Поделиться через

Использование Приватный канал Azure для безопасного подключения серверов к Azure Arc

  • Статья

Приватный канал Azure позволяет безопасно связать службы Azure PaaS с виртуальной сетью с помощью частных конечных точек. Для многих служб достаточно настроить конечную точку для каждого ресурса. Это означает, что вы можете подключить локальные или многооблачные серверы с Помощью Azure Arc и отправить весь трафик через Azure ExpressRoute или VPN-подключение типа "сеть — сеть" вместо использования общедоступных сетей.

Начиная с серверов с поддержкой Azure Arc, можно использовать модель области приватного канала, которая позволяет нескольким серверам или компьютерам обмениваться данными с ресурсами Arc Azure с помощью одной частной конечной точки.

В этой статье описывается, когда следует использовать и как настроить область Приватный канал Azure Arc.

Достоинства

Приватный канал предоставляет следующие возможности:

  • Частное подключение к Azure Arc без открытия доступа к общедоступной сети.
  • Убедиться, что данные с компьютера или сервера с поддержкой дуги Azure доступны только через разрешенные частные сети. Сюда также входят данные из расширений виртуальной машины, установленных на компьютере или сервере, которые обеспечивают поддержку управления после развертывания и мониторинга.
  • Предотвращение кражи данных из частных сетей через определение конкретных серверов с поддержкой Azure Arc и других ресурсов служб Azure, например Azure Monitor, которые подключаются через вашу частную конечную точку.
  • Безопасное подключение частной локальной сети к Azure Arc с помощью ExpressRoute и Приватного канала.
  • Удержание всего трафика внутри магистральной сети Microsoft Azure.

Дополнительные сведения см. в разделе "Основные преимущества Приватный канал Azure".

Принцип работы

Область Azure Arc Приватный канал подключает частные конечные точки (и виртуальные сети, которые они содержатся) к ресурсу Azure, в этом случае серверы с поддержкой Azure Arc. При включении любого из поддерживаемых расширений виртуальных машин с поддержкой Azure Arc, таких как Azure Monitor, эти ресурсы подключают другие ресурсы Azure. Такие как:

  • Рабочая область Log Analytics, необходимая для служба автоматизации Azure Отслеживание изменений и инвентаризация, аналитики виртуальных машин Azure Monitor и сбора журналов Azure Monitor с агентом Azure Monitor.
  • Учетная запись службы автоматизации Azure, необходимая для функций "Управление обновлениями" и "Отслеживание изменений и инвентаризации".
  • Azure Key Vault
  • Хранилище BLOB-объектов Azure, необходимое для расширения пользовательских скриптов.

Схема базовой топологии ресурсов

Для подключения к любому другому ресурсу Azure с сервера с поддержкой Azure Arc требуется настройка Приватный канал для каждой службы, которая является необязательной, но рекомендуется. Приватный канал Azure требует отдельной конфигурации для каждой службы.

Дополнительные сведения о настройке Приватный канал для служб Azure, перечисленных ранее, см. в статьях служба автоматизации Azure, Azure Monitor, Azure Key Vault или хранилища BLOB-объектов Azure.

Внимание

Служба Приватный канал Azure теперь общедоступна. Как частная конечная точка, так и служба "Приватный канал" (служба за стандартной подсистемой балансировки нагрузки) являются общедоступными. Разные подключения Azure PaaS к Приватный канал Azure по разным расписаниям. Сведения об обновленном состоянии Azure PaaS в Приватный канал см. в Приватный канал. Сведения об известных ограничениях см. в разделах о частной конечной точке и службе "Приватный канал".

  • Частная конечная точка в виртуальной сети позволяет получить доступ к конечным точкам с поддержкой Azure Arc через частные IP-адреса из пула сети, а не использовать общедоступные IP-адреса этих конечных точек. Это позволяет использовать ресурсы с поддержкой Azure Arc, не открывая виртуальную сеть для незапрошенного исходящего трафика.

  • Трафик от частной конечной точки к ресурсам будет передаваться по магистрали Microsoft Azure, а не в общедоступные сети.

