Topologia e conectividade de rede para servidores habilitados para Azure Arc

Você pode usar servidores habilitados para Azure Arc para gerenciar seus servidores físicos e máquinas virtuais do Windows e Linux por meio do painel de controle do Azure. Este artigo descreve as principais considerações de design e as práticas recomendadas para a conectividade de servidores habilitados para o Azure Arc como parte das diretrizes de zona de destino de escala empresarial da Cloud Adoption Framework do Azure. Essas diretrizes são para servidores físicos e máquinas virtuais que você hospeda em seu ambiente local ou por meio de um provedor de nuvem parceiro.

Este artigo pressupõe que você implementou com êxito uma zona de destino de escala empresarial e estabeleceu conexões de rede híbrida. As diretrizes se concentram na conectividade do agente de máquina conectado para servidores habilitados para Azure Arc. Para obter mais informações, consulte Visão geral das zonas de destino de escala empresarial e Implementar zonas de destino de escala empresarial.

Arquitetura

O diagrama a seguir mostra uma arquitetura de referência conceitual para a conectividade de servidores habilitados para Azure Arc.

Considerações sobre o design

Considere as seguintes considerações de design de rede para servidores habilitados para o Azure Arc.

• Gerenciar o acesso às marcas de serviço do Azure: crie um processo automatizado para manter as regras de rede de firewall e proxy atualizadas de acordo com os requisitos de rede do agente da máquina conectada.
• Proteja sua conectividade de rede com o Azure Arc: configure o sistema operacional da máquina para usar o TLS (Protocolo TLS) versão 1.2. Não recomendamos versões mais antigas devido a vulnerabilidades conhecidas.
• Defina um método de conectividade de extensões: verifique se as extensões do Azure implantadas em um servidor habilitado para Azure Arc podem se comunicar com outros serviços do Azure. Você pode fornecer essa conectividade diretamente por meio de redes públicas, um firewall ou um servidor proxy. Você deve configurar pontos de extremidade privados para o agente do Azure Arc. Se o design exigir conectividade privada, você precisará executar etapas extras para habilitar a conectividade de ponto de extremidade privado para cada serviço que as extensões acessam. Além disso, considere o uso de circuitos compartilhados ou dedicados dependendo de seus requisitos de custo, disponibilidade e largura de banda.
• Examine sua arquitetura geral de conectividade: examine a topologia de rede e a área de design de conectividade para avaliar como os servidores habilitados para o Azure Arc afetam sua conectividade geral.

Recomendações de design

Considere as seguintes recomendações de projeto de rede para servidores habilitados para o Azure Arc.

Definir um método de conectividade do agente do Azure Arc

Primeiro examine seus requisitos de infraestrutura e segurança existentes. Em seguida, decida como o agente do computador conectado deve se comunicar com o Azure de sua rede local ou de outro provedor de nuvem. Essa conexão pode ocorrer pela Internet, por meio de um servidor proxy ou através de Azure Private Link para uma conexão privada. Se você implementar o Azure Arc pela Internet com ou sem um proxy, também poderá usar um recurso atualmente em versão prévia pública chamado gateway do Azure Arc. Esse recurso ajuda a reduzir o número geral de pontos de extremidade aos quais o proxy precisa permitir o acesso.

Conexão direta

Os servidores habilitados para Azure Arc podem fornecer conectividade direta aos pontos de extremidade públicos do Azure. Quando você usa esse método de conectividade, todos os agentes de máquina usam um ponto de extremidade público para abrir uma conexão com o Azure pela Internet. O agente da máquina conectada para Linux e Windows se comunica com segurança com o Azure por meio do protocolo HTTPS (TCP/443).

Ao usar o método de conexão direta, avalie seu acesso à Internet para o agente da máquina conectado. Recomendamos que você configure as regras de rede necessárias..

Servidor proxy ou conexão de firewall

Se sua máquina usa um firewall ou um servidor proxy para se comunicar pela Internet, o agente se conecta na saída por meio do protocolo HTTPS.

Se você usar um firewall ou um servidor proxy para restringir a conectividade de saída, certifique-se de permitir os intervalos de IP de acordo com os requisitos de rede do agente da máquina conectada. Quando você permitir apenas os intervalos de IP ou nomes de domínio necessários para o agente se comunicar com o serviço, use marcas de serviço e URLs para configurar seu firewall ou servidor proxy.

