Dela via

Förenkla kraven för nätverkskonfiguration med Azure Arc Gateway (förhandsversion)

Om du använder företagsproxyservrar för att hantera utgående trafik kan Azure Arc-gatewayen (förhandsversion) hjälpa till att förenkla processen med att aktivera anslutningen.

Med Azure Arc-gatewayen (förhandsversion) kan du:

  • Anslut till Azure Arc genom att öppna åtkomsten till det offentliga nätverket till endast sju fullständigt kvalificerade domännamn (FQDN).
  • Visa och granska all trafik som Arc-agenterna skickar till Azure via Arc-gatewayen.

Important

Azure Arc-gatewayen är för närvarande i förhandsversion.

Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Så här fungerar Azure Arc-gatewayen

Arc-gatewayen fungerar genom att introducera två nya komponenter

Arc-gatewayresursen är en Azure-resurs som fungerar som en gemensam klientdel för Azure-trafik. Gatewayresursen hanteras på en specifik domän/URL. Du måste skapa den här resursen genom att följa stegen som beskrivs i den här artikeln. När du har skapat gatewayresursen inkluderas den här domänen/URL:en i svarssvaret.

Arc Proxy är en ny komponent som körs som en egen podd (kallas "Azure Arc Proxy"). Den här komponenten fungerar som en vidarebefordranproxy som används av Azure Arc-agenter och tillägg. Det krävs ingen konfiguration från din sida för Azure Arc-proxyn. Från och med version 1.21.10 av Arc-aktiverade Kubernetes-agenter är den här podden nu en del av Arc-kärnagenterna och körs i ett Arc-aktiverat Kubernetes-kluster. 

När gatewayen är på plats flödar trafiken via följande hopp: Arc-agenter → Azure Arc-proxy → Enterprise Proxy → Arc-gateway → Måltjänst.

Diagram som visar arkitekturen för Azure Arc-gatewayen (förhandsversion) med Arc-aktiverade Kubernetes.

Om du vill ladda ned arkitekturdiagram i hög upplösning går du till Jumpstart Gems.

Aktuella begränsningar

Under den offentliga förhandsversionen gäller följande begränsningar. Tänk på de här faktorerna när du planerar konfigurationen.

  • TLS-avslutande proxyservrar stöds inte med Arc-gatewayen.
  • Det finns en gräns på fem Arc Gateway-resurser per Azure-prenumeration.
  • Arc-gatewayen kan bara användas för anslutning i det offentliga Azure-molnet.

Important

Azure Arc-gatewayen tillhandahåller den anslutning som krävs för att använda Azure Arc-aktiverade Kubernetes, men du kan behöva aktivera ytterligare slutpunkter för att kunna använda vissa tillägg och tjänster med dina kluster. Mer information finns i Ytterligare scenarier.

Behörigheter som krävs

För att skapa Arc-gatewayresurser och hantera deras association med Arc-aktiverade Kubernetes-kluster krävs följande behörigheter:

  • Microsoft.Kubernetes/connectedClusters/settings/default/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

Skapa Arc-gatewayresursen

Du kan skapa en Arc-gatewayresurs med hjälp av Azure CLI eller Azure PowerShell.

När du skapar Arc-gatewayresursen anger du den prenumeration och resursgrupp där resursen skapas, tillsammans med en Azure-region. Alla Arc-aktiverade resurser i samma klientorganisation kan dock använda resursen, oavsett prenumeration eller region.

  1. Kör följande Azure CLI-kommando på en dator med åtkomst till Azure:

    az extension add -n arcgateway

  2. Kör sedan följande Azure CLI-kommando för att skapa arc-gatewayresursen och ersätt platshållarna med önskade värden:

    az arcgateway create --name <gateway's name> --resource-group <resource group> --location <region> --gateway-type public --allowed-features * --subscription <subscription name or id>

Det tar vanligtvis ungefär tio minuter att slutföra skapandet av Arc-gatewayresursen.

Bekräfta åtkomst till nödvändiga URL:er

När resursen har skapats framgångsrikt, innehåller framgångssvaret Arc-gatewayens URL. Se till att din Arc-gateway-URL och alla URL:er nedan är tillåtna i miljön där Arc-resurserna finns.

