使用 Azure Private Link 安全地將伺服器連線到 Azure Arc

發行項
04/16/2024

Azure Private Link 可讓您使用私人端點安全地將 Azure PaaS 服務連結到您的虛擬網路。如果有許多服務，您只需為每個資源設定一個端點。這表示您可以使用 Azure Arc 連線內部部署或多雲端伺服器，並透過 Azure ExpressRoute 或站對站 VPN 連線傳送所有流量，而不是使用公用網路。

從已啟用 Azure Arc 的伺服器開始，您可以使用 Private Link 範圍模型，允許多部伺服器或電腦使用單一私人端點與其 Azure Arc 資源通訊。

本文涵蓋使用時機以及如何設定 Azure Arc Private Link 範圍。

優點

有了私人連結，您可以：

私下連線至 Azure Arc，而不需要開啟任何公用網路存取。
請確定僅透過授權的私人網路存取已啟用 Azure Arc 的機器或伺服器中的資料。這也包含安裝在機器或伺服器上之 VM 擴充功能的數據，可提供部署後管理和監視支援。
藉由定義特定已啟用 Azure Arc 的伺服器和其他 Azure 服務資源，例如透過私人端點連線的 Azure 監視器，防止數據從您的專用網外流。
使用 ExpressRoute 和 Private Link，將您的私人內部部署網路安全地連線至 Azure Arc。
讓所有的流量都在 Microsoft Azure 骨幹網路內。

如需詳細資訊，請參閱私人連結的主要優點。

運作方式

Azure Arc Private Link 範圍會將私人端點（及其所包含的虛擬網路）連線到 Azure 資源，在此案例中為已啟用 Azure Arc 的伺服器。當您啟用任何一部已啟用 Azure Arc 的伺服器支援的 VM 擴充功能時，例如 Azure 監視器，這些資源會連線其他 Azure 資源。例如：

Log Analytics 工作區，需要 Azure 自動化變更追蹤和清查、Azure 監視器 VM 深入解析，以及使用 Log Analytics 代理程式收集 Azure 監視器記錄。
Azure 自動化帳戶，需要更新管理和變更追蹤和清查。
Azure Key Vault
自定義腳本擴充功能所需的 Azure Blob 記憶體。

基本資源拓撲的圖表

從已啟用 Azure Arc 的伺服器對任何其他 Azure 資源連線需要為每個服務設定 Private Link，這是選擇性的，但建議使用。 Azure Private Link 需要個別的服務組態。

如需設定先前所列 Azure 服務 Private Link 的詳細資訊，請參閱 Azure 自動化、Azure 監視器、Azure 金鑰保存庫或 Azure Blob 記憶體文章。

重要

Azure Private Link 現已正式運作。私人端點和 Private Link 服務（標準負載平衡器後置的服務）已正式推出。不同的 Azure PaaS 會遵循不同的排程，上線至 Azure Private Link。如需 Private Link 上的 Azure PaaS 更新狀態，請參閱 Private Link 可用性。如需已知限制，請參閱私人端點和 Private Link 服務。

VNet 上的私人端點可讓您透過來自您網路集區的私人IP來連線已啟用 Azure Arc 的伺服器端點，而不是使用這些端點的公用IP。這可讓您繼續使用已啟用 Azure Arc 的伺服器資源，而不需將 VNet 開啟至未要求的輸出流量。
從私人端點到您資源的流量將會經過 Microsoft Azure 骨幹，而不會路由傳送至公用網路。
您可以設定每個元件，以允許或拒絕從公用網路擷取和查詢。這可提供資源層級的保護，讓您可以控制特定資源的流量。

限制事項

已啟用 Azure Arc 的伺服器 Private Link Scope 物件有一些您在規劃 Private Link 設定時應考慮的限制。

最多只能將一個 Azure Arc 私人連結範圍與虛擬網路建立關聯。
已啟用 Azure Arc 的電腦或伺服器資源只能連線到一部已啟用 Azure Arc 的伺服器 Private Link 範圍。
所有內部部署機器都需要使用相同的私人端點，方法是使用相同的 DNS 轉寄站解析正確的私人端點資訊（FQDN 記錄名稱和私人 IP 位址）。如需詳細資訊，請參閱 Azure 私人端點 DNS 設定
已啟用 Azure Arc 的伺服器和 Azure Arc Private Link 範圍必須位於相同的 Azure 區域中。私人端點和虛擬網路也必須位於相同的 Azure 區域，但此區域與您的 Azure Arc Private Link 範圍和已啟用 Arc 的伺服器不同。
Microsoft Entra ID 和 Azure Resource Manager 的網路流量不會周遊 Azure Arc Private Link 範圍，而且會繼續使用預設網路路由至因特網。您可以選擇性地設定資源管理私人連結，將 Azure Resource Manager 流量傳送至私人端點。
其他您將使用的 Azure 服務 (如 Azure 監視器) 在虛擬網路中都需要自己的私人端點。
目前不支援透過私人連結從 Windows 管理員中心或 SSH 存取伺服器。

