Netwerkconfiguratievereisten vereenvoudigen met Azure Arc-gateway (openbare preview)

Als u bedrijfsproxy's gebruikt om uitgaand verkeer te beheren, kunt u met de Azure Arc-gateway infrastructuur onboarden naar Azure Arc met slechts zeven (7) eindpunten. Met Azure Arc-gateway kunt u het volgende doen:

• Maak verbinding met Azure Arc door openbare netwerktoegang te openen tot slechts zeven FQDN's (Fully Qualified Domain Names).
• Bekijk en controleer al het verkeer dat een Azure Connected Machine Agent verzendt naar Azure via de Arc-gateway.

In dit artikel wordt uitgelegd hoe u Arc-gateway (openbare preview) instelt en gebruikt.

Belangrijk

De functie Arc-gateway voor servers met Azure Arc is momenteel beschikbaar als openbare preview in alle regio's waar servers met Azure Arc aanwezig zijn. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, openbare preview of anderszins nog niet in algemene beschikbaarheid bevinden.

Hoe de Azure Arc-gateway werkt

Azure Arc-gateway bestaat uit twee hoofdonderdelen:

• De Arc-gatewayresource: een Azure-resource die fungeert als een algemene front-end voor Azure-verkeer. Deze gatewayresource wordt geleverd op een specifiek domein. Zodra de Arc-gatewayresource is gemaakt, wordt het domein geretourneerd in het antwoord op geslaagde bewerkingen.

• De Arc-proxy: een nieuw onderdeel dat is toegevoegd aan Arc-agentry. Dit onderdeel wordt uitgevoerd als een service met de naam Azure Arc Proxy en fungeert als een doorstuurproxy die wordt gebruikt door de Azure Arc-agents en -extensies. Er is geen configuratie vereist voor uw deel voor de Arc-proxy. Deze proxy maakt deel uit van de Arc-kernagentry en wordt uitgevoerd binnen de context van een resource met Arc-functionaliteit.

Wanneer de gateway aanwezig is, stroomt het verkeer via de volgende hops: Arc-agentry → Arc Proxy → Enterprise-proxy → Arc-gateway → Target-service

Huidige beperkingen

Tijdens de openbare preview gelden de volgende beperkingen. Houd rekening met deze factoren bij het plannen van uw configuratie.

• TLS-afsluitproxy's worden niet ondersteund (openbare preview)
• ExpressRoute/site-naar-site-VPN of privé-eindpunten die worden gebruikt met de Arc-gateway (openbare preview) wordt niet ondersteund.
• Er geldt een limiet van vijf (5) Arc-gatewaybronnen (openbare preview) per Azure-abonnement.
• De Arc-gateway kan alleen worden gebruikt voor connectiviteit in de openbare Azure-cloud.

Vereiste machtigingen

Als u Arc-gatewaybronnen wilt maken en de koppeling met servers met Arc wilt beheren, zijn de volgende machtigingen vereist:

• Microsoft.HybridCompute/settings/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

De Arc-gateway gebruiken (openbare preview)

Er zijn vier stappen voor het gebruik van de Arc-gateway:

1. Maak een Arc-gatewayresource.
2. Zorg ervoor dat de vereiste URL's zijn toegestaan in uw omgeving.
3. Onboarding van Azure Arc-resources met uw Arc-gatewayresource of configureer bestaande Azure Arc-resources om Arc-gateway te gebruiken.
4. Controleer of de installatie is voltooid.

Stap 1: Een Arc-gatewayresource maken

U kunt een Arc-gatewayresource maken met behulp van Azure Portal, Azure CLI of Azure PowerShell.

Portal

1. Meld u vanuit uw browser aan bij Azure Portal.

2. Ga naar Azure Arc | Azure Arc-gatewaypagina en selecteer Vervolgens Maken.

3. Selecteer het abonnement en de resourcegroep waar u de Arc-gatewayresource wilt beheren in Azure. Een Arc-gatewayresource kan worden gebruikt door elke resource met Arc in dezelfde Azure-tenant.

4. Voer bij Naam de naam in die voor de Arc-gatewayresource.

5. Voer voor Locatie de regio in waar de Arc-gatewayresource zich moet bevinden. Een Arc-gatewayresource kan worden gebruikt door elke resource met Arc in dezelfde Azure-tenant.

