Förenkla kraven för nätverkskonfiguration med Azure Arc Gateway (förhandsversion)

Om du använder företagsproxyservrar för att hantera utgående trafik kan Azure Arc-gatewayen förenkla processen för att aktivera anslutningen.

Med Azure Arc-gatewayen (för närvarande i förhandsversion) kan du:

• Anslut till Azure Arc genom att öppna åtkomsten till det offentliga nätverket till endast sju fullständigt kvalificerade domännamn (FQDN).
• Visa och granska all trafik som Arc-agenterna skickar till Azure via Arc-gatewayen.

Viktigt!

Azure Arc-gatewayen är för närvarande i förhandsversion.

Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Så här fungerar Azure Arc-gatewayen

Arc-gatewayen fungerar genom att introducera två nya komponenter:

• Arc-gatewayresursen är en Azure-resurs som fungerar som en gemensam klientdel för Azure-trafik. Gatewayresursen hanteras på en specifik domän/URL. Du måste skapa den här resursen genom att följa stegen som beskrivs i den här artikeln. När du har skapat gatewayresursen inkluderas den här domänen/URL:en i svarssvaret.
• Arc Proxy är en ny komponent som körs som en egen podd (kallas Azure Arc Proxy). Den här komponenten fungerar som en vidarebefordranproxy som används av Azure Arc-agenter och tillägg. Det krävs ingen konfiguration från din sida för Azure Arc-proxyn.

Mer information finns i hur Azure Arc-gatewayen fungerar.

Viktigt!

Azure Local och AKS stöder inte TLS-avslutande proxyservrar, ExpressRoute/plats-till-plats-VPN eller privata slutpunkter. Dessutom finns det en gräns på fem Arc Gateway-resurser per Azure-prenumeration.

Innan du börjar

• Se till att du uppfyller kraven för att skapa AKS-kluster på Azure Local.

• Den här artikeln kräver version 1.4.23 eller senare av Azure CLI. Om du använder Azure CloudShell är den senaste versionen redan installerad.

• Följande Azure-behörigheter krävs för att skapa Arc-gatewayresurser och hantera deras association med AKS Arc-kluster:

  • Microsoft.Kubernetes/connectedClusters/settings/default/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

• Du kan skapa en Arc-gatewayresurs med hjälp av Azure CLI eller Azure Portal. Mer information om hur du skapar en Arc-gatewayresurs för dina AKS-kluster och Azure Local finns i skapa Arc-gatewayresursen i Azure. När du skapar Arc-gatewayresursen hämtar du gatewayresurs-ID:t genom att köra följande kommando:

  $gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
  

Bekräfta åtkomst till nödvändiga URL:er

Se till att din Arc-gateway-URL och alla URL:er nedan är tillåtna via företagets brandvägg:

webbadress	Syfte
[Your URL prefix].gw.arc.azure.com	Din gateway-URL. Du kan hämta den här URL:en genom att köra az arcgateway list när du har skapat resursen.
management.azure.com	Azure Resource Manager-slutpunkt krävs för Azure Resource Manager-kontrollkanalen.
<region>.obo.arc.azure.com	Krävs när az connectedk8s proxy används.
login.microsoftonline.com, <region>.login.microsoft.com	Microsoft Entra ID-slutpunkt som används för att hämta identitetsåtkomsttoken.
gbl.his.arc.azure.com, <region>.his.arc.azure.com	Molntjänstslutpunkten för kommunikation med Arc-agenter. Använder korta namn; till exempel eus för USA, östra.
mcr.microsoft.com, *.data.mcr.microsoft.com	Krävs för att hämta containeravbildningar för Azure Arc-agenter.

Skapa ett AKS Arc-kluster med Arc-gateway aktiverat

Kör följande kommando för att skapa ett AKS Arc-kluster med Arc-gatewayen aktiverad:

az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys

Uppdatera ett AKS Arc-kluster och aktivera Arc-gateway

Kör följande kommando för att uppdatera ett AKS Arc-kluster och aktivera Arc-gatewayen:

az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId

Inaktivera Arc-gateway i ett AKS Arc-kluster

Kör följande kommando för att inaktivera ett AKS Arc-kluster:

az aksarc update -n $clusterName -g $resourceGroup --disable-gateway

Övervaka trafik

Om du vill granska gatewaytrafiken visar du gatewayrouterloggarna:

1. Kör kubectl get pods -n azure-arc.
2. Identifiera Arc Proxy-podden (namnet börjar med arc-proxy-).
3. Kör kubectl logs -n azure-arc <Arc Proxy pod name>.

Andra scenarier

I den offentliga förhandsversionen omfattar Arc-gateway slutpunkter som krävs för AKS Arc-kluster och en del av de slutpunkter som krävs för ytterligare Arc-aktiverade scenarier. Baserat på de scenarier du använder måste ytterligare slutpunkter fortfarande tillåtas i proxyn.

Alla slutpunkter som anges för följande scenarier måste tillåtas i företagsproxyn när Arc-gatewayen används:

• Containerinsikter i Azure Monitor:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com
• Azure Key Vault:
  • <vault-name>.vault.azure.net
• Azure Policy:
  • data.policy.core.windows.net
  • store.policy.core.windows.net
• Microsoft Defender för containrar:
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
• Azure Arc-aktiverade datatjänster
  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com

Nästa steg

• Distribuera tillägget för MetalLB för Azure Arc-aktiverade Kubernetes-kluster.