Förenkla kraven för nätverkskonfiguration med Azure Arc-gateway (offentlig förhandsversion)

Om du använder företagsproxyservrar för att hantera utgående trafik kan du med Azure Arc-gatewayen registrera infrastrukturen till Azure Arc med endast sju (7) slutpunkter. Med Azure Arc-gateway kan du:

• Anslut till Azure Arc genom att öppna åtkomsten till det offentliga nätverket till endast sju fullständigt kvalificerade domännamn (FQDN).
• Visa och granska all trafik som en Azure Connected Machine-agent skickar till Azure via Arc-gatewayen.

Den här artikeln beskriver hur du konfigurerar och använder Arc-gateway (offentlig förhandsversion).

Viktigt!

Arc Gateway-funktionen för Azure Arc-aktiverade servrar finns för närvarande i offentlig förhandsversion i alla regioner där Azure Arc-aktiverade servrar finns. Se tilläggsvillkoren för Användningsvillkor för Förhandsversioner av Microsoft Azure för juridiska villkor som gäller för Azure-funktioner som är i betaversion, offentlig förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Så här fungerar Azure Arc-gatewayen

Azure Arc-gatewayen består av två huvudkomponenter:

• Arc-gatewayresursen: En Azure-resurs som fungerar som en vanlig klientdel för Azure-trafik. Den här gatewayresursen hanteras på en specifik domän. När Arc-gatewayresursen har skapats returneras domänen till dig i svarssvaret.

• Arc Proxy: En ny komponent har lagts till i Arc-agentry. Den här komponenten körs som en tjänst med namnet "Azure Arc Proxy" och fungerar som en vidarebefordranproxy som används av Azure Arc-agenter och -tillägg. Ingen konfiguration krävs från din sida för Arc Proxy. Den här proxyn är en del av Arc Core-agentry och körs i kontexten för en Arc-aktiverad resurs.

När gatewayen är på plats flödar trafiken via följande hopp: Arc-agentry → Arc Proxy → Enterprise-proxy → Arc-gateway → Target-tjänsten

Aktuella begränsningar

Under den offentliga förhandsversionen gäller följande begränsningar. Tänk på de här faktorerna när du planerar konfigurationen.

• TLS-avslutande proxyservrar stöds inte (offentlig förhandsversion)
• ExpressRoute/Plats-till-plats-VPN eller privata slutpunkter som används med Arc-gatewayen (offentlig förhandsversion) stöds inte.
• Det finns en gräns på fem (5) Arc Gateway-resurser (offentlig förhandsversion) per Azure-prenumeration.
• Arc-gatewayen kan bara användas för anslutning i det offentliga Azure-molnet.

Behörigheter som krävs

För att skapa Arc-gatewayresurser och hantera deras association med Arc-aktiverade servrar krävs följande behörigheter:

• Microsoft.HybridCompute/settings/write
• Microsoft.hybridcompute/gateways/read
• Microsoft.hybridcompute/gateways/write

Så här använder du Arc-gatewayen (offentlig förhandsversion)

Det finns fyra steg för att använda Arc-gatewayen:

1. Skapa en Arc-gatewayresurs.
2. Kontrollera att de url:er som krävs är tillåtna i din miljö.
3. Registrera Azure Arc-resurser med din Arc-gatewayresurs eller konfigurera befintliga Azure Arc-resurser för att använda Arc-gateway.
4. Kontrollera att installationen har slutförts.

Steg 1: Skapa en Arc-gatewayresurs

Du kan skapa en Arc-gatewayresurs med hjälp av Azure Portal, Azure CLI eller Azure PowerShell.

Portal

1. Logga in på Azure Portal från webbläsaren.

2. Gå till Azure Arc | Azure Arc-gatewaysidan och välj sedan Skapa.

3. Välj den prenumeration och resursgrupp där du vill att Arc-gatewayresursen ska hanteras i Azure. En Arc-gatewayresurs kan användas av alla Arc-aktiverade resurser i samma Azure-klientorganisation.

