A hálózati konfigurációs követelmények egyszerűsítése az Azure Arc Gateway használatával (előzetes verzió)
Ha nagyvállalati proxykat használ a kimenő forgalom kezeléséhez, az Azure Arc-átjáró egyszerűsítheti a kapcsolat engedélyezésének folyamatát.
Az Azure Arc-átjáró (jelenleg előzetes verzióban) lehetővé teszi a következőket:
- Csatlakozzon az Azure Archoz úgy, hogy csak hét teljes tartománynév (FQDN) nyilvános hálózati hozzáférését nyitja meg.
- Megtekintheti és naplózhatja az Arc-ügynökök által az Azure-ba az Arc-átjárón keresztül küldött összes forgalmat.
Fontos
Az Azure Arc-átjáró jelenleg előzetes verzióban érhető el.
A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Az Azure Arc-átjáró működése
Az Arc-átjáró két új összetevő bevezetésével működik:
- Az Arc-átjáró erőforrása egy Azure-erőforrás, amely az Azure-forgalom általános előtereként szolgál. Az átjáró-erőforrás egy adott tartományon/URL-címen lesz kiszolgálva. Ezt az erőforrást a cikkben ismertetett lépések végrehajtásával kell létrehoznia. Miután sikeresen létrehozta az átjáró-erőforrást, ez a tartomány/URL szerepel a sikeres válaszban.
- Az Arc-proxy egy új összetevő, amely saját podként fut (az Úgynevezett Azure Arc Proxy). Ez az összetevő az Azure Arc-ügynökök és -bővítmények által használt továbbítási proxyként működik. Az Azure Arc-proxyhoz nincs szükség konfigurációra.
További információkért tekintse meg az Azure Arc-átjáró működését.
Fontos
Az Azure Local és az AKS nem támogatja a proxyk, az ExpressRoute/helyek közötti VPN- vagy magánvégpontok megszüntetését a TLS-ben. Emellett azure-előfizetésenként öt Arc-átjáró-erőforrás van korlátozva.
Mielőtt elkezdené
Győződjön meg arról, hogy teljesíti az AKS-fürtök Azure Local-on való létrehozásának előfeltételeit.
Ez a cikk az Azure CLI 1.4.23-s vagy újabb verzióját igényli. Az Azure CloudShell használata esetén a legújabb verzió már telepítve van.
Az Arc-átjáró erőforrásainak létrehozásához és az AKS Arc-fürtökhöz való társításuk kezeléséhez a következő Azure-engedélyek szükségesek:
Microsoft.Kubernetes/connectedClusters/settings/default/writeMicrosoft.hybridcompute/gateways/readMicrosoft.hybridcompute/gateways/write
Arc-átjáró-erőforrást az Azure CLI vagy az Azure Portal használatával hozhat létre. Az Arc-átjáró erőforrásának az AKS-fürtökhöz és az Azure Local-hoz való létrehozásáról további információt az Arc-átjáró erőforrásának azure-beli létrehozásáról szóló cikkben talál. Az Arc-átjáró erőforrásának létrehozásakor kérje le az átjáró erőforrás-azonosítóját az alábbi parancs futtatásával:
$gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
Hozzáférés megerősítése a szükséges URL-címekhez
Győződjön meg arról, hogy az Arc-átjáró URL-címe és az alábbi URL-címek engedélyezve vannak a vállalati tűzfalon keresztül:
| URL-cím | Cél |
|---|---|
[Your URL prefix].gw.arc.azure.com |
Az átjáró URL-címe. Ezt az URL-címet az erőforrás létrehozása után futtatva az arcgateway list szerezheti be. |
management.azure.com |
Azure Resource Manager-végpont, amely az Azure Resource Manager vezérlőcsatornához szükséges. |
<region>.obo.arc.azure.com |
Használat esetén az connectedk8s proxy kötelező megadni. |
login.microsoftonline.com, <region>.login.microsoft.com |
Az identitás-hozzáférési jogkivonatok beszerzéséhez használt Microsoft Entra ID-végpont. |
gbl.his.arc.azure.com, <region>.his.arc.azure.com |
A felhőszolgáltatás végpontja az Arc-ügynökökkel való kommunikációhoz. Rövid neveket használ; például eus az USA keleti régiója esetében. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Az Azure Arc-ügynökök tárolólemezképeinek lekéréséhez szükséges. |
AKS Arc-fürt létrehozása engedélyezett Arc-átjáróval
Futtassa a következő parancsot egy AKS Arc-fürt létrehozásához, amelyen engedélyezve van az Arc-átjáró:
az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys
AKS Arc-fürt frissítése és az Arc-átjáró engedélyezése
Futtassa a következő parancsot egy AKS Arc-fürt frissítéséhez és az Arc-átjáró engedélyezéséhez:
az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId
Arc-átjáró letiltása AKS Arc-fürtön
Futtassa a következő parancsot egy AKS Arc-fürt letiltásához:
az aksarc update -n $clusterName -g $resourceGroup --disable-gateway
Forgalom figyelése
Az átjáró forgalmának naplózásához tekintse meg az átjáró útválasztójának naplóit:
- Futtassa az
kubectl get pods -n azure-arcparancsot. - Azonosítsa az Arc Proxy podot (a neve a következővel
arc-proxy-kezdődik: ). - Futtassa az
kubectl logs -n azure-arc <Arc Proxy pod name>parancsot.
Egyéb forgatókönyvek
A nyilvános előzetes verzióban az Arc-átjáró az AKS Arc-fürtökhöz szükséges végpontokat és a további Arc-kompatibilis forgatókönyvekhez szükséges végpontok egy részét fedi le. Az alkalmazott forgatókönyvek alapján további végpontokat kell engedélyezni a proxyban.
Az Arc-átjáró használata esetén a vállalati proxyban engedélyezni kell a következő forgatókönyvekhez felsorolt végpontokat:
- Tárolóelemzések az Azure Monitorban:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
- Azure Key Vault:
<vault-name>.vault.azure.net
- Azure Policy:
data.policy.core.windows.netstore.policy.core.windows.net
- Microsoft Defender tárolókhoz:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com
- Azure Arc-kompatibilis adatszolgáltatások
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
Következő lépések
- Az Azure Arc-kompatibilis Kubernetes-fürtökhöz készült MetalLB-bővítmény üzembe helyezése.