Acerca de la puerta de enlace de Azure Arc para Azure Local (vista previa)
Se aplica a: Azure Local 2411.1 y versiones posteriores
Importante
Azure Stack HCI ahora forma parte de Azure Local. Más información.
En este artículo se proporciona información general sobre la puerta de enlace de Azure Arc para Azure Local. La puerta de enlace de Arc se puede habilitar en nuevas implementaciones de Software local en ejecución de Azure versión 2408 y posteriores. En este artículo también se describe cómo crear y eliminar el recurso de puerta de enlace de Arc en Azure.
Puede usar la puerta de enlace de Arc para reducir significativamente el número de puntos de conexión necesarios para implementar y administrar instancias locales de Azure. Una vez creada la puerta de enlace de Arc, puede conectarse a ella y usarla para nuevas implementaciones de Azure Local.
Para obtener información sobre cómo implementar la puerta de enlace de Azure Arc para servidores independientes (no máquinas locales de Azure), consulte Simplificación de los requisitos de configuración de red a través de la puerta de enlace de Azure Arc.
Importante
Esta característica actualmente está en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Funcionamiento
La puerta de enlace de Arc funciona mediante la introducción de los siguientes componentes:
Recurso de puerta de enlace de Arc: un recurso de Azure que actúa como punto de entrada común para el tráfico de Azure. Este recurso de puerta de enlace tiene un dominio o una dirección URL específicos que puede usar. Al crear el recurso de puerta de enlace de Arc, este dominio o dirección URL forma parte de la respuesta correcta.
Proxy de Arc: un nuevo componente que se agrega a arc Agentry. Este componente se ejecuta como servicio (denominado Proxy de Azure Arc) y funciona como proxy de reenvío para los agentes y extensiones de Azure Arc. El enrutador de puerta de enlace no necesita ninguna configuración desde el lado. Este enrutador forma parte del agente principal de Arc y se ejecuta dentro del contexto de un recurso habilitado para Arc.
Una vez que integre la puerta de enlace de Arc con la versión 2411 de las implementaciones locales de Azure, cada máquina obtiene el proxy de Arc junto con otros agentes de Arc.
Cuando se usa la puerta de enlace de Arc, el flujo de tráfico http y https cambia de la siguiente manera:
Flujo de tráfico para los componentes del sistema operativo host local de Azure
La configuración del proxy del sistema operativo se usa para enrutar todo el tráfico del host HTTPS a través del proxy de Arc.
Desde el proxy de Arc, el tráfico se reenvía a la puerta de enlace de Arc.
En función de la configuración de la puerta de enlace de Arc, si se permite, el tráfico se envía a los servicios de destino. Si no se permite, el proxy de Arc redirige este tráfico al proxy de empresa (o de salida directa si no hay ningún proxy establecido). El proxy de Arc determina automáticamente la ruta de acceso correcta para el punto de conexión.
Flujo de tráfico para arc appliance Arc Resource Bridge (ARB) y el plano de control de AKS
La dirección IP enrutable (recurso ip en clúster de conmutación por error a partir de ahora) se usa para reenviar el tráfico a través del proxy de Arc que se ejecuta en las máquinas host locales de Azure.
El proxy de reenvío de ARB y AKS están configurados para usar la dirección IP enrutable.
Con la configuración del proxy en su lugar, el tráfico saliente de ARB y AKS se reenvía al proxy de Arc que se ejecuta en una de las máquinas locales de Azure a través de la dirección IP enrutable.
Una vez que el tráfico alcanza el proxy de Arc, el flujo restante toma la misma ruta de acceso que se describe. Si se permite el tráfico al servicio de destino, se envía a la puerta de enlace de Arc. Si no es así, se envía al proxy de empresa (o saliente directo si no hay ningún proxy establecido). Tenga en cuenta que para AKS específicamente, esta ruta de acceso se usa para descargar imágenes de Docker para pods de extensión arc y agente de Arc.
Flujo de tráfico para máquinas virtuales de Arc
El tráfico HTTP y HTTPS se reenvía al proxy de empresa. El proxy de Arc dentro de la máquina virtual de Arc aún no se admite en esta versión.
Los flujos de tráfico se muestran en el diagrama siguiente:
Escenarios admitidos y no admitidos
Puede utilizar la puerta de enlace de Arc en el siguiente escenario para las versiones 2411.1 o posteriores de Azure Local:
- Habilitar Arc gateway durante la implementación de nuevas instancias de Azure Local que ejecuten las versiones 2411.1 o posteriores.
Los escenarios no compatibles para Azure Local, versiones 2408, 2411 y 2411.1 incluyen:
Las instancias locales de Azure actualizadas de las versiones 2402 o 2405 a las versiones 2408 o 2411 no pueden aprovechar todos los nuevos puntos de conexión compatibles con esta versión preliminar de La puerta de enlace de Arc. Los componentes de host, las extensiones de Arc, ARB y los puntos de conexión necesarios de AKS solo se admiten al habilitar la puerta de enlace de Arc como parte de una nueva implementación de la versión 2408.
