Netzwerktopologie und Netzwerkkonnektivität für Server mit Azure Arc-Unterstützung

Sie können Server mit Azure Arc-Unterstützung verwenden, um Ihre physischen Windows- und Linux-Server und -VMs über die Azure-Steuerungsebene zu verwalten. In diesem Artikel werden die wichtigsten Überlegungen zum Entwurf und bewährte Methoden für die Konnektivität von Servern mit Azure Arc-Unterstützung im Rahmen des Cloud Adoption Framework-Leitfadens für Zielzonen auf Unternehmensebene beschrieben. Dieser Leitfaden gilt für physische Server und VMs, die Sie in Ihrer lokalen Umgebung oder über einen Partnercloudanbieter hosten.

Dieser Artikel setzt voraus, dass Sie erfolgreich eine Zielzone auf Unternehmensebene implementiert und Hybridnetzwerkverbindungen eingerichtet haben. In diesem Leitfaden geht es in erster Linie um die Konnektivität des Connected Machine-Agents für Server mit Azure Arc-Unterstützung. Weitere Informationen finden Sie in der Übersicht über Zielzonen auf Unternehmensebene und unter Implementieren von Zielzonen auf Unternehmensebene.

Aufbau

Das folgende Diagramm zeigt eine konzeptionelle Referenzarchitektur für die Konnektivität von Servern mit Azure Arc-Unterstützung.

Überlegungen zum Entwurf

Beachten Sie die folgenden Überlegungen zum Netzwerkentwurf für Server mit Azure Arc-Unterstützung.

• Definieren Sie die Konnektivitätsmethode des Agents: Überprüfen Sie Ihre bestehenden Infrastruktur- und Sicherheitsanforderungen. Entscheiden Sie, wie der Connected Machine-Agent über Ihr lokales Netzwerk oder einen anderen Cloudanbieter mit Azure kommunizieren soll. Diese Verbindung kann direkt über das Internet oder über einen Proxyserver hergestellt werden, oder Sie können Azure Private Link implementieren, um eine private Verbindung zu nutzen.

• Verwalten Sie den Zugriff auf Azure-Diensttags: Erstellen Sie einen automatisierten Prozess, um die Firewall- und Proxynetzwerkregeln entsprechend den Netzwerkanforderungen des Connected Machine-Agents zu aktualisieren.

• Sichern Sie Ihre Netzwerkkonnektivität zu Azure Arc: Konfigurieren Sie das Betriebssystem des Computers für die Verwendung von Transport Layer Security (TLS) Version 1.2. Die Verwendung älterer Versionen wird aufgrund bekannter Sicherheitsrisiken nicht empfohlen.

• Definieren Sie die Konnektivitätsmethode der Erweiterungen: Stellen Sie sicher, dass Azure-Erweiterungen, die Sie auf einem Server mit Azure Arc-Unterstützung bereitstellen, mit anderen Azure-Diensten kommunizieren können. Sie können diese Konnektivität direkt über öffentliche Netzwerke, über eine Firewall oder über einen Proxyserver bereitstellen. Sie müssen private Endpunkte für den Azure Arc-Agent konfigurieren. Wenn Ihr Entwurf private Konnektivität erfordert, müssen Sie zusätzliche Schritte zum Aktivieren der Konnektivität mit privaten Endpunkten für jeden Dienst ausführen, auf den Erweiterungen zugreifen. Erwägen Sie abhängig von Ihren Anforderungen hinsichtlich der Kosten, Verfügbarkeit und Bandbreite auch die Verwendung von gemeinsam genutzten oder dedizierten Leitungen.

• Überprüfen Sie Ihre gesamte Konnektivitätsarchitektur: Überprüfen Sie den Entwurfsbereich „Netzwerktopologie und -konnektivität”, um die Auswirkungen von Servern mit Azure Arc-Unterstützung auf die Gesamtkonnektivität zu bewerten.

Entwurfsempfehlungen

Beachten Sie die folgenden Empfehlungen zum Netzwerkentwurf für Server mit Azure Arc-Unterstützung.

Definieren einer Konnektivitätsmethode für den Azure Arc-Agent

Sie können Server mit Azure Arc-Unterstützung verwenden, um Hybridcomputer wie folgt zu verbinden:

• Über eine direkte Verbindung, optional hinter einer Firewall oder einem Proxyserver
• Private Link

Direkte Verbindung

Server mit Azure Arc-Unterstützung können direkte Konnektivität mit öffentlichen Azure-Endpunkten bieten. Wenn Sie diese Konnektivitätsmethode verwenden, nutzen alle Computer-Agents einen öffentlichen Endpunkt, um über das Internet eine Verbindung mit Azure zu öffnen. Der Connected Machine-Agent für Linux und Windows verwendet das HTTPS-Protokoll (TCP/443) für die sichere ausgehende Kommunikation mit Azure.

Wenn Sie die direkte Verbindungsmethode verwenden, bewerten Sie Ihren Internetzugriff für den Connected Machine-Agent. Es wird empfohlen, die erforderlichen Netzwerkregeln zu konfigurieren.

Verbindung über einen Proxyserver oder eine Firewall

Wenn Ihr Computer eine Firewall oder einen Proxyserver für die Kommunikation über das Internet verwendet, stellt der Agent die ausgehende Verbindung über das HTTPS-Protokoll (Hypertext Transfer-Protokoll Secure) her.

