Megosztás a következőn keresztül:


A hálózati konfigurációs követelmények egyszerűsítése az Azure Arc-átjáróval (nyilvános előzetes verzió)

Ha nagyvállalati proxykkal kezeli a kimenő forgalmat, az Azure Arc-átjáróval csak hét (7) végpont használatával hozhat létre infrastruktúrát az Azure Arcba. Azure Arc-átjáróval a következőket teheti:

  • Csatlakozzon az Azure Archoz úgy, hogy csak hét teljes tartománynév (FQDN) nyilvános hálózati hozzáférését nyitja meg.
  • Egy Azure Connected Machine-ügynök által az Arc-átjáró útján az Azure-ba küldött összes forgalom megtekintése és auditálása.

Ez a cikk az Arc Gateway (nyilvános előzetes verzió) beállítását és használatát ismerteti.

Fontos

Az Azure Arc-kompatibilis kiszolgálók Arc-átjáró funkciója jelenleg nyilvános előzetes verzióban érhető el minden olyan régióban, ahol az Azure Arc-kompatibilis kiszolgálók találhatók. A Microsoft Azure Previews kiegészítő használati feltételeiben talál olyan jogi feltételeket, amelyek a bétaverzióban, nyilvános előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Az Azure Arc-átjáró működése

Az Azure Arc-átjáró két fő összetevőből áll:

  • Az Arc-átjáró erőforrása: Egy Azure-erőforrás, amely az Azure-forgalom gyakori előtereként szolgál. Ez az átjáró-erőforrás egy adott tartományon lesz kiszolgálva. Az Arc-átjáró erőforrásának létrehozása után a rendszer a sikeres válaszban visszaadja a tartományt.

  • Az Arc-proxy: Az Arc-ügynöki szolgáltatáshoz hozzáadott új összetevő. Ez az összetevő "Azure Arc Proxy" nevű szolgáltatásként fut, és az Azure Arc-ügynökök és -bővítmények által használt továbbítási proxyként működik. Az Arc-proxyhoz nincs szükség konfigurációra. Ez a proxy az Arc core-ügynöki szolgáltatás része, és egy Arc-kompatibilis erőforrás kontextusában fut.

Amikor az átjáró működik, a forgalom a következő ugrásokkal áramlik: Arc-ügynöki → Arc-proxy → Vállalati proxy → Arc-átjáró → Célszolgáltatás

Az Azure Arc-átjáró forgalmi útvonalát bemutató ábra.

Jelenlegi korlátozások

A nyilvános előzetes verzióban az alábbi korlátozások érvényesek. A konfiguráció tervezésekor vegye figyelembe ezeket a tényezőket.

  • A TLS leállító proxyi nem támogatottak (nyilvános előzetes verzió)
  • Az Arc-átjáróval (nyilvános előzetes verzió) használt ExpressRoute/Helyek közötti VPN vagy privát végpontok nem támogatottak.
  • Azure-előfizetésenként legfeljebb öt (5) Arc Gateway -erőforrás (nyilvános előzetes verzió) érhető el.
  • Az Arc-átjáró csak az Azure nyilvános felhőben való kapcsolathoz használható.

Szükséges engedélyek

Az Arc-átjáró erőforrásainak létrehozásához és az Arc-kompatibilis kiszolgálókhoz való társításuk kezeléséhez a következő engedélyek szükségesek:

  • Microsoft.HybridCompute/settings/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

Az Arc-átjáró használata (nyilvános előzetes verzió)

Az Arc-átjáró használatának négy lépése van:

  1. Arc-átjáró-erőforrás létrehozása.
  2. Győződjön meg arról, hogy a szükséges URL-címek engedélyezve vannak a környezetben.
  3. Azure Arc-erőforrások előkészítése az Arc-átjáró erőforrásával, vagy meglévő Azure Arc-erőforrások konfigurálása az Arc-átjáró használatára.
  4. Ellenőrizze, hogy a beállítás sikeres volt-e.

1. lépés: Arc-átjáró-erőforrás létrehozása

Arc-átjáró-erőforrást az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával hozhat létre.

  1. A böngészőből jelentkezzen be az Azure Portalra.

  2. Navigálás az Azure Arcra | Az Azure Arc-átjáró lapja, majd válassza a Létrehozás lehetőséget.

  3. Válassza ki azt az előfizetést és erőforráscsoportot, amelyben az Arc-átjáró erőforrását az Azure-ban szeretné felügyelni. Az Arc-átjáróerőforrásokat bármely Arc-kompatibilis erőforrás használhatja ugyanabban az Azure-bérlőben.

