이 문서에서는 Azure Local(이전의 Azure Stack HCI)용 Azure Arc 게이트웨이에 대한 개요를 제공합니다. 소프트웨어 버전 2506 이상을 실행하는 Azure 로컬의 새 배포에서 Arc 게이트웨이를 사용하도록 설정할 수 있습니다. 이 문서에서는 Azure에서 Arc 게이트웨이 리소스를 만들고 삭제하는 방법도 설명합니다.
Arc 게이트웨이를 사용하여 Azure 로컬 인스턴스를 배포하고 관리하는 데 필요한 엔드포인트 수를 크게 줄입니다. Arc 게이트웨이를 만들 때 연결하여 Azure Local의 새 배포에 사용합니다.
비고
Azure 로컬 인프라 및 Azure 로컬 VM에 대한 Arc 게이트웨이는 일반적으로 사용할 수 있지만 Azure Local의 AKS용 Arc 게이트웨이는 아직 미리 보기로 제공됩니다.
작동 방식
Arc 게이트웨이는 다음 구성 요소를 도입하여 작동합니다.
Arc 게이트웨이 리소스 – Azure 트래픽의 공통 진입점 역할을 하는 Azure 리소스입니다. 이 게이트웨이 리소스에는 사용할 수 있는 특정 도메인 또는 URL이 있습니다. Arc 게이트웨이 리소스를 만들 때 이 도메인 또는 URL은 성공 응답의 일부입니다.
Arc 프록시 – Arc 에이전트에 추가되는 새 구성 요소입니다. 이 구성 요소는 서비스( Azure Arc 프록시라고 함)로 실행되며 Azure Arc 에이전트 및 확장에 대한 전달 프록시로 작동합니다. 게이트웨이 라우터에는 구성이 필요하지 않습니다. 이 라우터는 Arc 코어 에이전트의 일부이며 Arc 지원 리소스의 컨텍스트에서 실행됩니다.
Arc 게이트웨이를 Azure 로컬 배포와 통합하면 각 컴퓨터는 다른 Arc 에이전트와 함께 Arc 프록시를 가져옵니다.
다음 다이어그램에서는 다양한 구성 요소 간에 트래픽이 흐르는 방법을 보여 줍니다.
다음 섹션에서는 Arc 게이트웨이를 사용할 때 http 및 https 트래픽 흐름이 어떻게 변경되는지 설명합니다.
Azure 로컬 호스트 OS에 대한 트래픽 흐름 1-3
Arc 게이트웨이를 통해 보내지 않으려는 엔드포인트에 대해 프록시 바이패스 목록을 구성 해야 합니다.
Arc 게이트웨이는 HTTP 트래픽을 지원하지 않습니다. Azure Local에 필요한 HTTP 엔드포인트를 허용하도록 프록시 또는 방화벽을 구성합니다.
프록시 바이패스 목록에 구성되지 않은 모든 HTTPS 트래픽은 Arc 게이트웨이로 전달됩니다.
Arc 프록시는 엔드포인트에 대한 올바른 경로를 자동으로 결정합니다. Arc 게이트웨이에서 HTTPS 엔드포인트를 허용하지 않는 경우 Arc 프록시는 HTTPS 트래픽을 엔터프라이즈 프록시 또는 방화벽으로 보냅니다.
Azure Arc 리소스 브리지의 트래픽 흐름 4
Azure Arc 리소스 브리지 전달 프록시는 클러스터 IP를 사용하도록 구성됩니다.
프록시 설정이 적용된 상태에서 시스템은 클러스터 IP를 통해 Azure 로컬 머신 중 하나에서 실행되는 Arc 프록시에 Arc 리소스 브리지 HTTPS 트래픽을 전달합니다.
AKS 클러스터 및 Pod에 대한 트래픽 흐름 5
Arc 게이트웨이를 사용하여 Azure Local에 AKS 클러스터를 배포하는 경우 시스템은 AKS 컨트롤 플레인 VM 및 작업자 노드 VM의 모든 HTTP 및 HTTPS 트래픽을 프록시로 클러스터 IP로 전달합니다.
인프라 서브넷과 AKS 서브넷 사이에 기존 방화벽이 있는 경우 포트 22 및 6443에서 트래픽을 허용합니다.
Arc 게이트웨이가 구성된 Azure Local에 AKS 워크로드를 배포하는 경우에도 관리 서브넷에서 허용되지 않는 엔드포인트에 대한 액세스를 허용해야 합니다. 관리 서브넷을 통해 트래픽을 라우팅하지 않으려면 Azure 로컬 배포 중에 프록시 바이패스 목록을 통해 허용되지 않는 엔드포인트를 구성합니다.
자세한 내용은 Arc 게이트웨이를 사용할 때 분리된 서브넷의 AKS에 필요한 FQDN 엔드포인트의 포괄적인 목록을 참조하세요.
Azure 로컬 VM에 대한 트래픽 흐름 6
- 시스템은 모든 Arc HTTPS 트래픽을 Azure 로컬 VM에 대해 구성된 Arc 게이트웨이로 전달합니다.
- Azure 로컬 VM에서 Arc 게이트웨이로 모든 HTTP 및 HTTPS 트래픽을 전달하려면 os WinInet 및 WinHTTP 프록시 설정을 구성하여 http://< localhost>:<port40343>에서 실행되는 Arc 프록시를 사용해야 합니다.
- Arc 게이트웨이에서 엔드포인트가 Azure 로컬 VM 내부에 도달하는 것을 허용하지 않는 경우 시스템은 트래픽을 엔터프라이즈 프록시 또는 방화벽으로 보냅니다.
트래픽 흐름에 대한 자세한 내용은 Azure Local에 대한 Azure Arc 게이트웨이 아웃바운드 트래픽 모드에 대한 심층 분석을 참조하세요.
지원되는 시나리오와 지원되지 않는 시나리오
Azure Local에 대한 다음 시나리오에서 Arc 게이트웨이를 사용합니다.
- 버전 2506 이상을 실행하는 새 Azure 로컬 인스턴스를 배포하는 동안 Arc 게이트웨이를 사용하도록 설정합니다.
- Arc 게이트웨이 리소스는 Azure 로컬 인스턴스를 배포하려는 동일한 구독에 만들어야 합니다.
Azure 로컬에 지원되지 않는 시나리오는 다음과 같습니다.
- 배포 후에는 Arc 게이트웨이를 사용하도록 설정할 수 없습니다.
Azure 로컬 엔드포인트가 리디렉션되지 않음
다음 표의 엔드포인트가 필요합니다. 프록시 또는 방화벽의 허용 목록에 다음 엔드포인트를 추가하여 Azure 로컬 인스턴스를 배포합니다.
