Vereinfachen der Netzwerkkonfigurationsanforderungen mit dem Azure Arc-Gateway

Wenn Sie Enterprise-Proxys verwenden, um ausgehenden Datenverkehr zu verwalten, können Sie die Infrastruktur in Azure Arc integrieren, indem Sie nur sieben Endpunkte verwenden. Mit dem Azure Arc-Gateway haben Sie folgende Möglichkeiten:

Stellen Sie eine Verbindung zu Azure Arc her, indem Sie den öffentlichen Netzwerkzugang nur für sieben vollqualifizierte Domänennamen öffnen.
Anzeigen und Überwachen des gesamten Datenverkehrs, den ein Azure Connected Machine-Agent über das Azure Arc-Gateway an Azure sendet.

Funktionsweise des Azure Arc-Gateways

Das Azure Arc-Gateway besteht aus zwei Hauptkomponenten:

Azure Arc-Gatewayressource: Eine Azure-Ressource, die als gemeinsames Front-End für Azure-Datenverkehr dient. Diese Gatewayressource wird in einer bestimmten Domäne bereitgestellt. Nachdem die Azure Arc-Gatewayressource erstellt wurde, wird die Domäne in der Erfolgsantwort an Sie zurückgegeben.
Azure Arc-Proxy: Eine neue Komponente, die den Azure Arc-Agents hinzugefügt wurde. Diese Komponente wird im Kontext einer Azure Arc-fähigen Ressource als Dienst namens Azure Arc-Proxy ausgeführt. Sie fungiert als Weiterleitungsproxy, den die Azure Arc-Agents und -Erweiterungen verwenden. Für diesen Proxy ist keine Konfiguration erforderlich.

Wenn das Gateway vorhanden ist, fließen Datenverkehr über Azure Arc-Agents>Azure Arc Proxy>>Azure Arc Gateway>Target Service. Weitere Informationen finden Sie im Azure Arc-Gatewayweiterleitungsprotokoll.

Um Architekturdiagramme in hoher Auflösung herunterzuladen, besuchen Sie Jumpstart Gems.

Aktuelle Einschränkungen

Das Azure Arc-Gateway hat die folgenden aktuellen Einschränkungen. Berücksichtigen Sie beim Planen ihrer Konfiguration die folgenden Faktoren:

Die Umgehung von Proxys wird nicht unterstützt, wenn das Azure Arc-Gateway verwendet wird. Auch wenn Sie versuchen, das Feature durch Ausführen azcmagent config set proxy.bypasszu verwenden, kann der Datenverkehr den Proxy nicht umgehen.
Jedes Azure-Abonnement hat ein Limit von fünf Azure Arc-Gatewayressourcen.
Das Azure Arc-Gateway wird nur für die Konnektivität in der öffentlichen Azure-Cloudplattform verwendet.
Das Azure Arc-Gateway wird nicht für die Verwendung in Umgebungen empfohlen, in denen Transport Layer Security (TLS) beendet oder überprüft werden muss. Wenn Ihre Umgebung TLS-Beendigung oder -Inspektion erfordert, empfehlen wir, die TLS-Inspektion für Ihren Azure Arc-Gatewayendpunkt (<Your URL prefix>.gw.arc.azure.com) zu überspringen. Weitere Informationen finden Sie unter Azure Arc-Gateway und TLS-Inspektion.

Obwohl das Azure Arc-Gateway die Konnektivität bereitstellt, die für die Verwendung von Azure Arc-fähigen Servern erforderlich ist, müssen Sie möglicherweise immer noch manuell mehr Endpunkte in Ihrer Umgebung zulassen, um einige Erweiterungen und Dienste mit Ihren verbundenen Computern zu verwenden. Weitere Informationen finden Sie unter "Weitere Szenarien". Im Laufe der Zeit deckt das Azure Arc-Gateway schrittweise mehr Endpunkte ab und verringert weiter die Notwendigkeit dieser manuellen Genehmigungen.

