使用 Azure Arc 閘道簡化網路設定需求 (公開預覽)
如果您使用企業 Proxy 來管理輸出流量,Azure Arc 閘道可讓您只使用七個 (7) 個端點將基礎結構上線至 Azure Arc。 使用 Azure Arc 閘道,您可以:
- 只對七個完整功能變數名稱 (FQDN) 開啟公用網路存取,以連線到 Azure Arc。
- 檢視和稽核 Azure Connected Machine Agent 透過 Arc 閘道傳送至 Azure 的所有流量。
本文說明如何設定及使用Arc閘道(公開預覽)。
重要
已啟用 Azure Arc 之伺服器的 Arc 閘道功能目前在所有已啟用 Azure Arc 的伺服器都處於公開預覽狀態。 如需適用於 Beta 版、公開預覽版或尚未正式發行的 Azure 功能的法律條款,請參閱 Microsoft 適用於 azure 預覽版的補充使用規定。
Azure Arc 閘道的運作方式
Azure Arc 閘道包含兩個主要元件:
Arc 閘道資源:作為 Azure 流量常見前端的 Azure 資源。 此閘道資源會在特定網域上提供。 建立 Arc 閘道資源之後,網域就會在成功回應中傳回給您。
Arc Proxy:已新增至 Arc 代理程式的新元件。 此元件會以稱為「Azure Arc Proxy」的服務的形式執行,並作為 Azure Arc 代理程式和延伸模組所使用的轉送 Proxy。 Arc Proxy 的元件上不需要任何設定。 此 Proxy 是 Arc 核心代理程式的一部分,可在已啟用 Arc 的資源內容中執行。
閘道就緒時,流量會透過下列躍點流動:Arc 代理程式 → Arc Proxy → 企業 Proxy → Arc 閘道 →目標服務
目前的限制
在公開預覽期間,適用下列限制。 規劃您的設定時,請考慮這些因素。
- 不支援 TLS 終止 Proxy (公開預覽)
- 不支援搭配Arc閘道使用的ExpressRoute/站對站 VPN 或私人端點(公開預覽)。
- 每個 Azure 訂用帳戶的 Arc 閘道 (公開預覽) 資源限制為 5 個。
- Arc 閘道只能用於 Azure 公用雲端中的連線。
所需的權限
若要建立 Arc 閘道資源並管理其與已啟用 Arc 的伺服器關聯,需要下列許可權:
- Microsoft.HybridCompute/settings/write
- Microsoft.hybridcompute/gateways/read
- Microsoft.hybridcompute/gateways/write
如何使用 Arc 閘道 (公開預覽)
使用 Arc 閘道有四個步驟:
- 建立 Arc 閘道資源。
- 請確定您的環境中允許必要的 URL。
- 使用Arc閘道資源將 Azure Arc 資源上線,或設定現有的 Azure Arc 資源以使用 Arc 閘道。
- 確認設定成功。
步驟 1:建立 Arc 閘道資源
您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 來建立 Arc 閘道資源。
從瀏覽器登入 Azure 入口網站。
流覽至 Azure Arc |Azure Arc 閘道 頁面,然後選取 [ 建立]。
選取您想要在 Azure 中管理 Arc 閘道資源的訂用帳戶和資源群組。 相同 Azure 租使用者中任何已啟用 Arc 的資源都可以使用 Arc 閘道資源。
針對 [ 名稱],輸入Arc閘道資源的名稱。
針對 [ 位置],輸入Arc閘道資源應所在的區域。 在相同的 Azure 租使用者中,任何已啟用 Arc 的資源都可以使用 Arc 閘道資源。
選取 [下一步]。
在 [ 卷標] 頁面上,指定一或多個自定義標籤以支援您的標準。
選取 [ 檢閱及建立]。
檢閱您的輸入詳細數據,然後選取 [ 建立]。
閘道建立程序需要 9-10 分鐘才能完成。
步驟 2:確定環境中允許必要的 URL
建立資源時,成功回應會包含 Arc 閘道 URL。 請確定 Arc 閘道 URL 和下表中的所有 URL 均可在 Arc 資源所在的環境中使用。 必要的 URL 為:
| URL | 目的 |
|---|---|
| [您的 URL 前置詞].gw.arc.azure.com | 您的閘道 URL (您可以在建立閘道資源之後執行 az arcgateway list 來取得此 URL) |
| management.azure.com | Azure Resource Manager 控制通道所需的 Azure Resource Manager 端點 |
| login.microsoftonline.com | Microsoft Entra ID 的端點,用於取得身分識別存取權杖 |
