Simplificación de los requisitos de configuración de red con la puerta de enlace de Azure Arc (versión preliminar pública)
Si usa servidores proxy empresariales para administrar el tráfico saliente, la puerta de enlace de Azure Arc le permite incorporar la infraestructura a Azure Arc con solo siete (7) puntos de conexión. Con la puerta de enlace de Azure Arc, puede hacer lo siguiente:
- Conéctese a Azure Arc abriendo el acceso de red pública a solo siete (7) dominios completos (FQDN).
- Ver y auditar todo el tráfico que un agente de Azure Connected Machine envía a Azure a través de la puerta de enlace de Arc.
En este artículo se explica cómo configurar y usar la puerta de enlace de Arc (versión preliminar pública).
Importante
La característica de puerta de enlace de Arc para servidores habilitados para Azure Arc se encuentra actualmente en versión preliminar pública en todas las regiones en las que están presentes los servidores habilitados para Azure Arc. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Funcionamiento de la puerta de enlace de Azure Arc
La puerta de enlace de Azure Arc consta de dos componentes principales:
El recurso de puerta de enlace de Arc: un recurso de Azure que actúa como front-end común para el tráfico de Azure. Este recurso de puerta de enlace se sirve en un dominio específico. Una vez creado el recurso de puerta de enlace de Arc, se le devuelve el dominio en la respuesta correcta.
El proxy de Arc: un nuevo componente agregado a los agentes de Arc. Este componente se ejecuta como un servicio denominado "Proxy de Azure Arc" y actúa como un proxy de reenvío que usan los agentes y extensiones de Azure Arc. No se requiere ninguna configuración por parte del proxy de Arc. Este proxy forma parte de los agentes principales de Arc y se ejecuta dentro del contexto de un recurso habilitado para Arc.
Cuando la puerta de enlace está en vigor, el tráfico fluye a través de los siguientes saltos: Agente de Arc → Proxy de Arc → Proxy de empresa → Puerta de enlace de Arc → Servicio de destino
Limitaciones actuales
El objeto de puerta de enlace de Arc tiene límites que debe tener en cuenta al planear la configuración. Estas limitaciones solo se aplican a la versión preliminar pública. Es posible que estas limitaciones no se apliquen cuando la característica de puerta de enlace de Arc esté disponible con carácter general.
- No se admiten servidores proxy de terminación tls (versión preliminar pública)
- No se admite expressRoute/VPN de sitio a sitio o puntos de conexión privados que se usan con la puerta de enlace de Arc (versión preliminar pública).
- Hay un límite de cinco (5) recursos de puerta de enlace de Arc (versión preliminar pública) por suscripción de Azure.
Permisos necesarios
Para crear recursos de puerta de enlace de Arc y administrar su asociación con servidores habilitados para Arc, se requieren los siguientes permisos:
- Microsoft.HybridCompute/settings/write
- Microsoft.hybridcompute/gateways/read
- Microsoft.hybridcompute/gateways/write
Cómo usar la puerta de enlace de Arc (versión preliminar pública)
Hay cuatro pasos para usar la puerta de enlace de Arc:
- Cree un recurso de puerta de enlace de Arc.
- Asegúrese de que las direcciones URL necesarias están permitidas en su entorno.
- Incorpore recursos de Azure Arc con el recurso de puerta de enlace de Arc o configure los recursos existentes de Azure Arc para usar la puerta de enlace de Arc.
- Compruebe que la instalación se realizó correctamente.
Paso 1: Crear un recurso de puerta de enlace de Arc
Puede crear un recurso de puerta de enlace de Arc mediante Azure Portal, la CLI de Azure o Azure PowerShell.
En el explorador, inicie sesión en Azure Portal.
Vaya a la página Azure Arc | Puerta de enlace de Azure Arc y, a continuación, seleccione Crear.
Seleccione la suscripción y el grupo de recursos donde quiera que el recurso de puerta de enlace de Arc se administre en Azure. Cualquier recurso habilitado para Arc en el mismo inquilino de Azure puede usar un recurso de puerta de enlace de Arc.
En Nombre, escriba un nombre para el recurso de puerta de enlace de Arc.
En Ubicación, escriba la región en la que deba estar el recurso de puerta de enlace de Arc. Cualquier recurso habilitado para Arc en el mismo inquilino de Azure puede usar un recurso de puerta de enlace de Arc.
Seleccione Siguiente.
En la página Etiquetas, especifique una o varias etiquetas personalizadas para admitir los estándares.
Seleccione Revisar y crear.
Revise los detalles de entrada y, a continuación, seleccione Crear.
El proceso de creación de la puerta de enlace tarda entre 9 y 10 minutos en completarse.
