Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Übersicht über das Azure Arc-Gateway für Azure Local (ehemals Azure Stack HCI). Sie können das Arc-Gateway für neue Bereitstellungen von Azure Local running software Version 2506 und höher aktivieren. In diesem Artikel wird auch beschrieben, wie Sie die Arc-Gatewayressource in Azure erstellen und löschen.
Verwenden Sie das Arc-Gateway, um die Anzahl der erforderlichen Endpunkte, die zum Bereitstellen und Verwalten von Azure Local-Instanzen erforderlich sind, erheblich zu reduzieren. Wenn Sie das Arc-Gateway erstellen, stellen Sie eine Verbindung her, und verwenden Sie es für neue Bereitstellungen von Azure Local.
Funktionsweise
Das Arc-Gateway funktioniert durch Einführung der folgenden Komponenten:
Arc-Gatewayressource – Eine Azure-Ressource, die als gemeinsamer Einstiegspunkt für Azure-Datenverkehr fungiert. Diese Gatewayressource verfügt über eine bestimmte Domäne oder URL, die Sie verwenden können. Wenn Sie die Arc-Gatewayressource erstellen, ist diese Domäne oder URL Teil der Erfolgsantwort.
Arc-Proxy – Eine neue Komponente, die der Arc-Agentrie hinzugefügt wird. Diese Komponente wird als Dienst (als Azure Arc-Proxy bezeichnet) ausgeführt und fungiert als Weiterleitungsproxy für die Azure Arc-Agents und -Erweiterungen. Der Gatewayrouter benötigt keine Konfiguration. Dieser Router ist Teil der Arc Core Agentry und wird im Kontext einer Arc-fähigen Ressource ausgeführt.
Wenn Sie das Arc-Gateway in lokale Azure-Bereitstellungen integrieren, erhält jeder Computer Arc-Proxy zusammen mit anderen Arc-Agents.
Das folgende Diagramm veranschaulicht, wie der Datenverkehr zwischen den verschiedenen Komponenten fließt:
In den folgenden Abschnitten wird erläutert, wie sich der Http- und https-Datenverkehrsfluss ändert, wenn Sie das Arc-Gateway verwenden:
Datenverkehrsflüsse 1-3 für das lokale Azure-Hostbetriebssystem
Stellen Sie sicher, dass Sie die Proxyumgehungsliste für jeden Endpunkt konfigurieren, den Sie nicht über Arc-Gateway senden möchten.
Das Arc-Gateway unterstützt keinen HTTP-Datenverkehr. Konfigurieren Sie Ihren Proxy oder Ihre Firewall, um die erforderlichen HTTP-Endpunkte für Azure Local zuzulassen.
Der gesamte HTTPS-Datenverkehr, der in der Proxyumgehungsliste nicht konfiguriert ist, wird an das Arc-Gateway weitergeleitet.
Der Arc-Proxy bestimmt automatisch den richtigen Pfad für den Endpunkt. Wenn das Arc-Gateway den HTTPS-Endpunkt nicht zulässt, sendet Arc-Proxy den HTTPS-Datenverkehr an Ihren Unternehmensproxy oder ihre Firewall.
Datenverkehrsfluss 4 für Azure Arc-Ressourcenbrücke
Der Weiterleitungsproxy der Azure Arc-Ressourcenbrücke ist für die Verwendung von Cluster-IP konfiguriert.
Wenn Proxyeinstellungen konfiguriert sind, leitet das System den HTTPS-Datenverkehr der Arc Resource Bridge an den Arc-Proxy weiter, der auf einer der lokalen Maschinen von Azure über Cluster-IP läuft.
Datenverkehrsfluss 5 für AKS-Cluster und Pods
Wenn Sie AKS-Cluster in Azure Local mit Arc-Gateway bereitstellen, leitet das System den gesamten HTTP- und HTTPS-Datenverkehr von der AKS-Steuerungsebene-VM und den Workerknoten-VMs an die Cluster-IP als Proxy weiter.
