Simplifique os requisitos de configuração de rede com o Azure Arc Gateway (visualização)

Se você usar proxies corporativos para gerenciar o tráfego de saída, o gateway do Azure Arc (visualização) pode ajudar a simplificar o processo de habilitação da conectividade.

O gateway do Azure Arc (visualização) permite:

• Conecte-se ao Azure Arc abrindo o acesso à rede pública para apenas sete FQDNs (nomes de domínio totalmente qualificados).
• Visualize e audite todo o tráfego que os agentes do Arc enviam para o Azure por meio do gateway do Arc.

Importante

O gateway do Azure Arc está atualmente em visualização.

Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Como funciona o gateway do Azure Arc

O gateway Arc funciona com a introdução de dois novos componentes

O recurso de gateway Arc é um recurso do Azure que serve como um front-end comum para o tráfego do Azure. O recurso de gateway é servido em um domínio/URL específico. Você deve criar este recurso seguindo as etapas descritas neste artigo. Depois de criar com êxito o recurso de gateway, esse domínio/URL é incluído na resposta de êxito.

O Arc Proxy é um novo componente que é executado como seu próprio pod (chamado "Azure Arc Proxy"). Esse componente atua como um proxy de encaminhamento usado por agentes e extensões do Azure Arc. Não há nenhuma configuração necessária de sua parte para o Azure Arc Proxy. A partir da versão 1.21.10 dos agentes Kubernetes habilitados para Arc, esse pod agora faz parte dos agentes Arc principais e é executado dentro do contexto de um cluster Kubernetes habilitado para Arc. 

Quando o gateway está em vigor, o tráfego flui através dos seguintes saltos: Arc Agents → Azure Arc Proxy → Enterprise Proxy → Arc gateway → Target Service.

Limitações atuais

Durante a pré-visualização pública, aplicam-se as seguintes limitações. Considere esses fatores ao planejar sua configuração.

• Os proxies de terminação TLS não são suportados com o gateway Arc.
• Você não pode usar a Rota Expressa/VPN site a site ou pontos de extremidade privados além do gateway Arc.
• Há um limite de cinco recursos do gateway Arc por assinatura do Azure.
• O gateway Arc só pode ser usado para conectividade na nuvem pública do Azure.

Você pode criar um recurso de gateway Arc usando a CLI do Azure ou o Azure PowerShell.

Ao criar o recurso Arc Gateway, você especifica a assinatura e o grupo de recursos no qual o recurso é criado, juntamente com uma região do Azure. No entanto, todos os recursos habilitados para Arc no mesmo locatário podem usar o recurso, independentemente de sua própria assinatura ou região.

Para criar recursos de gateway Arc e gerenciar sua associação com clusters Kubernetes habilitados para Arc, as seguintes permissões são necessárias:

• Microsoft.Kubernetes/connectedClusters/settings/default/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

Criar o recurso Arc gateway

CLI do Azure

1. Em uma máquina com acesso ao Azure, execute o seguinte comando da CLI do Azure:

   az extension add -n arcgateway
   

2. Em seguida, execute o seguinte comando da CLI do Azure para criar seu recurso de gateway Arc, substituindo os espaços reservados pelos valores desejados:

   az arcgateway create --name <gateway's name> --resource-group <resource group> --location <region> --gateway-type public --allowed-features * --subscription <subscription name or id>
   

Azure PowerShell

1. Em uma máquina com acesso ao Azure, execute o seguinte comando do Azure PowerShell para criar seu recurso de gateway Arc, substituindo os espaços reservados pelos valores desejados:

   New-AzArcgateway 
   -name <gateway's name> 
   -resource-group <resource group> 
   -location <region> 
   -subscription <subscription name or id> 
   -gateway-type public  
   -allowed-features *
   

Geralmente, leva cerca de dez minutos para concluir a criação do recurso de gateway Arc.

Confirmar o acesso aos URLs necessários

Depois que o recurso for criado com êxito, a resposta de êxito incluirá a URL do gateway Arc. Certifique-se de que a URL do gateway do Arc e todas as URLs abaixo sejam permitidas no ambiente onde os recursos do Arc vivem.

URL	Propósito
[Your URL prefix].gw.arc.azure.com	O URL do seu gateway. Este URL pode ser obtido executando az arcgateway list depois de criar o recurso.
management.azure.com	Ponto de extremidade do Azure Resource Manager, necessário para o canal de controle ARM.
<region>.obo.arc.azure.com	Necessário quando a conexão de cluster está configurada.
login.microsoftonline.com, <region>.login.microsoft.com	Ponto de extremidade Microsoft Entra ID, usado para adquirir tokens de acesso de identidade.
gbl.his.arc.azure.com, <region>.his.arc.azure.com	O ponto de extremidade do serviço de nuvem para comunicação com Arc Agents. Usa nomes curtos, por exemplo eus , para Leste dos EUA.
mcr.microsoft.com, *.data.mcr.microsoft.com	Necessário para extrair imagens de contêiner para agentes do Azure Arc.

Integre clusters Kubernetes ao Azure Arc com seu recurso de gateway Arc

CLI do Azure

1. Certifique-se de que seu ambiente atenda a todos os pré-requisitos necessários para o Kubernetes habilitado para Azure Arc. Como você está usando o gateway do Azure Arc, não precisa atender ao conjunto completo de requisitos de rede.

