Om Azure Arc-gateway för Azure Local, version 23H2 (förhandsversion)
Gäller för: Azure Local, version 23H2, version 2408, 2408.1, 2408.2 och 2411
Viktigt!
Azure Stack HCI är nu en del av Azure Local. Namnbytet av produktdokumentation pågår. Textändringarna har slutförts och de visuella uppdateringarna kommer snart att slutföras. Läs mer.
Den här artikeln innehåller en översikt över Azure Arc-gatewayen för Azure Local, version 23H2. Arc-gatewayen kan aktiveras vid nya distributioner av Azure Local som kör programvaruversion 2408 och senare. Den här artikeln beskriver också hur du skapar och tar bort Arc-gatewayresursen i Azure.
Du kan använda Arc-gatewayen för att avsevärt minska antalet nödvändiga slutpunkter som krävs för att distribuera och hantera lokala Azure-instanser. När du har skapat Arc-gatewayen kan du ansluta till och använda den för nya distributioner av Azure Local.
Information om hur du distribuerar Azure Arc-gatewayen för fristående servrar (inte lokala Azure-datorer) finns i Förenkla kraven på nätverkskonfiguration via Azure Arc-gateway.
Viktigt!
Den här funktionen är för närvarande i förhandsversion. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.
Hur det fungerar
Arc-gatewayen fungerar genom att introducera följande komponenter:
Arc Gateway-resurs – en Azure-resurs som fungerar som en vanlig startpunkt för Azure-trafik. Den här gatewayresursen har en specifik domän eller URL som du kan använda. När du skapar Arc-gatewayresursen är den här domänen eller URL:en del av framgångssvaret.
Arc-proxy – en ny komponent som läggs till i Arc Agentry. Den här komponenten körs som en tjänst (kallas Azure Arc-proxyn) och fungerar som en framåtriktad proxy för Azure Arc-agenter och -tillägg. Gateway-routern behöver ingen konfiguration från din sida. Den här routern är en del av Arc Core-agentiteten och körs i kontexten för en Arc-aktiverad resurs.
När du har integrerat Arc-gatewayen med version 2411 av Azure Local-distributioner får varje dator Arc-proxy tillsammans med andra Arc-agenter.
När Arc-gatewayen används ändras http- och https-trafikflödet enligt följande:
Trafikflöde för Azure Local-värdoperativsystemkomponenter
Inställningarna för OS-proxy används för att dirigera all HTTPS-värdtrafik via Arc-proxy.
Från Arc-proxyn vidarebefordras trafiken till Arc-gatewayen.
Om det är tillåtet skickas trafiken till måltjänster baserat på konfigurationen i Arc-gatewayen. Om den inte tillåts omdirigerar Arc-proxyn den här trafiken till företagsproxyn (eller direkt utgående om ingen proxyuppsättning). Arc-proxy avgör automatiskt rätt sökväg för slutpunkten.
Trafikflöde för Arc-installationen Arc Resource Bridge (ARB) och AKS-kontrollplanet
Den dirigerbara IP-adressen (redundansklustrad IP-resurs från och med nu) används för att vidarebefordra trafiken via Arc-proxyn som körs på de lokala Azure-värddatorerna.
ARB- och AKS-vidarebefordranproxyn är konfigurerade för att använda den dirigerbara IP-adressen.
Med proxyinställningarna på plats vidarebefordras ARB- och AKS-utgående trafik till Arc Proxy som körs på en av de lokala Azure-datorerna via den dirigerbara IP-adressen.
När trafiken når Arc-proxyn tar det återstående flödet samma sökväg som beskrivs. Om trafik till måltjänsten tillåts skickas den till Arc-gatewayen. Annars skickas den till företagsproxyn (eller direkt utgående om ingen proxyuppsättning). Observera att för AKS specifikt används den här sökvägen för att ladda ned Docker-avbildningar för Arc Agentry- och Arc-tilläggspoddar.
Trafikflöde för virtuella Arc-datorer
Http- och https-trafik vidarebefordras till företagsproxyn. Arc-proxyn på den virtuella Arc-datorn stöds ännu inte i den här versionen.
Trafikflöden illustreras i följande diagram:
Scenarier som stöds och som inte stöds
Du kan använda Arc-gatewayen i följande scenario för Azure Local-versionerna 2408 och 2411:
- Aktivera Arc-gateway under distributionen av nya lokala Azure-instanser som kör versionerna 2408 och 2411.
Scenarier som inte stöds för Azure Local, versionerna 2408 och 2411 omfattar:
Lokala Azure-instanser som har uppdaterats från version 2402 eller 2405 till version 2408 eller 2411 kan inte dra nytta av alla nya slutpunkter som stöds av den här förhandsversionen av Arc Gateway. Värdkomponenter, Arc-tillägg, ARB- och AKS-slutpunkter som krävs stöds endast när du aktiverar Arc-gatewayen som en del av en ny version 2408-distribution.