Wenn eine Firewall zwischen dem Infrastruktursubnetz und dem AKS-Subnetz vorhanden ist, lassen Sie den Datenverkehr von den Ports 22 und 6443 zu.
Wenn Sie AKS-Workloads in Azure Local mit konfiguriertem Arc-Gateway bereitstellen, müssen Sie dennoch den Zugriff auf die nicht zulässigen Endpunkte im Verwaltungssubnetz zulassen. Wenn Sie nicht möchten, dass der Datenverkehr über das Verwaltungssubnetz weitergeleitet wird, konfigurieren Sie während der lokalen Azure-Bereitstellung die nicht genehmigten Endpunkte über die Proxy-Umgehungsliste.
Weitere Informationen finden Sie in der umfassenden Liste der FQDN-Endpunkte, die für AKS in einem getrennten Subnetz bei Verwendung des Arc-Gateways erforderlich sind .
Datenverkehrsfluss 6 für lokale Azure-VMs
- Das System leitet den gesamten Arc HTTPS-Datenverkehr an das Arc-Gateway weiter, das für die lokale Azure-VM konfiguriert ist.
- Wenn Sie den gesamten HTTP- und HTTPS-Datenverkehr von der lokalen Azure-VM an das Arc-Gateway weiterleiten möchten, müssen Sie die Os WinInet- und WinHTTP-Proxyeinstellungen so konfigurieren, dass der Arc-Proxy verwendet wird, der auf http://< localhost>:<port40343> ausgeführt wird.
- Wenn das Arc-Gateway den Zugriff von Endpunkten auf die lokale Azure-VM nicht zulässt, leitet das System den Datenverkehr an den Unternehmensproxy oder die Firewall weiter.
Weitere Informationen zu den Datenverkehrsflüssen finden Sie unter Deep dive into Azure Arc gateway outbound traffic mode for Azure Local.
Unterstützte und nicht unterstützte Szenarien
Verwenden Sie das Arc-Gateway in den folgenden Szenarien für Azure Local:
- Aktivieren Sie das Arc-Gateway während der Bereitstellung neuer lokaler Azure-Instanzen mit Versionen 2506 oder höher.
- Die Arc-Gatewayressource muss im selben Abonnement erstellt werden, in dem Sie planen, Ihre lokale Azure-Instanz bereitzustellen.
Nicht unterstützte Szenarien für Azure Local umfassen:
- Sie können das Arc-Gateway nach der Bereitstellung nicht aktivieren.
Azure Local Endpunkte werden nicht umgeleitet
Die Endpunkte aus der folgenden Tabelle sind erforderlich. Fügen Sie diese Endpunkte zur Zulassungsliste in Ihrem Proxy oder Ihrer Firewall hinzu, um die lokale Azure-Instanz bereitzustellen:
| Endpunkt # | Erforderlicher Endpunkt | Komponente |
|---|---|---|
| 1 | https://aka.ms |
Urlader |
| 2 | https://azurestackreleases.download.prss.microsoft.com |
Urlader |
| 3 | https://login.microsoftonline.com |
Arc-Registrierung |
| 4 | https://<region>.login.microsoft.com |
Arc-Registrierung |
| 5 | https://management.azure.com |
Arc-Registrierung |
| 6 | https://gbl.his.arc.azure.com |
Arc-Registrierung |
| 7 | https://<region>.his.arc.azure.com |
Arc-Registrierung |
| 8 | https://<region>.obo.arc.azure.com:8084 |
Nur für bestimmte AKS-Workloadserweiterungen erforderlich |
| 9 | https://<yourarcgatewayId>.gw.arc.azure.com |
Arc Gateway |
| 10 | https://<yourkeyvaultname>.vault.azure.net |
Azure Key Vault (ein Dienst zur sicheren Verwaltung kryptografischer Schlüssel) |
| 11 | https://<yourblobstorageforcloudwitnessname>.blob.core.windows.net |
Cloud Witness-Speicherkonto |