Habilitar Arc gateway después del despliegue no puede aprovechar todos los nuevos puntos de conexión compatibles con esta vista previa de Arc gateway. Los puntos de conexión necesarios de Host, extensiones de Arc, ARB y AKS solo se admiten cuando se habilita la puerta de enlace de Arc como parte de una nueva implementación.
Puntos de conexión locales de Azure no redirigidos
Como parte de la actualización de la versión preliminar 2411.1 de Azure Local, los puntos de conexión de la tabla son necesarios y deben incluirse en la lista de permitidos en el proxy o firewall para implementar la instancia de Azure Local. Estos puntos de conexión de la versión 2408 y 2411 no se redirigen a través de la puerta de enlace de Arc:
| Extremo # | Punto de conexión necesario | Componente |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Registro de Arc |
| 2 | http://login.microsoftonline.com:443 |
Registro de Arc |
| 3 | http://<region>.login.microsoft.com:443 |
Registro de Arc |
| 4 | http://download.microsoft.com:443 |
Registro de Arc |
| 5 | http://management.azure.com:443 |
Registro de Arc |
| 6 | http://gbl.his.arc.azure.com:443 |
Registro de Arc |
| 7 | http://<region>.his.arc.azure.com:443 |
Registro de Arc |
| 8 | http://dc.services.visualstudio.com:443 |
Registro de Arc |
| 9 | https://<region>.obo.arc.azure.com:8084 |
Extensiones de AKS |
| 10 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Puerta de enlace de Arc |
| 11 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 12 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Cuenta de almacenamiento del testigo en la nube |
| 13 | http://files.pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 14 | http://pypi.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 15 | http://raw.githubusercontent.com:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 16 | http://pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 17 | http://ocsp.digicert.com |
Lista de revocación de certificados para extensiones de Arc |
| 18 | http://s.symcd.com |
Lista de revocación de certificados para extensiones de Arc |
| 19 | http://ts-ocsp.ws.symantec.com |
Lista de revocación de certificados para extensiones de Arc |
| 20 | http://ocsp.globalsign.com |
Lista de revocación de certificados para extensiones de Arc |
| 21 | http://ocsp2.globalsign.com |
Lista de revocación de certificados para extensiones de Arc |
| 22 | http://oneocsp.microsoft.com |
Lista de revocación de certificados para extensiones de Arc |
| 23 | http://dl.delivery.mp.microsoft.com |
Windows Update |
| 24 | http://*.tlu.dl.delivery.mp.microsoft.com |
Windows Update |
| 25 | http://*.windowsupdate.com |
Windows Update |
| 26 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 27 | http://*.update.microsoft.com |
Windows Update |
Restricciones y limitaciones
Tenga en cuenta las siguientes limitaciones de la puerta de enlace de Arc en esta versión:
- Los servidores proxy de terminación TLS no se admiten con la versión preliminar de la puerta de enlace de Arc.
- No se admite el uso de ExpressRoute, VPN de sitio a sitio ni puntos de conexión privados, además de la puerta de enlace de Arc (versión preliminar).
Creación del recurso de puerta de enlace de Arc en Azure
Puede crear un recurso de puerta de enlace de Arc mediante Azure Portal, la CLI de Azure o Azure PowerShell.
- Inicie sesión en Azure Portal.
- Vaya a la página puerta de enlace de Azure Arc > de Azure Arc y seleccione Crear.
- Seleccione la suscripción y el grupo de recursos donde quiera que el recurso de puerta de enlace de Arc se administre en Azure. Cualquier recurso habilitado para Arc en el mismo inquilino de Azure puede usar un recurso de puerta de enlace de Arc.
- En Nombre, escriba el nombre del recurso de puerta de enlace de Arc.
- En Ubicación, escriba la región donde debe estar el recurso de puerta de enlace de Arc. Cualquier recurso habilitado para Arc en el mismo inquilino de Azure puede usar un recurso de puerta de enlace de Arc.
- Seleccione Siguiente.
- En la página Etiquetas, especifique una o varias etiquetas personalizadas para admitir los estándares.
- Seleccione Revisar y crear.
- Revise los detalles y, a continuación, seleccione Crear.
El proceso de creación de la puerta de enlace tarda nueve a diez minutos en completarse.
Desasociar o cambiar la asociación de puerta de enlace de Arc de la máquina
Para desasociar el recurso de puerta de enlace del servidor habilitado para Arc, establezca el identificador nullde recurso de puerta de enlace en . Si desea adjuntar el servidor habilitado para Arc a otro recurso de puerta de enlace de Arc, actualice el nombre y el identificador de recurso con la nueva información de puerta de enlace de Arc:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server's name> --gateway-resource-id "
Eliminación del recurso de puerta de enlace de Arc
Antes de eliminar un recurso de puerta de enlace de Arc, asegúrese de que no hay máquinas conectadas. Para eliminar el recurso de puerta de enlace, ejecute el siguiente comando:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Esta operación puede tardar un par de minutos.
Pasos siguientes
Esta característica solo está disponible en Azure Local 2411.1 o posterior.