適用対象: Azure Local バージョン 2411.1 以降
重要
Azure Stack HCI が Azure Local の一部になりました。 詳細情報。
この記事では、Azure Local 用 Azure Arc ゲートウェイの概要について説明します。 Arc ゲートウェイは、Azure ローカル実行ソフトウェア バージョン 2408 以降の新しいデプロイで有効にすることができます。 この記事では、Azure で Arc ゲートウェイ リソースを作成および削除する方法についても説明します。
Arc ゲートウェイを使用すると、Azure ローカル インスタンスのデプロイと管理に必要なエンドポイントの数を大幅に減らすことができます。 Arc ゲートウェイを作成するときに、Azure Local の新しいデプロイに接続して使用できます。
重要
現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
しくみ
Arc ゲートウェイは、次のコンポーネントを導入することで機能します。
Arc ゲートウェイ リソース – Azure トラフィックの共通のエントリ ポイントとして機能する Azure リソース。 このゲートウェイ リソースには、使用できる特定のドメインまたは URL があります。 Arc ゲートウェイ リソースを作成すると、このドメインまたは URL が成功応答の一部になります。
Arc プロキシ – Arc Agentry に追加される新しいコンポーネント。 このコンポーネントはサービスとして実行され ( Azure Arc プロキシと呼ばれます)、Azure Arc エージェントと拡張機能の転送プロキシとして機能します。 ゲートウェイ ルーターは、自分側からの構成を必要としません。 このルーターは Arc コア エージェントの一部であり、Arc 対応リソースのコンテキスト内で実行されます。
Arc ゲートウェイを Azure ローカル デプロイのバージョン 2411 と統合すると、各マシンは他の Arc エージェントと共に Arc プロキシを取得します。
Arc ゲートウェイを使用すると、 http と https トラフィック フローが次のように変更されます。
Azure ローカル ホスト オペレーティング システム コンポーネントのトラフィック フロー
OS プロキシ設定は、すべての HTTPS ホスト トラフィックを Arc プロキシ経由でルーティングするために使用されます。
Arc プロキシから、トラフィックは Arc ゲートウェイに転送されます。
Arc ゲートウェイの構成に基づいて、許可されている場合、トラフィックはターゲット サービスに送信されます。 許可されていない場合、Arc プロキシはこのトラフィックをエンタープライズ プロキシにリダイレクトします (プロキシが設定されていない場合は直接送信されます)。 Arc プロキシは、エンドポイントの適切なパスを自動的に決定します。
Arc アプライアンス Azure Arc リソース ブリッジと AKS コントロール プレーンのトラフィック フロー
ルーティング可能な IP (現時点ではフェールオーバー クラスター化された IP リソース) は、Azure ローカル ホスト マシンで実行されている Arc プロキシ経由でトラフィックを転送するために使用されます。
Azure Arc リソース ブリッジと Azure Kubernetes Service (AKS) 転送プロキシは、ルーティング可能な IP を使用するように構成されています。
プロキシ設定が設定されると、Arc リソース ブリッジと AKS 送信トラフィックが、ルーティング可能な IP 経由でいずれかの Azure ローカル マシンで実行されている Arc プロキシに転送されます。
トラフィックが Arc プロキシに到達すると、残りのフローは説明と同じパスを使用します。 ターゲット サービスへのトラフィックが許可されている場合は、Arc ゲートウェイに送信されます。 そうでない場合は、エンタープライズ プロキシに送信されます (プロキシが設定されていない場合は直接送信されます)。 特に AKS の場合、このパスは Arc Agentry および Arc Extension Pod の Docker イメージをダウンロードするために使用されます。
Azure ローカル VM のトラフィック フロー
HTTP トラフィックと HTTPS トラフィックは、エンタープライズ プロキシに転送されます。 このバージョンでは、Arc によって有効になっている Azure ローカル仮想マシン (VM) 内の Arc プロキシはまだサポートされていません。
トラフィック フローを次の図に示します。
サポートされているシナリオとサポートされていないシナリオ
Arc ゲートウェイは、Azure Local バージョン 2411.1 以降の次のシナリオで使用できます。
- バージョン 2411.1 以降を実行している新しい Azure Local インスタンスのデプロイ中に Arc ゲートウェイを有効にします。
- Arc ゲートウェイ リソースは、Azure Local インスタンスのデプロイを計画しているのと同じサブスクリプションに作成する必要があります。
Azure Local でサポートされていないシナリオは次のとおりです。
- デプロイ後の Arc ゲートウェイの有効化はサポートされていません。
Azure ローカル エンドポイントがリダイレクトされない
Azure Local インスタンスをデプロイするには、テーブルのエンドポイントが必要であり、プロキシまたはファイアウォールで許可リストに登録されている必要があります。
| エンドポイント# | 必要なエンドポイント | コンポーネント |
|---|---|---|
| 1 | http://aka.ms:443 |
ブートストラップ |
| 2 | http://azurestackreleases.download.prss.microsoft.com:443] |
ブートストラップ |
| 3 | http://login.microsoftonline.com:443 |
Arc 登録 |
| 4 | http://<region>.login.microsoft.com:443 |
Arc 登録 |