| gbl.his.arc.azure.com | 與 Azure Arc 代理程式通訊的雲端服務端點 |
| <region>.his.arc.azure.com | 用於 Arc 的核心控制通道 |
| packages.microsoft.com | 取得 Linux 型 Arc代理程式承載時所需,只需要將 Linux 伺服器連線到 Arc |
步驟 3a:使用 Arc 閘道資源將 Azure Arc 資源上線。
產生安裝指令碼。
請遵循快速入門:將混合式電腦與已啟用 Azure Arc 的伺服器連線來建立指令碼,以自動化 Azure Connected Machine Agent 的下載和安裝,並建立與 Azure Arc 的連線。
重要
產生上線腳本時,請選取 [連線方法] 下的 [Proxy 伺服器],以顯示 [網關資源] 下拉式清單。
執行安裝指令碼,將您的伺服器上線至 Azure Arc。
在文稿中,Arc 閘道資源的 ARM 識別子會顯示為
--gateway-id。
步驟 3b:設定現有的 Azure Arc 資源以使用 Arc 閘道
您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell,將現有的 Azure Arc 資源設定為使用 Arc 閘道。
在 Azure 入口網站 上,移至 [Azure Arc - Azure Arc 閘道] 頁面。
選取 Arc 閘道資源,以與您的已啟用 Arc 的伺服器產生關聯。
移至閘道資源的 [相關聯資源] 頁面。
選取 [新增]。
選取已啟用 Arc 的資源,以與您的 Arc 閘道資源產生關聯。
選取套用。
執行
azcmagent config set connection.type gateway,將您的已啟用 Arc 的伺服器更新為使用 Arc 閘道。
步驟 4:確認安裝程式成功
在上線的伺服器上,執行下列命令:azcmagent show 結果應該會指出下列值:
- [代理程式狀態] 應該會顯示為 [已連線]。
- 使用 HTTPS Proxy 應該會顯示為 http://localhost:40343。
- 上游 Proxy 應該顯示為您的企業 Proxy (如果您設定一個 Proxy)。 閘道 URL 應反映閘道資源的網址。
此外,若要確認設定成功,您可以執行下列命令:azcmagent check 結果應該表示 connection.type 已設定為閘道,而 Reachable 資料行應該針對所有 URL 表示 true。
將電腦與新的Arc閘道產生關聯
若要將電腦與新的 Arc 閘道產生關聯:
在 [Azure 入口網站] 上,移至 [Azure Arc - Azure Arc 網關] 頁面。
選取要與計算機建立關聯的新Arc閘道資源。
移至閘道資源的 [相關聯資源] 頁面。
選取 [新增]。
選取已啟用 Arc 的電腦,以與新的 Arc 閘道資源產生關聯。
選取套用。
執行
azcmagent config set connection.type gateway,將您的已啟用 Arc 的伺服器更新為使用 Arc 閘道。
移除 Arc 閘道關聯 (改為使用直接路由)
執行下列命令,將已啟用 Arc 的伺服器連線類型設定為「直接」而非「閘道」:
azcmagent config set connection.type direct注意
如果您採取此步驟,環境中必須符合所有 Azure Arc 網路需求 ,才能繼續使用 Azure Arc。
將 Arc 閘道資源與電腦中斷連結:
在 [Azure 入口網站] 上,移至 [Azure Arc - Azure Arc 網關] 頁面。
選取Arc閘道資源。
移至閘道資源的 [ 相關聯資源] 頁面,然後選取伺服器。
選取 [移除]。
刪除 Arc 閘道資源
注意
此作業可能需要 4 到 5 分鐘才能完成。
在 [Azure 入口網站] 上,移至 [Azure Arc - Azure Arc 網關] 頁面。
選取Arc閘道資源。
選取 [刪除]。
疑難排解
您可以檢視 Azure Arc Proxy 記錄來稽核 Arc 閘道的流量。
若要在 Windows 上檢視 Arc Proxy 記錄:
- 在 PowerShell 中執行
azcmagent logs。 - 在產生的 .zip 檔案中,記錄位於
C:\ProgramData\Microsoft\ArcProxy資料夾中。
若要在Linux上檢視Arc Proxy 記錄:
- 執行
sudo azcmagent logs並共用產生的檔案。 - 在產生的記錄檔中,記錄位於
/usr/local/arcproxy/logs/資料夾中。
其他情節
