Uproszczenie wymagań dotyczących konfiguracji sieci za pomocą bramy usługi Azure Arc (publiczna wersja zapoznawcza)

Jeśli używasz serwerów proxy przedsiębiorstwa do zarządzania ruchem wychodzącym, brama usługi Azure Arc umożliwia dołączanie infrastruktury do usługi Azure Arc przy użyciu tylko siedmiu (7) punktów końcowych. Za pomocą bramy usługi Azure Arc można wykonywać następujące czynności:

• Połącz się z usługą Azure Arc, otwierając dostęp do sieci publicznej tylko do siedmiu w pełni kwalifikowanych nazw domen (FQDN).
• Wyświetlaj i sprawdzaj cały ruch wysyłany przez agenta połączonej maszyny platformy Azure do platformy Azure za pośrednictwem bramy usługi Arc.

W tym artykule opisano sposób konfigurowania i używania bramy usługi Arc (publiczna wersja zapoznawcza).

Ważne

Funkcja bramy arc dla serwerów z obsługą usługi Azure Arc jest obecnie dostępna w publicznej wersji zapoznawczej we wszystkich regionach, w których znajdują się serwery z obsługą usługi Azure Arc. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, publicznej wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Jak działa brama usługi Azure Arc

Brama usługi Azure Arc składa się z dwóch głównych składników:

• Zasób bramy usługi Arc: zasób platformy Azure, który służy jako wspólny fronton dla ruchu platformy Azure. Ten zasób bramy jest obsługiwany w określonej domenie. Po utworzeniu zasobu bramy usługi Arc domena zostanie zwrócona w odpowiedzi na powodzenie.

• Serwer proxy usługi Arc: nowy składnik dodany do agentów usługi Arc. Ten składnik działa jako usługa o nazwie "Serwer proxy usługi Azure Arc" i działa jako serwer proxy przekazywania używany przez agentów i rozszerzeń usługi Azure Arc. W twojej części serwera proxy usługi Arc nie jest wymagana żadna konfiguracja. Ten serwer proxy jest częścią agentów podstawowych usługi Arc i działa w kontekście zasobu z obsługą usługi Arc.

Gdy brama jest włączona, ruch przepływa za pośrednictwem następujących przeskoków: Agentry usługi Arc → Arc Proxy → Enterprise proxy → Arc gateway → usługi Target

Bieżące ograniczenia

W publicznej wersji zapoznawczej obowiązują następujące ograniczenia. Podczas planowania konfiguracji należy wziąć pod uwagę te czynniki.

• Kończenie protokołu TLS serwerów proxy nie jest obsługiwane (publiczna wersja zapoznawcza)
• Sieć VPN usługi ExpressRoute/sieć VPN typu lokacja-lokacja lub prywatne punkty końcowe używane z bramą usługi Arc (publiczna wersja zapoznawcza) nie są obsługiwane.
• Istnieje limit pięciu (5) zasobów bramy usługi Arc (publiczna wersja zapoznawcza) na subskrypcję platformy Azure.
• Brama usługi Arc może być używana tylko do łączności w chmurze publicznej platformy Azure.

Wymagane uprawnienia

Aby utworzyć zasoby bramy usługi Arc i zarządzać ich skojarzeniem z serwerami z obsługą usługi Arc, wymagane są następujące uprawnienia:

• Microsoft.HybridCompute/settings/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

Jak używać bramy usługi Arc (publiczna wersja zapoznawcza)

Aby użyć bramy usługi Arc, wykonaj cztery kroki:

1. Utwórz zasób bramy usługi Arc.
2. Upewnij się, że wymagane adresy URL są dozwolone w danym środowisku.
3. Dołączanie zasobów usługi Azure Arc za pomocą zasobu bramy usługi Arc lub konfigurowanie istniejących zasobów usługi Azure Arc do korzystania z bramy usługi Arc.
4. Sprawdź, czy instalacja zakończyła się pomyślnie.

