Informationen zum Azure Arc-Gateway für Azure Local, Version 23H2 (Vorschau)

Gilt für: Azure Local, Version 23H2, Release 2408, 2408.1, 2408.2 und 2411

Wichtig

Azure Stack HCI ist jetzt Teil von Azure Local. Die Umbenennung der Produktdokumentation wird ausgeführt. Textänderungen sind abgeschlossen, und visuelle Updates werden in Kürze abgeschlossen. Weitere Informationen

Dieser Artikel enthält eine Übersicht über das Azure Arc-Gateway für Azure Local, Version 23H2. Das Arc-Gateway kann für neue Bereitstellungen von Azure Local running software Version 2408 und höher aktiviert werden. In diesem Artikel wird auch beschrieben, wie Sie die Arc-Gatewayressource in Azure erstellen und löschen.

Sie können das Arc-Gateway verwenden, um die Anzahl der erforderlichen Endpunkte zu reduzieren, die zum Bereitstellen und Verwalten von Azure Local Instances erforderlich sind. Nachdem Sie das Arc-Gateway erstellt haben, können Sie eine Verbindung herstellen und für neue Bereitstellungen von Azure Local verwenden.

Informationen zum Bereitstellen des Azure Arc-Gateways für eigenständige Server (nicht für lokale Azure-Computer) finden Sie unter Vereinfachen der Netzwerkkonfigurationsanforderungen über das Azure Arc-Gateway.

Wichtig

Dieses Feature befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Funktionsweise

Das Arc-Gateway funktioniert durch Einführung der folgenden Komponenten:

• Arc-Gatewayressource – Eine Azure-Ressource, die als gemeinsamer Einstiegspunkt für Azure-Datenverkehr fungiert. Diese Gatewayressource verfügt über eine bestimmte Domäne oder URL, die Sie verwenden können. Wenn Sie die Arc-Gatewayressource erstellen, ist diese Domäne oder URL Teil der Erfolgsantwort.

• Arc-Proxy – Eine neue Komponente, die dem Arc Agentry hinzugefügt wird. Diese Komponente wird als Dienst (Als Azure Arc-Proxy bezeichnet) ausgeführt und funktioniert als Weiterleitungsproxy für die Azure Arc-Agents und -Erweiterungen. Der Gatewayrouter benötigt keine Konfiguration von Ihrer Seite. Dieser Router ist Teil der Arc Core Agentry und wird im Kontext einer Arc-fähigen Ressource ausgeführt.

Nachdem Sie das Arc-Gateway in Version 2411 von lokalen Azure-Bereitstellungen integriert haben, ruft jeder Computer Arc-Proxy zusammen mit anderen Arc-Agents ab.

Wenn Arc-Gateway verwendet wird, ändert sich der Http- und https-Datenverkehrsfluss wie folgt:

Datenverkehrsfluss für Azure Local Host Operating System-Komponenten

1. Die Betriebssystemproxyeinstellungen werden verwendet, um den gesamten HTTPS-Hostdatenverkehr über den Arc-Proxy weiterzuleiten.

2. Vom Arc-Proxy wird der Datenverkehr an das Arc-Gateway weitergeleitet.

3. Basierend auf der Konfiguration im Arc-Gateway, falls zulässig, wird der Datenverkehr an Zieldienste gesendet. Wenn dies nicht zulässig ist, leitet Arc-Proxy diesen Datenverkehr an den Unternehmensproxy weiter (oder direkt ausgehend, wenn kein Proxysatz festgelegt ist). Der Arc-Proxy bestimmt automatisch den richtigen Pfad für den Endpunkt.

Verkehrsfluss für Arc Appliance Arc Resource Bridge (ARB) und AKS-Steuerebene

1. Die routingfähige IP (Failovercluster-IP-Ressource ab jetzt) wird verwendet, um den Datenverkehr über Arc-Proxy weiterzuleiten, der auf den lokalen Azure-Hostcomputern ausgeführt wird.

2. ARB und AKS-Weiterleitungsproxy sind für die Verwendung der routingfähigen IP konfiguriert.

3. Wenn die Proxyeinstellungen vorhanden sind, wird ARB und AKS ausgehender Datenverkehr an Arc Proxy weitergeleitet, der auf einem der lokalen Azure-Computer über die routingfähige IP ausgeführt wird.

