Bagikan melalui

Menyederhanakan persyaratan konfigurasi jaringan dengan gateway Azure Arc (Pratinjau Umum)

  • Artikel

Jika Anda menggunakan proksi perusahaan untuk mengelola lalu lintas keluar, gateway Azure Arc memungkinkan Anda melakukan onboarding infrastruktur ke Azure Arc hanya menggunakan tujuh (7) titik akhir. Dengan gateway Azure Arc, Anda dapat:

  • Sambungkan ke Azure Arc dengan membuka akses jaringan publik hanya ke tujuh nama domain yang sepenuhnya memenuhi syarat (FQDN).
  • Menampilkan dan mengaudit semua lalu lintas yang dikirim agen Azure Connected Machine ke Azure melalui gateway Arc.

Artikel ini menjelaskan cara menyiapkan dan menggunakan gateway Arc (Pratinjau Umum).

Penting

Fitur gateway Arc untuk server dengan dukungan Azure Arc saat ini berada di Pratinjau Umum di semua wilayah tempat server dengan dukungan Azure Arc ada. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku untuk fitur Azure yang dalam versi beta, Pratinjau Publik, atau belum dirilis ke ketersediaan umum.

Cara kerja gateway Azure Arc

Gateway Azure Arc terdiri dari dua komponen utama:

  • Sumber daya gateway Arc: Sumber daya Azure yang berfungsi sebagai front-end umum untuk lalu lintas Azure. Sumber daya gateway ini dilayani pada domain tertentu. Setelah sumber daya gateway Arc dibuat, domain dikembalikan kepada Anda dalam respons keberhasilan.

  • Proksi Arc: Komponen baru ditambahkan ke agen Arc. Komponen ini berjalan sebagai layanan yang disebut "Proksi Azure Arc" dan bertindak sebagai proksi maju yang digunakan oleh agen dan ekstensi Azure Arc. Tidak ada konfigurasi yang diperlukan pada bagian Anda untuk Proksi Arc. Proksi ini adalah bagian dari agen inti Arc dan berjalan dalam konteks sumber daya yang diaktifkan Arc.

Saat gateway di tempat, lalu lintas mengalir melalui hop berikut: Agen Arc → Proksi Arc → proksi Enterprise → gateway Arc → layanan Target

Diagram memperlihatkan rute arus lalu lintas untuk gateway Azure Arc.

Batasan saat ini

Selama pratinjau publik, batasan berikut berlaku. Pertimbangkan faktor-faktor ini saat merencanakan konfigurasi Anda.

  • Proksi Penghentian TLS tidak didukung (Pratinjau Umum)
  • Vpn ExpressRoute/Situs-ke-Situs atau titik akhir privat yang digunakan dengan gateway Arc (Pratinjau Umum) tidak didukung.
  • Ada batas lima (5) sumber daya gateway Arc (Pratinjau Umum) per langganan Azure.
  • Gateway Arc hanya dapat digunakan untuk konektivitas di cloud publik Azure.

Izin yang diperlukan

Untuk membuat sumber daya gateway Arc dan mengelola asosiasinya dengan server berkemampuan Arc, izin berikut diperlukan:

  • Microsoft.HybridCompute/settings/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

Cara menggunakan gateway Arc (Pratinjau Umum)

Ada empat langkah untuk menggunakan gateway Arc:

  1. Buat sumber daya gateway Arc.
  2. Pastikan URL yang diperlukan diizinkan di lingkungan Anda.
  3. Onboard sumber daya Azure Arc dengan sumber daya gateway Arc Anda atau konfigurasikan sumber daya Azure Arc yang ada untuk menggunakan gateway Arc.
  4. Verifikasi bahwa penyetelan berhasil.

Langkah 1: Membuat sumber daya gateway Arc

Anda dapat membuat sumber daya gateway Arc menggunakan portal Azure, Azure CLI, atau Azure PowerShell.

  1. Dari browser Anda, masuk ke portal Azure.

  2. Menavigasi ke Azure Arc | Halaman gateway Azure Arc, lalu pilih Buat.

  3. Pilih grup langganan dan sumber daya tempat Anda ingin sumber daya gateway Arc dikelola dalam Azure. Sumber daya gateway Arc dapat digunakan oleh sumber daya dengan dukungan Arc apa pun di penyewa Azure yang sama.

  4. Untuk Nama, masukkan nama untuk sumber daya gateway Arc.

  5. Untuk Lokasi, masukkan wilayah tempat sumber daya gateway Arc harus berada. Sumber daya gateway Arc dapat digunakan oleh Sumber Daya dengan dukungan Arc apa pun di penyewa Azure yang sama.

  6. Pilih Selanjutnya.

  7. Pada halaman Tag , tentukan satu atau beberapa tag kustom untuk mendukung standar Anda.

  8. Pilih Tinjau & Buat.

  9. Tinjau detail input Anda, lalu pilih Buat.

    Proses pembuatan gateway membutuhkan waktu 9-10 menit untuk diselesaikan.

Langkah 2: Pastikan URL yang diperlukan diizinkan di lingkungan Anda

Saat sumber daya dibuat, respons keberhasilan menyertakan URL gateway Arc. Pastikan URL gateway Arc dan semua URL dalam tabel berikut diizinkan di lingkungan tempat sumber daya Arc Anda berada. URL yang diperlukan adalah:

URL Tujuan
[Awalan URL Anda].gw.arc.azure.com URL gateway Anda (URL ini dapat diperoleh dengan menjalankan az arcgateway list setelah Anda membuat Sumber Daya gateway)
management.azure.com Titik Akhir Azure Resource Manager, diperlukan untuk saluran kontrol Azure Resource Manager
login.microsoftonline.com Titik akhir ID Microsoft Entra, untuk memperoleh token akses Identitas
gbl.his.arc.azure.com Titik akhir layanan cloud untuk berkomunikasi dengan agen Azure Arc
<region.his.arc.azure.com> Digunakan untuk saluran kontrol inti Arc
packages.microsoft.com Diperlukan untuk memperoleh payload agen Arc berbasis Linux, hanya diperlukan untuk menghubungkan server Linux ke Arc

Langkah 3a: Onboard sumber daya Azure Arc dengan sumber daya gateway Arc Anda.

  1. Buat skrip penginstalan.

    Ikuti instruksi di Mulai Cepat: Menyambungkan komputer hibrid dengan server berkemampuan Azure Arc untuk membuat skrip yang mengotomatiskan pengunduhan dan penginstalan agen Azure Connected Machine dan membuat koneksi dengan Azure Arc.

    Penting

    Saat membuat skrip onboarding, pilih Server Proksi di bawah Metode konektivitas untuk mengungkapkan dropdown untuk sumber daya Gateway.

  2. Jalankan skrip penginstalan untuk onboarding server Anda ke Azure Arc.

    Dalam skrip, ID ARM sumber daya gateway Arc ditampilkan sebagai --gateway-id.

Langkah 3b: Mengonfigurasi sumber daya Azure Arc yang ada untuk menggunakan gateway Arc

Anda dapat mengonfigurasi sumber daya Azure Arc yang ada untuk menggunakan gateway Arc dengan menggunakan portal Azure, Azure CLI, atau Azure PowerShell.

  1. Pada portal Azure, buka halaman gateway Azure Arc - Azure Arc.

  2. Pilih Sumber Daya gateway Arc untuk dikaitkan dengan server yang diaktifkan Arc Anda.

  3. Buka halaman Sumber Daya Terkait untuk sumber daya gateway Anda.

  4. Pilih Tambahkan.

  5. Pilih sumber daya yang diaktifkan Arc untuk dikaitkan dengan sumber daya gateway Arc Anda.

  6. Pilih Terapkan.

  7. Perbarui server berkemampuan Arc Anda untuk menggunakan gateway Arc dengan menjalankan azcmagent config set connection.type gateway.

Langkah 4: Verifikasi bahwa penyiapan berhasil

Di server onboarding, jalankan perintah berikut: azcmagent show Hasilnya harus menunjukkan nilai berikut:

  • Status Agen harus ditampilkan sebagai Tersambung.
  • Menggunakan Proksi HTTPS harus ditampilkan sebagai http://localhost:40343.
  • Proksi Upstream harus ditampilkan sebagai proksi perusahaan Anda (jika Anda mengaturnya). URL Gateway harus mencerminkan URL sumber daya gateway Anda.

