Udostępnij za pośrednictwem

Uproszczenie wymagań dotyczących konfiguracji sieci za pomocą usługi Azure Arc Gateway (wersja zapoznawcza)

  • Artykuł

Jeśli używasz serwerów proxy przedsiębiorstwa do zarządzania ruchem wychodzącym, brama usługi Azure Arc może pomóc uprościć proces włączania łączności.

Brama usługi Azure Arc (obecnie w wersji zapoznawczej) umożliwia:

  • Połącz się z usługą Azure Arc, otwierając dostęp do sieci publicznej tylko do siedmiu w pełni kwalifikowanych nazw domen (FQDN).
  • Wyświetl i przeprowadź inspekcję całego ruchu wysyłanego przez agentów usługi Arc na platformę Azure za pośrednictwem bramy usługi Arc.

Ważne

Brama usługi Azure Arc jest obecnie dostępna w wersji zapoznawczej.

Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Jak działa brama usługi Azure Arc

Brama usługi Arc działa, wprowadzając dwa nowe składniki:

  • Zasób bramy usługi Arc to zasób platformy Azure, który służy jako wspólny fronton dla ruchu platformy Azure. Zasób bramy jest obsługiwany w określonej domenie/adresie URL. Ten zasób należy utworzyć, wykonując kroki opisane w tym artykule. Po pomyślnym utworzeniu zasobu bramy ta domena/adres URL zostanie uwzględniona w odpowiedzi na powodzenie.
  • Serwer proxy usługi Arc to nowy składnik, który działa jako własny zasobnik (nazywany serwerem proxy usługi Azure Arc). Ten składnik działa jako serwer proxy do przekazywania używany przez agentów i rozszerzenia usługi Azure Arc. W twojej części serwera proxy usługi Azure Arc nie jest wymagana żadna konfiguracja.

Aby uzyskać więcej informacji, zobacz , jak działa brama usługi Azure Arc.

Ważne

Lokalna platforma Azure i usługa AKS nie obsługują serwerów proxy zakończenia protokołu TLS, usługi ExpressRoute/sieci VPN typu lokacja-lokacja ani prywatnych punktów końcowych. Ponadto istnieje limit pięciu zasobów bramy usługi Arc na subskrypcję platformy Azure.

Zanim rozpoczniesz

  • Upewnij się, że spełnisz wymagania wstępne dotyczące tworzenia klastrów usługi AKS w środowisku lokalnym platformy Azure.

  • Ten artykuł wymaga wersji 1.4.23 lub nowszej interfejsu wiersza polecenia platformy Azure. Jeśli używasz programu Azure CloudShell, najnowsza wersja jest już zainstalowana.

  • Następujące uprawnienia platformy Azure są wymagane do tworzenia zasobów bramy usługi Arc i zarządzania ich skojarzeniem z klastrami usługi AKS Arc:

    • Microsoft.Kubernetes/connectedClusters/settings/default/write
    • Microsoft.hybridcompute/gateways/read
    • Microsoft.hybridcompute/gateways/write

  • Zasób bramy usługi Arc można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure lub witryny Azure Portal. Aby uzyskać więcej informacji na temat tworzenia zasobu bramy usługi Arc dla klastrów usługi AKS i usługi Azure Local, zobacz Tworzenie zasobu bramy usługi Arc na platformie Azure. Podczas tworzenia zasobu bramy arc pobierz identyfikator zasobu bramy, uruchamiając następujące polecenie:

    $gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"

Potwierdzanie dostępu do wymaganych adresów URL

Upewnij się, że adres URL bramy usługi Arc i wszystkie poniższe adresy URL są dozwolone za pośrednictwem zapory przedsiębiorstwa:

URL Purpose
[Your URL prefix].gw.arc.azure.com Adres URL bramy. Ten adres URL można uzyskać, uruchamiając polecenie az arcgateway list po utworzeniu zasobu.
management.azure.com Punkt końcowy usługi Azure Resource Manager wymagany dla kanału sterowania usługi Azure Resource Manager.
<region>.obo.arc.azure.com Wymagane, gdy az connectedk8s proxy jest używany.
login.microsoftonline.com, <region>.login.microsoft.com Punkt końcowy identyfikatora Entra firmy Microsoft używany do uzyskiwania tokenów dostępu do tożsamości.
gbl.his.arc.azure.com, <region>.his.arc.azure.com Punkt końcowy usługi w chmurze do komunikowania się z agentami usługi Arc. Używa krótkich nazw; na przykład eus wschodnie stany USA.
mcr.microsoft.com, *.data.mcr.microsoft.com Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc.

Tworzenie klastra usługi AKS Arc z włączoną bramą usługi Arc

Uruchom następujące polecenie, aby utworzyć klaster usługi AKS Arc z włączoną bramą usługi Arc:

az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys

Aktualizowanie klastra usługi AKS Arc i włączanie bramy usługi Arc

Uruchom następujące polecenie, aby zaktualizować klaster usługi AKS Arc i włączyć bramę arc:

az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId

Wyłączanie bramy usługi Arc w klastrze usługi AKS Arc

Uruchom następujące polecenie, aby wyłączyć klaster usługi AKS Arc:

az aksarc update -n $clusterName -g $resourceGroup --disable-gateway

Monitorowanie ruchu

Aby przeprowadzić inspekcję ruchu bramy, wyświetl dzienniki routera bramy:

  1. Uruchom program kubectl get pods -n azure-arc.
  2. Zidentyfikuj zasobnik serwera proxy usługi Arc (jego nazwa rozpocznie się od arc-proxy-).
  3. Uruchom program kubectl logs -n azure-arc <Arc Proxy pod name>.

Inne scenariusze

W publicznej wersji zapoznawczej brama usługi Arc obejmuje punkty końcowe wymagane dla klastrów usługi AKS Arc oraz część punktów końcowych wymaganych w przypadku dodatkowych scenariuszy z obsługą usługi Arc. W zależności od scenariuszy, które przyjmujesz, dodatkowe punkty końcowe muszą być nadal dozwolone na serwerze proxy.

Wszystkie punkty końcowe wymienione w następujących scenariuszach muszą być dozwolone na serwerze proxy przedsiębiorstwa, gdy brama usługi Arc jest używana:

Następne kroki