Simplifier les exigences de configuration réseau avec la passerelle Azure Arc (préversion publique)

Si vous utilisez des proxies d’entreprise pour gérer le trafic sortant, la passerelle Azure Arc vous permet d’intégrer l’infrastructure à Azure Arc à l’aide de sept (7) points de terminaison uniquement. Avec la passerelle Azure Arc, vous pouvez :

• Connectez-vous à Azure Arc en ouvrant l’accès au réseau public à seulement sept (7) domaines complets (FQDN).
• Affichez et auditez tout le trafic qu’un Azure Connected Machine Agent envoie à Azure via la passerelle Arc.

Cet article explique comment configurer et utiliser la passerelle Arc (préversion publique).

Important

La fonctionnalité de passerelle Arc pour les serveurs avec Azure Arc est actuellement en préversion publique dans toutes les régions où les serveurs avec Azure Arc sont présents. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion publique ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Fonctionnement de la passerelle Azure Arc

La passerelle Azure Arc se compose de deux composants principaux :

• Ressource de passerelle Arc : une ressource Azure qui sert de front-end commun pour le trafic Azure. Cette ressource de passerelle est servie sur un domaine spécifique. Une fois la ressource de la passerelle Arc créée, le domaine vous est renvoyé dans la réponse de réussite.

• Proxy Arc : nouveau composant ajouté aux activités des agents Arc. Ce composant s’exécute en tant que service appelé « Proxy Azure Arc » et agit comme un proxy de transfert utilisé par les agents et extensions Azure Arc. Aucune configuration n’est requise de votre part pour le proxy Arc. Ce proxy fait partie des agents principaux Arc et s’exécute dans le contexte d’une ressource avec Arc.

Lorsque la passerelle est en place, le trafic transite via les tronçons suivants : Activités des agents Arc → Proxy Arc → Proxy d’entreprise → Passerelle Arc → Service cible

Limites actuelles

L’objet de passerelle Arc a des limites à prendre en compte lors de la planification de votre configuration. Ces limitations s’appliquent uniquement à la préversion publique. Ces limitations peuvent ne pas s’appliquer lorsque la fonctionnalité de passerelle Arc est généralement disponible.

• Les proxies de terminaison TLS ne sont pas pris en charge (préversion publique)
• ExpressRoute/un VPN ou des points de terminaison privés site à site utilisés avec la passerelle Arc (préversion publique) ne sont pas pris en charge.
• Il existe une limite de cinq (5) ressources de passerelle Arc (préversion publique) par abonnement Azure.

Autorisations requises

Pour créer des ressources de passerelle Arc et gérer leur association avec des serveurs avec Arc, les autorisations suivantes sont requises :

• Microsoft.HybridCompute/settings/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

Comment utiliser la passerelle Arc (préversion publique)

Il existe quatre étapes pour utiliser la passerelle Arc :

1. Créez une ressource de passerelle Arc.
2. Vérifiez que les URL requises sont autorisées dans votre environnement.
3. Intégrez des ressources Azure Arc à votre ressource de passerelle Arc ou configurez des ressources Azure Arc existantes pour qu’elles utilisent la passerelle Arc.
4. Vérifiez que l’installation a réussi.

Étape 1 : Créer une ressource de passerelle Arc

Vous pouvez créer une ressource de passerelle Arc à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.

Portail

1. Dans votre navigateur, connectez-vous au portail Azure.

2. Accédez à la page Azure Arc | Passerelle Azure Arc, puis sélectionnez Créer.

3. Sélectionnez l’abonnement et le groupe de ressources dans lesquels vous voulez que la ressource de passerelle Arc soit gérée dans Azure. Une ressource de passerelle Arc peut être utilisée par n’importe quelle ressource avec Arc dans le même client Azure.

4. Pour Nom, entrez le nom de la ressource de passerelle Arc.

5. Pour Emplacement, entrez la région dans laquelle la ressource de passerelle Arc doit être active. Une ressource de passerelle Arc peut être utilisée par n’importe quelle ressource avec Arc dans le même client Azure.

6. Cliquez sur Suivant.

7. Dans la page Étiquettes, spécifiez une ou plusieurs étiquettes personnalisées pour prendre en charge vos critères.

8. Sélectionnez Vérifier & créer.

9. Passez en revue les détails de votre entrée, puis sélectionnez Créer.

   Le processus de création de passerelle prend 9 à 10 minutes.

INTERFACE DE LIGNE DE COMMANDE

1. Ajoutez l’extension de passerelle Arc à votre Azure CLI :

   az extension add -n arcgateway

2. Sur un ordinateur disposant d’un accès à Azure, exécutez les commandes suivantes pour créer votre ressource de passerelle Arc :

   az arcgateway create --name [Your gateway’s Name] --resource-group [Your Resource Group] --location [Location]
   

   Le processus de création de passerelle prend 9 à 10 minutes.

PowerShell

Sur une machine disposant d’un accès à Azure, exécutez la commande PowerShell suivante pour créer votre ressource de passerelle Arc :

New-AzArcgateway 
-name <gateway’s name> 
-resource-group <resource group> 
-location <region> 
-subscription <subscription name or id> 
-gateway-type public  
-allowed-features *

Le processus de création de passerelle prend 9 à 10 minutes.

Étape 2 : Vérifier que les URL requises sont autorisées dans votre environnement

Lorsque la ressource est créée, la réponse de réussite inclut l’URL de la passerelle Arc. Vérifiez que votre URL de passerelle Arc et toutes les URL du tableau suivant sont autorisées dans l’environnement dans lequel vos ressources Arc sont actives. Les URL requises sont les suivantes :

URL	Objectif
[Votre préfixe d’URL].gw.arc.azure.com	Votre URL de passerelle (cette URL peut être obtenue en exécutant az arcgateway list une fois que vous avez créé votre ressource de passerelle)
management.azure.com	Point de terminaison Azure Resource Manager requis pour le canal de contrôle Azure Resource Manager
login.microsoftonline.com	Point de terminaison de Microsoft Entra ID, pour l’acquisition de jetons d’accès d’identité
gbl.his.arc.azure.com	Point de terminaison de service cloud pour communiquer avec les agents Azure Arc
<region.his.arc.azure.com>	Utilisé pour le canal de contrôle principal d’Arc
packages.microsoft.com	Requis pour acquérir une charge utile d’activités des agents Arc linux, nécessaire uniquement pour connecter des serveurs Linux à Arc

Étape 3a : Intégrez des ressources Azure Arc à votre ressource de passerelle Arc.

1. Générez le script d’installation.

   Suivez les instructions de Démarrage rapide : Connecter des machines hybrides avec des serveurs avec Azure Arc pour créer un script qui automatise le téléchargement et l’installation de l’Azure Connected Machine Agent et établit la connexion avec Azure Arc.

   Important

   Lors de la génération du script d’intégration, sélectionnez Serveur proxy sous Méthode de connectivité pour afficher la liste déroulante de la Ressource de passerelle.

2. Exécutez le script d’installation pour intégrer vos serveurs à Azure Arc.

   Dans le script, l’ID ARM de la ressource de passerelle Arc s’affiche sous la forme --gateway-id.

Étape 3b : Configurer les ressources Azure Arc existantes pour qu’elles utilisent la passerelle Arc

Vous pouvez configurer les ressources Azure Arc existantes pour qu’elles utilisent la passerelle Arc en utilisant le portail Azure, Azure CLI ou Azure PowerShell.

Portail

1. Sur le portail Azure, accédez à la page Azure Arc – Passerelle Azure Arc.

2. Sélectionnez la ressource de passerelle Arc à associer à votre serveur avec Arc.

3. Accédez à la page Ressources associées pour votre ressource de passerelle.

4. Sélectionnez Ajouter.

5. Sélectionnez la ressource avec Arc à associer à votre ressource de passerelle Arc.

6. Sélectionnez Appliquer.

7. Mettez à jour votre serveur avec Arc pour utiliser la passerelle Arc en exécutant azcmagent config set connection.type gateway.

INTERFACE DE LIGNE DE COMMANDE

1. Sur une machine disposant d’un accès à Azure, exécutez les commandes suivantes :

   az arcgateway settings update
      --resource-group [Resource Group]
      --subscription [subscription name]
      --base-provider Microsoft.HybridCompute
      --base-resource-type machines
      --base-resource-name [Arc-Server’s name]
      --settings-resource-name default--gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Mettez à jour votre serveur avec Arc pour utiliser la passerelle Arc en exécutant la commande suivante :

   azcmagent config set connection.type gateway

PowerShell

1. Sur une machine disposant d’un accès à Azure, exécutez les commandes suivantes :

   Update-AzArcSetting  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId <Full Arm resourceid>
   

2. Mettez à jour votre serveur avec Arc pour utiliser la passerelle Arc en exécutant la commande suivante :

   azcmagent config set connection.type gateway

Étape 4 : Vérifier que l’installation a réussi

Sur le serveur intégré, exécutez la commande suivante : azcmagent show Le résultat doit indiquer les valeurs suivantes :

• L’état de l’agent doit s’afficher comme connecté.
• L’utilisation du proxy HTTPS doit s’afficher comme http://localhost:40343.
• Le proxy en amont doit s’afficher en tant que proxy d’entreprise (si vous en avez défini un). L’URL de la passerelle doit refléter l’URL de votre ressource de passerelle.

En outre, pour vérifier que la configuration est réussie, vous pouvez exécuter la commande suivante : azcmagent check Le résultat devrait indiquer que le connection.type est défini comme une passerelle, et la colonne Accessible devrait indiquer true pour toutes les URL.

Associer une machine à une nouvelle passerelle Arc

Pour associer une machine à une nouvelle passerelle Arc :

Portail

1. Sur le portail Azure, accédez à la page Azure Arc – Passerelle Azure Arc.

2. Sélectionnez la nouvelle ressource de passerelle Arc à associer à la machine.

3. Accédez à la page Ressources associées pour votre ressource de passerelle.

4. Sélectionnez Ajouter.

5. Sélectionnez la machine avec Arc à associer à la nouvelle ressource de passerelle Arc.

6. Sélectionnez Appliquer.

7. Mettez à jour votre serveur avec Arc pour utiliser la passerelle Arc en exécutant azcmagent config set connection.type gateway.

INTERFACE DE LIGNE DE COMMANDE

1. Sur la machine que vous souhaitez associer à une nouvelle passerelle Arc, exécutez les commandes suivantes :

   az arcgateway settings update
      --resource-group [Resource Group]
      --subscription [subscription name]
      --base-provider Microsoft.HybridCompute
      --base-resource-type machines
      --base-resource-name [Arc-Server’s name]
      --settings-resource-name default--gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Mettez à jour votre serveur avec Arc pour utiliser la passerelle Arc en exécutant la commande suivante :

   azcmagent config set connection.type gateway

PowerShell

1. Sur la machine que vous souhaitez associer à une nouvelle passerelle Arc, exécutez la commande suivante :

   Set-AzArcGatewaySettings  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId <Full Arm resourceid>
   

2. Mettez à jour votre serveur avec Arc pour utiliser la passerelle Arc en exécutant la commande suivante :

   azcmagent config set connection.type gateway

Supprimer l’association de passerelle Arc (pour utiliser l’itinéraire direct à la place)

1. Définissez le type de connexion du serveur avec Arc sur « direct » au lieu de « passerelle » en exécutant la commande suivante :

   azcmagent config set connection.type direct

   Remarque

   Si vous effectuez cette étape, toutes les exigences réseau Azure Arc doivent être remplies dans votre environnement pour continuer à tirer parti d’Azure Arc.

2. Détacher la ressource de passerelle Arc de la machine :

   Portail

   1. Sur le portail Azure, accédez à la page Azure Arc – Passerelle Azure Arc.

   2. Sélectionnez la ressource de passerelle Arc.

   3. Accédez à la page Ressources associées pour votre ressource de passerelle et sélectionnez le serveur.

   4. Sélectionnez Supprimer.

   INTERFACE DE LIGNE DE COMMANDE

   Sur une machine disposant d’un accès à Azure, exécutez la commande Azure CLI suivante :

   az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id ""
   

   Remarque

   Si vous exécutez cette commande Azure CLI dans Windows PowerShell, définissez la --gateway-resource-id sur null.

   PowerShell

   Sur une machine disposant d’un accès à Azure, exécutez la commande PowerShell suivante :

   Set-AzArcGatewaySettings  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId ""
   

Supprimer une ressource de passerelle Arc

Remarque

L’opération peut prendre entre 4 et 5 minutes.

Portail

1. Sur le portail Azure, accédez à la page Azure Arc – Passerelle Azure Arc.

2. Sélectionnez la ressource de passerelle Arc.

3. Sélectionnez Supprimer.

INTERFACE DE LIGNE DE COMMANDE

Sur une machine disposant d’un accès à Azure, exécutez la commande Azure CLI suivante :

az arcgateway delete --resource-group <Resource Group> --gateway-name <Arc gateway Resource Name >

PowerShell

Sur une machine disposant d’un accès à Azure, exécutez la commande PowerShell suivante :

Remove-AzArcGateway  
    -ResourceGroup <res-group>  
    -GatewayName <RP Name>

Dépannage

Vous pouvez auditer le trafic de votre passerelle Arc en consultant les journaux du proxy Azure Arc.

Pour afficher les journaux de proxy Arc sur Windows :

1. Exécutez azcmagent logs dans PowerShell.
2. Dans le fichier .zip résultant, les journaux se trouvent dans le dossier C:\ProgramData\Microsoft\ArcProxy.

Pour afficher les journaux de proxy Arc sur Linux :

1. Exécutez sudo azcmagent logs et partagez le fichier obtenu.
2. Dans le fichier journal résultant, les journaux se trouvent dans le dossier /usr/local/arcproxy/logs/.

Autres cas de figure

Pendant la préversion publique, la passerelle Arc couvre les points de terminaison requis pour l’intégration d’un serveur, ainsi qu’une partie des points de terminaison requis pour des scénarios Arc supplémentaires. En fonction du ou des scénarios que vous adoptez, des points de terminaison supplémentaires doivent être autorisés dans votre proxy.

Scénarios qui ne nécessitent pas de points de terminaison supplémentaires

• Windows Admin Center
• SSH
• Correctifs de sécurité étendus
• Microsoft Defender
• Extension Azure pour SQL Server

Scénarios qui nécessitent des points de terminaison supplémentaires

Les points de terminaison répertoriés avec les scénarios suivants doivent être autorisés dans votre proxy d’entreprise lors de l’utilisation de la passerelle Arc :

• Data Services avec Azure Arc

  • *.ods.opinsights.azure.com

  • *.oms.opinsights.azure.com

  • *.monitoring.azure.com

• Agent Azure Monitor

  • <log-analytics-workspace-id>.ods.opinsights.azure.com

  • <data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com

• Synchronisation du certificat Azure Key Vault

  • <vault-name>.vault.azure.net

• Vue d’ensemble du Runbook Worker hybride Azure Automation

  • \* .azure-automation.net

• Extension de mise à jour du système d’exploitation Windows/Gestionnaire de mise à jour Azure

  • Votre environnement doit respecter toutes les conditions préalables pour Windows Update

Problèmes connus

Voici une description des problèmes actuellement connus pour la passerelle Arc.

Actualisation nécessaire après l’intégration de l’Azure Connected Machine Agent

Lorsque vous utilisez le script d’intégration (ou la commande azcmagent connect) pour intégrer un serveur avec l’ID de ressource de passerelle spécifié, la ressource utilise correctement la passerelle Arc. Cependant, en raison d’un bogue connu (dont la correction est en cours), le serveur compatible avec Arc ne s’affichera pas en tant que ressource associée dans le portail Azure, à moins que les paramètres de la ressource ne soient actualisés. Utilisez la procédure suivante pour effectuer cette actualisation :

