Azure Arc Gateway를 사용하여 네트워크 구성 요구 사항 간소화(미리 보기)
엔터프라이즈 프록시를 사용하여 아웃바운드 트래픽을 관리하는 경우 Azure Arc 게이트웨이는 연결을 사용하도록 설정하는 프로세스를 간소화하는 데 도움이 될 수 있습니다.
Azure Arc 게이트웨이(현재 미리 보기 상태)를 사용하면 다음을 수행할 수 있습니다.
- FQDN(정규화된 도메인 이름) 7개에 대해서만 공용 네트워크 액세스를 열어 Azure Arc에 연결합니다.
- Arc 에이전트가 Arc 게이트웨이를 통해 Azure로 보내는 모든 트래픽을 보고 감사합니다.
Important
Azure Arc 게이트웨이는 현재 미리 보기로 제공됩니다.
베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
Azure Arc 게이트웨이 작동 방식
Arc 게이트웨이는 다음 두 가지 새로운 구성 요소를 도입하여 작동합니다.
- Arc 게이트웨이 리소스는 Azure 트래픽의 공통 프런트 엔드 역할을 하는 Azure 리소스입니다. 게이트웨이 리소스는 특정 도메인/URL에서 제공됩니다. 이 문서에 설명된 단계에 따라 이 리소스를 만들어야 합니다. 게이트웨이 리소스를 성공적으로 만든 후에는 이 도메인/URL이 성공 응답에 포함됩니다.
- Arc 프록시는 자체 Pod(Azure Arc 프록시라고 함)로 실행되는 새 구성 요소입니다. 이 구성 요소는 Azure Arc 에이전트 및 확장에서 사용하는 전달 프록시 역할을 합니다. Azure Arc 프록시에 대한 구성이 필요하지 않습니다.
자세한 내용은 Azure Arc 게이트웨이의 작동 방식을 참조 하세요.
Important
Azure Local 및 AKS는 프록시, ExpressRoute/사이트 간 VPN 또는 프라이빗 엔드포인트를 종료하는 TLS를 지원하지 않습니다. 또한 Azure 구독당 Arc 게이트웨이 리소스는 5개로 제한됩니다.
시작하기 전에
Azure Local에서 AKS 클러스터를 만들기 위한 필수 구성 요소를 완료해야 합니다.
이 문서에는 Azure CLI 버전 1.4.23 이상이 필요합니다. Azure CloudShell을 사용하는 경우 최신 버전이 이미 설치되어 있습니다.
Arc 게이트웨이 리소스를 만들고 AKS Arc 클러스터와의 연결을 관리하려면 다음 Azure 권한이 필요합니다.
Microsoft.Kubernetes/connectedClusters/settings/default/writeMicrosoft.hybridcompute/gateways/readMicrosoft.hybridcompute/gateways/write
Azure CLI 또는 Azure Portal을 사용하여 Arc 게이트웨이 리소스를 만들 수 있습니다. AKS 클러스터 및 Azure Local에 대한 Arc 게이트웨이 리소스를 만드는 방법에 대한 자세한 내용은 Azure에서 Arc 게이트웨이 리소스 만들기를 참조하세요. Arc 게이트웨이 리소스를 만들 때 다음 명령을 실행하여 게이트웨이 리소스 ID를 가져옵니다.
$gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
필요한 URL에 대한 액세스 확인
Arc 게이트웨이 URL 및 아래의 모든 URL이 엔터프라이즈 방화벽을 통해 허용되는지 확인합니다.
| URL | 목적 |
|---|---|
[Your URL prefix].gw.arc.azure.com |
게이트웨이 URL입니다. 리소스를 만든 후 실행 az arcgateway list 하여 이 URL을 가져올 수 있습니다. |
management.azure.com |
Azure Resource Manager 제어 채널에 필요한 Azure Resource Manager 엔드포인트입니다. |
<region>.obo.arc.azure.com |
사용할 때 az connectedk8s proxy 필요합니다. |
login.microsoftonline.com, <region>.login.microsoft.com |
ID 액세스 토큰을 획득하는 데 사용되는 Microsoft Entra ID 엔드포인트입니다. |
gbl.his.arc.azure.com, <region>.his.arc.azure.com |
Arc 에이전트와 통신하기 위한 클라우드 서비스 엔드포인트입니다. 짧은 이름을 사용합니다. 예를 들어 eus 미국 동부를 예로 들어 보겠습니다. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Azure Arc 에이전트의 컨테이너 이미지를 끌어오는 데 필요합니다. |
Arc 게이트웨이를 사용하도록 설정된 AKS Arc 클러스터 만들기
다음 명령을 실행하여 Arc 게이트웨이를 사용하도록 설정된 AKS Arc 클러스터를 만듭니다.
az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys
AKS Arc 클러스터 업데이트 및 Arc 게이트웨이 사용
다음 명령을 실행하여 AKS Arc 클러스터를 업데이트하고 Arc 게이트웨이를 사용하도록 설정합니다.
az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId
AKS Arc 클러스터에서 Arc 게이트웨이 사용 안 함
다음 명령을 실행하여 AKS Arc 클러스터를 사용하지 않도록 설정합니다.
az aksarc update -n $clusterName -g $resourceGroup --disable-gateway
트래픽 모니터링
게이트웨이 트래픽을 감사하려면 게이트웨이 라우터 로그를 확인합니다.
kubectl get pods -n azure-arc를 실행합니다.- Arc 프록시 Pod를 식별합니다(이름은 로
arc-proxy-시작). kubectl logs -n azure-arc <Arc Proxy pod name>를 실행합니다.
기타 시나리오
공개 미리 보기 중에 Arc 게이트웨이는 AKS Arc 클러스터에 필요한 엔드포인트와 추가 Arc 지원 시나리오에 필요한 엔드포인트의 일부를 다룹니다. 채택하는 시나리오에 따라 프록시에서 추가 엔드포인트를 계속 허용해야 합니다.
Arc 게이트웨이가 사용 중인 경우 엔터프라이즈 프록시에서 다음 시나리오에 대해 나열된 모든 엔드포인트를 허용해야 합니다.
- Azure Monitor의 컨테이너 인사이트:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
- Azure Key Vault:
<vault-name>.vault.azure.net
- Azure Policy:
data.policy.core.windows.netstore.policy.core.windows.net
- 컨테이너용 Microsoft Defender:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com
- Azure Arc 지원 데이터 서비스
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com