Sobre o gateway do Azure Arc para Azure Local, versão 23H2 (visualização)
Aplica-se a: Azure Local, versão 23H2, versão 2408, 2408.1, 2408.2 e 2411
Importante
O Azure Stack HCI agora faz parte do Azure Local. A renomeação da documentação do produto está em andamento. As alterações textuais estão completas e as atualizações visuais serão finalizadas em breve. Mais informações.
Este artigo fornece uma visão geral do gateway do Azure Arc para Azure Local, versão 23H2. O gateway Arc pode ser habilitado em novas implantações do software de execução do Azure Local versão 2408 e posterior. Este artigo também descreve como criar e excluir o recurso de gateway Arc no Azure.
Você pode usar o gateway Arc para reduzir significativamente o número de pontos de extremidade necessários para implantar e gerenciar instâncias locais do Azure. Depois de criar o gateway Arc, você pode se conectar e usá-lo para novas implantações do Azure Local.
Para obter informações sobre como implantar o gateway do Azure Arc para servidores autônomos (não máquinas locais do Azure), consulte Simplificar os requisitos de configuração de rede por meio do gateway do Azure Arc.
Importante
Este recurso está atualmente em visualização. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Como funciona
O gateway Arc funciona introduzindo os seguintes componentes:
Recurso de gateway Arc – Um recurso do Azure que atua como um ponto de entrada comum para o tráfego do Azure. Este recurso de gateway tem um domínio ou URL específico que você pode usar. Quando você cria o recurso Arc gateway, esse domínio ou URL faz parte da resposta de sucesso.
Arc proxy – Um novo componente que é adicionado ao Arc Agentry. Esse componente é executado como um serviço (chamado de Proxy do Azure Arc) e funciona como um proxy de encaminhamento para os agentes e extensões do Azure Arc. O roteador de gateway não precisa de nenhuma configuração do seu lado. Este roteador faz parte da agentry do núcleo do Arc e é executado dentro do contexto de um recurso habilitado para Arc.
Depois de integrar o gateway Arc com a versão 2411 das implantações do Azure Local, cada máquina obtém o proxy Arc junto com outros Arc Agents.
Quando o gateway Arc é usado, o fluxo de tráfego http e https muda da seguinte maneira:
Fluxo de tráfego para componentes do sistema operacional de host local do Azure
As configurações de proxy do sistema operacional são usadas para rotear todo o tráfego de host HTTPS através do proxy Arc.
A partir do proxy Arc, o tráfego é encaminhado para o gateway Arc.
Com base na configuração no gateway Arc, se permitido, o tráfego é enviado para os serviços de destino. Se não for permitido, o Arc proxy redirecionará esse tráfego para o proxy corporativo (ou saída direta se nenhum proxy estiver definido). O proxy Arc determina automaticamente o caminho certo para o ponto de extremidade.
Fluxo de tráfego para o dispositivo Arc Arc Resource Bridge (ARB) e o plano de controle AKS
O IP roteável (recurso IP clusterizado de failover a partir de agora) é usado para encaminhar o tráfego por meio do proxy Arc em execução nas máquinas host do Azure Local.
ARB e AKS forward proxy são configurados para usar o IP roteável.
Com as configurações de proxy em vigor, o tráfego de saída ARB e AKS é encaminhado para o Arc Proxy em execução em uma das máquinas locais do Azure sobre o IP roteável.
Uma vez que o tráfego atinge o proxy Arc, o fluxo restante toma o mesmo caminho descrito. Se o tráfego para o serviço de destino for permitido, ele será enviado para o gateway Arc. Caso contrário, ele é enviado para o proxy corporativo (ou saída direta se nenhum proxy for definido). Observe que para o AKS especificamente, esse caminho é usado para baixar imagens docker para Arc Agentry e Arc Extension Pods.
Fluxo de tráfego para VMs Arc
O tráfego http e https é encaminhado para o proxy corporativo. O proxy Arc dentro da Arc VM ainda não é suportado nesta versão.
Os fluxos de tráfego são ilustrados no diagrama seguinte:
Cenários suportados e não suportados
Você pode usar o gateway Arc no seguinte cenário para as versões 2408 e 2411 do Azure Local:
- Habilite o gateway Arc durante a implantação de novas instâncias locais do Azure que executam as versões 2408 e 2411.
Os cenários sem suporte para o Azure Local, versões 2408 e 2411, incluem:
As instâncias locais do Azure atualizadas das versões 2402 ou 2405 para as versões 2408 ou 2411 não podem aproveitar todos os novos pontos de extremidade suportados por essa visualização do gateway Arc. Componentes de host, extensões Arc, ARB e pontos de extremidade necessários AKS só são suportados ao habilitar o gateway Arc como parte de uma nova implantação da versão 2408.
