A hálózati konfigurációs követelmények egyszerűsítése az Azure Arc-átjáróval (nyilvános előzetes verzió)
Ha nagyvállalati proxykkal kezeli a kimenő forgalmat, az Azure Arc-átjáróval csak hét (7) végpont használatával hozhat létre infrastruktúrát az Azure Arcba. Azure Arc-átjáróval a következőket teheti:
- Csatlakozzon az Azure Archoz úgy, hogy csak hét teljes tartománynév (FQDN) nyilvános hálózati hozzáférését nyitja meg.
- Egy Azure Connected Machine-ügynök által az Arc-átjáró útján az Azure-ba küldött összes forgalom megtekintése és auditálása.
Ez a cikk az Arc Gateway (nyilvános előzetes verzió) beállítását és használatát ismerteti.
Fontos
Az Azure Arc-kompatibilis kiszolgálók Arc-átjáró funkciója jelenleg nyilvános előzetes verzióban érhető el minden olyan régióban, ahol az Azure Arc-kompatibilis kiszolgálók találhatók. A Microsoft Azure Previews kiegészítő használati feltételeiben talál olyan jogi feltételeket, amelyek a bétaverzióban, nyilvános előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az Azure Arc-átjáró működése
Az Azure Arc-átjáró két fő összetevőből áll:
Az Arc-átjáró erőforrása: Egy Azure-erőforrás, amely az Azure-forgalom gyakori előtereként szolgál. Ez az átjáró-erőforrás egy adott tartományon lesz kiszolgálva. Az Arc-átjáró erőforrásának létrehozása után a rendszer a sikeres válaszban visszaadja a tartományt.
Az Arc-proxy: Az Arc-ügynöki szolgáltatáshoz hozzáadott új összetevő. Ez az összetevő "Azure Arc Proxy" nevű szolgáltatásként fut, és az Azure Arc-ügynökök és -bővítmények által használt továbbítási proxyként működik. Az Arc-proxyhoz nincs szükség konfigurációra. Ez a proxy az Arc core-ügynöki szolgáltatás része, és egy Arc-kompatibilis erőforrás kontextusában fut.
Amikor az átjáró működik, a forgalom a következő ugrásokkal áramlik: Arc-ügynöki → Arc-proxy → Vállalati proxy → Arc-átjáró → Célszolgáltatás
Jelenlegi korlátozások
A nyilvános előzetes verzióban az alábbi korlátozások érvényesek. A konfiguráció tervezésekor vegye figyelembe ezeket a tényezőket.
- A TLS leállító proxyi nem támogatottak (nyilvános előzetes verzió)
- Az Arc-átjáróval (nyilvános előzetes verzió) használt ExpressRoute/Helyek közötti VPN vagy privát végpontok nem támogatottak.
- Azure-előfizetésenként legfeljebb öt (5) Arc Gateway -erőforrás (nyilvános előzetes verzió) érhető el.
- Az Arc-átjáró csak az Azure nyilvános felhőben való kapcsolathoz használható.
Szükséges engedélyek
Az Arc-átjáró erőforrásainak létrehozásához és az Arc-kompatibilis kiszolgálókhoz való társításuk kezeléséhez a következő engedélyek szükségesek:
- Microsoft.HybridCompute/settings/write
- Microsoft.hybridcompute/gateways/read
- Microsoft.hybridcompute/gateways/write
Az Arc-átjáró használata (nyilvános előzetes verzió)
Az Arc-átjáró használatának négy lépése van:
- Arc-átjáró-erőforrás létrehozása.
- Győződjön meg arról, hogy a szükséges URL-címek engedélyezve vannak a környezetben.
- Azure Arc-erőforrások előkészítése az Arc-átjáró erőforrásával, vagy meglévő Azure Arc-erőforrások konfigurálása az Arc-átjáró használatára.
- Ellenőrizze, hogy a beállítás sikeres volt-e.
1. lépés: Arc-átjáró-erőforrás létrehozása
Arc-átjáró-erőforrást az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával hozhat létre.
A böngészőből jelentkezzen be az Azure Portalra.
Navigálás az Azure Arcra | Az Azure Arc-átjáró lapja, majd válassza a Létrehozás lehetőséget.
