Informazioni sul gateway Azure Arc per Azure locale (anteprima)
Si applica a: Locale di Azure 2411.1 e versioni successive
Importante
Azure Stack HCI is now part of Azure Local. Altre informazioni.
Questo articolo offre una panoramica del gateway Azure Arc per Azure Local, versione 23H2. Il gateway Arc può essere abilitato nelle nuove distribuzioni del software in esecuzione locale di Azure versione 2408 e successive. Questo articolo descrive anche come creare ed eliminare la risorsa gateway Arc in Azure.
È possibile usare il gateway Arc per ridurre significativamente il numero di endpoint necessari per distribuire e gestire istanze locali di Azure. Dopo aver creato il gateway Arc, è possibile connettersi e usarlo per le nuove distribuzioni di Azure Local.
Per informazioni su come distribuire il gateway Azure Arc per server autonomi (non computer locali di Azure), vedere Semplificare i requisiti di configurazione di rete tramite il gateway Azure Arc.
Importante
La funzionalità è attualmente disponibile in ANTEPRIMA. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Funzionamento
Il gateway Arc funziona introducendo i componenti seguenti:
Risorsa gateway Arc: una risorsa di Azure che funge da punto di ingresso comune per il traffico di Azure. Questa risorsa gateway ha un dominio o un URL specifico che è possibile usare. Quando si crea la risorsa gateway Arc, questo dominio o URL fa parte della risposta riuscita.
Proxy Arc: nuovo componente aggiunto a Arc Agentry. Questo componente viene eseguito come servizio (denominato proxy di Azure Arc) e funziona come proxy di inoltro per gli agenti e le estensioni di Azure Arc. Il router del gateway non richiede alcuna configurazione dal lato. Questo router fa parte dell'agente principale arc ed è in esecuzione nel contesto di una risorsa abilitata per Arc.
Dopo aver integrato il gateway Arc con la versione 2411 delle distribuzioni locali di Azure, ogni computer ottiene il proxy Arc insieme ad altri agenti Arc.
Quando si usa il gateway Arc, il flusso del traffico HTTP e HTTPS cambia come segue:
Flusso del traffico per i componenti del sistema operativo host locale di Azure
Le impostazioni proxy del sistema operativo vengono usate per instradare tutto il traffico host HTTPS tramite il proxy Arc.
Dal proxy Arc, il traffico viene inoltrato al gateway Arc.
In base alla configurazione nel gateway Arc, se consentito, il traffico viene inviato ai servizi di destinazione. Se non è consentito, il proxy Arc reindirizza il traffico al proxy aziendale (o in uscita diretto se non è impostato alcun proxy). Il proxy arc determina automaticamente il percorso corretto per l'endpoint.
Flusso del traffico per arc appliance Arc Resource Bridge (ARB) e piano di controllo del servizio Azure Kubernetes
L'INDIRIZZO IP instradabile (risorsa IP cluster di failover a partire da ora) viene usato per inoltrare il traffico attraverso il proxy Arc in esecuzione nei computer host locali di Azure.
Il proxy di inoltro del servizio Azure Kubernetes e il proxy di inoltro del servizio Azure Kubernetes sono configurati per l'uso dell'IP instradabile.
Con le impostazioni proxy sul posto, il traffico in uscita del servizio Azure Kubernetes viene inoltrato a Arc Proxy in esecuzione in uno dei computer locali di Azure tramite l'INDIRIZZO IP instradabile.
Quando il traffico raggiunge il proxy Arc, il flusso rimanente accetta lo stesso percorso descritto. Se il traffico verso il servizio di destinazione è consentito, viene inviato al gateway Arc. In caso contrario, viene inviato al proxy aziendale (o in uscita diretta se non è impostato alcun proxy). Si noti che per il servizio Azure Kubernetes, questo percorso viene usato per scaricare immagini Docker per i pod di estensione Arc Agentry e Arc.
Flusso di traffico per le macchine virtuali Arc
Il traffico HTTP e HTTPS viene inoltrato al proxy aziendale. Il proxy Arc all'interno della macchina virtuale Arc non è ancora supportato in questa versione.
I flussi di traffico sono illustrati nel diagramma seguente:
Scenari supportati e non supportati
È possibile usare il gateway Arc nello scenario seguente per Le versioni locali di Azure 2411.1 o versioni successive:
- Abilitare Il gateway Arc durante la distribuzione di nuove istanze locali di Azure che eseguono le versioni 2411.1 o successive.
Gli scenari non supportati per Azure Locale, versioni 2408, 2411 e 2411.1 includono:
Le istanze locali di Azure aggiornate dalle versioni 2402 o 2405 alle versioni 2408 o 2411 non possono sfruttare tutti i nuovi endpoint supportati da questa anteprima del gateway Arc. I componenti host, le estensioni Arc, GLI ENDPOINT obbligatori del servizio Azure Kubernetes sono supportati solo quando si abilita il gateway Arc come parte di una nuova distribuzione della versione 2408.
L'abilitazione del gateway Arc dopo la distribuzione non può sfruttare tutti i nuovi endpoint supportati da questa anteprima del gateway Arc. Gli endpoint necessari per Host, estensioni di Arc, ARB e AKS sono supportati solo quando si abilita il gateway Arc come parte di una nuova distribuzione.
Endpoint locali di Azure non reindirizzati
Nell'ambito dell'aggiornamento dell'anteprima della versione locale di Azure 2411.1, gli endpoint della tabella sono necessari e devono essere consentiti nel proxy o nel firewall per distribuire l'istanza locale di Azure. Questi endpoint versione 2408 e 2411 non vengono reindirizzati tramite il gateway Arc:
| Endpoint # | Endpoint obbligatorio | Componente |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Registrazione arc |
| 2 | http://login.microsoftonline.com:443 |
Registrazione arc |
| 3 | http://<region>.login.microsoft.com:443 |
Registrazione arc |
| 4 | http://download.microsoft.com:443 |
Registrazione arc |
| 5 | http://management.azure.com:443 |
Registrazione arc |
| 6 | http://gbl.his.arc.azure.com:443 |
Registrazione arc |
| 7 | http://<region>.his.arc.azure.com:443 |
Registrazione arc |
| 8 | http://dc.services.visualstudio.com:443 |
Registrazione arc |
| 9 | https://<region>.obo.arc.azure.com:8084 |
Estensioni AKS |
| 10 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Gateway Arc |
| 11 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 12 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Account di archiviazione cloud di controllo |
| 13 | http://files.pythonhosted.org:443 |
Cloud locale Microsoft/ARB/servizio Azure Kubernetes |
| 14 | http://pypi.org:443 |
Cloud locale Microsoft/ARB/servizio Azure Kubernetes |
| 15 | http://raw.githubusercontent.com:443 |
Cloud locale Microsoft/ARB/servizio Azure Kubernetes |
| 16 | http://pythonhosted.org:443 |
Cloud locale Microsoft/ARB/servizio Azure Kubernetes |
| 17 | http://ocsp.digicert.com |
Elenco di revoche di certificati per le estensioni Arc |
| 18 | http://s.symcd.com |
Elenco di revoche di certificati per le estensioni Arc |
| 19 | http://ts-ocsp.ws.symantec.com |
Elenco di revoche di certificati per le estensioni Arc |
| 20 | http://ocsp.globalsign.com |
Elenco di revoche di certificati per le estensioni Arc |
| 21 | http://ocsp2.globalsign.com |
Elenco di revoche di certificati per le estensioni Arc |
| 22 | http://oneocsp.microsoft.com |
Elenco di revoche di certificati per le estensioni Arc |
| 23 | http://dl.delivery.mp.microsoft.com |
Windows Update |
| 24 | http://*.tlu.dl.delivery.mp.microsoft.com |
Windows Update |
| 25 | http://*.windowsupdate.com |
Windows Update |
| 26 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 27 | http://*.update.microsoft.com |
Windows Update |
Restrizioni e limitazioni
In questa versione si considerino le limitazioni seguenti del gateway Arc:
- I proxy di terminazione TLS non sono supportati con l'anteprima del gateway Arc.
- L'uso di ExpressRoute, VPN da sito a sito o endpoint privati oltre al gateway Arc (anteprima) non è supportato.
Creare la risorsa gateway Arc in Azure
È possibile creare una risorsa gateway Arc usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.
- Accedi al portale di Azure.
- Passare alla > Azure Arc di Azure Arc e quindi selezionare Crea.
- Selezionare la sottoscrizione e il gruppo di risorse in cui si vuole che la risorsa gateway Arc venga gestita in Azure. Una risorsa gateway Arc può essere usata da qualsiasi risorsa abilitata per Arc nello stesso tenant di Azure.
- In Nome immettere il nome per la risorsa gateway Arc.
- In Località immettere l'area in cui deve essere attiva la risorsa gateway Arc. Una risorsa gateway Arc può essere usata da qualsiasi risorsa abilitata per Arc nello stesso tenant di Azure.
- Selezionare Avanti.
- Nella pagina Tag specificare uno o più tag personalizzati per supportare gli standard.
- Selezionare Rivedi e crea.
- Esaminare i dettagli e quindi selezionare Crea.
Il completamento del processo di creazione del gateway richiede da nove a dieci minuti.
Scollegare o modificare l'associazione del gateway Arc dal computer
Per scollegare la risorsa gateway dal server abilitato per Arc, impostare l'ID risorsa gateway su null. Se si vuole collegare il server abilitato per Arc a un'altra risorsa gateway Arc, è sufficiente aggiornare il nome e l'ID risorsa con le nuove informazioni sul gateway Arc:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
Eliminare la risorsa gateway Arc
Prima di eliminare una risorsa gateway Arc, assicurarsi che non siano collegati computer. Per eliminare la risorsa gateway, eseguire il comando seguente:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Questa operazione può richiedere alcuni minuti.