Упрощение требований к конфигурации сети с помощью шлюза Azure Arc (предварительная версия)

При использовании корпоративных прокси-серверов для управления исходящим трафиком шлюз Azure Arc может упростить процесс включения подключения.

Шлюз Azure Arc (в настоящее время в предварительной версии) позволяет:

• Подключитесь к Azure Arc, открыв доступ к общедоступной сети только к семи полным доменным именам (FQDN).
• Просмотр и аудит всего трафика, который агенты Arc отправляют в Azure через шлюз Arc.

Внимание

Шлюз Azure Arc в настоящее время находится в предварительной версии.

Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Как работает шлюз Azure Arc

Шлюз Arc работает, введя два новых компонента:

• Ресурс шлюза Arc — это ресурс Azure, который служит общим интерфейсом для трафика Azure. Ресурс шлюза обслуживается в определенном домене или URL-адресе. Этот ресурс необходимо создать, выполнив действия, описанные в этой статье. После успешного создания ресурса шлюза этот домен или URL-адрес включается в ответ успешного выполнения.
• Прокси Arc — это новый компонент, который запускается как собственный модуль pod (называемый прокси-сервером Azure Arc). Этот компонент выступает в качестве прокси-сервера пересылки, используемого агентами и расширениями Azure Arc. Для прокси-сервера Azure Arc не требуется конфигурация.

Дополнительные сведения см. в статье о работе шлюза Azure Arc.

Внимание

Локальные и AKS Azure не поддерживают конечные прокси-серверы TLS, EXPRESSRoute/VPN типа "сеть — сеть" или частные конечные точки. Кроме того, на подписку Azure существует ограничение в пять ресурсов шлюза Arc.

Подготовка к работе

• Убедитесь, что необходимые условия для создания кластеров AKS в локальной среде Azure.

• Для этой статьи требуется версия 1.4.23 или более поздняя версия Azure CLI. Если вы используете Azure CloudShell, установлена последняя версия.

• Для создания ресурсов шлюза Arc и управления их связью с кластерами AKS Arc требуются следующие разрешения Azure:

  • Microsoft.Kubernetes/connectedClusters/settings/default/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

• Вы можете создать ресурс шлюза Arc с помощью Azure CLI или портал Azure. Дополнительные сведения о создании ресурса шлюза Arc для кластеров AKS и Azure Local см. в статье о создании ресурса шлюза Arc в Azure. При создании ресурса шлюза Arc получите идентификатор ресурса шлюза, выполнив следующую команду:

  $gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
  

Подтверждение доступа к необходимым URL-адресам

Убедитесь, что URL-адрес шлюза Arc и все указанные ниже URL-адреса разрешены через корпоративный брандмауэр:

URL	Характер использования
[Your URL prefix].gw.arc.azure.com	URL-адрес шлюза. Этот URL-адрес можно получить, выполнив команду az arcgateway list после создания ресурса.
management.azure.com	Конечная точка Azure Resource Manager, необходимая для канала управления Azure Resource Manager.
<region>.obo.arc.azure.com	Обязательный при az connectedk8s proxy использовании.
login.microsoftonline.com, <region>.login.microsoft.com	Конечная точка идентификатора Microsoft Entra ID, используемая для получения маркеров доступа к удостоверениям.
gbl.his.arc.azure.com, <region>.his.arc.azure.com	Конечная точка облачной службы для взаимодействия с агентами Arc. Использует короткие имена; Например eus , для восточной части США.
mcr.microsoft.com, *.data.mcr.microsoft.com	Требуется агентам Azure Arc для извлечения образов контейнеров.

Создание кластера AKS Arc с включенным шлюзом Arc

Выполните следующую команду, чтобы создать кластер AKS Arc с включенным шлюзом Arc:

az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys

Обновление кластера AKS Arc и включение шлюза Arc

Выполните следующую команду, чтобы обновить кластер AKS Arc и включить шлюз Arc:

az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId

Отключение шлюза Arc в кластере AKS Arc

Выполните следующую команду, чтобы отключить кластер AKS Arc:

az aksarc update -n $clusterName -g $resourceGroup --disable-gateway

Мониторинг трафика

Чтобы проверить трафик шлюза, просмотрите журналы маршрутизатора шлюза:

1. Запустите kubectl get pods -n azure-arc.
2. Определите pod Arc Proxy (его имя начинается с arc-proxy-).
3. Запустите kubectl logs -n azure-arc <Arc Proxy pod name>.

Другие сценарии

Во время общедоступной предварительной версии шлюз Arc охватывает конечные точки, необходимые для кластеров AKS Arc, и часть конечных точек, необходимых для дополнительных сценариев с поддержкой Arc. В зависимости от принятых сценариев дополнительные конечные точки по-прежнему должны быть разрешены в прокси-сервере.

Все конечные точки, перечисленные в следующих сценариях, должны быть разрешены в корпоративном прокси-сервере, если шлюз Arc используется:

• Аналитика контейнеров в Azure Monitor:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com
• Azure Key Vault:
  • <vault-name>.vault.azure.net
• Политика Azure:
  • data.policy.core.windows.net
  • store.policy.core.windows.net
• Microsoft Defender для контейнеров:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
• Службы данных с поддержкой Azure Arc
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com

Следующие шаги

• Развертывание расширения для кластеров Kubernetes с поддержкой MetalLB для Azure Arc.