Zjednodušení požadavků na konfiguraci sítě pomocí služby Azure Arc Gateway (Preview)

Pokud ke správě odchozího provozu používáte podnikové proxy servery, může brána Azure Arc (Preview) zjednodušit proces povolování připojení.

Brána Azure Arc (Preview) umožňuje:

• Připojte se ke službě Azure Arc tak, že otevřete přístup k veřejné síti pouze na sedm plně kvalifikovaných názvů domén (FQDN).
• Zobrazte a auditujte veškerý provoz, který agenti Arc odesílají do Azure přes bránu Arc.

Důležité

Brána Azure Arc je aktuálně ve verzi Preview.

Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Jak funguje brána Azure Arc

Brána Arc funguje zavedením dvou nových komponent.

Prostředek brány Arc je prostředek Azure, který slouží jako běžný front-end provozu Azure. Prostředek brány se obsluhuje na konkrétní doméně nebo adrese URL. Tento prostředek musíte vytvořit podle kroků uvedených v tomto článku. Po úspěšném vytvoření prostředku brány se tato doména nebo adresa URL zahrne do odpovědi na úspěch.

Proxy služby Arc je nová komponenta, která běží jako vlastní pod (označovaný jako "Azure Arc Proxy"). Tato komponenta funguje jako předávaný proxy server používaný agenty a rozšířeními Azure Arc. Pro proxy služby Azure Arc se nevyžaduje žádná konfigurace. Od verze 1.21.10 agentů Kubernetes s podporou Arc je teď tento pod součástí základních agentů Arc a běží v kontextu clusteru Kubernetes s podporou Arc. 

Když je brána na místě, provoz prochází následujícími segmenty směrování: Agenti Arc → proxy → enterprise proxy → bránu Arc → cílové službě.

Aktuální omezení

Ve verzi Public Preview platí následující omezení. Při plánování konfigurace zvažte tyto faktory.

• Brána Arc nepodporuje ukončování proxy serverů TLS.
• Kromě brány Arc nemůžete používat ExpressRoute ani vpn typu site-to-site ani privátní koncové body.
• Pro každé předplatné Azure platí limit pěti prostředků brány Arc.
• Bránu Arc je možné použít pouze pro připojení ve veřejném cloudu Azure.

Prostředek brány Arc můžete vytvořit pomocí Azure CLI nebo Azure PowerShellu.

Při vytváření prostředku brány Arc zadáte předplatné a skupinu prostředků, ve kterých se prostředek vytvoří, spolu s oblastí Azure. Všechny prostředky s podporou Arc ve stejném tenantovi ale můžou tento prostředek používat bez ohledu na vlastní předplatné nebo oblast.

K vytvoření prostředků brány Arc a správě jejich přidružení ke clusterům Kubernetes s podporou Arc se vyžadují následující oprávnění:

• Microsoft.Kubernetes/connectedClusters/settings/default/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

Vytvoření prostředku brány Arc

Azure CLI

1. Na počítači s přístupem k Azure spusťte následující příkaz Azure CLI:

   az extension add -n arcgateway
   

2. Potom spuštěním následujícího příkazu Azure CLI vytvořte prostředek brány Arc a nahraďte zástupné symboly požadovanými hodnotami:

   az arcgateway create --name <gateway's name> --resource-group <resource group> --location <region> --gateway-type public --allowed-features * --subscription <subscription name or id>
   

Azure PowerShell

1. Na počítači s přístupem k Azure spusťte následující příkaz Azure PowerShellu a vytvořte prostředek brány Arc a nahraďte zástupné symboly požadovanými hodnotami:

   New-AzArcgateway 
   -name <gateway's name> 
   -resource-group <resource group> 
   -location <region> 
   -subscription <subscription name or id> 
   -gateway-type public  
   -allowed-features *
   

Vytvoření prostředku brány Arc obvykle trvá přibližně deset minut.

