Упрощение требований к конфигурации сети с помощью шлюза Azure Arc (предварительная версия)

2025-06-25

Если вы используете корпоративные прокси-серверы для управления исходящим трафиком, шлюз Azure Arc позволяет подключить инфраструктуру к Azure Arc, используя только семь конечных точек. С помощью шлюза Azure Arc вы можете:

Подключитесь к Azure Arc, открыв доступ к публичной сети только для семи полностью определенных имен доменов (FQDN).
Просматривайте и проверяйте весь трафик, который агент Azure Connected Machine отправляет в Azure через шлюз Arc.

В этой статье объясняется, как настроить и использовать шлюз Arc (предварительная версия).

Важный

Функция шлюза Arc для серверов с поддержкой Azure Arc в настоящее время находится в стадии общедоступной предварительной версии во всех регионах, где присутствуют сервера с поддержкой Azure Arc. Смотрите Дополнительные условия использования для предварительных версий Microsoft Azure, чтобы ознакомиться с юридическими условиями, применимыми к функциям Azure, находящимся на стадии бета, публичного предварительного просмотра или другими, которые еще не были выпущены в общую доступность.

Как работает шлюз Azure Arc

Шлюз Azure Arc состоит из двух основных компонентов:

Ресурс шлюза Arc: Ресурс Azure, который служит общим интерфейсом для трафика Azure. Этот ресурс шлюза размещен на конкретном домене. После создания ресурса шлюза Arc, домен будет возвращен вам в ответе о успешном выполнении.
Прокси-сервер Arc: Новый компонент, добавленный в агенты Azure Arc. Этот компонент выполняется в контексте ресурса с поддержкой Arc в качестве службы с именем Azure Arc Proxy. Он выступает в качестве прямого прокси-сервера, используемого агентами и расширениями Azure Arc. Для этого прокси-сервера конфигурация не требуется.

Если шлюз установлен, трафик передается через следующие этапы: агенты Arc → прокси-сервер Arc → корпоративный прокси-сервер → шлюз Arc → целевая служба.

Чтобы скачать схемы архитектуры в высоком разрешении, перейдите на страницу Jumpstart Gems.

Текущие ограничения

Во время публичной предварительной версии применяются следующие ограничения. Учитывайте эти факторы при планировании конфигурации.

Конечные прокси-серверы TLS не поддерживаются.
ExpressRoute/Site-to-Site VPN или частные конечные точки, используемые с шлюзом Arc, не поддерживаются.
Обход прокси-сервера не поддерживается при использовании шлюза Arc; даже если вы пытаетесь использовать эту функцию с помощью запуска azcmagent config set proxy.bypass, трафик не будет обходить прокси-сервер.
Для каждой подписки Azure действует ограничение на пять (5) ресурсов шлюза Arc.
Шлюз Arc можно использовать только для подключения в общедоступном облаке Azure.

Необходимые разрешения

Для создания ресурсов шлюза Arc и управления их связью с серверами, поддерживающими Arc, требуются следующие разрешения:

Microsoft.HybridCompute/настройки/запись
Microsoft.hybridcompute/gateways/read
Microsoft.hybridcompute/gateways/write

Создайте ресурс шлюза Arc

Вы можете создать ресурс шлюза Arc (предварительная версия) с помощью портала Azure, Azure CLI или Azure PowerShell. Обычно это занимает около 10 минут, чтобы создать ресурс шлюза Arc после выполнения этих действий.

Войдите на портал Azure из браузера.
Перейдите к Azure Arc. В меню службы в разделе "Управление" выберите шлюз Azure Arc (предварительная версия) и нажмите кнопку "Создать".
Выберите подписку и группу ресурсов, в которой вы хотите управлять ресурсом шлюза Arc в Azure. Ресурс шлюза Arc может использоваться любым ресурсом с поддержкой Arc в той же учетной записи Azure.
Для Name введите имя для ресурса шлюза Arc.
Для Местоположение введите регион, в котором должен находиться ресурс шлюза Arc. Ресурс шлюза Arc может использоваться любым ресурсом с поддержкой Arc в рамках одного тенанта Azure.
Нажмите кнопку Далее.
На странице "Теги" при необходимости укажите один или несколько пользовательских тегов для поддержки ваших стандартов.
Выберите Review + create.
Проверьте введенные данные, а затем выберите Создать.

Добавьте расширение шлюза Arc в Azure CLI:

az extension add -n arcgateway
На компьютере с доступом к Azure выполните следующие команды, чтобы создать ресурс шлюза Arc:
```
az arcgateway create `
    --gateway-name [Your gateway’s Name] `
    --resource-group <Your Resource Group> `
    --location [Location]
```

На машине с доступом к Azure выполните следующую команду PowerShell, чтобы создать ресурс шлюза Arc.