Planen der Einrichtung Ihres Azure Arc-Gateways

Regionsauswahl: Azure Arc-Gateway ist ein globaler Dienst. Die Laufzeitkonnektivität wird über das globale Azure Front Door-Edgenetzwerk bereitgestellt, das Clients automatisch an den nächstgelegenen Anwesenheitspunkt für Zugriff mit geringer Latenz und nahtloses Failover weiter leitet. Die Region, die Sie beim Erstellen des Gateways auswählen, bestimmt nur die Steuerebene. Hier befinden sich Gateway-Ressourcen und Verwaltungsmetadaten, und hier werden Erstellung, Aktualisierung und Löschung ausgeführt. Sie schränkt die Laufzeitendpunkte oder die Leistung des Gateways nicht ein. Die Wahl zwischen Ost-USA und Westeuropa beeinflusst beispielsweise nicht, wo Clients zur Laufzeit eine Verbindung herstellen. Sie wirkt sich nur auf die Platzierung der Verwaltungsebene und die Lokalität der richtlinien- oder rollenbasierten Zugriffssteuerung aus.
Azure Arc-fähige Ressourcen pro Azure Arc-Gatewayressource: Wenn Sie Ihre Azure Arc-Bereitstellung mit Azure Arc-Gateway planen, müssen Sie bestimmen, wie viele Gatewayressourcen für Ihre Umgebung erforderlich sind. Dieser Betrag hängt von der Anzahl der Ressourcen ab, die Sie in jeder Azure-Region verwalten möchten. Nur für Azure Arc-fähige Server gilt eine allgemeine Regel, dass eine Azure Arc-Gatewayressource 2.000 Ressourcen pro Azure-Region verarbeiten kann. Sie können Azure Arc-Gateway mit einer Kombination aus Azure Arc-fähigen Servern, Azure Arc-fähigen Kubernetes-Clustern und Azure Local-Instanzen verwenden. Mit der von uns bereitgestellten Formel können Sie die Anzahl der benötigten Azure Arc-Gatewayressourcen berechnen.

Erforderliche Berechtigungen

Um Azure Arc-Gatewayressourcen zu erstellen und ihre Zuordnung mit Azure Arc-fähigen Servern zu verwalten, muss ein Benutzer über die Azure Arc-Gateway-Manager-Rolle verfügen.

Erstellen einer Azure Arc-Gatewayressource

Sie können eine Azure Arc-Gatewayressource mithilfe des Azure-Portals, der Azure CLI oder azure PowerShell erstellen. Es dauert in der Regel etwa 10 Minuten, um eine Azure Arc-Gatewayressource zu erstellen, nachdem Sie diese Schritte abgeschlossen haben.

Melden Sie sich in Ihrem Browser beim Azure-Portal an.
Wechseln Sie zu Azure Arc. Wählen Sie im Menü "Dienst" unter "Verwaltung" azure Arc-Gateway und dann " Erstellen" aus.
Wählen Sie das Abonnement und die Ressourcengruppe aus, in der die Azure Arc-Gatewayressource in Azure verwaltet werden soll. Jede Azure Arc-fähige Ressource im selben Azure-Mandanten kann eine Azure Arc-Gatewayressource verwenden.
Geben Sie für "Name" den Namen für die Azure Arc-Gatewayressource ein.
Geben Sie für "Standort" die Region ein, in der sich die Azure Arc-Gatewayressource befinden soll. Jede Azure Arc-fähige Ressource im selben Azure-Mandanten kann eine Azure Arc-Gatewayressource verwenden.
Wählen Sie Weiteraus.
Geben Sie auf der Seite Kategorien optional ein oder mehrere benutzerdefinierte Kategorien an, die Ihre Standards unterstützen.
Klicken Sie auf Überprüfen + erstellen.
Überprüfen Sie Ihre Eingabedetails und wählen Sie dann Erstellen aus.