| 5 | http://management.azure.com:443 |
Arc 登録 |
| 6 | http://gbl.his.arc.azure.com:443 |
Arc 登録 |
| 7 | http://<region>.his.arc.azure.com:443 |
Arc 登録 |
| 8 | http://dc.services.visualstudio.com:443 |
Arc 登録 |
| 9 | https://<region>.obo.arc.azure.com:8084 |
AKS 拡張機能 |
| 10 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Arc ゲートウェイ |
| 11 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 12 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
クラウド監視ストレージ アカウント |
| 13 | http://files.pythonhosted.org:443 |
2504 の新しいデプロイ以降は必要ありません。 Microsoft オンプレミス クラウド/ARB/AKS |
| 14 | http://pypi.org:443 |
2504 の新しいデプロイ以降は必要ありません。 Microsoft オンプレミス クラウド/ARB/AKS |
| 15 | http://raw.githubusercontent.com:443 |
2504 の新しいデプロイ以降は必要ありません。 Microsoft オンプレミス クラウド/ARB/AKS |
| 16 | http://pythonhosted.org:443 |
2504 の新しいデプロイ以降は必要ありません。 Microsoft オンプレミス クラウド/ARB/AKS |
| 十七 | http://ocsp.digicert.com |
Arc 拡張機能の証明書失効リスト |
| 18 | http://s.symcd.com |
Arc 拡張機能の証明書失効リスト |
| 19 | http://ts-ocsp.ws.symantec.com |
Arc 拡張機能の証明書失効リスト |
| 20 | http://ocsp.globalsign.com |
Arc 拡張機能の証明書失効リスト |
| 21 (二十一) | http://ocsp2.globalsign.com |
Arc 拡張機能の証明書失効リスト |
| 22 | http://oneocsp.microsoft.com |
Arc 拡張機能の証明書失効リスト |
| 23 | http://crl.microsoft.com/pkiinfra |
Arc 拡張機能の証明書失効リスト |
| 二十四 | http://dl.delivery.mp.microsoft.com |
Windows Update(ウィンドウズの更新機能) |
| 二十五 | http://*.tlu.dl.delivery.mp.microsoft.com |
Windows Update(ウィンドウズの更新機能) |
| 26 | http://*.windowsupdate.com |
Windows Update(ウィンドウズの更新機能) |
| 二十七 | http://*.windowsupdate.microsoft.com |
Windows Update(ウィンドウズの更新機能) |
| 28 | http://*.update.microsoft.com |
Windows Update(ウィンドウズの更新機能) |
制限事項と制約事項
このリリースでは、Arc ゲートウェイの次の制限事項を考慮してください。
- トランスポート層セキュリティ (TLS) 終端プロキシは、Arc ゲートウェイ プレビューではサポートされていません。
- Arc ゲートウェイ (プレビュー) に加えて、ExpressRoute、サイト間 VPN、またはプライベート エンドポイントの使用はサポートされていません。
Azure で Arc ゲートウェイ リソースを作成する
Arc ゲートウェイ リソースは、Azure portal、Azure CLI、または Azure PowerShell を使用して作成できます。
- Azure ポータルにサインインします。
- Azure Arc > Azure Arc ゲートウェイページに移動し、Create を選択します。
- Azure ローカル インスタンスのデプロイを計画しているサブスクリプションを選択します。
- Nameに、Arc ゲートウェイ リソースの名前を入力します。
- Locationで、Arc ゲートウェイ リソースが存在するリージョンを入力します。 Arc ゲートウェイ リソースは、同じ Azure テナント内の Arc 対応リソースによって使用されます。
- [次へ] を選択します。
- [タグ] ページで、標準をサポートするカスタム タグを 1 つ以上指定します。
- [確認と作成] を選択します。
- 詳細を確認し、 Create を選択します。
ゲートウェイの作成プロセスが完了するまでに 9 ~ 10 分かかります。
Arc ゲートウェイの関連付けをマシンからデタッチまたは変更する
Arc 対応サーバーからゲートウェイ リソースをデタッチするには、ゲートウェイ リソース ID を null に設定します。 Arc 対応サーバーを別の Arc ゲートウェイ リソースにアタッチするには、新しい Arc ゲートウェイ情報で名前とリソース ID を更新します。
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-enabled server name> --gateway-resource-id "
Arc ゲートウェイ リソースを削除する
Arc ゲートウェイ リソースを削除する前に、マシンが接続されていないことを確認します。 ゲートウェイ リソースを削除するには、次のコマンドを実行します。
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
この操作には数分かかることがあります。
次のステップ
この機能は、Azure Local バージョン 2411.1 以降でのみ使用できます。