    New-AzArcgateway `
        -name <gateway’s name> `
        -resource-group <resource group> `
        -location <region> `
        -subscription <subscription name or id> `
        -gateway-type public

Подтверждение доступа к необходимым URL-адресам

После успешного создания ресурса в ответе будет включен URL-адрес шлюза Arc. Убедитесь, что URL-адрес шлюза Arc и все эти URL-адреса разрешены в среде, в которой находятся ресурсы Arc.

URL-адрес	Цель
`[Your URL Prefix].gw.arc.azure.com`	URL-адрес вашего шлюза (полученный путем выполнения `az arcgateway list` после создания ресурса шлюза)
`management.azure.com`	Конечная точка Azure Resource Manager, необходимая для канала управления Azure Resource Manager
`login.microsoftonline.com`	Точка доступа Microsoft Entra ID для получения токенов доступа к идентификационным данным
`gbl.his.arc.azure.com`	Конечная точка облачного сервиса для взаимодействия с агентами Azure Arc
`\<region\>.his.arc.azure.com`	Используется для основного канала управления Arc
`packages.microsoft.com`	Требуется для подключения серверов Linux к Arc

Подключайте новые ресурсы Azure Arc с помощью ресурса шлюза Arc

Создать установочный скрипт.

Следуйте инструкциям в разделе Быстрый старт: Подключение гибридных машин с серверами, поддерживающими Azure Arc, чтобы создать скрипт, который автоматизирует загрузку и установку агента Подключенной Машины Azure и устанавливает соединение с Azure Arc.

Важный

При создании скрипта подключения выберите ресурс шлюза в разделе метода подключения .
Запустите скрипт установки, чтобы подключить ваши серверы к Azure Arc.

В сценарии ARM ID ресурса шлюза Arc показан как --gateway-id.

Настройка существующих ресурсов Azure Arc для использования шлюза Arc

Вы можете связать существующие ресурсы Azure Arc с ресурсом шлюза Arc с помощью портала Azure, Azure CLI или Azure PowerShell.

На портале Azure перейдите к шлюзу Azure Arc (предварительная версия) Azure Arc.
Выберите ресурс шлюза Arc для ассоциации с вашим сервером, поддерживающим Arc.
В меню службы для ресурса шлюза выберите связанные ресурсы.
Нажмите кнопку "Добавить".
Выберите ресурс сервера с поддержкой Arc, чтобы связаться с ресурсом шлюза Arc.
Нажмите кнопку "Применить".

На компьютере с доступом к Azure выполните следующие команды:

az arcgateway settings update `
   --resource-group <resource_group> `
   --subscription <subscription_name> `
   --base-provider Microsoft.HybridCompute `
   --base-resource-type machines `
   --base-resource-name <server_name> `
   --gateway-resource-id <gateway_resource_id>

На компьютере с доступом к Azure выполните следующие команды:

Update-AzArcSetting `
    -ResourceGroupName <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -BaseProvider Microsoft.HybridCompute `
    -BaseResourceType machine `
    -BaseResourceName <Server Name> `
    -GatewayResourceId <resource ID>

С версией 1.50 или более ранней агента подключенного компьютера необходимо также запустить azcmagent config set connection.type gateway чтобы обновить сервер с поддержкой Arc для использования шлюза Arc. Для агентов версии 1.51 и более поздних версий этот шаг не требуется, так как операция происходит автоматически. Рекомендуется использовать последнюю версию агента подключенного компьютера.

Проверка успешной настройки шлюза Arc

На подключенном сервере выполните следующую команду: azcmagent show

Результат должен указывать следующие значения:

Статус агента должен отображаться как Подключен.
Использование HTTPS Proxy должно отображаться как http://localhost:40343.
Внешний прокси-сервер должен отображаться как ваш корпоративный прокси (если он задан). URL-адрес шлюза должен отражать URL-адрес ресурса шлюза.

Кроме того, чтобы проверить успешную настройку, выполните следующую команду: azcmagent check

Результат должен указывать, что connection.type для шлюза задано значение, а столбец Reachable должен указывать значение true для всех URL-адресов.

Удалите связь шлюза Arc

Вы можете отключить шлюз Arc и удалить связь между ресурсом шлюза Arc и кластером с поддержкой Arc. Это приводит к тому, что кластер с поддержкой Arc использует прямой трафик.

