Используйте Azure Private Link для безопасного подключения серверов к Azure Arc

Приватный канал Azure позволяет безопасно связать службы Azure PaaS с виртуальной сетью с помощью частных конечных точек. Для многих служб достаточно настроить конечную точку для каждого ресурса. Это означает, что вы можете подключить локальные или многооблачные серверы с помощью Azure Arc и отправить весь трафик через подключение Azure ExpressRoute или VPN-из одного узла в другой VPN-соединение вместо использования общедоступных сетей.

Начиная с серверов с поддержкой Azure Arc, можно использовать модель области приватного канала, которая позволяет нескольким серверам или компьютерам обмениваться данными с ресурсами Arc Azure с помощью одной частной конечной точки.

В этой статье рассматривается, когда следует использовать и как настроить область Private Link в Azure Arc.

Достоинства

Приватный канал предоставляет следующие возможности:

• Частное подключение к Azure Arc без открытия доступа к общедоступной сети.
• Убедиться в том, что данные с компьютера или сервера с поддержкой Azure Arc доступны только через разрешенные частные сети. Сюда также входят данные из расширений виртуальной машины, установленных на компьютере или сервере, которые обеспечивают поддержку управления после развертывания и мониторинга.
• Предотвращение кражи данных из частных сетей через определение конкретных серверов с поддержкой Azure Arc и других ресурсов служб Azure, например Azure Monitor, которые подключаются через вашу частную конечную точку.
• Безопасное подключение частной локальной сети к Azure Arc с помощью ExpressRoute и Приватного канала.
• Удержание всего трафика внутри магистральной сети Microsoft Azure.

Для получения дополнительной информации см. Основные преимущества Azure Private Link

Принцип работы

Область видимости частного подключения Azure Arc связывает частные конечные точки (и виртуальные сети, в которых они содержатся) с ресурсом Azure, в данном случае, с серверами с поддержкой Azure Arc. При включении любого из поддерживаемых расширений виртуальных машин с поддержкой Azure Arc, таких как Azure Monitor, эти ресурсы подключают другие ресурсы Azure. Такие как:

• Рабочая область Log Analytics, необходимая для Azure Automation для отслеживания изменений и инвентаризации, информации о виртуальных машинах Azure Monitor и сбора журналов Azure Monitor с агентом Azure Monitor.
• Учетная запись службы автоматизации Azure, необходимая для функций "Управление обновлениями" и "Отслеживание изменений и инвентаризации".
• Azure Key Vault
• Хранилище Azure Blob Storage, необходимое для расширения пользовательских скриптов.

Для подключения к любому другому ресурсу Azure с сервера с поддержкой Azure Arc необходимо настроить Private Link для каждой службы. Это необязательно, но рекомендуется. Приватный канал Azure требует отдельной конфигурации для каждой службы.

Для получения дополнительной информации о настройке Private Link для служб Azure, перечисленных ранее, см. статьи об Azure Automation, Azure Monitor, Azure Key Vault или хранилище блоб-объектов Azure.

• Частная конечная точка в виртуальной сети позволяет получить доступ к конечным точкам с поддержкой Azure Arc через частные IP-адреса из пула сети, а не использовать общедоступные IP-адреса этих конечных точек. Это позволяет использовать ресурсы с поддержкой Azure Arc, не открывая виртуальную сеть для незапрошенного исходящего трафика.

• Трафик от частной конечной точки к ресурсам будет передаваться по магистрали Microsoft Azure, а не в общедоступные сети.

• Вы можете настроить каждый из компонентов, чтобы разрешить или запретить прием и запросы из общедоступных сетей. Это обеспечивает защиту на уровне ресурсов, что позволяет управлять трафиком к конкретным ресурсам.

Ограничения и границы

При планировании настройки Private Link следует учитывать ряд ограничений для объекта области действия Private Link серверов, поддерживаемых Azure Arc.