在公開預覽期間,Arc 閘道涵蓋上線伺服器所需的端點,以及其他已啟用 Arc 之案例所需的一部分端點。 根據您採用的案例,您的 Proxy 中必須允許其他端點。
不需要其他端點的案例
- Windows Admin Center
- SSH
- 延伸安全性更新
- Microsoft Defender
- 適用於 SQL Server 的 Azure 延伸模組
需要其他端點的案例
使用 Arc 閘道時,企業 Proxy 中必須允許下列案例所列的端點:
已啟用 Azure Arc 的資料服務
*.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Azure 監視器代理程式
<log-analytics-workspace-id.ods.opinsights.azure.com>
<data-collection-endpoint>。<virtual-machine-region-name.ingest.monitor.azure.com>
Azure Key Vault 憑證同步
- <vault-name.vault.azure.net>
Azure 自動化混合式 Runbook 背景工作角色延伸模組
- *.azure-automation.net
Windows OS Update Extension / Azure Update Manager
- 您的環境必須符合 Windows Update 的所有必要條件
已知問題
以下是 Arc 閘道目前已知問題的描述。
Azure 連線機器代理程序上線之後需要重新整理
使用上線文稿 (或 azcmagent connect 命令) 以使用指定的閘道資源識別碼將伺服器上線時,資源會成功使用 Arc 閘道。 不過,由於已知錯誤(目前有修正程式),啟用Arc的伺服器將不會在Azure 入口網站中顯示為相關聯的資源,除非重新整理資源的設定。 使用下列程式來執行此重新整理:
在 Azure 入口網站 中,流覽至 Azure Arc |Arc 閘道頁面。
選取 Arc 閘道資源,以與您的已啟用 Arc 的伺服器產生關聯。
流覽至閘道資源的 [ 相關聯資源] 頁面。
選取 [新增]。
選取已啟用 Arc 的資源,以與您的 Arc 閘道資源產生關聯,然後選取 [ 套用]。
將閘道資源與計算機中斷鏈接之後所需的 Arc Proxy 重新整理
從計算機中斷連結Arc閘道資源時,您必須重新整理Arc Proxy以清除Arc閘道設定。 若要這樣做,請執行下列程式:
停止弧形 Proxy。
- Windows:
Stop-Service arcproxy - Linux:
sudo systemctl stop arcproxyd
- Windows:
刪除
cloudconfig.json檔案。- Windows:“C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json”
- Linux:“/var/opt/azcmagent/cloudconfig.json”
啟動arc Proxy。
- Windows:
Start-Service arcproxy - Linux:
sudo systemctl start arcproxyd
- Windows:
重新啟動他(選擇性,但建議)。
- Windows:
Restart-Service himds - Linux:
sudo systemctl restart himdsd
- Windows:
在沒有閘道的情況下重新啟用機器所需的重新整理
如果已啟用 Arc 閘道的 Arc 機器從 Azure Arc 中刪除,並在未啟用 Arc 閘道的情況下重新啟用 Arc,則需要重新整理,才能在 Azure 入口網站 中更新其狀態。
重要
只有當資源重新啟用與初始啟用相同的 ARM 識別符時,才會發生此問題。
在此案例中,計算機在 Azure 入口網站 中不正確地顯示為與Arc閘道相關聯的資源。 若要避免這種情況,如果您想要在未使用Arc閘道啟用Arc閘道的情況下啟用Arc,則必須在上線之後更新Arc閘道關聯。 若要執行此動作,請執行下列程序:
在 Azure 入口網站 中,流覽至 Azure Arc |Arc 閘道頁面。
選取Arc閘道資源。
流覽至閘道資源的 [ 相關聯資源] 頁面。
選取伺服器,然後選取 [ 移除]。
刪除后需要手動閘道關聯
如果計算機仍然連線到 Arc 閘道時刪除,Azure 入口網站 必須用來讓電腦與任何其他 Arc 閘道資源產生關聯。
若要避免此問題,請先中斷所有已啟用Arc的資源與Arc閘道的卸離,再刪除閘道資源。 如果您遇到此錯誤,請使用 Azure 入口網站 將機器與新的Arc閘道資源產生關聯。