Krok 1. Tworzenie zasobu bramy usługi Arc

Zasób bramy usługi Arc można utworzyć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Portal

1. W przeglądarce zaloguj się do witryny Azure Portal.

2. Przejdź do usługi Azure Arc | Strona bramy usługi Azure Arc, a następnie wybierz pozycję Utwórz.

3. Wybierz subskrypcję i grupę zasobów, w której chcesz zarządzać zasobem bramy usługi Arc na platformie Azure. Zasób bramy usługi Arc może być używany przez dowolny zasób z obsługą usługi Arc w tej samej dzierżawie platformy Azure.

4. W polu Nazwa wprowadź nazwę zasobu bramy usługi Arc.

5. W polu Lokalizacja wprowadź region, w którym powinien znajdować się zasób bramy usługi Arc. Zasób bramy usługi Arc może być używany przez dowolny zasób z obsługą usługi Arc w tej samej dzierżawie platformy Azure.

6. Wybierz Dalej.

7. Na stronie Tagi określ co najmniej jeden tag niestandardowy do obsługi standardów.

8. Wybierz pozycję Przejrzyj i utwórz.

9. Przejrzyj szczegóły danych wejściowych, a następnie wybierz pozycję Utwórz.

   Proces tworzenia bramy trwa od 9 do 10 minut.

Interfejs wiersza polecenia

1. Dodaj rozszerzenie bramy arc do interfejsu wiersza polecenia platformy Azure:

   az extension add -n arcgateway

2. Na maszynie z dostępem do platformy Azure uruchom następujące polecenia, aby utworzyć zasób bramy usługi Arc:

   az arcgateway create `
       --gateway-name [Your gateway’s Name] `
       --resource-group <Your Resource Group> `
       --location [Location]
   

   Proces tworzenia bramy trwa od 9 do 10 minut.

Program PowerShell

Na maszynie z dostępem do platformy Azure uruchom następujące polecenie programu PowerShell, aby utworzyć zasób bramy usługi Arc:

    New-AzArcgateway `
        -name <gateway’s name> `
        -resource-group <resource group> `
        -location <region> `
        -subscription <subscription name or id> `
        -gateway-type public  `
        -allowed-features *

Proces tworzenia bramy trwa od 9 do 10 minut.

Krok 2. Upewnij się, że wymagane adresy URL są dozwolone w środowisku

Po utworzeniu zasobu odpowiedź powodzenia zawiera adres URL bramy usługi Arc. Upewnij się, że adres URL bramy usługi Arc i wszystkie adresy URL w poniższej tabeli są dozwolone w środowisku, w którym znajdują się zasoby usługi Arc. Wymagane adresy URL to:

URL	Purpose
[Prefiks adresu URL].gw.arc.azure.com	Adres URL bramy (ten adres URL można uzyskać, uruchamiając polecenie az arcgateway list po utworzeniu zasobu bramy)
management.azure.com	Punkt końcowy usługi Azure Resource Manager wymagany dla kanału sterowania usługi Azure Resource Manager
login.microsoftonline.com	Punkt końcowy identyfikatora Entra firmy Microsoft na potrzeby uzyskiwania tokenów dostępu tożsamości
gbl.his.arc.azure.com	Punkt końcowy usługi w chmurze do komunikowania się z agentami usługi Azure Arc
<region.his.arc.azure.com>	Używany do podstawowego kanału sterowania usługi Arc
packages.microsoft.com	Wymagane do uzyskania ładunku agentów usługi Arc opartego na systemie Linux potrzebne tylko do połączenia serwerów z systemem Linux z usługą Arc

Krok 3a. Dołączanie zasobów usługi Azure Arc za pomocą zasobu bramy usługi Arc.

1. Wygeneruj skrypt instalacji.

   Postępuj zgodnie z instrukcjami w przewodniku Szybki start: Łączenie maszyn hybrydowych z serwerami z obsługą usługi Azure Arc w celu utworzenia skryptu, który automatyzuje pobieranie i instalację agenta połączonej maszyny platformy Azure i ustanawia połączenie z usługą Azure Arc.

   Ważne

   Podczas generowania skryptu dołączania wybierz pozycję Serwer proxy w obszarze Metoda łączności, aby wyświetlić listę rozwijaną zasobu bramy.

