Topologie et connectivité réseau pour les serveurs avec Azure Arc

Vous pouvez utiliser des serveurs compatibles avec Azure Arc pour gérer vos serveurs physiques Windows et Linux et vos machines virtuelles via le plan de contrôle Azure. Cet article décrit les principales considérations de conception et les meilleures pratiques pour la connectivité des serveurs Azure Arc dans le cadre des conseils sur la zone d'atterrissage à l'échelle de l'entreprise du cadre d'adoption du cloud. Ces conseils concernent les serveurs physiques et les machines virtuelles que vous hébergez dans votre environnement local ou via un fournisseur de cloud partenaire.

Cet article suppose que vous avez mis en œuvre avec succès une zone d'atterrissage à l'échelle de l'entreprise et établi des connexions réseau hybrides. Les conseils se concentrent sur la connectivité de l'agent de machine connectée pour les serveurs compatibles avec Azure Arc. Pour plus d'informations, consultez les sections Vue d'ensemble des zones d'atterrissage à l'échelle de l'entreprise et Mise en œuvre des zones d'atterrissage à l'échelle de l'entreprise.

Architecture

Le diagramme suivant montre une architecture de référence conceptuelle pour la connectivité des serveurs avec Azure Arc.

Considérations sur la conception

Tenez compte des considérations suivantes en matière de conception de réseau pour les serveurs compatibles avec Azure Arc.

• Définir la méthode de connectivité de l'agent : Examinez votre infrastructure existante et vos exigences en matière de sécurité. Décidez de la manière dont l'agent de machine connectée doit communiquer avec Azure depuis votre réseau local ou un autre fournisseur de cloud. Cette connexion peut passer directement par Internet, par le biais d’un serveur proxy, ou vous pouvez implémenter Azure Private Link pour une connexion privée.

• Gérer l’accès aux étiquettes de service Azure : créez un processus automatisé pour maintenir les règles réseau de pare-feu et de proxy à jour en fonction des exigences réseau de Connected Machine Agent.

• Sécurisez votre connectivité réseau à Azure Arc : configurez le système d’exploitation de l’ordinateur pour utiliser le protocole TLS (Transport Layer Security) version 1.2. Nous ne recommandons pas les versions antérieures en raison de vulnérabilités connues.

• Définissez une méthode de connectivité des extensions : Assurez-vous que les extensions Azure que vous déployez sur un serveur Azure Arc peuvent communiquer avec d'autres services Azure. Vous pouvez fournir cette connectivité directement via des réseaux publics, un pare-feu ou un serveur proxy. Vous devez configurer des points de terminaison privés pour l'agent Azure Arc. Si votre conception exige une connectivité privée, vous devez prendre des mesures supplémentaires pour activer la connectivité privée des points de terminaison pour chaque service auquel les extensions accèdent. En outre, envisagez l'utilisation de circuits partagés ou dédiés en fonction de vos besoins en termes de coût, de disponibilité et de largeur de bande.

• Examinez votre architecture de connectivité globale : Examinez la topologie du réseau et la zone de conception de la connectivité pour évaluer l'impact des serveurs Azure Arc sur votre connectivité globale.

Recommandations de conception

Tenez compte des recommandations suivantes en matière de conception de réseau pour les serveurs compatibles avec Azure Arc.

Définir une méthode de connectivité pour l'agent Azure Arc

Vous pouvez utiliser des serveurs compatibles avec Azure Arc pour connecter des machines hybrides via :

• Une connexion directe, éventuellement depuis l'arrière d'un pare-feu ou d'un serveur proxy.
• Azure Private Link.

Connexion directe

Les serveurs compatibles avec Azure Arc peuvent fournir une connectivité directe aux points de terminaison publics Azure. Lorsque vous utilisez cette méthode de connectivité, tous les agents de machine utilisent un point de terminaison public pour ouvrir une connexion à Azure via Internet. L'agent machine connecté pour Linux et Windows communique en toute sécurité avec Azure via le protocole HTTPS (TCP/443).

Lorsque vous utilisez la méthode de connexion directe, évaluez votre accès internet pour l'agent machine connecté. Nous vous recommandons de configurer les règles de réseau nécessaires.

Connexion par serveur proxy ou pare-feu

Si votre machine utilise un pare-feu ou un serveur proxy pour communiquer sur internet, l'agent se connecte en sortie via le protocole HTTPS.

