Over Azure Arc-gateway voor Azure Local, versie 23H2 (preview)
Van toepassing op: Azure Local, versie 23H2, release 2408, 2408.1, 2408.2 en 2411
Belangrijk
Azure Stack HCI maakt nu deel uit van Azure Local. Meer informatie.
Dit artikel bevat een overzicht van de Azure Arc-gateway voor Azure Local versie 23H2. De Arc-gateway kan worden ingeschakeld voor nieuwe implementaties van Azure Local waarop softwareversie 2408 en hoger wordt uitgevoerd. In dit artikel wordt ook beschreven hoe u de Arc-gatewayresource in Azure maakt en verwijdert.
U kunt de Arc-gateway gebruiken om het aantal vereiste eindpunten dat nodig is voor het implementeren en beheren van lokale Azure-exemplaren aanzienlijk te verminderen. Zodra u de Arc-gateway hebt gemaakt, kunt u er verbinding mee maken en deze gebruiken voor nieuwe implementaties van Azure Local.
Zie Netwerkconfiguratievereisten vereenvoudigen via Azure Arc-gateway voor meer informatie over het implementeren van de Azure Arc-gateway voor zelfstandige servers (niet voor lokale Azure-machines).
Belangrijk
Deze functie is momenteel beschikbaar als PREVIEW-versie. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Hoe het werkt
De Arc-gateway werkt door de volgende onderdelen te introduceren:
Arc-gatewayresource : een Azure-resource die fungeert als een gemeenschappelijk toegangspunt voor Azure-verkeer. Deze gatewayresource heeft een specifiek domein of een specifieke URL die u kunt gebruiken. Wanneer u de Arc-gatewayresource maakt, maakt dit domein of deze URL deel uit van het antwoord op succes.
Arc-proxy : een nieuw onderdeel dat wordt toegevoegd aan de Arc-agentry. Dit onderdeel wordt uitgevoerd als een service (de Azure Arc-proxy genoemd) en werkt als een doorstuurproxy voor de Azure Arc-agents en -extensies. De gatewayrouter heeft geen configuratie van uw zijde nodig. Deze router maakt deel uit van de Arc-kernagentry en wordt uitgevoerd binnen de context van een resource met Arc.
Zodra u de Arc-gateway integreert met release 2411 van lokale Azure-implementaties, krijgt elke machine een Arc-proxy samen met andere Arc-agents.
Wanneer arcgateway wordt gebruikt, verandert de http- en https-verkeersstroom als volgt:
Verkeersstroom voor onderdelen van het lokale hostbesturingssysteem van Azure
Proxy-instellingen voor het besturingssysteem worden gebruikt om al het HTTPS-hostverkeer via de Arc-proxy te routeren.
Vanuit de Arc-proxy wordt het verkeer doorgestuurd naar de Arc-gateway.
Op basis van de configuratie in de Arc-gateway, indien toegestaan, wordt het verkeer verzonden naar doelservices. Als dit niet is toegestaan, stuurt de Arc-proxy dit verkeer om naar de bedrijfsproxy (of direct uitgaand als er geen proxy is ingesteld). Arc-proxy bepaalt automatisch het juiste pad voor het eindpunt.
Verkeersstroom voor Arc-apparaat Arc Resource Bridge (ARB) en AKS-besturingsvlak
Het routeerbare IP-adres (failovercluster-IP-resource vanaf nu) wordt gebruikt om het verkeer door te sturen via de Arc-proxy die wordt uitgevoerd op de lokale Azure-hostcomputers.
ARB en AKS-doorstuurproxy zijn geconfigureerd voor het gebruik van het routeerbare IP-adres.
Nu de proxy-instellingen zijn ingesteld, worden ARB- en AKS-uitgaand verkeer doorgestuurd naar Arc Proxy die wordt uitgevoerd op een van de lokale Azure-machines via het routeerbare IP-adres.
Zodra het verkeer arcproxy bereikt, neemt de resterende stroom hetzelfde pad als beschreven. Als verkeer naar de doelservice is toegestaan, wordt het verzonden naar de Arc-gateway. Zo niet, dan wordt deze verzonden naar de bedrijfsproxy (of direct uitgaand als er geen proxy is ingesteld). Houd er rekening mee dat dit pad voor AKS specifiek wordt gebruikt voor het downloaden van Docker-installatiekopieën voor Arc Agentry- en Arc-extensiepods.
Verkeersstroom voor Arc-VM's
Http- en https-verkeer worden doorgestuurd naar de bedrijfsproxy. Arc-proxy in de Arc-VM wordt nog niet ondersteund in deze versie.
Verkeersstromen worden geïllustreerd in het volgende diagram:
Ondersteunde en niet-ondersteunde scenario's
U kunt de Arc-gateway in het volgende scenario gebruiken voor Lokale versies van Azure 2408 en 2411:
- Schakel Arc-gateway in tijdens de implementatie van nieuwe lokale Azure-exemplaren met versie 2408 en 2411.
Niet-ondersteunde scenario's voor Azure Local, versies 2408 en 2411 zijn onder andere:
Lokale Azure-exemplaren die zijn bijgewerkt van versies 2402 of 2405 naar versie 2408 of 2411, kunnen niet profiteren van alle nieuwe eindpunten die worden ondersteund door deze Arc-gateway preview. Hostonderdelen, Arc-extensies, ARB- en AKS-vereiste eindpunten worden alleen ondersteund bij het inschakelen van de Arc-gateway als onderdeel van een nieuwe versie 2408-implementatie.