Potvrzení přístupu k požadovaným adresám URL

Po úspěšném vytvoření prostředku bude odpověď na úspěch obsahovat adresu URL brány Arc. Ujistěte se, že adresa URL brány Arc a všechny níže uvedené adresy URL jsou povolené v prostředí, kde jsou vaše prostředky Arc aktivní.

Adresa URL	Účel
[Your URL prefix].gw.arc.azure.com	Adresa URL vaší brány. Tuto adresu URL můžete získat spuštěním az arcgateway list po vytvoření prostředku.
management.azure.com	Koncový bod Azure Resource Manageru vyžadovaný pro řídicí kanál ARM.
<region>.obo.arc.azure.com	Vyžaduje se při konfiguraci připojení ke clusteru.
login.microsoftonline.com, <region>.login.microsoft.com	Koncový bod ID Microsoft Entra, který se používá k získání přístupových tokenů identit.
gbl.his.arc.azure.com, <region>.his.arc.azure.com	Koncový bod cloudové služby pro komunikaci s agenty Arc. Používá krátké názvy, například eus pro USA – východ.
mcr.microsoft.com, *.data.mcr.microsoft.com	Vyžaduje se pro vyžádání imagí kontejnerů pro agenty Azure Arc.

Připojení clusterů Kubernetes k Azure Arc pomocí prostředku brány Arc

Azure CLI

1. Ujistěte se, že vaše prostředí splňuje všechny požadované požadavky pro Kubernetes s podporou Azure Arc. Vzhledem k tomu, že používáte bránu Azure Arc, nemusíte splňovat úplnou sadu požadavků na síť.

2. Na počítači nasazení nastavte proměnné prostředí potřebné pro Azure CLI tak, aby používaly odchozí proxy server:

   export HTTP_PROXY=<proxy-server-ip-address>:<port> export HTTPS_PROXY=<proxy-server-ip-address>:<port> export NO_PROXY=<cluster-apiserver-ip-address>:<port>

3. V clusteru Kubernetes spusťte příkaz connect se zadanými proxy-https parametry a proxy-http parametry. Pokud je váš proxy server nastavený pomocí protokolu HTTP i HTTPS, nezapomeňte použít --proxy-http pro proxy server HTTP a --proxy-https pro proxy server HTTPS. Pokud proxy server používá jenom HTTP, můžete tuto hodnotu použít pro oba parametry.

   az connectedk8s connect -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id> --proxy-https <proxy_value> --proxy-http http://<proxy-server-ip-address>:<port> --proxy-skip-range <excludedIP>,<excludedCIDR> --location <region>

   Poznámka:

   Některé síťové požadavky, například ty, které zahrnují komunikaci mezi službami v clusteru, musí být oddělené od provozu směrovaného přes proxy server pro odchozí komunikaci. Tento --proxy-skip-range parametr lze použít k určení rozsahu CIDR a koncových bodů čárkami oddělených čárkami, aby komunikace z agentů na tyto koncové body nepřešla přes odchozí proxy server. Jako hodnota tohoto parametru by měl být zadán minimálně rozsah CIDR služeb v clusteru. Pokud kubectl get svc -A například vrátí seznam služeb, kde všechny služby mají ClusterIP hodnoty v oblasti 10.0.0.0/16, pak hodnota, pro --proxy-skip-range kterou se má zadat, je 10.0.0.0/16,kubernetes.default.svc,.svc.cluster.local,.svc.

   --proxy-http, --proxy-httpsa --proxy-skip-range očekává se u většiny odchozích proxy prostředí. --proxy-cert vyžaduje se pouze v případě, že potřebujete vložit důvěryhodné certifikáty očekávané proxy serverem do důvěryhodného úložiště certifikátů podů agenta.

   Odchozí proxy server musí být nakonfigurovaný tak, aby povoloval připojení přes protokol WebSocket.

Azure PowerShell

1. Ujistěte se, že vaše prostředí splňuje všechny požadované požadavky pro Kubernetes s podporou Azure Arc. Vzhledem k tomu, že používáte bránu Azure Arc, nemusíte splňovat úplnou sadu požadavků na síť.