Wenn Sie die ausgehende Konnektivität mit einer Firewall oder einem Proxyserver einschränken, müssen Sie die IP-Adressbereiche gemäß den Netzwerkanforderungen des Connected Machine-Agents zulassen. Wenn Sie nur die erforderlichen IP-Adressbereiche oder Domänennamen für die Kommunikation des Agents mit dem Dienst zulassen, verwenden Sie Diensttags und URLs, um Ihre Firewall bzw. Ihren Proxyserver zu konfigurieren.

Wenn Sie auf Ihren Servern mit Azure Arc-Unterstützung Erweiterungen bereitstellen, verbindet sich jede Erweiterung mit ihrem eigenen Endpunkt oder ihren eigenen Endpunkten, und Sie müssen auch alle entsprechenden URLs in der Firewall oder dem Proxy zulassen. Fügen Sie diese Endpunkte hinzu, um eine präzise Absicherung des Netzwerkdatenverkehrs sicherzustellen und das Prinzip der geringsten Rechte zu erfüllen.

Private Link

Um sicherzustellen, dass der gesamte Datenverkehr von Ihren Azure Arc-Agents in Ihrem Netzwerk verbleibt, verwenden Sie einen Server mit Azure Arc-Unterstützung mit einem Private Link-Bereich in Azure Arc. Diese Konfiguration bietet Vorteile hinsichtlich der Sicherheit. Der Datenverkehr wird nicht über das Internet geleitet, und Sie müssen weniger Ausnahmen für ausgehende Verbindungen in Ihrer Rechenzentrumsfirewall öffnen. Die Verwaltung von Private Link bringt jedoch eine Reihe von Herausforderungen mit sich und erhöht (insbesondere für globale Organisationen) sowohl die Gesamtkomplexität als auch die Kosten. Hier finden Sie mögliche Herausforderungen:

• Ein Private Link-Bereich in Azure Arc umfasst alle Azure Arc-Clients unter demselben Domain Name System (DNS)-Bereich. Wenn Azure Arc-Clients denselben DNS-Server nutzen, ist es nicht möglich, für einige Clients private Endpunkte und für andere Clients öffentliche Endpunkte zu verwenden. Sie können jedoch Problemumgehungen wie DNS-Richtlinien implementieren.

• Ihre Azure Arc-Clients können alle über private Endpunkte in einer primären Region verfügen. Wenn dies nicht der Fall ist, müssen Sie DNS so konfigurieren, dass die gleichen Namen von privaten Endpunkten in unterschiedliche IP-Adressen aufgelöst werden. Sie können z. B. selektiv replizierte DNS-Partitionen für in Windows Server Active Directory integriertes DNS verwenden. Wenn Sie für alle Azure Arc-Clients dieselben privaten Endpunkte verwenden, müssen Sie in der Lage sein, den Datenverkehr aus all Ihren Netzwerken an die privaten Endpunkte weiterzuleiten.

• Wenn Sie private Endpunkte für Azure-Dienste verwenden möchten, auf die von Erweiterungssoftwarekomponenten zugegriffen wird, die Sie über Azure Arc bereitstellen, müssen Sie zusätzliche Schritte ausführen. Zu diesen Diensten zählen Log Analytics-Arbeitsbereiche, Azure Automation-Konten, Azure Key Vault und Azure Storage.

• Für die Konnektivität mit Microsoft Entra ID werden öffentliche Endpunkte verwendet, sodass Clients Internetzugriff benötigen.

• Wenn Sie Azure ExpressRoute für die private Konnektivität verwenden, sollten Sie die bewährten Methoden für die Resilienz von Leitungen, Gateways, Verbindungen und ExpressRoute Direct ggf. nochmals überprüfen.

Angesichts dieser Herausforderungen sollten Sie bewerten, ob Sie Private Link für Ihre Azure Arc-Implementierung benötigen. Öffentliche Endpunkte verschlüsseln Datenverkehr. Je nachdem, wie Sie Azure Arc für Server verwenden, können Sie den Datenverkehr ggf. auf Verwaltungs- und Metadatendatenverkehr beschränken. Implementieren Sie Sicherheitskontrollen für lokale Agents, um Sicherheitsbedenken gerecht zu werden.

Weitere Informationen finden Sie unter Private Link-Sicherheit und in den Einschränkungen bezüglich der Private Link-Unterstützung für Azure Arc.

Verwalten des Zugriffs auf Azure-Diensttags

Es wird empfohlen, entsprechend den Azure Arc-Netzwerkanforderungen einen automatisierten Prozess zum Aktualisieren der Firewall- und Proxynetzwerkregeln zu implementieren.

Nächste Schritte

Weitere Informationen zur Einführung der Hybrid Cloud finden Sie in den folgenden Ressourcen:

• Azure Arc Jumpstart-Szenarien
• Voraussetzungen für den Connected Machine-Agent
• Netzwerkkonfiguration für die Private Link-Konnektivitätsmethode
• Verwenden von Private Link zum Verbinden von Servern mit Azure Arc
• Planen einer Bereitstellung von Servern mit Azure Arc-Unterstützung im großen Stil
• Private Link-Setup
• Behandeln von Verbindungsproblemen beim Azure Connected Machine-Agent
• Training: Integrieren von Azure-Innovationen in Ihre Hybridumgebungen mit Azure Arc