  4. A Név értékhez adja meg az Arc-átjáró erőforrásának nevét.

  5. A Hely területen adja meg azt a régiót, ahol az Arc-átjáró erőforrásának élnie kell. Az Arc-átjáróerőforrásokat bármely Arc-kompatibilis erőforrás használhatja ugyanabban az Azure-bérlőben.

  6. Válassza a Tovább lehetőséget.

  7. A Címkék lapon adjon meg egy vagy több egyéni címkét a szabványok támogatásához.

  8. Válassza a Véleményezés > Létrehozás lehetőséget.

  9. Tekintse át a bemeneti adatokat, majd válassza a Létrehozás lehetőséget.

    Az átjáró létrehozásának folyamata 9–10 percet vesz igénybe.

2. lépés: Győződjön meg arról, hogy a szükséges URL-címek engedélyezve vannak a környezetben

Az erőforrás létrehozásakor a sikeres válasz tartalmazza az Arc-átjáró URL-címét. Győződjön meg arról, hogy az Arc-átjáró URL-címe és az alábbi táblázatban szereplő ÖSSZES URL-cím engedélyezve van abban a környezetben, ahol az Arc-erőforrások élnek. A szükséges URL-címek a következők:

URL-cím Cél
[Saját URL-előtag].gw.arc.azure.com Az átjáró URL-címe (Ezt az URL-címet az átjáró-erőforrás létrehozása után futtatva az arcgateway list szerezheti be)
management.azure.com Azure Resource Manager-végpont, amely az Azure Resource Manager vezérlőcsatornához szükséges
login.microsoftonline.com A Microsoft Entra ID végpontja identitás-hozzáférési jogkivonatok beszerzéséhez
gbl.his.arc.azure.com A felhőszolgáltatás végpontja az Azure Arc-ügynökökkel való kommunikációhoz
<region.his.arc.azure.com> Az Arc fő vezérlőcsatornája
packages.microsoft.com Linux-alapú Arc-ügynöki hasznos adatok beszerzéséhez szükséges, csak a Linux-kiszolgálók Archoz való csatlakoztatásához szükséges

3a. lépés: Azure Arc-erőforrások előkészítése az Arc-átjáró erőforrásával.

  1. Hozza létre a telepítési szkriptet.

    Kövesse a rövid útmutató utasításait : Hibrid gépek csatlakoztatása Azure Arc-kompatibilis kiszolgálókhoz egy olyan szkript létrehozásához, amely automatizálja az Azure Connected Machine-ügynök letöltését és telepítését, és létrehozza a kapcsolatot az Azure Arctal.

    Fontos

    Az előkészítési szkript létrehozásakor válassza a Proxykiszolgáló lehetőséget a Kapcsolat metódus alatt az átjáróerőforrás legördülő listájának megjelenítéséhez.

  2. Futtassa a telepítési szkriptet a kiszolgálók Azure Arcba való előkészítéséhez.

    A szkriptben az Arc-átjáró erőforrásÁNAK ARM-azonosítója a --gateway-idkövetkezőképpen jelenik meg: .

3b. lépés: Meglévő Azure Arc-erőforrások konfigurálása az Arc-átjáró használatára

Meglévő Azure Arc-erőforrásokat konfigurálhat az Arc-átjáró használatára az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával.

  1. Az Azure Portalon lépjen az Azure Arc – Azure Arc átjáró lapra.

  2. Válassza ki az Arc-átjáró erőforrását az Arc-kompatibilis kiszolgálóhoz társítani.

  3. Nyissa meg az átjáróerőforrás Társított erőforrások lapját.

  4. Válassza a Hozzáadás lehetőséget.

  5. Válassza ki az Arc-kompatibilis erőforrást az Arc-átjáró erőforrásához társítani.

  6. Válassza az Alkalmazás lehetőséget.

  7. Frissítse az Arc-kompatibilis kiszolgálót az Arc-átjáró használatára a futtatással azcmagent config set connection.type gateway.