2. Uruchom skrypt instalacji, aby dołączyć serwery do usługi Azure Arc.

   W skrytecie identyfikator arm zasobu bramy usługi Arc jest wyświetlany jako --gateway-id.

Krok 3b. Konfigurowanie istniejących zasobów usługi Azure Arc do korzystania z bramy usługi Arc

Istniejące zasoby usługi Azure Arc można skonfigurować do korzystania z bramy usługi Arc przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Portal

1. W witrynie Azure Portal przejdź do strony bramy Azure Arc — Azure Arc.

2. Wybierz zasób bramy usługi Arc, który ma być skojarzony z serwerem z obsługą usługi Arc.

3. Przejdź do strony Skojarzone zasoby dla zasobu bramy.

4. Wybierz Dodaj.

5. Wybierz zasób z obsługą usługi Arc, który ma być skojarzony z zasobem bramy usługi Arc.

6. Wybierz Zastosuj.

7. Zaktualizuj serwer z obsługą usługi Arc, aby używał bramy usługi Arc, uruchamiając polecenie azcmagent config set connection.type gateway.

Interfejs wiersza polecenia

1. Na maszynie z dostępem do platformy Azure uruchom następujące polecenia:

   az arcgateway settings update `
      --resource-group <Your Resource Group> `
      --subscription <subscription name> `
      --base-provider Microsoft.HybridCompute `
      --base-resource-type machines `
      --base-resource-name [Arc-Server’s name] `
      --gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Zaktualizuj serwer z obsługą usługi Arc, aby używał bramy usługi Arc, uruchamiając następujące polecenie:

   azcmagent config set connection.type gateway

Program PowerShell

1. Na maszynie z dostępem do platformy Azure uruchom następujące polecenia:

   Update-AzArcSetting `
       -ResourceGroupName <Your Resource Group> `
       -SubscriptionId <subscription ID> `
       -BaseProvider Microsoft.HybridCompute `
       -BaseResourceType machine `
       -BaseResourceName <Arc-server's resource name> `
       -GatewayResourceId <Full Arm resourceid>
   

2. Zaktualizuj serwer z obsługą usługi Arc, aby używał bramy usługi Arc, uruchamiając następujące polecenie:

   azcmagent config set connection.type gateway

Krok 4. Sprawdzanie, czy instalacja zakończyła się pomyślnie

Na dołączonym serwerze uruchom następujące polecenie: azcmagent show Wynik powinien wskazywać następujące wartości:

• Stan agenta powinien być wyświetlany jako Połączony.
• Używanie serwera proxy HTTPS powinno być wyświetlane jako http://localhost:40343.
• Nadrzędny serwer proxy powinien być wyświetlany jako serwer proxy przedsiębiorstwa (jeśli go ustawisz). Adres URL bramy powinien odzwierciedlać adres URL zasobu bramy.

Ponadto, aby zweryfikować pomyślne skonfigurowanie, można uruchomić następujące polecenie: azcmagent check Wynik powinien wskazywać, że connection.type ustawiono bramę, a kolumna Reachable powinna wskazywać wartość true dla wszystkich adresów URL.

Kojarzenie maszyny z nową bramą usługi Arc

Aby skojarzyć maszynę z nową bramą usługi Arc:

Portal

1. W witrynie Azure Portal przejdź do strony bramy Azure Arc — Azure Arc.

2. Wybierz nowy zasób bramy usługi Arc, który ma być skojarzony z maszyną.

3. Przejdź do strony Skojarzone zasoby dla zasobu bramy.

4. Wybierz Dodaj.

5. Wybierz maszynę z obsługą usługi Arc, która ma być skojarzona z nowym zasobem bramy usługi Arc.

6. Wybierz Zastosuj.

7. Zaktualizuj serwer z obsługą usługi Arc, aby używał bramy usługi Arc, uruchamiając polecenie azcmagent config set connection.type gateway.

