关于 Azure Local 版本 23H2 的 Azure Arc 网关（预览版）

项目
11/23/2024

适用于：Azure 本地版本 23H2、版本 2408、2408.1、2408.2 和 2411

重要

Azure Stack HCI 现在是 Azure 本地的一部分。产品文档重命名正在进行中。文本更改已完成，视觉更新即将完成。了解详细信息。

本文概述了 Azure Local 版本 23H2 的 Azure Arc 网关。可以在 Azure 本地运行软件版本 2408 及更高版本的新部署上启用 Arc 网关。本文还介绍如何在 Azure 中创建和删除 Arc 网关资源。

可以使用 Arc 网关显著减少部署和管理 Azure 本地实例所需的终结点数。创建 Arc 网关后，可以连接到 Azure Local 的新部署并将其用于新部署。

有关如何为独立服务器（而不是 Azure 本地计算机）部署 Azure Arc 网关的信息，请参阅通过 Azure Arc 网关简化网络配置要求。

重要

此功能目前处于预览状态。有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款，请参阅 Microsoft Azure 预览版的补充使用条款。

工作原理

Arc 网关的工作原理是引入以下组件：

Arc 网关资源 – 充当 Azure 流量的常见入口点的 Azure 资源。此网关资源具有可以使用的特定域或 URL。创建 Arc 网关资源时，此域或 URL 是成功响应的一部分。
Arc 代理 – 已添加到 Arc Agentry 的新组件。此组件作为服务（称为 Azure Arc 代理）运行，充当 Azure Arc 代理和扩展的转发代理。网关路由器不需要来自你的方的任何配置。此路由器是 Arc 核心代理的一部分，在已启用 Arc 的资源的上下文中运行。

将 Arc 网关与 Azure 本地部署版本 2411 集成后，每台计算机都会与其他 Arc 代理一起获取 Arc 代理。

使用 Arc 网关时，http 和 https 流量流会更改，如下所示：

Azure 本地主机操作系统组件的流量流

OS 代理设置用于通过 Arc 代理路由所有 HTTPS 主机流量。
从 Arc 代理将流量转发到 Arc 网关。
根据 Arc 网关中的配置（如果允许）将流量发送到目标服务。如果不允许，Arc 代理会将此流量重定向到企业代理（如果未设置代理，则直接出站）。 Arc 代理会自动确定终结点的正确路径。

Arc 设备 Arc 资源桥（ARB）和 AKS 控制平面的流量流

从现在起，可路由 IP（故障转移群集 IP 资源）用于通过 Azure 本地主机上运行的 Arc 代理转发流量。
ARB 和 AKS 转发代理配置为使用可路由 IP。
在代理设置到位后，ARB 和 AKS 出站流量将转发到通过可路由 IP 在某个 Azure 本地计算机上运行的 Arc 代理。
流量到达 Arc 代理后，剩余流将采用与所述路径相同的路径。如果允许发往目标服务的流量，则会将其发送到 Arc 网关。如果没有，则会将其发送到企业代理（如果未设置代理，则直接出站）。请注意，对于 AKS，此路径用于下载 Arc Agentry 和 Arc 扩展 Pod 的 docker 映像。

Arc VM 的流量流

Http 和 https 流量将转发到企业代理。此版本尚不支持 Arc VM 中的 Arc 代理。

下图演示了流量流：

受支持的方案和不受支持的方案

可以在以下方案中将 Arc 网关用于 Azure 本地版本 2408 和 2411：

在部署运行版本 2408 和 2411 的新 Azure 本地实例时启用 Arc 网关。

Azure 本地版本 2408 和 2411 不支持的方案包括：

从版本 2402 或 2405 更新到版本 2408 或 2411 的 Azure 本地实例无法利用此 Arc 网关预览支持的所有新终结点。只有在启用 Arc 网关作为新版本 2408 部署的一部分时，才支持主机组件、Arc 扩展、ARB 和 AKS 所需的终结点。
在版本 2408 或 2411 部署后启用 Arc 网关不能利用此 Arc 网关预览支持的所有新终结点。只有在启用 Arc 网关作为新版本 2408 或版本 2411 部署的一部分时，才支持主机、Arc 扩展、ARB 和 AKS 所需的终结点。

未重定向 Azure 本地终结点

作为 Azure 本地版本 2408 预览版更新的一部分，表中的终结点是必需的，并且必须允许在代理或防火墙中列出才能部署 Azure 本地实例。这些版本 2408 和 2411 终结点不会通过 Arc 网关重定向：