Válassza ki azt az előfizetést és erőforráscsoportot, amelyben az Arc-átjáró erőforrását az Azure-ban szeretné felügyelni. Az Arc-átjáróerőforrásokat bármely Arc-kompatibilis erőforrás használhatja ugyanabban az Azure-bérlőben.
A Név értékhez adja meg az Arc-átjáró erőforrásának nevét.
A Hely területen adja meg azt a régiót, ahol az Arc-átjáró erőforrásának élnie kell. Az Arc-átjáróerőforrásokat bármely Arc-kompatibilis erőforrás használhatja ugyanabban az Azure-bérlőben.
Válassza a Tovább lehetőséget.
A Címkék lapon adjon meg egy vagy több egyéni címkét a szabványok támogatásához.
Válassza a Véleményezés > Létrehozás lehetőséget.
Tekintse át a bemeneti adatokat, majd válassza a Létrehozás lehetőséget.
Az átjáró létrehozásának folyamata 9–10 percet vesz igénybe.
2. lépés: Győződjön meg arról, hogy a szükséges URL-címek engedélyezve vannak a környezetben
Az erőforrás létrehozásakor a sikeres válasz tartalmazza az Arc-átjáró URL-címét. Győződjön meg arról, hogy az Arc-átjáró URL-címe és az alábbi táblázatban szereplő ÖSSZES URL-cím engedélyezve van abban a környezetben, ahol az Arc-erőforrások élnek. A szükséges URL-címek a következők:
URL-cím | Cél |
---|---|
[Saját URL-előtag].gw.arc.azure.com | Az átjáró URL-címe (Ezt az URL-címet az átjáró-erőforrás létrehozása után futtatva az arcgateway list szerezheti be) |
management.azure.com | Azure Resource Manager-végpont, amely az Azure Resource Manager vezérlőcsatornához szükséges |
login.microsoftonline.com | A Microsoft Entra ID végpontja identitás-hozzáférési jogkivonatok beszerzéséhez |
gbl.his.arc.azure.com | A felhőszolgáltatás végpontja az Azure Arc-ügynökökkel való kommunikációhoz |
<region.his.arc.azure.com> | Az Arc fő vezérlőcsatornája |
packages.microsoft.com | Linux-alapú Arc-ügynöki hasznos adatok beszerzéséhez szükséges, csak a Linux-kiszolgálók Archoz való csatlakoztatásához szükséges |
3a. lépés: Azure Arc-erőforrások előkészítése az Arc-átjáró erőforrásával.
Hozza létre a telepítési szkriptet.
Kövesse a rövid útmutató utasításait : Hibrid gépek csatlakoztatása Azure Arc-kompatibilis kiszolgálókhoz egy olyan szkript létrehozásához, amely automatizálja az Azure Connected Machine-ügynök letöltését és telepítését, és létrehozza a kapcsolatot az Azure Arctal.
Fontos
Az előkészítési szkript létrehozásakor válassza a Proxykiszolgáló lehetőséget a Kapcsolat metódus alatt az átjáróerőforrás legördülő listájának megjelenítéséhez.
Futtassa a telepítési szkriptet a kiszolgálók Azure Arcba való előkészítéséhez.
A szkriptben az Arc-átjáró erőforrásÁNAK ARM-azonosítója a
--gateway-id
következőképpen jelenik meg: .
3b. lépés: Meglévő Azure Arc-erőforrások konfigurálása az Arc-átjáró használatára
Meglévő Azure Arc-erőforrásokat konfigurálhat az Arc-átjáró használatára az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával.
Az Azure Portalon lépjen az Azure Arc – Azure Arc átjáró lapra.
Válassza ki az Arc-átjáró erőforrását az Arc-kompatibilis kiszolgálóhoz társítani.
Nyissa meg az átjáróerőforrás Társított erőforrások lapját.
Válassza a Hozzáadás lehetőséget.
Válassza ki az Arc-kompatibilis erőforrást az Arc-átjáró erőforrásához társítani.
Válassza az Alkalmazás lehetőséget.
Frissítse az Arc-kompatibilis kiszolgálót az Arc-átjáró használatára a futtatással
azcmagent config set connection.type gateway
.
