關於適用於 Azure 本地環境的 Azure Arc 閘道器(預覽版)
適用於:Azure Local 2411.1 和更新版本
重要
Azure Stack HCI 現在是 Azure 內部的一部分。 深入了解。
本文提供 Azure Local 的 Azure Arc 閘道概觀。 Arc 閘道可以在 Azure 本機執行軟體版本 2408 和更新版本的新部署上啟用。 本文也會說明如何在 Azure 中建立和刪除 Arc 閘道資源。
您可以使用 Arc 閘道大幅減少部署和管理 Azure 本機實例所需的端點數目。 建立Arc閘道之後,您可以連線並用於 Azure Local 的新部署。
如需如何為獨立伺服器部署 Azure Arc 閘道的資訊(而非 Azure 本機電腦),請參閱 透過 Azure Arc 閘道簡化網路設定需求。
重要
這項功能目前為「預覽」狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
運作方式
Arc 閘道的運作方式是引進下列元件:
Arc 閘道資源 – 作為 Azure 流量的常見進入點的 Azure 資源。 此閘道資源具有您可以使用的特定網域或URL。 當您建立 Arc 閘道資源時,此網域或 URL 是成功回應的一部分。
Arc Proxy – 新增至 Arc Agentry 的新元件。 此元件會以服務的形式執行(稱為 Azure Arc Proxy),並做為 Azure Arc 代理程式和延伸模組的轉寄 Proxy。 網關路由器不需要您做任何設定。 此路由器是 Arc 核心代理程式的一部分,可在已啟用 Arc 的資源內容中執行。
完成將Arc閘道整合至2411版Azure本機部署後,每部電腦都會取得Arc Proxy和其他Arc代理程式。
使用Arc閘道時,HTTP 和 HTTPs 流量流程會變更,如下所示:
Azure 本機主機操作系統元件的流量流程
OS Proxy 設定可用來透過 Arc Proxy 路由傳送所有 HTTPS 主機流量。
從 Arc Proxy,流量會轉送至 Arc 閘道。
根據 Arc 閘道中的組態,如果允許,流量就會傳送至目標服務。 如果不允許,Arc Proxy 會將此流量重新導向至企業 Proxy(如果沒有設定 Proxy 則直接輸出)。 Arc Proxy 會自動判斷端點的正確路徑。
Arc 設備 Arc 資源網橋 (ARB) 和 AKS 控制平面的流量
目前,可路由 IP(故障轉移叢集 IP 資源)用於透過在 Azure 本機主機上執行的 Arc 代理來轉送流量。
ARB 和 AKS 轉寄 Proxy 已設定為使用可路由 IP。
在 Proxy 設定完成後,ARB 和 AKS 的輸出流量會通過一個可路由的 IP 轉送到 Azure 本機電腦上執行的 Arc Proxy。
流量到達 Arc Proxy 之後,剩餘的流程會採用與所述相同的路徑。 如果允許流量進入目標服務,則會將其發送到 Arc 閘道。 如果沒有,則會傳送至企業代理伺服器(如果沒有設定代理伺服器,則會直接發送)。 請注意,特別針對 AKS,此路徑用於下載 Arc Agentry 和 Arc Extension Pod 的 Docker 映像。
Arc VM 的流量流程
Http 和 https 流量會轉送至企業代理伺服器。 此版本尚不支援 Arc VM 內的 Arc Proxy。
下圖說明流量:
支援與不支援的案例
針對 Azure 本地版本 2411.1 或更高版本,您可以在以下情境中使用 Arc 閘道:
- 在執行 2411.1 版或更新版本的新 Azure 本機實例部署期間啟用 Arc 閘道。
Azure 本機版本 2408、2411 和 2411.1 不支援的案例包括:
從版本 2402 或 2405 更新為 2408 或 2411 版的 Azure 本機實例無法利用此 Arc 網關預覽版支援的所有新端點。 只有在啟用 Arc 閘道作為新版本 2408 部署的一部分時,才支援主機組件、Arc 延伸模組、ARB 和 AKS 所需的端點。
部署之後啟用Arc閘道無法利用此Arc閘道預覽所支援的所有新端點。 只有在啟用 Arc 閘道作為新部署的一部分時,才支援主機、Arc 延伸模組、ARB 和 AKS 所需的端點。
Azure 本機端點未重新導向
作為 Azure Local 版本 2411.1 預覽更新的一部分,表格中的端點是必需的,並且必須列入您的 Proxy 或防火牆的允許清單,以便部署 Azure 本機實例。 這些版本 2408 和 2411 端點不會透過 Arc 閘道重新導向:
| 端點# | 必要端點 | 元件 |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
Arc 註冊 |
| 2 | http://login.microsoftonline.com:443 |
Arc註冊 |
| 3 | http://<region>.login.microsoft.com:443 |
Arc 註冊 |
| 4 | http://download.microsoft.com:443 |
Arc 註冊 |
| 5 | http://management.azure.com:443 |
Arc 註冊 |
| 6 | http://gbl.his.arc.azure.com:443 |
Arc 註冊 |
| 7 | http://<region>.his.arc.azure.com:443 |
Arc 註冊 |
| 8 | http://dc.services.visualstudio.com:443 |
Arc 註冊 |
| 9 | https://<region>.obo.arc.azure.com:8084 |
AKS 擴充功能 |
| 10 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Arc 閘道 |
| 11 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 12 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
雲端見證儲存帳戶 |
| 13 | http://files.pythonhosted.org:443 |
Microsoft內部部署雲端/ARB/AKS |
| 14 | http://pypi.org:443 |
Microsoft內部部署雲端/ARB/AKS |
| 15 | http://raw.githubusercontent.com:443 |
Microsoft內部部署雲端/ARB/AKS |
| 16 | http://pythonhosted.org:443 |
Microsoft內部部署雲端/ARB/AKS |
| 17 | http://ocsp.digicert.com |
Arc 延伸模組的證書吊銷清單 |
| 18 | http://s.symcd.com |
Arc 延伸模組的證書吊銷清單 |
| 19 | http://ts-ocsp.ws.symantec.com |
Arc 延伸模組的證書吊銷清單 |
| 20 | http://ocsp.globalsign.com |
Arc 延伸模組的證書吊銷清單 |
| 21 | http://ocsp2.globalsign.com |
Arc 延伸模組的證書吊銷清單 |
| 22 | http://oneocsp.microsoft.com |
Arc 延伸模組的證書吊銷清單 |
| 23 | http://dl.delivery.mp.microsoft.com |
Windows Update(Windows 更新) |
| 24 | http://*.tlu.dl.delivery.mp.microsoft.com |
Windows Update |
| 25 | http://*.windowsupdate.com |
Windows Update |
| 26 | http://*.windowsupdate.microsoft.com |
視窗更新 (Windows Update) |
| 27 | http://*.update.microsoft.com |
Windows Update |
限制與限制條件
請考慮此版本中 Arc 閘道的下列限制:
- Arc 閘道預覽不支援 TLS 終止代理。
- 除了 Arc 閘道 (預覽) 之外,不支援使用 ExpressRoute、站對站 VPN 或私人端點。
在 Azure 中建立 Arc 閘道資源
您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 來建立 Arc 閘道資源。
- 登入 Azure 入口網站。
- 移至 [Azure Arc > Azure Arc 閘道 ] 頁面,然後選取 [ 建立]。
- 選取您想要在 Azure 中管理 Arc 閘道資源的訂用帳戶和資源群組。 相同 Azure 租使用者中任何已啟用 Arc 的資源都可以使用 Arc 閘道資源。
- 針對 [ 名稱],輸入Arc閘道資源的名稱。
- 針對 [ 位置],輸入Arc閘道資源應所在的區域。 相同 Azure 租戶中任何已啟用 Arc 的資源都可以使用 Arc 閘道資源。
- 選取 [下一步]。
- 在標籤頁面上,指定一或多個自訂標籤以支援您的標準。
- 選擇檢閱及建立。
- 檢閱詳細數據,然後選取 [ 建立]。
閘道建立程式需要 9 到 10 分鐘才能完成。
從計算機中斷連結或變更Arc閘道關聯
若要將閘道資源與已啟用 Arc 的伺服器中斷連結,請將閘道資源識別碼設定為 null。 如果您想要將已啟用 Arc 的伺服器附加至另一個 Arc 閘道資源,只要使用新的 Arc 閘道資訊來更新名稱和資源識別碼:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server's name> --gateway-resource-id "
刪除 Arc 閘道資源
刪除 Arc 閘道資源之前,請確定未連結任何機器。 若要刪除閘道資源,請執行下列命令:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
這項作業可能需要幾分鐘的時間。
下一步
此功能僅適用於 Azure Local 2411.1 或更新版本。