À propos de la passerelle Azure Arc pour Azure Local, version 23H2 (préversion)
S’applique à : Azure Local, version 23H2, version 2408, 2408.1, 2408.2 et 2411
Important
Azure Stack HCI fait désormais partie d’Azure Local. Le changement de nom de la documentation produit est en cours. Les modifications textuelles sont terminées et les mises à jour visuelles seront bientôt finalisées. Plus d’informations
Cet article fournit une vue d’ensemble de la passerelle Azure Arc pour Azure Local, version 23H2. La passerelle Arc peut être activée sur de nouveaux déploiements d’Azure Local exécutant le logiciel version 2408 et ultérieure. Cet article explique également comment créer et supprimer la ressource de passerelle Arc dans Azure.
Vous pouvez utiliser la passerelle Arc pour réduire considérablement le nombre de points de terminaison requis pour déployer et gérer des instances locales Azure. Une fois que vous avez créé la passerelle Arc, vous pouvez vous y connecter et l’utiliser pour les nouveaux déploiements d’Azure Local.
Pour plus d’informations sur le déploiement de la passerelle Azure Arc pour les serveurs autonomes (et non sur les machines locales Azure), consultez Simplifier les exigences de configuration réseau via la passerelle Azure Arc.
Important
Cette fonctionnalité est actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.
Fonctionnement
La passerelle Arc fonctionne en introduisant les composants suivants :
Ressource de passerelle Arc : ressource Azure qui joue le rôle de point d’entrée commun pour le trafic Azure. Cette ressource de passerelle a un domaine ou une URL spécifique que vous pouvez utiliser. Lorsque vous créez la ressource de passerelle Arc, ce domaine ou CETTE URL fait partie de la réponse de réussite.
Proxy Arc : nouveau composant ajouté à Arc Agentry. Ce composant s’exécute en tant que service (appelé proxy Azure Arc) et fonctionne en tant que proxy de transfert pour les agents et extensions Azure Arc. Le routeur de passerelle n’a pas besoin d’une configuration de votre côté. Ce routeur fait partie de l’agent principal Arc et s’exécute dans le contexte d’une ressource avec Arc.
Une fois que vous avez intégré la passerelle Arc à la version 2411 des déploiements locaux Azure, chaque machine obtient le proxy Arc avec d’autres agents Arc.
Lorsque la passerelle Arc est utilisée, le flux de trafic http et https change comme suit :
Flux de trafic pour les composants du système d’exploitation hôte local Azure
Les paramètres de proxy du système d’exploitation sont utilisés pour router tout le trafic hôte HTTPS via le proxy Arc.
À partir du proxy Arc, le trafic est transféré vers la passerelle Arc.
En fonction de la configuration de la passerelle Arc, le cas échéant, le trafic est envoyé aux services cibles. S’il n’est pas autorisé, le proxy Arc redirige ce trafic vers le proxy d’entreprise (ou le trafic sortant direct si aucun proxy n’est défini). Le proxy Arc détermine automatiquement le chemin d’accès approprié pour le point de terminaison.
Flux de trafic pour arc appliance Arc Resource Bridge (ARB) et plan de contrôle AKS
L’adresse IP routable (ressource IP en cluster de basculement à partir de maintenant) est utilisée pour transférer le trafic via le proxy Arc s’exécutant sur les machines hôtes locales Azure.
ARB et le proxy de transfert AKS sont configurés pour utiliser l’adresse IP routable.
Avec les paramètres de proxy en place, ARB et le trafic sortant AKS sont transférés vers le proxy Arc s’exécutant sur l’une des machines locales Azure sur l’adresse IP routable.
Une fois que le trafic atteint le proxy Arc, le flux restant prend le même chemin que décrit. Si le trafic vers le service cible est autorisé, il est envoyé à la passerelle Arc. Si ce n’est pas le cas, il est envoyé au proxy d’entreprise (ou sortant direct si aucun proxy n’est défini). Notez que pour AKS spécifiquement, ce chemin est utilisé pour télécharger des images Docker pour les pods d’extension Arc Agentry et Arc.
Flux de trafic pour les machines virtuelles Arc
Le trafic Http et https sont transférés au proxy d’entreprise. Le proxy Arc à l’intérieur de la machine virtuelle Arc n’est pas encore pris en charge dans cette version.
Les flux de trafic sont illustrés dans le diagramme suivant :
Scénarios pris en charge et non pris en charge
Vous pouvez utiliser la passerelle Arc dans le scénario suivant pour les versions locales d’Azure 2408 et 2411 :
- Activez la passerelle Arc pendant le déploiement de nouvelles instances locales Azure exécutant les versions 2408 et 2411.
Les scénarios non pris en charge pour Azure Local, versions 2408 et 2411 incluent :
Les instances locales Azure mises à jour des versions 2402 ou 2405 vers les versions 2408 ou 2411 ne peuvent pas tirer parti de tous les nouveaux points de terminaison pris en charge par cette préversion de passerelle Arc. Les composants hôtes, les extensions Arc, ARB et les points de terminaison requis AKS ne sont pris en charge que lors de l’activation de la passerelle Arc dans le cadre d’un déploiement de la nouvelle version 2408.
L’activation de la passerelle Arc après la version 2408 ou 2411 du déploiement ne peut pas tirer parti de tous les nouveaux points de terminaison pris en charge par cette préversion de passerelle Arc. Les points de terminaison requis pour l’hôte, les extensions Arc, ARB et AKS ne sont pris en charge que lors de l’activation de la passerelle Arc dans le cadre d’un nouveau déploiement version 2408 ou version 2411.
