Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Versione locale di Azure 2411.1 e successive
Importante
Azure Stack HCI fa ora parte di Azure Local. Altre informazioni.
Questo articolo offre una panoramica del gateway di Azure Arc per Azure Locale. Il gateway Arc può essere abilitato nelle nuove distribuzioni del software in esecuzione locale di Azure versione 2408 e successive. Questo articolo descrive anche come creare ed eliminare la risorsa gateway Arc in Azure.
È possibile usare il gateway Arc per ridurre significativamente il numero di endpoint necessari per distribuire e gestire istanze locali di Azure. Quando si crea il gateway Arc, è possibile connettersi e usarlo per le nuove distribuzioni di Azure Local.
Importante
La funzionalità è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Funzionamento
Il gateway Arc funziona introducendo i componenti seguenti:
Risorsa gateway Arc – una risorsa di Azure che funge da punto di ingresso comune per il traffico di Azure. Questa risorsa gateway ha un dominio o un URL specifico che è possibile usare. Quando si crea la risorsa gateway Arc, questo dominio o URL fa parte della risposta riuscita.
Proxy Arc : nuovo componente aggiunto a Arc Agentry. Questo componente viene eseguito come servizio (denominato proxy di Azure Arc) e funziona come proxy di inoltro per gli agenti e le estensioni di Azure Arc. Il router gateway non richiede alcuna configurazione da parte tua. Questo router fa parte del componente principale di Arc e funziona nel contesto di una risorsa con supporto Arc.
Integrando il gateway Arc con la versione 2411 delle distribuzioni locali di Azure, ogni computer ottiene il proxy Arc insieme ad altri agenti Arc.
Quando si usa il gateway Arc, il flusso del traffico HTTP e HTTPS cambia come segue:
Flusso del traffico per i componenti del sistema operativo host locale di Azure
Le impostazioni proxy del sistema operativo vengono usate per instradare tutto il traffico host HTTPS tramite il proxy Arc.
Dal proxy Arc, il traffico viene inoltrato al gateway Arc.
In base alla configurazione nel gateway Arc, se consentito, il traffico viene inviato ai servizi di destinazione. Se non è consentito, il proxy Arc reindirizza il traffico al proxy aziendale (o in uscita diretto se non è impostato alcun proxy). Il proxy arc determina automaticamente il percorso corretto per l'endpoint.
Flusso del traffico per l'Arc appliance Azure Arc resource bridge e il piano di controllo di Azure Kubernetes Service (AKS)
L'indirizzo IP instradabile (attualmente una risorsa IP raggruppata in failover) viene utilizzato per inoltrare il traffico attraverso il proxy Arc che gira sui computer host locali di Azure.
Il bridge di risorse di "Azure Arc" e il proxy di inoltro di "Azure Kubernetes Service (AKS)" sono configurati per l'uso dell'indirizzo IP instradabile.
Con le impostazioni del proxy correttamente configurate, il bridge delle risorse di Arc, e il traffico in uscita di AKS viene inoltrato al Proxy di Arc in esecuzione su una delle macchine locali di Azure tramite IP instradabile.
Quando il traffico raggiunge il proxy Arc, il flusso rimanente segue lo stesso percorso descritto. Se il traffico verso il servizio di destinazione è consentito, viene inviato al gateway Arc. In caso contrario, viene inviato al proxy aziendale (o in uscita diretta se non è impostato alcun proxy). Per AKS in particolare, questo percorso viene usato per scaricare immagini Docker per Arc Agentry e gli Arc Extension Pods.
Flusso di traffico per le macchine virtuali locali di Azure
Il traffico HTTP e HTTPS viene inoltrato al proxy aziendale. Il proxy Arc all'interno di una macchina virtuale locale di Azure abilitata da Arc non è ancora supportato in questa versione.
I flussi di traffico sono illustrati nel diagramma seguente:
Scenari supportati e non supportati
È possibile usare il gateway Arc nello scenario seguente per Le versioni locali di Azure 2411.1 o versioni successive:
- Abilitare Il gateway Arc durante la distribuzione di nuove istanze locali di Azure che eseguono le versioni 2411.1 o successive.
- La risorsa gateway Arc deve essere creata nella stessa sottoscrizione in cui si prevede di distribuire l'istanza locale di Azure.
Gli scenari non supportati per Azure Locale includono:
- L'abilitazione del gateway Arc dopo la distribuzione non è supportata.
Endpoint locali di Azure non reindirizzati
Gli endpoint della tabella sono obbligatori e devono essere consentiti nel proxy o nel firewall per distribuire l'istanza locale di Azure:
| Punto finale # | Endpoint richiesto | Componente |
|---|---|---|
| 1 | http://aka.ms:443 |
Bootstrap |
| 2 | http://azurestackreleases.download.prss.microsoft.com:443] |
Bootstrap |
| 3 | http://login.microsoftonline.com:443 |
Registrazione ad arco |
| 4 | http://<region>.login.microsoft.com:443 |
Registrazione ad arco |
| 5 | http://management.azure.com:443 |
Registrazione ad arco |
| 6 | http://gbl.his.arc.azure.com:443 |
Registrazione ad arco |
| 7 | http://<region>.his.arc.azure.com:443 |
Registrazione ad arco |
| 8 | http://dc.services.visualstudio.com:443 |
Registrazione ad arco |
| 9 | https://<region>.obo.arc.azure.com:8084 |
Estensioni AKS |
| 10 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Arc Gateway |
| 11 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault (Archivio chiavi di Azure) |
| 12 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
Account di archiviazione cloud testimone |
| 13 | http://files.pythonhosted.org:443 |
Non obbligatorio a partire dai nuovi rilasci 2504. Cloud locale Microsoft/ARB/servizio Azure Kubernetes |
| 14 | http://pypi.org:443 |
Non obbligatorio a partire dai nuovi rilasci 2504. Cloud locale Microsoft/ARB/servizio Azure Kubernetes |
| 15 | http://raw.githubusercontent.com:443 |
Non obbligatorio a partire dai nuovi rilasci 2504. Cloud locale Microsoft/ARB/servizio Azure Kubernetes |
| 16 | http://pythonhosted.org:443 |
Non obbligatorio a partire dai nuovi rilasci 2504. Cloud locale Microsoft/ARB/servizio Azure Kubernetes |
| 17 | http://ocsp.digicert.com |
Elenco di revoche di certificati per le estensioni Arc |
| 18 | http://s.symcd.com |
Elenco di revoche di certificati per le estensioni Arc |
| 19 | http://ts-ocsp.ws.symantec.com |
Elenco di revoche di certificati per le estensioni Arc |
| 20 | http://ocsp.globalsign.com |
Elenco di revoche di certificati per le estensioni Arc |
| 21 | http://ocsp2.globalsign.com |
Elenco di revoche di certificati per le estensioni Arc |
| 22 | http://oneocsp.microsoft.com |
Elenco di revoche di certificati per le estensioni Arc |
| 23 | http://crl.microsoft.com/pkiinfra |
Elenco di revoche di certificati per le estensioni Arc |
| 24 | http://dl.delivery.mp.microsoft.com |
Aggiornamento di Windows |
| 25 | http://*.tlu.dl.delivery.mp.microsoft.com |
Aggiornamento di Windows |
| 26 | http://*.windowsupdate.com |
Aggiornamento di Windows |
| 27 | http://*.windowsupdate.microsoft.com |
Aggiornamento di Windows |
| 28 | http://*.update.microsoft.com |
Aggiornamento di Windows |
Restrizioni e limitazioni
In questa versione si considerino le limitazioni seguenti del gateway Arc:
- I proxy di terminazione TLS (Transport Layer Security) non sono supportati con l'anteprima del gateway Arc.
- L'uso di ExpressRoute, VPN da sito a sito o endpoint privati oltre al gateway Arc (anteprima) non è supportato.
Creare la risorsa gateway Arc in Azure
È possibile creare una risorsa gateway Arc usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.
- Accedere al portale di Azure.
- Passare alla pagina del
gateway Azure Arc< c0 /> e quindi selezionare Crea . - Selezionare la sottoscrizione in cui si prevede di distribuire l'istanza locale di Azure.
- In Nome inserire il nome per la risorsa gateway Arc.
- In Località immettere l'area in cui deve essere attiva la risorsa gateway Arc. Una risorsa gateway Arc viene usata da qualsiasi risorsa abilitata per Arc nello stesso tenant di Azure.
- Selezionare Avanti.
- Nella pagina Tag specificare uno o più tag personalizzati per supportare gli standard.
- Selezionare Rivedi e crea.
- Esaminare i dettagli e quindi selezionare Crea.
Il completamento del processo di creazione del gateway richiede da nove a 10 minuti.
Scollegare o modificare l'associazione del gateway Arc dalla macchina
Per scollegare la risorsa gateway dal server abilitato per Arc, impostare l'ID della risorsa gateway su null. Per collegare il server abilitato per Arc a un'altra risorsa del gateway Arc, aggiornare il nome e l'ID risorsa con le nuove informazioni sul gateway Arc:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-enabled server name> --gateway-resource-id "
Elimina la risorsa gateway Arc
Prima di eliminare una risorsa del gateway Arc, assicurarsi che nessuna macchina sia collegata. Per eliminare la risorsa gateway, eseguire il comando seguente:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Questa operazione può richiedere alcuni minuti.
Passaggi successivi
Questa funzionalità è disponibile solo nella versione locale di Azure 2411.1 o successiva.