Semplificare i requisiti di configurazione di rete con il gateway Azure Arc (anteprima pubblica)

Se si usano proxy aziendali per gestire il traffico in uscita, il gateway Azure Arc consente di eseguire l'onboarding dell'infrastruttura in Azure Arc usando solo sette endpoint (7). Con il gateway Azure Arc è possibile:

• Connettersi ad Azure Arc aprendo l'accesso alla rete pubblica solo a sette nomi di dominio completi (FQDN).
• Visualizzare e controllare tutto il traffico inviato da un agente di Azure Connected Machine ad Azure tramite il gateway Arc.

Questo articolo illustra come configurare e usare il gateway Arc (anteprima pubblica).

Importante

La funzionalità gateway Arc per i server abilitati per Azure Arc è attualmente disponibile in anteprima pubblica in tutte le aree in cui sono presenti server abilitati per Azure Arc. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali applicabili alle funzionalità di Azure in versione beta, anteprima pubblica o non ancora rilasciate nella disponibilità generale.

Funzionamento del gateway Azure Arc

Il gateway Azure Arc è costituito da due componenti principali:

• Risorsa gateway Arc: una risorsa di Azure che funge da front-end comune per il traffico di Azure. Questa risorsa gateway viene servita in un dominio specifico. Dopo aver creato la risorsa gateway Arc, il dominio viene restituito nella risposta riuscita.

• Il proxy Arc: Un nuovo componente aggiunto alla funzione Arc. Questo componente viene eseguito come servizio denominato "Azure Arc Proxy" e funge da proxy di inoltro usato dagli agenti e dalle estensioni di Azure Arc. Non è necessaria alcuna configurazione per il proxy Arc. Questo proxy fa parte dell'agente principale di Arc e viene eseguito nel contesto di una risorsa abilitata per Arc.

Quando il gateway è in uso, il traffico passa tramite gli hop seguenti: Arc agentry → Arc Proxy → Enterprise proxy → Arc gateway → Servizio di destinazione

Limitazioni correnti

Durante l'anteprima pubblica si applicano le limitazioni seguenti. Prendere in considerazione questi fattori durante la pianificazione della configurazione.

• I proxy di terminazione TLS non sono supportati (anteprima pubblica)
• ExpressRoute/VPN da sito a sito o endpoint privati usati con il gateway Arc (anteprima pubblica) non è supportato.
• È previsto un limite di cinque (5) risorse del gateway Arc (anteprima pubblica) per ogni sottoscrizione di Azure.
• Il gateway Arc può essere usato solo per la connettività nel cloud pubblico di Azure.

Autorizzazioni necessarie

Per creare risorse gateway Arc e gestire l'associazione con i server abilitati per Arc, sono necessarie le autorizzazioni seguenti:

• Microsoft.HybridCompute/settings/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

Come usare il gateway Arc (anteprima pubblica)

Per usare il gateway Arc sono necessari quattro passaggi:

1. Creare una risorsa gateway Arc.
2. Verificare che gli URL necessari siano consentiti nell'ambiente in uso.
3. Eseguire l'onboarding delle risorse di Azure Arc con la risorsa gateway Arc o configurare le risorse di Azure Arc esistenti per l'uso del gateway Arc.
4. Verificare che l'installazione sia riuscita.

Passaggio 1: Creare una risorsa gateway Arc

È possibile creare una risorsa gateway Arc usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

Portale

1. Da un browser accedere al portale di Azure.

2. Passare ad Azure Arc | Pagina del gateway Azure Arc e quindi selezionare Crea.

3. Selezionare la sottoscrizione e il gruppo di risorse in cui si vuole che la risorsa gateway Arc venga gestita in Azure. Una risorsa gateway Arc può essere usata da qualsiasi risorsa abilitata per Arc nello stesso tenant di Azure.

4. In Nome immettere il nome della risorsa gateway Arc.

5. Per Località immettere l'area in cui deve essere attiva la risorsa gateway Arc. Una risorsa gateway Arc può essere usata da qualsiasi risorsa abilitata per Arc nello stesso tenant di Azure.

6. Selezionare Avanti.

7. Nella pagina Tag specificare uno o più tag personalizzati per supportare gli standard.

8. Selezionare Rivedi e crea.

9. Esaminare i dettagli di input e quindi selezionare Crea.

   Il completamento del processo di creazione del gateway richiede 9-10 minuti.

CLI

1. Aggiungere l'estensione arc gateway all'interfaccia della riga di comando di Azure:

   az extension add -n arcgateway

2. In un computer con accesso ad Azure eseguire i comandi seguenti per creare la risorsa gateway Arc:

   az arcgateway create --name [Your gateway’s Name] --resource-group [Your Resource Group] --location [Location]
   

   Il completamento del processo di creazione del gateway richiede 9-10 minuti.

PowerShell

In un computer con accesso ad Azure eseguire il comando di PowerShell seguente per creare la risorsa del gateway Arc:

New-AzArcgateway 
-name <gateway’s name> 
-resource-group <resource group> 
-location <region> 
-subscription <subscription name or id> 
-gateway-type public  
-allowed-features *

Il completamento del processo di creazione del gateway richiede 9-10 minuti.

Passaggio 2: Verificare che gli URL necessari siano consentiti nell'ambiente

Quando la risorsa viene creata, la risposta di esito positivo include l'URL del gateway Arc. Verificare che l'URL del gateway Arc e tutti gli URL nella tabella seguente siano consentiti nell'ambiente in cui risiedono le risorse Arc. Gli URL necessari sono:

URL	Scopo
[Prefisso URL].gw.arc.azure.com	URL del gateway (questo URL può essere ottenuto eseguendo az arcgateway list dopo aver creato la risorsa del gateway)
management.azure.com	Endpoint di Azure Resource Manager, obbligatorio per il canale di controllo di Azure Resource Manager
login.microsoftonline.com	Endpoint di Microsoft Entra ID, per l'acquisizione di token di accesso alle identità
gbl.his.arc.azure.com	Endpoint del servizio cloud per la comunicazione con gli agenti di Azure Arc
<region>.his.arc.azure.com	Usato per il canale di controllo principale di Arc
packages.microsoft.com	Necessario per acquisire il payload dell'agente Arc basato su Linux, necessario solo per connettere i server Linux ad Arc

Passaggio 3a: Eseguire l'onboarding delle risorse di Azure Arc con la risorsa del gateway Arc.

1. Generare lo script di installazione.

   Seguire le istruzioni riportate in Avvio rapido: Connettere computer ibridi con server abilitati per Azure Arc per creare uno script che automatizza il download e l'installazione dell'agente di Azure Connected Machine e stabilisce la connessione con Azure Arc.

   Importante

   Quando si genera lo script di onboarding, selezionare Server proxy in Metodo di connettività per visualizzare l'elenco a discesa per la risorsa gateway.

2. Eseguire lo script di installazione per eseguire l'onboarding dei server in Azure Arc.

   Nello script l'ID ARM della risorsa del gateway Arc viene visualizzato come --gateway-id.

Passaggio 3b: Configurare le risorse di Azure Arc esistenti per l'uso del gateway Arc

È possibile configurare le risorse di Azure Arc esistenti per l'uso del gateway Arc usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

Portale

1. Nella portale di Azure passare alla pagina del gateway Azure Arc - Azure Arc.

2. Selezionare la risorsa gateway Arc da associare al server abilitato per Arc.

3. Passare alla pagina Risorse associate per la risorsa gateway.

4. Selezionare Aggiungi.

5. Selezionare la risorsa abilitata per Arc da associare alla risorsa gateway Arc.

6. Selezionare Applica.

7. Aggiornare il server abilitato per Arc per usare il gateway Arc eseguendo azcmagent config set connection.type gateway.

CLI

1. In un computer con accesso ad Azure eseguire i comandi seguenti:

   az arcgateway settings update
      --resource-group [Resource Group]
      --subscription [subscription name]
      --base-provider Microsoft.HybridCompute
      --base-resource-type machines
      --base-resource-name [Arc-Server’s name]
      --settings-resource-name default--gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Aggiornare il server abilitato per Arc per usare il gateway Arc eseguendo il comando seguente:

   azcmagent config set connection.type gateway

PowerShell

1. In un computer con accesso ad Azure eseguire i comandi seguenti:

   Update-AzArcSetting  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId <Full Arm resourceid>
   

2. Aggiornare il server abilitato per Arc per usare il gateway Arc eseguendo il comando seguente:

   azcmagent config set connection.type gateway

Passaggio 4: Verificare che l'installazione sia riuscita

Nel server di cui è stato eseguito l'onboarding eseguire il comando seguente: azcmagent show il risultato deve indicare i valori seguenti:

• Lo stato dell'agente dovrebbe essere connesso.
• L'uso del proxy HTTPS deve essere visualizzato come http://localhost:40343.
• Il proxy upstream deve essere visualizzato come proxy aziendale (se impostato). L'URL del gateway deve riflettere l'URL della risorsa gateway.

Inoltre, per verificare la corretta configurazione, è possibile eseguire il comando seguente: azcmagent check il risultato dovrebbe indicare che connection.type è impostato sul gateway e che la colonna Raggiungibile deve indicare true per tutti gli URL.

Associare un computer a un nuovo gateway Arc

Per associare un computer a un nuovo gateway Arc:

Portale

1. Nella portale di Azure passare alla pagina del gateway Azure Arc - Azure Arc.

2. Selezionare la nuova risorsa gateway Arc da associare al computer.

3. Passare alla pagina Risorse associate per la risorsa gateway.

4. Selezionare Aggiungi.

5. Selezionare il computer abilitato per Arc da associare alla nuova risorsa gateway Arc.

6. Selezionare Applica.

7. Aggiornare il server abilitato per Arc per usare il gateway Arc eseguendo azcmagent config set connection.type gateway.

CLI

1. Nel computer da associare a un nuovo gateway Arc eseguire i comandi seguenti:

   az arcgateway settings update
      --resource-group [Resource Group]
      --subscription [subscription name]
      --base-provider Microsoft.HybridCompute
      --base-resource-type machines
      --base-resource-name [Arc-Server’s name]
      --settings-resource-name default--gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Aggiornare il server abilitato per Arc per usare il gateway Arc eseguendo il comando seguente:

   azcmagent config set connection.type gateway

PowerShell

1. Nel computer da associare a un nuovo gateway Arc eseguire il comando seguente:

   Set-AzArcGatewaySettings  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId <Full Arm resourceid>
   

2. Aggiornare il server abilitato per Arc per usare il gateway Arc eseguendo il comando seguente:

   azcmagent config set connection.type gateway

Rimuovere l'associazione del gateway Arc (per usare invece la route diretta)

1. Impostare il tipo di connessione del server abilitato per Arc su "direct" anziché su "gateway" eseguendo il comando seguente:

   azcmagent config set connection.type direct

   Nota

   Se si esegue questo passaggio, tutti i requisiti di rete di Azure Arc devono essere soddisfatti nell'ambiente per continuare a sfruttare Azure Arc.

2. Scollegare la risorsa gateway Arc dal computer:

   Portale

   1. Nella portale di Azure passare alla pagina del gateway Azure Arc - Azure Arc.

   2. Selezionare la risorsa gateway Arc.

   3. Passare alla pagina Risorse associate per la risorsa gateway e selezionare il server.

   4. Selezionare Rimuovi.

   CLI

   In un computer con accesso ad Azure eseguire il comando seguente dell'interfaccia della riga di comando di Azure:

   az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id ""
   

   Nota

   Se si esegue questo comando dell'interfaccia della riga di comando di Azure in Windows PowerShell, impostare su --gateway-resource-id Null.

   PowerShell

   In un computer con accesso ad Azure eseguire il comando di PowerShell seguente:

   Set-AzArcGatewaySettings  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId ""
   

Eliminare una risorsa gateway Arc

Nota

Il completamento di questa operazione può richiedere da 4 a 5 minuti.

Portale

1. Nella portale di Azure passare alla pagina del gateway Azure Arc - Azure Arc.

2. Selezionare la risorsa gateway Arc.

3. Selezionare Elimina.

CLI

In un computer con accesso ad Azure eseguire il comando seguente dell'interfaccia della riga di comando di Azure:

az arcgateway delete --resource-group <Resource Group> --gateway-name <Arc gateway Resource Name >

PowerShell

In un computer con accesso ad Azure eseguire il comando di PowerShell seguente:

Remove-AzArcGateway  
    -ResourceGroup <res-group>  
    -GatewayName <RP Name>

Risoluzione dei problemi

È possibile controllare il traffico del gateway Arc visualizzando i log del proxy di Azure Arc.

Per visualizzare i log proxy arc in Windows:

1. Eseguire azcmagent logs in PowerShell.
2. Nel file .zip risultante i log si trovano nella cartella C:\ProgramData\Microsoft\ArcProxy.

Per visualizzare i log proxy arc in Linux:

1. Eseguire sudo azcmagent logse condividere il file risultante.
2. Nel file di log risultante i log si trovano nella cartella /usr/local/arcproxy/logs/.

Scenari aggiuntivi

Durante l'anteprima pubblica, il gateway Arc copre gli endpoint necessari per l'onboarding di un server, nonché una parte degli endpoint necessari per scenari aggiuntivi abilitati per Arc. In base agli scenari che si adottano, è necessario consentire endpoint aggiuntivi nel proxy.

Scenari che non richiedono endpoint aggiuntivi

• Windows Admin Center
• SSH
• Aggiornamenti della sicurezza estesi
• Microsoft Defender
• Estensione di Azure per SQL Server

Scenari che richiedono endpoint aggiuntivi

Gli endpoint elencati con gli scenari seguenti devono essere consentiti nel proxy aziendale quando si usa il gateway Arc:

• Servizi dati abilitati per Azure Arc

  • *.ods.opinsights.azure.com

  • *.oms.opinsights.azure.com

  • *.monitoring.azure.com

• Agente di Monitoraggio di Azure

  • <log-analytics-workspace-id.ods.opinsights.azure.com>

  • <data-collection-endpoint>.<virtual-machine-region-name.ingest.monitor.azure.com>

• Sincronizzazione certificati di Azure Key Vault

  • <vault-name.vault.azure.net>

• Estensione ruolo di lavoro ibrido per runbook di Automazione di Azure

  • *.azure-automation.net

• Estensione Windows OS Update/Azure Update Manager

  • L'ambiente deve soddisfare tutti i prerequisiti per Windows Update

Problemi noti

Di seguito è riportata una descrizione dei problemi attualmente noti per il gateway Arc.

Aggiornamento necessario dopo l'onboarding dell'agente di Azure Connected Machine

Quando si usa lo script di onboarding (o il comando) per eseguire l'onboarding azcmagent connect di un server con l'ID risorsa gateway specificato, la risorsa userà correttamente il gateway Arc. Tuttavia, a causa di un bug noto (con una correzione attualmente in corso), il server abilitato per Arc non verrà visualizzato come risorsa associata in portale di Azure a meno che le impostazioni della risorsa non vengano aggiornate. Utilizzare la procedura seguente per eseguire questo aggiornamento:

Portale

1. Nella portale di Azure passare ad Azure Arc | Pagina Gateway Arc.

2. Selezionare la risorsa gateway Arc da associare al server abilitato per Arc.

3. Passare alla pagina Risorse associate per la risorsa gateway.

4. Selezionare Aggiungi.

5. Selezionare la risorsa abilitata per Arc da associare alla risorsa gateway Arc e selezionare Applica.

CLI

In un computer con accesso ad Azure eseguire il comando seguente dell'interfaccia della riga di comando di Azure:

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id <Full Arm resource id of the new Arc gateway resource>

PowerShell

In un computer con accesso ad Azure eseguire il comando di PowerShell seguente:

Set-AzArcGatewaySettings  
    -ResourceGroup <res-group>  
    -Subscription <subscription name>  
    -BaseProvider <RP Name>  
    -BaseResourceType <Resource Type>  
    -Name <Arc-server's resource name>  
    -SettingsResourceName "default"  
    -GatewayResourceId <Full Arm resourceid>

Aggiornamento proxy Arc necessario dopo aver scollegato una risorsa gateway dal computer

Quando si scollega una risorsa gateway Arc da un computer, è necessario aggiornare il proxy Arc per cancellare la configurazione del gateway Arc. A tale scopo, eseguire la procedura seguente:

1. Arrestare il proxy di arco.

   • Windows: Stop-Service arcproxy
   • Linux: sudo systemctl stop arcproxyd

2. Eliminare il file cloudconfig.json.

   • Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
   • Linux: "/var/opt/azcmagent/cloudconfig.json"

3. Avviare il proxy di arco.

   • Windows: Start-Service arcproxy
   • Linux: sudo systemctl start arcproxyd

4. Riavviare gli himd (facoltativo, ma consigliato).

   • Windows: Restart-Service himds
   • Linux: sudo systemctl restart himdsd

Aggiornamento necessario per i computer riabilitato senza gateway

Se un computer abilitato per Arc con un gateway Arc viene eliminato da Azure Arc e riabilitato senza un gateway Arc, è necessario un aggiornamento per aggiornarne lo stato nel portale di Azure.

Importante

Questo problema si verifica solo quando la risorsa è riabilitata per Arc con lo stesso ID ARM dell'abilitazione iniziale.

In questo scenario, il computer viene visualizzato in modo non corretto in portale di Azure come risorsa associata al gateway Arc. Per evitare questo problema, se si intende abilitare Arc per un computer senza un gateway Arc abilitato in precedenza con un gateway Arc, è necessario aggiornare l'associazione del gateway Arc dopo l'onboarding. A tale scopo, utilizzare la procedura seguente:

Portale

1. Nella portale di Azure passare ad Azure Arc | Pagina Gateway Arc.

2. Selezionare la risorsa gateway Arc.

3. Passare alla pagina Risorse associate per la risorsa gateway.

4. Selezionare il server e quindi selezionare Rimuovi.

CLI

In un computer con accesso ad Azure eseguire il comando seguente dell'interfaccia della riga di comando di Azure:

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id ""

Nota

Se si esegue questo comando dell'interfaccia della riga di comando di Azure in Windows PowerShell, impostare su --gateway-resource-id Null.

PowerShell

In un computer con accesso ad Azure eseguire il comando di PowerShell seguente:

Set-AzArcGatewaySettings  

    -ResourceGroup <res-group>  

    -Subscription <subscription name>  

    -BaseProvider <RP Name>  

    -BaseResourceType <Resource Type>  

    -Name <Arc-server's resource name>  

    -SettingsResourceName "default"  

    -GatewayResourceId ""

Associazione manuale del gateway richiesta dopo l'eliminazione

Se un gateway Arc viene eliminato mentre un computer è ancora connesso, portale di Azure deve essere usato per associare il computer a qualsiasi altra risorsa del gateway Arc.

Per evitare questo problema, scollegare tutte le risorse abilitate per Arc da un gateway Arc prima di eliminare la risorsa del gateway. Se si verifica questo errore, usare portale di Azure per associare il computer a una nuova risorsa gateway Arc.