Informationen zum Azure Arc-Gateway für Azure Local (Vorschau)
Gilt für: Azure Local 2411.1 und höher
Wichtig
Azure Stack HCI ist jetzt Teil von Azure Local. Weitere Informationen
Dieser Artikel enthält eine Übersicht über das Azure Arc-Gateway für Azure Local, Version 23H2. Das Arc-Gateway kann für neue Bereitstellungen von Azure Local running software Version 2408 und höher aktiviert werden. In diesem Artikel wird auch beschrieben, wie Sie die Arc-Gatewayressource in Azure erstellen und löschen.
Sie können das Arc-Gateway verwenden, um die Anzahl der erforderlichen Endpunkte zu reduzieren, die zum Bereitstellen und Verwalten von Azure Local Instances erforderlich sind. Nachdem Sie das Arc-Gateway erstellt haben, können Sie eine Verbindung herstellen und für neue Bereitstellungen von Azure Local verwenden.
Informationen zum Bereitstellen des Azure Arc-Gateways für eigenständige Server (nicht für lokale Azure-Computer) finden Sie unter Vereinfachen der Netzwerkkonfigurationsanforderungen über das Azure Arc-Gateway.
Wichtig
Dieses Feature befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Funktionsweise
Das Arc-Gateway funktioniert durch Einführung der folgenden Komponenten:
Arc-Gatewayressource – Eine Azure-Ressource, die als gemeinsamer Einstiegspunkt für Azure-Datenverkehr fungiert. Diese Gatewayressource verfügt über eine bestimmte Domäne oder URL, die Sie verwenden können. Wenn Sie die Arc-Gatewayressource erstellen, ist diese Domäne oder URL Teil der Erfolgsantwort.
Arc-Proxy – Eine neue Komponente, die dem Arc Agentry hinzugefügt wird. Diese Komponente wird als Dienst (Als Azure Arc-Proxy bezeichnet) ausgeführt und funktioniert als Weiterleitungsproxy für die Azure Arc-Agents und -Erweiterungen. Der Gatewayrouter benötigt keine Konfiguration von Ihrer Seite. Dieser Router ist Teil der Arc Core Agentry und wird im Kontext einer Arc-fähigen Ressource ausgeführt.
Nachdem Sie das Arc-Gateway in Version 2411 von lokalen Azure-Bereitstellungen integriert haben, ruft jeder Computer Arc-Proxy zusammen mit anderen Arc-Agents ab.
Wenn Arc-Gateway verwendet wird, ändert sich der Http- und https-Datenverkehrsfluss wie folgt:
Datenverkehrsfluss für Azure Local Host Operating System-Komponenten
Die Betriebssystemproxyeinstellungen werden verwendet, um den gesamten HTTPS-Hostdatenverkehr über den Arc-Proxy weiterzuleiten.
Vom Arc-Proxy wird der Datenverkehr an das Arc-Gateway weitergeleitet.
Basierend auf der Konfiguration im Arc-Gateway, falls zulässig, wird der Datenverkehr an Zieldienste gesendet. Wenn dies nicht zulässig ist, leitet Arc-Proxy diesen Datenverkehr an den Unternehmensproxy weiter (oder direkt ausgehend, wenn kein Proxysatz festgelegt ist). Der Arc-Proxy bestimmt automatisch den richtigen Pfad für den Endpunkt.
Verkehrsfluss für Arc Appliance Arc Resource Bridge (ARB) und AKS-Steuerebene
Die routingfähige IP (Failovercluster-IP-Ressource ab jetzt) wird verwendet, um den Datenverkehr über Arc-Proxy weiterzuleiten, der auf den lokalen Azure-Hostcomputern ausgeführt wird.
ARB und AKS-Weiterleitungsproxy sind für die Verwendung der routingfähigen IP konfiguriert.
Wenn die Proxyeinstellungen vorhanden sind, wird ARB und AKS ausgehender Datenverkehr an Arc Proxy weitergeleitet, der auf einem der lokalen Azure-Computer über die routingfähige IP ausgeführt wird.
Sobald der Datenverkehr den Arc-Proxy erreicht hat, nimmt der verbleibende Fluss den gleichen Pfad wie beschrieben. Wenn Datenverkehr zum Zieldienst zulässig ist, wird er an das Arc-Gateway gesendet. Andernfalls wird sie an den Unternehmensproxy (oder direkt ausgehend, wenn kein Proxysatz festgelegt ist) gesendet. Beachten Sie, dass für AKS speziell dieser Pfad zum Herunterladen von Docker-Images für Arc Agentry und Arc Extension Pods verwendet wird.
Datenverkehrsfluss für Arc-VMs
Http- und HTTPS-Datenverkehr werden an den Unternehmensproxy weitergeleitet. Der Arc-Proxy innerhalb der Arc-VM wird in dieser Version noch nicht unterstützt.
Datenverkehrsflüsse werden im folgenden Diagramm veranschaulicht:
Unterstützte und nicht unterstützte Szenarien
Sie können das Arc-Gateway im folgenden Szenario für lokale Azure-Versionen 2411.1 oder höher verwenden:
- Aktivieren Sie das Arc-Gateway während der Bereitstellung neuer lokaler Azure-Instanzen mit Versionen 2411.1 oder höher.