• Вы можете связать с виртуальной сетью не более одной области приватного канала Azure Arc.
• Ресурс компьютера или сервера с поддержкой Azure Arc может подключаться только к одной области приватного канала серверов с поддержкой Azure Arc.
• Все локальные компьютеры должны использовать одну и ту же частную конечную точку, получая правильные сведения о частной конечной точке (имя записи FQDN и частный IP-адрес) с помощью одного и того же пересылающего DNS-сервера. Дополнительные сведения см. в статье Конфигурация DNS частной конечной точки Azure
• Сервер с поддержкой Azure Arc и область действия Azure Arc Private Link должны находиться в одном регионе Azure. Частная конечная точка и виртуальная сеть также должны находиться в одном регионе Azure, но этот регион может отличаться от региона диапазона частного подключения Azure Arc и сервера с поддержкой Arc.
• Сетевой трафик к Microsoft Entra ID и Azure Resource Manager не проходит через Области приватной связи Azure Arc и будет продолжать использовать ваш сетевой маршрут по умолчанию на интернет. При необходимости можно настроить приватный канал управления ресурсами для отправки трафика Azure Resource Manager в частную конечную точку.
• Другие используемые службы Azure, например Azure Monitor, должны иметь собственные частные конечные точки в виртуальной сети.
• Удаленный доступ к серверу с помощью Windows Admin Center или SSH в настоящее время не поддерживается через приватный канал.

Планирование настройки частного подключения

Чтобы подключить сервер к службе Azure Arc по приватному каналу, необходимо настроить сеть для выполнения следующих задач:

1. Установите подключение между локальной сетью и виртуальной сетью Azure с помощью VPN типа "сеть — сеть" или канала ExpressRoute.

2. Разверните область действия частного подключения Azure Arc, которая определяет, какие компьютеры или серверы могут взаимодействовать с Azure Arc через частные конечные точки, и свяжите её с виртуальной сетью Azure с помощью частной конечной точки.

3. Обновите конфигурацию DNS в локальной сети, чтобы разрешить адреса частных конечных точек.

4. Настройте локальный брандмауэр, чтобы разрешить доступ к идентификатору Microsoft Entra и Azure Resource Manager.

5. Свяжите компьютеры или серверы, зарегистрированные с помощью Azure Arc, с частной областью привязки.

6. При необходимости разверните частные конечные точки для других служб Azure, которыми управляет ваш компьютер или сервер, например:

   • Azure Monitor
   • Azure Automation
   • Хранилище Blob-объектов Azure
   • Azure Key Vault

В этой статье предполагается, что вы уже настроили канал ExpressRoute или VPN-подключение типа "сеть — сеть".

Сетевая конфигурация

Серверы с поддержкой Azure Arc интегрируются с несколькими службами Azure для обеспечения управления облаком и управления на гибридных компьютерах или серверах. Большинство этих служб уже предлагают частные конечные точки, но необходимо настроить правила брандмауэра и маршрутизации, чтобы разрешить доступ к идентификатору Microsoft Entra и Azure Resource Manager через Интернет, пока эти службы не предлагают частные конечные точки.

Этого можно достигнуть двумя способами:

• Если сеть настроена для маршрутизации всего трафика, привязанного к Интернету, через канал VPN Azure или ExpressRoute, можно настроить группу безопасности сети (NSG), связанную с подсетью в Azure, чтобы разрешить исходящий доступ TCP 443 (HTTPS) к идентификатору Microsoft Entra и Azure с помощью тегов службы. Правила NSG должны выглядеть так, как показано ниже:

  Настройка	Правило идентификатора Microsoft Entra	Правило Azure
  Источник	Виртуальная сеть	Виртуальная сеть
  Диапазоны исходных портов	*	*
  Назначение	Сервисный тег	Тег службы
  Тег пункта назначения службы	AzureActiveDirectory	AzureResourceManager
  Диапазоны портов назначения	443	443
  Протокол	TCP	TCP
  Действие	Разрешить	Разрешить
  Приоритет	150 (должен быть ниже всех правил, блокирующих доступ к Интернету)	151 (должен быть ниже всех правил, блокирующих доступ к Интернету)
  Имя.	AllowAADOutboundAccess	AllowAzOutboundAccess

• Настройте брандмауэр в локальной сети, чтобы разрешить исходящий доступ TCP 443 (HTTPS) к идентификатору Microsoft Entra и Azure с помощью скачиваемых файлов тегов службы. JSON-файл содержит все диапазоны общедоступных IP-адресов, используемые идентификатором Microsoft Entra и Azure, и обновляется ежемесячно, чтобы отразить любые изменения. Тег службы Azure AD — AzureActiveDirectory, а тег службы Azure — AzureResourceManager. Обратитесь к администратору сети и поставщику сетевых брандмауэров, чтобы узнать, как настроить правила брандмауэра.

Дополнительные сведения о потоках сетевого трафика см. в разделе " Принципы работы " этой статьи.

Создание области действия приватной ссылки

1. Войдите на портал Azure.

2. Перейдите к Создать ресурс на портале Azure и найдите Область Azure Arc Private Link, затем выберите Создать.

   

   Кроме того, перейдите непосредственно на страницу областей Private Link Azure Arc на портале, а затем выберите «Создать область приватного канала Azure Arc».

3. На вкладке "Основные сведения" выберите подписку и группу ресурсов.

4. Введите имя области охвата для Azure Arc Private Link. Лучше использовать осмысленное и понятное имя.

5. При желании можно сделать обязательной отправку данных каждым компьютером с поддержкой Azure Arc или сервером, связанным с этой областью действия частного канала Azure Arc, в службу через частную конечную точку. Для этого установите флажок "Разрешить доступ к общедоступной сети", чтобы компьютеры или серверы, связанные с этой областью Приватный канал Azure Arc, могли взаимодействовать со службой через частные или общедоступные сети. Этот параметр можно изменить после создания области по мере необходимости.

6. Перейдите на вкладку "Частная конечная точка ", а затем нажмите кнопку "Создать".

7. На панели Создание частной конечной точки:

   1. Укажите имя конечной точки.

   2. Выберите Да для параметра Интеграция с частной зоной DNS и позвольте системе автоматически создать новую частную зону DNS.

      Примечание.

      Если вы выбрали "Нет" и предпочитаете управлять записями DNS вручную, сначала завершите настройку Приватный канал, включая эту частную конечную точку и конфигурацию частной области. Затем настройте DNS в соответствии с инструкциями в статье о конфигурации DNS для частной конечной точки Azure. Не создавайте пустые записи при подготовке к настройке Private Link. Создаваемые записи DNS могут переопределить существующие параметры и повлиять на подключение к серверам с поддержкой Azure Arc.

      Использование одной и той же зоны VNET/DNS невозможно для ресурсов Arc, использующих частное подключение, и тех, которые его не используют. Ресурсы Arc, которые не подключены через частное подключение, должны разрешаться через общедоступные конечные точки.

   3. Нажмите ОК.

8. Выберите Просмотр и создание.

   

9. Дождитесь окончания проверки, а затем щелкните Создать.

Настройка локальной пересылки DNS

Локальные компьютеры или серверы должны иметь возможность разрешать записи DNS приватного канала на IP-адреса частной конечной точки. Настройка зависит от того, используете ли частные зоны DNS Azure для хранения записей DNS или используете ли вы собственный DNS-сервер локально и сколько серверов вы настраиваете.

Настройка DNS с помощью частных зон DNS, интегрированных с Azure

Если вы настроили частные зоны DNS для серверов с поддержкой Azure Arc и гостевой конфигурации при создании частной конечной точки, локальные компьютеры или серверы должны иметь возможность перенаправлять запросы DNS на встроенные DNS-серверы Azure для правильного разрешения адресов частной конечной точки. Вам потребуется сервер пересылки DNS в Azure (специализированная виртуальная машина или экземпляр Брандмауэра Azure с включенным DNS-прокси), после чего можно настроить локальный DNS-сервер для пересылки запросов в Azure для разрешения IP-адресов частной конечной точки.

Дополнительные сведения см. в статье «Частный резольвер Azure» с пересылкой DNS в локальной сети.

Настройка DNS-сервера вручную

Если вы отказались от использования частных зон DNS Azure во время создания частной конечной точки, нужно создать необходимые записи DNS на локальном DNS-сервере.

1. В портале Azure переходите к ресурсу частной конечной точки, связанному с вашей виртуальной сетью и областью частного канала доступа.

2. В меню службы в разделе "Параметры" выберите конфигурацию DNS, чтобы просмотреть список записей DNS и соответствующих IP-адресов, которые необходимо настроить на DNS-сервере. Полные доменные имена и IP-адреса изменятся в зависимости от региона, выбранного для частной конечной точки, и доступных IP-адресов в подсети.

3. Следуйте указаниям поставщика DNS-сервера, чтобы добавить необходимые зоны DNS и A записи, чтобы они соответствовали таблице на портале. Убедитесь, что выбран DNS-сервер, соответствующий вашей сети. Каждый компьютер или сервер, использующий этот DNS-сервер, теперь разрешает IP-адреса частной конечной точки и должен быть связан с областью видимости Private Link Azure Arc, иначе подключение будет отказано.

Сценарии с отдельным сервером

Если вы планируете использовать только Приватный канал для поддержки нескольких компьютеров или серверов, возможно, вам не потребуется обновить конфигурацию DNS всей сети. В этом случае можно добавить имена узлов и IP-адреса частной конечной точки в файл операционной системы Hosts. В зависимости от конфигурации ОС файл Hosts может быть основным или альтернативным способом разрешения имени узла в IP-адрес.

Windows

1. Используя учетную запись с правами администратора, откройте C:\Windows\System32\drivers\etc\hosts.

2. Добавьте IP-адреса частной конечной точки и имена узлов из списка конфигурации DNS, как описано в конфигурации DNS-сервера вручную. Файл hosts требует сначала указать IP-адрес, затем пробел, и после — имя узла.

3. Сохраните файл с изменениями. Сначала может потребоваться сохранить файл в другой каталог, а затем скопировать файл в исходный путь.

Linux

1. Откройте /etc/hosts файл hosts в текстовом редакторе.

2. Добавьте IP-адреса частной конечной точки и имена узлов из списка конфигурации DNS, как описано в конфигурации DNS-сервера вручную. Файл узлов сначала запрашивает IP-адрес, а затем пробел, а затем имя узла.

3. Сохраните файл с изменениями.

Подключение к серверу с поддержкой Azure Arc

Настройка нового сервера с поддержкой Azure Arc для использования приватного канала

При первичном подключении компьютера или сервера к серверам с поддержкой Azure Arc вы можете дополнительно подключить его к области Private Link Scope.

1. В браузере перейдите на портал Azure.

2. Перейдите в Машины - Azure Arc.

3. На странице "Компьютеры " Azure Arc" нажмите кнопку "Добавить или создать" в левом верхнем углу, а затем выберите "Добавить компьютер" в раскрывающемся меню.

4. На странице Add servers with Azure Arc (Добавление серверов со службой Azure Arc) выберите либо Add a single server (Добавить отдельный сервер), либо Add multiple servers (Добавить несколько серверов) в зависимости от сценария развертывания, а затем — Создать скрипт.

5. На вкладке Основные используйте следующие значения.

   1. Выберите Подписку и Ресурсную группу для машины.

   2. В раскрывающемся списке Регион выберите регион Azure для хранения метаданных компьютера или серверов.