4. lépés: Ellenőrizze, hogy a beállítás sikeres volt-e

Az előkészített kiszolgálón futtassa a következő parancsot: azcmagent show Az eredménynek a következő értékeket kell jeleznie:

  • Az ügynök állapotának csatlakoztatottként kell megjelennie.
  • A HTTPS-proxy használata a következőképpen jelenik meg http://localhost:40343: .
  • A felsőbb rétegbeli proxynak vállalati proxyként kell megjelennie (ha beállít egyet). Az átjáró URL-címének tükröznie kell az átjáró-erőforrás URL-címét.

Emellett a sikeres beállítás ellenőrzéséhez futtassa a következő parancsot: azcmagent check Az eredménynek azt kell jeleznie, hogy az connection.type átjáróra van állítva, az Elérhető oszlop pedig az összes URL-cím esetében igaz értéket jelez.

Gép társítása új Arc-átjáróval

Gép társítása új Arc-átjáróval:

  1. Az Azure Portalon lépjen az Azure Arc – Azure Arc átjáró lapra.

  2. Válassza ki a géphez társítani kívánt új Arc Gateway-erőforrást.

  3. Nyissa meg az átjáróerőforrás Társított erőforrások lapját.

  4. Válassza a Hozzáadás lehetőséget.

  5. Válassza ki az Arc-kompatibilis gépet az új Arc-átjáró erőforrásához társítani.

  6. Válassza az Alkalmazás lehetőséget.

  7. Frissítse az Arc-kompatibilis kiszolgálót az Arc-átjáró használatára a futtatással azcmagent config set connection.type gateway.

Arc-átjáró társításának eltávolítása (a közvetlen útvonal használata helyett)

  1. Az alábbi parancs futtatásával állítsa az Arc-kompatibilis kiszolgáló kapcsolattípusát "közvetlen" értékre az "átjáró" helyett:

    azcmagent config set connection.type direct

    Feljegyzés

    Ha ezt a lépést hajtja végre, a környezetében minden Azure Arc-hálózati követelménynek teljesülnie kell az Azure Arc további használatához.

  2. Válassza le az Arc-átjáró erőforrását a gépről:

    1. Az Azure Portalon lépjen az Azure Arc – Azure Arc átjáró lapra.

    2. Válassza ki az Arc-átjáró erőforrását.

    3. Nyissa meg az átjáróerőforrás Társított erőforrások lapját, és válassza ki a kiszolgálót.

    4. Válassza az Eltávolítás lehetőséget.

Arc-átjáró erőforrásának törlése

Feljegyzés

A művelet végrehajtása 4–5 percet is igénybe vehet.

  1. Az Azure Portalon lépjen az Azure Arc – Azure Arc átjáró lapra.

  2. Válassza ki az Arc-átjáró erőforrását.

  3. Válassza a Törlés lehetőséget.

Hibaelhárítás

Az Arc-átjáró forgalmát az Azure Arc-proxynaplók megtekintésével naplózhatja.

Arc-proxynaplók megtekintése Windows rendszeren:

  1. Futtassa azcmagent logs a PowerShellben.
  2. Az eredményként kapott .zip fájlban a naplók a C:\ProgramData\Microsoft\ArcProxy mappában találhatók.

Arc-proxynaplók megtekintése Linuxon:

  1. Futtassa sudo azcmagent logsés ossza meg az eredményként kapott fájlt.
  2. Az eredményként kapott naplófájlban a naplók a /usr/local/arcproxy/logs/ mappában találhatók.

További forgatókönyvek

A nyilvános előzetes verzióban az Arc-átjáró lefedi a kiszolgáló előkészítéséhez szükséges végpontokat, valamint a további Arc-kompatibilis forgatókönyvekhez szükséges végpontok egy részét. Az ön által alkalmazott forgatókönyv(ek) alapján további végpontokat kell engedélyezni a proxyban.

Olyan forgatókönyvek, amelyekhez nincs szükség további végpontokra

  • Windows Admin Center
  • SSH
  • Bővített biztonsági frissítések (ESU)
  • Microsoft Defender
  • Azure-bővítmény AZ SQL Serverhez

További végpontokat igénylő forgatókönyvek

Az Arc-átjáró használatakor engedélyezni kell a vállalati proxyban az alábbi forgatókönyvekkel felsorolt végpontokat:

  • Azure Arc-kompatibilis adatszolgáltatások

    • *.ods.opinsights.azure.com

    • *.oms.opinsights.azure.com

    • *.monitoring.azure.com

  • Azure Monitor-ügynök

    • <log-analytics-workspace-id.ods.opinsights.azure.com>

    • <adatgyűjtési végpont>.<virtual-machine-region-name.ingest.monitor.azure.com>

  • Azure Key Vault-tanúsítványszinkronizálás

    • <vault-name.vault.azure.net>
  • Az Azure Automation hibrid runbook-feldolgozó bővítménye

    • *.azure-automation.net
  • Windows OS Update-bővítmény / Azure Update Manager

Ismert problémák

Az alábbiakban az Arc-átjáró aktuálisan ismert problémáinak leírása található.