端点#	所需的终结点	组件
1	`http://go.microsoft.com:443`	环境检查器
2	`http://www.powershellgallery.com:443`	环境检查器
3	`http://psg-prod-eastus.azureedge.net:443`	环境检查器
4	`http://onegetcdn.azureedge.net:443`	环境检查器
5	`http://login.microsoftonline.com:443`	环境检查器
6	`http://aka.ms:443`	环境检查器
7	`http://azurestackreleases.download.prss.microsoft.com:443`	环境检查器
8	`http://download.microsoft.com:443`	环境检查器
9	`http://portal.azure.com:443`	环境检查器
10	`http://management.azure.com:443`	环境检查器
11	`http://www.office.com:443`	环境检查器
12	`http://gbl.his.arc.azure.com:443`	Arc 代理
13	`http://<region>.his.arc.azure.com:443`	Arc 代理
14	`http://dc.services.visualstudio.com:443`	Arc 代理
15	`http://<yourarcgatewayId>.gw.arc.azure.com:443`	Arc 网关
16	`http://<yourkeyvaultname>.vault.azure.net:443`	Azure Key Vault
17	`http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443`	云见证存储帐户
18	`http://files.pythonhosted.org:443`	Microsoft本地云/ARB/AKS
19	`http://pypi.org:443`	Microsoft本地云/ARB/AKS
20	`http://raw.githubusercontent.com:443`	Microsoft本地云/ARB/AKS
21	`http://pythonhosted.org:443`	Microsoft本地云/ARB/AKS
22	`http://hciarcvmsstorage.z13.web.core.windows.net:443`	Microsoft本地云/ARB/AKS
23	`http://ocsp.digicert.com`	Arc 扩展的证书吊销列表
24	`http://s.symcd.com`	Arc 扩展的证书吊销列表
25	`http://ts-ocsp.ws.symantec.com`	Arc 扩展的证书吊销列表
26	`http://ocsp.globalsign.com`	Arc 扩展的证书吊销列表
27	`http://ocsp2.globalsign.com`	Arc 扩展的证书吊销列表
28	`http://oneocsp.microsoft.com`	Arc 扩展的证书吊销列表
29	`http://dl.delivery.mp.microsoft.com`	LCM 二进制文件
30	`http://*.tlu.dl.delivery.mp.microsoft.com`	LCM 二进制文件
31	`http://*.windowsupdate.com`	Windows 更新
32	`http://*.windowsupdate.microsoft.com`	Windows 更新
33	`http://*.update.microsoft.com`	Windows 更新

限制和局限

在此版本中，请考虑 Arc 网关的以下限制：

Arc 网关预览不支持 TLS 终止代理。
除了 Arc 网关（预览版）之外，不支持使用 ExpressRoute、站点到站点 VPN 或专用终结点。

在 Azure 中创建 Arc 网关资源

可以使用 Azure 门户、Azure CLI 或 Azure PowerShell 来创建 Arc 网关资源。

登录到 Azure 门户。
转到 Azure Arc > Azure Arc 网关 页，然后选择“ 创建”。
选择要在 Azure 中管理 Arc 网关资源的订阅和资源组。 Arc 网关资源可由同一 Azure 租户中已启用 Arc 的任何资源使用。
对于 Name，请输入 Arc 网关资源的名称。
对于位置，请输入 Arc 网关资源应所在的区域。 Arc 网关资源可由同一 Azure 租户中已启用 Arc 的任何资源使用。
选择下一步。
在“标记”页上，指定一个或多个自定义标记，以支持你的标准。
选择“查看 + 创建”。
查看详细信息，然后选择“ 创建”。

网关创建过程需要 9 到 10 分钟才能完成。

将 arc 网关扩展添加到 Azure CLI：

az extension add -n arcgateway
在有权访问 Azure 的计算机上，运行以下命令以创建 Arc 网关资源：
```
az arcgateway create --name [gateway name] --resource-group [resource group] --location [location]
```
网关创建过程需要 9-10 分钟才能完成。

在可以访问 Azure 的计算机上，运行以下 PowerShell 命令以创建 Arc 网关资源：

New-AzArcgateway 
-name <gateway name> 
-resource-group <resource group> 
-location <region> 
-subscription <subscription name or id> 
-gateway-type public  
-allowed-features *

网关创建过程需要 9-10 分钟才能完成。

从计算机分离或更改 Arc 网关关联

若要从已启用 Arc 的服务器分离网关资源，请将网关资源 ID 设置为 null。如果要将已启用 Arc 的服务器附加到另一个 Arc 网关资源，只需使用新的 Arc 网关信息更新名称和资源 ID：

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "

删除 Arc 网关资源

在删除 Arc 网关资源之前，请确保未附加任何计算机。若要删除网关资源，请运行以下命令：

az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>

此操作可能需要几分钟时间。

通过