2. Připojte cluster Kubernetes pomocí jedné z následujících metod:

   • Pokud váš cluster není za odchozím proxy serverem, spusťte následující příkaz Azure PowerShellu:

   New-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> -Location <region>> –GatewayResourceId <resourceId>

   • Pokud je váš cluster za odchozím proxy serverem:

     1. Na počítači nasazení nastavte proměnné prostředí potřebné pro Azure PowerShell, aby používaly odchozí proxy server:

        $Env:HTTP_PROXY = "<proxy-server-ip-address>:<port>" $Env:HTTPS_PROXY = "<proxy-server-ip-address>:<port>" $Env:NO_PROXY = "<cluster-apiserver-ip-address>:<port>"

     2. V clusteru Kubernetes spusťte příkaz connect se zadaným parametrem proxy serveru:

     New-AzConnectedKubernetes -ClusterName <cluster-name> -ResourceGroupName <resource-group> -Location <region> -HttpProxy 'http://<proxy-server-ip-address>:<port>', -HttpsProxy 'https://<proxy-server-ip-address>:<port>' -NoProxy <excludedIP>,<excludedCIDR>

Konfigurace existujících clusterů pro použití brány Arc

Pokud chcete aktualizovat existující clustery tak, aby používaly bránu Arc, spusťte následující příkaz:

Azure CLI

az connectedk8s update -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id>

Pokud chcete ověřit, že aktualizace proběhla úspěšně, spusťte následující příkaz a ověřte, že odpověď je true:

 az connectedk8s show -g <resource_group> -n <cluster_name> --query 'gateway.enabled' 

Azure PowerShell

$connectedCluster = Get-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> 
Get-AzConnectedKubernetes -InputObject $connectedCluster -GatewayResourceId <resourceId> 

Po aktualizaci clusterů tak, aby používaly bránu Arc, některé koncové body Arc, které byly dříve povolené ve vašem podnikovém proxy serveru nebo bránách firewall, už nejsou potřeba a je možné je odebrat. Doporučujeme počkat alespoň jednu hodinu, než odeberete všechny koncové body, které už nepotřebujete. Nezapomeňte odebrat žádné koncové body potřebné pro bránu Arc.

Odebrání brány Arc

Pokud chcete zakázat bránu Arc a odebrat přidružení mezi prostředkem brány Arc a clusterem s podporou Arc, spusťte následující příkaz:

Azure CLI

az connectedk8s update -g <resource_group> -n <cluster_name> --disable-gateway 

Azure PowerShell

Get-AzConnectedKubernetes -ClusterName <cluster_name> -ResourceGroupName <resource_group> | Set-AzConnectedKubernetes -DisableGateway   

Monitorování provozu

Pokud chcete auditovat provoz brány, prohlédněte si protokoly směrovače brány:

1. Spusťte příkaz kubectl get pods -n azure-arc.
2. Identifikujte pod Arc Proxy (jeho název bude začínat arc-proxy-).
3. Spusťte příkaz kubectl logs -n azure-arc <Arc Proxy pod name>.

Další scénáře

Ve verzi Public Preview se brána Arc věnuje koncovým bodům požadovaným pro onboarding clusteru a část koncových bodů vyžadovaných pro další scénáře s podporou arc. V závislosti na scénářích, které přijmete, se další koncové body stále vyžadují, aby byly povolené ve vašem proxy serveru.

Všechny koncové body uvedené v následujících scénářích musí být povolené ve vašem podnikovém proxy serveru, pokud se brána Arc používá:

• Přehledy kontejnerů ve službě Azure Monitor:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com
• Azure Key Vault:
  • <vault-name>.vault.azure.net
• Azure Policy:
  • data.policy.core.windows.net
  • store.policy.core.windows.net
• Microsoft Defender for Containers:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
• Datové služby s podporou Služby Azure Arc
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com