Сведения о шлюзе Azure Arc для локальной версии 23H2 (предварительная версия)
Область применения: Локальная версия Azure, версия 23H2, выпуск 2408, 2408.1, 2408.2 и 2411
Внимание
Azure Stack HCI теперь является частью Azure Local. Выполняется переименование документации по продукту. Текстовые изменения завершены, а визуальные обновления будут завершены в ближайшее время. Подробнее.
В этой статье представлен обзор шлюза Azure Arc для локальной версии 23H2. Шлюз Arc можно включить в новых развертываниях локального программного обеспечения Azure версии 2408 и более поздних версий. В этой статье также описывается создание и удаление ресурса шлюза Arc в Azure.
Шлюз Arc можно использовать для значительного уменьшения количества необходимых конечных точек, необходимых для развертывания локальных экземпляров Azure и управления ими. Создав шлюз Arc, вы можете подключиться к нему и использовать его для новых развертываний Локальной службы Azure.
Сведения о развертывании шлюза Azure Arc для автономных серверов (а не локальных компьютеров Azure) см. в статье "Упрощение требований к конфигурации сети через шлюз Azure Arc".
Внимание
Эта функция сейчас доступна в режиме предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Принцип работы
Шлюз Arc работает, введя следующие компоненты:
Ресурс шлюза Arc — ресурс Azure, который выступает в качестве общей точки входа для трафика Azure. Этот ресурс шлюза имеет определенный домен или URL-адрес, который можно использовать. При создании ресурса шлюза Arc этот домен или URL-адрес является частью ответа на успех.
Прокси-сервер Arc — новый компонент, добавленный в агентри Arc. Этот компонент выполняется как услуга (называется прокси-серверОм Azure Arc) и работает в качестве прокси-сервера пересылки для агентов и расширений Azure Arc. Маршрутизатор шлюза не нуждается в какой-либо конфигурации с вашей стороны. Этот маршрутизатор является частью агента ядра Arc и выполняется в контексте ресурса с поддержкой Arc.
После интеграции шлюза Arc с выпуском 2411 локальных развертываний Azure каждый компьютер получает прокси-сервер Arc вместе с другими агентами Arc.
При использовании шлюза Arc поток трафика http и https изменяется следующим образом:
Поток трафика для компонентов операционной системы локального узла Azure
Параметры прокси-сервера ОС используются для маршрутизации всего трафика узла HTTPS через прокси-сервер Arc.
С прокси-сервера Arc трафик перенаправлен в шлюз Arc.
В зависимости от конфигурации шлюза Arc, если разрешено, трафик отправляется в целевые службы. Если это не разрешено, прокси-сервер Arc перенаправляет этот трафик на корпоративный прокси-сервер (или прямой исходящий трафик, если прокси-сервер не задан). Прокси-сервер Arc автоматически определяет правильный путь для конечной точки.
Поток трафика для моста ресурсов Arc (ARB) и плоскости управления AKS
Маршрутизируемый IP-адрес (ресурс отказоустойчивого кластеризованного IP-адреса по состоянию на данный момент) используется для пересылки трафика через прокси-сервер Arc, работающий на локальных узлах Azure.
Прокси-сервер пересылки ARB и AKS настроены для использования routable IP.
При использовании параметров прокси-сервера ARB и ИСХОДЯЩИй трафик AKS перенаправлен в Прокси Arc, работающий на одном из локальных компьютеров Azure по маршрутизируемому IP-адресу.
Когда трафик достигнет прокси-сервера Arc, оставшийся поток принимает тот же путь, что и описано. Если трафик целевой службы разрешен, он отправляется шлюзу Arc. В противном случае он отправляется на корпоративный прокси-сервер (или прямой исходящий трафик, если прокси-сервер не задан). Обратите внимание, что для AKS этот путь используется для скачивания образов Docker для Arc Agentry и pod расширений Arc.
Поток трафика для виртуальных машин Arc
Трафик http и https перенаправляются на корпоративный прокси-сервер. Прокси-сервер Arc в виртуальной машине Arc еще не поддерживается в этой версии.
Потоки трафика показаны на следующей схеме:
Поддерживаемые и неподдерживаемые сценарии
Шлюз Arc можно использовать в следующем сценарии для локальных версий Azure 2408 и 2411:
- Включите шлюз Arc во время развертывания новых локальных экземпляров Azure под управлением версий 2408 и 2411.
Неподдерживаемые сценарии для локальной версии Azure, версии 2408 и 2411 включают:
Локальные экземпляры Azure, обновленные с версий 2402 или 2405 до версий 2408 или 2411, не могут воспользоваться всеми новыми конечными точками, поддерживаемыми в этой предварительной версии шлюза Arc. Компоненты узлов, расширения Arc, ARB и AKS необходимые конечные точки поддерживаются только при включении шлюза Arc в рамках развертывания новой версии 2408.
Включение шлюза Arc после развертывания версии 2408 или 2411 не может воспользоваться всеми новыми конечными точками, поддерживаемыми этой предварительной версией шлюза Arc. Необходимые конечные точки узла, расширения Arc, ARB и AKS поддерживаются только при включении шлюза Arc в рамках нового развертывания версии 2408 или версии 2411.
