Compartir a través de

Simplificación de los requisitos de configuración de red con la puerta de enlace de Azure Arc (versión preliminar)

  • Artículo

Si usa servidores proxy empresariales para administrar el tráfico saliente, la puerta de enlace de Azure Arc puede ayudar a simplificar el proceso de habilitación de la conectividad.

La puerta de enlace de Azure Arc (actualmente en versión preliminar) le permite:

  • Conectarse a Azure Arc abriendo el acceso de red pública a solo siete nombres de dominio completos (FQDN).
  • Ver y auditar todo el tráfico que los agentes de Arc envían a Azure a través de la puerta de enlace de Arc.

Importante

La puerta de enlace de Azure Arc está actualmente en versión preliminar.

Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Funcionamiento de la puerta de enlace de Azure Arc

La puerta de enlace de Arc funciona mediante la introducción de dos nuevos componentes:

  • El recurso de puerta de enlace de Arc es un recurso de Azure que actúa como front-end común para el tráfico de Azure. El recurso de puerta de enlace se sirve en un dominio o dirección URL específico. Debe crear este recurso siguiendo los pasos descritos en este artículo. Después de crear correctamente el recurso de puerta de enlace, este dominio o dirección URL se incluye en la respuesta correcta.
  • El proxy de Arc es un nuevo componente que se ejecuta como su propio pod (denominado Proxy de Azure Arc). Este componente actúa como proxy de reenvío usado por agentes y extensiones de Azure Arc. No hay ninguna configuración necesaria en su parte para el Proxy de Azure Arc.

Para más información, consulte cómo funciona la puerta de enlace de Azure Arc.

Importante

Azure Local y AKS no admiten servidores proxy de terminación tls, VPN de sitio a sitio o ExpressRoute o puntos de conexión privados. Además, hay un límite de cinco recursos de puerta de enlace de Arc por suscripción de Azure.

Antes de empezar

  • Asegúrese de completar los requisitos previos para crear clústeres de AKS en Azure Local.

  • En este artículo se requiere la versión 1.4.23 o posterior de la CLI de Azure. Si usa Azure CloudShell, la versión más reciente ya está instalada.

  • Los siguientes permisos de Azure son necesarios para crear recursos de puerta de enlace de Arc y administrar su asociación con clústeres de AKS Arc:

    • Microsoft.Kubernetes/connectedClusters/settings/default/write
    • Microsoft.hybridcompute/gateways/read
    • Microsoft.hybridcompute/gateways/write

  • Puede crear un recurso de puerta de enlace de Arc mediante la CLI de Azure o Azure Portal. Para más información sobre cómo crear un recurso de puerta de enlace de Arc para los clústeres de AKS y Azure Local, consulte Creación del recurso de puerta de enlace de Arc en Azure. Al crear el recurso de puerta de enlace de Arc, ejecute el comando siguiente para obtener el identificador de recurso de puerta de enlace:

    $gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"

Confirmar acceso a las direcciones URL necesarias

Asegúrese de que la dirección URL de la puerta de enlace de Arc y todas las direcciones URL siguientes se permiten a través del firewall de empresa:

URL Propósito
[Your URL prefix].gw.arc.azure.com Dirección URL de la puerta de enlace. Para obtener esta dirección URL, ejecute az arcgateway list después de crear el recurso.
management.azure.com Punto de conexión de Azure Resource Manager, necesario para el canal de control de Azure Resource Manager.
<region>.obo.arc.azure.com Obligatorio cuando az connectedk8s proxy se usa.
login.microsoftonline.com, <region>.login.microsoft.com Punto de conexión de Microsoft Entra ID, que se usa para adquirir tokens de acceso de identidad.
gbl.his.arc.azure.com, <region>.his.arc.azure.com Punto de conexión de servicio en la nube para comunicarse con agentes de Arc. Usa nombres cortos; por ejemplo eus , para Este de EE. UU.
mcr.microsoft.com, *.data.mcr.microsoft.com Necesario para extraer imágenes de contenedor para agentes de Azure Arc.

Creación de un clúster de AKS Arc con la puerta de enlace de Arc habilitada

Ejecute el siguiente comando para crear un clúster de AKS Arc con la puerta de enlace de Arc habilitada:

az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys

Actualización de un clúster de AKS Arc y habilitación de la puerta de enlace de Arc

Ejecute el siguiente comando para actualizar un clúster de AKS Arc y habilitar la puerta de enlace de Arc:

az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId

Deshabilitación de la puerta de enlace de Arc en un clúster de AKS Arc

Ejecute el siguiente comando para deshabilitar un clúster de AKS Arc:

az aksarc update -n $clusterName -g $resourceGroup --disable-gateway

Supervisión del tráfico

Para auditar el tráfico de la puerta de enlace, vea los registros del enrutador de puerta de enlace:

  1. Ejecute kubectl get pods -n azure-arc.
  2. Identificar el pod de proxy de Arc (su nombre comenzará por arc-proxy-).
  3. Ejecute kubectl logs -n azure-arc <Arc Proxy pod name>.

Otros escenarios

Durante la versión preliminar pública, la puerta de enlace de Arc cubre los puntos de conexión necesarios para los clústeres de AKS Arc y una parte de los puntos de conexión necesarios para escenarios adicionales habilitados para Arc. En función de los escenarios que adopte, se deben permitir puntos de conexión adicionales en el proxy.

Todos los puntos de conexión enumerados para los siguientes escenarios deben permitirse en el proxy de empresa cuando la puerta de enlace de Arc está en uso:

Pasos siguientes