Замечание

Эта операция применяется только к шлюзу Azure Arc на серверах с поддержкой Azure Arc, а не к Azure Local. Если вы используете шлюз Azure Arc на Azure Local, обратитесь к разделу О шлюзе Azure Arc для Azure Local для получения информации об удалении.

Задайте для типа подключения сервера с поддержкой Arc значение direct вместо шлюза, выполнив следующую команду:

azcmagent config set connection.type direct

Замечание

Если вы выполните этот шаг, все требования к сети Azure Arc должны быть выполнены в вашей среде, чтобы продолжить использование Azure Arc.
Отсоедините ресурс шлюза Arc от машины:
1. На портале Azure перейдите к шлюзу Azure Arc (предварительная версия) Azure Arc.
2. Выберите ресурс шлюза Arc.
3. В меню службы для ресурса шлюза выберите связанные ресурсы.
4. Выберите сервер.
5. Выберите Удалить.
На компьютере с доступом к Azure выполните следующую команду Azure CLI:
```
az arcgateway settings update `
     --resource-group <resource_group> `
     --subscription <subscription_name> `
     --base-provider Microsoft.HybridCompute `
     --base-resource-type machines `
     --base-resource-name <server_name> `
     --gateway-resource-id <gateway_resource_id>
```
Замечание

Если вы выполняете эту команду Azure CLI в Windows PowerShell, установите --gateway-resource-id в null.
На компьютере с доступом к Azure выполните следующую команду PowerShell:
```
Update-AzArcSetting  `
     -ResourceGroupName <Resource Group> `
     -SubscriptionId <Subscription ID> `
     -BaseProvider Microsoft.HybridCompute `
     -BaseResourceType machine `
     -BaseResourceName <Server Name> `
     -GatewayResourceId <resource ID>
```

Удалить ресурс шлюза Arc

Вы можете удалить ресурс шлюза Arc с помощью портала Azure, Azure CLI или Azure PowerShell. Эта операция может занять до 5 минут.

На портале Azure перейдите к шлюзу Azure Arc.
Выберите ресурс шлюза Arc.
Нажмите кнопку "Удалить", а затем подтвердите удаление.

На компьютере с доступом к Azure выполните следующую команду Azure CLI:

az arcgateway delete `
    --resource-group <resource_group> `
    --subscription <subscription_name> `
    --gateway-name <gateway_resource_name>

На компьютере с доступом к Azure выполните следующую команду PowerShell:

Remove-AzArcGateway  
    -ResourceGroup <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -GatewayName <Gateway Resource Name>

Мониторинг трафика

Вы можете контролировать трафик шлюза Arc, просмотрев журналы прокси-сервера Azure Arc.

Чтобы просмотреть журналы прокси-сервера Arc в Windows, выполните действия.

Запустите azcmagent logs в PowerShell.
В результирующем .zip файле arcproxy.log файл находится в папке ProgramData\AzureConnectedMachineAgent\Log .

Чтобы просмотреть журналы прокси-сервера Arc в Linux, выполните приведенные действия.

Выполните sudo azcmagent logs.
В результирующем .zip файле arcproxy.log файл находится в папке /var/opt/azcmagent/log/ .

Дополнительные сценарии

Во время общедоступной предварительной версии шлюз Arc охватывает конечные точки, необходимые для подключения сервера, а также конечные точки для поддержки нескольких дополнительных сценариев с поддержкой Arc. В зависимости от сценариев, которые вы используете, может потребоваться разрешить дополнительные конечные точки в прокси-сервере.

Сценарии, которые не требуют дополнительных конечных точек

Центр администрирования Windows
SSH
Расширенные обновления безопасности
Расширение Azure для SQL Server

Сценарии, которые требуют дополнительных конечных точек

Конечные точки, перечисленные в следующих сценариях, должны быть разрешены в корпоративном прокси-сервере при использовании шлюза Arc:

Сервисы данных с поддержкой Azure Arc
- *.ods.opinsights.azure.com
- *.oms.opinsights.azure.com
- *.monitoring.azure.com
Агент системы мониторинга Azure
- \<log-analytics-workspace-id\>.ods.opinsights.azure.com
- \<data-collection-endpoint\>.\<virtual-machine-region-name\>.ingest.monitor.azure.com
Azure Key Vault Синхронизация сертификатов
- \<vault-name\>.vault.azure.net
Расширение для исполнителя гибридных задач Runbook в Azure Automation
- *.azure-automation.net
Расширение центра обновления ОС Windows / Диспетчер обновлений Azure
- Ваша среда должна соответствовать всем требованиям для обновления Windows.
Microsoft Defender
- Ваша среда должна соответствовать всем предварительным требованиям Для Microsoft Defender