4. Som Namn anger du namnet som för Arc-gatewayresursen.

5. För Plats anger du den region där Arc-gatewayresursen ska finnas. En Arc-gatewayresurs kan användas av alla Arc-aktiverade resurser i samma Azure-klientorganisation.

6. Välj Nästa.

7. På sidan Taggar anger du en eller flera anpassade taggar som stöder dina standarder.

8. Välj Granska och skapa.

9. Granska indatainformationen och välj sedan Skapa.

   Det tar 9–10 minuter att skapa gatewayen.

CLI

1. Lägg till arc gateway-tillägget i Azure CLI:

   az extension add -n arcgateway

2. På en dator med åtkomst till Azure kör du följande kommandon för att skapa arc-gatewayresursen:

   az arcgateway create --name [Your gateway’s Name] --resource-group [Your Resource Group] --location [Location]
   

   Det tar 9–10 minuter att skapa gatewayen.

PowerShell

På en dator med åtkomst till Azure kör du följande PowerShell-kommando för att skapa arc-gatewayresursen:

New-AzArcgateway 
-name <gateway’s name> 
-resource-group <resource group> 
-location <region> 
-subscription <subscription name or id> 
-gateway-type public  
-allowed-features *

Det tar 9–10 minuter att skapa gatewayen.

Steg 2: Kontrollera att de url:er som krävs är tillåtna i din miljö

När resursen skapas innehåller det lyckade svaret Arc Gateway-URL:en. Se till att din Arc-gateway-URL och alla URL:er i följande tabell är tillåtna i miljön där Arc-resurserna finns. De url:er som krävs är:

webbadress	Syfte
[Url-prefixet].gw.arc.azure.com	Din gateway-URL (den här URL:en kan hämtas genom att köras az arcgateway list när du har skapat din gatewayresurs)
management.azure.com	Azure Resource Manager-slutpunkt som krävs för Azure Resource Manager-kontrollkanalen
login.microsoftonline.com	Microsoft Entra-ID:ts slutpunkt för att hämta identitetsåtkomsttoken
gbl.his.arc.azure.com	Molntjänstslutpunkten för kommunikation med Azure Arc-agenter
<region.his.arc.azure.com>	Används för Arcs kärnkontrollkanal
packages.microsoft.com	Krävs för att hämta Linux-baserad Arc-agentnyttolast som endast behövs för att ansluta Linux-servrar till Arc

Steg 3a: Registrera Azure Arc-resurser med din Arc-gatewayresurs.

1. Generera installationsskriptet.

   Följ anvisningarna i Snabbstart: Ansluta hybriddatorer med Azure Arc-aktiverade servrar för att skapa ett skript som automatiserar nedladdningen och installationen av Azure Connected Machine-agenten och upprättar anslutningen till Azure Arc.

   Viktigt!

   När du genererar onboarding-skriptet väljer du Proxyserver under Anslutningsmetod för att visa listrutan för Gateway-resursen.

2. Kör installationsskriptet för att publicera dina servrar till Azure Arc.

   I skriptet visas Arm-ID för Arc-gatewayresursen som --gateway-id.

Steg 3b: Konfigurera befintliga Azure Arc-resurser för att använda Arc-gateway

Du kan konfigurera befintliga Azure Arc-resurser så att de använder Arc-gateway med hjälp av Azure Portal, Azure CLI eller Azure PowerShell.

Portal

1. Gå till gatewaysidan Azure Arc – Azure Arc på Azure Portal.

2. Välj den Arc-gatewayresurs som ska associeras med din Arc-aktiverade server.

3. Gå till sidan Associerade resurser för din gateway-resurs.

4. Markera Lägga till.

5. Välj den Arc-aktiverade resursen som ska associeras med arc-gatewayresursen.

6. Välj Använd.

7. Uppdatera den Arc-aktiverade servern så att den använder Arc-gatewayen genom att köra azcmagent config set connection.type gateway.

