Netzwerktopologie und Netzwerkkonnektivität für Server mit Azure Arc-Unterstützung

Sie können Server mit Azure Arc-Unterstützung verwenden, um Ihre physischen Windows- und Linux-Server und -VMs über die Azure-Steuerungsebene zu verwalten. In diesem Artikel werden wichtige Überlegungen zum Entwurf und bewährte Methoden für die Konnektivität von Servern mit Azure Arc-Unterstützung im Rahmen der Cloud Adoption Framework-Anleitung für Azure-Zielzonen auf Unternehmensebene beschrieben. Dieser Leitfaden gilt für physische Server und VMs, die Sie in Ihrer lokalen Umgebung oder über einen Partnercloudanbieter hosten.

Dieser Artikel setzt voraus, dass Sie erfolgreich eine Zielzone auf Unternehmensebene implementiert und Hybridnetzwerkverbindungen eingerichtet haben. In diesem Leitfaden geht es in erster Linie um die Konnektivität des Connected Machine-Agents für Server mit Azure Arc-Unterstützung. Weitere Informationen finden Sie in der Übersicht über Zielzonen auf Unternehmensebene und unter Implementieren von Zielzonen auf Unternehmensebene.

Aufbau

Das folgende Diagramm zeigt eine konzeptionelle Referenzarchitektur für die Konnektivität von Servern mit Azure Arc-Unterstützung.

Überlegungen zum Entwurf

Beachten Sie die folgenden Überlegungen zum Netzwerkentwurf für Server mit Azure Arc-Unterstützung.

• Verwalten Sie den Zugriff auf Azure-Diensttags: Erstellen Sie einen automatisierten Prozess, um die Firewall- und Proxynetzwerkregeln entsprechend den Netzwerkanforderungen des Connected Machine-Agents zu aktualisieren.
• Sichern Sie Ihre Netzwerkkonnektivität zu Azure Arc: Konfigurieren Sie das Betriebssystem des Computers für die Verwendung von Transport Layer Security (TLS) Version 1.2. Die Verwendung älterer Versionen wird aufgrund bekannter Sicherheitsrisiken nicht empfohlen.
• Definieren Sie die Konnektivitätsmethode der Erweiterungen: Stellen Sie sicher, dass Azure-Erweiterungen, die Sie auf einem Server mit Azure Arc-Unterstützung bereitstellen, mit anderen Azure-Diensten kommunizieren können. Sie können diese Konnektivität direkt über öffentliche Netzwerke, über eine Firewall oder über einen Proxyserver bereitstellen. Sie müssen private Endpunkte für den Azure Arc-Agent konfigurieren. Wenn Ihr Entwurf private Konnektivität erfordert, müssen Sie zusätzliche Schritte zum Aktivieren der Konnektivität mit privaten Endpunkten für jeden Dienst ausführen, auf den Erweiterungen zugreifen. Erwägen Sie abhängig von Ihren Anforderungen hinsichtlich der Kosten, Verfügbarkeit und Bandbreite auch die Verwendung von gemeinsam genutzten oder dedizierten Leitungen.
• Überprüfen Sie Ihre gesamte Konnektivitätsarchitektur: Überprüfen Sie den Entwurfsbereich „Netzwerktopologie und -konnektivität”, um die Auswirkungen von Servern mit Azure Arc-Unterstützung auf die Gesamtkonnektivität zu bewerten.

Entwurfsempfehlungen

Beachten Sie die folgenden Empfehlungen zum Netzwerkentwurf für Server mit Azure Arc-Unterstützung.

