Topologia e conectividade de rede para servidores habilitados para Azure Arc

Artigo
10/15/2024

Você pode usar servidores habilitados para Azure Arc para gerenciar seus servidores físicos e máquinas virtuais do Windows e Linux por meio do painel de controle do Azure. Este artigo descreve as principais considerações de design e práticas recomendadas para conectividade de servidores habilitados para Azure Arc como parte das diretrizes de zona de destino em escala empresarial do Cloud Adoption Framework. Essas diretrizes são para servidores físicos e máquinas virtuais que você hospeda em seu ambiente local ou por meio de um provedor de nuvem parceiro.

Este artigo pressupõe que você implementou com êxito uma zona de destino de escala empresarial e estabeleceu conexões de rede híbrida. As diretrizes se concentram na conectividade do agente de máquina conectado para servidores habilitados para Azure Arc. Para obter mais informações, consulte Visão geral das zonas de destino de escala empresarial e Implementar zonas de destino de escala empresarial.

Arquitetura

O diagrama a seguir mostra uma arquitetura de referência conceitual para a conectividade de servidores habilitados para Azure Arc.

Considerações sobre o design

Considere as seguintes considerações de design de rede para servidores habilitados para o Azure Arc.

Defina o método de conectividade do agente: revise sua infraestrutura existente e os requisitos de segurança. Decida como o agente do computador conectado deve se comunicar com o Azure de sua rede local ou outro provedor de nuvem. Essa conexão pode ser diretamente pela Internet, por meio de um servidor proxy ou você pode implementar o Link Privado do Azure para uma conexão privada.
Gerenciar o acesso às marcas de serviço do Azure: crie um processo automatizado para manter as regras de rede de firewall e proxy atualizadas de acordo com os requisitos de rede do agente da máquina conectada.
Proteja sua conectividade de rede com o Azure Arc: configure o sistema operacional da máquina para usar o TLS (Protocolo TLS) versão 1.2. Não recomendamos versões mais antigas devido a vulnerabilidades conhecidas.
Defina um método de conectividade de extensões: verifique se as extensões do Azure implantadas em um servidor habilitado para Azure Arc podem se comunicar com outros serviços do Azure. Você pode fornecer essa conectividade diretamente por meio de redes públicas, um firewall ou um servidor proxy. Você deve configurar pontos de extremidade privados para o agente do Azure Arc. Se o design exigir conectividade privada, você precisará executar etapas extras para habilitar a conectividade de ponto de extremidade privado para cada serviço que as extensões acessam. Além disso, considere o uso de circuitos compartilhados ou dedicados dependendo de seus requisitos de custo, disponibilidade e largura de banda.
Examine sua arquitetura geral de conectividade: examine a topologia de rede e a área de design de conectividade para avaliar como os servidores habilitados para o Azure Arc afetam sua conectividade geral.

Recomendações de design

Considere as seguintes recomendações de projeto de rede para servidores habilitados para o Azure Arc.

Definir um método de conectividade do agente do Azure Arc

Você pode usar servidores habilitados para o Azure Arc para conectar computadores híbridos por meio de:

Uma conexão direta, opcionalmente por trás de um firewall ou de um servidor proxy.
Link Privado.

Conexão direta

Os servidores habilitados para Azure Arc podem fornecer conectividade direta aos pontos de extremidade públicos do Azure. Quando você usa esse método de conectividade, todos os agentes de máquina usam um ponto de extremidade público para abrir uma conexão com o Azure pela Internet. O agente da máquina conectada para Linux e Windows se comunica com segurança com o Azure por meio do protocolo HTTPS (TCP/443).

Ao usar o método de conexão direta, avalie seu acesso à Internet para o agente da máquina conectado. Recomendamos que você configure as regras de rede necessárias..

Servidor proxy ou conexão de firewall

Se sua máquina usa um firewall ou um servidor proxy para se comunicar pela Internet, o agente se conecta na saída por meio do protocolo HTTPS.

Se você usar um firewall ou um servidor proxy para restringir a conectividade de saída, certifique-se de permitir os intervalos de IP de acordo com os requisitos de rede do agente da máquina conectada. Quando você permitir apenas os intervalos de IP ou nomes de domínio necessários para o agente se comunicar com o serviço, use marcas de serviço e URLs para configurar seu firewall ou servidor proxy.

Se você implantar extensões em seus servidores habilitados para o Azure Arc, cada extensão se conectará ao seu próprio ponto de extremidade ou pontos de extremidade, e você também deverá permitir todas as URLs correspondentes no firewall ou proxy. Adicione esses pontos de extremidade para garantir o tráfego de rede granular e seguro e atender ao princípio do menor privilégio.

Link privado

Para garantir que todo o tráfego dos agentes do Azure Arc permaneça na rede, use um servidor habilitado para Azure Arc com o Escopo de Link Privado do Azure Arc. Essa configuração fornece vantagens de segurança. O tráfego não atravessa a Internet e você não precisa abrir tantas exceções de saída no firewall do datacenter. Mas o Link Privado impõe uma série de desafios de gerenciamento e aumenta a complexidade e o custo gerais, especialmente para organizações globais. Considere o seguinte trecho de C#:

O Escopo do Link Privado do Azure Arc abrange todos os clientes do Azure Arc no mesmo escopo do DNS (Sistema de Nomes de Domínio). Você não pode ter alguns clientes do Azure Arc que usam pontos de extremidade privados e alguns que usam pontos de extremidade públicos quando compartilham um servidor DNS. Mas você pode implementar soluções alternativas como políticas de DNS.
Seus clientes do Azure Arc podem ter todos os pontos de extremidade privados em uma região primária. Caso contrário, você precisará configurar o DNS para que os mesmos nomes de ponto de extremidade privado sejam resolvidos para endereços IP diferentes. Por exemplo, você pode usar partições DNS replicadas seletivamente para DNS integrado ao Windows Server Active Directory. Se você usar os mesmos pontos de extremidade privados para todos os seus clientes do Azure Arc, deverá ter a capacidade de rotear o tráfego de todas as suas redes para os pontos de extremidade privados.
Você deve executar etapas adicionais para usar pontos de extremidade privados para todos os serviços do Azure que são acessados por componentes de software de extensão implantados por meio do Azure Arc. Esses serviços incluem workspaces do Log Analytics, contas de Automação do Azure, Azure Key Vault e Armazenamento do Azure.
A conectividade com a ID do Microsoft Entra usa pontos de extremidade públicos, portanto, os clientes exigem algum acesso à Internet.
Se você usar o Azure ExpressRoute para conectividade privada, considere examinar as práticas recomendadas de resiliência para circuitos, gateways, conexões e ExpressRoute Direct.

Devido a esses desafios, recomendamos que você avalie se precisa de Link Privado para sua implementação do Azure Arc. Os pontos de extremidade públicos criptografam o tráfego. Dependendo de como você usa o Azure Arc para servidores, você pode limitar o tráfego ao gerenciamento e ao tráfego de metadados. Para resolver questões de segurança, implemente controles de segurança do agente local.

Para obter mais informações, consulte Segurança do Link Privado e consulte as restrições e limitações associadas ao suporte ao Link Privado para o Azure Arc.

Gerenciar acesso às marcas de serviço do Azure

Recomendamos que você implemente um processo automatizado para atualizar as regras de rede de firewall e proxy de acordo com os requisitos de rede do Azure Arc.

Próximas etapas

Para obter mais orientações para sua jornada de adoção da nuvem híbrida, consulte os seguintes recursos:

Compartilhar via