  • Вы можете настроить каждый из компонентов, чтобы разрешить или запретить прием и запросы из общедоступных сетей. Это обеспечивает защиту на уровне ресурсов, что позволяет управлять трафиком к конкретным ресурсам.

Ограничения и границы

Серверы с поддержкой Azure Arc, Приватный канал Объект Scope, имеют ряд ограничений, которые следует учитывать при планировании настройки Приватный канал.

  • Вы можете связать с виртуальной сетью не более одной области приватного канала Azure Arc.
  • Ресурс компьютера или сервера с поддержкой Azure Arc может подключаться только к одной области приватного канала серверов с поддержкой Azure Arc.
  • Все локальные компьютеры должны использовать одну и ту же частную конечную точку, разрешающую правильные сведения о частной конечной точке (имя записи FQDN и общедоступный IP-адрес) с помощью того же сервера пересылки DNS. Дополнительные сведения см. в статье Конфигурация DNS частной конечной точки Azure
  • Сервер с поддержкой Azure Arc и область Приватный канал Azure Arc должны находиться в одном регионе Azure. Частная конечная точка и виртуальная сеть также должны находиться в одном регионе Azure, но этот регион может отличаться от региона Приватный канал Azure Arc и сервера с поддержкой Arc.
  • Сетевой трафик к идентификатору Microsoft Entra и Azure Resource Manager не проходит по области Приватный канал Azure Arc и будет продолжать использовать сетевой маршрут по умолчанию в Интернет. При необходимости можно настроить приватный канал управления ресурсами для отправки трафика Azure Resource Manager в частную конечную точку.
  • Другие используемые службы Azure, например Azure Monitor, должны иметь собственные частные конечные точки в виртуальной сети.
  • Удаленный доступ к серверу с помощью Windows Admin Center или SSH в настоящее время не поддерживается через приватный канал.

Чтобы подключить сервер к службе Azure Arc по приватному каналу, необходимо настроить сеть для выполнения следующих задач:

  1. Установите подключение между локальной сетью и виртуальной сетью Azure с помощью VPN типа "сеть — сеть" или канала ExpressRoute.

  2. Разверните область Приватный канал Azure Arc, которая определяет, какие компьютеры или серверы могут взаимодействовать с Azure Arc через частные конечные точки и связать ее с виртуальной сетью Azure с помощью частной конечной точки.

  3. Обновите конфигурацию DNS в локальной сети, чтобы разрешить адреса частной конечной точки.

  4. Настройте локальный брандмауэр, чтобы разрешить доступ к идентификатору Microsoft Entra и Azure Resource Manager.

  5. Свяжите компьютеры или серверы, зарегистрированные на серверах с поддержкой Azure Arc, с помощью области приватного канала.

  6. При необходимости разверните частные конечные точки для других служб Azure, которыми управляет ваш компьютер или сервер, например:

    • Azure Monitor
    • Azure Automation
    • Хранилище BLOB-объектов Azure
    • Azure Key Vault

В этой статье предполагается, что вы уже настроили канал ExpressRoute или VPN-подключение типа "сеть — сеть".

Сетевая конфигурация

Серверы с поддержкой Azure Arc интегрируются с несколькими службами Azure для обеспечения управления облаком и управления на гибридных компьютерах или серверах. Большинство этих служб уже предлагают частные конечные точки, но необходимо настроить правила брандмауэра и маршрутизации, чтобы разрешить доступ к идентификатору Microsoft Entra и Azure Resource Manager через Интернет, пока эти службы не предлагают частные конечные точки.

Этого можно достигнуть двумя способами:

  • Если сеть настроена для маршрутизации всего трафика, привязанного к Интернету, через канал VPN Azure или ExpressRoute, можно настроить группу безопасности сети (NSG), связанную с подсетью в Azure, чтобы разрешить исходящий доступ TCP 443 (HTTPS) к идентификатору Microsoft Entra и Azure с помощью тегов службы. Правила NSG должны выглядеть так, как показано ниже:

    Параметр Правило идентификатора Microsoft Entra Правило Azure
    Исходный код Виртуальная сеть Виртуальная сеть
    Диапазоны исходных портов * *
    Назначение Тег службы Тег службы
    Назначение: тег службы AzureActiveDirectory AzureResourceManager
    Диапазоны портов назначения 443 443
    Протокол TCP TCP
    Действие Разрешить Разрешить
    Приоритет 150 (должен быть ниже всех правил, блокирующих доступ к Интернету) 151 (должен быть ниже всех правил, блокирующих доступ к Интернету)
    Имя. AllowAADOutboundAccess AllowAzOutboundAccess

  • Настройте брандмауэр в локальной сети, чтобы разрешить исходящий доступ TCP 443 (HTTPS) к идентификатору Microsoft Entra и Azure с помощью скачиваемых файлов тегов службы. JSON-файл содержит все диапазоны общедоступных IP-адресов, используемые идентификатором Microsoft Entra и Azure, и обновляется ежемесячно, чтобы отразить любые изменения. Тег службы Azure AD — это AzureActiveDirectory тег службы Azure, а тег службы Azure — AzureResourceManagerэто . Обратитесь к администратору сети и поставщику сетевых брандмауэров, чтобы узнать, как настроить правила брандмауэра.

Дополнительные сведения о потоках сетевого трафика см. в разделе " Принципы работы " этой статьи.

  1. Войдите на портал Azure.

  2. Перейдите к разделу "Создать ресурс" в портал Azure и найдите область Приватный канал Azure Arc, а затем нажмите кнопку "Создать".

    Снимок экрана: домашняя страница частной области с кнопкой

    Кроме того, перейдите непосредственно на страницу областей Azure Arc Приватный канал на портале, а затем выберите "Создать область приватного канала Azure Arc".

  3. На вкладке "Основные сведения" выберите подписку и группу ресурсов.

  4. Введите имя области Приватный канал Azure Arc. Лучше использовать понятное имя.

  5. Кроме того, для отправки данных в службу через частную конечную точку можно требовать каждый компьютер с поддержкой Azure Arc или сервер, связанный с этой областью Azure Приватный канал Arc. Для этого установите флажок "Разрешить доступ к общедоступной сети", чтобы компьютеры или серверы, связанные с этой областью Приватный канал Azure Arc, могли взаимодействовать со службой через частные или общедоступные сети. Этот параметр можно изменить после создания области по мере необходимости.

  6. Перейдите на вкладку "Частная конечная точка ", а затем нажмите кнопку "Создать".

  7. В области создания частной конечной точки:

    1. Укажите имя конечной точки.

    2. Выберите Да для параметра Интеграция с частной зоной DNS и позвольте системе автоматически создать новую частную зону DNS.

      Примечание.

      Если вы выбрали "Нет" и предпочитаете управлять записями DNS вручную, сначала завершите настройку Приватный канал, включая эту частную конечную точку и конфигурацию частной области. Затем настройте DNS в соответствии с инструкциями в статье о конфигурации DNS для частной конечной точки Azure. Не создавайте пустые записи при подготовке к настройке Приватного канала. Создаваемые записи DNS могут переопределить существующие параметры и повлиять на подключение к серверам с поддержкой Azure Arc.

      Ту же зону виртуальной сети и DNS нельзя использовать для обоих ресурсов Arc с помощью приватного канала и тех, которые не используют приватный канал. Ресурсы Arc, которые не являются приватным каналом, должны разрешаться к общедоступным конечным точкам.

    3. Нажмите ОК.

  8. Выберите Review + Create (Просмотреть и создать).

    Снимок экрана: окно

  9. Дождитесь окончания проверки, а затем щелкните Создать.

Настройка локальной пересылки DNS

Локальные компьютеры или серверы должны иметь возможность разрешать записи DNS приватного канала на IP-адреса частной конечной точки. Настройка зависит от того, используете ли частные зоны DNS Azure для хранения записей DNS или используете ли вы собственный DNS-сервер локально и сколько серверов вы настраиваете.