規劃您的 Private Link 設定

若要透過私人連結將伺服器連線到 Azure Arc，您必須設定網路以完成下列作業：

使用站對站 VPN 或 ExpressRoute 線路建立內部部署網路與 Azure 虛擬網路之間的連線。
部署 Azure Arc Private Link 範圍，控制哪些機器或伺服器可以透過私人端點與 Azure Arc 通訊，並使用私人端點將它與您的 Azure 虛擬網路產生關聯。
更新區域網路上的 DNS 設定以解析私人端點位址。
設定您的本機防火牆，以允許存取 Microsoft Entra ID 和 Azure Resource Manager。
將向已啟用 Azure Arc 的伺服器註冊的電腦或伺服器與私人連結範圍建立關聯。
或者，為您的計算機或伺服器所管理的其他 Azure 服務部署私人端點，例如：
- Azure 監視器
- Azure Automation
- Azure Blob 儲存體
- Azure Key Vault

本文假設您已設定 ExpressRoute 線路或站對站 VPN 連線。

網路組態

已啟用 Azure Arc 的伺服器會與數個 Azure 服務整合，以將雲端管理和治理帶入混合式機器或伺服器。這些服務大多提供私人端點，但您必須設定您的防火牆和路由規則以允許透過網際網路存取 Microsoft Entra ID 和 Azure Resource Manager，直到這些服務提供私人端點為止。

做法有二：

如果您的網路已設定為透過 Azure VPN 或 ExpressRoute 線路路由傳送所有因特網系結流量，您可以設定與 Azure 中子網相關聯的網路安全組（NSG），以允許使用服務卷標對 Microsoft Entra ID 和 Azure 的輸出 TCP 443 （HTTPS）存取。 NSG 規則看起來應該像這樣：

設定	Microsoft Entra ID 規則	Azure 規則
來源	虛擬網路	虛擬網路
來源連接埠範圍	*	*
目的地	服務標籤	服務標籤
目的地服務標籤	AzureActiveDirectory	AzureResourceManager
目的地連接埠範圍	443	443
通訊協定	Tcp	Tcp
動作	允許	允許
優先順序	150 (必須低於任何阻止網際網路存取的規則)	151 (必須低於任何阻止網際網路存取的規則)
名稱	AllowAADOutboundAccess	AllowAzOutboundAccess

在局域網路上設定防火牆，以允許使用可下載的服務卷標檔案來存取 Microsoft Entra ID 和 Azure 的輸出 TCP 443 （HTTPS）。 JSON 檔案包含 Microsoft Entra ID 和 Azure 所使用的所有公用 IP 位址範圍，並每月更新以反映任何變更。 Azure AD 的服務標籤是 AzureActiveDirectory ，而 Azure 的服務標籤是 AzureResourceManager。請洽詢您的網路系統管理員和網路防火牆廠商以了解如何設定防火牆規則。

請參閱網路流量運作方式一節底下的可視化圖表。

建立 Private Link 範圍

登入 Azure 入口網站。
移至在 Azure 入口網站中建立資源，然後搜尋 Azure Arc Private Link 範圍。或者，您可以使用下列連結在入口網站中開啟 [Azure Arc Private Link 範圍 ] 頁面。
選取建立。
在 [ 基本] 索引 標籤中，選取 [訂用帳戶和資源群組]。
輸入 Azure Arc Private Link 範圍的名稱。最好使用有意義的清楚名稱。

您可以選擇性地要求與此 Azure Arc Private Link 範圍相關聯的每個已啟用 Azure Arc 的電腦或伺服器，以透過私人端點將數據傳送至服務。若要這樣做，請核取 [ 允許公用網络存取 ] 方塊，讓與此 Azure Arc Private Link 範圍相關聯的計算機或伺服器可以透過私人或公用網络與服務通訊。如果您變更主意，您可以在建立範圍之後變更此設定。
選取 [ 私人端點] 索引卷 標，然後選取 [ 建立]。
在 [ 建立私人端點] 視窗中：
1. 輸入 端點的 [名稱 ]。
2. 選擇 [是] 以整合私人 DNS 區域，並讓它自動建立新的私用 DNS 區域。
  