CLI

1. Kör följande kommandon på en dator med åtkomst till Azure:

   az arcgateway settings update
      --resource-group [Resource Group]
      --subscription [subscription name]
      --base-provider Microsoft.HybridCompute
      --base-resource-type machines
      --base-resource-name [Arc-Server’s name]
      --settings-resource-name default--gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Uppdatera den Arc-aktiverade servern så att den använder Arc-gatewayen genom att köra följande kommando:

   azcmagent config set connection.type gateway

PowerShell

1. Kör följande kommandon på en dator med åtkomst till Azure:

   Update-AzArcSetting  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId <Full Arm resourceid>
   

2. Uppdatera den Arc-aktiverade servern så att den använder Arc-gatewayen genom att köra följande kommando:

   azcmagent config set connection.type gateway

Steg 4: Kontrollera att installationen lyckades

Kör följande kommando på den registrerade servern: azcmagent show Resultatet bör ange följande värden:

• Agentstatus bör visas som Ansluten.
• Användning av HTTPS-proxy bör visas som http://localhost:40343.
• Överordnad proxy bör visas som företagsproxy (om du anger en). Gateway-URL:en bör återspegla gatewayresursens URL.

För att verifiera en lyckad konfiguration kan du dessutom köra följande kommando: azcmagent check Resultatet bör indikera att connection.type är inställt på gateway, och kolumnen Nåbar bör indikera sant för alla URL:er.

Associera en dator med en ny Arc-gateway

Så här associerar du en dator med en ny Arc-gateway:

Portal

1. Gå till gatewaysidan Azure Arc – Azure Arc på Azure Portal.

2. Välj den nya Arc-gatewayresursen som ska associeras med datorn.

3. Gå till sidan Associerade resurser för din gateway-resurs.

4. Markera Lägga till.

5. Välj den Arc-aktiverade datorn som ska associeras med den nya Arc-gatewayresursen.

6. Välj Använd.

7. Uppdatera den Arc-aktiverade servern så att den använder Arc-gatewayen genom att köra azcmagent config set connection.type gateway.

CLI

1. Kör följande kommandon på den dator som du vill associera med en ny Arc-gateway:

   az arcgateway settings update
      --resource-group [Resource Group]
      --subscription [subscription name]
      --base-provider Microsoft.HybridCompute
      --base-resource-type machines
      --base-resource-name [Arc-Server’s name]
      --settings-resource-name default--gateway-resource-id [Full Arm resource id of the new Arc gateway resource]
   

2. Uppdatera den Arc-aktiverade servern så att den använder Arc-gatewayen genom att köra följande kommando:

   azcmagent config set connection.type gateway

PowerShell

1. Kör följande kommando på den dator som du vill associera med en ny Arc-gateway:

   Set-AzArcGatewaySettings  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId <Full Arm resourceid>
   

2. Uppdatera den Arc-aktiverade servern så att den använder Arc-gatewayen genom att köra följande kommando:

   azcmagent config set connection.type gateway

Ta bort Arc-gatewayassociation (om du vill använda direktvägen i stället)

1. Ange anslutningstypen för den Arc-aktiverade servern till "direct" i stället för "gateway" genom att köra följande kommando:

   azcmagent config set connection.type direct

   Kommentar

   Om du tar det här steget måste alla Azure Arc-nätverkskrav uppfyllas i din miljö för att kunna fortsätta utnyttja Azure Arc.

2. Koppla från Arc-gatewayresursen från datorn:

   Portal

   1. Gå till gatewaysidan Azure Arc – Azure Arc på Azure Portal.

   2. Välj Arc-gatewayresursen.

   3. Gå till sidan Associerade resurser för gatewayresursen och välj servern.

   4. Välj Ta bort.

   CLI

   Kör följande Azure CLI-kommando på en dator med åtkomst till Azure:

   az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id ""
   

   Kommentar

   Om du kör det här Azure CLI-kommandot i Windows PowerShell anger du --gateway-resource-id värdet null.