Настройка DNS с помощью частных зон DNS, интегрированных с Azure

Если вы настроили частные зоны DNS для серверов с поддержкой Azure Arc и гостевой конфигурации при создании частной конечной точки, локальные компьютеры или серверы должны иметь возможность перенаправлять запросы DNS на встроенные DNS-серверы Azure для правильного разрешения адресов частной конечной точки. Вам потребуется сервер пересылки DNS в Azure (специализированная виртуальная машина или экземпляр Брандмауэра Azure с включенным DNS-прокси), после чего можно настроить локальный DNS-сервер для пересылки запросов в Azure для разрешения IP-адресов частной конечной точки.

Дополнительные сведения см. в статье "Частный сопоставитель Azure" с локальным dns-сервером пересылки.

Настройка DNS-сервера вручную

Если вы отказались от использования частных зон DNS Azure во время создания частной конечной точки, нужно создать необходимые записи DNS на локальном DNS-сервере.

  1. В портал Azure перейдите к ресурсу частной конечной точки, связанному с виртуальной сетью и областью приватного канала.

  2. В меню службы в разделе "Параметры" выберите конфигурацию DNS, чтобы просмотреть список записей DNS и соответствующих IP-адресов, которые необходимо настроить на DNS-сервере. Полные доменные имена и IP-адреса изменятся в зависимости от региона, выбранного для частной конечной точки, и доступных IP-адресов в подсети.

  3. Следуйте указаниям поставщика DNS-сервера, чтобы добавить необходимые зоны DNS и записи для сопоставления с таблицей на портале. Убедитесь, что выбран DNS-сервер, соответствующий вашей сети. Каждый компьютер или сервер, использующий этот DNS-сервер, теперь разрешает IP-адреса частной конечной точки и должен быть связан с областью Приватный канал Azure Arc, или подключение будет отказано.

Сценарии с отдельным сервером

Если вы планируете использовать только Приватный канал для поддержки нескольких компьютеров или серверов, возможно, вам не потребуется обновить конфигурацию DNS всей сети. В этом случае можно добавить имена узлов и IP-адреса частной конечной точки в файл операционной системы Hosts. В зависимости от конфигурации ОС файл Hosts может быть основным или альтернативным способом разрешения имени узла в IP-адрес.

Windows

  1. Используя учетную запись с правами администратора, откройте C:\Windows\System32\drivers\etc\hostsее.

  2. Добавьте IP-адреса частной конечной точки и имена узлов из списка конфигурации DNS, как описано в конфигурации DNS-сервера вручную. Файл узлов сначала требует IP-адреса, а затем пробела, а затем имени узла.

  3. Сохраните файл с изменениями. Сначала может потребоваться сохранить файл в другой каталог, а затем скопировать файл в исходный путь.

Linux

  1. /etc/hosts Откройте файл узлов в текстовом редакторе.

  2. Добавьте IP-адреса частной конечной точки и имена узлов из списка конфигурации DNS, как описано в конфигурации DNS-сервера вручную. Файл узлов сначала запрашивает IP-адрес, а затем пробел, а затем имя узла.

  3. Сохраните файл с изменениями.

Подключение к серверу с поддержкой Azure Arc

Примечание.

Для использования частной конечной точки требуется агент подключенного компьютера Azure версии 1.4 или более поздней. Скрипт развертывания серверов с поддержкой Azure Arc, созданный на портале, скачивает последнюю версию.

При первичном подключении к серверам с поддержкой Azure Arc компьютер или сервер можно подключить к области приватного канала.

  1. В браузере перейдите на портал Azure.

  2. Перейдите к компьютерам — Azure Arc.

  3. На странице "Компьютеры " Azure Arc" нажмите кнопку "Добавить или создать" в левом верхнем углу, а затем выберите "Добавить компьютер" в раскрывающемся меню.

  4. На странице Add servers with Azure Arc (Добавление серверов со службой Azure Arc) выберите либо Add a single server (Добавить отдельный сервер), либо Add multiple servers (Добавить несколько серверов) в зависимости от сценария развертывания, а затем — Создать скрипт.

  5. На вкладке Основные используйте следующие значения.

    1. Выберите группу "Подписка " и " Ресурсы" для компьютера.

    2. В раскрывающемся списке Регион выберите регион Azure для хранения метаданных компьютера или серверов.

