Netwerkconfiguratievereisten vereenvoudigen met Azure Arc Gateway (preview)

Als u bedrijfsproxy's gebruikt om uitgaand verkeer te beheren, kan Azure Arc-gateway het proces voor het inschakelen van connectiviteit vereenvoudigen.

Met de Azure Arc-gateway (momenteel in preview) kunt u het volgende doen:

• Maak verbinding met Azure Arc door openbare netwerktoegang te openen tot slechts zeven FQDN's (Fully Qualified Domain Names).
• Bekijk en controleer al het verkeer dat de Arc-agents naar Azure verzenden via de Arc-gateway.

Belangrijk

Azure Arc-gateway is momenteel beschikbaar als preview-versie.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Hoe de Azure Arc-gateway werkt

De Arc-gateway werkt door twee nieuwe onderdelen te introduceren:

• De Arc-gatewayresource is een Azure-resource die fungeert als een algemene front-end voor Azure-verkeer. De gatewayresource wordt geleverd op een specifiek domein/URL. U moet deze resource maken door de stappen te volgen die in dit artikel worden beschreven. Nadat u de gatewayresource hebt gemaakt, wordt dit domein/DE URL opgenomen in het antwoord dat is geslaagd.
• De Arc-proxy is een nieuw onderdeel dat wordt uitgevoerd als een eigen pod (Azure Arc-proxy genoemd). Dit onderdeel fungeert als een doorstuurproxy die wordt gebruikt door Azure Arc-agents en -extensies. Er is geen configuratie vereist voor uw deel voor de Azure Arc-proxy.

Zie voor meer informatie hoe de Azure Arc-gateway werkt.

Belangrijk

Azure Local en AKS bieden geen ondersteuning voor TLS-afsluitproxy's, ExpressRoute/site-naar-site-VPN of privé-eindpunten. Er geldt ook een limiet van vijf Arc-gatewaybronnen per Azure-abonnement.

Voordat u begint

• Zorg ervoor dat u voldoet aan de vereisten voor het maken van AKS-clusters in Azure Local.

• Voor dit artikel is versie 1.4.23 of hoger van Azure CLI vereist. Als u Azure CloudShell gebruikt, is de nieuwste versie al geïnstalleerd.

• De volgende Azure-machtigingen zijn vereist om Arc-gatewaybronnen te maken en hun koppeling met AKS Arc-clusters te beheren:

  • Microsoft.Kubernetes/connectedClusters/settings/default/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

• U kunt een Arc-gatewayresource maken met behulp van Azure CLI of Azure Portal. Zie De Arc-gatewayresource maken in Azure voor meer informatie over het maken van een Arc-gatewayresource voor uw AKS-clusters en Azure Local. Wanneer u de Arc-gatewayresource maakt, haalt u de gatewayresource-id op door de volgende opdracht uit te voeren:

  $gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
  

Toegang tot vereiste URL's bevestigen

Zorg ervoor dat uw Arc-gateway-URL en alle onderstaande URL's zijn toegestaan via uw bedrijfsfirewall:

URL	Doel
[Your URL prefix].gw.arc.azure.com	Uw gateway-URL. U kunt deze URL verkrijgen door deze uit te voeren az arcgateway list nadat u de resource hebt gemaakt.
management.azure.com	Azure Resource Manager-eindpunt, vereist voor het Azure Resource Manager-besturingskanaal.
<region>.obo.arc.azure.com	Vereist wanneer az connectedk8s proxy deze wordt gebruikt.
login.microsoftonline.com, <region>.login.microsoft.com	Microsoft Entra ID-eindpunt, gebruikt voor het verkrijgen van tokens voor identiteitstoegang.
gbl.his.arc.azure.com, <region>.his.arc.azure.com	Het cloudservice-eindpunt voor communicatie met Arc-agents. Maakt gebruik van korte namen; bijvoorbeeld eus voor VS - oost.
mcr.microsoft.com, *.data.mcr.microsoft.com	Vereist voor het ophalen van containerinstallatiekopieën voor Azure Arc-agents.

Een AKS Arc-cluster maken waarvoor Arc-gateway is ingeschakeld

Voer de volgende opdracht uit om een AKS Arc-cluster te maken waarvoor de Arc-gateway is ingeschakeld:

az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys

Een AKS Arc-cluster bijwerken en Arc-gateway inschakelen

Voer de volgende opdracht uit om een AKS Arc-cluster bij te werken en de Arc-gateway in te schakelen:

az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId

Arc-gateway uitschakelen op een AKS Arc-cluster

Voer de volgende opdracht uit om een AKS Arc-cluster uit te schakelen:

az aksarc update -n $clusterName -g $resourceGroup --disable-gateway

Verkeer bewaken

Bekijk de gatewayrouterlogboeken om uw gatewayverkeer te controleren:

1. Voer kubectl get pods -n azure-arc uit.
2. Identificeer de Arc Proxy-pod (de naam begint met arc-proxy-).
3. Voer kubectl logs -n azure-arc <Arc Proxy pod name> uit.

Andere scenario's

Tijdens de openbare preview behandelt Arc-gateway eindpunten die vereist zijn voor AKS Arc-clusters en een deel van de eindpunten die vereist zijn voor aanvullende scenario's met Arc. Op basis van de scenario's die u in gebruik neemt, moeten extra eindpunten nog steeds worden toegestaan in uw proxy.

Alle eindpunten die worden vermeld voor de volgende scenario's, moeten zijn toegestaan in uw bedrijfsproxy wanneer Arc-gateway wordt gebruikt:

• Containerinzichten in Azure Monitor:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com
• Azure Key Vault:
  • <vault-name>.vault.azure.net
• Azure Policy:
  • data.policy.core.windows.net
  • store.policy.core.windows.net
• Microsoft Defender voor Containers:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
• Gegevensservices met Azure Arc
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com

Volgende stappen

• Implementeer de extensie voor MetalLB voor Kubernetes-clusters met Azure Arc.