Het inschakelen van Arc-gateway na versie 2408 of 2411-implementatie kan niet profiteren van alle nieuwe eindpunten die worden ondersteund door deze Preview van de Arc-gateway. Host-, Arc-extensies, ARB- en AKS-vereiste eindpunten worden alleen ondersteund bij het inschakelen van de Arc-gateway als onderdeel van een nieuwe versie 2408- of versie 2411-implementatie.
Lokale Azure-eindpunten niet omgeleid
Als onderdeel van de preview-update van Azure Local versie 2408 zijn de eindpunten uit de tabel vereist en moeten ze worden toegestaan in uw proxy of firewall om het lokale Azure-exemplaar te implementeren. Deze versie 2408- en 2411-eindpunten worden niet omgeleid via de Arc-gateway:
| Eindpunt # | Vereist eindpunt | Onderdeel |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Omgevingscontrole |
| 2 | http://www.powershellgallery.com:443 |
Omgevingscontrole |
| 3 | http://psg-prod-eastus.azureedge.net:443 |
Omgevingscontrole |
| 4 | http://onegetcdn.azureedge.net:443 |
Omgevingscontrole |
| 5 | http://login.microsoftonline.com:443 |
Omgevingscontrole |
| 6 | http://aka.ms:443 |
Omgevingscontrole |
| 7 | http://azurestackreleases.download.prss.microsoft.com:443 |
Omgevingscontrole |
| 8 | http://download.microsoft.com:443 |
Omgevingscontrole |
| 9 | http://portal.azure.com:443 |
Omgevingscontrole |
| 10 | http://management.azure.com:443 |
Omgevingscontrole |
| 11 | http://www.office.com:443 |
Omgevingscontrole |
| 12 | http://gbl.his.arc.azure.com:443 |
Arc-agent |
| 13 | http://<region>.his.arc.azure.com:443 |
Arc-agent |
| 14 | http://dc.services.visualstudio.com:443 |
Arc-agent |
| 15 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Arc-gateway |
| 16 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 17 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Opslagaccount voor cloudwitness |
| 18 | http://files.pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 19 | http://pypi.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 20 | http://raw.githubusercontent.com:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 21 | http://pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 22 | http://hciarcvmsstorage.z13.web.core.windows.net:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 23 | http://ocsp.digicert.com |
Certificaatintrekkingslijst voor Arc-extensies |
| 24 | http://s.symcd.com |
Certificaatintrekkingslijst voor Arc-extensies |
| 25 | http://ts-ocsp.ws.symantec.com |
Certificaatintrekkingslijst voor Arc-extensies |
| 26 | http://ocsp.globalsign.com |
Certificaatintrekkingslijst voor Arc-extensies |
| 27 | http://ocsp2.globalsign.com |
Certificaatintrekkingslijst voor Arc-extensies |
| 28 | http://oneocsp.microsoft.com |
Certificaatintrekkingslijst voor Arc-extensies |
| 29 | http://dl.delivery.mp.microsoft.com |
Binaire LCM-bestanden |
| 30 | http://*.tlu.dl.delivery.mp.microsoft.com |
Binaire LCM-bestanden |
| 31 | http://*.windowsupdate.com |
Windows Update |
| 32 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 33 | http://*.update.microsoft.com |
Windows Update |
Beperkingen en limieten
Houd rekening met de volgende beperkingen van De Arc-gateway in deze release:
- TLS-afsluitproxy's worden niet ondersteund met de preview-versie van de Arc-gateway.
- Het gebruik van ExpressRoute, site-naar-site-VPN of privé-eindpunten wordt niet ondersteund naast de Arc-gateway (preview).
De Arc-gatewayresource maken in Azure
U kunt een Arc-gatewayresource maken met behulp van Azure Portal, Azure CLI of Azure PowerShell.
- Meld u aan bij het Azure Portal.
- Ga naar de azure Arc > Azure Arc-gatewaypagina en selecteer Vervolgens Maken.
- Selecteer het abonnement en de resourcegroep waar u de Arc-gatewayresource wilt beheren in Azure. Een Arc-gatewayresource kan worden gebruikt door elke resource met Arc in dezelfde Azure-tenant.
- Voer bij Naam de naam in voor de Arc-gatewayresource.
- Voer voor Locatie de regio in waar de Arc-gatewayresource zich moet bevinden. Een Arc-gatewayresource kan worden gebruikt door elke resource met Arc in dezelfde Azure-tenant.
- Selecteer Volgende.
- Geef op de pagina Tags een of meer aangepaste tags op ter ondersteuning van uw standaarden.
- Selecteer Beoordelen en maken.
- Controleer uw gegevens en selecteer Vervolgens Maken.
Het maken van de gateway duurt negen tot tien minuten.
De Arc-gatewaykoppeling loskoppelen of wijzigen van de computer
Als u de gatewayresource wilt loskoppelen van uw server met Arc, stelt u de gatewayresource-id in op null. Als u de server met Arc wilt koppelen aan een andere Arc-gatewayresource, werkt u de naam en resource-id bij met de nieuwe Arc-gatewaygegevens:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
De Arc-gatewayresource verwijderen
Zorg ervoor dat er geen machines zijn gekoppeld voordat u een Arc-gatewayresource verwijdert. Voer de volgende opdracht uit om de gatewayresource te verwijderen:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Deze bewerking kan enkele minuten duren.