Portail

1. Dans le portail Azure, accédez à la page Azure Arc | Passerelle Arc.

2. Sélectionnez la ressource de passerelle Arc à associer à votre serveur avec Arc.

3. Accédez à la page Ressources associées pour votre ressource de passerelle.

4. Sélectionnez Ajouter.

5. Sélectionnez la ressource avec Arc à associer à votre ressource de passerelle Arc, puis sélectionnez Appliquer.

INTERFACE DE LIGNE DE COMMANDE

Sur une machine disposant d’un accès à Azure, exécutez la commande Azure CLI suivante :

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id <Full Arm resource id of the new Arc gateway resource>

PowerShell

Sur une machine disposant d’un accès à Azure, exécutez la commande PowerShell suivante :

Set-AzArcGatewaySettings  
    -ResourceGroup <res-group>  
    -Subscription <subscription name>  
    -BaseProvider <RP Name>  
    -BaseResourceType <Resource Type>  
    -Name <Arc-server's resource name>  
    -SettingsResourceName "default"  
    -GatewayResourceId <Full Arm resourceid>

Actualisation du proxy Arc nécessaire après le détachement d’une ressource de passerelle de la machine

Lors du détachement d’une ressource de passerelle Arc à partir d’une machine, vous devez actualiser le proxy Arc pour effacer la configuration de la passerelle Arc. Pour ce faire, procédez comme suit :

1. Arrêtez le proxy d’Arc.

   • Windows : Stop-Service arcproxy
   • Linux : sudo systemctl stop arcproxyd

2. Supprimez le fichier cloudconfig.json.

   • Windows : « C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json »
   • Linux : « /var/opt/azcmagent/cloudconfig.json »

3. Démarrez le proxy d’Arc.

   • Windows : Start-Service arcproxy
   • Linux : sudo systemctl start arcproxyd

4. Redémarrez les himds (facultatif, mais recommandé).

   • Windows : Restart-Service himds
   • Linux : sudo systemctl restart himdsd

Actualisation nécessaire pour les machines réactivées sans passerelle

Si une machine avec Arc avec une passerelle Arc est supprimée d’Azure Arc et réactivée sans passerelle Arc, une actualisation est nécessaire pour mettre à jour son état dans le portail Azure.

Important

Ce problème se produit uniquement lorsque la ressource est réactivée avec le même ID ARM que son activation initiale.

Dans ce scénario, la machine s’affiche incorrectement dans le portail Azure en tant que ressource associée à la passerelle Arc. Pour éviter cela, si vous envisagez d’activer Arc sur une machine sans passerelle Arc précédemment activée avec Arc avec une passerelle Arc, vous devez mettre à jour l’association de passerelle Arc après l’intégration. Pour ce faire, utilisez la procédure suivante :

Portail

1. Dans le portail Azure, accédez à la page Azure Arc | Passerelle Arc.

2. Sélectionnez la ressource de passerelle Arc.

3. Accédez à la page Ressources associées pour votre ressource de passerelle.

4. Sélectionnez le serveur, puis sélectionnez Supprimer.

INTERFACE DE LIGNE DE COMMANDE

Sur une machine disposant d’un accès à Azure, exécutez la commande Azure CLI suivante :

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id ""

Remarque

Si vous exécutez cette commande Azure CLI dans Windows PowerShell, définissez la --gateway-resource-id sur null.

PowerShell

Sur une machine disposant d’un accès à Azure, exécutez la commande PowerShell suivante :

Set-AzArcGatewaySettings  

    -ResourceGroup <res-group>  

    -Subscription <subscription name>  

    -BaseProvider <RP Name>  

    -BaseResourceType <Resource Type>  

    -Name <Arc-server's resource name>  

    -SettingsResourceName "default"  

    -GatewayResourceId ""

Association manuelle de la passerelle requise après suppression

Si une passerelle Arc est supprimée alors qu’une machine est toujours connectée à celle-ci, le portail Azure doit être utilisé pour associer la machine à d’autres ressources de passerelle Arc.

Pour éviter ce problème, détachez toutes les ressources avec Arc d’une passerelle Arc avant de supprimer la ressource de passerelle. Si vous rencontrez cette erreur, utilisez le portail Azure pour associer la machine à une nouvelle ressource de passerelle Arc.