4. Sobald der Datenverkehr den Arc-Proxy erreicht hat, nimmt der verbleibende Fluss den gleichen Pfad wie beschrieben. Wenn Datenverkehr zum Zieldienst zulässig ist, wird er an das Arc-Gateway gesendet. Andernfalls wird sie an den Unternehmensproxy (oder direkt ausgehend, wenn kein Proxysatz festgelegt ist) gesendet. Beachten Sie, dass für AKS speziell dieser Pfad zum Herunterladen von Docker-Images für Arc Agentry und Arc Extension Pods verwendet wird.

Datenverkehrsfluss für Arc-VMs

Http- und HTTPS-Datenverkehr werden an den Unternehmensproxy weitergeleitet. Der Arc-Proxy innerhalb der Arc-VM wird in dieser Version noch nicht unterstützt.

Datenverkehrsflüsse werden im folgenden Diagramm veranschaulicht:

Unterstützte und nicht unterstützte Szenarien

Sie können das Arc-Gateway im folgenden Szenario für die lokalen Azure-Versionen 2408 und 2411 verwenden:

• Aktivieren Sie das Arc-Gateway während der Bereitstellung neuer lokaler Azure-Instanzen mit Den Versionen 2408 und 2411.

Nicht unterstützte Szenarien für Azure Local, Versionen 2408 und 2411 umfassen:

• Azure Local instances updated from versions 2402 or 2405 to versions 2408 or 2411 can't take advantage of all the new endpoints supported by this Arc gateway preview. Hostkomponenten, Arc-Erweiterungen, ARB und AKS erforderliche Endpunkte werden nur unterstützt, wenn das Arc-Gateway als Teil einer neuen Version 2408-Bereitstellung aktiviert wird.

• Das Aktivieren des Arc-Gateways nach Version 2408 oder 2411 kann nicht alle neuen Endpunkte nutzen, die von dieser Arc-Gatewayvorschau unterstützt werden. Host-, Arc-Erweiterungen, ARB- und AKS-erforderliche Endpunkte werden nur unterstützt, wenn das Arc-Gateway als Teil einer neuen Version 2408- oder Version 2411-Bereitstellung aktiviert wird.

Azure Local endpoints not redirected

Im Rahmen des Azure Local Version 2408 Preview-Updates sind die Endpunkte aus der Tabelle erforderlich und müssen in Ihrem Proxy oder Ihrer Firewall zugelassen sein, um die lokale Azure-Instanz bereitzustellen. Diese Endpunkte der Version 2408 und 2411 werden nicht über das Arc-Gateway umgeleitet:

Endpunkt #	Erforderlicher Endpunkt	Komponente
1	http://go.microsoft.com:443	Umgebungsprüfung
2	http://www.powershellgallery.com:443	Umgebungsprüfung
3	http://psg-prod-eastus.azureedge.net:443	Umgebungsprüfung
4	http://onegetcdn.azureedge.net:443	Umgebungsprüfung
5	http://login.microsoftonline.com:443	Umgebungsprüfung
6	http://aka.ms:443	Umgebungsprüfung
7	http://azurestackreleases.download.prss.microsoft.com:443	Umgebungsprüfung
8	http://download.microsoft.com:443	Umgebungsprüfung
9	http://portal.azure.com:443	Umgebungsprüfung
10	http://management.azure.com:443	Umgebungsprüfung
11	http://www.office.com:443	Umgebungsprüfung
12	http://gbl.his.arc.azure.com:443	Arc-Agent
13	http://<region>.his.arc.azure.com:443	Arc-Agent
14	http://dc.services.visualstudio.com:443	Arc-Agent
15	http://<yourarcgatewayId>.gw.arc.azure.com:443	Bogengateway
16	http://<yourkeyvaultname>.vault.azure.net:443	Azure Key Vault
17	http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443	Cloudzeugenspeicherkonto
18	http://files.pythonhosted.org:443	Microsoft On-premises Cloud/ARB/AKS
19	http://pypi.org:443	Microsoft On-premises Cloud/ARB/AKS
20	http://raw.githubusercontent.com:443	Microsoft On-premises Cloud/ARB/AKS
21	http://pythonhosted.org:443	Microsoft On-premises Cloud/ARB/AKS
22	http://hciarcvmsstorage.z13.web.core.windows.net:443	Microsoft On-premises Cloud/ARB/AKS
23	http://ocsp.digicert.com	Zertifikatsperrliste für Arc-Erweiterungen
24	http://s.symcd.com	Zertifikatsperrliste für Arc-Erweiterungen
25	http://ts-ocsp.ws.symantec.com	Zertifikatsperrliste für Arc-Erweiterungen
26	http://ocsp.globalsign.com	Zertifikatsperrliste für Arc-Erweiterungen
27	http://ocsp2.globalsign.com	Zertifikatsperrliste für Arc-Erweiterungen
28	http://oneocsp.microsoft.com	Zertifikatsperrliste für Arc-Erweiterungen
29	http://dl.delivery.mp.microsoft.com	LCM-Binärdateien
30	http://*.tlu.dl.delivery.mp.microsoft.com	LCM-Binärdateien
31	http://*.windowsupdate.com	Windows Update
32	http://*.windowsupdate.microsoft.com	Windows Update
33	http://*.update.microsoft.com	Windows Update