   PowerShell

   Kör följande PowerShell-kommando på en dator med åtkomst till Azure:

   Set-AzArcGatewaySettings  
       -ResourceGroup <res-group>  
       -Subscription <subscription name>  
       -BaseProvider <RP Name>  
       -BaseResourceType <Resource Type>  
       -Name <Arc-server's resource name>  
       -SettingsResourceName "default"  
       -GatewayResourceId ""
   

Ta bort en Arc-gatewayresurs

Kommentar

Den här åtgärden kan ta 4 till 5 minuter att slutföra.

Portal

1. Gå till gatewaysidan Azure Arc – Azure Arc på Azure Portal.

2. Välj Arc-gatewayresursen.

3. Välj Ta bort.

CLI

Kör följande Azure CLI-kommando på en dator med åtkomst till Azure:

az arcgateway delete --resource-group <Resource Group> --gateway-name <Arc gateway Resource Name >

PowerShell

Kör följande PowerShell-kommando på en dator med åtkomst till Azure:

Remove-AzArcGateway  
    -ResourceGroup <res-group>  
    -GatewayName <RP Name>

Felsökning

Du kan granska arc-gatewayens trafik genom att visa Azure Arc-proxyloggarna.

Så här visar du Arc-proxyloggar i Windows:

1. Kör azcmagent logs i PowerShell.
2. I den resulterande .zip filen finns loggarna i C:\ProgramData\Microsoft\ArcProxy mappen.

Så här visar du Arc-proxyloggar i Linux:

1. Kör sudo azcmagent logsoch dela den resulterande filen.
2. I den resulterande loggfilen finns loggarna i /usr/local/arcproxy/logs/ mappen .

Fler scenarier

Under den offentliga förhandsversionen täcker Arc-gatewayen de slutpunkter som krävs för registrering av en server, samt en del av de slutpunkter som krävs för ytterligare Arc-aktiverade scenarier. Baserat på de scenarion som du antar måste ytterligare slutpunkter tillåtas i proxyn.

Scenarier som inte kräver ytterligare slutpunkter

• Windows Admin Center
• SSH
• Utökade säkerhetsuppdateringar
• Microsoft Defender
• Azure-tillägg för SQL Server

Scenarier som kräver ytterligare slutpunkter

Slutpunkter som anges med följande scenarier måste tillåtas i företagsproxyn när du använder Arc-gateway:

• Azure Arc-aktiverade datatjänster

  • *.ods.opinsights.azure.com

  • *.oms.opinsights.azure.com

  • *.monitoring.azure.com

• Azure Monitor-agent

  • <log-analytics-workspace-id.ods.opinsights.azure.com>

  • <datainsamlingsslutpunkt>.<virtual-machine-region-name.ingest.monitor.azure.com>

• Certifikatsynkronisering för Azure Key Vault

  • <vault-name.vault.azure.net>

• Azure Automation Hybrid Runbook Worker-tillägg

  • *.azure-automation.net

• Uppdateringstillägg för Windows OS/Azure Update Manager

  • Din miljö måste uppfylla alla krav för Windows Update

Kända problem

Följande är en beskrivning av kända problem för Arc-gatewayen.