2. Na máquina de implantação, defina as variáveis de ambiente necessárias para que a CLI do Azure use o servidor proxy de saída:

   export HTTP_PROXY=<proxy-server-ip-address>:<port> export HTTPS_PROXY=<proxy-server-ip-address>:<port> export NO_PROXY=<cluster-apiserver-ip-address>:<port>

3. No cluster Kubernetes, execute o comando connect com os proxy-https parâmetros e proxy-http especificados. Se o servidor proxy estiver configurado com HTTP e HTTPS, certifique-se de usar --proxy-http para o proxy HTTP e --proxy-https para o proxy HTTPS. Se o servidor proxy usa apenas HTTP, você pode usar esse valor para ambos os parâmetros.

   az connectedk8s connect -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id> --proxy-https <proxy_value> --proxy-http http://<proxy-server-ip-address>:<port> --proxy-skip-range <excludedIP>,<excludedCIDR> --location <region>

   Nota

   Algumas solicitações de rede, como as que envolvem comunicação de serviço a serviço no cluster, devem ser separadas do tráfego roteado pelo servidor proxy para comunicação de saída. O --proxy-skip-range parâmetro pode ser usado para especificar o intervalo CIDR e os pontos de extremidade de forma separada por vírgula, para que a comunicação dos agentes para esses pontos de extremidade não passe pelo proxy de saída. No mínimo, o intervalo CIDR dos serviços no cluster deve ser especificado como valor deste parâmetro. Por exemplo, se kubectl get svc -A retornar uma lista de serviços em que todos os serviços têm ClusterIP valores no intervalo 10.0.0.0/16, o valor a ser especificado é --proxy-skip-range 10.0.0.0/16,kubernetes.default.svc,.svc.cluster.local,.svc.

   --proxy-http, --proxy-httpse --proxy-skip-range são esperados para a maioria dos ambientes de proxy de saída. --proxy-cert só é necessário se você precisar injetar certificados confiáveis esperados por proxy no armazenamento de certificados confiáveis de pods de agente.

   O proxy de saída tem de ser configurado para permitir ligações websocket.

Azure PowerShell

1. Certifique-se de que seu ambiente atenda a todos os pré-requisitos necessários para o Kubernetes habilitado para Azure Arc. Como você está usando o gateway do Azure Arc, não precisa atender ao conjunto completo de requisitos de rede.

2. Conecte seu cluster Kubernetes usando um dos seguintes métodos:

   • Se o cluster não estiver atrás de um servidor proxy de saída, execute o seguinte comando do Azure PowerShell:

   New-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> -Location <region>> –GatewayResourceId <resourceId>

   • Se o cluster estiver atrás de um servidor proxy de saída:

     1. Na máquina de implantação, defina as variáveis de ambiente necessárias para que o Azure PowerShell use o servidor proxy de saída:

        $Env:HTTP_PROXY = "<proxy-server-ip-address>:<port>" $Env:HTTPS_PROXY = "<proxy-server-ip-address>:<port>" $Env:NO_PROXY = "<cluster-apiserver-ip-address>:<port>"

     2. No cluster Kubernetes, execute o comando connect com o parâmetro proxy especificado:

     New-AzConnectedKubernetes -ClusterName <cluster-name> -ResourceGroupName <resource-group> -Location <region> -HttpProxy 'http://<proxy-server-ip-address>:<port>', -HttpsProxy 'https://<proxy-server-ip-address>:<port>' -NoProxy <excludedIP>,<excludedCIDR>

Configurar clusters existentes para usar o gateway Arc

Para atualizar clusters existentes para que eles usem o gateway Arc, execute o seguinte comando:

CLI do Azure

az connectedk8s update -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id>

Para verificar se a atualização foi bem-sucedida, execute o seguinte comando e confirme se a resposta é true:

 az connectedk8s show -g <resource_group> -n <cluster_name> --query 'gateway.enabled' 

Azure PowerShell

$connectedCluster = Get-AzConnectedKubernetes -ClusterName <clustername> -ResourceGroupName <rg> 
Get-AzConnectedKubernetes -InputObject $connectedCluster -GatewayResourceId <resourceId> 

Depois que seus clusters tiverem sido atualizados para usar o gateway Arc, alguns dos pontos de extremidade Arc que eram permitidos anteriormente em seu proxy ou firewalls corporativos não serão mais necessários e poderão ser removidos. Recomendamos aguardar pelo menos uma hora antes de remover quaisquer pontos de extremidade que não sejam mais necessários. Certifique-se de não remover nenhum dos pontos de extremidade necessários para o gateway Arc.

Remover o gateway Arc

Para desabilitar o gateway Arc e remover a associação entre o recurso Arc gateway e o cluster habilitado para Arc, execute o seguinte comando:

CLI do Azure

az connectedk8s update -g <resource_group> -n <cluster_name> --disable-gateway 

Azure PowerShell

Get-AzConnectedKubernetes -ClusterName <cluster_name> -ResourceGroupName <resource_group> | Set-AzConnectedKubernetes -DisableGateway   

Monitore o tráfego

Para auditar o tráfego do gateway, exiba os logs do roteador do gateway:

1. Executar kubectl get pods -n azure-arc
2. Identifique o pod Arc Proxy (seu nome começará com arc-proxy-).
3. Executar kubectl logs -n azure-arc <Arc Proxy pod name>

Cenários adicionais

Durante a visualização pública, o gateway Arc cobre os endpoints necessários para a integração de um cluster e uma parte dos endpoints necessários para cenários adicionais habilitados para Arc. Com base nos cenários adotados, pontos de extremidade adicionais ainda precisam ser permitidos em seu proxy.

Todos os endpoints listados para os seguintes cenários devem ser permitidos em seu proxy corporativo quando o Arc Gateway estiver em uso:

• Informações de contêiner no Azure Monitor:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com
• Azure Key Vault:
  • <vault-name>.vault.azure.net
• Política do Azure:
  • data.policy.core.windows.net
  • store.policy.core.windows.net
• Microsoft Defender para contêineres:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
• Serviços de dados habilitados para Azure Arc
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com