Локальные конечные точки Azure не перенаправлены
В рамках предварительного обновления Локальной версии Azure 2408 конечные точки из таблицы необходимы и должны быть разрешены в прокси-сервере или брандмауэре для развертывания локального экземпляра Azure. Эти конечные точки версии 2408 и 2411 не перенаправляются через шлюз Arc:
| Конечная точка # | Требуемая конечная точка | Компонент |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Средство проверки среды |
| 2 | http://www.powershellgallery.com:443 |
Средство проверки среды |
| 3 | http://psg-prod-eastus.azureedge.net:443 |
Средство проверки среды |
| 4 | http://onegetcdn.azureedge.net:443 |
Средство проверки среды |
| 5 | http://login.microsoftonline.com:443 |
Средство проверки среды |
| 6 | http://aka.ms:443 |
Средство проверки среды |
| 7 | http://azurestackreleases.download.prss.microsoft.com:443 |
Средство проверки среды |
| 8 | http://download.microsoft.com:443 |
Средство проверки среды |
| 9 | http://portal.azure.com:443 |
Средство проверки среды |
| 10 | http://management.azure.com:443 |
Средство проверки среды |
| 11 | http://www.office.com:443 |
Средство проверки среды |
| 12 | http://gbl.his.arc.azure.com:443 |
Агент Arc |
| 13 | http://<region>.his.arc.azure.com:443 |
Агент Arc |
| 14 | http://dc.services.visualstudio.com:443 |
Агент Arc |
| 15 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Шлюз Arc |
| 16 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 17 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Учетная запись хранения облачных свидетелей |
| 18 | http://files.pythonhosted.org:443 |
Локальное облако Майкрософт,ARB/AKS |
| 19 | http://pypi.org:443 |
Локальное облако Майкрософт,ARB/AKS |
| 20 | http://raw.githubusercontent.com:443 |
Локальное облако Майкрософт,ARB/AKS |
| 21 | http://pythonhosted.org:443 |
Локальное облако Майкрософт,ARB/AKS |
| 22 | http://hciarcvmsstorage.z13.web.core.windows.net:443 |
Локальное облако Майкрософт,ARB/AKS |
| 23 | http://ocsp.digicert.com |
Список отзыва сертификатов для расширений Arc |
| 24 | http://s.symcd.com |
Список отзыва сертификатов для расширений Arc |
| 25 | http://ts-ocsp.ws.symantec.com |
Список отзыва сертификатов для расширений Arc |
| 26 | http://ocsp.globalsign.com |
Список отзыва сертификатов для расширений Arc |
| 27 | http://ocsp2.globalsign.com |
Список отзыва сертификатов для расширений Arc |
| 28 | http://oneocsp.microsoft.com |
Список отзыва сертификатов для расширений Arc |
| 29 | http://dl.delivery.mp.microsoft.com |
Двоичные файлы LCM |
| 30 | http://*.tlu.dl.delivery.mp.microsoft.com |
Двоичные файлы LCM |
| 31 | http://*.windowsupdate.com |
Центр обновления Windows |
| 32 | http://*.windowsupdate.microsoft.com |
Центр обновления Windows |
| 33 | http://*.update.microsoft.com |
Центр обновления Windows |
Ограничения и границы
Рассмотрим следующие ограничения шлюза Arc в этом выпуске:
- Конечные прокси-серверы TLS не поддерживаются в предварительной версии шлюза Arc.
- Использование ExpressRoute, VPN типа "сеть — сеть" или "Частные конечные точки" в дополнение к шлюзу Arc (предварительная версия) не поддерживается.
Создание ресурса шлюза Arc в Azure
Вы можете создать ресурс шлюза Arc с помощью портал Azure, Azure CLI или Azure PowerShell.
- Войдите на портал Azure.
- Перейдите на страницу шлюза Azure Arc Azure Arc > и нажмите кнопку "Создать".
- Выберите подписку и группу ресурсов, в которой требуется управлять ресурсом шлюза Arc в Azure. Ресурс шлюза Arc можно использовать любым ресурсом с поддержкой Arc в одном клиенте Azure.
- В поле "Имя" введите имя ресурса шлюза Arc.
- В поле "Расположение" введите регион, в котором должен находиться ресурс шлюза Arc. Ресурс шлюза Arc можно использовать любым ресурсом с поддержкой Arc в одном клиенте Azure.
- Выберите Далее.
- На странице "Теги" укажите один или несколько пользовательских тегов для поддержки ваших стандартов.
- Выберите Просмотреть и создать.
- Просмотрите сведения и нажмите кнопку "Создать".
Процесс создания шлюза занимает девять–десять минут.
Отключение или изменение связи шлюза Arc с компьютера
Чтобы отключить ресурс шлюза от сервера с поддержкой Arc, задайте для идентификатора nullресурса шлюза значение . Если вы хотите подключить сервер с поддержкой Arc к другому ресурсу шлюза Arc, просто обновите имя и идентификатор ресурса с помощью новых сведений о шлюзе Arc:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
Удаление ресурса шлюза Arc
Перед удалением ресурса шлюза Arc убедитесь, что компьютеры не подключены. Чтобы удалить ресурс шлюза, выполните следующую команду:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Эта операция может занять несколько минут.