共用方式為

支援 Azure Arc 之伺服器的網路拓撲和連線

  • 發行項

您可以使用支援 Azure Arc 的伺服器,透過 Azure 控制平面管理 Windows 和 Linux 實體伺服器和虛擬機器。 本文說明 Azure Arc 已啟用的伺服器連線設計時需考量的要點和最佳實務,並作為適用於 Azure 企業級登陸區雲端採用架構指引的一部分。 這些指南適用於您在內部部署環境或透過合作夥伴雲端提供者托管的實體伺服器和虛擬機器。

本文假設您已成功實施企業級登陸區域,並建立了混合網路連線。 該指南側重於支援 Azure Arc 之伺服器的已連線機器代理程式的連線能力。 有關詳細信息,請參閱「企業級登陸區域概觀」「實施企業級登陸區域」

架構

下圖顯示了支援 Azure Arc 之伺服器連線的概念性參考架構。

顯示支援 Azure Arc 的伺服器連線選項的圖表。

設計考量

對於支援 Azure Arc 的伺服器,請考慮下列網路設計注意事項。

  • 管理對 Azure 服務標籤的存取權:建立一個自動化流程,以根據連接機器代理程式的網路需求,保持防火牆和 Proxy 網路規則更新。
  • 保護您與 Azure Arc 的網路連線:設定機器作業系統以使用傳輸層安全性 (TLS) 1.2 版。 不建議使用較舊的版本,因為它們存在已知的安全性漏洞。
  • 定義擴充連線方法:確保您在支援 Azure Arc 的伺服器上部署的 Azure 擴充功能能夠與其他 Azure 服務進行通訊。 您可以透過公共網路、防火牆或 Proxy 伺服器直接提供這種連線。 您必須為 Azure Arc 代理程式設定私人端點。 如果您的設計需要私人連線,則需要採取額外步驟來為擴充存取權的每項服務啟用私人端點連線。 此外,根據您的成本、可用性和頻寬需求,來考慮使用共用線路或專用線路
  • 檢查您的整體連線架構:檢查網路拓撲和連線設計區域,以評估支援 Azure Arc 的伺服器如何影響您的整體連線。

設計建議

對於支援 Azure Arc 的伺服器,請考慮下列網路設計建議。

定義 Azure Arc 代理程式連線方法

請先檢閱您現有的基礎結構和安全性需求。 然後決定連線的電腦代理程式應如何從內部部署網路或其他雲端提供者 與 Azure 通訊。 此連線可以透過因特網、透過 Proxy 伺服器,或透過 Azure Private Link 進行私人連線。 如果您想透過公開網絡使用或不使用 Proxy 來實作 Azure Arc,也可以使用目前正在公開預覽中的名為 Azure Arc 閘道的功能。 這項功能可協助減少 Proxy 需要允許存取的端點總數。

直接連線

支援 Azure Arc 的伺服器可以提供與 Azure 公用端點的直接連線。 當您使用這種連線方法時,所有機器代理程式都使用公用端點,透過網際網路與 Azure 建立連線。 適用於 Linux 和 Windows 的連接機器代理程式透過 HTTPS 通訊協定 (TCP/443) 安全地與 Azure 進行出站通訊。

當您使用直接連線方法時,請評估所連線的機器代理程式的網際網路存取權。 建議您設定必要的網路規則

Proxy 伺服器或防火牆連接

如果您的機器使用防火牆或 Proxy 伺服器透過網際網路進行通訊,代理程式將透過 HTTPS 通訊協定進行出站連接。

如果您使用防火牆或 Proxy 伺服器來限制出站連接,請確保根據已連接的機器代理程式網路要求允許 IP 範圍。 當您只允許代理程式所需的 IP 範圍或網域名稱與服務進行通訊時,請使用服務標籤和 URL 來設定防火牆或 Proxy 伺服器。

如果您在支援 Azure Arc 的伺服器上部署擴充功能,則每個擴充功能都會連接到其自己的一個或多個端點,並且您還必須允許防火牆或 Proxy 中的所有對應 URL。 新增這些端點以確保精細的安全網路流量,並遵守最小權限原則。

若要減少防火牆或 Proxy 中所需的 URL 總數,請判斷 Azure Arc 閘道服務是否有用。

Azure Arc 閘道

Azure Arc 閘道(公開預覽版) 可減少 Proxy 需要讓 Azure Arc 運作的輸出 HTTPS 端點總數。 它不需要大部分通配符端點,並將所需的端點總數減少到8個。 它可以使用某些延伸模組端點,因此您不需要在代理伺服器中建立更多 URL 排除專案。

Azure Arc 閘道服務目前不適用於 Private Link 或 Azure ExpressRoute 對等互連,因為您必須透過因特網存取 Azure Arc 閘道服務。

為了確保來自 Azure Arc 代理程式的所有流量都會保留在您的網路上,請使用已啟用 Azure Arc 的 Azure Arc 伺服器,其具有 Azure Arc Private Link 範圍。 此設定提供安全性優勢。 流量不會穿越網際網路,因此您不需要在資料中心防火牆上開放那麼多的出站例外狀況。 但是 Private Link 會面臨許多管理挑戰,並增加整體的複雜度和成本,尤其是針對全球組織。 請考慮下列挑戰:

  • Azure Arc Private Link Scope 涵蓋了同一網域名稱系統 (DNS) 範圍內的所有 Azure Arc 用戶端。 當 Azure Arc 用戶端共用同一 DNS 伺服器時,您不能有有些 Azure Arc 用戶端使用私人端點,而有些使用公用端點。 但您可以實施像是 DNS 原則之類的因應措施。

  • 您的 Azure Arc 用戶端可以在主要區域內擁有所有私人端點。 如果沒有,您需要設定 DNS,使得相同的私人端點名稱解析到不同的 IP 位址。 例如,您可以使用選擇性複製的 DNS 分割區來處理 Windows Server Active Directory 整合 DNS。 如果您對所有 Azure Arc 用戶端使用相同的私人端點,則您必須能夠將流量從所有網路路由到這些私人端點。

  • 若要針對透過 Azure Arc 部署的擴充功能軟體元件存取的任何 Azure 服務使用私人端點,您必須執行額外的步驟。 這些服務包括 Log Analytics 工作區、Azure 自動化帳戶、Azure Key Vault 和 Azure 記憶體。

  • 連線到 Microsoft Entra ID 會使用公用端點,因此用戶端會需要一定程度的網際網路存取權。

  • 如果您使用 ExpressRoute 進行私人連線,請考慮檢閱 線路的復原最佳做法,網關連線,以及 ExpressRoute Direct

鑑於這些挑戰,建議您評估是否需要在 Azure Arc 實施中使用 Private Link。 公用端點會加密流量。 根據您對伺服器使用 Azure Arc 的方式,您可能會將流量限制為管理和中繼資料流量。 為了解決安全性問題,請實施本機代理程式安全性控制

若想了解更多資訊,請參閱Private Link 的安全性,以及與 Azure Arc 的 Private Link 支援相關的約束和限制

圖表顯示支援 Azure Arc 的伺服器 Private Link 拓撲。

管理 Azure 服務標籤的存取權

建議您實施自動化流程,以根據 Azure Arc 的網路需求更新防火牆和 Proxy 網路規則。

下一步

如需混合式雲端採用旅程的詳細資訊,請參閱下列資源: