Vereinfachen der Netzwerkkonfigurationsanforderungen mit Azure Arc Gateway (Vorschau)
Wenn Sie Enterprise-Proxys verwenden, um ausgehenden Datenverkehr zu verwalten, kann das Azure Arc-Gateway den Prozess der Aktivierung der Konnektivität vereinfachen.
Mit dem Azure Arc-Gateway (derzeit in der Vorschau) können Sie:
- Eine Verbindung mit Azure Arc herstellen, indem Sie nur sieben (7) vollqualifizierte Domänennamen (FQDNs) öffnen.
- Anzeigen und Überwachen des gesamten Datenverkehrs, den die Arc-Agents über das Arc-Gateway an Azure senden.
Wichtig
Das Azure Arc-Gateway befindet sich derzeit in der Vorschau.
Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Funktionsweise des Azure Arc-Gateways
Das Arc-Gateway funktioniert durch die Einführung von zwei neuen Komponenten:
- Die Arc-Gatewayressource ist eine Azure-Ressource, die als gemeinsames Front-End für Azure-Datenverkehr dient. Die Gatewayressource wird in einer bestimmten Domäne/URL bereitgestellt. Sie müssen diese Ressource erstellen, indem Sie die in diesem Artikel beschriebenen Schritte ausführen. Nachdem Sie die Gatewayressource erfolgreich erstellt haben, ist diese Domäne/URL in der Erfolgsantwort enthalten.
- Der Arc-Proxy ist eine neue Komponente, die als eigener Pod (azure Arc Proxy) ausgeführt wird. Diese Komponente fungiert als Weiterleitungsproxy, der von Azure Arc-Agents und -Erweiterungen verwendet wird. Für den Azure Arc-Proxy ist keine Konfiguration erforderlich.
Weitere Informationen finden Sie unter der Funktionsweise des Azure Arc-Gateways.
Wichtig
Azure Local und AKS unterstützen keine TLS-Beendigungsproxys, ExpressRoute/Standort-zu-Standort-VPN oder private Endpunkte. Außerdem gibt es eine Beschränkung von fünf Arc-Gatewayressourcen pro Azure-Abonnement.
Voraussetzungen
Stellen Sie sicher, dass Sie die Voraussetzungen zum Erstellen von AKS-Clustern auf Azure Local abschließen.
Dieser Artikel erfordert Version 1.4.23 oder höher von Azure CLI. Wenn Sie Azure CloudShell verwenden, ist die neueste Version bereits installiert.
Die folgenden Azure-Berechtigungen sind erforderlich, um Arc-Gatewayressourcen zu erstellen und ihre Zuordnung mit AKS Arc-Clustern zu verwalten:
Microsoft.Kubernetes/connectedClusters/settings/default/writeMicrosoft.hybridcompute/gateways/readMicrosoft.hybridcompute/gateways/write
Sie können eine Arc-Gatewayressource mit Azure CLI oder dem Azure-Portal erstellen. Weitere Informationen zum Erstellen einer Arc-Gatewayressource für Ihre AKS-Cluster und Azure Local finden Sie unter Erstellen der Arc-Gatewayressource in Azure. Wenn Sie die Arc-Gatewayressource erstellen, rufen Sie die Gatewayressourcen-ID ab, indem Sie den folgenden Befehl ausführen:
$gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
Bestätigen des Zugriffs auf erforderliche URLs
Stellen Sie sicher, dass Ihre Arc-Gateway-URL und alle unten aufgeführten URLs über Ihre Unternehmensfirewall zulässig sind:
| URL | Zweck |
|---|---|
[Your URL prefix].gw.arc.azure.com |
Ihre Gateway-URL. Sie können diese URL abrufen, indem Sie nach dem Erstellen der Ressource ausgeführt az arcgateway list werden. |
management.azure.com |
Azure Resource Manager-Endpunkt, erforderlich für den Azure Resource Manager-Steuerungskanal. |
<region>.obo.arc.azure.com |
Erforderlich, wenn az connectedk8s proxy sie verwendet wird. |
login.microsoftonline.com, <region>.login.microsoft.com |
Endpunkt von Microsoft Entra ID, der zum Abrufen von Identitätszugriffstoken verwendet wird. |
gbl.his.arc.azure.com, <region>.his.arc.azure.com |
Der Clouddienstendpunkt für die Kommunikation mit Arc-Agents. Verwendet Kurznamen; z. B eus . für Ost-USA. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Erforderlich zum Pullen von Containerimages für Azure Arc-Agents. |
Erstellen eines AKS Arc-Clusters mit aktiviertem Arc-Gateway
Führen Sie den folgenden Befehl aus, um einen AKS Arc-Cluster mit aktiviertem Arc-Gateway zu erstellen:
az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys
Aktualisieren eines AKS Arc-Clusters und Aktivieren des Arc-Gateways
Führen Sie den folgenden Befehl aus, um einen AKS Arc-Cluster zu aktualisieren und das Arc-Gateway zu aktivieren:
az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId
Deaktivieren des Arc-Gateways auf einem AKS Arc-Cluster
Führen Sie den folgenden Befehl aus, um einen AKS Arc-Cluster zu deaktivieren:
az aksarc update -n $clusterName -g $resourceGroup --disable-gateway
Datenverkehr überwachen
Um den Gatewaydatenverkehr zu überwachen, zeigen Sie die Gatewayrouterprotokolle an:
- Führen Sie
kubectl get pods -n azure-arcaus. - Identifizieren Sie den Arc Proxy-Pod (der Name beginnt mit
arc-proxy-). - Führen Sie
kubectl logs -n azure-arc <Arc Proxy pod name>aus.
Andere Szenarien
Während der öffentlichen Vorschau deckt Arc-Gateway Endpunkte ab, die für AKS Arc-Cluster erforderlich sind, und einen Teil der Endpunkte, die für zusätzliche Arc-fähige Szenarien erforderlich sind. Basierend auf den von Ihnen angenommenen Szenarien müssen weitere Endpunkte weiterhin in Ihrem Proxy zulässig sein.
Alle für die folgenden Szenarien aufgeführten Endpunkte müssen in Ihrem Unternehmensproxy zulässig sein, wenn das Arc-Gateway verwendet wird:
- Container Insights in Azure Monitor:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
- Azure Key Vault:
<vault-name>.vault.azure.net
- Azure Policy:
data.policy.core.windows.netstore.policy.core.windows.net
- Microsoft Defender for Containers:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com
- Datendienste mit Azure Arc-Unterstützung
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com