4. lépés: Ellenőrizze, hogy a beállítás sikeres volt-e
Az előkészített kiszolgálón futtassa a következő parancsot: azcmagent show
Az eredménynek a következő értékeket kell jeleznie:
- Az ügynök állapotának csatlakoztatottként kell megjelennie.
- A HTTPS-proxy használata a következőképpen jelenik meg http://localhost:40343: .
- A felsőbb rétegbeli proxynak vállalati proxyként kell megjelennie (ha beállít egyet). Az átjáró URL-címének tükröznie kell az átjáró-erőforrás URL-címét.
Emellett a sikeres beállítás ellenőrzéséhez futtassa a következő parancsot: azcmagent check
Az eredménynek azt kell jeleznie, hogy az connection.type
átjáróra van állítva, az Elérhető oszlop pedig az összes URL-cím esetében igaz értéket jelez.
Gép társítása új Arc-átjáróval
Gép társítása új Arc-átjáróval:
Az Azure Portalon lépjen az Azure Arc – Azure Arc átjáró lapra.
Válassza ki a géphez társítani kívánt új Arc Gateway-erőforrást.
Nyissa meg az átjáróerőforrás Társított erőforrások lapját.
Válassza a Hozzáadás lehetőséget.
Válassza ki az Arc-kompatibilis gépet az új Arc-átjáró erőforrásához társítani.
Válassza az Alkalmazás lehetőséget.
Frissítse az Arc-kompatibilis kiszolgálót az Arc-átjáró használatára a futtatással
azcmagent config set connection.type gateway
.
Arc-átjáró társításának eltávolítása (a közvetlen útvonal használata helyett)
Az alábbi parancs futtatásával állítsa az Arc-kompatibilis kiszolgáló kapcsolattípusát "közvetlen" értékre az "átjáró" helyett:
azcmagent config set connection.type direct
Feljegyzés
Ha ezt a lépést hajtja végre, a környezetében minden Azure Arc-hálózati követelménynek teljesülnie kell az Azure Arc további használatához.
Válassza le az Arc-átjáró erőforrását a gépről:
Az Azure Portalon lépjen az Azure Arc – Azure Arc átjáró lapra.
Válassza ki az Arc-átjáró erőforrását.
Nyissa meg az átjáróerőforrás Társított erőforrások lapját, és válassza ki a kiszolgálót.
Válassza az Eltávolítás lehetőséget.
Arc-átjáró erőforrásának törlése
Feljegyzés
A művelet végrehajtása 4–5 percet is igénybe vehet.
Az Azure Portalon lépjen az Azure Arc – Azure Arc átjáró lapra.
Válassza ki az Arc-átjáró erőforrását.
Válassza a Törlés lehetőséget.
Hibaelhárítás
Az Arc-átjáró forgalmát az Azure Arc-proxynaplók megtekintésével naplózhatja.
Arc-proxynaplók megtekintése Windows rendszeren:
- Futtassa
azcmagent logs
a PowerShellben. - Az eredményként kapott .zip fájlban a naplók a
C:\ProgramData\Microsoft\ArcProxy
mappában találhatók.
Arc-proxynaplók megtekintése Linuxon:
- Futtassa
sudo azcmagent logs
és ossza meg az eredményként kapott fájlt. - Az eredményként kapott naplófájlban a naplók a
/usr/local/arcproxy/logs/
mappában találhatók.
További forgatókönyvek
A nyilvános előzetes verzióban az Arc-átjáró lefedi a kiszolgáló előkészítéséhez szükséges végpontokat, valamint a további Arc-kompatibilis forgatókönyvekhez szükséges végpontok egy részét. Az ön által alkalmazott forgatókönyv(ek) alapján további végpontokat kell engedélyezni a proxyban.
Olyan forgatókönyvek, amelyekhez nincs szükség további végpontokra
- Windows Admin Center
- SSH
- Bővített biztonsági frissítések (ESU)
- Microsoft Defender
- Azure-bővítmény AZ SQL Serverhez
További végpontokat igénylő forgatókönyvek
Az Arc-átjáró használatakor engedélyezni kell a vállalati proxyban az alábbi forgatókönyvekkel felsorolt végpontokat:
Azure Arc-kompatibilis adatszolgáltatások
*.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Azure Monitor-ügynök
<log-analytics-workspace-id.ods.opinsights.azure.com>
<adatgyűjtési végpont>.<virtual-machine-region-name.ingest.monitor.azure.com>
Azure Key Vault-tanúsítványszinkronizálás
- <vault-name.vault.azure.net>
Az Azure Automation hibrid runbook-feldolgozó bővítménye
- *.azure-automation.net
Windows OS Update-bővítmény / Azure Update Manager
- A környezetnek meg kell felelnie a Windows Update előfeltételeinek
Ismert problémák
Az alábbiakban az Arc-átjáró aktuálisan ismert problémáinak leírása található.