Einschränkungen

Beachten Sie die folgenden Einschränkungen des Arc-Gateways in dieser Version:

• TLS-Beendigungsproxys werden mit der Arc-Gatewayvorschau nicht unterstützt.
• Die Verwendung von ExpressRoute, Standort-zu-Standort-VPN oder privaten Endpunkten zusätzlich zum Arc-Gateway (Vorschau) wird nicht unterstützt.

Erstellen der Arc-Gatewayressource in Azure

Sie können eine Arc-Gatewayressource mithilfe des Azure-Portals, der Azure CLI oder der Azure PowerShell erstellen.

Portal

1. Melden Sie sich beim Azure-Portal an.
2. Wechseln Sie zur Azure Arc-Gatewayseite von Azure Arc>, und wählen Sie dann "Erstellen" aus.
3. Wählen Sie das Abonnement und die Ressourcengruppe für die Verwaltung der Arc-Gatewayressource in Azure aus. Eine Arc-Gatewayressource kann von jeder Arc-fähigen Ressource im selben Azure-Mandanten verwendet werden.
4. Geben Sie für "Name" den Namen für die Arc-Gatewayressource ein.
5. Geben Sie für "Standort" die Region ein, in der sich die Arc-Gatewayressource befinden soll. Eine Arc-Gatewayressource kann von jeder Arc-fähigen Ressource im selben Azure-Mandanten verwendet werden.
6. Wählen Sie Weiter aus.
7. Geben Sie auf der Seite Tags eine oder mehrere benutzerdefinierte Tags an, die Ihre Standards unterstützen sollen.
8. Wählen Sie Überprüfen + erstellen aus.
9. Überprüfen Sie Ihre Details, und wählen Sie dann "Erstellen" aus.

Der Gatewayerstellungsprozess dauert neun bis zehn Minuten, bis er abgeschlossen ist.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

1. Fügen Sie die Arc-Gatewayerweiterung zu Ihrer Azure CLI hinzu:

   az extension add -n arcgateway

2. Führen Sie auf einem Computer mit Zugriff auf Azure die folgenden Befehle aus, um Ihre Arc-Gatewayressource zu erstellen:

   az arcgateway create --name [gateway name] --resource-group [resource group] --location [location]
   

   Der Prozess für die Gatewayerstellung dauert 9 bis 10 Minuten.

PowerShell

Führen Sie auf einem Computer mit Zugriff auf Azure den folgenden PowerShell-Befehl aus, um Ihre Arc-Gatewayressource zu erstellen:

New-AzArcgateway 
-name <gateway name> 
-resource-group <resource group> 
-location <region> 
-subscription <subscription name or id> 
-gateway-type public  
-allowed-features *

Der Prozess für die Gatewayerstellung dauert 9 bis 10 Minuten.

Trennen oder Ändern der Arc-Gatewayzuordnung vom Computer

Um die Gatewayressource von Ihrem Arc-fähigen Server zu trennen, legen Sie die Gatewayressourcen-ID auf null. Wenn Sie Ihren Arc-fähigen Server an eine andere Arc-Gatewayressource anfügen möchten, aktualisieren Sie einfach den Namen und die Ressourcen-ID mit den neuen Arc-Gatewayinformationen:

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "

Löschen der Arc-Gatewayressource

Stellen Sie vor dem Löschen einer Arc-Gatewayressource sicher, dass keine Computer angefügt sind. Führen Sie zum Löschen der Gatewayressource den folgenden Befehl aus:

az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>

Dieser Vorgang kann einige Minuten dauern.

Nächste Schritte

• Manuelles Konfigurieren des Proxys

• Konfigurieren des Proxys über das Registrierungsskript

• Verwenden des Gateways ohne Proxy