Interfejs wiersza polecenia

1. Na maszynie, którą chcesz skojarzyć z nową bramą usługi Arc, uruchom następujące polecenia:

   az arcgateway settings update `
      --resource-group <Your Resource Group> `
      --subscription <subscription name> `
      --base-provider Microsoft.HybridCompute `
      --base-resource-type machines `
      --base-resource-name [Arc-Server’s name] `
      --gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Zaktualizuj serwer z obsługą usługi Arc, aby używał bramy usługi Arc, uruchamiając następujące polecenie:

   azcmagent config set connection.type gateway

Program PowerShell

1. Na maszynie, którą chcesz skojarzyć z nową bramą usługi Arc, uruchom następujące polecenie:

   Update-AzArcSetting `
       -ResourceGroupName <Your Resource Group> `
       -SubscriptionId <Subscription ID > `
       -BaseProvider Microsoft.HybridCompute `
       -BaseResourceType machine `
       -BaseResourceName <Arc-server's resource name> `
       -GatewayResourceId <Full Arm resourceid>
   

2. Zaktualizuj serwer z obsługą usługi Arc, aby używał bramy usługi Arc, uruchamiając następujące polecenie:

   azcmagent config set connection.type gateway

Usuń skojarzenie bramy usługi Arc (aby zamiast tego użyć trasy bezpośredniej)

1. Ustaw typ połączenia serwera z obsługą usługi Arc na "bezpośredni" zamiast "bramy", uruchamiając następujące polecenie:

   azcmagent config set connection.type direct

   Uwaga

   Jeśli wykonasz ten krok, wszystkie wymagania dotyczące sieci usługi Azure Arc muszą zostać spełnione w twoim środowisku, aby nadal korzystać z usługi Azure Arc.

2. Odłącz zasób bramy usługi Arc od maszyny:

   Portal

   1. W witrynie Azure Portal przejdź do strony bramy Azure Arc — Azure Arc.

   2. Wybierz zasób bramy usługi Arc.

   3. Przejdź do strony Skojarzone zasoby dla zasobu bramy i wybierz serwer.

   4. Wybierz Usuń.

   Interfejs wiersza polecenia

   Na maszynie z dostępem do platformy Azure uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure:

   az arcgateway settings update `
       --resource-group <Your Resource Group> `
       --subscription <subscription name> `
       --base-provider Microsoft.HybridCompute `
       --base-resource-type machines `
       --base-resource-name <Arc-Server’s name > `
       --gateway-resource-id ""
   

   Uwaga

   Jeśli używasz tego polecenia interfejsu wiersza polecenia platformy Azure w programie Windows PowerShell, ustaw wartość --gateway-resource-id null.

   Program PowerShell

   Na maszynie z dostępem do platformy Azure uruchom następujące polecenie programu PowerShell:

   Update-AzArcSetting  `
       -ResourceGroupName <Your Resource Group> `
       -SubscriptionId <Subscription ID > `
       -BaseProvider Microsoft.HybridCompute `
       -BaseResourceType machines `
       -BaseResourceName <NameOfResource> `
       -GatewayResourceId ""
   

Usuwanie zasobu bramy usługi Arc

Uwaga

Wykonanie tej operacji może potrwać od 4 do 5 minut.

Portal

1. W witrynie Azure Portal przejdź do strony bramy Azure Arc — Azure Arc.

2. Wybierz zasób bramy usługi Arc.

3. Wybierz Usuń.

Interfejs wiersza polecenia

Na maszynie z dostępem do platformy Azure uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure:

az arcgateway delete `
    --resource-group <Your Resource Group> `
    --subscription <subscription name> `
    --gateway-name <Arc gateway Resource Name >

Program PowerShell

Na maszynie z dostępem do platformy Azure uruchom następujące polecenie programu PowerShell:

Remove-AzArcGateway  
    -ResourceGroup <Your Resource Group> `
    -SubscriptionId <subscription id> `
    -GatewayName <RP Name>

Rozwiązywanie problemów

Możesz przeprowadzić inspekcję ruchu bramy usługi Arc, wyświetlając dzienniki serwera proxy usługi Azure Arc.