6. Selecteer Volgende.

7. Geef op de pagina Tags een of meer aangepaste tags op ter ondersteuning van uw standaarden.

8. Selecteer Beoordelen en maken.

9. Controleer uw invoergegevens en selecteer Vervolgens Maken.

   Het maken van de gateway duurt 9-10 minuten.

CLI

1. Voeg de arc-gateway-extensie toe aan uw Azure CLI:

   az extension add -n arcgateway

2. Voer op een computer met toegang tot Azure de volgende opdrachten uit om uw Arc-gatewayresource te maken:

   az arcgateway create `
       --gateway-name [Your gateway’s Name] `
       --resource-group <Your Resource Group> `
       --location [Location]
   

   Het maken van de gateway duurt 9-10 minuten.

Powershell

Voer op een computer met toegang tot Azure de volgende PowerShell-opdracht uit om uw Arc-gatewayresource te maken:

    New-AzArcgateway `
        -name <gateway’s name> `
        -resource-group <resource group> `
        -location <region> `
        -subscription <subscription name or id> `
        -gateway-type public  `
        -allowed-features *

Het maken van de gateway duurt 9-10 minuten.

Stap 2: zorg ervoor dat de vereiste URL's zijn toegestaan in uw omgeving

Wanneer de resource wordt gemaakt, bevat het antwoord de Arc-gateway-URL. Zorg ervoor dat uw Arc-gateway-URL en alle URL's in de volgende tabel zijn toegestaan in de omgeving waarin uw Arc-resources zich bevinden. De vereiste URL's zijn:

URL	Doel
[Uw URL-voorvoegsel].gw.arc.azure.com	Uw gateway-URL (deze URL kan worden verkregen door deze uit te voeren az arcgateway list nadat u de gatewayresource hebt gemaakt)
management.azure.com	Azure Resource Manager-eindpunt, vereist voor azure Resource Manager-besturingskanaal
login.microsoftonline.com	Het eindpunt van Microsoft Entra ID voor het verkrijgen van identiteitstoegangstokens
gbl.his.arc.azure.com	Het cloudservice-eindpunt voor communicatie met Azure Arc-agents
<region.his.arc.azure.com>	Wordt gebruikt voor het kernbeheerkanaal van Arc
packages.microsoft.com	Vereist om op Linux gebaseerde Arc-agentry-nettolading te verkrijgen, alleen nodig om Linux-servers te verbinden met Arc

Stap 3a: Azure Arc-resources onboarden met uw Arc-gatewayresource.

1. Genereer het installatiescript.

   Volg de instructies in quickstart: Hybride machines verbinden met servers met Azure Arc om een script te maken waarmee het downloaden en installeren van de Azure Connected Machine-agent wordt geautomatiseerd en de verbinding met Azure Arc tot stand wordt gebracht.

   Belangrijk

   Wanneer u het onboardingscript genereert, selecteert u Proxyserver onder Connectiviteitsmethode om de vervolgkeuzelijst voor de gatewayresource weer te geven.

2. Voer het installatiescript uit om uw servers naar Azure Arc te onboarden.

   In het script wordt de ARM-id van de Arc-gatewayresource weergegeven als --gateway-id.

Stap 3b: Bestaande Azure Arc-resources configureren om Arc-gateway te gebruiken

U kunt bestaande Azure Arc-resources configureren voor het gebruik van De Arc-gateway met behulp van Azure Portal, Azure CLI of Azure PowerShell.

Portal

1. Ga in Azure Portal naar de pagina Azure Arc - Azure Arc-gateway .

2. Selecteer de Arc-gatewayresource die u wilt koppelen aan uw server met Arc.

3. Ga naar de pagina Gekoppelde resources voor uw gatewayresource.

4. Selecteer Toevoegen.

5. Selecteer de resource met Arc die u wilt koppelen aan uw Arc-gatewayresource.

6. Selecteer Toepassen.

7. Werk uw server met Arc bij om Arc-gateway te gebruiken door uit te voeren azcmagent config set connection.type gateway.

