通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

已启用 Azure Arc 的服务器的网络拓扑和连接

  • 项目

可以使用已启用 Azure Arc 的服务器通过 Azure 控制平面管理 Windows 和 Linux 物理服务器和虚拟机。 本文介绍了已启用 Azure Arc 的服务器连接的关键设计注意事项和最佳做法,作为云采用框架企业级登陆区域指南的一部分。 本指南适用于在本地环境中或通过合作伙伴云提供商托管的物理服务器和虚拟机。

本文假定你已成功实现企业规模登陆区域并建立了混合网络连接。 本指南重点介绍已启用 Azure Arc 的服务器的连接计算机代理的连接。 有关更多信息,请参阅企业级登陆区域概述实施企业级登陆区域

体系结构

下图显示了已启用 Azure Arc 的服务器连接的概念参考体系结构。

显示已启用 Azure Arc 的服务器连接选项的示意图。

设计注意事项

对于已启用 Azure Arc 的服务器,请考虑以下网络设计注意事项。

  • 定义代理的连接方法:查看现有的基础结构和安全要求。 确定连接的计算机代理应如何从本地网络或其他云提供商与 Azure 通信。 此连接可以直接通过 Internet、代理服务器进行,也可以为专用连接实现 Azure 专用链接

  • 管理对 Azure 服务标记的访问:创建一个自动化流程,以根据连接的计算机代理网络要求保持防火墙和代理网络规则的更新。

  • 保护与 Azure Arc 的网络连接安全:将计算机操作系统配置为使用传输层安全性 (TLS) 版本 1.2。 由于已知的漏洞,不建议使用旧版本。

  • 定义扩展连接方法:确保在已启用 Azure Arc 的服务器上部署的 Azure 扩展可以与其他 Azure 服务通信。 你可以直接通过公共网络、防火墙或代理服务器提供此连接。 必须为 Azure Arc 代理配置专用终结点。 如果设计需要专用连接,则需要执行额外的步骤,为扩展访问的每个服务启用专用终结点连接。 此外,请根据成本、可用性和带宽要求,考虑使用共享线路或专用线路

  • 检查整体连接体系结构:查看网络拓扑和连接设计区域,以评估已启用 Azure Arc 的服务器如何影响整体连接。

设计建议

对于已启用 Azure Arc 的服务器,请考虑以下网络设计建议。

定义 Azure Arc 代理连接方法

可以使用已启用 Azure Arc 的服务器通过以下方法连接混合计算机:

  • 直接连接,可以选择从防火墙或代理服务器后面进行。
  • 专用链接。

直接连接

已启用 Azure Arc 的服务器可以提供与 Azure 公共终结点的直接连接。 使用此连接方法时,所有计算机代理都使用公共终结点通过 Internet 打开与 Azure 的连接。 适用于 Linux 和 Windows 的连接计算机代理通过 HTTPS 端口 (TCP/443) 安全地与 Azure 进行出站通信。

使用直接连接方法时,请评估已连接计算机代理的 Internet 访问。 我们建议你配置所需的网络规则

代理服务器或防火墙连接

如果你的计算机使用防火墙或代理服务器通过 Internet 进行通信,则代理将通过 HTTPS 协议进行出站连接。

如果使用防火墙或代理服务器来限制出站连接,请确保根据连接的计算机代理网络要求允许 IP 范围。 当你仅允许代理与服务通信所需的 IP 范围或域名时,请使用服务标记和 URL 来配置防火墙或代理服务器。

如果在已启用 Azure Arc 的服务器上部署扩展,则每个扩展都会连接到其自己的一个或多个终结点,并且还必须在防火墙或代理中允许所有相应的 URL。 添加这些终结点,以确保精细保护网络流量,并满足最低权限原则。

为了确保来自 Azure Arc 代理的所有流量都保留在网络上,请将已启用 Azure Arc 的服务器与 Azure Arc 专用链接范围配合使用。 这种配置提供了安全优势。 流量不会遍历 Internet,也不需要在数据中心防火墙上打开太多的出站异常。 但是,专用链接带来了许多管理挑战,并增加了整体复杂性和成本,尤其是对全球组织而言。 请考虑以下挑战:

  • Azure Arc 专用链接范围包含同一域名系统 (DNS) 范围下的所有 Azure Arc 客户端。 当某些 Azure Arc 客户端共享 DNS 服务器时,它们不能使用专用终结点,也不能使用公共终结点。 但是,你可以实现 DNS 策略等解决方法。

  • Azure Arc 客户端可以在主要区域中拥有所有专用终结点。 如果没有,则需要配置 DNS,以便将相同的专用终结点名称解析为不同的 IP 地址。 例如,可以为 Windows Server Active directory 集成的 DNS 使用选择性复制的 DNS 分区。 如果对所有 Azure Arc 客户端使用相同的专用终结点,则必须能够将所有网络中的流量路由到专用终结点。

  • 必须执行额外的步骤,才能对通过 Azure Arc 部署的扩展软件组件访问的任何 Azure 服务使用专用终结点。这些服务包括 Log Analytics 工作区、Azure 自动化帐户、Azure 密钥保管库和 Azure 存储。

  • 与 Microsoft Entra ID 的连接使用公共终结点,因此客户端一定程度上需要 Internet 访问。

  • 如果使用 Azure ExpressRoute 进行专用连接,请考虑查看线路网关连接ExpressRoute Direct 的复原最佳做法。

由于这些挑战,我们建议评估是否需要为 Azure Arc 实现专用链接。 公共终结点对流量进行加密。 根据为服务器使用 Azure Arc 的方式,可能会将流量限制为管理和元数据流量。 若要解决安全问题,请实施本地代理安全控制

有关详细信息,请参阅专用链接安全性,并查看与 Azure Arc 专用链接支持关联的限制和局限

显示已启用 Azure Arc 的服务器专用链接拓扑的关系图。

管理对 Azure 服务标记的访问权限

建议实施自动化过程,以根据 Azure Arc 网络要求更新防火墙和代理网络规则。

后续步骤

有关混合云采用之旅的更多指导,请参阅以下资源: