已啟用 Azure Arc 的伺服器網路拓撲和連線能力

  • 發行項

已啟用 Azure Arc 的伺服器可讓您使用 Azure 控制平面來管理 Windows 和 Linux 實體伺服器和虛擬機(裝載於內部部署環境或第三方雲端提供者)。 本檔將逐步引導您完成已啟用 Azure Arc 的伺服器連線的重要設計考慮和最佳做法,作為 雲端採用架構 企業級登陸區域指引的一部分。

本文假設您已成功實作企業級登陸區域並建立混合式網路連線,因此著重於已啟用 Azure Arc 的伺服器連線機器代理程式連線。 如需此必要條件的詳細資訊,請檢閱 企業級概觀實作指引

架構

下圖顯示已啟用 Azure Arc 之伺服器連線的概念參考架構。

Diagram that shows Azure Arc-enabled servers connectivity options.

設計考量

下列清單概述已啟用 Azure Arc 的伺服器的網路設計考慮。

  • 定義代理程式的連線方法: 檢閱您現有的基礎結構、安全性需求,並決定連線的計算機代理程式 如何從內部部署網路或其他雲端提供者與 Azure 通訊。 此連線可以直接透過因特網、透過 Proxy 伺服器,或您可以 實作私人連線的 Private Link
  • 管理 Azure 服務標籤的存取:建立自動化程式,以根據 連線 機器代理程式網路需求來更新防火牆和 Proxy 網路規則。
  • 保護您的 Azure Arc 網路連線: 設定電腦作業系統以使用傳輸層安全性 (TLS) 1.2 版。 不建議使用舊版,因為已知弱點。
  • 定義擴充功能連線方法: 部署在已啟用 Azure Arc 之伺服器上的 Azure 擴充功能通常需要與其他 Azure 服務通訊。 此連線可以直接使用公用網路、透過防火牆或透過 Proxy 伺服器。 如果您的設計需要私人連線,您必須採取 額外的步驟 ,超越設定Arc代理程式的私人端點,為延伸模組存取的每個服務啟用私人端點連線。
  • 檢閱您的整體連線架構: 檢閱 Azure 登陸區域企業規模的網路拓撲和連線設計區域 ,以評估已啟用 Azure Arc 的伺服器對整體連線的影響。

設計建議

定義 Azure Arc 代理程式的連線方法

已啟用 Azure Arc 的伺服器可讓您使用下列方法來連接混合式機器:

  • 直接連線,選擇性地從防火牆或 Proxy 伺服器後方
  • Azure Private Link

直接連線

已啟用 Azure Arc 的伺服器可 直接連線到 Azure 公用端點。 使用此連線方法,所有計算機代理程式都會使用公用端點透過因特網開啟連線。 適用於Linux和 Windows 的連線機器代理程式會使用 HTTPS 通訊協定 (TCP/443) 以安全的方式向 Azure 通訊。

使用直接連線方法時,您必須檢閱連線機器代理程式的因特網存取權。 建議您設定 必要的網路規則

Proxy 伺服器或防火牆連線 (選擇性)

如果計算機使用防火牆或 Proxy 伺服器透過因特網進行通訊,代理程式會使用 HTTPS 通訊協定來連線輸出。

如果您的防火牆或 Proxy 伺服器限制輸出連線,請務必根據 連線 機器代理程式網路需求來允許 IP 範圍。 當您只允許代理程式與服務通訊所需的IP範圍或功能變數名稱時,請使用 服務標籤和URL 來設定防火牆或 Proxy 伺服器。

如果您在已啟用 Azure Arc 的伺服器上部署擴充功能,則每個擴充功能都會連線到自己的端點或端點,而且您也必須允許防火牆或 Proxy 中的所有對應 URL。 新增這些端點可確保更細微的安全網路流量,以符合最低許可權原則(PoLP)。

透過搭配 Arc Private Link 範圍使用已啟用 Azure Arc 的伺服器,您可以確定來自 Arc 代理程式的所有流量都會保留在您的網路上。 此設定具有安全性優點:流量不會周遊因特網,而且您不需要在數據中心防火牆上開啟許多輸出例外狀況。 不過,使用 Private Link 會產生許多管理挑戰,同時提高整體複雜度和成本,尤其是針對全球組織。 其中一些挑戰如下:

  • 選擇使用Arc Private Link範圍包含相同 DNS 範圍下的所有Arc用戶端。 您無法在共享 DNS 伺服器時使用私人端點和部分使用公用的 Arc 用戶端(沒有 DNS 原則之類的因應措施)
  • 您必須設定主要區域或 DNS 中的所有私人端點,讓相同的私人端點名稱解析為不同的 IP 位址(例如,針對 Active Directory 整合 DNS 使用 選擇性復寫的 DNS 分割區)。 如果您針對所有 Arc 用戶端使用相同的私人端點,您必須能夠將來自所有網路的流量路由傳送至私人端點。
  • 若要確保私人端點也可用於使用 Arc 部署的擴充功能軟體元件存取的任何 Azure 服務,例如 Log Analytics 工作區、自動化帳戶、金鑰保存庫 或 Azure 儲存體
  • 連線 Azure Entra ID 使用公用端點,因此用戶端仍然需要一些因特網存取

由於這些挑戰,建議您評估 Private Link 是否為 Arc 實作的需求。 請考慮使用公用端點時,流量會經過加密,而且視如何使用Arc for Servers 而定,可以限製為管理和元數據流量。 實作 本機代理程式安全性控制可以減輕安全性考慮。

如需詳細資訊,請參閱Arc的 Private Link 支援相關聯的限制和限制

Diagram that shows Azure Arc-enabled servers Private Link topology.

提示

如需詳細資訊,請檢閱 Azure Private Link 安全性

管理 Azure 服務標籤的存取權

建議您實作自動化程式,以根據 Azure Arc 網路需求來更新防火牆和 Proxy 網路規則。

保護您的 Azure Arc 網路連線

我們建議使用 傳輸層安全性 1.2 通訊協定 ,以確保傳輸至 Azure 的數據安全性。 較舊的 TLS/安全套接字層 (SSL) 版本被發現易受攻擊,不建議使用。

定義擴充功能連線方法

當您啟用任何已啟用 Azure Arc 的伺服器支援的 VM 擴充功能時,這些擴充功能會連線到其他 Azure 服務。 請務必判斷這些延伸模組的連線方法:直接、Proxy 伺服器/防火牆後方,或使用 Azure Private Link。

如果已啟用 Azure Arc 的伺服器使用 Proxy 或防火牆,您也必須允許擴充功能所需的所有 URL,因為它們會與其自己的端點通訊。

如果您使用 Private Link,則必須為每個服務設定 Private Link。

下一步

如需混合式雲端採用旅程的更多指引,請檢閱下列資源: