Azure Arc 게이트웨이를 사용하여 네트워크 구성 요구 사항 간소화(공개 미리 보기)
엔터프라이즈 프록시를 사용하여 아웃바운드 트래픽을 관리하는 경우 Azure Arc 게이트웨이를 사용하면 7개의 엔드포인트만 사용하여 Azure Arc에 인프라를 온보딩할 수 있습니다. Azure Arc 게이트웨이를 사용하면 다음을 실행할 수 있습니다.
- FQDN(정규화된 도메인 이름) 7개에 대해서만 공용 네트워크 액세스를 열어 Azure Arc에 연결합니다.
- Azure Connected Machine Agent가 Arc 게이트웨이를 통해 Azure로 보내는 모든 트래픽을 보고 감사합니다.
이 문서에서는 Arc 게이트웨이(공개 미리 보기)를 설정하고 사용하는 방법을 설명합니다.
Important
Azure Arc 지원 서버에 대한 Arc 게이트웨이 기능은 현재 Azure Arc 지원 서버가 있는 모든 지역에서 공개 미리 보기로 제공됩니다. 베타, 공개 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 법적 용어는 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
Azure Arc 게이트웨이 작동 방식
Azure Arc 게이트웨이는 다음 두 가지 주요 구성 요소로 구성됩니다.
Arc 게이트웨이 리소스: Azure 트래픽의 공통 프런트 엔드 역할을 하는 Azure 리소스입니다. 이 게이트웨이 리소스는 특정 도메인에서 제공됩니다. Arc 게이트웨이 리소스가 생성되면 성공 응답에서 도메인이 사용자에게 반환됩니다.
Arc 프록시: Arc 에이전트에 추가된 새 구성 요소입니다. 이 구성 요소는 "Azure Arc 프록시"라는 서비스로 실행되며 Azure Arc 에이전트 및 확장에서 사용하는 전달 프록시 역할을 합니다. Arc 프록시에 대한 구성이 필요하지 않습니다. 이 프록시는 Arc 코어 에이전트의 일부이며 Arc 지원 리소스의 컨텍스트 내에서 실행됩니다.
게이트웨이가 있으면 트래픽은 다음 홉을 통해 흐릅니다. Arc 에이전트 → Arc 프록시 → 엔터프라이즈 프록시 → Arc 게이트웨이 → 대상 서비스
현재 제한 사항
공개 미리 보기 중에는 다음과 같은 제한 사항이 적용됩니다. 구성을 계획할 때 이러한 요소를 고려합니다.
- TLS 종료 프록시는 지원되지 않습니다(공개 미리 보기)
- Arc 게이트웨이(공개 미리 보기)와 함께 사용되는 ExpressRoute/사이트 간 VPN 또는 프라이빗 엔드포인트는 지원되지 않습니다.
- Azure 구독당 Arc 게이트웨이(공개 미리 보기) 리소스는 5개로 제한됩니다.
- Arc 게이트웨이는 Azure 퍼블릭 클라우드의 연결에만 사용할 수 있습니다.
필요한 사용 권한
Arc 게이트웨이 리소스를 만들고 Arc 지원 서버와의 연결을 관리하려면 다음 권한이 필요합니다.
- Microsoft.HybridCompute/settings/write
- Microsoft.hybridcompute/gateways/read
- Microsoft.hybridcompute/gateways/write
Arc 게이트웨이를 사용하는 방법(공개 미리 보기)
Arc 게이트웨이를 사용하는 네 가지 단계가 있습니다.
- Arc 게이트웨이 리소스를 만듭니다.
- 사용자 환경에서 필요한 URL이 허용되는지 확인합니다.
- Arc 게이트웨이 리소스를 사용하여 Azure Arc 리소스를 온보딩하거나 Arc 게이트웨이를 사용하도록 기존 Azure Arc 리소스를 구성합니다.
- 설치가 성공했는지 확인합니다.
1단계: Arc 게이트웨이 리소스 만들기
Azure Portal, Azure CLI 또는 Azure PowerShell을 사용하여 Arc 게이트웨이 리소스를 만들 수 있습니다.
브라우저에서 Azure Portal에 로그인합니다.
Azure Arc로 이동 | Azure Arc 게이트웨이 페이지를 클릭한 다음 만들기를 선택합니다.
Arc 게이트웨이 리소스를 Azure 내에서 관리하려는 구독 및 리소스 그룹을 선택합니다. Arc 게이트웨이 리소스는 동일한 Azure 테넌트에 있는 Arc 지원 리소스에서 사용할 수 있습니다.
이름에 Arc 게이트웨이 리소스의 이름을 입력합니다.
위치의 경우 Arc 게이트웨이 리소스가 상주해야 하는 지역을 입력합니다. Arc 게이트웨이 리소스는 동일한 Azure 테넌트에 있는 Arc 지원 리소스에서 사용할 수 있습니다.
다음을 선택합니다.
태그 페이지에서 표준을 지원하기 위해 하나 이상의 사용자 지정 태그를 지정합니다.
검토 및 만들기를 선택합니다.
입력 세부 정보를 검토한 다음 만들기를 선택합니다.
게이트웨이 만들기 프로세스를 완료하는 데는 9~10분이 걸립니다.
2단계: 사용자 환경에서 필요한 URL이 허용되는지 확인
리소스를 만들 때 성공 응답에는 Arc 게이트웨이 URL이 포함되어 있습니다. Arc 리소스가 있는 환경에서 Arc 게이트웨이 URL 및 다음 표의 모든 URL이 허용되는지 확인합니다. 필요한 URL은 다음과 같습니다.
| URL | 목적 |
|---|---|
| [사용자 URL 접두사].gw.arc.azure.com | 사용자 게이트웨이 URL(게이트웨이 리소스를 만든 후 az arcgateway list를 실행하여 이 URL을 가져올 수 있음) |
| management.azure.com | Azure Resource Manager 컨트롤 채널에 필요한 Azure Resource Manager 엔드포인트 |
| login.microsoftonline.com | ID 액세스 토큰을 획득하기 위한 Microsoft Entra ID의 엔드포인트 |
| gbl.his.arc.azure.com | Azure Arc 에이전트와 통신하기 위한 클라우드 서비스 엔드포인트 |
| <region>.his.arc.azure.com | Arc의 핵심 컨트롤 채널에 사용됨 |
| packages.microsoft.com | Linux 기반 Arc 에이전트 페이로드를 획득하는 데 필요하며 Linux 서버를 Arc에 연결하는 데만 필요 |
3a단계: Arc 게이트웨이 리소스를 사용하여 Azure Arc 리소스를 온보딩합니다.
설치 스크립트를 생성합니다.
빠른 시작: Azure Arc 지원 서버를 사용하여 하이브리드 머신 연결의 지침에 따라 Azure Connected Machine Agent의 다운로드 및 설치를 자동화하고 Azure Arc와의 연결을 설정하는 스크립트를 만듭니다.
Important
온보딩 스크립트를 생성할 때 연결 방법에서 프록시 서버를 선택하여 게이트웨이 리소스에 대한 드롭다운을 표시합니다.
설치 스크립트를 실행하여 서버를 Azure Arc에 온보딩합니다.
스크립트에서 Arc 게이트웨이 리소스의 ARM ID는 다음과 같이
--gateway-id표시됩니다.
3b단계: Arc 게이트웨이를 사용하도록 기존 Azure Arc 리소스 구성
Azure Portal, Azure CLI 또는 Azure PowerShell을 사용하여 Arc 게이트웨이를 사용하도록 기존 Azure Arc 리소스를 구성할 수 있습니다.
Azure Portal에서 Azure Arc - Azure Arc 게이트웨이 페이지로 이동합니다.
Arc 게이트웨이 리소스를 선택하여 Arc 지원 서버와 연결합니다.
게이트웨이 리소스에 대한 연결된 리소스 페이지로 이동합니다.
추가를 선택합니다.
Arc 게이트웨이 리소스와 연결할 Arc 지원 리소스를 선택합니다.
적용을 선택합니다.
Arc 게이트웨이를 실행
azcmagent config set connection.type gateway하여 Arc 지원 서버를 업데이트합니다.
4단계: 설치가 성공했는지 확인
온보딩된 서버에서 azcmagent show 명령을 실행합니다. 결과는 다음 값을 나타내야 합니다.
- Agent Status가 Connected로 표시되어야 합니다.
- HTTPS 프록시 를 사용하면 다음과 같이 http://localhost:40343표시됩니다.
- 업스트림 프록시 는 엔터프라이즈 프록시로 표시되어야 합니다(설정한 경우). 게이트웨이 URL은 게이트웨이 리소스의 URL을 반영해야 합니다.
설치가 성공적으로 완료되었는지 추가로 확인하기 위해 azcmagent check 명령을 실행할 수 있습니다. 결과에는 connection.type이 gateway로 설정되어 있어야 하며 Reachable 열은 모든 URL에 대해 true를 표시해야 합니다.
컴퓨터를 새 Arc 게이트웨이와 연결
컴퓨터를 새 Arc 게이트웨이와 연결하려면 다음을 수행합니다.
Azure Portal에서 Azure Arc - Azure Arc 게이트웨이 페이지로 이동합니다.
컴퓨터와 연결할 새 Arc 게이트웨이 리소스를 선택합니다.
게이트웨이 리소스에 대한 연결된 리소스 페이지로 이동합니다.
추가를 선택합니다.
새 Arc 게이트웨이 리소스와 연결할 Arc 지원 컴퓨터를 선택합니다.
적용을 선택합니다.
Arc 게이트웨이를 실행
azcmagent config set connection.type gateway하여 Arc 지원 서버를 업데이트합니다.
Arc 게이트웨이 연결 제거(직접 경로를 대신 사용)
다음 명령을 실행하여 Arc 지원 서버의 연결 유형을 "게이트웨이" 대신 "direct"로 설정합니다.
azcmagent config set connection.type direct참고 항목
이 단계를 수행하는 경우 Azure Arc를 계속 활용하려면 환경에서 모든 Azure Arc 네트워크 요구 사항을 충족해야 합니다.
컴퓨터에서 Arc 게이트웨이 리소스를 분리합니다.
Azure Portal에서 Azure Arc - Azure Arc 게이트웨이 페이지로 이동합니다.
Arc 게이트웨이 리소스를 선택합니다.
게이트웨이 리소스에 대한 연결된 리소스 페이지로 이동하여 서버를 선택합니다.
제거를 선택합니다.
Arc 게이트웨이 리소스 삭제
참고 항목
이 작업을 완료하는 데 4~5분이 걸릴 수 있습니다.
Azure Portal에서 Azure Arc - Azure Arc 게이트웨이 페이지로 이동합니다.
Arc 게이트웨이 리소스를 선택합니다.
삭제를 선택합니다.
문제 해결
Azure Arc 프록시 로그를 확인하여 Arc 게이트웨이의 트래픽을 감사할 수 있습니다.
Windows에서 Arc 프록시 로그를 보려면 다음을 수행합니다.
- PowerShell에서
azcmagent logs를 실행합니다. - 결과 .zip 파일의
C:\ProgramData\Microsoft\ArcProxy폴더에서 로그를 찾을 수 있습니다.
Linux에서 Arc 프록시 로그를 보려면 다음을 수행합니다.
- 결과 파일을 실행하고
sudo azcmagent logs공유합니다. - 결과 log 파일의
/usr/local/arcproxy/logs/폴더에서 로그를 찾을 수 있습니다.
추가 시나리오
공개 미리 보기 중에 Arc 게이트웨이는 서버 온보딩에 필요한 엔드포인트뿐만 아니라 추가 Arc 지원 시나리오에 필요한 엔드포인트의 일부를 다룹니다. 채택하는 시나리오에 따라 프록시에서 추가 엔드포인트를 허용해야 합니다.
추가 엔드포인트가 필요하지 않은 시나리오
- Windows Admin Center
- SSH
- 확장된 보안 업데이트
- Microsoft Defender
- SQL Server용 Azure 확장 프로그램
추가 엔드포인트가 필요한 시나리오
Arc 게이트웨이를 사용하는 경우 엔터프라이즈 프록시에서 다음 시나리오와 함께 나열된 엔드포인트를 허용해야 합니다.
Azure Arc 지원 Data Services
*.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Azure Monitor 에이전트
<log-analytics-workspace-id.ods.opinsights.azure.com>
<data-collection-endpoint>.<virtual-machine-region-name.ingest.monitor.azure.com>
Azure Key Vault 인증서 동기화
- <vault-name.vault.azure.net>
Azure Automation Hybrid Runbook Worker 확장
- *.azure-automation.net
Windows OS 업데이트 확장 /Azure Update Manager
알려진 문제
다음은 Arc 게이트웨이에 대해 현재 알려진 문제에 대한 설명입니다.
Azure Connected Machine 에이전트 온보딩 후 필요한 새로 고침
온보딩 스크립트(또는 azcmagent connect 명령)를 사용하여 게이트웨이 리소스 ID가 지정된 서버를 온보딩하는 경우 리소스는 Arc 게이트웨이를 성공적으로 사용합니다. 그러나 알려진 버그(현재 수정이 진행 중임)로 인해 리소스 설정을 새로 고치지 않는 한 Arc 지원 서버는 Azure Portal에서 연결된 리소스로 표시되지 않습니다. 다음 절차를 사용하여 이 새로 고침을 수행합니다.
Azure Portal에서 Azure Arc |로 이동합니다 . Arc 게이트웨이 페이지입니다.
Arc 게이트웨이 리소스를 선택하여 Arc 지원 서버와 연결합니다.
게이트웨이 리소스에 대한 연결된 리소스 페이지로 이동합니다.
추가를 선택합니다.
Arc 게이트웨이 리소스와 연결할 Arc 지원 리소스를 선택하고 적용을 선택합니다.
컴퓨터에서 게이트웨이 리소스를 분리한 후 필요한 Arc 프록시 새로 고침
컴퓨터에서 Arc 게이트웨이 리소스를 분리할 때 Arc 프록시를 새로 고쳐 Arc 게이트웨이 구성을 지워야 합니다. 이렇게 하려면 다음 절차를 수행합니다.
호 프록시를 중지합니다.
- Windows:
Stop-Service arcproxy - Linux:
sudo systemctl stop arcproxyd
- Windows:
cloudconfig.json파일을 삭제합니다.- Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
- Linux: "/var/opt/azcmagent/cloudconfig.json"
호 프록시를 시작합니다.
- Windows:
Start-Service arcproxy - Linux:
sudo systemctl start arcproxyd
- Windows:
himds를 다시 시작합니다(선택 사항이지만 권장됨).
- Windows:
Restart-Service himds - Linux:
sudo systemctl restart himdsd
- Windows:
게이트웨이 없이 다시 사용하도록 설정된 컴퓨터에 필요한 새로 고침
Arc 게이트웨이가 있는 Arc 지원 컴퓨터가 Azure Arc에서 삭제되고 Arc 게이트웨이 없이 Arc를 다시 사용하도록 설정한 경우 Azure Portal에서 상태를 업데이트하려면 새로 고침이 필요합니다.
Important
이 문제는 리소스가 초기 사용과 동일한 ARM ID를 사용하여 Arc를 다시 사용하도록 설정한 경우에만 발생합니다.
이 시나리오에서 컴퓨터는 Azure Portal에서 Arc 게이트웨이와 연결된 리소스로 잘못 표시됩니다. 이를 방지하려면 이전에 Arc 게이트웨이에서 Arc를 사용하도록 설정한 Arc 게이트웨이 없이 컴퓨터를 Arc로 사용하도록 설정하려는 경우 온보딩 후 Arc 게이트웨이 연결을 업데이트해야 합니다. 이를 수행하려면 다음 절차를 사용하십시오.
Azure Portal에서 Azure Arc |로 이동합니다 . Arc 게이트웨이 페이지입니다.
Arc 게이트웨이 리소스를 선택합니다.
게이트웨이 리소스에 대한 연결된 리소스 페이지로 이동합니다.
서버를 선택한 다음 제거를 선택합니다.
수동 게이트웨이 연결 필수 삭제 후
컴퓨터가 연결된 상태에서 Arc 게이트웨이가 삭제되는 경우 Azure Portal을 사용하여 컴퓨터를 다른 Arc 게이트웨이 리소스와 연결해야 합니다.
이 문제를 방지하려면 게이트웨이 리소스를 삭제하기 전에 Arc 게이트웨이에서 모든 Arc 지원 리소스를 분리합니다. 이 오류가 발생하면 Azure Portal을 사용하여 컴퓨터를 새 Arc 게이트웨이 리소스와 연결합니다.