Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Se você usar proxies corporativos para gerenciar o tráfego de saída, o gateway do Azure Arc poderá ajudar a simplificar o processo de habilitação da conectividade.
O gateway do AKS Arc (atualmente em versão prévia) permite:
- Conecte ao Azure Arc abrindo o acesso à rede pública para apenas sete domínios totalmente qualificados (FQDNs).
- Exiba e audite todo o tráfego que os agentes do Arc enviam para o Azure por meio do gateway do Arc.
Importante
O gateway do AKS Arc está atualmente em versão preliminar.
Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Como o gateway do Azure Arc funciona
O gateway do Arc funciona introduzindo dois novos componentes:
- O recurso de gateway do Arc é um recurso do Azure que serve como um front-end comum para o tráfego do Azure. O recurso de gateway é servido em um domínio/URL específico. Você deve criar esse recurso seguindo as etapas descritas neste artigo. Depois de criar com sucesso o recurso de gateway, esse domínio/URL será incluído na resposta de sucesso.
- O Proxy do Arc é um novo componente que é executado como seu próprio pod (chamado Proxy do Azure Arc). Esse componente atua como um proxy de encaminhamento usado por agentes e extensões do Azure Arc. Não há nenhuma configuração necessária de sua parte para o Proxy do Azure Arc.
Para obter mais informações, consulte como funciona o gateway do Azure Arc.
Importante
O Local do Azure e o AKS não dão suporte a proxies de terminação TLS, VPN ExpressRoute/site a site ou pontos de extremidade privados. Além disso, há um limite de cinco recursos de gateway do Arc por assinatura do Azure.
Antes de começar
Certifique-se de concluir os pré-requisitos para criar clusters do AKS no Local do Azure.
Este artigo exige a versão 1.4.23 ou posterior da CLI do Azure. Se você está usando o CloudShell do Azure, a última versão já está instalada.
As seguintes permissões do Azure são necessárias para criar recursos de gateway do Arc e gerenciar sua associação com clusters do AKS Arc:
Microsoft.Kubernetes/connectedClusters/settings/default/writeMicrosoft.hybridcompute/gateways/readMicrosoft.hybridcompute/gateways/write
Você pode criar um recurso de gateway do Arc usando a CLI do Azure ou o portal do Azure. Para obter mais informações sobre como criar um recurso de gateway do Arc para os clusters do AKS e o Local do Azure, consulte Criar o recurso de gateway do Arc no Azure. Ao criar o recurso de gateway do Arc, obtenha a ID do recurso de gateway executando o seguinte comando:
$gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
Confirmar o acesso às URLs necessárias
Verifique se a URL do Gateway Arc e todas as URLs a seguir são permitidas pelo firewall corporativo:
| URL | Finalidade |
|---|---|
[Your URL prefix].gw.arc.azure.com |
Seu URL de gateway. Você pode obter essa URL executando az arcgateway list depois de criar o recurso. |
management.azure.com |
Ponto de extremidade do Azure Resource Manager, necessário para o canal de controle do Azure Resource Manager. |
<region>.obo.arc.azure.com |
Obrigatório quando az connectedk8s proxy é usado. |
login.microsoftonline.com, <region>.login.microsoft.com |
Ponto de extremidade do Microsoft Entra ID, para a aquisição de tokens de acesso de identidade. |
gbl.his.arc.azure.com, <region>.his.arc.azure.com |
O ponto de extremidade do serviço de nuvem para se comunicar com os Agentes do Arc. Usa nomes curtos; por exemplo, eus para o Leste dos EUA. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Necessário para efetuar pull de imagens de contêiner para agentes do Azure Arc. |
Criar um cluster do AKS Arc com o gateway do AKS Arc habilitado
Execute o seguinte comando para criar um cluster do AKS Arc com o gateway do AKS Arc habilitado:
az aksarc create -n $clusterName -g $resourceGroup --custom-___location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys
Atualizar um cluster do AKS Arc e habilitar o gateway do AKS Arc
Execute o seguinte comando para atualizar um cluster do AKS Arc para habilitar o gateway do AKS Arc:
az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId
Desabilitar o gateway do AKS Arc em um cluster do AKS Arc
Execute o seguinte comando para desabilitar o gateway do AKS Arc:
az aksarc update -n $clusterName -g $resourceGroup --disable-gateway
Monitorar o tráfego
Para auditar o tráfego do gateway, exiba os logs do roteador do gateway:
- Execute a
kubectl get pods -n azure-arc. - Identifique o pod do Proxy do Arc (seu nome começa com
arc-proxy-). - Execute a
kubectl logs -n azure-arc <Arc Proxy pod name>.
Outros cenários
Durante a versão preliminar pública, o gateway do Arc abrange os pontos de extremidade necessários para clusters do AKS Arc e uma parte dos pontos de extremidade necessários para cenários adicionais habilitados para Arc. Com base nos cenários adotados, pontos de extremidade adicionais ainda devem ser permitidos em seu proxy.
Todos os pontos de extremidade listados para os seguintes cenários devem ser permitidos no proxy corporativo quando o gateway do Arc estiver em uso:
- Insights de contêiner no Azure Monitor:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
- Azure Key Vault:
<vault-name>.vault.azure.net
- Azure Policy:
data.policy.core.windows.netstore.policy.core.windows.net
- Microsoft Defender para contêineres:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com
- Serviços de dados habilitados para Azure Arc
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com