Simplificar os requisitos de configuração de rede com o Gateway do Azure Arc (versão prévia)
Se você usar proxies corporativos para gerenciar o tráfego de saída, o gateway do Azure Arc poderá ajudar a simplificar o processo de habilitação da conectividade.
O gateway do Azure Arc (atualmente em versão prévia) permite:
- Conecte-se ao Azure Arc abrindo acesso à rede pública para apenas sete FQDNs (nomes de domínio totalmente qualificados).
- Exiba e audite todo o tráfego que os agentes do Arc enviam para o Azure por meio do gateway do Arc.
Importante
No momento, o gateway do Azure Arc está em versão prévia.
Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Como funciona o gateway do Azure Arc
O gateway Arc funciona introduzindo dois novos componentes:
- O recurso de gateway do Arc é um recurso do Azure que serve como um front-end comum para o tráfego do Azure. O recurso de gateway é servido em um domínio/URL específico. Você deve criar esse recurso seguindo as etapas descritas neste artigo. Depois de criar com sucesso o recurso de gateway, esse domínio/URL será incluído na resposta de sucesso.
- O Proxy do Arc é um novo componente que é executado como seu próprio pod (chamado Proxy do Azure Arc). Esse componente atua como um proxy de encaminhamento usado por agentes e extensões do Azure Arc. Não há nenhuma configuração necessária de sua parte para o Proxy do Azure Arc.
Para obter mais informações, consulte como funciona o gateway do Azure Arc.
Importante
O Azure Local e o AKS não dão suporte a proxies de terminação TLS, VPN ExpressRoute/site a site ou pontos de extremidade privados. Além disso, há um limite de cinco recursos de gateway do Arc por assinatura do Azure.
Antes de começar
Certifique-se de concluir os pré-requisitos para criar clusters do AKS no Azure Local.
Este artigo requer a versão 1.4.23 ou posterior da CLI do Azure. Se você usar o Azure CloudShell, a versão mais recente já estará instalada.
As seguintes permissões do Azure são necessárias para criar recursos de gateway do Arc e gerenciar sua associação com clusters do AKS Arc:
Microsoft.Kubernetes/connectedClusters/settings/default/write
Microsoft.hybridcompute/gateways/read
Microsoft.hybridcompute/gateways/write
Você pode criar um recurso de gateway do Arc usando a CLI do Azure ou o portal do Azure. Para obter mais informações sobre como criar um recurso de gateway do Arc para os clusters do AKS e o Azure Local, consulte criar o recurso de gateway do Arc no Azure. Ao criar o recurso de gateway do Arc, obtenha a ID do recurso de gateway executando o seguinte comando:
$gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
Confirmar o acesso aos URLs necessários
Verifique se a URL do gateway do Arc e todas as URLs abaixo são permitidas pelo firewall corporativo:
URL | Finalidade |
---|---|
[Your URL prefix].gw.arc.azure.com |
Seu URL de gateway. Você pode obter essa URL executando az arcgateway list depois de criar o recurso. |
management.azure.com |
Ponto de extremidade do Azure Resource Manager, necessário para o canal de controle do Azure Resource Manager. |
<region>.obo.arc.azure.com |
Obrigatório quando az connectedk8s proxy é usado. |
login.microsoftonline.com , <region>.login.microsoft.com |
Ponto de extremidade do Microsoft Entra ID, para a aquisição de tokens de acesso de identidade |
gbl.his.arc.azure.com , <region>.his.arc.azure.com |
O ponto de extremidade do serviço de nuvem para se comunicar com os Agentes do Arc. Usa nomes curtos; por exemplo, eus para o Leste dos EUA. |
mcr.microsoft.com , *.data.mcr.microsoft.com |
Necessário para efetuar pull de imagens de contêiner para agentes do Azure Arc. |
Criar um cluster do AKS Arc com o gateway do Arc habilitado
Execute o seguinte comando para criar um cluster do AKS Arc com o gateway do Arc habilitado:
az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys
Atualizar um cluster do AKS Arc e habilitar o gateway do Arc
Execute o seguinte comando para atualizar um cluster do AKS Arc e habilitar o gateway do Arc:
az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId
Desabilitar o gateway do Arc em um cluster do AKS Arc
Execute o seguinte comando para desabilitar um cluster do AKS Arc:
az aksarc update -n $clusterName -g $resourceGroup --disable-gateway
Monitorar tráfego
Para auditar o tráfego do gateway, visualize os logs do roteador do gateway:
- Execute
kubectl get pods -n azure-arc
. - Identifique o pod do Proxy do Arc (seu nome começará com
arc-proxy-
). - Execute
kubectl logs -n azure-arc <Arc Proxy pod name>
.
Outros cenários
Durante a visualização pública, o gateway do Arc abrange os pontos de extremidade necessários para clusters do AKS Arc e uma parte dos pontos de extremidade necessários para cenários adicionais habilitados para Arc. Com base nos cenários adotados, pontos de extremidade adicionais ainda devem ser permitidos em seu proxy.
Todos os pontos de extremidade listados para os seguintes cenários devem ser permitidos no proxy corporativo quando o gateway do Arc estiver em uso:
- Insights do contêiner no Azure Monitor:
*.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
- Azure Key Vault:
<vault-name>.vault.azure.net
- Azure Policy:
data.policy.core.windows.net
store.policy.core.windows.net
- Microsoft Defender para Contêineres:
*.ods.opinsights.azure.com
*.oms.opinsights.azure.com
- Serviços de dados habilitados para Azure Arc
*.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Próximas etapas
- Implante a extensão para MetalLB para clusters do Kubernetes habilitados para Azure Arc.