Definieren einer Konnektivitätsmethode für den Azure Arc-Agent

Überprüfen Sie zunächst Ihre vorhandenen Infrastruktur- und Sicherheitsanforderungen. Entscheiden Sie dann, wie der Connected Machine-Agent über Ihr lokales Netzwerk oder andere Cloudanbieter mit Azure kommunizieren soll. Diese Verbindung kann über das Internet, über einen Proxyserver oder über Azure Private Link für eine private Verbindung gehen. Wenn Sie Azure Arc über das Internet mit oder ohne Proxy implementieren, können Sie auch eine Funktion verwenden, die sich derzeit in der öffentlichen Testversion befindet und das Azure Arc-Gatewayheißt. Dieses Feature trägt dazu bei, die Gesamtanzahl der Endpunkte zu verringern, auf die der Proxy zugriff zulassen muss.

Direkte Verbindung

Server mit Azure Arc-Unterstützung können direkte Konnektivität mit öffentlichen Azure-Endpunkten bieten. Wenn Sie diese Konnektivitätsmethode verwenden, nutzen alle Computer-Agents einen öffentlichen Endpunkt, um über das Internet eine Verbindung mit Azure zu öffnen. Der Connected Machine-Agent für Linux und Windows verwendet das HTTPS-Protokoll (TCP/443) für die sichere ausgehende Kommunikation mit Azure.

Wenn Sie die direkte Verbindungsmethode verwenden, bewerten Sie Ihren Internetzugriff für den Connected Machine-Agent. Es wird empfohlen, die erforderlichen Netzwerkregeln zu konfigurieren.

Verbindung über einen Proxyserver oder eine Firewall

Wenn Ihr Computer eine Firewall oder einen Proxyserver für die Kommunikation über das Internet verwendet, stellt der Agent die ausgehende Verbindung über das HTTPS-Protokoll (Hypertext Transfer-Protokoll Secure) her.

Wenn Sie die ausgehende Konnektivität mit einer Firewall oder einem Proxyserver einschränken, müssen Sie die IP-Adressbereiche gemäß den Netzwerkanforderungen des Connected Machine-Agents zulassen. Wenn Sie nur die erforderlichen IP-Adressbereiche oder Domänennamen für die Kommunikation des Agents mit dem Dienst zulassen, verwenden Sie Diensttags und URLs, um Ihre Firewall bzw. Ihren Proxyserver zu konfigurieren.

Wenn Sie auf Ihren Servern mit Azure Arc-Unterstützung Erweiterungen bereitstellen, verbindet sich jede Erweiterung mit ihrem eigenen Endpunkt oder ihren eigenen Endpunkten, und Sie müssen auch alle entsprechenden URLs in der Firewall oder dem Proxy zulassen. Fügen Sie diese Endpunkte hinzu, um eine präzise Absicherung des Netzwerkdatenverkehrs sicherzustellen und das Prinzip der geringsten Rechte zu erfüllen.

Um die Gesamtanzahl der URLs zu verringern, die in der Firewall oder dem Proxy erforderlich sind, bestimmen Sie, ob der Azure Arc-Gatewaydienst von Vorteil wäre.

Azure Arc-Gateway

Azure Arc-Gateway (öffentliche Vorschau) reduziert die Gesamtanzahl der ausgehenden HTTPS-Endpunkte, die Ihr Proxy benötigt, damit Azure Arc funktioniert. Es beseitigt die Notwendigkeit der meisten Platzhalterendpunkte und reduziert die Gesamtanzahl der erforderlichen Endpunkte auf acht. Es kann mit einigen Erweiterungsendpunkten funktionieren, sodass Sie keine weiteren URL-Ausschlüsse in Ihrem Proxy erstellen müssen.

Der Azure Arc-Gatewaydienst funktioniert derzeit nicht mit privatem Link oder mit Azure ExpressRoute-Peering, da Sie über das Internet auf den Azure Arc-Gatewaydienst zugreifen müssen.

