Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Функция явного прокси-сервера брандмауэра Azure может безопасно направлять весь трафик Azure Arc через частное подключение (ExpressRoute или VPN типа "сеть — сеть") в Azure. Эта функция позволяет использовать Azure Arc без предоставления локальной среды общедоступному Интернету.
Эта статья объясняет шаги настройки брандмауэра Azure с помощью функции явного прокси в качестве прямого прокси-сервера для серверов с поддержкой Arc или ресурсов Kubernetes.
Это важно
Явный прокси-сервер брандмауэра Azure в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Как работает функция явного прокси-сервера брандмауэра Azure
Агенты Azure Arc могут использовать прокси-сервер пересылки для подключения к службам Azure. Функция явного прокси брандмауэра Azure позволяет использовать брандмауэр Azure в виртуальной сети (VNet) в качестве прокси пересылки для агентов Arc.
Так как явный прокси-сервер брандмауэра Azure работает в частной виртуальной сети, и у вас есть безопасное подключение к нему через ExpressRoute или VPN типа "сеть — сеть", все трафик Azure Arc можно направлять в целевое место в сети Майкрософт, не требуя доступа к общедоступному интернету.
Чтобы скачать схемы архитектуры в высоком разрешении, перейдите на страницу Jumpstart Gems.
Ограничения и текущие ограничения
- Это решение использует Azure Firewall Explicit Proxy в качестве прокси-сервера пересылки. Функция явного прокси-сервера не поддерживает проверку TLS.
- Сертификаты TLS нельзя применять к явному прокси-серверу брандмауэра Azure.
- Это решение в настоящее время не поддерживается локальными или виртуальными машинами Azure Arc, работающими в локальной среде Azure.
затраты на Брандмауэр Azure
Цены на брандмауэр Azure основаны на часах развертывания и общем объеме обработанных данных. Сведения о ценах на брандмауэр Azure см. на странице цен на брандмауэре Azure.
Предварительные требования и требования к сети
Чтобы использовать это решение, необходимо:
- Существующая виртуальная сеть Azure.
- Существующее VPN-подключение ExpressRoute или VPN типа "сеть — сеть" из локальной среды к виртуальной сети Azure.
Настройка брандмауэра Azure
Выполните следующие действия, чтобы включить функцию явного прокси-сервера в брандмауэре Azure.
Создание ресурса брандмауэра Azure
Если у вас есть брандмауэр Azure в виртуальной сети, этот раздел можно пропустить. В противном случае выполните следующие действия, чтобы создать новый ресурс брандмауэра Azure.
- В браузере войдите на портал Azure и перейдите на страницу брандмауэров Azure.
- Выберите "Создать", чтобы создать новый брандмауэр.
- Введите подписку, группу ресурсов, имя и регион.
- Для номера SKU брандмауэра выберите "Стандартный " или "Премиум ".
- Заполните оставшуюся часть вкладки "Основные сведения" по мере необходимости для конфигурации.
- Выберите "Проверка и создание", а затем "Создать", чтобы создать брандмауэр.
Дополнительные сведения см. в статье "Развертывание и настройка брандмауэра Azure".
Включение функции явного прокси-сервера (предварительная версия)
Перейдите к ресурсу брандмауэра Azure, а затем перейдите к политике брандмауэра.
В разделе "Параметры" перейдите на панель явного прокси-сервера (предварительная версия).
Выберите включить явный прокси-сервер.
Введите требуемые значения для портов HTTP и HTTPS.
Примечание.
Обычно используется 8080 для порта HTTP и 8443 для порта HTTPS.
Выберите Применить, чтобы сохранить изменения.
Создайте правило приложения
Если вы хотите создать список разрешений для явного прокси-сервера брандмауэра Azure, можно при необходимости создать правило приложения, чтобы разрешить обмен данными с необходимыми конечными точками для ваших сценариев.
- Перейдите к применимой политике брандмауэра.
- В разделе "Параметры" перейдите на панель "Правила приложения ".
- Щелкните Добавить коллекцию правил.
- Укажите имя коллекции правил.
- Задайте правило приоритета на основе других правил, которые у вас могут быть.
- Укажите имя для правила.
- В поле "Источник" введите "*" или любые исходные IP-адреса, которые у вас могут быть.
- Задайте протоколhttp:80,https:443.
- Задайте назначение в качестве разделенного запятыми списка URL-адресов, необходимых для вашего сценария. Дополнительные сведения о необходимых URL-адресах см. в разделе "Требования к сети Azure Arc".
- Нажмите кнопку "Добавить ", чтобы сохранить коллекцию правил и правило.
Установите ваш брандмауэр Azure в качестве прокси-сервера для пересылки
Выполните следующие действия, чтобы настроить брандмауэр Azure в качестве прокси-сервера пересылки для ресурсов Arc.
Серверы с поддержкой Arc
Чтобы настроить брандмауэр Azure в качестве прокси-сервера пересылки при подключении новых серверов Arc:
- Создайте скрипт подключения.
- Задайте метод подключения в качестве прокси-сервера и задайте URL-адрес прокси-сервера в качестве
http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>. - Выполните настройку серверов с помощью скрипта.
Чтобы задать прямой прокси для существующих серверов с поддержкой Arc, выполните следующую команду с помощью локального интерфейса командной строки агента подключенного компьютера Azure:
azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`
Kubernetes с поддержкой Arc
Чтобы настроить брандмауэр Azure в качестве прокси-сервера пересылки при подключении новых кластеров Kubernetes, выполните команду подключения с параметрами, указанными в proxy-https и proxy-http.
az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port> --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Чтобы задать прокси-сервер пересылки для существующих кластеров Kubernetes с поддержкой Arc, выполните следующую команду:
az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Устранение неполадок
Чтобы убедиться, что трафик успешно проходит через ваш явный прокси-сервер Azure Firewall, сначала необходимо убедиться, что явный прокси-сервер доступен и работает должным образом из вашей сети. Для этого выполните следующую команду: curl -x <proxy IP> <target FQDN>
Кроме того, можно просмотреть журналы правил приложения брандмауэра Azure, чтобы проверить трафик. Явный прокси-сервер использует правила приложения, поэтому все журналы доступны в таблице AZFWApplicationRules, как показано в этом примере:
Интеграция приватного канала
Вы можете использовать брандмауэр Azure как явный прокси-сервер в сочетании с Azure Private Link. Чтобы использовать эти решения совместно, настройте среду таким образом, чтобы трафик к конечным точкам, которые не поддерживают канал Private Link, маршрутизировался через явный прокси-сервер, при этом позволяя трафику к конечным точкам Azure Arc, поддерживающим канал Private Link, обходить явный прокси-сервер и маршрутизироваться непосредственно к соответствующей частной конечной точке.
- Для приватного канала Azure для серверов с поддержкой Arc используйте функцию обхода прокси-сервера.
- Для Приватного канала Azure для Kubernetes с поддержкой Arc (предварительная версия) добавьте Microsoft Entra ID, Azure Resource Manager, Azure Front Door и конечные точки Реестра контейнеров Microsoft в диапазон исключений прокси вашего кластера.
Дальнейшие действия
- Дополнительные сведения о явном прокси-сервере брандмауэра Azure (предварительная версия)
- Прочитайте Демистификация явного прокси: повышение безопасности с брандмауэром Azure