Uppdatering som behövs efter registrering av Azure Connected Machine-agent

När du använder registreringsskriptet (eller azcmagent connect kommandot) för att registrera en server med det angivna gatewayresurs-ID:t använder resursen Arc-gatewayen. Men på grund av en känd bugg (med en korrigering pågår) visas inte den Arc-aktiverade servern som en associerad resurs i Azure Portal om inte resursens inställningar uppdateras. Använd följande procedur för att utföra den här uppdateringen:

Portal

1. I Azure Portal navigerar du till Azure Arc | Arc Gateway-sida.

2. Välj den Arc-gatewayresurs som ska associeras med din Arc-aktiverade server.

3. Gå till sidan Associerade resurser för gatewayresursen.

4. Markera Lägga till.

5. Välj den Arc-aktiverade resursen som ska associeras med arc-gatewayresursen och välj Använd.

CLI

Kör följande Azure CLI-kommando på en dator med åtkomst till Azure:

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id <Full Arm resource id of the new Arc gateway resource>

PowerShell

Kör följande PowerShell-kommando på en dator med åtkomst till Azure:

Set-AzArcGatewaySettings  
    -ResourceGroup <res-group>  
    -Subscription <subscription name>  
    -BaseProvider <RP Name>  
    -BaseResourceType <Resource Type>  
    -Name <Arc-server's resource name>  
    -SettingsResourceName "default"  
    -GatewayResourceId <Full Arm resourceid>

Arc-proxyuppdatering krävs efter att en gateway-resurs har inaktiverats från datorn

När du kopplar från en Arc-gatewayresurs från en dator måste du uppdatera Arc-proxyn för att rensa Arc-gatewaykonfigurationen. Utför följande procedur för att göra det:

1. Stoppa arc-proxy.

   • Windows: Stop-Service arcproxy
   • Linux: sudo systemctl stop arcproxyd

2. cloudconfig.json Ta bort filen.

   • Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
   • Linux: "/var/opt/azcmagent/cloudconfig.json"

3. Starta arc-proxy.

   • Windows: Start-Service arcproxy
   • Linux: sudo systemctl start arcproxyd

4. Starta om himds (valfritt, men rekommenderas).

   • Windows: Restart-Service himds
   • Linux: sudo systemctl restart himdsd

Uppdatering som behövs för datorer som återaktiveras utan gateway

Om en Arc-aktiverad dator med en Arc-gateway tas bort från Azure Arc och åter arc-aktiveras utan en Arc-gateway, krävs en uppdatering för att uppdatera dess status i Azure Portal.

Viktigt!

Det här problemet uppstår bara när resursen är åter Arc-aktiverad med samma ARM-ID som den första aktiveringen.

I det här scenariot visas datorn felaktigt i Azure Portal som en resurs som är associerad med Arc-gatewayen. Om du planerar att Arc-aktivera en dator utan en Arc-gateway som tidigare var Arc-aktiverad med en Arc-gateway måste du uppdatera Arc-gatewayassociationen efter registrering för att förhindra detta. Använd följande procedur för att göra det:

Portal

1. I Azure Portal navigerar du till Azure Arc | Arc Gateway-sida.

2. Välj Arc-gatewayresursen.

3. Gå till sidan Associerade resurser för gatewayresursen.

4. Välj servern och välj sedan Ta bort.

CLI

Kör följande Azure CLI-kommando på en dator med åtkomst till Azure:

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name>  --gateway-resource-id ""

Kommentar

Om du kör det här Azure CLI-kommandot i Windows PowerShell anger du --gateway-resource-id värdet null.

PowerShell

Kör följande PowerShell-kommando på en dator med åtkomst till Azure:

Set-AzArcGatewaySettings  

    -ResourceGroup <res-group>  

    -Subscription <subscription name>  

    -BaseProvider <RP Name>  

    -BaseResourceType <Resource Type>  

    -Name <Arc-server's resource name>  

    -SettingsResourceName "default"  

    -GatewayResourceId ""

Manuell gatewayassociation krävs efter borttagning

Om en Arc-gateway tas bort medan en dator fortfarande är ansluten till den måste Azure Portal användas för att associera datorn med andra Arc-gatewayresurser.

Undvik det här problemet genom att koppla från alla Arc-aktiverade resurser från en Arc-gateway innan du tar bort gatewayresursen. Om det här felet uppstår använder du Azure Portal för att associera datorn med en ny Arc-gatewayresurs.