Zjednodušení požadavků na konfiguraci sítě pomocí brány Azure Arc (Public Preview)

Pokud ke správě odchozího provozu používáte podnikové proxy servery, brána Azure Arc umožňuje připojit infrastrukturu do služby Azure Arc pomocí pouze sedmi (7) koncových bodů. S bránou Azure Arc můžete:

• Připojte se ke službě Azure Arc tak, že otevřete přístup k veřejné síti pouze na sedm plně kvalifikovaných názvů domén (FQDN).
• Zobrazit a auditovat veškerý provoz, který agent Azure Connected Machine odesílá do Azure přes bránu Arc.

Tento článek vysvětluje, jak nastavit a používat bránu Arc (Public Preview).

Důležité

Funkce brány Arc pro servery s podporou Služby Azure Arc je aktuálně ve verzi Public Preview ve všech oblastech, kde jsou k dispozici servery s podporou služby Azure Arc. Další podmínky použití pro Microsoft Azure Preview najdete v právních podmínkách, které se vztahují na funkce Azure, které jsou v beta verzi, Public Preview nebo ještě nejsou vydané v obecné dostupnosti.

Jak funguje brána Azure Arc

Brána Azure Arc se skládá ze dvou hlavních komponent:

• Prostředek brány Arc: Prostředek Azure, který slouží jako běžný front-end provozu Azure. Tento prostředek brány se obsluhuje v konkrétní doméně. Po vytvoření prostředku brány Arc se doména vrátí v odpovědi na úspěch.

• Proxy služby Arc: Nová komponenta přidaná do agentry Arc. Tato komponenta běží jako služba s názvem Azure Arc Proxy a funguje jako předávaný proxy server používaný agenty a rozšířeními Azure Arc. Pro proxy služby Arc se nevyžaduje žádná konfigurace. Tento proxy server je součástí základního agenta Arc a běží v kontextu prostředku s podporou Arc.

Když je brána na místě, provoz prochází následujícími segmenty směrování: Agentry Arc → Proxy → Enterprise proxy → Brána Arc → Cílová služba

Aktuální omezení

Ve verzi Public Preview platí následující omezení. Při plánování konfigurace zvažte tyto faktory.

• Ukončení proxy serverů TLS se nepodporuje (Public Preview)
• ExpressRoute nebo vpn typu Site-to-Site nebo privátní koncové body používané s bránou Arc (Public Preview) se nepodporují.
• Pro každé předplatné Azure platí limit pěti (5) prostředků brány Arc (Public Preview).
• Bránu Arc je možné použít pouze pro připojení ve veřejném cloudu Azure.

Požadována oprávnění

K vytvoření prostředků brány Arc a správě jejich přidružení k serverům s podporou Arc jsou nutná následující oprávnění:

• Microsoft.HybridCompute/settings/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

Jak používat bránu Arc (Public Preview)

Bránu Arc můžete použít čtyřmi kroky:

1. Vytvořte prostředek brány Arc.
2. Ujistěte se, že jsou ve vašem prostředí povolené požadované adresy URL.
3. Připojte prostředky Azure Arc k prostředku brány Arc nebo nakonfigurujte existující prostředky Azure Arc tak, aby používaly bránu Arc.
4. Ověřte, že instalace proběhla úspěšně.

Krok 1: Vytvoření prostředku brány Arc

Prostředek brány Arc můžete vytvořit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Azure Portal

1. V prohlížeči se přihlaste k webu Azure Portal.

2. Přejděte na Azure Arc | Stránka brány Azure Arc a pak vyberte Vytvořit.

3. Vyberte předplatné a skupinu prostředků, ve které chcete spravovat prostředek brány Arc v rámci Azure. Prostředek brány Arc může používat libovolný prostředek s podporou Arc ve stejném tenantovi Azure.

4. Jako název zadejte název prostředku brány Arc.

5. Jako umístění zadejte oblast, ve které by měl být prostředek brány Arc. Prostředek brány Arc může používat libovolný prostředek s podporou arc ve stejném tenantovi Azure.

6. Vyberte Další.

7. Na stránce Značky zadejte jednu nebo více vlastních značek, které budou podporovat vaše standardy.

8. Vyberte Zkontrolovat a vytvořit.

9. Zkontrolujte podrobnosti o vstupu a pak vyberte Vytvořit.

   Proces vytvoření brány trvá 9 až 10 minut.

Rozhraní příkazového řádku

1. Přidejte do Azure CLI rozšíření brány Arc:

   az extension add -n arcgateway

2. Na počítači s přístupem k Azure vytvořte prostředek brány Arc spuštěním následujících příkazů:

   az arcgateway create --name [Your gateway’s Name] --resource-group [Your Resource Group] --location [Location]
   

   Proces vytvoření brány trvá 9 až 10 minut.

PowerShell

Na počítači s přístupem k Azure vytvořte pomocí následujícího příkazu PowerShellu prostředek brány Arc:

New-AzArcgateway 
-name <gateway’s name> 
-resource-group <resource group> 
-location <region> 
-subscription <subscription name or id> 
-gateway-type public  
-allowed-features *

Proces vytvoření brány trvá 9 až 10 minut.

Krok 2: Ujistěte se, že jsou ve vašem prostředí povolené požadované adresy URL.

Po vytvoření prostředku bude odpověď na úspěch obsahovat adresu URL brány Arc. Ujistěte se, že adresa URL brány Arc a všechny adresy URL v následující tabulce jsou povolené v prostředí, kde jsou vaše prostředky Arc aktivní. Požadované adresy URL jsou:

Adresa URL	Účel
[Předpona adresy URL].gw.arc.azure.com	Adresa URL vaší brány (tuto adresu URL můžete získat spuštěním az arcgateway list po vytvoření prostředku brány).
management.azure.com	Koncový bod Azure Resource Manageru vyžadovaný pro řídicí kanál Azure Resource Manageru
login.microsoftonline.com	Koncový bod Microsoft Entra ID pro získání přístupových tokenů identit
gbl.his.arc.azure.com	Koncový bod cloudové služby pro komunikaci s agenty Azure Arc
<region.his.arc.azure.com>	Používá se pro řídicí kanál jádra Arc.
packages.microsoft.com	Vyžaduje se k získání datové části agenta Arc založeného na Linuxu, která je nutná pouze pro připojení serverů s Linuxem ke službě Arc.

Krok 3a: Připojení prostředků Azure Arc k prostředku brány Arc

1. Vygenerujte instalační skript.

   Postupujte podle pokynů v rychlém startu: Připojení hybridních počítačů pomocí serverů s podporou Azure Arc k vytvoření skriptu, který automatizuje stahování a instalaci agenta Azure Connected Machine a vytvoří připojení k Azure Arc.

   Důležité

   Při generování skriptu pro onboarding vyberte v části Metoda připojení proxy server, abyste zobrazili rozevírací seznam pro prostředek brány.

2. Spusťte instalační skript pro onboarding serverů do služby Azure Arc.

   Ve skriptu se ID ARM prostředku brány Arc zobrazuje jako --gateway-id.

Krok 3b: Konfigurace existujících prostředků Azure Arc pro použití brány Arc

Existující prostředky Azure Arc můžete nakonfigurovat tak, aby používaly bránu Arc pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Azure Portal

1. Na webu Azure Portal přejděte na stránku brány Azure Arc – Azure Arc.

2. Vyberte prostředek brány Arc, který chcete přidružit k serveru s podporou arc.

3. Přejděte na stránku Přidružené prostředky vašeho prostředku brány.

4. Vyberte Přidat.

5. Vyberte prostředek s podporou arc, který chcete přidružit k prostředku brány Arc.

6. Vyberte Použít.

7. Aktualizujte server s podporou arc tak, aby používal bránu Arc spuštěním azcmagent config set connection.type gatewaypříkazu .

Rozhraní příkazového řádku

1. Na počítači s přístupem k Azure spusťte následující příkazy:

   az arcgateway settings update
      --resource-group [Resource Group]
      --subscription [subscription name]
      --base-provider Microsoft.HybridCompute
      --base-resource-type machines
      --base-resource-name [Arc-Server’s name]
      --settings-resource-name default--gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Aktualizujte server s podporou arc tak, aby používal bránu Arc spuštěním následujícího příkazu:

   azcmagent config set connection.type gateway

PowerShell

1. Na počítači s přístupem k Azure spusťte následující příkazy:

   Update-AzArcSetting  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId <Full Arm resourceid>
   

2. Aktualizujte server s podporou arc tak, aby používal bránu Arc spuštěním následujícího příkazu:

   azcmagent config set connection.type gateway

Krok 4: Ověření úspěšné instalace

Na onboarded serveru spusťte následující příkaz: azcmagent show Výsledek by měl indikovat následující hodnoty:

• Stav agenta by se měl zobrazit jako Připojeno.
• Použití proxy protokolu HTTPS by se mělo zobrazit jako http://localhost:40343.
• Upstreamový proxy server by se měl zobrazit jako podnikový proxy server (pokud ho nastavíte). Adresa URL brány by měla odrážet adresu URL vašeho prostředku brány.

Pokud chcete ověřit úspěšné nastavení, můžete spustit následující příkaz: azcmagent check Výsledek by měl indikovat, že connection.type je nastavená na bránu, a sloupec Dosažitelný by měl u všech adres URL znamenat hodnotu true .

Přidružení počítače k nové bráně Arc

Přidružení počítače k nové bráně Arc:

Azure Portal

1. Na webu Azure Portal přejděte na stránku brány Azure Arc – Azure Arc.

2. Vyberte nový prostředek brány Arc, který chcete přidružit k počítači.

3. Přejděte na stránku Přidružené prostředky vašeho prostředku brány.

4. Vyberte Přidat.

5. Vyberte počítač s podporou arc, který chcete přidružit k novému prostředku brány Arc.

6. Vyberte Použít.

7. Aktualizujte server s podporou arc tak, aby používal bránu Arc spuštěním azcmagent config set connection.type gatewaypříkazu .

Rozhraní příkazového řádku

1. Na počítači, který chcete přidružit k nové bráně Arc, spusťte následující příkazy:

   az arcgateway settings update
      --resource-group [Resource Group]
      --subscription [subscription name]
      --base-provider Microsoft.HybridCompute
      --base-resource-type machines
      --base-resource-name [Arc-Server’s name]
      --settings-resource-name default--gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Aktualizujte server s podporou arc tak, aby používal bránu Arc spuštěním následujícího příkazu:

   azcmagent config set connection.type gateway

PowerShell

1. Na počítači, který chcete přidružit k nové bráně Arc, spusťte následující příkaz:

   Set-AzArcGatewaySettings  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId <Full Arm resourceid>
   

2. Aktualizujte server s podporou arc tak, aby používal bránu Arc spuštěním následujícího příkazu:

   azcmagent config set connection.type gateway

Odebrání přidružení brány Arc (místo toho k použití přímé trasy)

1. Spuštěním následujícího příkazu nastavte typ připojení serveru s podporou arc na "přímý" místo brány:

   azcmagent config set connection.type direct

   Poznámka:

   Pokud provedete tento krok, musí být splněny všechny požadavky na síť Azure Arc ve vašem prostředí, aby bylo možné dál využívat Azure Arc.

2. Odpojte prostředek brány Arc z počítače:

   Azure Portal

   1. Na webu Azure Portal přejděte na stránku brány Azure Arc – Azure Arc.

   2. Vyberte prostředek brány Arc.

   3. Přejděte na stránku Přidružené prostředky pro prostředek brány a vyberte server.

   4. Vyberte Odstranit.

   Rozhraní příkazového řádku

   Na počítači s přístupem k Azure spusťte následující příkaz Azure CLI:

   az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id ""
   

   Poznámka:

   Pokud používáte tento příkaz Azure CLI v prostředí Windows PowerShell, nastavte --gateway-resource-id hodnotu null.

