Поделиться через

Упрощение требований к конфигурации сети с помощью шлюза Azure Arc (общедоступная предварительная версия)

  • Статья

Если вы используете корпоративные прокси-серверы для управления исходящим трафиком, шлюз Azure Arc позволяет подключить инфраструктуру к Azure Arc, используя только семь конечных точек (7). С помощью шлюза Azure Arc вы можете:

  • Подключитесь к Azure Arc, открыв доступ к общедоступной сети только к семи (7) полных доменов (FQDN).
  • Просматривайте и проверяйте весь трафик, который агент Azure Connected Machine отправляет в Azure через шлюз Arc.

В этой статье объясняется, как настроить и использовать шлюз Arc (общедоступная предварительная версия).

Внимание

Функция шлюза Arc для серверов с поддержкой Azure Arc в настоящее время находится в общедоступной предварительной версии во всех регионах, где присутствуют серверы с поддержкой Azure Arc. Дополнительные условия использования для предварительных версий Microsoft Azure для юридических условий, применимых к функциям Azure, которые находятся в бета-версии, общедоступной предварительной версии или в противном случае еще не выпущены в общедоступную доступность.

Как работает шлюз Azure Arc

Шлюз Azure Arc состоит из двух основных компонентов:

  • Ресурс шлюза Arc: ресурс Azure, который служит общим интерфейсом для трафика Azure. Этот ресурс шлюза обслуживается в определенном домене. После создания ресурса шлюза Arc домен возвращается в ответе на успешное выполнение.

  • Прокси-сервер Arc: новый компонент, добавленный в агентрию Arc. Этот компонент выполняется как служба с именем "Прокси Azure Arc" и выступает в качестве прокси-сервера пересылки, используемого агентами и расширениями Azure Arc. Конфигурация не требуется для прокси-сервера Arc. Этот прокси-сервер является частью ядра Arc и выполняется в контексте ресурса с поддержкой Arc.

Когда шлюз находится на месте, трафик передается через следующие прыжки: агенты Arc → Прокси Arc → корпоративный прокси-сервер → шлюз Arc → Целевая служба

Схема, показывающая маршрут потока трафика для шлюза Azure Arc.

Текущие ограничения

Объект шлюза Arc имеет ограничения, которые следует учитывать при планировании настройки. Эти ограничения применяются только к общедоступной предварительной версии. Эти ограничения могут не применяться, если общедоступная функция шлюза Arc.

  • Конечные прокси-серверы TLS не поддерживаются (общедоступная предварительная версия)
  • VPN expressRoute/Site-to-Site или частные конечные точки, используемые с шлюзом Arc (общедоступная предварительная версия), не поддерживаются.
  • Существует ограничение в пять (5) ресурсов шлюза Arc (общедоступная предварительная версия) для каждой подписки Azure.

Необходимые разрешения

Чтобы создать ресурсы шлюза Arc и управлять их связью с серверами с поддержкой Arc, требуются следующие разрешения:

  • Microsoft.HybridCompute/settings/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

Использование шлюза Arc (общедоступная предварительная версия)

Существует четыре шага для использования шлюза Arc:

  1. Создайте ресурс шлюза Arc.
  2. Убедитесь, что необходимые URL-адреса разрешены в вашей среде.
  3. Подключение ресурсов Azure Arc с ресурсом шлюза Arc или настройка существующих ресурсов Azure Arc для использования шлюза Arc.
  4. Убедитесь, что программа установки выполнена успешно.

Шаг 1. Создание ресурса шлюза Arc

Вы можете создать ресурс шлюза Arc с помощью портал Azure, Azure CLI или Azure PowerShell.

  1. Войдите в портал Azure в браузере.

  2. Перейдите к Azure Arc | Страница шлюза Azure Arc и нажмите кнопку "Создать".

  3. Выберите подписку и группу ресурсов, в которой требуется управлять ресурсом шлюза Arc в Azure. Ресурс шлюза Arc можно использовать любым ресурсом с поддержкой Arc в одном клиенте Azure.

  4. В поле "Имя" введите имя, которое для ресурса шлюза Arc.

  5. В поле "Расположение" введите регион, в котором должен находиться ресурс шлюза Arc. Ресурс шлюза Arc можно использовать любым ресурсом с поддержкой Arc в одном клиенте Azure.

  6. Выберите Далее.

  7. На странице "Теги" укажите один или несколько пользовательских тегов для поддержки ваших стандартов.

  8. Выберите Просмотреть и создать.

  9. Просмотрите сведения о входных данных и нажмите кнопку "Создать".

    Процесс создания шлюза занимает 9–10 минут.

Шаг 2. Убедитесь, что необходимые URL-адреса разрешены в вашей среде

При создании ресурса ответ успешно включает URL-адрес шлюза Arc. Убедитесь, что URL-адрес шлюза Arc и все URL-адреса в следующей таблице разрешены в среде, в которой находятся ресурсы Arc. Необходимые URL-адреса:

URL Характер использования
[Префикс URL-адреса].gw.arc.azure.com URL-адрес шлюза (этот URL-адрес можно получить, выполнив после az connectedmachine gateway list создания ресурса шлюза)
management.azure.com Конечная точка Azure Resource Manager, необходимая для канала управления Azure Resource Manager
login.microsoftonline.com Конечная точка Идентификатора Microsoft Entra для получения маркеров доступа к удостоверениям
gbl.his.arc.azure.com Конечная точка облачной службы для взаимодействия с агентами Azure Arc
<region.his.arc.azure.com> Используется для основного канала управления Arc
packages.microsoft.com Требуется для получения полезных данных агента Arc на основе Linux, необходимых только для подключения серверов Linux к Arc

Шаг 3a. Подключение ресурсов Azure Arc с ресурсом шлюза Arc.

  1. Создайте скрипт установки.

    Следуйте инструкциям из краткого руководства. Подключите гибридные компьютеры с серверами с поддержкой Azure Arc, чтобы создать скрипт, который автоматизирует загрузку и установку агента подключенного компьютера Azure и устанавливает подключение к Azure Arc.

    Внимание

    При создании скрипта подключения выберите прокси-сервер в разделе "Подключение", чтобы открыть раскрывающийся список для ресурса шлюза.

  2. Запустите скрипт установки, чтобы подключить серверы к Azure Arc.

    В скрипте идентификатор ARM ресурса шлюза Arc отображается как --gateway-id.

Шаг 3b. Настройка существующих ресурсов Azure Arc для использования шлюза Arc

Существующие ресурсы Azure Arc можно настроить для использования шлюза Arc с помощью портал Azure, Azure CLI или Azure PowerShell.

  1. На портал Azure перейдите на страницу шлюза Azure Arc — Azure Arc.

  2. Выберите ресурс шлюза Arc, чтобы связаться с сервером с поддержкой Arc.

  3. Перейдите на страницу "Связанные ресурсы" для ресурса шлюза.

  4. Выберите Добавить.

  5. Выберите ресурс с поддержкой Arc, чтобы связаться с ресурсом шлюза Arc.

  6. Выберите Применить.

  7. Обновите сервер с поддержкой Arc, чтобы использовать шлюз Arc, выполнив команду azcmagent config set connection.type gateway.

Шаг 4. Проверка успешности установки

На подключенном сервере выполните следующую команду: azcmagent show результат должен указывать следующие значения:

  • Состояние агента должно отображаться как подключено.
  • Использование прокси-сервера HTTPS должно отображаться как http://localhost:40343.
  • Прокси-сервер вышестоящего сервера должен отображаться в качестве корпоративного прокси-сервера (если он задан). URL-адрес шлюза должен отражать URL-адрес ресурса шлюза.

Кроме того, чтобы проверить успешную настройку, можно выполнить следующую команду: azcmagent check результат должен указывать, что connection.type для шлюза задано значение шлюза, а столбец Reachable должен указывать значение true для всех URL-адресов.

Связывание компьютера с новым шлюзом Arc

Чтобы связать компьютер с новым шлюзом Arc, выполните следующие действия.

  1. На портал Azure перейдите на страницу шлюза Azure Arc — Azure Arc.

  2. Выберите новый ресурс шлюза Arc для связи с компьютером.

  3. Перейдите на страницу "Связанные ресурсы" для ресурса шлюза.

  4. Выберите Добавить.

  5. Выберите компьютер с поддержкой Arc, чтобы связаться с новым ресурсом шлюза Arc.

  6. Выберите Применить.

  7. Обновите сервер с поддержкой Arc, чтобы использовать шлюз Arc, выполнив команду azcmagent config set connection.type gateway.

Удаление связи шлюза Arc (для использования прямого маршрута)

  1. Задайте для типа подключения сервера с поддержкой Arc значение direct вместо шлюза, выполнив следующую команду:

    azcmagent config set connection.type direct

    Примечание.

    Если вы выполните этот шаг, все требования к сети Azure Arc должны быть выполнены в вашей среде, чтобы продолжить использование Azure Arc.

  2. Отсоедините ресурс шлюза Arc от компьютера:

    1. На портал Azure перейдите на страницу шлюза Azure Arc — Azure Arc.

    2. Выберите ресурс шлюза Arc.

    3. Перейдите на страницу "Связанные ресурсы " для ресурса шлюза и выберите сервер.

    4. Выберите Удалить.

Удаление ресурса шлюза Arc

Примечание.

Эта операция может занять от 4 до 5 минут.

  1. На портал Azure перейдите на страницу шлюза Azure Arc — Azure Arc.

  2. Выберите ресурс шлюза Arc.

  3. Выберите команду Удалить.

Устранение неполадок

Вы можете проверить трафик шлюза Arc, просмотрев журналы прокси-сервера Azure Arc.

Чтобы просмотреть журналы прокси-сервера Arc в Windows, выполните действия.

  1. Запустите azcmagent logs в PowerShell.
  2. В результирующем .zip файле журналы находятся в папке C:\ProgramData\Microsoft\ArcProxy .

Чтобы просмотреть журналы прокси-сервера Arc в Linux, выполните приведенные действия.

