Condividi tramite

Semplificare i requisiti di configurazione di rete con Azure Arc Gateway (anteprima)

  • Articolo

Se si usano proxy aziendali per gestire il traffico in uscita, il gateway Azure Arc consente di semplificare il processo di abilitazione della connettività.

Il gateway Azure Arc (attualmente in anteprima) consente di:

  • Connettersi ad Azure Arc aprendo l'accesso alla rete pubblica solo a sette nomi di dominio completi (FQDN).
  • Visualizzare e controllare tutto il traffico inviato dagli agenti Arc ad Azure tramite il gateway Arc.

Importante

Il gateway Azure Arc è attualmente in anteprima.

Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Funzionamento del gateway Azure Arc

Il gateway Arc funziona introducendo due nuovi componenti:

  • La risorsa gateway Arc è una risorsa di Azure che funge da front-end comune per il traffico di Azure. La risorsa gateway viene servita in un dominio/URL specifico. È necessario creare questa risorsa seguendo i passaggi descritti in questo articolo. Dopo aver creato correttamente la risorsa gateway, questo dominio/URL viene incluso nella risposta riuscita.
  • Il proxy Arc è un nuovo componente che viene eseguito come proprio pod (denominato Proxy di Azure Arc). Questo componente funge da proxy di inoltro usato dagli agenti e dalle estensioni di Azure Arc. Non è necessaria alcuna configurazione per il proxy di Azure Arc.

Per altre informazioni, vedere funzionamento del gateway Azure Arc.

Importante

Azure Locale e servizio Azure Kubernetes non supportano proxy di terminazione TLS, ExpressRoute/VPN da sito a sito o endpoint privati. Esiste anche un limite di cinque risorse del gateway Arc per ogni sottoscrizione di Azure.

Operazioni preliminari

  • Assicurarsi di completare i prerequisiti per la creazione di cluster del servizio Azure Kubernetes in Locale di Azure.

  • Questo articolo richiede la versione 1.4.23 o successiva dell'interfaccia della riga di comando di Azure. Se si usa Azure CloudShell, la versione più recente è già installata.

  • Le autorizzazioni di Azure seguenti sono necessarie per creare risorse del gateway Arc e gestire l'associazione ai cluster di Azure Kubernetes Arc:

    • Microsoft.Kubernetes/connectedClusters/settings/default/write
    • Microsoft.hybridcompute/gateways/read
    • Microsoft.hybridcompute/gateways/write

  • È possibile creare una risorsa gateway Arc usando l'interfaccia della riga di comando di Azure o il portale di Azure. Per altre informazioni su come creare una risorsa gateway Arc per i cluster del servizio Azure Kubernetes e Locale di Azure, vedere Creare la risorsa gateway Arc in Azure. Quando si crea la risorsa gateway Arc, ottenere l'ID risorsa del gateway eseguendo il comando seguente:

    $gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"

Confermare l'accesso agli URL necessari

Assicurarsi che l'URL del gateway Arc e tutti gli URL seguenti siano consentiti tramite il firewall aziendale:

URL Scopo
[Your URL prefix].gw.arc.azure.com URL del gateway. È possibile ottenere questo URL eseguendo az arcgateway list dopo aver creato la risorsa.
management.azure.com Endpoint di Azure Resource Manager, obbligatorio per il canale di controllo di Azure Resource Manager.
<region>.obo.arc.azure.com Obbligatorio quando az connectedk8s proxy viene usato.
login.microsoftonline.com, <region>.login.microsoft.com Endpoint ID Microsoft Entra, usato per acquisire i token di accesso all'identità.
gbl.his.arc.azure.com, <region>.his.arc.azure.com Endpoint del servizio cloud per la comunicazione con gli agenti Arc. Utilizza nomi brevi; ad esempio eus per Stati Uniti orientali.
mcr.microsoft.com, *.data.mcr.microsoft.com Obbligatorio per il pull delle immagini del contenitore per gli agenti di Azure Arc

Creare un cluster Arc del servizio Azure Kubernetes con il gateway Arc abilitato

Eseguire il comando seguente per creare un cluster Arc del servizio Azure Kubernetes con il gateway Arc abilitato:

az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys

Aggiornare un cluster Arc del servizio Azure Kubernetes e abilitare il gateway Arc

Eseguire il comando seguente per aggiornare un cluster Arc del servizio Azure Kubernetes e abilitare il gateway Arc:

az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId

Disabilitare il gateway Arc in un cluster Arc del servizio Azure Kubernetes

Eseguire il comando seguente per disabilitare un cluster Arc del servizio Azure Kubernetes:

az aksarc update -n $clusterName -g $resourceGroup --disable-gateway

Monitorare il traffico

Per controllare il traffico del gateway, visualizzare i log del router del gateway:

  1. Eseguire kubectl get pods -n azure-arc.
  2. Identificare il pod Proxy Arc (il nome inizierà con arc-proxy-).
  3. Eseguire kubectl logs -n azure-arc <Arc Proxy pod name>.

Altri scenari

Durante l'anteprima pubblica, il gateway Arc copre gli endpoint necessari per i cluster del servizio Azure Kubernetes Arc e una parte degli endpoint necessari per scenari aggiuntivi abilitati per Arc. In base agli scenari adottano, gli endpoint aggiuntivi devono comunque essere consentiti nel proxy.

Tutti gli endpoint elencati per gli scenari seguenti devono essere consentiti nel proxy aziendale quando il gateway Arc è in uso:

Passaggi successivi