Nicht unterstützte Szenarien für Azure Local, Versionen 2408, 2411 und 2411.1 umfassen:
Azure Local instances updated from versions 2402 or 2405 to versions 2408 or 2411 can't take advantage of all the new endpoints supported by this Arc gateway preview. Hostkomponenten, Arc-Erweiterungen, ARB und AKS erforderliche Endpunkte werden nur unterstützt, wenn das Arc-Gateway als Teil einer neuen Version 2408-Bereitstellung aktiviert wird.
Das Aktivieren des Arc-Gateways nach der Bereitstellung kann nicht alle neuen Endpunkte nutzen, die von dieser Arc-Gatewayvorschau unterstützt werden. Für Host, Arc-Erweiterungen, ARB und AKS erforderliche Endpunkte werden nur unterstützt, wenn das Arc-Gateway im Rahmen einer neuen Bereitstellung aktiviert wird.
Azure Local endpoints not redirected
Im Rahmen des Azure Local Version 2411.1 Preview-Updates sind die Endpunkte aus der Tabelle erforderlich und müssen in Ihrem Proxy oder Ihrer Firewall zugelassen sein, um die lokale Azure-Instanz bereitzustellen. Diese Endpunkte der Version 2408 und 2411 werden nicht über das Arc-Gateway umgeleitet:
| Endpunkt # | Erforderlicher Endpunkt | Komponente |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Arc-Registrierung |
| 2 | http://login.microsoftonline.com:443 |
Arc-Registrierung |
| 3 | http://<region>.login.microsoft.com:443 |
Arc-Registrierung |
| 4 | http://download.microsoft.com:443 |
Arc-Registrierung |
| 5 | http://management.azure.com:443 |
Arc-Registrierung |
| 6 | http://gbl.his.arc.azure.com:443 |
Arc-Registrierung |
| 7 | http://<region>.his.arc.azure.com:443 |
Arc-Registrierung |
| 8 | http://dc.services.visualstudio.com:443 |
Arc-Registrierung |
| 9 | https://<region>.obo.arc.azure.com:8084 |
AKS-Erweiterungen |
| 10 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Bogengateway |
| 11 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 12 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Cloudzeugenspeicherkonto |
| 13 | http://files.pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 14 | http://pypi.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 15 | http://raw.githubusercontent.com:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 16 | http://pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 17 | http://ocsp.digicert.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 18 | http://s.symcd.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 19 | http://ts-ocsp.ws.symantec.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 20 | http://ocsp.globalsign.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 21 | http://ocsp2.globalsign.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 22 | http://oneocsp.microsoft.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 23 | http://dl.delivery.mp.microsoft.com |
Windows Update |
| 24 | http://*.tlu.dl.delivery.mp.microsoft.com |
Windows Update |
| 25 | http://*.windowsupdate.com |
Windows Update |
| 26 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 27 | http://*.update.microsoft.com |
Windows Update |
Einschränkungen
Beachten Sie die folgenden Einschränkungen des Arc-Gateways in dieser Version:
- TLS-Beendigungsproxys werden mit der Arc-Gatewayvorschau nicht unterstützt.
- Die Verwendung von ExpressRoute, Standort-zu-Standort-VPN oder privaten Endpunkten zusätzlich zum Arc-Gateway (Vorschau) wird nicht unterstützt.
Erstellen der Arc-Gatewayressource in Azure
Sie können eine Arc-Gatewayressource mithilfe des Azure-Portals, der Azure CLI oder der Azure PowerShell erstellen.
- Melden Sie sich beim Azure-Portal an.
- Wechseln Sie zur > von Azure Arc, und wählen Sie dann "Erstellen" aus.
- Wählen Sie das Abonnement und die Ressourcengruppe für die Verwaltung der Arc-Gatewayressource in Azure aus. Eine Arc-Gatewayressource kann von jeder Arc-fähigen Ressource im selben Azure-Mandanten verwendet werden.
- Geben Sie für "Name" den Namen für die Arc-Gatewayressource ein.
- Geben Sie für "Standort" die Region ein, in der sich die Arc-Gatewayressource befinden soll. Eine Arc-Gatewayressource kann von jeder Arc-fähigen Ressource im selben Azure-Mandanten verwendet werden.
- Wählen Sie Weiter aus.
- Geben Sie auf der Seite Tags eine oder mehrere benutzerdefinierte Tags an, die Ihre Standards unterstützen sollen.
- Wählen Sie Überprüfen + erstellen aus.
- Überprüfen Sie Ihre Details, und wählen Sie dann "Erstellen" aus.
Der Gatewayerstellungsprozess dauert neun bis zehn Minuten, bis er abgeschlossen ist.
Trennen oder Ändern der Arc-Gatewayzuordnung vom Computer
Um die Gatewayressource von Ihrem Arc-fähigen Server zu trennen, legen Sie die Gatewayressourcen-ID auf null. Wenn Sie Ihren Arc-fähigen Server an eine andere Arc-Gatewayressource anfügen möchten, aktualisieren Sie einfach den Namen und die Ressourcen-ID mit den neuen Arc-Gatewayinformationen:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
Löschen der Arc-Gatewayressource
Stellen Sie vor dem Löschen einer Arc-Gatewayressource sicher, dass keine Computer angefügt sind. Führen Sie zum Löschen der Gatewayressource den folgenden Befehl aus:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Dieser Vorgang kann einige Minuten dauern.