Paso 2: Asegurarse de que las direcciones URL necesarias están permitidas en su entorno
Cuando se crea el recurso, la respuesta correcta incluye la dirección URL de la puerta de enlace de Arc. Asegúrese de que la dirección URL de la puerta de enlace de Arc y todas las direcciones URL de la siguiente tabla están permitidas en el entorno en el que residen los recursos de Arc. Las direcciones URL requeridas son las siguientes:
| URL | Propósito |
|---|---|
| [Prefijo de dirección URL].gw.arc.azure.com | La dirección URL de la puerta de enlace (esta dirección URL se puede obtener ejecutando az arcgateway list después de crear el recurso de puerta de enlace) |
| management.azure.com | Punto de conexión de Azure Resource Manager, necesario para el canal de control de Azure Resource Manager |
| login.microsoftonline.com | Punto de conexión de Microsoft Entra ID para adquirir tokens de acceso de identidad |
| gbl.his.arc.azure.com | Punto de conexión de servicio en la nube para comunicarse con agentes de Azure Arc |
| <región>.his.arc.azure.com | Se usa para el canal de control principal de Arc |
| packages.microsoft.com | Necesario para adquirir la carga de agente de Arc basada en Linux, solo es necesario para conectar servidores Linux a Arc |
Paso 3: Incorporación de recursos de Azure Arc con el recurso de puerta de enlace de Arc.
Genere el script de instalación.
Siga las instrucciones de Inicio rápido: Conexión de máquinas híbridas con servidores habilitados para Azure Arc para crear un script que automatice la descarga e instalación del agente de Azure Connected Machine y establezca la conexión con Azure Arc.
Importante
Al generar el script de incorporación, seleccione Servidor proxy en Método de conectividad para mostrar la lista desplegable del recurso de puerta de enlace.
Ejecute el script de instalación para incorporar los servidores a Azure Arc.
En el script, el identificador de ARM del recurso de puerta de enlace de Arc se muestra como
--gateway-id.
Paso 3b: Configurar los recursos existentes de Azure Arc para usar la puerta de enlace de Arc
Puedes configurar los recursos de Azure Arc existentes para usar la puerta de enlace de Arc mediante Azure Portal, la CLI de Azure o Azure PowerShell.
En Azure Portal, vaya a la página Azure Arc: puerta de enlace de Azure Arc.
Seleccione el recurso de puerta de enlace de Arc que se va a asociar al servidor habilitado para Arc.
Vaya a la página Recursos asociados del recurso de puerta de enlace.
Seleccione Agregar.
Seleccione el recurso habilitado para Arc para asociarlo al recurso de puerta de enlace de Arc.
Seleccione Aplicar.
Actualice el servidor habilitado para Arc para usar la puerta de enlace de Arc mediante la ejecución de
azcmagent config set connection.type gateway.
Paso 4: Comprobar que la instalación se realizó correctamente
En el servidor incorporado, ejecute el siguiente comando: azcmagent show El resultado debe indicar los siguientes valores:
- El Estado del agente debe mostrarse como Conectado.
- Usar proxy HTTPS debe mostrarse como http://localhost:40343.
- Proxy ascendente debe mostrarse como el proxy de empresa (si establece uno). La dirección URL de la puerta de enlace debe reflejar la dirección URL del recurso de puerta de enlace.
Además, para comprobar que la configuración se ha realizado correctamente, puede ejecutar el siguiente comando: azcmagent check El resultado debe indicar que el connection.type está establecido en la puerta de enlace y la columna Accesible debe indicar true para todas las direcciones URL.
Asociación de una máquina a una nueva puerta de enlace de Arc
Para asociar una máquina a una nueva puerta de enlace de Arc:
En Azure Portal, vaya a la página Azure Arc: puerta de enlace de Azure Arc.
Seleccione el nuevo recurso de puerta de enlace de Arc que se va a asociar a la máquina.
Vaya a la página Recursos asociados del recurso de puerta de enlace.
Seleccione Agregar.
Seleccione la máquina habilitada para Arc para asociarla al nuevo recurso de puerta de enlace de Arc.
Seleccione Aplicar.
Actualice el servidor habilitado para Arc para usar la puerta de enlace de Arc mediante la ejecución de
azcmagent config set connection.type gateway.
Quitar la asociación de puerta de enlace de Arc (para usar la ruta directa en su lugar)
Establezca el tipo de conexión del servidor habilitado para Arc en "directo” en lugar de "puerta de enlace" mediante la ejecución del comando siguiente:
azcmagent config set connection.type directNota:
Si lleva a cabo este paso, todos los requisitos de red de Azure Arc deben cumplirse en su entorno para seguir aprovechando Azure Arc.
Desasocie el recurso de puerta de enlace de Arc de la máquina:
En Azure Portal, vaya a la página Azure Arc: puerta de enlace de Azure Arc.
Seleccione el recurso de puerta de enlace de Arc.
Vaya a la página Recursos asociados del recurso de puerta de enlace y seleccione el servidor.
Seleccione Quitar.
Eliminar un recurso de puerta de enlace de Arc
Nota:
Esta operación puede tardar entre 4 y 5 minutos en completarse.
En Azure Portal, vaya a la página Azure Arc: puerta de enlace de Azure Arc.
Seleccione el recurso de puerta de enlace de Arc.
Seleccione Eliminar.
Solución de problemas
Puede auditar el tráfico de la puerta de enlace de Arc mediante la visualización de los registros del proxy de Azure Arc.
Para ver los registros de proxy de Arc en Windows:
- Ejecute
azcmagent logsen PowerShell. - En el archivo .zip resultante, los registros se encuentran en la carpeta
C:\ProgramData\Microsoft\ArcProxy.