Aby wyświetlić dzienniki serwera proxy usługi Arc w systemie Windows:

1. Uruchom polecenie azcmagent logs w programie PowerShell.
2. W wynikowym pliku .zip dzienniki znajdują się w folderze C:\ProgramData\Microsoft\ArcProxy .

Aby wyświetlić dzienniki serwera proxy usługi Arc w systemie Linux:

1. Uruchom sudo azcmagent logsi udostępnij wynikowy plik.
2. W wynikowym pliku dziennika dzienniki znajdują się w folderze /usr/local/arcproxy/logs/ .

Dodatkowe scenariusze

W publicznej wersji zapoznawczej brama usługi Arc obejmuje punkty końcowe wymagane do dołączania serwera, a także część punktów końcowych wymaganych w przypadku dodatkowych scenariuszy z obsługą usługi Arc. W zależności od scenariuszy, które przyjmujesz, dodatkowe punkty końcowe muszą być dozwolone na serwerze proxy.

Scenariusze, które nie wymagają dodatkowych punktów końcowych

• Windows Admin Center
• SSH
• Rozszerzone aktualizacje zabezpieczeń
• Usługa Microsoft Defender
• Rozszerzenie platformy Azure dla programu SQL Server

Scenariusze wymagające dodatkowych punktów końcowych

Punkty końcowe wymienione w następujących scenariuszach muszą być dozwolone na serwerze proxy przedsiębiorstwa podczas korzystania z bramy usługi Arc:

• Usługi danych z obsługą usługi Azure Arc

  • *.ods.opinsights.azure.com

  • *.oms.opinsights.azure.com

  • *.monitoring.azure.com

• Agent usługi Azure Monitor

  • <log-analytics-workspace-id.ods.opinsights.azure.com>

  • <data-collection-endpoint>.<virtual-machine-region-name.ingest.monitor.azure.com>

• Synchronizacja certyfikatów usługi Azure Key Vault

  • <nazwa-magazynu.vault.azure.net>

• Rozszerzenie hybrydowego procesu roboczego elementu Runbook usługi Azure Automation

  • *.azure-automation.net

• Rozszerzenie aktualizacji systemu operacyjnego Windows / Azure Update Manager

  • Środowisko musi spełniać wszystkie wymagania wstępne dotyczące usługi Windows Update

Znane problemy

Poniżej przedstawiono opis obecnie znanych problemów z bramą usługi Arc.

Wymagane odświeżenie po dołączeniu agenta połączonej maszyny platformy Azure

W przypadku użycia skryptu dołączania (lub azcmagent connect polecenia) do dołączenia serwera z określonym identyfikatorem zasobu bramy zasób zostanie pomyślnie użyty brama arc. Jednak ze względu na znaną usterkę (z obecnie w toku poprawką) serwer z obsługą usługi Arc nie będzie wyświetlany jako skojarzony zasób w witrynie Azure Portal, chyba że ustawienia zasobu zostaną odświeżone. Aby wykonać to odświeżanie, wykonaj następującą procedurę:

Portal

1. W witrynie Azure Portal przejdź do usługi Azure Arc | Strona bramy usługi Arc.

2. Wybierz zasób bramy usługi Arc, który ma być skojarzony z serwerem z obsługą usługi Arc.

3. Przejdź do strony Skojarzone zasoby dla zasobu bramy.

4. Wybierz Dodaj.

5. Wybierz zasób z obsługą usługi Arc, który ma być skojarzony z zasobem bramy usługi Arc, a następnie wybierz pozycję Zastosuj.

Interfejs wiersza polecenia

Na maszynie z dostępem do platformy Azure uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure:

az arcgateway settings update `
    --resource-group <Your Resource Group> `
    --subscription <subscription name> `
    --base-provider Microsoft.HybridCompute `
    --base-resource-type machines `
    --base-resource-name <Arc-Server’s name> `
    --gateway-resource-id <Full Arm resource id of the new Arc gateway resource>

Program PowerShell

Na maszynie z dostępem do platformy Azure uruchom następujące polecenie programu PowerShell:

Update-AzArcSetting  `
    -ResourceGroupName <Your Resource Group> `
    -SubscriptionId <Subscription ID > `
    -BaseProvider Microsoft.HybridCompute `
    -BaseResourceType machines `
    -BaseResourceName <NameOfResource> `
    -GatewayResourceId <Full Arm resource id of the new Arc gateway resource>

Wymagane odświeżanie serwera proxy usługi Arc po odłączeniu zasobu bramy od maszyny

Podczas odłączania zasobu bramy usługi Arc od maszyny należy odświeżyć serwer proxy usługi Arc, aby wyczyścić konfigurację bramy usługi Arc. W tym celu wykonaj następującą procedurę:

1. Zatrzymaj serwer proxy łuku.

   • Windows: Stop-Service arcproxy
   • Linux: sudo systemctl stop arcproxyd

2. cloudconfig.json Usuń plik.

   • Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
   • Linux: "/var/opt/azcmagent/cloudconfig.json"

3. Uruchom serwer proxy usługi Arc.

   • Windows: Start-Service arcproxy
   • Linux: sudo systemctl start arcproxyd

4. Uruchom ponownie himds (opcjonalne, ale zalecane).

   • Windows: Restart-Service himds
   • Linux: sudo systemctl restart himdsd

Odświeżanie wymagane do ponownego włączenia maszyn bez bramy

Jeśli maszyna z obsługą usługi Arc z bramą usługi Arc zostanie usunięta z usługi Azure Arc i ponownie włączona bez bramy usługi Arc, należy zaktualizować jego stan w witrynie Azure Portal.

Ważne

Ten problem występuje tylko wtedy, gdy zasób jest ponownie włączony w usłudze Arc z tym samym identyfikatorem usługi ARM co jego początkowe włączenie.

W tym scenariuszu maszyna niepoprawnie wyświetla się w witrynie Azure Portal jako zasób skojarzony z bramą usługi Arc. Aby temu zapobiec, jeśli zamierzasz włączyć maszynę bez bramy usługi Arc, która była wcześniej włączona w usłudze Arc z bramą usługi Arc, należy zaktualizować skojarzenie bramy arc po dołączeniu. W tym celu należy użyć następującej procedury:

Portal

1. W witrynie Azure Portal przejdź do usługi Azure Arc | Strona bramy usługi Arc.

2. Wybierz zasób bramy usługi Arc.

3. Przejdź do strony Skojarzone zasoby dla zasobu bramy.

4. Wybierz serwer, a następnie wybierz pozycję Usuń.

Interfejs wiersza polecenia

Na maszynie z dostępem do platformy Azure uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure:

       az arcgateway settings update `
           --resource-group <Your Resource Group> `
           --subscription <subscription name > `
           --base-provider Microsoft.HybridCompute `
           --base-resource-type machines `
           --base-resource-name <Arc-Server’s name > `
           --gateway-resource-id ""

Uwaga

Jeśli używasz tego polecenia interfejsu wiersza polecenia platformy Azure w programie Windows PowerShell, ustaw wartość --gateway-resource-id null.

Program PowerShell

Na maszynie z dostępem do platformy Azure uruchom następujące polecenie programu PowerShell:

    Update-AzArcSetting  `
        -ResourceGroupName <Your Resource Group> `
        -SubscriptionId <Subscription ID > `
        -BaseProvider Microsoft.HybridCompute `
        -BaseResourceType machines `
        -BaseResourceName <NameOfResource> `
        -GatewayResourceId ""

Ręczne skojarzenie bramy wymagane po usunięciu

Jeśli brama usługi Arc zostanie usunięta, gdy maszyna jest nadal z nią połączona, witryna Azure Portal musi służyć do skojarzenia maszyny z innymi zasobami bramy usługi Arc.

Aby uniknąć tego problemu, przed usunięciem zasobu bramy bramy usługi Arc odłącz wszystkie zasoby z obsługą usługi Arc. Jeśli wystąpi ten błąd, użyj witryny Azure Portal, aby skojarzyć maszynę z nowym zasobem bramy usługi Arc.