Simplifique os requisitos de configuração da rede com o gateway do Azure Arc (Visualização Pública)
Se você usar proxies corporativos para gerenciar o tráfego de saída, o gateway do Azure Arc permite integrar a infraestrutura ao Azure Arc usando apenas sete (7) pontos de extremidade. Com o gateway do Azure Arc, é possível:
- Conecte-se ao Azure Arc abrindo o acesso à rede pública para apenas sete (7) Domínios Totalmente Qualificados (FQDNs).
- Exiba e audite todo o tráfego que um agente do Azure Connected Machine envia ao Azure por via gateway do Arc.
Este artigo explica como configurar e usar o gateway do Arc (Visualização Pública).
Importante
O recurso de gateway do Arc para servidores habilitados para Azure Arc está atualmente em Visualização Pública em todas as regiões onde os servidores habilitados para Azure Arc estão presentes. Confira os Termos Suplementares de Uso para Visualizações do Microsoft Azure para os termos jurídicos que se aplicam aos recursos do Azure que estão em versão beta, Visualização Pública ou ainda não foram lançados em disponibilidade geral
Como funciona o gateway do Azure Arc
O gateway do Azure Arc consiste em dois componentes principais:
O recurso de gateway do Arc: um recurso do Azure que serve como um front-end comum para o tráfego do Azure. Esse recurso de gateway é fornecido em um domínio específico. Depois que o recurso de gateway do Arc é criado, o domínio é retornado para você na resposta de êxito.
O Proxy do Arc: um novo componente adicionado ao agente do Arc. Esse componente é executado como um serviço chamado “Proxy do Azure Arc” e funciona como um proxy de encaminhamento usado pelos agentes e pelas extensões do Azure Arc. Não é necessária configuração da sua parte para o proxy do Arc. Esse Proxy faz parte da agência principal do Arc e é executado no contexto de um recurso habilitado para Arc.
Quando o gateway está em vigor, o tráfego flui pelos seguintes saltos: Agente do Arc → Proxy do Arc → Proxy corporativo → Gateway do Arc → Serviço de destino
Limitações atuais
O objeto de gateway do Arc tem limites que você deve considerar ao planejar a instalação. Essas limitações se aplicam apenas à visualização pública. Elas poderão não se aplicar quando o recurso de gateway do Arc estiver em disponibilidade geral.
- Não há suporte para Proxies de terminação TLS (Visualização Pública)
- Não há suporte para VPN ExpressRoute/Site a Site ou pontos de extremidade privados usados com o gateway do Arc (Visualização Pública)
- Há um limite de cinco (5) recursos de gateway do Arc (Visualização Pública) por assinatura do Azure.
Permissões necessárias
Para criar recursos de gateway do Arc e gerenciar sua associação com servidores habilitados para Arc, as seguintes permissões são necessárias:
- Microsoft.HybridCompute/settings/write
- Microsoft.hybridcompute/gateways/read
- Microsoft.hybridcompute/gateways/write
Como usar o gateway do Arc (Visualização Pública)
Existem quatro etapas para usar o gateway do Arc:
- Crie um recurso de gateway do Arc.
- Verifique se as URLs necessárias são permitidas no seu ambiente.
- Integre recursos do Azure Arc com seu recurso de gateway do Arc ou configure os recursos do Azure Arc existentes para usar o gateway do Arc.
- Verifique se a configuração foi bem-sucedida.
Etapa 1: Criar um recurso de gateway do Arc
Você pode criar um recurso de gateway do Arc usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.
Por meio de um navegador, entre no portal do Azure.
Navegue até a página Azure Arc | Gateway do Azure Arc e selecione Criar.
Selecione a assinatura e o grupo de recursos no qual você deseja que o recurso de gateway do Arc seja gerenciado no Azure. Um recurso de gateway do Arc pode ser usado por qualquer recurso habilitado para Arc no mesmo locatário do Azure.
Para Nome, insira o nome do recurso de gateway do Arc.
Para Localização, insira a região onde o recurso de gateway do Arc deve residir. Um recurso de gateway do Arc pode ser usado por qualquer Recurso habilitado para Arc no mesmo locatário do Azure.
Selecione Avançar.
Na página Rótulos, especifique um ou mais rótulos personalizados para atender aos seus padrões.
Selecione Examinar e Criar.
Revise os detalhes de entrada e selecione Criar.
O processo de criação do gateway leva de 9 a 10 minutos para ser concluído.
