Netwerkconfiguratievereisten vereenvoudigen met Azure Arc Gateway (preview)

Als u bedrijfsproxy's gebruikt om uitgaand verkeer te beheren, kan de Azure Arc-gateway (preview) het proces van het inschakelen van connectiviteit vereenvoudigen.

Met de Azure Arc-gateway (preview) kunt u het volgende doen:

• Maak verbinding met Azure Arc door openbare netwerktoegang te openen tot slechts zeven FQDN's (Fully Qualified Domain Names).
• Bekijk en controleer al het verkeer dat de Arc-agents naar Azure verzenden via de Arc-gateway.

Belangrijk

Azure Arc-gateway is momenteel beschikbaar als preview-versie.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Hoe de Azure Arc-gateway werkt

De Arc-gateway werkt door twee nieuwe onderdelen te introduceren

De Arc-gatewayresource is een Azure-resource die fungeert als een algemene front-end voor Azure-verkeer. De gatewayresource wordt geleverd op een specifiek domein/URL. U moet deze resource maken door de stappen te volgen die in dit artikel worden beschreven. Nadat u de gatewayresource hebt gemaakt, wordt dit domein/DE URL opgenomen in het antwoord dat is geslaagd.

De Arc-proxy is een nieuw onderdeel dat wordt uitgevoerd als een eigen pod (azure Arc-proxy genoemd). Dit onderdeel fungeert als een doorstuurproxy die wordt gebruikt door Azure Arc-agents en -extensies. Er is geen configuratie vereist voor uw deel voor de Azure Arc-proxy. Vanaf versie 1.21.10 van de Kubernetes-agents met Arc maakt deze pod nu deel uit van de kernagents voor Arc en wordt deze uitgevoerd binnen de context van een Kubernetes-cluster met Arc. 

Wanneer de gateway aanwezig is, stroomt het verkeer via de volgende hops: Arc-agents → Azure Arc Proxy → Enterprise Proxy → Arc-gateway → Doelservice.

Huidige beperkingen

Tijdens de openbare preview gelden de volgende beperkingen. Houd rekening met deze factoren bij het plannen van uw configuratie.

• TLS-afsluitproxy's worden niet ondersteund met de Arc-gateway.
• U kunt naast de Arc-gateway geen ExpressRoute-/site-naar-site-VPN of privé-eindpunten gebruiken.
• Er geldt een limiet van vijf Arc-gatewaybronnen per Azure-abonnement.
• De Arc-gateway kan alleen worden gebruikt voor connectiviteit in de openbare Azure-cloud.

U kunt een Arc-gatewayresource maken met behulp van Azure CLI of Azure PowerShell.

Wanneer u de Arc-gatewayresource maakt, geeft u het abonnement en de resourcegroep op waarin de resource wordt gemaakt, samen met een Azure-regio. Alle arc-resources in dezelfde tenant kunnen echter gebruikmaken van de resource, ongeacht hun eigen abonnement of regio.

Als u Arc-gatewaybronnen wilt maken en de koppeling met Kubernetes-clusters met Arc wilt beheren, zijn de volgende machtigingen vereist:

• Microsoft.Kubernetes/connectedClusters/settings/default/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

De Arc-gatewayresource maken

Azure-CLI

1. Voer op een computer met toegang tot Azure de volgende Azure CLI-opdracht uit:

   az extension add -n arcgateway
   

2. Voer vervolgens de volgende Azure CLI-opdracht uit om uw Arc-gatewayresource te maken, waarbij u de tijdelijke aanduidingen vervangt door de gewenste waarden:

   az arcgateway create --name <gateway's name> --resource-group <resource group> --location <region> --gateway-type public --allowed-features * --subscription <subscription name or id>
   

Azure PowerShell

1. Voer op een computer met toegang tot Azure de volgende Azure PowerShell-opdracht uit om uw Arc-gatewayresource te maken, waarbij u de tijdelijke aanduidingen vervangt door de gewenste waarden:

   New-AzArcgateway 
   -name <gateway's name> 
   -resource-group <resource group> 
   -location <region> 
   -subscription <subscription name or id> 
   -gateway-type public  
   -allowed-features *
   

Het duurt over het algemeen ongeveer tien minuten om het maken van de Arc-gatewayresource te voltooien.