Frissítésre van szükség az Azure Connected Machine-ügynök előkészítése után
Ha az előkészítési szkriptet (vagy a azcmagent connect
parancsot) használja egy kiszolgáló előkészítéséhez a megadott átjáró erőforrás-azonosítójával, az erőforrás sikeresen használja az Arc-átjárót. Egy ismert hiba (jelenleg javítással) miatt azonban az Arc-kompatibilis kiszolgáló csak akkor jelenik meg társított erőforrásként az Azure Portalon, ha az erőforrás beállításai frissülnek. A frissítés végrehajtásához kövesse az alábbi eljárást:
Az Azure Portalon lépjen az Azure Arcra | Arc gateway page.
Válassza ki az Arc-átjáró erőforrását az Arc-kompatibilis kiszolgálóhoz társítani.
Lépjen az átjáróerőforrás Társított erőforrások lapjára.
Válassza a Hozzáadás lehetőséget.
Válassza ki az Arc-kompatibilis erőforrást az Arc-átjáró erőforrásához társítani, majd válassza az Alkalmaz lehetőséget.
Arcproxy-frissítésre van szükség egy átjáróerőforrás gépről való leválasztása után
Ha egy Arc-átjáró erőforrását leválasztja egy gépről, frissítenie kell az Arc-proxyt az Arc-átjáró konfigurációjának törléséhez. Ehhez hajtsa végre a következő eljárást:
Ívproxy leállítása.
- Windows:
Stop-Service arcproxy
- Linux:
sudo systemctl stop arcproxyd
- Windows:
Törölje a
cloudconfig.json
fájlt.- Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
- Linux: "/var/opt/azcmagent/cloudconfig.json"
Ívproxy indítása.
- Windows:
Start-Service arcproxy
- Linux:
sudo systemctl start arcproxyd
- Windows:
Indítsa újra a himds (nem kötelező, de ajánlott).
- Windows:
Restart-Service himds
- Linux:
sudo systemctl restart himdsd
- Windows:
Az átjáró nélkül újra engedélyezett gépek frissítésére van szükség
Ha egy Arc-átjáróval rendelkező Arc-kompatibilis gépet törölnek az Azure Arc-ból, és Arc-átjáró nélkül újra engedélyezik, frissítésre van szükség az Azure Portal állapotának frissítéséhez.
Fontos
Ez a probléma csak akkor fordul elő, ha az erőforrás újra arc-kompatibilis ugyanazzal az ARM-azonosítóval, mint a kezdeti engedélyezése.
Ebben az esetben a gép helytelenül jelenik meg az Azure Portalon az Arc-átjáróhoz társított erőforrásként. Ennek megakadályozása érdekében, ha arc-átjáró nélküli gépet kíván engedélyezni, amely korábban Arc-kompatibilis volt arc-átjáróval, az előkészítés után frissítenie kell az Arc-átjáró társítását. Ehhez kövesse az alábbi eljárást:
Az Azure Portalon lépjen az Azure Arcra | Arc gateway page.
Válassza ki az Arc-átjáró erőforrását.
Lépjen az átjáróerőforrás Társított erőforrások lapjára.
Jelölje ki a kiszolgálót, majd válassza az Eltávolítás lehetőséget.
Manuális átjáró-társítás szükséges a törlés után
Ha egy Arc-átjárót törölnek, miközben egy gép továbbra is csatlakozik hozzá, az Azure Portal használatával társítani kell a gépet bármely más Arc-átjáró-erőforrással.
A probléma elkerülése érdekében az átjáró-erőforrás törlése előtt válassza le az arc-kompatibilis erőforrásokat az Arc-átjáróról. Ha ezt a hibát tapasztalja, az Azure Portal használatával társíthatja a gépet egy új Arc Gateway-erőforrással.