Se você implantar extensões em seus servidores habilitados para o Azure Arc, cada extensão se conectará ao seu próprio ponto de extremidade ou pontos de extremidade, e você também deverá permitir todas as URLs correspondentes no firewall ou proxy. Adicione esses pontos de extremidade para garantir o tráfego de rede granular e seguro e atender ao princípio do menor privilégio.

Para reduzir o número total de URLs necessárias no firewall ou proxy, determine se o serviço de gateway do Azure Arc seria benéfico.

Gateway do Azure Arc

O gateway do Azure Arc (visualização pública) reduz o número total de pontos de extremidade HTTPS de saída necessários para que o Azure Arc funcione. Ele elimina a necessidade da maioria dos pontos de extremidade curinga e reduz o número total de pontos de extremidade necessários para apenas oito. Ele pode funcionar com alguns pontos de extremidade de extensão, portanto, você não precisa criar mais exclusões de URL em seu proxy.

No momento, o serviço de gateway do Azure Arc não funciona com o Link Privado ou com o emparelhamento do Azure ExpressRoute porque você deve acessar o serviço de gateway do Azure Arc pela Internet.

Link privado

Para garantir que todo o tráfego de seus agentes do Azure Arc permaneça em sua rede, use um servidor habilitado para Azure Arc que tenha o Escopo de Link Privado do Azure Arc. Essa configuração fornece vantagens de segurança. O tráfego não atravessa a Internet e você não precisa abrir tantas exceções de saída no firewall do datacenter. Mas o Link Privado impõe muitos desafios de gerenciamento e aumenta a complexidade e o custo gerais, especialmente para organizações globais. Considere o seguinte trecho de C#:

• O Escopo do Link Privado do Azure Arc abrange todos os clientes do Azure Arc no mesmo escopo do DNS (Sistema de Nomes de Domínio). Você não pode ter alguns clientes do Azure Arc que usam pontos de extremidade privados e alguns que usam pontos de extremidade públicos quando compartilham um servidor DNS. Mas você pode implementar soluções alternativas como políticas de DNS.

• Seus clientes do Azure Arc podem ter todos os pontos de extremidade privados em uma região primária. Caso contrário, você precisará configurar o DNS para que os mesmos nomes de ponto de extremidade privado sejam resolvidos para endereços IP diferentes. Por exemplo, você pode usar partições DNS replicadas seletivamente para DNS integrado ao Windows Server Active Directory. Se você usar os mesmos pontos de extremidade privados para todos os seus clientes do Azure Arc, deverá ter a capacidade de rotear o tráfego de todas as suas redes para os pontos de extremidade privados.

• Para usar pontos de extremidade privados para quaisquer serviços do Azure acessados por componentes de software da extensão que você implanta por meio do Azure Arc, você deve executar etapas extras. Esses serviços incluem espaços de trabalho do Log Analytics, contas de Automação do Azure, Cofre de Chaves do Azure e Armazenamento do Azure.

• A conectividade com a ID do Microsoft Entra usa pontos de extremidade públicos, portanto, os clientes exigem algum acesso à Internet.

• Se você usar o ExpressRoute para conectividade privada, considere revisar as práticas recomendadas de resiliência para circuitos , gateways , conexões e ExpressRoute Direct .

Devido a esses desafios, recomendamos que você avalie se precisa de Link Privado para sua implementação do Azure Arc. Os pontos de extremidade públicos criptografam o tráfego. Dependendo de como você usa o Azure Arc para servidores, você pode limitar o tráfego ao gerenciamento e ao tráfego de metadados. Para resolver questões de segurança, implemente controles de segurança do agente local.

Para obter mais informações, consulte Segurança do Link Privado e consulte as restrições e limitações associadas ao suporte ao Link Privado para o Azure Arc.

Gerenciar acesso às marcas de serviço do Azure

Recomendamos que você implemente um processo automatizado para atualizar as regras de rede de firewall e proxy de acordo com os requisitos de rede do Azure Arc.

Próximas etapas

Para obter mais informações sobre seu percurso de adoção da nuvem híbrida, consulte os seguintes recursos:

• Cenários do Azure Arc jumpstart
• Pré-requisitos do agente de máquina conectada
• Configuração de rede para o método de conectividade de Link Privado
• Usar Link Privado para conectar servidores ao Azure Arc
• Planejar uma implantação em escala de servidores habilitados para Azure Arc
• Configuração de Link Privado
• Solucionar problemas de conexão do agente da máquina conectada do Azure
• Treinamento: traga a inovação do Azure para seus ambientes híbridos com o Azure Arc