A habilitação do gateway Arc após a implantação da versão 2408 ou 2411 não pode aproveitar todos os novos endpoints suportados por esta visualização do gateway Arc. Os endpoints necessários para host, extensões Arc, ARB e AKS só são suportados ao habilitar o gateway Arc como parte de uma nova implantação da versão 2408 ou versão 2411.
Pontos de extremidade locais do Azure não redirecionados
Como parte da atualização de visualização do Azure Local versão 2408, os pontos de extremidade da tabela são necessários e devem ser permitidoslistados em seu proxy ou firewall para implantar a instância Local do Azure. Esses pontos de extremidade das versões 2408 e 2411 não são redirecionados através do gateway Arc:
| Ponto final # | Ponto final necessário | Componente |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Verificador de Ambiente |
| 2 | http://www.powershellgallery.com:443 |
Verificador de Ambiente |
| 3 | http://psg-prod-eastus.azureedge.net:443 |
Verificador de Ambiente |
| 4 | http://onegetcdn.azureedge.net:443 |
Verificador de Ambiente |
| 5 | http://login.microsoftonline.com:443 |
Verificador de Ambiente |
| 6 | http://aka.ms:443 |
Verificador de Ambiente |
| 7 | http://azurestackreleases.download.prss.microsoft.com:443 |
Verificador de Ambiente |
| 8 | http://download.microsoft.com:443 |
Verificador de Ambiente |
| 9 | http://portal.azure.com:443 |
Verificador de Ambiente |
| 10 | http://management.azure.com:443 |
Verificador de Ambiente |
| 11 | http://www.office.com:443 |
Verificador de Ambiente |
| 12 | http://gbl.his.arc.azure.com:443 |
Agente de arco |
| 13 | http://<region>.his.arc.azure.com:443 |
Agente de arco |
| 14 | http://dc.services.visualstudio.com:443 |
Agente de arco |
| 15 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Gateway do arco |
| 16 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 17 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Conta de armazenamento Cloud Witness |
| 18 | http://files.pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 19 | http://pypi.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 20 | http://raw.githubusercontent.com:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 21 | http://pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 22 | http://hciarcvmsstorage.z13.web.core.windows.net:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 23 | http://ocsp.digicert.com |
Lista de revogação de certificados para extensões Arc |
| 24 | http://s.symcd.com |
Lista de revogação de certificados para extensões Arc |
| 25 | http://ts-ocsp.ws.symantec.com |
Lista de revogação de certificados para extensões Arc |
| 26 | http://ocsp.globalsign.com |
Lista de revogação de certificados para extensões Arc |
| 27 | http://ocsp2.globalsign.com |
Lista de revogação de certificados para extensões Arc |
| 28 | http://oneocsp.microsoft.com |
Lista de revogação de certificados para extensões Arc |
| 29 | http://dl.delivery.mp.microsoft.com |
Binários LCM |
| 30 | http://*.tlu.dl.delivery.mp.microsoft.com |
Binários LCM |
| 31 | http://*.windowsupdate.com |
Windows Update |
| 32 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 33 | http://*.update.microsoft.com |
Windows Update |
Restrições e limitações
Considere as seguintes limitações do Arc gateway nesta versão:
- Os proxies de terminação TLS não são suportados com a visualização do gateway Arc.
- Não há suporte para o uso de ExpressRoute, VPN Site-to-Site ou Pontos de Extremidade Privados, além do gateway Arc (visualização).
Criar o recurso de gateway Arc no Azure
Você pode criar um recurso de gateway Arc usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.
- Inicie sessão no portal do Azure.
- Vá para a página Azure Arc > Azure Arc gateway e selecione Criar.
- Selecione a assinatura e o grupo de recursos onde você deseja que o recurso do gateway Arc seja gerenciado no Azure. Um recurso de gateway Arc pode ser usado por qualquer recurso habilitado para Arc no mesmo locatário do Azure.
- Em Nome, insira o nome do recurso de gateway Arc.
- Em Local, insira a região onde o recurso de gateway Arc deve residir. Um recurso de gateway Arc pode ser usado por qualquer recurso habilitado para Arc no mesmo locatário do Azure.
- Selecione Seguinte.
- Na página Etiquetas, especifique uma ou mais etiquetas personalizadas para suportar os seus padrões.
- Selecione Rever & Criar.
- Reveja os seus detalhes e, em seguida, selecione Criar.
O processo de criação do gateway leva de nove a dez minutos para ser concluído.
Desanexar ou alterar a associação de gateway Arc da máquina
Para desanexar o recurso de gateway do servidor habilitado para Arc, defina o ID do recurso de gateway como null. Se você quiser anexar seu servidor habilitado para Arc a outro recurso de gateway Arc, basta atualizar o nome e o ID do recurso com as novas informações do gateway Arc:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
Excluir o recurso Arc gateway
Antes de excluir um recurso de gateway Arc, verifique se nenhuma máquina está conectada. Para excluir o recurso de gateway, execute o seguinte comando:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Esta operação pode demorar alguns minutos.