關於適用於 Azure 本機的 Azure Arc 閘道,版本 23H2 (預覽)
適用於:Azure 本機版本 23H2、版本 2408、2408.1、2408.2 和 2411
重要
Azure Stack HCI 現在是 Azure 本機的一部分。 產品檔案重新命名正在進行中。 文字變更已完成,視覺效果更新即將完成。 深入了解。
本文提供 Azure Local 版本 23H2 的 Azure Arc 閘道概觀。 Arc 閘道可以在 Azure 本機執行軟體版本 2408 和更新版本的新部署上啟用。 本文也會說明如何在 Azure 中建立和刪除 Arc 閘道資源。
您可以使用 Arc 閘道大幅減少部署和管理 Azure 本機實例所需的端點數目。 建立Arc閘道之後,您可以連線並用於 Azure Local 的新部署。
如需如何為獨立伺服器部署 Azure Arc 閘道的資訊(而非 Azure 本機電腦),請參閱 透過 Azure Arc 閘道簡化網路設定需求。
重要
這項功能目前為「預覽」狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
運作方式
Arc 閘道的運作方式是引進下列元件:
Arc 閘道資源 – 作為 Azure 流量的常見進入點的 Azure 資源。 此閘道資源具有您可以使用的特定網域或URL。 當您建立 Arc 閘道資源時,此網域或 URL 是成功回應的一部分。
Arc Proxy – 新增至 Arc Agentry 的新元件。 此元件會以服務的形式執行(稱為 Azure Arc Proxy),並做為 Azure Arc 代理程式和延伸模組的轉寄 Proxy。 網關路由器不需要您端的任何設定。 此路由器是 Arc 核心代理程式的一部分,可在已啟用 Arc 的資源內容中執行。
在整合Arc閘道與2411版 Azure 本機部署之後,每部電腦都會與其他Arc代理程式一起取得Arc Proxy。
使用Arc閘道時,HTTP 和 HTTPs 流量流程會變更,如下所示:
Azure 本機主機操作系統元件的流量流程
OS Proxy 設定可用來透過 Arc Proxy 路由傳送所有 HTTPS 主機流量。
從 Arc Proxy,流量會轉送至 Arc 閘道。
根據 Arc 閘道中的組態,如果允許,流量就會傳送至目標服務。 如果不允許,Arc Proxy 會將此流量重新導向至企業 Proxy(如果沒有設定 Proxy 則直接輸出)。 Arc Proxy 會自動判斷端點的正確路徑。
Arc 設備 Arc 資源網橋 (ARB) 和 AKS 控制平面的流量
截至現在為止,可路由IP(故障轉移叢集IP資源)可用來透過在 Azure 本機主機電腦上執行的 Arc Proxy 轉送流量。
ARB 和 AKS 轉寄 Proxy 已設定為使用可路由 IP。
在 Proxy 設定就緒後,ARB 和 AKS 輸出流量會轉送至透過可路由 IP 在其中一部 Azure 本機電腦上執行的 Arc Proxy。
流量到達 Arc Proxy 之後,剩餘的流程會採用與所述相同的路徑。 如果允許目標服務的流量,則會傳送至Arc閘道。 如果沒有,則會傳送至企業 Proxy(如果沒有設定 Proxy,則會直接輸出)。 請注意,特別針對 AKS,此路徑用於下載 Arc Agentry 和 Arc Extension Pod 的 Docker 映像。
Arc VM 的流量流程
Http 和 HTTPs 流量會轉送至企業 Proxy。 此版本尚不支援 Arc VM 內的 Arc Proxy。
下圖說明流量:
支援與不支援的案例
針對 Azure 本機版本 2408 和 2411,您可以在下列案例中使用 Arc 閘道:
- 在執行版本 2408 和 2411 的新 Azure 本機實例部署期間啟用 Arc 閘道。
Azure 本機版本 2408 和 2411 不支援的案例包括:
從版本 2402 或 2405 更新為 2408 或 2411 版的 Azure 本機實例無法利用此 Arc 網關預覽版支援的所有新端點。 只有在啟用 Arc 閘道作為新版本 2408 部署的一部分時,才支援主機組件、Arc 延伸模組、ARB 和 AKS 所需的端點。
在 2408 版或 2411 版部署之後啟用 Arc 閘道,無法利用此 Arc 閘道預覽支援的所有新端點。 只有在啟用 Arc 閘道作為新版本 2408 或版本 2411 部署的一部分時,才支援主機、Arc 延伸模組、ARB 和 AKS 所需的端點。
Azure 本機端點未重新導向
作為 Azure 本機版本 2408 預覽版更新的一部分,數據表中的端點是必要的,而且必須列入 Proxy 或防火牆的允許清單,才能部署 Azure 本機實例。 這些版本 2408 和 2411 端點不會透過 Arc 閘道重新導向:
| 端點# | 必要端點 | 元件 |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
環境檢查程式 |
| 2 | http://www.powershellgallery.com:443 |
環境檢查程式 |
| 3 | http://psg-prod-eastus.azureedge.net:443 |
環境檢查程式 |
| 4 | http://onegetcdn.azureedge.net:443 |
環境檢查程式 |
| 5 | http://login.microsoftonline.com:443 |
環境檢查程式 |
| 6 | http://aka.ms:443 |
環境檢查程式 |
| 7 | http://azurestackreleases.download.prss.microsoft.com:443 |
環境檢查程式 |
| 8 | http://download.microsoft.com:443 |
環境檢查程式 |
| 9 | http://portal.azure.com:443 |
環境檢查程式 |
| 10 | http://management.azure.com:443 |
環境檢查程式 |
| 11 | http://www.office.com:443 |
環境檢查程式 |
| 12 | http://gbl.his.arc.azure.com:443 |
Arc 代理程式 |
| 13 | http://<region>.his.arc.azure.com:443 |
Arc 代理程式 |
| 14 | http://dc.services.visualstudio.com:443 |
Arc 代理程式 |
| 15 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Arc 閘道 |
| 16 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 17 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
雲端見證記憶體帳戶 |
| 18 | http://files.pythonhosted.org:443 |
Microsoft內部部署雲端/ARB/AKS |
| 19 | http://pypi.org:443 |
Microsoft內部部署雲端/ARB/AKS |
| 20 | http://raw.githubusercontent.com:443 |
Microsoft內部部署雲端/ARB/AKS |
| 21 | http://pythonhosted.org:443 |
Microsoft內部部署雲端/ARB/AKS |
| 22 | http://hciarcvmsstorage.z13.web.core.windows.net:443 |
Microsoft內部部署雲端/ARB/AKS |
| 23 | http://ocsp.digicert.com |
Arc 延伸模組的證書吊銷清單 |
| 24 | http://s.symcd.com |
Arc 延伸模組的證書吊銷清單 |
| 25 | http://ts-ocsp.ws.symantec.com |
Arc 延伸模組的證書吊銷清單 |
| 26 | http://ocsp.globalsign.com |
Arc 延伸模組的證書吊銷清單 |
| 27 | http://ocsp2.globalsign.com |
Arc 延伸模組的證書吊銷清單 |
| 28 | http://oneocsp.microsoft.com |
Arc 延伸模組的證書吊銷清單 |
| 29 | http://dl.delivery.mp.microsoft.com |
LCM 二進位檔 |
| 30 | http://*.tlu.dl.delivery.mp.microsoft.com |
LCM 二進位檔 |
| 31 | http://*.windowsupdate.com |
Windows Update |
| 32 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 33 | http://*.update.microsoft.com |
Windows Update |
限制事項
請考慮此版本中 Arc 閘道的下列限制:
- Arc 閘道預覽不支援 TLS 終止 Proxy。
- 除了 Arc 閘道 (預覽) 之外,不支援使用 ExpressRoute、站對站 VPN 或私人端點。
在 Azure 中建立 Arc 閘道資源
您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 來建立 Arc 閘道資源。
- 登入 Azure 入口網站。
- 移至 [Azure Arc > Azure Arc 閘道 ] 頁面,然後選取 [ 建立]。
- 選取您想要在 Azure 中管理 Arc 閘道資源的訂用帳戶和資源群組。 相同 Azure 租使用者中任何已啟用 Arc 的資源都可以使用 Arc 閘道資源。
- 針對 [ 名稱],輸入Arc閘道資源的名稱。
- 針對 [ 位置],輸入Arc閘道資源應所在的區域。 相同 Azure 租使用者中任何已啟用 Arc 的資源都可以使用 Arc 閘道資源。
- 選取 [下一步]。
- 在 [ 卷標] 頁面上,指定一或多個自定義標籤以支援您的標準。
- 選取 [ 檢閱及建立]。
- 檢閱詳細數據,然後選取 [ 建立]。
閘道建立程式需要 9 到 10 分鐘才能完成。
從計算機中斷連結或變更Arc閘道關聯
若要將閘道資源與已啟用 Arc 的伺服器中斷連結,請將閘道資源識別碼設定為 null。 如果您想要將已啟用 Arc 的伺服器附加至另一個 Arc 閘道資源,只要使用新的 Arc 閘道資訊來更新名稱和資源識別碼:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
刪除 Arc 閘道資源
刪除 Arc 閘道資源之前,請確定未連結任何機器。 若要刪除閘道資源,請執行下列命令:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
這項作業可能需要幾分鐘的時間。