   3. В раскрывающемся списке Операционная система выберите операционную систему, в которой должен выполняться скрипт.

   4. В разделе "Метод подключения" выберите Частную Конечную Точку и выберите область Azure Arc Приватная Ссылка, созданную в части 1, из раскрывающегося списка.

      

   5. Нажмите кнопку "Далее": теги.

6. Если вы выбрали "Добавить несколько серверов", на странице аутентификации выберите служебный принципал, созданный для серверов с поддержкой Azure Arc, из раскрывающегося списка. Если вы не создали учетную запись службы для серверов с поддержкой Azure Arc, ознакомьтесь с руководством по созданию учетной записи службы, чтобы узнать о необходимых разрешениях и шагах для создания такой учетной записи. Для продолжения щелкните Next: Tags (Далее: теги).

7. На странице Теги проверьте теги физического расположения, заданные по умолчанию, а затем введите нужное значение или укажите один или несколько настраиваемых тегов в соответствии со своими стандартами.

8. Нажмите кнопку "Далее". Скачайте и запустите скрипт.

9. На вкладке Download and run script (Скачивание и выполнение скрипта) просмотрите сводные данные и щелкните Скачать.

После скачивания скрипт необходимо запустить на компьютере или сервере с помощью привилегированной учетной записи (administrator или root). В зависимости от конфигурации сети может потребоваться скачать агент с компьютера с доступом к Интернету и перенести его на компьютер или сервер, а затем изменить скрипт с помощью пути к агенту.

Агент Windows можно скачать из https://aka.ms/AzureConnectedMachineAgent, а агент Linux — из https://packages.microsoft.com. Найдите последнюю версию azcmagent в каталоге распространения ОС и установите ее с помощью локального диспетчера пакетов.

Сценарий возвратит сообщения о состоянии, что позволит вам выяснить, успешно ли выполнено подключение после завершения.

Настройка существующего сервера с поддержкой Azure Arc

Для серверов с поддержкой Azure Arc, которые были настроены до создания области приватного канала, вы можете разрешить им начать использовать область приватного канала для серверов с поддержкой Azure Arc, выполнив следующие действия.

1. На портале Azure перейдите к ресурсу области действия приватной ссылки Azure Arc.

2. В меню службы в разделе "Настройка" выберите ресурсы Azure Arc и нажмите кнопку "Добавить".

3. Выберите в списке серверы, которые необходимо связать с областью приватного канала, а затем щелкните Выбрать, чтобы сохранить изменения.

   

Может потребоваться до 15 минут, чтобы область Приватной ссылки приняла подключения от недавно связанных серверов.

Устранение неполадок

При возникновении проблем могут помочь следующие рекомендации.

• Проверьте локальный DNS-сервер, чтобы убедиться, что он перенаправляет в Azure DNS или настроен с соответствующими записями A в зоне частного подключения. Эти команды поиска должны возвращать частные IP-адреса в вашей виртуальной сети Azure. Если они сопоставляют общедоступные IP-адреса, дважды проверьте конфигурацию DNS вашего компьютера, сервера и сети.

  nslookup gbl.his.arc.azure.com
  nslookup agentserviceapi.guestconfiguration.azure.com
  

• Для проблем с подключением компьютера или сервера убедитесь, что вы добавили идентификатор Microsoft Entra и теги службы Azure Resource Manager в брандмауэр локальной сети. Агент должен взаимодействовать со службами через Интернет, пока для этих служб не будут доступны частные конечные точки.

Дополнительные сведения об устранении неполадок см. в статье "Устранение неполадок с подключением к частной конечной точке Azure".

Следующие шаги

• Дополнительные сведения о частной конечной точке см . в статье "Что такое частная конечная точка Azure?".
• Узнайте, как настроить Private Link для Azure Automation, Azure Monitor, Azure Key Vault или Azure Blob storage.