Aktivering av Arc-gateway efter version 2408- eller 2411-distributionen kan inte dra nytta av alla nya slutpunkter som stöds av den här förhandsversionen av Arc-gatewayen. Värd-, Arc-tillägg, ARB- och AKS-nödvändiga slutpunkter stöds endast när du aktiverar Arc-gatewayen som en del av en ny version 2408- eller version 2411-distribution.
Azures lokala slutpunkter omdirigeras inte
Som en del av förhandsversionen av Azure Local version 2408 krävs slutpunkterna från tabellen och måste tillåtas i proxyn eller brandväggen för att distribuera den lokala Azure-instansen. Dessa version 2408- och 2411-slutpunkter omdirigeras inte via Arc-gatewayen:
| Slutpunkt # | Nödvändig slutpunkt | Komponent |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Miljökontroll |
| 2 | http://www.powershellgallery.com:443 |
Miljökontroll |
| 3 | http://psg-prod-eastus.azureedge.net:443 |
Miljökontroll |
| 4 | http://onegetcdn.azureedge.net:443 |
Miljökontroll |
| 5 | http://login.microsoftonline.com:443 |
Miljökontroll |
| 6 | http://aka.ms:443 |
Miljökontroll |
| 7 | http://azurestackreleases.download.prss.microsoft.com:443 |
Miljökontroll |
| 8 | http://download.microsoft.com:443 |
Miljökontroll |
| 9 | http://portal.azure.com:443 |
Miljökontroll |
| 10 | http://management.azure.com:443 |
Miljökontroll |
| 11 | http://www.office.com:443 |
Miljökontroll |
| 12 | http://gbl.his.arc.azure.com:443 |
Arc-agent |
| 13 | http://<region>.his.arc.azure.com:443 |
Arc-agent |
| 14 | http://dc.services.visualstudio.com:443 |
Arc-agent |
| 15 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Arc-gateway |
| 16 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 17 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Cloud Witness Storage-konto |
| 18 | http://files.pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 19 | http://pypi.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 20 | http://raw.githubusercontent.com:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 21 | http://pythonhosted.org:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 22 | http://hciarcvmsstorage.z13.web.core.windows.net:443 |
Microsoft On-premises Cloud/ARB/AKS |
| 23 | http://ocsp.digicert.com |
Lista över återkallade certifikat för Arc-tillägg |
| 24 | http://s.symcd.com |
Lista över återkallade certifikat för Arc-tillägg |
| 25 | http://ts-ocsp.ws.symantec.com |
Lista över återkallade certifikat för Arc-tillägg |
| 26 | http://ocsp.globalsign.com |
Lista över återkallade certifikat för Arc-tillägg |
| 27 | http://ocsp2.globalsign.com |
Lista över återkallade certifikat för Arc-tillägg |
| 28 | http://oneocsp.microsoft.com |
Lista över återkallade certifikat för Arc-tillägg |
| 29 | http://dl.delivery.mp.microsoft.com |
LCM-binärfiler |
| 30 | http://*.tlu.dl.delivery.mp.microsoft.com |
LCM-binärfiler |
| 31 | http://*.windowsupdate.com |
Windows Update |
| 32 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 33 | http://*.update.microsoft.com |
Windows Update |
Villkor och begränsningar
Överväg följande begränsningar för Arc-gatewayen i den här versionen:
- TLS-avslutande proxyservrar stöds inte med förhandsversionen av Arc Gateway.
- Användning av ExpressRoute, plats-till-plats-VPN eller privata slutpunkter utöver Arc-gatewayen (förhandsversion) stöds inte.
Skapa Arc-gatewayresursen i Azure
Du kan skapa en Arc-gatewayresurs med hjälp av Azure Portal, Azure CLI eller Azure PowerShell.
- Logga in på Azure-portalen.
- Gå till Azure Arc > Azure Arc-gatewaysidan och välj sedan Skapa.
- Välj den prenumeration och resursgrupp där du vill att Arc-gatewayresursen ska hanteras i Azure. En Arc-gatewayresurs kan användas av alla Arc-aktiverade resurser i samma Azure-klientorganisation.
- Som Namn anger du namnet på Arc-gatewayresursen.
- För Plats anger du den region där Arc-gatewayresursen ska finnas. En Arc-gatewayresurs kan användas av alla Arc-aktiverade resurser i samma Azure-klientorganisation.
- Välj Nästa.
- På sidan Taggar anger du en eller flera anpassade taggar som stöder dina standarder.
- Välj Granska och skapa.
- Granska din information och välj sedan Skapa.
Det tar nio till tio minuter att skapa gatewayen.
Koppla från eller ändra Arc-gatewayassociationen från datorn
Om du vill koppla bort gatewayresursen från din Arc-aktiverade server anger du gatewayresurs-ID:t till null. Om du vill koppla en Arc-aktiverad server till en annan Arc-gatewayresurs uppdaterar du bara namnet och resurs-ID:t med den nya Arc-gatewayinformationen:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
Ta bort Arc-gatewayresursen
Kontrollera att inga datorer är anslutna innan du tar bort en Arc-gatewayresurs. Kör följande kommando för att ta bort gatewayresursen:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Den här åtgärden kan ta några minuter.