CLI

1. Voer op een computer met toegang tot Azure de volgende opdrachten uit:

   az arcgateway settings update `
      --resource-group <Your Resource Group> `
      --subscription <subscription name> `
      --base-provider Microsoft.HybridCompute `
      --base-resource-type machines `
      --base-resource-name [Arc-Server’s name] `
      --gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Werk uw server met Arc bij om Arc-gateway te gebruiken door de volgende opdracht uit te voeren:

   azcmagent config set connection.type gateway

Powershell

1. Voer op een computer met toegang tot Azure de volgende opdrachten uit:

   Update-AzArcSetting `
       -ResourceGroupName <Your Resource Group> `
       -SubscriptionId <subscription ID> `
       -BaseProvider Microsoft.HybridCompute `
       -BaseResourceType machine `
       -BaseResourceName <Arc-server's resource name> `
       -GatewayResourceId <Full Arm resourceid>
   

2. Werk uw server met Arc bij om Arc-gateway te gebruiken door de volgende opdracht uit te voeren:

   azcmagent config set connection.type gateway

Stap 4: Controleren of de installatie is geslaagd

Voer op de onboarded server de volgende opdracht uit: azcmagent show Het resultaat moet de volgende waarden aangeven:

• Agentstatus moet worden weergegeven als Verbonden.
• Als u HTTPS-proxy gebruikt, moet dit worden weergegeven als http://localhost:40343.
• Upstream Proxy moet worden weergegeven als uw bedrijfsproxy (als u er een instelt). De GATEWAY-URL moet overeenkomen met de URL van uw gatewayresource.

Als u de configuratie wilt controleren, kunt u ook de volgende opdracht uitvoeren: azcmagent check Het resultaat moet aangeven dat de connection.type gateway is ingesteld en dat de kolom Bereikbaar waar moet aangeven voor alle URL's.

Een machine koppelen aan een nieuwe Arc-gateway

Een machine koppelen aan een nieuwe Arc-gateway:

Portal

1. Ga in Azure Portal naar de pagina Azure Arc - Azure Arc-gateway .

2. Selecteer de nieuwe Arc-gatewayresource die u aan de machine wilt koppelen.

3. Ga naar de pagina Gekoppelde resources voor uw gatewayresource.

4. Selecteer Toevoegen.

5. Selecteer de machine met Arc die u wilt koppelen aan de nieuwe Arc-gatewayresource.

6. Selecteer Toepassen.

7. Werk uw server met Arc bij om Arc-gateway te gebruiken door uit te voeren azcmagent config set connection.type gateway.

CLI

1. Voer op de computer die u wilt koppelen aan een nieuwe Arc-gateway de volgende opdrachten uit:

   az arcgateway settings update `
      --resource-group <Your Resource Group> `
      --subscription <subscription name> `
      --base-provider Microsoft.HybridCompute `
      --base-resource-type machines `
      --base-resource-name [Arc-Server’s name] `
      --gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Werk uw server met Arc bij om Arc-gateway te gebruiken door de volgende opdracht uit te voeren:

   azcmagent config set connection.type gateway

Powershell

1. Voer op de computer die u wilt koppelen aan een nieuwe Arc-gateway de volgende opdracht uit:

   Update-AzArcSetting `
       -ResourceGroupName <Your Resource Group> `
       -SubscriptionId <Subscription ID > `
       -BaseProvider Microsoft.HybridCompute `
       -BaseResourceType machine `
       -BaseResourceName <Arc-server's resource name> `
       -GatewayResourceId <Full Arm resourceid>
   

2. Werk uw server met Arc bij om Arc-gateway te gebruiken door de volgende opdracht uit te voeren:

   azcmagent config set connection.type gateway

Arc-gatewaykoppeling verwijderen (in plaats daarvan de directe route gebruiken)

1. Stel het verbindingstype van de server met Arc in op 'direct' in plaats van 'gateway' door de volgende opdracht uit te voeren:

   azcmagent config set connection.type direct

   Notitie

   Als u deze stap uitvoert, moeten aan alle Azure Arc-netwerkvereisten in uw omgeving worden voldaan om azure Arc te kunnen blijven gebruiken.

2. Koppel de Arc-gatewayresource los van de machine:

   Portal

   1. Ga in Azure Portal naar de pagina Azure Arc - Azure Arc-gateway .

   2. Selecteer de Arc-gatewayresource.

   3. Ga naar de pagina Gekoppelde resources voor uw gatewayresource en selecteer de server.

   4. Selecteer Verwijderen.

   CLI

   Voer op een computer met toegang tot Azure de volgende Azure CLI-opdracht uit:

   az arcgateway settings update `
       --resource-group <Your Resource Group> `
       --subscription <subscription name> `
       --base-provider Microsoft.HybridCompute `
       --base-resource-type machines `
       --base-resource-name <Arc-Server’s name > `
       --gateway-resource-id ""
   

   Notitie

   Als u deze Azure CLI-opdracht uitvoert in Windows PowerShell, stelt u de --gateway-resource-id waarde in op null.