Private Link

Um sicherzustellen, dass der gesamte Datenverkehr Ihrer Azure Arc-Agents in Ihrem Netzwerk verbleibt, verwenden Sie einen Azure Arc-fähigen Server mit Azure Arc Private Link Scope. Diese Konfiguration bietet Vorteile hinsichtlich der Sicherheit. Der Datenverkehr wird nicht über das Internet geleitet, und Sie müssen weniger Ausnahmen für ausgehende Verbindungen in Ihrer Rechenzentrumsfirewall öffnen. Private Link stellt jedoch viele Verwaltungsprobleme auf und erhöht die Gesamtkomplexität und die Kosten, insbesondere für globale Organisationen. Hier finden Sie mögliche Herausforderungen:

• Ein Private Link-Bereich in Azure Arc umfasst alle Azure Arc-Clients unter demselben Domain Name System (DNS)-Bereich. Wenn Azure Arc-Clients denselben DNS-Server nutzen, ist es nicht möglich, für einige Clients private Endpunkte und für andere Clients öffentliche Endpunkte zu verwenden. Sie können jedoch Problemumgehungen wie DNS-Richtlinien implementieren.

• Ihre Azure Arc-Clients können alle über private Endpunkte in einer primären Region verfügen. Wenn dies nicht der Fall ist, müssen Sie DNS so konfigurieren, dass die gleichen Namen von privaten Endpunkten in unterschiedliche IP-Adressen aufgelöst werden. Sie können z. B. selektiv replizierte DNS-Partitionen für in Windows Server Active Directory integriertes DNS verwenden. Wenn Sie für alle Azure Arc-Clients dieselben privaten Endpunkte verwenden, müssen Sie in der Lage sein, den Datenverkehr aus all Ihren Netzwerken an die privaten Endpunkte weiterzuleiten.

• Um private Endpunkte für alle Azure-Dienste zu verwenden, auf die durch Erweiterungssoftwarekomponenten zugegriffen wird, die Sie über Azure Arc bereitstellen, müssen Sie zusätzliche Schritte ausführen. Zu diesen Diensten gehören Log Analytics-Arbeitsbereiche, Azure Automation-Konten, Azure Key Vault und Azure Storage.

• Für die Konnektivität mit Microsoft Entra ID werden öffentliche Endpunkte verwendet, sodass Clients Internetzugriff benötigen.

• Wenn Sie ExpressRoute für private Konnektivität verwenden, sollten Sie die bewährten Methoden zur Ausfallsicherheit für Schaltkreise, Gateways, Verbindungenund ExpressRoute Directüberprüfen.

Angesichts dieser Herausforderungen sollten Sie bewerten, ob Sie Private Link für Ihre Azure Arc-Implementierung benötigen. Öffentliche Endpunkte verschlüsseln Datenverkehr. Je nachdem, wie Sie Azure Arc für Server verwenden, können Sie den Datenverkehr ggf. auf Verwaltungs- und Metadatendatenverkehr beschränken. Implementieren Sie Sicherheitskontrollen für lokale Agents, um Sicherheitsbedenken gerecht zu werden.

Weitere Informationen finden Sie unter Private Link-Sicherheit und in den Einschränkungen bezüglich der Private Link-Unterstützung für Azure Arc.

Verwalten des Zugriffs auf Azure-Diensttags

Es wird empfohlen, entsprechend den Azure Arc-Netzwerkanforderungen einen automatisierten Prozess zum Aktualisieren der Firewall- und Proxynetzwerkregeln zu implementieren.

Nächste Schritte

Weitere Informationen zu Ihrer Hybrid-Cloud-Einführungsreise finden Sie in den folgenden Ressourcen:

• Azure Arc Jumpstart-Szenarien
• Voraussetzungen für den Connected Machine-Agent
• Netzwerkkonfiguration für die Private Link-Konnektivitätsmethode
• Verwenden von Private Link zum Verbinden von Servern mit Azure Arc
• Planen einer Bereitstellung im großen Stil von Servern mit Azure Arc-Unterstützung
• Private Link-Setup
• Behandeln von Verbindungsproblemen beim Azure Connected Machine-Agent
• Training: Integrieren von Azure-Innovationen in Ihre Hybridumgebungen mit Azure Arc