  注意
  
  如果您選擇 [ 否 ]，並偏好手動管理 DNS 記錄，請先完成設定您的 Private Link - 包括此私人端點和私人範圍設定。然後，根據 Azure 私人端點 DNS 設定中的指示來設定您的 DNS。在準備您的私人連結設定時，請務必不要建立空白記錄。您所建立的 DNS 記錄可以覆寫現有的設定，並影響與已啟用 Azure Arc 的伺服器連線。
3. 選取 [確定]。
選取 [檢閱 + 建立] 。
讓驗證通過，然後選取 [ 建立]。

設定內部部署 DNS 轉送

您的內部部署機器或伺服器必須能夠將私人連結 DNS 記錄解析為私人端點 IP 位址。設定方式取決於您是使用 Azure 私人 DNS 區域來維護 DNS 記錄，還是使用自己的 DNS 伺服器內部部署，以及您要設定的伺服器數目。

使用 Azure 整合式私人 DNS 區域的 DNS 設定

如果您在建立私人端點時為已啟用 Azure Arc 的伺服器和客體設定私人 DNS 區域，您的內部部署機器或伺服器必須能夠將 DNS 查詢轉送至內建 Azure DNS 伺服器，才能正確解析私人端點位址。您的 Azure 中需要一個 DNS 轉寄站 (專門建立的 VM 或已啟用 DNS Proxy 的 Azure 防火牆執行個體)，之後您可以設定內部部署 DNS 伺服器來將查詢轉送至 Azure 以解析私人端點 IP 位址。

私人端點文件提供了使用 DNS 轉寄站設定內部部署工作負載的指引。

手動設定 DNS 伺服器

如果您在私人端點建立期間選擇不使用 Azure 私人 DNS 區域，則必須在內部部署 DNS 伺服器中建立必要的 DNS 記錄。

前往 Azure 入口網站。
流覽至與您的虛擬網路和私人連結範圍相關聯的私人端點資源。
從左側窗格中，選取 [DNS 組態 ] 以查看 DNS 記錄清單，以及您需要在 DNS 伺服器上設定的對應 IP 位址清單。 FQDN 和 IP 位址會根據您為私人端點選取的區域和子網路中的可用 IP 位址而變更。
請遵循 DNS 伺服器廠商的指引，新增必要的 DNS 區域和 A 記錄，以符合入口網站中的資料表。請務必選取適用於您網路的 DNS 伺服器。使用此 DNS 伺服器的每個電腦或伺服器現在都會解析私人端點 IP 位址，且必須與 Azure Arc Private Link 範圍相關聯，否則將會拒絕連線。

單一伺服器案例

如果您只打算使用 Private Link 來支援一些機器或伺服器，您可能不想更新整個網路的 DNS 設定。在此情況下，您可以將私人端點主機名和IP位址新增至作業系統主機檔案。視 OS 組態而定，Hosts 檔案可以是將主機名解析為 IP 位址的主要或替代方法。

Windows

使用具有系統管理員許可權的帳戶，開啟 C：\Windows\System32\drivers\etc\hosts。
新增私人端點IP和主機名，如手動 DNS 伺服器組態下步驟3的表格所示。主機檔案會先要求IP位址後面接著空格，然後再要求主機名。
使用變更儲存盤案。您可能需要先儲存至另一個目錄，然後將檔案複製到原始路徑。

Linux

在 /etc/hosts 文本編輯器中開啟 hosts 檔案。
新增私人端點IP和主機名，如手動 DNS 伺服器組態下步驟3的表格所示。主機檔案會先要求IP位址，後面接著空格，然後要求主機名。
使用變更儲存盤案。

連線至已啟用 Azure Arc 的伺服器

注意

具有私人端點的 Azure Arc 連線機器代理程式最低支援版本為 1.4 版。入口網站中產生的已啟用 Azure Arc 的伺服器部署腳本會下載最新版本。

設定已啟用 Azure Arc 的新伺服器以使用 Private 連結

第一次使用已啟用 Azure Arc 的伺服器連接機器或伺服器時，您可以選擇性地將其連線到 Private Link 範圍。下列步驟為

在瀏覽器中，移至 Azure 入口網站。
流覽至 [機器 - Azure Arc]。
在 [ 機器 - Azure Arc ] 頁面上，選取 左上方的 [新增/建立 ]，然後從下拉功能表中選取 [ 新增計算機 ]。
在 [ 使用 Azure Arc 新增伺服器] 頁面上，選取 [根據部署案例新增單一伺服器 ] 或 [新增多部伺服器 ]，然後選取 [ 產生腳本]。
在 [ 產生腳本] 頁面上，選取您想要在 Azure 中管理計算機的訂用帳戶和資源群組。選取將儲存機器元數據的 Azure 位置。此位置可與資源群組的位置相同或不同。
在 [基本] 頁面上，提供下列各項：
1. 選取電腦的訂用帳戶和資源群組。
2. 在 [ 區域 ] 下拉式清單中，選取要儲存機器或伺服器元數據的 Azure 區域。
3. 在 [作業系統] 下拉式清單中，選取設定要在其上執行指令碼的作業系統。
4. 在 [連線 ivity 方法] 下，選取 [私人端點]，然後從下拉式清單中選取 [第 1 部分] 中建立的 [Azure Arc Private Link 範圍]。
5. 選取 [下一步：標記]。
如果您選取 [ 新增多部伺服器]，請在 [ 驗證 ] 頁面上，從下拉式清單中選取為已啟用 Azure Arc 的伺服器建立的服務主體。如果您尚未為已啟用 Azure Arc 的伺服器建立服務主體，請先檢閱如何建立服務主體，以熟悉所需的許可權，以及建立許可權的步驟。選取 [下一步：標籤] 以繼續。
在 [標籤] 頁面上，檢閱建議的預設 [實體位置標籤] 並輸入值，或指定一或多個 [自訂標籤] 以支援您的標準。
選取 [ 下一步：下載並執行腳本]。
在 [下載並執行指令碼] 頁面上檢閱摘要資訊，然後選取 [下載]。如果您還需要變更，請選取 [上一步]。

下載文稿之後，您必須使用具特殊許可權的（系統管理員或根）帳戶，在機器或伺服器上執行腳本。視您的網路設定而定，您可能需要從具有因特網存取權的計算機下載代理程式，並將其傳輸至您的電腦或伺服器，然後使用代理程式的路徑修改腳本。

您可以從下載 https://aka.ms/AzureConnectedMachineAgent Windows 代理程式，也可以從 https://packages.microsoft.com下載 Linux 代理程式。在您的OS散發目錄下尋找最新版的 azcmagent ，並隨本機套件管理員一起安裝。

腳本會傳回狀態消息，讓您知道上線是否在完成之後成功。

提示

從 Azure 連線電腦代理程式到 Microsoft Entra 識別碼的網路流量（login.windows.net、login.microsoftonline.com、pas.windows.net）和 Azure Resource Manager（management.azure.com）將繼續使用公用端點。如果您的伺服器需要透過 Proxy 伺服器進行通訊以連線到這些端點，請先使用 Proxy 伺服器 URL 設定代理程式，再將它連線至 Azure。如果您的私人端點無法從 Proxy 伺服器存取，您可能也需要為 Azure Arc 服務設定 Proxy 略過。

設定已啟用 Azure Arc 的現有伺服器

針對在私人連結範圍之前設定的已啟用 Azure Arc 的伺服器，您可以完成下列步驟，讓他們開始使用已啟用 Azure Arc 的伺服器 Private Link 範圍。

在 Azure 入口網站中，瀏覽至您的 Azure Arc 私人連結範圍資源。
從左側窗格中，選取 [Azure Arc 資源]，然後選取 [+ 新增]。
選取您想要與 Private Link 範圍建立關聯的清單中的伺服器，然後選取 [ 選取 ] 以儲存變更。

私人鏈接範圍最多可能需要 15 分鐘的時間，才能接受最近相關聯伺服器的連線。

疑難排解

檢查您的內部部署 DNS 伺服器以確認它是否有轉接至 Azure DNS，或者它在您的私人連結區域中是否設有適當的 A 記錄。這些查閱命令應該會傳回您 Azure 虛擬網路中的私人 IP 位址。如果他們解析公用IP位址，請仔細檢查您的電腦或伺服器和網路的 DNS 設定。
```
nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
```
如果您在上線電腦或伺服器時遇到問題，請確認您已將 Microsoft Entra ID 和 Azure Resource Manager 服務標籤新增至局域網路防火牆。代理程式必須透過因特網與這些服務通訊，直到私人端點可供這些服務使用為止。

下一步

若要深入了解私人端點，請參閱什麼是 Azure 私人端點？。
如果您遇到 Azure 私人端點連線設定的問題，請參閱針對 Azure 私人端點連線問題進行疑難解答。
請參閱下列內容，以設定 Azure 自動化、Azure 監視器、Azure 金鑰保存庫或 Azure Blob 記憶體的 Private Link。