    3. В раскрывающемся списке Операционная система выберите операционную систему, в которой должен выполняться скрипт.

    4. В разделе "Метод подключения" выберите частную конечную точку и выберите область azure Arc Приватный канал, созданную в части 1 в раскрывающемся списке.

      Снимок экрана: выбор параметра подключения к частной конечной точке.

    5. Нажмите кнопку "Далее": теги.

  6. Если вы выбрали "Добавить несколько серверов", на странице проверки подлинности выберите субъект-службу, созданный для серверов с поддержкой Azure Arc, в раскрывающемся списке. Если вы не создали субъект-службу для серверов с поддержкой Azure Arc, просмотрите , как создать субъект-службу , чтобы узнать о разрешениях и шагах, необходимых для создания. Для продолжения щелкните Next: Tags (Далее: теги).

  7. На странице Теги проверьте теги физического расположения, заданные по умолчанию, а затем введите нужное значение или укажите один или несколько настраиваемых тегов в соответствии со своими стандартами.

  8. Нажмите кнопку "Далее". Скачайте и запустите скрипт.

  9. На вкладке Download and run script (Скачивание и выполнение скрипта) просмотрите сводные данные и щелкните Скачать.

После скачивания скрипт необходимо запустить на компьютере или сервере с помощью привилегированной учетной записи (administrator или root). В зависимости от конфигурации сети может потребоваться скачать агент с компьютера с доступом к Интернету и перенести его на компьютер или сервер, а затем изменить скрипт с помощью пути к агенту.

Агент Windows можно скачать из https://aka.ms/AzureConnectedMachineAgent, а агент Linux — из https://packages.microsoft.com. Найдите последнюю версию azcmagent в каталоге распространения ОС и установите ее с помощью локального диспетчера пакетов.

Сценарий возвратит сообщения о состоянии, что позволит вам выяснить, успешно ли выполнено подключение после завершения.

Совет

Сетевой трафик от агента подключенного компьютера Azure к идентификатору Microsoft Entra (login.windows.net, login.microsoftonline.com, pas.windows.net) и Azure Resource Manager (management.azure.com) будет продолжать использовать общедоступные конечные точки. Если сервер должен взаимодействовать через прокси-сервер для доступа к этим конечным точкам, настройте агент с URL-адресом прокси-сервера перед подключением к Azure. Кроме того, может потребоваться настроить обход прокси-сервера для служб Azure Arc, если частная конечная точка недоступна на прокси-сервере.

Настройка существующего сервера с поддержкой Azure Arc

Для серверов с поддержкой Azure Arc, настроенных до области приватного канала, вы можете разрешить им начать работу с серверами с поддержкой Azure Arc, Приватный канал областью, выполнив следующие действия.

  1. На портале Azure перейдите к ресурсу области приватного канала Azure Arc.

  2. В меню службы в разделе "Настройка" выберите ресурсы Azure Arc и нажмите кнопку "Добавить".

  3. Выберите в списке серверы, которые необходимо связать с областью приватного канала, а затем щелкните Выбрать, чтобы сохранить изменения.

    Снимок экрана: выбор ресурсов Azure Arc.

Для Приватный канал области может потребоваться до 15 минут, чтобы принимать подключения с недавно связанных серверов.

Устранение неполадок

При возникновении проблем могут помочь следующие рекомендации.

  • Проверьте локальный DNS-сервер, чтобы убедиться, что он перенаправляется в Azure DNS или настроен с соответствующими записями A в зоне приватного канала. Эти команды поиска должны возвращать общедоступные IP-адреса в виртуальной сети Azure. Если они разрешают общедоступные IP-адреса, дважды проверьте конфигурацию DNS компьютера или сервера и сети.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com

  • Для проблем с подключением компьютера или сервера убедитесь, что вы добавили идентификатор Microsoft Entra и теги службы Azure Resource Manager в брандмауэр локальной сети. Агент должен взаимодействовать со службами через Интернет, пока для этих служб не будут доступны частные конечные точки.

Дополнительные сведения об устранении неполадок см. в статье "Устранение неполадок с подключением к частной конечной точке Azure".

Следующие шаги