| 12 | http://ocsp.digicert.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 13 | http://s.symcd.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 14 | http://ts-ocsp.ws.symantec.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 15 | http://ocsp.globalsign.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 16 | http://ocsp2.globalsign.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 17 | http://oneocsp.microsoft.com |
Zertifikatsperrliste für Arc-Erweiterungen |
| 18 | http://crl.microsoft.com/pkiinfra |
Zertifikatsperrliste für Arc-Erweiterungen |
| 19 | https://dl.delivery.mp.microsoft.com |
Nicht erforderlich ab 2504 neuen Bereitstellungen. Windows-Aktualisierung |
| 20 | https://*.tlu.dl.delivery.mp.microsoft.com |
Ab 2506 neuen Bereitstellungen nicht erforderlich. Windows-Aktualisierung |
| 21 | https://*.windowsupdate.com |
Nicht erforderlich ab der 2506. neuen Bereitstellung. Windows-Aktualisierung |
| 22 | https://*.windowsupdate.microsoft.com |
Nicht erforderlich ab 2506 neuen Bereitstellungen. Windows-Aktualisierung |
| 23 | https://*.update.microsoft.com |
Nicht erforderlich ab 2506 neuen Bereitstellungen. Windows-Aktualisierung |
Einschränkungen und Begrenzungen
Das Arc-Gateway hat die folgenden Einschränkungen in dieser Version:
- Arc-Gateway unterstützt keine Transport Layer Security (TLS)-terminierende Proxys.
- Das Arc-Gateway unterstützt nicht die Verwendung von ExpressRoute, Standort-zu-Standort-VPN oder privaten Endpunkten zusammen mit dem Arc-Gateway.
Erstellen der Arc-Gatewayressource in Azure
Sie können eine Arc-Gatewayressource mithilfe des Azure-Portals, der Azure CLI oder der Azure PowerShell erstellen.
- Melden Sie sich beim Azure-Portal an.
- Wechseln Sie zur Azure Arc-Gatewayseite von Azure Arc>, und wählen Sie dann "Erstellen" aus.
- Wählen Sie das Abonnement aus, in dem Sie ihre lokale Azure-Instanz bereitstellen möchten.
- Geben Sie für "Name" den Namen für die Arc-Gatewayressource ein.
- Geben Sie für "Standort" die Region ein, in der sich die Arc-Gatewayressource befinden soll. Eine Arc-Gatewayressource wird von jeder Arc-fähigen Ressource im selben Azure-Mandanten verwendet.
- Wählen Sie "Weiter" aus.
- Geben Sie auf der Seite "Kategorien " ein oder mehrere benutzerdefinierte Tags an, die Ihre Standards unterstützen sollen.
- Wählen Sie "Überprüfen" und "Erstellen" aus.
- Überprüfen Sie Ihre Details, und wählen Sie dann "Erstellen" aus.
Der Erstellungsprozess für das Gateway dauert neun bis 10 Minuten.
Trennen oder ändern Sie die Arc Gateway-Zuordnung von der Maschine
Um die Gatewayressource von Ihrem Arc-fähigen Server zu trennen, legen Sie die Gatewayressourcen-ID auf null. Um Ihren Arc-fähigen Server an eine andere Arc-Gatewayressource anzufügen, aktualisieren Sie den Namen und die Ressourcen-ID mit den neuen Arc-Gatewayinformationen:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-enabled server name> --gateway-resource-id "
Löschen Sie die Arc-Gatewayressource
Stellen Sie vor dem Löschen einer Arc-Gatewayressource sicher, dass keine Geräte verbunden sind. Führen Sie zum Löschen der Gatewayressource den folgenden Befehl aus:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
Dieser Vorgang kann einige Minuten dauern.
Nächste Schritte
Dieses Feature ist nur in Azure Local Version 2506 oder höher verfügbar.