Selain itu, untuk memverifikasi pengaturan yang berhasil, Anda dapat menjalankan perintah berikut: azcmagent check Hasilnya harus menunjukkan bahwa connection.type diatur ke gateway, dan kolom yang dapat dijangkau harus menunjukkan true untuk semua URL.

Mengaitkan komputer dengan gateway Arc baru

Untuk mengaitkan komputer dengan gateway Arc baru:

  1. Pada portal Azure, buka halaman gateway Azure Arc - Azure Arc.

  2. Pilih Sumber Daya gateway Arc baru untuk dikaitkan dengan komputer.

  3. Buka halaman Sumber Daya Terkait untuk sumber daya gateway Anda.

  4. Pilih Tambahkan.

  5. Pilih komputer yang diaktifkan Arc untuk dikaitkan dengan sumber daya gateway Arc baru.

  6. Pilih Terapkan.

  7. Perbarui server berkemampuan Arc Anda untuk menggunakan gateway Arc dengan menjalankan azcmagent config set connection.type gateway.

Hapus asosiasi gateway Arc (untuk menggunakan rute langsung sebagai gantinya)

  1. Atur jenis koneksi Server berkemampuan Arc ke "direct" alih-alih "gateway" dengan menjalankan perintah berikut:

    azcmagent config set connection.type direct

    Catatan

    Jika Anda mengambil langkah ini, semua persyaratan jaringan Azure Arc harus dipenuhi di lingkungan Anda untuk terus memanfaatkan Azure Arc.

  2. Lepaskan sumber daya gateway Arc dari komputer:

    1. Pada portal Azure, buka halaman gateway Azure Arc - Azure Arc.

    2. Pilih Sumber Daya gateway Arc.

    3. Buka halaman Sumber Daya Terkait untuk sumber daya gateway Anda dan pilih server.

    4. Pilih Hapus.

Menghapus sumber daya gateway Arc

Catatan

Operasi ini dapat memakan waktu 4 hingga 5 menit untuk diselesaikan.

  1. Pada portal Azure, buka halaman gateway Azure Arc - Azure Arc.

  2. Pilih Sumber Daya gateway Arc.

  3. Pilih Hapus.

Pemecahan Masalah

Anda dapat mengaudit lalu lintas gateway Arc dengan melihat log proksi Azure Arc.

Untuk melihat log proksi Arc di Windows:

  1. Jalankan azcmagent logs di PowerShell.
  2. Dalam file .zip yang dihasilkan, log terletak di C:\ProgramData\Microsoft\ArcProxy folder .

Untuk melihat log proksi Arc di Linux:

  1. Jalankan sudo azcmagent logsdan bagikan file yang dihasilkan.
  2. Dalam file log yang dihasilkan, log terletak di /usr/local/arcproxy/logs/ folder .

Skenario tambahan

Selama Pratinjau Umum, gateway Arc mencakup titik akhir yang diperlukan untuk onboarding server, serta sebagian titik akhir yang diperlukan untuk skenario tambahan dengan dukungan Arc. Berdasarkan skenario yang Anda adopsi, titik akhir tambahan harus diizinkan di proksi Anda.

Skenario yang tidak memerlukan titik akhir tambahan

  • Pusat Admin Windows
  • SSH
  • Pembaruan keamanan yang diperpanjang
  • Microsoft Defender
  • Ekstensi Azure untuk SQL Server

Skenario yang memerlukan titik akhir tambahan

Titik akhir yang tercantum dengan skenario berikut harus diizinkan di proksi perusahaan Anda saat menggunakan gateway Arc:

  • Data Services dengan dukungan Azure Arc

    • *.ods.opinsights.azure.com

    • *.ods.opinsights.azure.com

    • *.monitoring.azure.com

  • Agen Azure Monitor

    • <log-analytics-workspace-id.ods.opinsights.azure.com>

    • <titik> akhir pengumpulan data.<virtual-machine-region-name.ingest.monitor.azure.com>

  • Sinkronisasi Sertifikat Azure Key Vault

    • <vault-name.vault.azure.net>

  • Ekstensi Pekerja Runbook Hibrid Azure Automation

    • *.azure-automation.net

  • Ekstensi Pembaruan OS Windows / Azure Update Manager

    • Lingkungan Anda harus memenuhi semua prasyarat untuk Windows Update

Masalah umum

Berikut ini adalah deskripsi masalah yang saat ini diketahui untuk gateway Arc.

