Sobre o gateway do Azure Arc para Azure Local, versão 23H2 (versão prévia)
Aplica-se a: Azure Local, versão 23H2, versão 2408, 2408.1, 2408.2 e 2411
Importante
O Azure Stack HCI agora faz parte do Azure Local. A renomeação da documentação do produto está em andamento. As alterações textuais foram concluídas e as atualizações visuais serão finalizadas em breve. Saiba mais.
Este artigo fornece uma visão geral do gateway do Azure Arc para Azure Local, versão 23H2. O gateway do Arc pode ser habilitado em novas implantações do Azure Local executando a versão de software 2408 e posterior. Este artigo também descreve como criar e excluir o recurso de gateway do Arc no Azure.
Você pode usar o gateway do Arc para reduzir significativamente o número de pontos de extremidade necessários para implantar e gerenciar instâncias locais do Azure. Depois de criar o gateway do Arc, você pode se conectar e usá-lo para novas implantações do Azure Local.
Para obter informações sobre como implantar o gateway do Azure Arc para servidores autônomos (não computadores locais do Azure), consulte Simplificar os requisitos de configuração de rede por meio do gateway do Azure Arc.
Importante
Esse recurso está em VERSÃO PRÉVIA no momento. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Como ele funciona
O gateway Arc funciona introduzindo os seguintes componentes:
Recurso de gateway do Arc – um recurso do Azure que atua como um ponto de entrada comum para o tráfego do Azure. Esse recurso de gateway tem um domínio ou URL específico que você pode usar. Quando você cria o recurso de gateway do Arc, esse domínio ou URL faz parte da resposta de sucesso.
Proxy de arco – Um novo componente que é adicionado ao agente de arco. Esse componente é executado como um serviço (chamado de Proxy do Azure Arc) e funciona como um proxy de encaminhamento para os agentes e extensões do Azure Arc. O roteador de gateway não precisa de nenhuma configuração do seu lado. Esse roteador faz parte da agente principal do Arc e é executado no contexto de um recurso habilitado para Arc.
Depois de integrar o gateway do Arc com a versão 2411 das implantações locais do Azure, cada computador obtém o proxy do Arc junto com outros agentes do Arc.
Quando o gateway Arc é usado, o fluxo de tráfego http e https muda da seguinte maneira:
Fluxo de tráfego para componentes do sistema operacional do host local do Azure
As configurações de proxy do sistema operacional são usadas para rotear todo o tráfego de host HTTPS por meio do proxy Arc.
Do proxy Arc, o tráfego é encaminhado para o gateway Arc.
Com base na configuração no gateway Arc, se permitido, o tráfego é enviado para os serviços de destino. Se não for permitido, o proxy Arc redirecionará esse tráfego para o proxy corporativo (ou saída direta, se não houver proxy definido). O proxy do Arc determina automaticamente o caminho certo para o endpoint.
Fluxo de tráfego para ARB (Arc Resource Bridge) do dispositivo Arc e plano de controle do AKS
O IP roteável (recurso de IP clusterizado de failover a partir de agora) é usado para encaminhar o tráfego por meio do proxy do Arc em execução nos computadores host locais do Azure.
O proxy de encaminhamento ARB e AKS está configurado para usar o IP roteável.
Com as configurações de proxy em vigor, o tráfego de saída do ARB e do AKS é encaminhado para o Proxy do Arc em execução em um dos computadores locais do Azure pelo IP roteável.
Quando o tráfego atinge o proxy Arc, o fluxo restante segue o mesmo caminho descrito. Se o tráfego para o serviço de destino for permitido, ele será enviado para o gateway do Arc. Caso contrário, ele será enviado para o proxy corporativo (ou saída direta, se não houver proxy definido). Observe que, especificamente para o AKS, esse caminho é usado para baixar imagens do docker para Arc Agentry e Arc Extension Pods.
Fluxo de tráfego para VMs do Arc
O tráfego http e https é encaminhado para o proxy corporativo. O proxy do Arc dentro da VM do Arc ainda não é compatível com esta versão.
Os fluxos de tráfego são ilustrados no diagrama a seguir:
Cenários com e sem suporte
Você pode usar o gateway do Arc no seguinte cenário para as versões 2408 e 2411 do Azure Local:
- Habilite o gateway do Arc durante a implantação de novas instâncias locais do Azure que executam as versões 2408 e 2411.
Cenários sem suporte para Azure Local, versões 2408 e 2411 incluem:
As instâncias locais do Azure atualizadas das versões 2402 ou 2405 para as versões 2408 ou 2411 não podem aproveitar todos os novos pontos de extremidade compatíveis com esta versão prévia do gateway do Arc. Componentes de host, extensões do Arc, ARB e pontos de extremidade necessários do AKS só têm suporte ao habilitar o gateway do Arc como parte de uma nova implantação da versão 2408.
Habilitar o gateway do Arc após a implantação da versão 2408 ou 2411 não pode aproveitar todos os novos pontos de extremidade compatíveis com essa versão prévia do gateway do Arc. Os pontos de extremidade necessários do host, das extensões do Arc, do ARB e do AKS só têm suporte ao habilitar o gateway do Arc como parte de uma nova implantação da versão 2408 ou versão 2411.