Si vous utilisez un pare-feu ou un serveur proxy pour restreindre la connectivité sortante, veillez à autoriser les plages d'adresses IP conformément aux exigences du réseau de l'agent de la machine connectée. Lorsque vous autorisez uniquement les plages d’adresses IP ou les noms de domaine requis pour que l’agent communique avec le service, utilisez des étiquettes de service et des URL pour configurer votre pare-feu ou votre serveur proxy.

Si vous déployez des extensions sur vos serveurs avec Azure Arc, chaque extension se connecte à son ou ses propres points de terminaison. Vous devez également autoriser toutes les URL correspondantes dans le pare-feu ou le proxy. Ajoutez ces points de terminaison pour garantir un trafic réseau sécurisé granulaire et pour respecter le principe du moindre privilège.

Liaison privée

Pour garantir que tout le trafic de vos agents Azure Arc reste sur votre réseau, utilisez un serveur compatible avec Azure Arc avec la portée de la liaison privée Azure Arc. Cette configuration offre des avantages en termes de sécurité. Le trafic ne traverse pas l'internet et vous n'avez pas besoin d'ouvrir autant d'exceptions sortantes sur le pare-feu de votre centre de données. Mais la liaison privée impose un certain nombre de défis de gestion et augmente la complexité et le coût globaux, en particulier pour les organisations mondiales. En voici quelques-uns :

• La portée de la liaison privée Azure Arc englobe tous les clients Azure Arc sous la même portée du système de noms de domaine (DNS). Vous ne pouvez pas avoir certains clients Azure Arc qui utilisent des points de terminaison privés et d'autres qui utilisent des points de terminaison publics lorsqu'ils partagent un serveur DNS. Mais vous pouvez mettre en œuvre des solutions de contournement telles que des stratégies DNS.

• Vos clients Azure Arc peuvent avoir tous les points de terminaison privés dans une région primaire. S'ils ne le font pas, vous devez configurer le DNS de sorte que les mêmes noms de points de terminaison privés se résolvent en différentes adresses IP. Par exemple, vous pouvez utiliser des partitions DNS à réplication sélective pour le DNS intégré à Windows Server Active Directory. Si vous utilisez les mêmes points de terminaison privés pour tous vos clients Azure Arc, vous devez pouvoir acheminer le trafic de tous vos réseaux vers les points de terminaison privés.

• Vous devez prendre des mesures supplémentaires pour utiliser des points de terminaison privés pour tous les services Azure auxquels accèdent les composants logiciels d'extension que vous déployez via Azure Arc. Ces services comprennent les espaces de travail Log Analytics, les comptes Azure Automation, Azure Key Vault et Azure Storage.

• La connectivité à Microsoft Entra ID utilise des points de terminaison publics, de sorte que les clients doivent disposer d'un certain accès à Internet.

• Si vous utilisez Azure ExpressRoute pour la connectivité privée, pensez à consulter les meilleures pratiques en matière de résilience pour les circuits, les passerelles, les connexions et ExpressRoute Direct.

En raison de ces défis, nous vous recommandons d'évaluer si vous avez besoin d'une liaison privée pour votre mise en œuvre d'Azure Arc. Les points de terminaison publics chiffrent le trafic. Selon la façon dont vous utilisez Azure Arc pour les serveurs, vous pourriez limiter le trafic à la gestion et aux métadonnées. Pour répondre aux problèmes de sécurité, mettez en place des contrôles de sécurité pour les agents locaux.

Pour plus d'informations, consultez Sécurité de la liaison privée et voyez les restrictions et limitations qui sont associées à la prise en charge de la liaison privée pour Azure Arc.

Gérer l’accès aux étiquettes de service Azure

Nous vous recommandons de mettre en œuvre un processus automatisé pour mettre à jour les règles du pare-feu et du réseau proxy en fonction des exigences du réseau Azure Arc.

Étapes suivantes

Pour plus de conseils sur votre parcours d'adoption du cloud hybride, consultez les ressources suivantes :

• Scénarios d’Azure Arc Jumpstart
• Prérequis de l’agent Connected Machine
• Configuration du réseau pour la méthode de connectivité par liaison privée
• Utilisez la liaison privée pour connecter les serveurs à Azure Arc
• Planifiez un déploiement à grande échelle de serveurs Azure Arc
• Mise en place d'une liaison privée
• Dépanner les problèmes de connexion de l'agent de la machine connectée Azure
• Formation : Intégrez l’innovation Azure à vos environnements hybrides avec Azure Arc