Fügen Sie die Azure Arc-Gatewayerweiterung zur Azure CLI hinzu:

az extension add -n arcgateway

Führen Sie auf einem Computer mit Zugriff auf Azure die folgenden Befehle aus, um Ihre Azure Arc-Gatewayressource zu erstellen:

az arcgateway create `
    --gateway-name [Your gateway’s Name] `
    --resource-group <Your Resource Group> `
    --___location [Location]

Führen Sie auf einem Computer mit Zugriff auf Azure den folgenden PowerShell-Befehl aus, um Ihre Azure Arc-Gatewayressource zu erstellen:

    New-AzArcgateway `
        -name <gateway’s name> `
        -resource-group <resource group> `
        -___location <region> `
        -subscription <subscription name or id> `
        -gateway-type public

Bestätigen des Zugriffs auf erforderliche URLs

Nachdem Sie die Ressource erfolgreich erstellt haben, enthält die Erfolgsantwort die Azure Arc-Gateway-URL. Stellen Sie sicher, dass Ihre Azure Arc-Gateway-URL und alle diese URLs in der Umgebung zulässig sind, in der Sich Ihre Azure Arc-Ressourcen befinden.

Important

Diese Liste wurde kürzlich aktualisiert. Wenn Sie zuvor den Zugriff auf diese URLs aktiviert haben, müssen Sie möglicherweise die Liste überprüfen und Ihre Netzwerkkonfiguration aktualisieren, um sicherzustellen, dass jeder Endpunkt zulässig ist.

URL	Purpose
`<Your URL prefix>.gw.arc.azure.com`	Ihre Gateway-URL (abgerufen durch Ausführen `az arcgateway list` nach dem Erstellen der Gatewayressource)
`management.azure.com`	Azure Resource Manager-Endpunkt, erforderlich für den Azure Resource Manager-Steuerungskanal
`login.microsoftonline.com`, `<region>.login.microsoft.com`	Microsoft Entra ID-Endpunkt zum Abrufen von Identitätszugriffstoken
`gbl.his.arc.azure.com`	Der Clouddienstendpunkt für die Kommunikation mit Azure Arc-Agents
`<region>.his.arc.azure.com`	Wird für den Azure Arc-Kernsteuerungskanal verwendet
`packages.microsoft.com`	Erforderlich, um Linux-Server mit Azure Arc zu verbinden
`download.microsoft.com`	Wird zum Herunterladen des Windows-Installationspakets verwendet.

Mit Ihrer Azure Arc-Gatewayressource können Sie neue Azure Arc-Ressourcen einbinden.

Generieren Sie das Installationsskript.

Befolgen Sie die Anweisungen unter Schnellstart: Verbinden von Hybridcomputern mit Azure Arc-fähigen Servern, um ein Skript zu erstellen, das das Herunterladen und Installieren von Azure Connected Machine-Agent automatisiert und die Verbindung mit Azure Arc herstellt.

Important

Stellen Sie beim Generieren des Onboardingskripts sicher, dass der öffentliche Endpunkt im Abschnitt "Konnektivitätsmethode " ausgewählt ist. Stellen Sie außerdem sicher, dass Ihre Azure Arc-Gatewayressource in der Dropdownliste " Gatewayressource " ausgewählt ist.
Führen Sie das Installationsskript aus, um Ihre Server in Azure Arc zu integrieren.

Im Skript wird die Azure Arc-Gateway-Ressourcen-ID des Azure Resource Manager als --gateway-idangezeigt.

Konfigurieren vorhandener Azure Arc-Ressourcen für die Verwendung des Azure Arc-Gateways

Sie können vorhandene Azure Arc-Ressourcen einer Azure Arc-Gatewayressource zuordnen, indem Sie das Azure-Portal, die Azure CLI oder Azure PowerShell verwenden.

Wechseln Sie im Azure-Portal zu Azure Arc – Azure Arc-Gateway.
Wählen Sie die Azure Arc-Gatewayressource aus, die Ihrem Azure Arc-fähigen Server zugeordnet werden soll.
Wählen Sie im Dienstmenü für Ihre Gatewayressource die Option "Zugeordnete Ressourcen" aus.
Wählen Sie Hinzufügen aus.
Wählen Sie die Azure Arc-fähige Serverressource aus, die Ihrer Azure Arc-Gatewayressource zugeordnet werden soll.
Wählen Sie Anwenden.