Refresh diperlukan setelah onboarding agen Azure Connected Machine

Saat menggunakan skrip onboarding (atau azcmagent connect perintah) untuk onboarding server dengan ID sumber daya gateway yang ditentukan, sumber daya akan berhasil menggunakan gateway Arc. Namun, karena bug yang diketahui (dengan perbaikan yang saat ini sedang berlangsung), server berkemampuan Arc tidak akan ditampilkan sebagai Sumber Daya Terkait di portal Azure kecuali pengaturan sumber daya di-refresh. Gunakan prosedur berikut untuk melakukan refresh ini:

  1. Di portal Azure, navigasikan ke Azure Arc | Halaman gateway Arc.

  2. Pilih sumber daya gateway Arc untuk dikaitkan dengan server yang diaktifkan Arc Anda.

  3. Navigasi ke halaman Sumber Daya Terkait untuk sumber daya gateway Anda.

  4. Pilih Tambahkan.

  5. Pilih sumber daya yang diaktifkan Arc untuk dikaitkan dengan sumber daya gateway Arc Anda dan pilih Terapkan.

Refresh proksi Arc diperlukan setelah melepaskan sumber daya gateway dari komputer

Saat melepaskan sumber daya gateway Arc dari komputer, Anda harus menyegarkan proksi Arc untuk menghapus konfigurasi gateway Arc. Untuk melakukannya, lakukan prosedur berikut:

  1. Hentikan proksi busur.

    • Windows: Stop-Service arcproxy
    • Linux: sudo systemctl stop arcproxyd

  2. Hapus file cloudconfig.json.

    • Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
    • Linux: "/var/opt/azcmagent/cloudconfig.json"

  3. Mulai proksi busur.

    • Windows: Start-Service arcproxy
    • Linux: sudo systemctl start arcproxyd

  4. Mulai ulang himds (opsional, tetapi disarankan).

    • Windows: Restart-Service himds
    • Linux: sudo systemctl restart himdsd

Refresh yang diperlukan untuk komputer diaktifkan kembali tanpa gateway

Jika komputer berkemampuan Arc dengan gateway Arc dihapus dari Azure Arc dan diaktifkan kembali Arc tanpa gateway Arc, refresh diperlukan untuk memperbarui statusnya di portal Azure.

Penting

Masalah ini terjadi hanya ketika sumber daya diaktifkan kembali Arc dengan ID ARM yang sama dengan pengaktifan awalnya.

Dalam skenario ini, komputer salah ditampilkan di portal Azure sebagai sumber daya yang terkait dengan gateway Arc. Untuk mencegah hal ini, jika Anda berniat mengaktifkan Arc mesin tanpa gateway Arc yang sebelumnya diaktifkan Arc dengan gateway Arc, Anda harus memperbarui asosiasi gateway Arc setelah onboarding. Untuk melakukannya, gunakan prosedur berikut:

  1. Di portal Azure, navigasikan ke Azure Arc | Halaman gateway Arc.

  2. Pilih sumber daya gateway Arc.

  3. Navigasi ke halaman Sumber Daya Terkait untuk sumber daya gateway Anda.

  4. Pilih server, lalu pilih Hapus.

Asosiasi gateway manual diperlukan pasca-penghapusan

Jika gateway Arc dihapus saat komputer masih tersambung ke gateway tersebut, portal Azure harus digunakan untuk mengaitkan komputer dengan sumber daya gateway Arc lainnya.

Untuk menghindari masalah ini, lepaskan semua sumber daya yang diaktifkan Arc dari gateway Arc sebelum menghapus sumber daya gateway. Jika Anda mengalami kesalahan ini, gunakan portal Azure untuk mengaitkan komputer dengan sumber daya gateway Arc baru.