Para ver los registros de proxy de Arc en Linux:
- Ejecute
sudo azcmagent logsy comparta el archivo resultante. - En el archivo de registro resultante, los registros se encuentran en la carpeta
/usr/local/arcproxy/logs/.
Otros escenarios
Durante la versión preliminar pública, la puerta de enlace de Arc cubre los puntos de conexión necesarios para incorporar un servidor, así como una parte de los puntos de conexión necesarios para escenarios adicionales habilitados para Arc. En función de los escenarios que adopte, se deben permitir puntos de conexión adicionales en el proxy.
Escenarios que no requieren puntos de conexión adicionales
- Windows Admin Center
- SSH
- Actualizaciones de seguridad ampliada
- Microsoft Defender
- Extensión de Azure para SQL Server
Escenarios que requieren puntos de conexión adicionales
Los puntos de conexión enumerados con los siguientes escenarios deben permitirse en el proxy de empresa al usar la puerta de enlace de Arc:
Data Services habilitado para Azure Arc
*.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Agente de Azure Monitor
<log-analytics-workspace-id>.ods.opinsights.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com
Sincronización del certificado de Azure Key Vault
- <vault-name>.vault.azure.net
Extensión Hybrid Runbook Worker de Azure Automation
- *.azure-automation.net
Extensión de actualización del sistema operativo Windows/Administrador de actualizaciones de Azure
- El entorno debe cumplir todos los requisitos previos para Windows Update
Problemas conocidos
A continuación, se muestra una descripción de los problemas conocidos actualmente para la puerta de enlace de Arc.
Actualización necesaria después de la incorporación del agente de Azure Connected Machine
Al usar el script de incorporación (o el comando azcmagent connect) para incorporar un servidor con el identificador de recurso de puerta de enlace especificado, el recurso usará correctamente la puerta de enlace de Arc. Sin embargo, debido a un error conocido (con una corrección actualmente en curso), el servidor habilitado para Arc no se mostrará como un recurso asociado en Azure Portal a menos que se actualice la configuración del recurso. Use el procedimiento siguiente para realizar esta actualización:
En Azure Portal, vaya a la página Azure Arc | Puerta de enlace de Arc.
Seleccione el recurso de puerta de enlace de Arc que se va a asociar al servidor habilitado para Arc.
Vaya a la página Recursos asociados del recurso de puerta de enlace.
Seleccione Agregar.
Seleccione el recurso habilitado para Arc para asociarlo al recurso de puerta de enlace de Arc y seleccione Aplicar.
Actualización de proxy de Arc necesaria después de desasociar un recurso de puerta de enlace de la máquina
Al desasociar un recurso de puerta de enlace de Arc de una máquina, debe actualizar el proxy de Arc para borrar la configuración de la puerta de enlace de Arc. Para ello, realice el procedimiento siguiente:
Detenga el proxy de Arc.
- Windows:
Stop-Service arcproxy - Linux:
sudo systemctl stop arcproxyd
- Windows:
Elimine el archivo
cloudconfig.json.- Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
- Linux: "/var/opt/azcmagent/cloudconfig.json"
Inicie el proxy de Arc.
- Windows:
Start-Service arcproxy - Linux:
sudo systemctl start arcproxyd
- Windows:
Reinicie los himds (opcional, pero recomendado).
- Windows:
Restart-Service himds - Linux:
sudo systemctl restart himdsd
- Windows:
Actualización necesaria para las máquinas que se vuelven a habilitar sin puerta de enlace
Si una máquina habilitada para Arc con una puerta de enlace de Arc se elimina de Azure Arc y se vuelve a habilitar sin una puerta de enlace de Arc, se necesita una actualización para actualizar su estado en Azure Portal.
Importante
Este problema solo se produce cuando el recurso se vuelve a habilitar con el mismo identificador de ARM que su habilitación inicial.
En este escenario, la máquina se muestra incorrectamente en Azure Portal como un recurso asociado a la puerta de enlace de Arc. Para evitar esto, si piensa habilitar una máquina sin una puerta de enlace de Arc habilitada anteriormente con Arc con una puerta de enlace de Arc, debe actualizar la asociación de puerta de enlace de Arc después de la incorporación. Para ello, siga el procedimiento siguiente:
En Azure Portal, vaya a la página Azure Arc | Puerta de enlace de Arc.
Seleccione el recurso de puerta de enlace de Arc.
Vaya a la página Recursos asociados del recurso de puerta de enlace.
Seleccione el usuario de prueba y, después, seleccione Quitar.
Asociación manual de puerta de enlace necesaria después de la eliminación
Si se elimina una puerta de enlace de Arc mientras una máquina todavía está conectada a ella, Azure Portal debe usarse para asociar la máquina a cualquier otro recurso de puerta de enlace de Arc.
Para evitar este problema, desasocie todos los recursos habilitados para Arc de una puerta de enlace de Arc antes de eliminar el recurso de puerta de enlace. Si se produce este error, use Azure Portal para asociar la máquina a un nuevo recurso de puerta de enlace de Arc.