Führen Sie auf einem Computer mit Zugriff auf Azure die folgenden Befehle aus:

az arcgateway settings update `
   --resource-group <resource_group> `
   --subscription <subscription_name> `
   --base-provider Microsoft.HybridCompute `
   --base-resource-type machines `
   --base-resource-name <server_name> `
   --gateway-resource-id <gateway_resource_id>

Führen Sie auf einem Computer mit Zugriff auf Azure die folgenden Befehle aus:

Update-AzArcSetting `
    -ResourceGroupName <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -BaseProvider Microsoft.HybridCompute `
    -BaseResourceType machine `
    -BaseResourceName <Server Name> `
    -GatewayResourceId <resource ID>

Mit dem Connected Machine-Agent Version 1.50 oder einer früheren Version müssen Sie auch azcmagent config set connection.type gateway ausführen, um Ihren Azure Arc-fähigen Server zur Verwendung des Azure Arc-Gateways zu aktualisieren. Für Agentversionen 1.51 und höher ist dieser Schritt nicht erforderlich, da der Vorgang automatisch erfolgt. Wir empfehlen, die neueste Version des Connected-Machine-Agents zu verwenden.

Überprüfen der erfolgreichen Einrichtung des Azure Arc-Gateways

Führen Sie auf dem integrierten Server den Befehl azcmagent showaus.

Das Ergebnis sollte die folgenden Werte angeben:

Agentstatus: Wird als verbunden angezeigt.
Verwenden des HTTPS-Proxys: Wird als http://localhost:40343.
Upstreamproxy: Wird als Unternehmensproxy angezeigt (wenn Sie einen festlegen). Die Azure Arc-Gateway-URL sollte die URL Ihrer Gatewayressource widerspiegeln.

Führen Sie den Befehl azcmagent checkaus, um das erfolgreiche Setup zu überprüfen.

Das Ergebnis sollte angeben, dass connection.type auf das Gateway festgelegt ist, und die Spalte " Erreichbar" sollte für alle URLs "true " angeben.

Entfernen der Azure Arc-Gatewayzuordnung

Sie können das Azure Arc-Gateway deaktivieren und die Zuordnung zwischen der Azure Arc-Gatewayressource und dem Azure Arc-fähigen Cluster entfernen. Der Azure Arc-fähige Cluster verwendet stattdessen direkten Datenverkehr.

Dieser Vorgang gilt nur für Azure Arc-Gateway auf Azure Arc-fähigen Servern, nicht für Azure Local. Wenn Sie Azure Arc-Gateway auf Azure Local verwenden, finden Sie Informationen zum Entfernen unter Azure Arc-Gateway für Azure Local .

Legen Sie den Verbindungstyp des Azure Arc-fähigen Servers auf direct anstatt gateway fest, indem Sie den folgenden Befehl ausführen:

azcmagent config set connection.type direct

Note

Wenn Sie diesen Schritt ausführen, müssen alle Azure Arc-Netzwerkanforderungen in Ihrer Umgebung erfüllt sein, um Azure Arc weiterhin verwenden zu können.
Trennen Sie die Azure Arc-Gatewayressource vom Computer:
- Portal
- CLI
- PowerShell
1. Wechseln Sie im Azure-Portal zu Azure Arc – Azure Arc-Gateway.
2. Wählen Sie die Azure Arc-Gatewayressource aus.
3. Wählen Sie im Dienstmenü für Ihre Gatewayressource die Option "Zugeordnete Ressourcen" aus.
4. Wählen Sie den Server aus.
5. Wählen Sie Entfernen.
Führen Sie auf einem Computer mit Zugriff auf Azure den folgenden Azure CLI-Befehl aus:
```
az arcgateway settings update `
     --resource-group <resource_group> `
     --subscription <subscription_name> `
     --base-provider Microsoft.HybridCompute `
     --base-resource-type machines `
     --base-resource-name <server_name> `
     --gateway-resource-id <gateway_resource_id>
```
Wenn Sie diesen Azure CLI-Befehl in Windows PowerShell ausführen, legen Sie den Wert auf NULL fest --gateway-resource-id .
Führen Sie auf einem Computer mit Zugriff auf Azure den folgenden PowerShell-Befehl aus:
```
Update-AzArcSetting  `
     -ResourceGroupName <Resource Group> `
     -SubscriptionId <Subscription ID> `
     -BaseProvider Microsoft.HybridCompute `
     -BaseResourceType machine `
     -BaseResourceName <Server Name> `
     -GatewayResourceId <resource ID>
```

Löschen einer Azure Arc-Gatewayressource

Sie können eine Azure Arc-Gatewayressource mithilfe des Azure-Portals, der Azure CLI oder Azure PowerShell löschen. Dieser Vorgang kann bis zu 5 Minuten dauern.