Toegang tot vereiste URL's bevestigen

Nadat de resource is gemaakt, bevat het antwoord op de Arc-gateway de URL van de Arc-gateway. Zorg ervoor dat uw Arc-gateway-URL en alle onderstaande URL's zijn toegestaan in de omgeving waarin uw Arc-resources zich bevinden.

URL	Doel
[Your URL prefix].gw.arc.azure.com	Uw gateway-URL. Deze URL kan worden verkregen door deze uit te voeren az arcgateway list nadat u de resource hebt gemaakt.
management.azure.com	Azure Resource Manager-eindpunt, vereist voor arm-besturingskanaal.
<region>.obo.arc.azure.com	Vereist wanneer clusterverbinding is geconfigureerd.
login.microsoftonline.com, <region>.login.microsoft.com	Microsoft Entra ID-eindpunt, gebruikt voor het verkrijgen van tokens voor identiteitstoegang.
gbl.his.arc.azure.com, <region>.his.arc.azure.com	Het cloudservice-eindpunt voor communicatie met Arc-agents. Maakt gebruik van korte namen, bijvoorbeeld voor VS - oost eus .
mcr.microsoft.com, *.data.mcr.microsoft.com	Vereist voor het ophalen van containerinstallatiekopieën voor Azure Arc-agents.

Kubernetes-clusters onboarden naar Azure Arc met uw Arc-gatewayresource

Azure-CLI

1. Zorg ervoor dat uw omgeving voldoet aan alle vereiste vereisten voor Kubernetes met Azure Arc. Omdat u Azure Arc-gateway gebruikt, hoeft u niet aan de volledige set netwerkvereisten te voldoen.

2. Stel op de implementatiecomputer de omgevingsvariabelen in die nodig zijn voor Azure CLI om de uitgaande proxyserver te gebruiken:

   export HTTP_PROXY=<proxy-server-ip-address>:<port> export HTTPS_PROXY=<proxy-server-ip-address>:<port> export NO_PROXY=<cluster-apiserver-ip-address>:<port>

3. Voer in het Kubernetes-cluster de opdracht Verbinding maken uit met de proxy-https opgegeven parameters.proxy-http Als uw proxyserver is ingesteld met zowel HTTP als HTTPS, moet u deze gebruiken --proxy-http voor de HTTP-proxy en --proxy-https voor de HTTPS-proxy. Als uw proxyserver alleen HTTP gebruikt, kunt u die waarde voor beide parameters gebruiken.

   az connectedk8s connect -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id> --proxy-https <proxy_value> --proxy-http http://<proxy-server-ip-address>:<port> --proxy-skip-range <excludedIP>,<excludedCIDR> --location <region>

   Notitie

   Sommige netwerkaanvragen, zoals aanvragen die betrekking hebben op service-naar-service-communicatie in het cluster, moeten worden gescheiden van verkeer dat wordt gerouteerd via de proxyserver voor uitgaande communicatie. De --proxy-skip-range parameter kan worden gebruikt om het CIDR-bereik en eindpunten op een door komma's gescheiden manier op te geven, zodat communicatie van de agents naar deze eindpunten niet via de uitgaande proxy verloopt. Minimaal moet het CIDR-bereik van de services in het cluster worden opgegeven als waarde voor deze parameter. Als kubectl get svc -A bijvoorbeeld een lijst met services wordt geretourneerd waarin alle services waarden in het bereik 10.0.0.0/16hebbenClusterIP, is 10.0.0.0/16,kubernetes.default.svc,.svc.cluster.local,.svcde waarde die u wilt --proxy-skip-range opgeven.

   --proxy-http, --proxy-httpsen --proxy-skip-range worden verwacht voor de meeste uitgaande proxyomgevingen. --proxy-cert is alleen vereist als u vertrouwde certificaten moet injecteren die door de proxy worden verwacht in het vertrouwde certificaatarchief van agentpods.

   De uitgaande proxy moet worden geconfigureerd om websocket-verbindingen toe te staan.