Pontos de extremidade locais do Azure não redirecionados
Como parte da atualização da versão prévia 2408 do Azure Local, os pontos de extremidade da tabela são necessários e devem ser permitidos em seu proxy ou firewall para implantar a instância local do Azure. Esses endpoints da versão 2408 e 2411 não são redirecionados por meio do gateway do Arc:
| Extremidade # | Ponto de extremidade necessário | Componente |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Verificador de ambiente |
| 2 | http://www.powershellgallery.com:443 |
Verificador de ambiente |
| 3 | http://psg-prod-eastus.azureedge.net:443 |
Verificador de ambiente |
| 4 | http://onegetcdn.azureedge.net:443 |
Verificador de ambiente |
| 5 | http://login.microsoftonline.com:443 |
Verificador de ambiente |
| 6 | http://aka.ms:443 |
Verificador de ambiente |
| 7 | http://azurestackreleases.download.prss.microsoft.com:443 |
Verificador de ambiente |
| 8 | http://download.microsoft.com:443 |
Verificador de ambiente |
| 9 | http://portal.azure.com:443 |
Verificador de ambiente |
| 10 | http://management.azure.com:443 |
Verificador de ambiente |
| 11 | http://www.office.com:443 |
Verificador de ambiente |
| 12 | http://gbl.his.arc.azure.com:443 |
Agente Arc |
| 13 | http://<region>.his.arc.azure.com:443 |
Agente Arc |
| 14 | http://dc.services.visualstudio.com:443 |
Agente Arc |
| 15 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Gateway de arco |
| 16 | http://<yourkeyvaultname>.vault.azure.net:443 |
Cofre de Chave do Azure |
| 17 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Conta de Armazenamento de Testemunha de Nuvem |
| 18 | http://files.pythonhosted.org:443 |
Nuvem local/ARB/AKS da Microsoft |
| 19 | http://pypi.org:443 |
Nuvem local/ARB/AKS da Microsoft |
| 20 | http://raw.githubusercontent.com:443 |
Nuvem local/ARB/AKS da Microsoft |
| 21 | http://pythonhosted.org:443 |
Nuvem local/ARB/AKS da Microsoft |
| 22 | http://hciarcvmsstorage.z13.web.core.windows.net:443 |
Nuvem local/ARB/AKS da Microsoft |
| 23 | http://ocsp.digicert.com |
Lista de Revogação de Certificado para extensões do Arc |
| 24 | http://s.symcd.com |
Lista de Revogação de Certificado para extensões do Arc |
| 25 | http://ts-ocsp.ws.symantec.com |
Lista de Revogação de Certificado para extensões do Arc |
| 26 | http://ocsp.globalsign.com |
Lista de Revogação de Certificado para extensões do Arc |
| 27 | http://ocsp2.globalsign.com |
Lista de Revogação de Certificado para extensões do Arc |
| 28 | http://oneocsp.microsoft.com |
Lista de Revogação de Certificado para extensões do Arc |
| 29 | http://dl.delivery.mp.microsoft.com |
Binários do LCM |
| 30 | http://*.tlu.dl.delivery.mp.microsoft.com |
Binários do LCM |
| 31 | http://*.windowsupdate.com |
Windows Update |
| 32 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 33 | http://*.update.microsoft.com |
Windows Update |
Restrições e limitações
Considere as seguintes limitações do gateway Arc nesta versão:
- Não há suporte para proxies de terminação TLS com a visualização do gateway do Arc.
- Não há suporte para o uso do ExpressRoute, VPN Site a Site ou Pontos de Extremidade Privados, além do gateway do Arc (versão prévia).
Criar o recurso de gateway do Arc no Azure
Você pode criar um recurso de gateway do Arc usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.
- Entre no portal do Azure.
- Vá para a página Gateway do Azure Arc > e selecione Criar.
- Selecione a assinatura e o grupo de recursos no qual você deseja que o recurso de gateway do Arc seja gerenciado no Azure. Um recurso de gateway do Arc pode ser usado por qualquer recurso habilitado para Arc no mesmo locatário do Azure.
- Em Nome, insira o nome do recurso de gateway do Arc.
- Em Local, insira a região em que o recurso de gateway do Arc deve residir. Um recurso de gateway do Arc pode ser usado por qualquer recurso habilitado para Arc no mesmo locatário do Azure.
- Selecione Avançar.
- Na página Rótulos, especifique um ou mais rótulos personalizados para atender aos seus padrões.
- Selecione Examinar e Criar.
- Examine seus detalhes e selecione Criar.
O processo de criação do gateway leva de nove a dez minutos para ser concluído.
Desanexar ou alterar a associação do gateway Arc da máquina
Para desanexar o recurso de gateway do servidor habilitado para Arc, defina a ID do recurso de gateway como null. Se você quiser anexar seu servidor habilitado para Arc a outro recurso de gateway do Arc, basta atualizar o nome e a ID do recurso com as novas informações do gateway do Arc:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
Excluir o recurso de gateway do Arc
Antes de excluir um recurso de gateway do Arc, verifique se nenhuma máquina está conectada. Para excluir o recurso de gateway, execute o seguinte comando:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Essa operação pode levar alguns minutos.