   Powershell

   Voer op een computer met toegang tot Azure de volgende PowerShell-opdracht uit:

   Update-AzArcSetting  `
       -ResourceGroupName <Your Resource Group> `
       -SubscriptionId <Subscription ID > `
       -BaseProvider Microsoft.HybridCompute `
       -BaseResourceType machines `
       -BaseResourceName <NameOfResource> `
       -GatewayResourceId ""
   

Een Arc-gatewayresource verwijderen

Notitie

Het kan 4 tot 5 minuten duren voordat deze bewerking is voltooid.

Portal

1. Ga in Azure Portal naar de pagina Azure Arc - Azure Arc-gateway .

2. Selecteer de Arc-gatewayresource.

3. Selecteer Verwijderen.

CLI

Voer op een computer met toegang tot Azure de volgende Azure CLI-opdracht uit:

az arcgateway delete `
    --resource-group <Your Resource Group> `
    --subscription <subscription name> `
    --gateway-name <Arc gateway Resource Name >

Powershell

Voer op een computer met toegang tot Azure de volgende PowerShell-opdracht uit:

Remove-AzArcGateway  
    -ResourceGroup <Your Resource Group> `
    -SubscriptionId <subscription id> `
    -GatewayName <RP Name>

Probleemoplossing

U kunt het verkeer van uw Arc-gateway controleren door de Azure Arc-proxylogboeken te bekijken.

Arc-proxylogboeken weergeven in Windows:

1. Uitvoeren azcmagent logs in PowerShell.
2. In het resulterende .zip bestand bevinden de logboeken zich in de C:\ProgramData\Microsoft\ArcProxy map.

Arc-proxylogboeken weergeven in Linux:

1. Voer sudo azcmagent logshet resulterende bestand uit en deel het.
2. In het resulterende logboekbestand bevinden de logboeken zich in de /usr/local/arcproxy/logs/ map.

Meer scenario's

Tijdens de openbare preview behandelt Arc-gateway de eindpunten die nodig zijn voor het onboarden van een server, evenals een deel van de eindpunten die vereist zijn voor aanvullende scenario's met Arc. Op basis van de scenario's die u gaat gebruiken, moeten extra eindpunten zijn toegestaan in uw proxy.

Scenario's waarvoor geen extra eindpunten nodig zijn

• Windows Admin Center
• SSH
• Uitgebreide beveiligingsupdates
• Microsoft Defender
• Azure-extensie voor SQL Server

Scenario's waarvoor extra eindpunten zijn vereist

Eindpunten die worden vermeld met de volgende scenario's, moeten zijn toegestaan in uw bedrijfsproxy wanneer u Arc-gateway gebruikt:

• Data Services met Azure Arc

  • *.ods.opinsights.azure.com

  • *.oms.opinsights.azure.com

  • *.monitoring.azure.com

• Azure Monitor-agent

  • <log-analytics-workspace-id.ods.opinsights.azure.com>

  • <eindpunt voor gegevensverzameling>.<virtual-machine-region-name.ingest.monitor.azure.com>

• Azure Key Vault-certificaatsynchronisatie

  • <vault-name.vault.azure.net>

• Azure Automation Hybrid Runbook Worker-extensie

  • *.azure-automation.net

• Update-extensie voor Windows-besturingssysteem/Azure Update Manager

  • Uw omgeving moet voldoen aan alle vereisten voor Windows Update

Bekende problemen

Hieronder volgt een beschrijving van de momenteel bekende problemen voor de Arc-gateway.

Vernieuwen vereist na onboarding van Azure Connected Machine-agent

Wanneer u het onboardingscript (of de azcmagent connect opdracht) gebruikt om een server te onboarden met de opgegeven gatewayresource-id, gebruikt de resource Arc-gateway. Vanwege een bekende fout (met een oplossing die momenteel wordt uitgevoerd), wordt de server met Arc echter niet weergegeven als een gekoppelde resource in Azure Portal, tenzij de instellingen van de resource worden vernieuwd. Gebruik de volgende procedure om deze vernieuwing uit te voeren:

Portal

1. Navigeer in Azure Portal naar Azure Arc | Arc-gatewaypagina .

2. Selecteer de Arc-gatewayresource die u wilt koppelen aan uw server met Arc.

3. Navigeer naar de pagina Gekoppelde resources voor uw gatewayresource.

4. Selecteer Toevoegen.

5. Selecteer de resource met Arc die u wilt koppelen aan uw Arc-gatewayresource en selecteer Toepassen.

CLI

Voer op een computer met toegang tot Azure de volgende Azure CLI-opdracht uit:

az arcgateway settings update `
    --resource-group <Your Resource Group> `
    --subscription <subscription name> `
    --base-provider Microsoft.HybridCompute `
    --base-resource-type machines `
    --base-resource-name <Arc-Server’s name> `
    --gateway-resource-id <Full Arm resource id of the new Arc gateway resource>

Powershell

Voer op een computer met toegang tot Azure de volgende PowerShell-opdracht uit:

Update-AzArcSetting  `
    -ResourceGroupName <Your Resource Group> `
    -SubscriptionId <Subscription ID > `
    -BaseProvider Microsoft.HybridCompute `
    -BaseResourceType machines `
    -BaseResourceName <NameOfResource> `
    -GatewayResourceId <Full Arm resource id of the new Arc gateway resource>

Arc-proxy vernieuwen nodig na het loskoppelen van een gatewayresource van de machine

Wanneer u een Arc-gatewayresource loskoppelt van een computer, moet u de Arc-proxy vernieuwen om de Arc-gatewayconfiguratie te wissen. Voer hiervoor de volgende procedure uit:

1. Arc-proxy stoppen.

   • Windows: Stop-Service arcproxy
   • Linux: sudo systemctl stop arcproxyd

2. Verwijder het cloudconfig.json bestand.

   • Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
   • Linux: "/var/opt/azcmagent/cloudconfig.json"

3. Arc-proxy starten.

   • Windows: Start-Service arcproxy
   • Linux: sudo systemctl start arcproxyd

4. Start de himds opnieuw op (optioneel, maar aanbevolen).

   • Windows: Restart-Service himds
   • Linux: sudo systemctl restart himdsd

Vernieuwen vereist voor opnieuw inschakelen van machines zonder gateway

Als een machine met Arc met een Arc-gateway wordt verwijderd uit Azure Arc en opnieuw is ingeschakeld zonder een Arc-gateway, moet de status ervan worden bijgewerkt in Azure Portal.

Belangrijk

Dit probleem treedt alleen op wanneer de resource opnieuw is ingeschakeld met dezelfde ARM-id als de eerste activering.

In dit scenario wordt de machine onjuist weergegeven in Azure Portal als een resource die is gekoppeld aan de Arc-gateway. Om dit te voorkomen, moet u de Arc-gatewaykoppeling bijwerken na onboarding als u van plan bent een machine in te schakelen zonder een Arc-gateway die eerder met Arc was ingeschakeld met een Arc-gateway. Gebruik hiervoor de volgende procedure:

Portal

1. Navigeer in Azure Portal naar Azure Arc | Arc-gatewaypagina .

2. Selecteer de Arc-gatewayresource.

3. Navigeer naar de pagina Gekoppelde resources voor uw gatewayresource.

4. Selecteer de server en selecteer vervolgens Verwijderen.

CLI

Voer op een computer met toegang tot Azure de volgende Azure CLI-opdracht uit:

       az arcgateway settings update `
           --resource-group <Your Resource Group> `
           --subscription <subscription name > `
           --base-provider Microsoft.HybridCompute `
           --base-resource-type machines `
           --base-resource-name <Arc-Server’s name > `
           --gateway-resource-id ""

Notitie

Als u deze Azure CLI-opdracht uitvoert in Windows PowerShell, stelt u de --gateway-resource-id waarde in op null.

Powershell

Voer op een computer met toegang tot Azure de volgende PowerShell-opdracht uit:

    Update-AzArcSetting  `
        -ResourceGroupName <Your Resource Group> `
        -SubscriptionId <Subscription ID > `
        -BaseProvider Microsoft.HybridCompute `
        -BaseResourceType machines `
        -BaseResourceName <NameOfResource> `
        -GatewayResourceId ""

Handmatige gatewaykoppeling vereist na verwijdering

Als een Arc-gateway wordt verwijderd terwijl een machine nog steeds is verbonden, moet Azure Portal worden gebruikt om de machine te koppelen aan andere Arc-gatewaybronnen.

U kunt dit probleem voorkomen door alle arc-resources los te koppelen van een Arc-gateway voordat u de gatewayresource verwijdert. Als deze fout optreedt, gebruikt u Azure Portal om de machine te koppelen aan een nieuwe Arc-gatewayresource.