使用 Azure Arc 閘道簡化網路設定需求 (預覽)
如果您使用企業 Proxy 來管理輸出流量,Azure Arc 閘道可協助簡化啟用連線的程式。
Azure Arc 閘道(目前為預覽版)可讓您:
- 只對七個完整功能變數名稱 (FQDN) 開啟公用網路存取,以連線到 Azure Arc。
- 檢視並稽核Arc代理程式透過Arc閘道傳送至 Azure 的所有流量。
重要
Azure Arc 閘道目前為預覽狀態。
請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
Azure Arc 閘道的運作方式
Arc 閘道的運作方式是引進兩個新的元件:
- Arc 閘道資源是 Azure 資源,可作為 Azure 流量的通用前端。 閘道資源會在特定網域/URL 上提供。 您必須遵循本文所述的步驟來建立此資源。 成功建立閘道資源之後,此網域/URL 會包含在成功回應中。
- Arc Proxy 是新的元件,會以自己的 Pod 執行(稱為 Azure Arc Proxy)。 此元件可作為 Azure Arc 代理程式和延伸模組所使用的轉寄 Proxy。 您不需要 Azure Arc Proxy 的設定。
如需詳細資訊,請參閱 Azure Arc 閘道的運作方式。
重要
Azure 本機和 AKS 不支援 TLS 終止 Proxy、ExpressRoute/站對站 VPN 或私人端點。 此外,每個 Azure 訂用帳戶都有五個 Arc 閘道資源的限制。
開始之前
請確定您已完成 在 Azure 本機上建立 AKS 叢集的必要條件。
本文需要 1.4.23 版或更新版本的 Azure CLI。 如果您使用 Azure CloudShell,則已安裝最新版本。
需要下列 Azure 許可權,才能建立 Arc 閘道資源,並管理其與 AKS Arc 叢集的關聯:
Microsoft.Kubernetes/connectedClusters/settings/default/writeMicrosoft.hybridcompute/gateways/readMicrosoft.hybridcompute/gateways/write
您可以使用 Azure CLI 或 Azure 入口網站 來建立 Arc 閘道資源。 如需如何為 AKS 叢集和 Azure 本機建立 Arc 閘道資源的詳細資訊,請參閱 在 Azure 中建立 Arc 閘道資源。 當您建立 Arc 閘道資源時,請執行下列命令來取得閘道資源識別碼:
$gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
確認必要URL的存取權
請確定您的 Arc 閘道 URL 和下列所有 URL 都允許透過您的企業防火牆:
| URL | 目的 |
|---|---|
[Your URL prefix].gw.arc.azure.com |
您的閘道 URL。 您可以在建立資源之後執行 az arcgateway list 來取得此 URL。 |
management.azure.com |
Azure Resource Manager 控制通道所需的 Azure Resource Manager 端點。 |
<region>.obo.arc.azure.com |
使用 時 az connectedk8s proxy 為必要專案。 |
login.microsoftonline.com, <region>.login.microsoft.com |
Microsoft用於取得身分識別存取令牌的 Entra 標識碼端點。 |
gbl.his.arc.azure.com, <region>.his.arc.azure.com |
與 Arc Agents 通訊的雲端服務端點。 使用簡短名稱;例如 eus ,美國東部。 |
mcr.microsoft.com, *.data.mcr.microsoft.com |
提取 Azure Arc 代理程式的容器映像時所需。 |
建立已啟用Arc閘道的 AKS Arc 叢集
執行下列命令以建立已啟用 Arc 閘道的 AKS Arc 叢集:
az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys
更新 AKS Arc 叢集並啟用 Arc 閘道
執行下列命令來更新 AKS Arc 叢集並啟用 Arc 閘道:
az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId
停用 AKS Arc 叢集上的 Arc 閘道
執行下列命令以停用 AKS Arc 叢集:
az aksarc update -n $clusterName -g $resourceGroup --disable-gateway
監視流量
若要稽核網關流量,請檢視網關路由器記錄:
- 執行
kubectl get pods -n azure-arc。 - 識別 Arc Proxy Pod(其名稱開頭為
arc-proxy-)。 - 執行
kubectl logs -n azure-arc <Arc Proxy pod name>。
其他案例
在公開預覽期間,Arc 閘道涵蓋 AKS Arc 叢集所需的端點,以及其他已啟用 Arc 之案例所需的部分端點。 根據您採用的案例,您的 Proxy 中仍必須允許其他端點。
當 Arc 閘道正在使用時,企業 Proxy 中必須允許列出下列案例的所有端點:
- Azure 監視器中的容器深入解析:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
- Azure 金鑰保存庫:
<vault-name>.vault.azure.net
- Azure 原則:
data.policy.core.windows.netstore.policy.core.windows.net
- 適用於容器的 defender Microsoft:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com
- 已啟用 Azure Arc 的資料服務
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com