Etapa 2: Verificar se as URLs necessárias estão permitidas no seu ambiente
Quando o recurso é criado, a resposta de êxito inclui a URL do gateway do Arc. Certifique-se de que a URL do seu gateway do Arc e todas as URLs na tabela a seguir estão permitidas no ambiente onde seus recursos do Arc estão. As URLs necessárias são:
| URL | Finalidade |
|---|---|
| [Prefixo de URL].gw.arc.azure.com | A URL do gateway (essa URL pode ser obtida com a execução de az arcgateway list após a criação do recurso de gateway) |
| management.azure.com | Ponto de extremidade do Azure Resource Manager, necessário para o canal de controle do Azure Resource Manager |
| login.microsoftonline.com | Ponto de extremidade do Microsoft Entra ID, para a aquisição de tokens de acesso de identidade |
| gbl.his.arc.azure.com | O ponto de extremidade do serviço de nuvem para se comunicar com agentes do Azure Arc |
| <região>.his.arc.azure.com | Usado para o canal de controle principal do Arc |
| packages.microsoft.com | Obrigatório para adquirir o conteúdo do agente do Arc baseado em Linux, necessário apenas para conectar servidores Linux ao Arc |
Etapa 3a: Integrar recursos do Azure Arc com seu recurso de gateway do Arc.
Gere o script de instalação.
Siga as instruções descritas em Início Rápido: Conectar computadores híbridos aos servidores habilitados para Azure Arc para criar um script que automatiza o download e a instalação do Azure Connected Machine Agent e estabelece a conexão com o Azure Arc.
Importante
Ao gerar o script de integração, selecione Servidor Proxy em Método de Conectividade para revelar a lista suspensa para o Recurso do Gateway.
Execute o script de instalação para integrar seus servidores ao Azure Arc.
No script, a ID do ARM do recurso de gateway do Arc é mostrado como
--gateway-id.
Etapa 3b: Configurar os recursos do Azure Arc existentes para usar o gateway do Arc
Você pode configurar os recursos do Azure Arc existentes para usar o gateway do Arc usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.
No portal do Azure, acesse a página Azure Arc - Gateway do Azure Arc.
Selecione o Recurso de gateway do Arc para associar ao seu servidor habilitado para Arc.
Acesse a página Recursos Associados para o seu recurso de gateway.
Selecione Adicionar.
Selecione o recurso habilitado para Arc para associar ao seu recurso de gateway do Arc.
Escolha Aplicar.
Atualize seu servidor habilitado para Arc para usar o gateway do Arc executando
azcmagent config set connection.type gateway.
Etapa 4: Verificar se a configuração foi bem-sucedida
No servidor integrado, execute o seguinte comando: azcmagent show. O resultado indicará os seguintes valores:
- O Status do Agente mostrará Conectado.
- Usando o Proxy HTTPS deve ser mostrado como http://localhost:40343.
- Proxy Upstream deve ser mostrado como o seu proxy corporativo (se você definir um). A URL do Gateway deve refletir a URL do recurso do seu gateway.
Além disso, para verificar a configuração bem-sucedida, você pode executar o seguinte comando: azcmagent check. O resultado indicará que o connection.type está definido como gateway e a coluna Acessível indicará true para todas as URLs.
Associe um computador a um novo gateway do Arc
Para associar um computador a um novo gateway do Arc:
No portal do Azure, acesse a página Azure Arc - Gateway do Azure Arc.
Selecione o novo recurso de gateway do Arc para associar ao computador.
Acesse a página Recursos Associados para o seu recurso de gateway.
Selecione Adicionar.
Selecione o computador habilitado para Arc para associar ao novo recurso de gateway do Arc.
Escolha Aplicar.
Atualize seu servidor habilitado para Arc para usar o gateway do Arc executando
azcmagent config set connection.type gateway.
Remover a associação do gateway do Arc (para usar a rota direta em vez disso)
Defina o tipo de conexão do Servidor habilitado para Arc como "direto" em vez de "gateway" executando o seguinte comando:
azcmagent config set connection.type directObservação
Se você seguir essa etapa, todos os requisitos de rede do Azure Arc deverão ser atendidos no seu ambiente para continuar aproveitando o Azure Arc.
Desanexar o recurso de gateway do Arc do computador:
No portal do Azure, acesse a página Azure Arc - Gateway do Azure Arc.
Selecione o recurso de gateway do Arc.
Acesse a página Recursos Associados para o recurso do seu gateway e selecione o servidor.
Selecione Remover.
Excluir um recurso de gateway do Arc
Observação
Essa operação pode levar de 4 a 5 minutos para ser concluída.
No portal do Azure, acesse a página Azure Arc - Gateway do Azure Arc.
Selecione o recurso de gateway do Arc.
Selecione Excluir.
Solução de problemas
Você pode auditar o tráfego do seu gateway do Arc exibindo os logs do proxy do Azure Arc.
Para exibir os logs do proxy do Arc no Windows:
- Execute
azcmagent logsno PowerShell. - No arquivo .zip resultante, os logs estarão localizados na pasta
C:\ProgramData\Microsoft\ArcProxy.
