Netwerktopologie en connectiviteit voor servers met Azure Arc

U kunt servers met Azure Arc gebruiken om uw fysieke Windows- en Linux-servers en virtuele machines te beheren via het Azure-besturingsvlak. In dit artikel worden belangrijke ontwerpoverwegingen en aanbevolen procedures beschreven voor connectiviteit met Servers met Azure Arc als onderdeel van het Cloud Adoption Framework voor richtlijnen voor landingszones op ondernemingsniveau van Azure. Deze richtlijnen zijn bedoeld voor fysieke servers en virtuele machines die u host in uw on-premises omgeving of via een partnercloudprovider.

In dit artikel wordt ervan uitgegaan dat u een landingszone op ondernemingsniveau hebt geïmplementeerd en hybride netwerkverbindingen tot stand hebt gebracht. De richtlijnen zijn gericht op de connectiviteit van de verbonden machineagent voor servers met Azure Arc. Zie Overzicht van landingszones op ondernemingsniveau en Landingszones op ondernemingsniveau implementeren voor meer informatie.

Architectuur

In het volgende diagram ziet u een conceptuele referentiearchitectuur voor de connectiviteit van servers met Azure Arc.

Ontwerpoverwegingen

Houd rekening met de volgende overwegingen voor het ontwerpen van netwerken voor servers met Azure Arc.

• Toegang tot Azure-servicetags beheren: maak een geautomatiseerd proces om de firewall- en proxynetwerkregels bijgewerkt te houden volgens de netwerkvereisten van de verbonden machineagent.
• Beveilig uw netwerkverbinding met Azure Arc: configureer het computerbesturingssysteem voor het gebruik van TLS-versie 1.2 (Transport Layer Security). We raden oudere versies niet aan vanwege bekende beveiligingsproblemen.
• Definieer een connectiviteitsmethode voor extensies: Zorg ervoor dat Azure-extensies die u implementeert op een server met Azure Arc kunnen communiceren met andere Azure-services. U kunt deze connectiviteit rechtstreeks bieden via openbare netwerken, een firewall of een proxyserver. U moet privé-eindpunten configureren voor de Azure Arc-agent. Als uw ontwerp privéconnectiviteit vereist, moet u extra stappen uitvoeren om connectiviteit met privé-eindpunten in te schakelen voor elke service waartoe extensies toegang hebben. Overweeg ook het gebruik van gedeelde of toegewezen circuits, afhankelijk van uw kosten, beschikbaarheid en bandbreedtevereisten.
• Controleer de algehele connectiviteitsarchitectuur: Controleer de netwerktopologie en het ontwerpgebied voor connectiviteit om te beoordelen hoe servers met Azure Arc van invloed zijn op uw algehele connectiviteit.

Ontwerpaanaanvelingen

Bekijk de volgende aanbevelingen voor netwerkontwerp voor servers met Azure Arc.

Een connectiviteitsmethode voor een Azure Arc-agent definiëren

Controleer eerst uw bestaande infrastructuur- en beveiligingsvereisten. Bepaal vervolgens hoe de verbonden machineagent moet communiceren met Azure vanuit uw on-premises netwerk of andere cloudprovider. Deze verbinding kan via internet, via een proxyserver of via Azure Private Link- gaan voor een privéverbinding. Als u Azure Arc via internet implementeert met of zonder een proxy, kunt u ook een functie gebruiken die momenteel in openbare preview wordt genoemd Azure Arc-gateway. Deze functie helpt het totale aantal eindpunten te verminderen waartoe de proxy toegang moet verlenen.

Directe verbinding

Servers met Azure Arc kunnen directe connectiviteit bieden met openbare Azure-eindpunten. Wanneer u deze connectiviteitsmethode gebruikt, gebruiken alle computeragents een openbaar eindpunt om een verbinding met Azure te openen via internet. De verbonden machineagent voor Linux en Windows communiceert veilig naar Azure via het HTTPS-protocol (TCP/443).

Wanneer u de methode voor directe verbinding gebruikt, evalueert u uw internettoegang voor de verbonden machineagent. U wordt aangeraden de vereiste netwerkregels te configureren.

Proxyserver of firewallverbinding

Als uw computer gebruikmaakt van een firewall of een proxyserver om via internet te communiceren, maakt de agent verbinding via het HTTPS-protocol.

Als u een firewall of een proxyserver gebruikt om uitgaande connectiviteit te beperken, moet u ervoor zorgen dat de IP-bereiken voldoen aan de netwerkvereisten van de verbonden machineagent. Wanneer u alleen de vereiste IP-bereiken of domeinnamen toestaat voor de agent om te communiceren met de service, gebruikt u servicetags en URL's om uw firewall of proxyserver te configureren.

Als u extensies implementeert op uw servers met Azure Arc, maakt elke extensie verbinding met zijn eigen eindpunt of eindpunten en moet u ook alle bijbehorende URL's in de firewall of proxy toestaan. Voeg deze eindpunten toe om gedetailleerd beveiligd netwerkverkeer te garanderen en om te voldoen aan het principe van minimale bevoegdheden.

Als u het totale aantal URL's wilt verminderen dat is vereist in de firewall of proxy, moet u bepalen of de Azure Arc-gatewayservice nuttig is.

Azure Arc-gateway

Azure Arc-gateway (openbare preview) vermindert het totale aantal uitgaande HTTPS-eindpunten dat uw proxy nodig heeft om Azure Arc te laten werken. Het elimineert de noodzaak voor de meeste eindpunten met jokertekens en vermindert het totale aantal vereiste eindpunten tot acht. Het kan werken met sommige extensie-eindpunten, dus u hoeft niet meer URL-uitsluitingen in uw proxy te maken.

De Azure Arc-gatewayservice werkt momenteel niet met Private Link of met Azure ExpressRoute-peering, omdat u toegang moet hebben tot de Azure Arc-gatewayservice via internet.

Private Link

Gebruik een Azure Arc-server met Azure Arc Private Link-bereik om ervoor te zorgen dat al het verkeer van uw Azure Arc-agents in uw netwerk blijft staan. Deze configuratie biedt beveiligingsvoordelen. Het verkeer gaat niet via internet en u hoeft niet zoveel uitgaande uitzonderingen op de firewall van uw datacenter te openen. Maar Private Link legt veel beheeruitdagingen op en verhoogt de totale complexiteit en kosten, met name voor wereldwijde organisaties. Houd rekening met de volgende uitdagingen:

• Azure Arc Private Link-bereik omvat alle Azure Arc-clients onder hetzelfde DNS-bereik (Domain Name System). U kunt geen enkele Azure Arc-clients hebben die gebruikmaken van privé-eindpunten en sommige die openbare eindpunten gebruiken wanneer ze een DNS-server delen. Maar u kunt tijdelijke oplossingen implementeren, zoals DNS-beleid.

• Uw Azure Arc-clients kunnen alle privé-eindpunten in een primaire regio hebben. Als dat niet het probleem is, moet u DNS zo configureren dat dezelfde privé-eindpuntnamen worden omgezet in verschillende IP-adressen. U kunt bijvoorbeeld selectief gerepliceerde DNS-partities gebruiken voor windows Server Active Directory-geïntegreerde DNS. Als u dezelfde privé-eindpunten gebruikt voor al uw Azure Arc-clients, moet u het verkeer van al uw netwerken naar de privé-eindpunten kunnen routeren.

• Als u privé-eindpunten wilt gebruiken voor Alle Azure-services die worden geopend door extensiesoftwareonderdelen die u implementeert via Azure Arc, moet u extra stappen uitvoeren. Deze services omvatten Log Analytics-werkruimten, Azure Automation-accounts, Azure Key Vault en Azure Storage.

• Connectiviteit met Microsoft Entra ID maakt gebruik van openbare eindpunten, zodat clients enige internettoegang nodig hebben.

• Als u ExpressRoute gebruikt voor privéconnectiviteit, kunt u de aanbevolen procedures voor tolerantie voor circuits, gateways, verbindingenen ExpressRoute Directbekijken.

Vanwege deze uitdagingen raden we u aan om te evalueren of u Private Link nodig hebt voor uw Azure Arc-implementatie. Openbare eindpunten versleutelen verkeer. Afhankelijk van hoe u Azure Arc gebruikt voor servers, kunt u verkeer beperken tot beheer en metagegevensverkeer. Implementeer beveiligingscontroles voor lokale agents om beveiligingsproblemen op te lossen.

Zie De beveiliging van Private Link voor meer informatie en bekijk de beperkingen en beperkingen die zijn gekoppeld aan private link-ondersteuning voor Azure Arc.

Toegang tot Azure-servicetags beheren

U wordt aangeraden een geautomatiseerd proces te implementeren om de firewall- en proxynetwerkregels bij te werken volgens de netwerkvereisten van Azure Arc.

Volgende stappen

Zie de volgende bronnen voor meer informatie over uw overstap naar hybride clouds:

• Azure Arc-jumpstartscenario's
• Vereisten voor verbonden machineagent
• Netwerkconfiguratie voor de Private Link-connectiviteitsmethode
• Private Link gebruiken om servers te verbinden met Azure Arc
• een implementatie op schaal plannen van servers met Azure Arc
• Private Link instellen
• Verbindingsproblemen met azure-verbonden machineagent oplossen
• Training: Azure-innovatie naar uw hybride omgevingen brengen met Azure Arc