Frissítésre van szükség az Azure Connected Machine-ügynök előkészítése után

Ha az előkészítési szkriptet (vagy a azcmagent connect parancsot) használja egy kiszolgáló előkészítéséhez a megadott átjáró erőforrás-azonosítójával, az erőforrás sikeresen használja az Arc-átjárót. Egy ismert hiba (jelenleg javítással) miatt azonban az Arc-kompatibilis kiszolgáló csak akkor jelenik meg társított erőforrásként az Azure Portalon, ha az erőforrás beállításai frissülnek. A frissítés végrehajtásához kövesse az alábbi eljárást:

  1. Az Azure Portalon lépjen az Azure Arcra | Arc gateway page.

  2. Válassza ki az Arc-átjáró erőforrását az Arc-kompatibilis kiszolgálóhoz társítani.

  3. Lépjen az átjáróerőforrás Társított erőforrások lapjára.

  4. Válassza a Hozzáadás lehetőséget.

  5. Válassza ki az Arc-kompatibilis erőforrást az Arc-átjáró erőforrásához társítani, majd válassza az Alkalmaz lehetőséget.

Arcproxy-frissítésre van szükség egy átjáróerőforrás gépről való leválasztása után

Ha egy Arc-átjáró erőforrását leválasztja egy gépről, frissítenie kell az Arc-proxyt az Arc-átjáró konfigurációjának törléséhez. Ehhez hajtsa végre a következő eljárást:

  1. Ívproxy leállítása.

    • Windows: Stop-Service arcproxy
    • Linux: sudo systemctl stop arcproxyd
  2. Törölje a cloudconfig.json fájlt.

    • Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
    • Linux: "/var/opt/azcmagent/cloudconfig.json"
  3. Ívproxy indítása.

    • Windows: Start-Service arcproxy
    • Linux: sudo systemctl start arcproxyd
  4. Indítsa újra a himds (nem kötelező, de ajánlott).

    • Windows: Restart-Service himds
    • Linux: sudo systemctl restart himdsd

Az átjáró nélkül újra engedélyezett gépek frissítésére van szükség

Ha egy Arc-átjáróval rendelkező Arc-kompatibilis gépet törölnek az Azure Arc-ból, és Arc-átjáró nélkül újra engedélyezik, frissítésre van szükség az Azure Portal állapotának frissítéséhez.

Fontos

Ez a probléma csak akkor fordul elő, ha az erőforrás újra arc-kompatibilis ugyanazzal az ARM-azonosítóval, mint a kezdeti engedélyezése.

Ebben az esetben a gép helytelenül jelenik meg az Azure Portalon az Arc-átjáróhoz társított erőforrásként. Ennek megakadályozása érdekében, ha arc-átjáró nélküli gépet kíván engedélyezni, amely korábban Arc-kompatibilis volt arc-átjáróval, az előkészítés után frissítenie kell az Arc-átjáró társítását. Ehhez kövesse az alábbi eljárást:

  1. Az Azure Portalon lépjen az Azure Arcra | Arc gateway page.

  2. Válassza ki az Arc-átjáró erőforrását.

  3. Lépjen az átjáróerőforrás Társított erőforrások lapjára.

  4. Jelölje ki a kiszolgálót, majd válassza az Eltávolítás lehetőséget.

Manuális átjáró-társítás szükséges a törlés után

Ha egy Arc-átjárót törölnek, miközben egy gép továbbra is csatlakozik hozzá, az Azure Portal használatával társítani kell a gépet bármely más Arc-átjáró-erőforrással.

A probléma elkerülése érdekében az átjáró-erőforrás törlése előtt válassza le az arc-kompatibilis erőforrásokat az Arc-átjáróról. Ha ezt a hibát tapasztalja, az Azure Portal használatával társíthatja a gépet egy új Arc Gateway-erőforrással.