Wechseln Sie im Azure-Portal zu Azure Arc – Azure Arc-Gateway.
Wählen Sie die Azure Arc-Gatewayressource aus.
Wählen Sie "Löschen" aus, und bestätigen Sie dann den Löschvorgang.

Führen Sie auf einem Computer mit Zugriff auf Azure den folgenden Azure CLI-Befehl aus:

az arcgateway delete `
    --resource-group <resource_group> `
    --subscription <subscription_name> `
    --gateway-name <gateway_resource_name>

Führen Sie auf einem Computer mit Zugriff auf Azure den folgenden PowerShell-Befehl aus:

Remove-AzArcGateway  
    -ResourceGroup <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -GatewayName <Gateway Resource Name>

Überwachen des Azure Arc-Gatewaydatenverkehrs

Sie können Ihren Azure Arc-Gatewaydatenverkehr überwachen, indem Sie die Azure Arc-Proxyprotokolle anzeigen.

So zeigen Sie Azure Arc-Proxyprotokolle unter Windows an:

Führen Sie in PowerShell azcmagent logs aus.
In der resultierenden .zip Datei befindet sich die arcproxy.log Datei im ProgramData\AzureConnectedMachineAgent\Log Ordner.

So zeigen Sie Azure Arc-Proxyprotokolle unter Linux an:

Führen Sie sudo azcmagent logs aus.
In der resultierenden .zip Datei befindet sich die arcproxy.log Datei im /var/opt/azcmagent/log/ Ordner.

Ressourcenplanung für das Azure Arc-Gateway für mehrere Ressourcentypen

Verwenden Sie die folgende Formel, um zu bestimmen, wie viele Gatewayressourcen pro Azure-Region für mehrere Ressourcentypen benötigt werden:

Score = (Server ÷ 20) + (Kubernetes-Cluster ÷ 10) + (Azure Local instances ÷ 10)

Ort:

Server = gesamt eigenständige Server + bereitgestellte virtuelle Computer (auf Azure Local)
Kubernetes-Cluster = insgesamt eigenständige Kubernetes-Cluster + Azure Kubernetes-Dienst Azure Arc-Cluster (auf Azure Local)
Azure Local Instanzen = Gesamte Azure Local Bereitstellungen

Wenn die Punktzahl für jede Region, aus der Sie Ihre Ressourcen verwalten möchten, < 100 übersteigt, reicht eine Azure Arc-Gateway-Ressource aus.

Für jede Region, aus der Sie beabsichtigen, Ressourcen zu verwalten, und deren Bewertung ≥100 ist, wird mehr als eine Azure Arc-Gateway-Ressource für diese Region benötigt.

Die folgenden Beispiele stellen mehr Kontext bereit.

Beispiel 1

Region	Server	Kubernetes-Cluster	Lokale Azure-Instanzen	Bewertungsberechnung	Ergebnis
East US	300	20	5	300/20 + 20/10 + 5/10	17,5
West Europe	800	50	10	800/20 + 50/10 + 10/10	46.0
Japan, Osten	100	5	2	100/20 + 5/10 + 2/10	5.7

Die Punktzahl jeder Region beträgt <100. Eine Azure Arc-Gatewayressource reicht aus.

Beispiel 2

Region	Server	Kubernetes-Cluster	Lokale Azure-Instanzen	Bewertungsberechnung	Ergebnis
East US	6.000	300	40	6000/20 + 300/10 + 40/10	334.0
West Europe	2\.500	120	25	2500/20 + 120/10 + 25/10	139.5
Südostasien	900	30	8	900/20 + 30/10 + 8/10	48.8

Der Score für East US ist >100. Für die Unterstützung der Last in dieser Region sind drei Azure Arc-Gatewayressourcen erforderlich.
Das Westeuropa-Ergebnis ist >100. Für die Unterstützung der Last in dieser Region sind zwei Azure Arc-Gatewayressourcen erforderlich.
Der Südostasienwert ist <100. Eine Azure Arc-Gatewayressource ist erforderlich, um die Last in dieser Region zu unterstützen.

In diesem Szenario sind nur drei Gatewayressourcen insgesamt erforderlich, da Berechnungen auf der maximalen Last pro Region basieren, nicht auf der kombinierten Last in allen Regionen.

Weitere Szenarien

Das Azure Arc-Gateway deckt die Endpunkte ab, die für das Onboarding eines Servers erforderlich sind, sowie Endpunkte, um mehrere weitere Azure Arc-fähige Szenarien zu unterstützen. Basierend auf den von Ihnen angenommenen Szenarien müssen Sie möglicherweise weitere Endpunkte in Ihrer Umgebung zulassen.

Szenarien, für die keine weiteren Endpunkte erforderlich sind

Windows Verwaltungscenter
Secure Shell (SSH)
Erweiterte Sicherheitsupdates
Azure-Erweiterung für SQL Server

Szenarien, die weitere Endpunkte erfordern

Endpunkte, die mit den folgenden Szenarien aufgeführt sind, müssen in Ihrem Unternehmensproxy zulässig sein, wenn Sie Azure Arc-Gateway verwenden:

Azure Arc-fähige Datendienste:
- *.ods.opinsights.azure.com
- *.oms.opinsights.azure.com
- *.monitoring.azure.com
Azure Monitor-Agent:
- <log-analytics-workspace-id>.ods.opinsights.azure.com
- <data-collection-endpoint>.<virtual-machine-region>.ingest.monitor.azure.com
Azure Key Vault-Zertifikatsynchronisierung:
- <vault-name>.vault.azure.net
Azure Automation Hybrid Runbook Worker-Erweiterung:
- *.azure-automation.net
Windows OS Update Extension/Azure Update Manager:
- Ihre Umgebung muss alle Voraussetzungen für Windows Update erfüllen.
Microsoft Defender:
- Ihre Umgebung muss alle Voraussetzungen für Microsoft Defender erfüllen.

Azure Arc-Gateway-Architektur

Lesen Sie die folgenden Informationen, um mehr über die Architektur des Azure Arc-Gateways zu erfahren.

Azure-Arc-Gateway-Weiterleitungsprotokoll

Azure Arc-Gateway und TLS-Inspektion

Das Azure Arc-Gateway funktioniert durch Einrichten einer TLS-Sitzung zwischen Azure Arc-Proxy und Azure Arc-Gateway in Azure. In dieser TLS-Sitzung sendet Azure Arc-Proxy eine geschachtelte HTTP-Verbindungsanforderung an die Azure Arc-Gatewayressource. Die Verbindungsanforderung weist die Ressource an, die Verbindung an das beabsichtigte Zielziel weiterzuleiten. Wenn sich das Zielziel selbst auf TLS befindet, wird dann eine interne End-to-End-TLS-Sitzung zwischen dem Azure Arc-Agent und dem Zielziel eingerichtet.

Beim Einsatz von terminierenden Proxys mit Azure Arc-Gateway sieht der Proxy die geschachtelte HTTP-Verbindungsanforderung. Es kann eine solche Anforderung zulassen, aber es kann TLS-verschlüsselten Datenverkehr an den Zielort nur dann abfangen, wenn eine geschachtelte TLS-Beendigung durchgeführt wird. Dieses Verhalten liegt außerhalb der Funktionen von standardmäßigen TLS-Terminierproxys. Wenn Sie einen Endproxy verwenden, empfehlen wir, die TLS-Überprüfung für Ihren Azure Arc-Gatewayendpunkt zu überspringen.

Azure Arc-Gateway-Endpunktliste

Eine vollständige Liste der Endpunkte, die Sie in Ihrer Umgebung nicht mehr manuell zulassen müssen, finden Sie unter Azure Arc-Gatewayendpunkte.

Feedback

War diese Seite hilfreich?

Last updated on 2025-10-20