则可能需要为 Azure Arc 服务配置代理跳过

配置现有的已启用 Azure Arc 的服务器

对于在专用链接范围之前设置的已启用 Azure Arc 的服务器,可以完成以下步骤,以便这些服务器开始使用已启用 Azure Arc 的服务器的专用链接范围。

  1. 在 Azure 门户中,导航至 Azure Arc 专用链接范围资源。

  2. 在左侧窗格中,选择“Azure Arc 资源”,然后选择“+ 添加”。

  3. 在列表中选择要与专用链接范围关联的服务器,然后选择“选择”以保存更改。

    注意

    仅显示与专用链接范围位于同一订阅和/或区域内已启用 Azure Arc 的服务器。

    Selecting Azure Arc resources

专用链接范围最多可能需要 15 分钟才能接受来自最近关联的服务器的连接。

疑难解答

  1. 检查本地 DNS 服务器,验证它是转发到 Azure DNS,还是配置为在专用链接区域中使用适当的 A 记录。 这些查找命令应返回 Azure 虚拟网络中的专用 IP 地址。 如果它们会解析公共 IP 地址,请仔细检查计算机或服务器以及网络的 DNS 配置。

    nslookup gbl.his.arc.azure.com
    nslookup agentserviceapi.guestconfiguration.azure.com
    
  2. 如果在载入计算机或服务器时遇到问题,请确认已将 Microsoft Entra ID 和 Azure 资源管理器服务标记添加到本地网络防火墙。 在这些服务可以使用专用终结点之前,代理需要通过 Internet 与这些服务通信。

后续步骤