Para exibir os logs do proxy do Arc no Linux:
- Execute
sudo azcmagent logse compartilhe o arquivo resultante. - No arquivo de log resultante, os logs estarão localizados na pasta
/usr/local/arcproxy/logs/.
Cenários adicionais
Durante a Visualização Pública, o gateway do Arc abordará os pontos de extremidade necessários para a integração de um servidor, bem como uma parte dos pontos de extremidade necessários para cenários adicionais habilitados para Arc. Com base nos cenários que você adotar, pontos de extremidade adicionais deverão ser permitidos no seu proxy.
Cenários que não exigem pontos de extremidade adicionais
- Windows Admin Center
- SSH
- Atualizações de segurança estendidas
- Microsoft Defender
- Extensão do Azure para SQL Server
Cenários que exigem pontos de extremidade adicionais
Os pontos de extremidade listados com os seguintes cenários devem ser permitidos no seu proxy corporativo ao usar o gateway do Arc:
Serviços de dados habilitados para Azure Arc
*.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Agente do Azure Monitor
<log-analytics-workspace-id>.ods.opinsights.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com
Sincronização do certificado do Azure Key Vault
- <vault-name>.vault.azure.net
Extensão do Hybrid Runbook Worker do Automação do Azure
- *.azure-automation.net
Extensão de Atualização do SO Windows / Gerenciador de Atualizações do Azure
- O seu ambiente deve atender a todos os pré-requisitos para o Windows Update
Problemas conhecidos
A seguir está uma descrição dos problemas atualmente conhecidos para o gateway do Arc.
Atualização necessária após a integração do Azure Connected Machine Agent
Ao usar o script de integração (ou o comando azcmagent connect) para integrar um servidor com a ID do recurso do gateway especificado, o recurso usará o gateway do Arc com sucesso. No entanto, devido a um bug conhecido (com uma correção atualmente em andamento), o servidor habilitado para Arc não será exibido como um Recurso Associado no portal do Azure, a menos que as configurações do recurso sejam atualizadas. Use o seguinte procedimento para realizar esta atualização:
No portal do Azure, navegue até a página Azure Arc | Gateway do Arc.
Selecione o recurso de gateway do Arc para associar ao seu servidor habilitado para Arc.
Navegue até a página Recursos Associados para o seu recurso de gateway.
Selecione Adicionar.
Selecione o recurso habilitado para Arc para associar ao seu recurso de gateway do Arc e selecione Aplicar.
Atualização do proxy do Arc necessária após desanexar um recurso de gateway do computador
Ao desanexar um recurso de gateway do Arc de um computador, você deve atualizar o proxy do Arc para limpar a configuração do gateway do Arc. Para fazer isso, execute o seguinte procedimento:
Pare o proxy do Arc.
- Windows:
Stop-Service arcproxy - Linux:
sudo systemctl stop arcproxyd
- Windows:
Exclua o arquivo
cloudconfig.json.- Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
- Linux: "/var/opt/azcmagent/cloudconfig.json"
Inicie o proxy do Arc.
- Windows:
Start-Service arcproxy - Linux:
sudo systemctl start arcproxyd
- Windows:
Reinicie o HIMDS (opcional, mas recomendado).
- Windows:
Restart-Service himds - Linux:
sudo systemctl restart himdsd
- Windows:
Atualização necessária para computadores reabilitados sem gateway
Se um computador habilitado para Arc com um gateway do Arc for excluído do Azure Arc e reabilitado sem um gateway do Arc, uma atualização será necessária para atualizar seu status no portal do Azure.
Importante
Esse problema ocorre apenas quando o recurso é reabilitado com a mesmo ID do ARM da habilitação inicial.
Nesse cenário, o computador será exibido incorretamente no portal do Azure como um recurso associado ao gateway do Arc. Para evitar isso, se você pretende habilitar um computador para Arc sem um gateway do Arc que foi previamente habilitado para Arc com um gateway do Arc, você deve atualizar a associação do gateway do Arc após a integração. Para fazer isso, use o procedimento a seguir:
No portal do Azure, navegue até a página Azure Arc | Gateway do Arc.
Selecione o recurso de gateway do Arc.
Navegue até a página Recursos Associados para o seu recurso de gateway.
Selecione o servidor e, em seguida, selecione Remover.
Associação de gateway manual necessária após a exclusão
Se um gateway do Arc for excluído enquanto um computador ainda estiver conectado a ele, o portal do Azure deverá ser usado para associar o computador a quaisquer outros recursos de gateway do Arc.
Para evitar esse problema, desanexe todos os recursos habilitados para Arc de um gateway do Arc antes de excluir o recurso de gateway. Se você encontrar este erro, use o portal do Azure para associar o computador a um novo recurso de gateway do Arc.