Points de terminaison locaux Azure non redirigés
Dans le cadre de la mise à jour de la préversion d’Azure Local version 2408, les points de terminaison de la table sont requis et doivent être autorisés dans votre proxy ou pare-feu pour déployer l’instance locale Azure. Ces points de terminaison de la version 2408 et 2411 ne sont pas redirigés via la passerelle Arc :
| Extrémité # | Point de terminaison requis | Composant |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Vérificateur d’environnement |
| 2 | http://www.powershellgallery.com:443 |
Vérificateur d’environnement |
| 3 | http://psg-prod-eastus.azureedge.net:443 |
Vérificateur d’environnement |
| 4 | http://onegetcdn.azureedge.net:443 |
Vérificateur d’environnement |
| 5 | http://login.microsoftonline.com:443 |
Vérificateur d’environnement |
| 6 | http://aka.ms:443 |
Vérificateur d’environnement |
| 7 | http://azurestackreleases.download.prss.microsoft.com:443 |
Vérificateur d’environnement |
| 8 | http://download.microsoft.com:443 |
Vérificateur d’environnement |
| 9 | http://portal.azure.com:443 |
Vérificateur d’environnement |
| 10 | http://management.azure.com:443 |
Vérificateur d’environnement |
| 11 | http://www.office.com:443 |
Vérificateur d’environnement |
| 12 | http://gbl.his.arc.azure.com:443 |
Agent Arc |
| 13 | http://<region>.his.arc.azure.com:443 |
Agent Arc |
| 14 | http://dc.services.visualstudio.com:443 |
Agent Arc |
| 15 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Passerelle Arc |
| 16 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 17 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Compte de stockage témoin cloud |
| 18 | http://files.pythonhosted.org:443 |
Microsoft Local Cloud/ARB/AKS |
| 19 | http://pypi.org:443 |
Microsoft Local Cloud/ARB/AKS |
| 20 | http://raw.githubusercontent.com:443 |
Microsoft Local Cloud/ARB/AKS |
| 21 | http://pythonhosted.org:443 |
Microsoft Local Cloud/ARB/AKS |
| 22 | http://hciarcvmsstorage.z13.web.core.windows.net:443 |
Microsoft Local Cloud/ARB/AKS |
| 23 | http://ocsp.digicert.com |
Liste de révocation de certificats pour les extensions Arc |
| 24 | http://s.symcd.com |
Liste de révocation de certificats pour les extensions Arc |
| 25 | http://ts-ocsp.ws.symantec.com |
Liste de révocation de certificats pour les extensions Arc |
| 26 | http://ocsp.globalsign.com |
Liste de révocation de certificats pour les extensions Arc |
| 27 | http://ocsp2.globalsign.com |
Liste de révocation de certificats pour les extensions Arc |
| 28 | http://oneocsp.microsoft.com |
Liste de révocation de certificats pour les extensions Arc |
| 29 | http://dl.delivery.mp.microsoft.com |
Fichiers binaires LCM |
| 30 | http://*.tlu.dl.delivery.mp.microsoft.com |
Fichiers binaires LCM |
| 31 | http://*.windowsupdate.com |
Windows Update |
| 32 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 33 | http://*.update.microsoft.com |
Windows Update |
Limitations et restrictions
Tenez compte des limitations suivantes de la passerelle Arc dans cette version :
- Les proxys d’arrêt TLS ne sont pas pris en charge avec la préversion de la passerelle Arc.
- L’utilisation d’ExpressRoute, de VPN de site à site ou de points de terminaison privés en plus de la passerelle Arc (préversion) n’est pas prise en charge.
Créer la ressource de passerelle Arc dans Azure
Vous pouvez créer une ressource de passerelle Arc à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.
- Connectez-vous au portail Azure.
- Accédez à la page de passerelle Azure Arc > Azure Arc, puis sélectionnez Créer.
- Sélectionnez l’abonnement et le groupe de ressources dans lesquels vous voulez que la ressource de passerelle Arc soit gérée dans Azure. Une ressource de passerelle Arc peut être utilisée par n’importe quelle ressource avec Arc dans le même client Azure.
- Pour Nom, entrez le nom de la ressource de passerelle Arc.
- Pour Emplacement, entrez la région dans laquelle la ressource de passerelle Arc doit être active. Une ressource de passerelle Arc peut être utilisée par n’importe quelle ressource avec Arc dans le même client Azure.
- Cliquez sur Suivant.
- Dans la page Étiquettes, spécifiez une ou plusieurs étiquettes personnalisées pour prendre en charge vos critères.
- Sélectionnez Vérifier & créer.
- Passez en revue vos détails, puis sélectionnez Créer.
Le processus de création de passerelle prend neuf à dix minutes.
Détacher ou modifier l’association de passerelle Arc de la machine
Pour détacher la ressource de passerelle de votre serveur avec Arc, définissez l’ID de ressource de passerelle sur null. Si vous souhaitez attacher votre serveur avec Arc à une autre ressource de passerelle Arc, mettez simplement à jour le nom et l’ID de ressource avec les nouvelles informations de passerelle Arc :
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
Supprimer la ressource de passerelle Arc
Avant de supprimer une ressource de passerelle Arc, vérifiez qu’aucune machine n’est attachée. Pour supprimer la ressource de passerelle, exécutez la commande suivante :
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Cette opération peut prendre quelques minutes.