| 끝점 # | 필수 엔드포인트 | 구성 요소 |
|---|---|---|
| 1 | https://aka.ms |
부트스트랩 |
| 2 | https://azurestackreleases.download.prss.microsoft.com |
부트스트랩 |
| 3 | https://login.microsoftonline.com |
아크 등록 |
| 4 | https://<region>.login.microsoft.com |
아크 등록 |
| 5 | https://management.azure.com |
아크 등록 |
| 6 | https://gbl.his.arc.azure.com |
아크 등록 |
| 7 | https://<region>.his.arc.azure.com |
아크 등록 |
| 8 (여덟) | https://<region>.obo.arc.azure.com:8084 |
특정 AKS 워크로드 확장에만 필요 |
| 9 | https://<yourarcgatewayId>.gw.arc.azure.com |
Arc 게이트웨이 |
| 10 | https://<yourkeyvaultname>.vault.azure.net |
Azure Key Vault (애저 키 볼트) |
| 11 | https://<yourblobstorageforcloudwitnessname>.blob.core.windows.net |
Cloud Witness Storage 계정 |
| 12 | http://ocsp.digicert.com |
Arc 확장에 대한 인증서 해지 목록 |
| 13 | http://s.symcd.com |
Arc 확장에 대한 인증서 해지 목록 |
| 14 | http://ts-ocsp.ws.symantec.com |
Arc 확장에 대한 인증서 해지 목록 |
| 15 | http://ocsp.globalsign.com |
Arc 확장에 대한 인증서 해지 목록 |
| 16 | http://ocsp2.globalsign.com |
Arc 확장에 대한 인증서 해지 목록 |
| 17 | http://oneocsp.microsoft.com |
Arc 확장에 대한 인증서 해지 목록 |
| 18 | http://crl.microsoft.com/pkiinfra |
Arc 확장에 대한 인증서 해지 목록 |
| 19 | https://dl.delivery.mp.microsoft.com |
2504개의 새 배포부터는 필요하지 않습니다. Windows 업데이트 |
| 20 | https://*.tlu.dl.delivery.mp.microsoft.com |
2506개의 새 배포부터는 필요하지 않습니다. Windows 업데이트 |
| 21 | https://*.windowsupdate.com |
2506개의 새 배포부터는 필요하지 않습니다. Windows 업데이트 |
| 22 (이십이) | https://*.windowsupdate.microsoft.com |
2506개의 새 배포부터는 필요하지 않습니다. Windows 업데이트 |
| 23 | https://*.update.microsoft.com |
2506개의 새 배포부터는 필요하지 않습니다. Windows 업데이트 |
제한과 한계
Arc 게이트웨이는 이 릴리스에서 다음과 같은 제한 사항이 있습니다.
- Arc 게이트웨이는 TLS(전송 계층 보안) 종료 프록시를 지원하지 않습니다.
Azure에서 Arc 게이트웨이 리소스 만들기
Azure Portal, Azure CLI 또는 Azure PowerShell을 사용하여 Arc 게이트웨이 리소스를 만들 수 있습니다.
- Azure Portal에 로그인합니다.
- Azure Arc > Azure Arc 게이트웨이 페이지로 이동한 다음 만들기를 선택합니다.
- Azure 로컬 인스턴스를 배포하려는 구독을 선택합니다.
- 이름에 Arc 게이트웨이 리소스의 이름을 입력합니다.
- 위치의 경우 Arc 게이트웨이 리소스가 상주해야 하는 지역을 입력합니다. Arc 게이트웨이 리소스는 동일한 Azure 테넌트에 있는 Arc 지원 리소스에서 사용됩니다.
- 다음을 선택합니다.
- 태그 페이지에서 표준을 지원하기 위해 하나 이상의 사용자 지정 태그를 지정합니다.
- 검토 및 만들기를 선택합니다.
- 세부 정보를 검토한 다음 만들기를 선택합니다.
게이트웨이 만들기 프로세스를 완료하는 데 9~10분이 걸립니다.
컴퓨터에서 Arc 게이트웨이 연결 분리 또는 변경
Arc 지원 서버에서 게이트웨이 리소스를 분리하려면 게이트웨이 리소스 ID null를 .로 설정합니다. Arc 지원 서버를 다른 Arc 게이트웨이 리소스에 연결하려면 새 Arc 게이트웨이 정보로 이름 및 리소스 ID를 업데이트합니다.
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-enabled server name> --gateway-resource-id "
Arc 게이트웨이 리소스 삭제
Arc 게이트웨이 리소스를 삭제하기 전에 연결된 컴퓨터가 없는지 확인합니다. 게이트웨이 리소스를 삭제하려면 다음 명령을 실행합니다.
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
이 작업은 몇 분 정도 걸릴 수 있습니다.
다음 단계
이 기능은 Azure 로컬 버전 2506 이상에서만 사용할 수 있습니다.