  1. Запустите sudo azcmagent logsи доставьте общий доступ к полученному файлу.
  2. В результирующем файле журнала журналы находятся в папке /usr/local/arcproxy/logs/ .

Дополнительные сценарии

Во время общедоступной предварительной версии шлюз Arc охватывает конечные точки, необходимые для подключения сервера, а также часть конечных точек, необходимых для дополнительных сценариев с поддержкой Arc. В зависимости от принятых сценариев в прокси-сервере должны быть разрешены дополнительные конечные точки.

Сценарии, которые не требуют дополнительных конечных точек

  • Windows Admin Center;
  • SSH
  • Расширенные обновления безопасности
  • Microsoft Defender
  • Расширение Azure для SQL Server

Сценарии, требующие дополнительных конечных точек

Конечные точки, перечисленные в следующих сценариях, должны быть разрешены в корпоративном прокси-сервере при использовании шлюза Arc:

  • Службы данных с поддержкой Azure Arc

    • *.ods.opinsights.azure.com

    • *.oms.opinsights.azure.com

    • *.monitoring.azure.com

  • Агент Azure Monitor

    • <log-analytics-workspace-id.ods.opinsights.azure.com>

    • <data-collection-endpoint>.<virtual-machine-region-name.ingest.monitor.azure.com>

  • Синхронизация сертификата Azure Key Vault

    • <vault-name.vault.azure.net>

  • Расширение гибридной рабочей роли Runbook службы автоматизации Azure

    • *.azure-automation.net

  • Расширение центра обновления ОС Windows / Диспетчер обновлений Azure

    • Среда должна соответствовать всем предварительным требованиям для Обновл. Windows

Известные проблемы

Ниже приведено описание известных в настоящее время проблем шлюза Arc.

Обновление, необходимое после подключения агента подключенного компьютера Azure

При использовании скрипта подключения (или azcmagent connect команды) для подключения сервера с указанным идентификатором ресурса шлюза ресурс будет успешно использовать шлюз Arc. Однако из-за известной ошибки (с исправлением в настоящее время), сервер с поддержкой Arc не будет отображаться как связанный ресурс в портал Azure, если только параметры ресурса не обновляются. Чтобы выполнить это обновление, используйте следующую процедуру:

  1. В портал Azure перейдите к Azure Arc | Страница шлюза Arc.

  2. Выберите ресурс шлюза Arc, чтобы связаться с сервером с поддержкой Arc.

  3. Перейдите на страницу "Связанные ресурсы " для ресурса шлюза.

  4. Выберите Добавить.

  5. Выберите ресурс с поддержкой Arc, чтобы связаться с ресурсом шлюза Arc, и нажмите кнопку "Применить".

Обновление прокси-сервера Arc необходимо после отключения ресурса шлюза с компьютера

При отключении ресурса шлюза Arc от компьютера необходимо обновить прокси-сервер Arc, чтобы очистить конфигурацию шлюза Arc. Для этого выполните следующую процедуру:

  1. Остановите прокси-сервер arc.

    • Windows: Stop-Service arcproxy
    • Linux: sudo systemctl stop arcproxyd

  2. Удалите файл cloudconfig.json.

    • Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
    • Linux: "/var/opt/azcmagent/cloudconfig.json"

  3. Запустите прокси-сервер arc.

    • Windows: Start-Service arcproxy
    • Linux: sudo systemctl start arcproxyd

  4. Перезапустите его (необязательно, но рекомендуется).

    • Windows: Restart-Service himds
    • Linux: sudo systemctl restart himdsd

Обновление, необходимое для повторной поддержки компьютеров без шлюза

Если компьютер с поддержкой Arc с шлюзом Arc удаляется из Azure Arc и повторно включен без шлюза Arc, обновление необходимо для обновления его состояния в портал Azure.

Внимание

Эта проблема возникает только в том случае, если ресурс включен повторно с тем же идентификатором ARM, что и его начальная активация.

В этом сценарии компьютер неправильно отображается в портал Azure в качестве ресурса, связанного с шлюзом Arc. Чтобы предотвратить это, если вы планируете включить компьютер без шлюза Arc, который ранее был включен Arc с шлюзом Arc, необходимо обновить связь шлюза Arc после подключения. Для этого используйте следующую процедуру:

  1. В портал Azure перейдите к Azure Arc | Страница шлюза Arc.

  2. Выберите ресурс шлюза Arc.

  3. Перейдите на страницу "Связанные ресурсы " для ресурса шлюза.

  4. Выберите сервер и нажмите кнопку "Удалить".

Сопоставление шлюза вручную требуется после удаления

Если шлюз Arc удаляется, пока компьютер все еще подключен к нему, портал Azure необходимо использовать для связывания компьютера с любыми другими ресурсами шлюза Arc.

Чтобы избежать этой проблемы, отключите все ресурсы с поддержкой Arc от шлюза Arc перед удалением ресурса шлюза. При возникновении этой ошибки используйте портал Azure для связывания компьютера с новым ресурсом шлюза Arc.