Zjednodušení požadavků na konfiguraci sítě pomocí služby Azure Arc Gateway (Preview)

Pokud ke správě odchozího provozu používáte podnikové proxy servery, může brána Azure Arc zjednodušit proces povolování připojení.

Brána Azure Arc (aktuálně ve verzi Preview) umožňuje:

• Připojte se ke službě Azure Arc tak, že otevřete přístup k veřejné síti pouze na sedm plně kvalifikovaných názvů domén (FQDN).
• Zobrazte a auditujte veškerý provoz, který agenti Arc odesílají do Azure přes bránu Arc.

Důležité

Brána Azure Arc je aktuálně ve verzi Preview.

Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Jak funguje brána Azure Arc

Brána Arc funguje tak, že zavádí dvě nové komponenty:

• Prostředek brány Arc je prostředek Azure, který slouží jako běžný front-end provozu Azure. Prostředek brány se obsluhuje na konkrétní doméně nebo adrese URL. Tento prostředek musíte vytvořit podle kroků popsaných v tomto článku. Po úspěšném vytvoření prostředku brány se tato doména nebo adresa URL zahrne do odpovědi na úspěch.
• Proxy služby Arc je nová komponenta, která běží jako vlastní pod (označovaný jako Proxy služby Azure Arc). Tato komponenta funguje jako předávaný proxy server používaný agenty a rozšířeními Azure Arc. Pro proxy služby Azure Arc se nevyžaduje žádná konfigurace.

Další informace najdete v tématu fungování brány Azure Arc.

Důležité

Azure Local a AKS nepodporují ukončování proxy serverů TLS, ExpressRoute nebo VPN typu site-to-site ani privátní koncové body. Platí také limit pěti prostředků brány Arc na předplatné Azure.

Než začnete

• Ujistěte se, že jste dokončili požadavky na vytváření clusterů AKS v místním prostředí Azure.

• Tento článek vyžaduje verzi 1.4.23 nebo novější azure CLI. Pokud používáte Azure CloudShell, je už nainstalovaná nejnovější verze.

• K vytvoření prostředků brány Arc a správě přidružení ke clusterům AKS Arc se vyžadují následující oprávnění Azure:

  • Microsoft.Kubernetes/connectedClusters/settings/default/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

• Prostředek brány Arc můžete vytvořit pomocí Azure CLI nebo webu Azure Portal. Další informace o tom, jak vytvořit prostředek brány Arc pro clustery AKS a Azure Local, najdete v tématu vytvoření prostředku brány Arc v Azure. Při vytváření prostředku brány Arc získejte ID prostředku brány spuštěním následujícího příkazu:

  $gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
  

Potvrzení přístupu k požadovaným adresám URL

Ujistěte se, že vaše adresa URL brány Arc a všechny níže uvedené adresy URL jsou povolené prostřednictvím podnikové brány firewall:

Adresa URL	Účel
[Your URL prefix].gw.arc.azure.com	Adresa URL vaší brány. Tuto adresu URL můžete získat spuštěním az arcgateway list po vytvoření prostředku.
management.azure.com	Koncový bod Azure Resource Manageru vyžadovaný pro řídicí kanál Azure Resource Manageru
<region>.obo.arc.azure.com	Vyžaduje se při az connectedk8s proxy použití.
login.microsoftonline.com, <region>.login.microsoft.com	Koncový bod ID Microsoft Entra, který se používá k získání přístupových tokenů identit.
gbl.his.arc.azure.com, <region>.his.arc.azure.com	Koncový bod cloudové služby pro komunikaci s agenty Arc. Používá krátké názvy; například eus pro USA – východ.
mcr.microsoft.com, *.data.mcr.microsoft.com	Vyžaduje se pro vyžádání imagí kontejnerů pro agenty Azure Arc.

Vytvoření clusteru AKS Arc s povolenou bránou Arc

Spuštěním následujícího příkazu vytvořte cluster AKS Arc s povolenou bránou Arc:

az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys

Aktualizace clusteru AKS Arc a povolení brány Arc

Spuštěním následujícího příkazu aktualizujte cluster AKS Arc a povolte bránu Arc:

az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId

Zakázání brány Arc v clusteru AKS Arc

Spuštěním následujícího příkazu zakažte cluster AKS Arc:

az aksarc update -n $clusterName -g $resourceGroup --disable-gateway

Monitorování provozu

Pokud chcete auditovat provoz brány, prohlédněte si protokoly směrovače brány:

1. Spusťte kubectl get pods -n azure-arc.
2. Identifikujte pod Arc Proxy (jeho název bude začínat arc-proxy-).
3. Spusťte kubectl logs -n azure-arc <Arc Proxy pod name>.

Další scénáře

Brána Arc ve verzi Public Preview pokrývá koncové body vyžadované pro clustery AKS Arc a část koncových bodů vyžadovaných pro další scénáře s podporou arc. V závislosti na scénářích, které přijmete, musí být ve vašem proxy serveru stále povolené další koncové body.

Všechny koncové body uvedené v následujících scénářích musí být povolené ve vašem podnikovém proxy serveru, pokud se brána Arc používá:

• Přehledy kontejnerů ve službě Azure Monitor:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com
• Azure Key Vault:
  • <vault-name>.vault.azure.net
• Azure Policy:
  • data.policy.core.windows.net
  • store.policy.core.windows.net
• Microsoft Defender for Containers:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
• Datové služby s podporou Služby Azure Arc
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com

Další kroky

• Nasazení rozšíření pro metalLB pro clustery Kubernetes s podporou Azure Arc