Azure PowerShell

1. Zorg ervoor dat uw omgeving voldoet aan alle vereiste vereisten voor Kubernetes met Azure Arc. Omdat u Azure Arc-gateway gebruikt, hoeft u niet aan de volledige set netwerkvereisten te voldoen.

2. Verbind uw Kubernetes-cluster met behulp van een van de volgende methoden:

   • Als uw cluster zich niet achter een uitgaande proxyserver bevindt, voert u de volgende Azure PowerShell-opdracht uit:

   New-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> -Location <region>> –GatewayResourceId <resourceId>

   • Als uw cluster zich achter een uitgaande proxyserver bevindt:

     1. Stel op de implementatiecomputer de omgevingsvariabelen in die nodig zijn voor Azure PowerShell om de uitgaande proxyserver te gebruiken:

        $Env:HTTP_PROXY = "<proxy-server-ip-address>:<port>" $Env:HTTPS_PROXY = "<proxy-server-ip-address>:<port>" $Env:NO_PROXY = "<cluster-apiserver-ip-address>:<port>"

     2. Voer in het Kubernetes-cluster de opdracht Verbinding maken uit met de opgegeven proxyparameter:

     New-AzConnectedKubernetes -ClusterName <cluster-name> -ResourceGroupName <resource-group> -Location <region> -HttpProxy 'http://<proxy-server-ip-address>:<port>', -HttpsProxy 'https://<proxy-server-ip-address>:<port>' -NoProxy <excludedIP>,<excludedCIDR>

Bestaande clusters configureren voor het gebruik van de Arc-gateway

Als u bestaande clusters wilt bijwerken zodat ze de Arc-gateway gebruiken, voert u de volgende opdracht uit:

Azure-CLI

az connectedk8s update -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id>

Voer de volgende opdracht uit om te controleren of de update is geslaagd en controleer of het antwoord is true:

 az connectedk8s show -g <resource_group> -n <cluster_name> --query 'gateway.enabled' 

Azure PowerShell

$connectedCluster = Get-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> 
Get-AzConnectedKubernetes -InputObject $connectedCluster -GatewayResourceId <resourceId> 

Nadat uw clusters zijn bijgewerkt om de Arc-gateway te gebruiken, zijn sommige Arc-eindpunten die eerder zijn toegestaan in uw bedrijfsproxy of firewalls niet meer nodig en kunnen ze worden verwijderd. U wordt aangeraden ten minste één uur te wachten voordat u eindpunten verwijdert die niet meer nodig zijn. Zorg ervoor dat u geen eindpunten verwijdert die vereist zijn voor de Arc-gateway.

De Arc-gateway verwijderen

Als u de Arc-gateway wilt uitschakelen en de koppeling tussen de Arc-gatewayresource en het cluster met Arc wilt verwijderen, voert u de volgende opdracht uit:

Azure-CLI

az connectedk8s update -g <resource_group> -n <cluster_name> --disable-gateway 

Azure PowerShell

Get-AzConnectedKubernetes -ClusterName <cluster_name> -ResourceGroupName <resource_group> | Set-AzConnectedKubernetes -DisableGateway   

Verkeer bewaken

Als u het verkeer van uw gateway wilt controleren, bekijkt u de logboeken van de gatewayrouter:

1. kubectl get pods -n azure-arc uitvoeren
2. Identificeer de Arc Proxy-pod (de naam begint met arc-proxy-).
3. kubectl logs -n azure-arc <Arc Proxy pod name> uitvoeren

Meer scenario's

Tijdens de openbare preview behandelt Arc-gateway eindpunten die vereist zijn voor het onboarden van een cluster en een deel van de eindpunten die vereist zijn voor aanvullende scenario's met Arc. Op basis van de scenario's die u gebruikt, zijn er nog steeds extra eindpunten vereist om toe te staan in uw proxy.

Alle eindpunten die worden vermeld voor de volgende scenario's, moeten zijn toegestaan in uw bedrijfsproxy wanneer Arc-gateway wordt gebruikt:

• Containerinzichten in Azure Monitor:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com
• Azure Key Vault:
  • <vault-name>.vault.azure.net
• Azure Policy:
  • data.policy.core.windows.net
  • store.policy.core.windows.net
• Microsoft Defender voor Containers:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
• Gegevensservices met Azure Arc
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com