   PowerShell

   Na počítači s přístupem k Azure spusťte následující příkaz PowerShellu:

   Set-AzArcGatewaySettings  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId ""
   

Odstranění prostředku brány Arc

Poznámka:

Dokončení této operace může trvat 4 až 5 minut.

Azure Portal

1. Na webu Azure Portal přejděte na stránku brány Azure Arc – Azure Arc.

2. Vyberte prostředek brány Arc.

3. Vyberte Odstranit.

Rozhraní příkazového řádku

Na počítači s přístupem k Azure spusťte následující příkaz Azure CLI:

az arcgateway delete --resource-group <Resource Group> --gateway-name <Arc gateway Resource Name >

PowerShell

Na počítači s přístupem k Azure spusťte následující příkaz PowerShellu:

Remove-AzArcGateway  
    -ResourceGroup <res-group>  
    -GatewayName <RP Name>

Řešení problému

Provoz brány Arc můžete auditovat zobrazením protokolů proxy serveru Azure Arc.

Zobrazení protokolů proxy serveru Arc ve Windows:

1. Spusťte azcmagent logs v PowerShellu.
2. Ve výsledném souboru .zip se protokoly nacházejí ve C:\ProgramData\Microsoft\ArcProxy složce.

Zobrazení protokolů proxy serveru Arc v Linuxu:

1. Spusťte a sdílejte sudo azcmagent logsvýsledný soubor.
2. Ve výsledném souboru protokolu se protokoly nacházejí ve /usr/local/arcproxy/logs/ složce.

Další scénáře

Brána Arc ve verzi Public Preview pokrývá koncové body potřebné pro onboarding serveru a také část koncových bodů vyžadovaných pro další scénáře s podporou arc. Na základě scénářů, které přijmete, musí být ve vašem proxy serveru povolené další koncové body.

Scénáře, které nevyžadují další koncové body

• Windows Admin Center
• SSH
• Rozšířené aktualizace zabezpečení
• Microsoft Defender
• Rozšíření Azure pro SQL Server

Scénáře, které vyžadují další koncové body

Koncové body uvedené v následujících scénářích musí být povolené ve vašem podnikovém proxy serveru při použití brány Arc:

• Datové služby s podporou Azure Arc

  • *.ods.opinsights.azure.com

  • *.oms.opinsights.azure.com

  • *.monitoring.azure.com

• Agent Azure Monitoru

  • <log-analytics-workspace-id.ods.opinsights.azure.com>

  • <data-collection-endpoint>.<název>_oblasti_virtuálního_počítače.ingest.monitor.azure.com

• Synchronizace certifikátů služby Azure Key Vault

  • <vault-name.vault.azure.net>

• Rozšíření Hybrid Runbook Worker služby Azure Automation

  • *.azure-automation.net

• Rozšíření Windows OS Update / Azure Update Manager

  • Vaše prostředí musí splňovat všechny požadavky na služba Windows Update

Známé problémy

Následuje popis aktuálně známých problémů pro bránu Arc.

Aktualizace potřebná po onboardingu agenta Azure Connected Machine

Při použití skriptu onboardingu (nebo azcmagent connect příkazu) k připojení serveru se zadaným ID prostředku brány bude prostředek úspěšně používat bránu Arc. Kvůli známé chybě (s opravou, která právě probíhá), se ale server s podporou Arc nezobrazí jako přidružený prostředek na webu Azure Portal, pokud se nastavení prostředku neaktualizuje. K provedení této aktualizace použijte následující postup:

Azure Portal

1. Na webu Azure Portal přejděte na Azure Arc | Stránka brány Arc

2. Vyberte prostředek brány Arc, který chcete přidružit k serveru s podporou arc.

3. Přejděte na stránku Přidružené prostředky pro prostředek brány.

4. Vyberte Přidat.

5. Vyberte prostředek s podporou arc, který chcete přidružit k prostředku brány Arc, a vyberte Použít.

Rozhraní příkazového řádku

Na počítači s přístupem k Azure spusťte následující příkaz Azure CLI:

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id <Full Arm resource id of the new Arc gateway resource>

PowerShell

Na počítači s přístupem k Azure spusťte následující příkaz PowerShellu:

Set-AzArcGatewaySettings  
    -ResourceGroup <res-group>  
    -Subscription <subscription name>  
    -BaseProvider <RP Name>  
    -BaseResourceType <Resource Type>  
    -Name <Arc-server's resource name>  
    -SettingsResourceName "default"  
    -GatewayResourceId <Full Arm resourceid>

Aktualizace proxy serveru Arc potřebná po odpojení prostředku brány z počítače

Při odpojení prostředku brány Arc z počítače je nutné aktualizovat proxy server Arc, aby se vymaže konfigurace brány Arc. Provedete to následujícím postupem:

1. Zastavte proxy arc.

   • Windows: Stop-Service arcproxy
   • Linux: sudo systemctl stop arcproxyd

2. cloudconfig.json Odstraňte soubor.

   • Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
   • Linux: /var/opt/azcmagent/cloudconfig.json

3. Spusťte proxy arc.

   • Windows: Start-Service arcproxy
   • Linux: sudo systemctl start arcproxyd

4. Restartujte ho (volitelné, ale doporučeno).

   • Windows: Restart-Service himds
   • Linux: sudo systemctl restart himdsd

Aktualizace potřebná pro počítače, které jsou znovu povolené bez brány

Pokud se počítač s bránou Arc s podporou Arc odstraní z Azure Arc a bez brány Arc znovu povolí arc, bude potřeba aktualizovat stav na webu Azure Portal.

Důležité

K tomuto problému dochází pouze v případě, že je prostředek znovu povolený se stejným ID ARM jako jeho počáteční povolení.

V tomto scénáři se počítač nesprávně zobrazí na webu Azure Portal jako prostředek přidružený k bráně Arc. Chcete-li tomu zabránit, pokud máte v úmyslu povolit počítač bez brány Arc, která byla dříve s bránou Arc povolená, musíte po nasazení aktualizovat přidružení brány Arc. K tomu použijte následující postup:

Azure Portal

1. Na webu Azure Portal přejděte na Azure Arc | Stránka brány Arc

2. Vyberte prostředek brány Arc.

3. Přejděte na stránku Přidružené prostředky pro prostředek brány.

4. Vyberte server a pak vyberte Odebrat.

Rozhraní příkazového řádku

Na počítači s přístupem k Azure spusťte následující příkaz Azure CLI:

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id ""

Poznámka:

Pokud používáte tento příkaz Azure CLI v prostředí Windows PowerShell, nastavte --gateway-resource-id hodnotu null.

PowerShell

Na počítači s přístupem k Azure spusťte následující příkaz PowerShellu:

Set-AzArcGatewaySettings  

    -ResourceGroup <res-group>  

    -Subscription <subscription name>  

    -BaseProvider <RP Name>  

    -BaseResourceType <Resource Type>  

    -Name <Arc-server's resource name>  

    -SettingsResourceName "default"  

    -GatewayResourceId ""

Ruční přidružení brány vyžaduje po odstranění

Pokud se brána Arc odstraní, když je počítač stále připojený, musí být azure Portal použit k přidružení počítače k jiným prostředkům brány Arc.

Chcete-li se tomuto problému vyhnout, odpojte všechny prostředky s podporou arc od brány Arc před odstraněním prostředku brány. Pokud k této chybě dojde, přidružte počítač k novému prostředku brány Arc pomocí webu Azure Portal.