URL Purpose
<Your URL prefix>.gw.arc.azure.com Din åtkomstpunkt-URL. Den här URL:en kan hämtas genom att köras az arcgateway list när du har skapat resursen.
management.azure.com Azure Resource Manager-slutpunkt krävs för ARM-kontrollkanalen.
<region>.obo.arc.azure.com Krävs när Klusteranslutning har konfigurerats.
login.microsoftonline.com, <region>.login.microsoft.com Microsoft Entra ID-slutpunkt som används för att hämta identitetsåtkomsttoken.
gbl.his.arc.azure.com, <region>.his.arc.azure.com Molntjänstslutpunkten för kommunikation med Arc-agenter. Använder korta namn, till exempel eus för östra USA.
mcr.microsoft.com, <region>.data.mcr.microsoft.com Krävs för att hämta containeravbildningar för Azure Arc-agenter.

Anslut Kubernetes-kluster till Azure Arc med din Arc-gatewayresurs

  1. Se till att din miljö uppfyller alla nödvändiga krav för Azure Arc-aktiverade Kubernetes. Eftersom du använder Azure Arc-gatewayen behöver du inte uppfylla alla nätverkskrav.

  2. På distributionsdatorn anger du de miljövariabler som krävs för att Azure CLI ska kunna använda den utgående proxyservern:

    export HTTP_PROXY=<proxy-server-ip-address>:<port> export HTTPS_PROXY=<proxy-server-ip-address>:<port> export NO_PROXY=<cluster-apiserver-ip-address>:<port>

  3. Kör kommandot connect på Kubernetes-klustret med parametrarna proxy-https och proxy-http som specificerats. Om proxyservern har konfigurerats med både HTTP och HTTPS ska du använda --proxy-http för HTTP-proxyn och --proxy-https för HTTPS-proxyn. Om proxyservern bara använder HTTP kan du använda det värdet för båda parametrarna.

    az connectedk8s connect -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id> --proxy-https <proxy_value> --proxy-http http://<proxy-server-ip-address>:<port> --proxy-skip-range <excludedIP>,<excludedCIDR> --location <region>

    Note

    Vissa nätverksbegäranden, till exempel de som omfattar kommunikation mellan tjänster i klustret, måste separeras från trafik som dirigeras via proxyservern för utgående kommunikation. Parametern --proxy-skip-range kan användas för att ange CIDR-intervallet och slutpunkterna på ett kommaavgränsat sätt, så att kommunikationen från agenterna till dessa slutpunkter inte går via den utgående proxyn. CIDR-intervallet för tjänsterna i klustret ska åtminstone anges som värde för den här parametern. Om kubectl get svc -A till exempel returnerar en lista över tjänster där alla tjänster har ClusterIP värden i intervallet 10.0.0.0/16är --proxy-skip-rangevärdet som ska anges för 10.0.0.0/16,kubernetes.default.svc,.svc.cluster.local,.svc .

    --proxy-http, --proxy-httpsoch --proxy-skip-range förväntas för de flesta utgående proxymiljöer. --proxy-cert krävs endast om du behöver mata in betrodda certifikat som förväntas av proxyn i det betrodda certifikatarkivet för agentpoddar.

    Den utgående proxyn måste konfigureras för att tillåta websocket-anslutningar.

Konfigurera befintliga kluster för att använda Arc-gatewayen

Om du vill uppdatera befintliga kluster så att de använder Arc-gatewayen kör du följande kommando:

az connectedk8s update -g <resource_group> -n <cluster_name> --gateway-resource-id <gateway_resource_id>

Kontrollera att uppdateringen lyckades genom att köra följande kommando och bekräfta att svaret är true:

 az connectedk8s show -g <resource_group> -n <cluster_name> --query 'gateway.enabled'

När dina kluster har uppdaterats för att använda Arc-gatewayen behövs inte längre några av de Arc-slutpunkter som tidigare var tillåtna i företagsproxyn eller brandväggarna och kan tas bort. Vi rekommenderar att du väntar minst en timme innan du tar bort slutpunkter som inte längre behövs. Se till att du inte tar bort någon av de slutpunkter som krävs för Arc-gatewayen.

Ta bort Arc-gatewayen

Important

Steget som beskrivs här gäller endast för Arc-gateway på Arc-aktiverad Kubernetes. Mer information om hur du kopplar från Arc-gateway på Azure Local finns i Om Azure Arc-gateway för Azure Local (förhandsversion).

Om du vill inaktivera Arc-gatewayen och ta bort associationen mellan Arc-gatewayresursen och det Arc-aktiverade klustret kör du följande kommando:

az connectedk8s update -g <resource_group> -n <cluster_name> --disable-gateway

Övervaka trafik

Om du vill granska gatewayens trafik visar du gatewayrouterns loggar:

  1. Kör kubectl get pods -n azure-arc
  2. Identifiera Arc Proxy-podden (namnet börjar med arc-proxy-).
  3. Kör kubectl logs -n azure-arc <Arc Proxy pod name>

Ytterligare scenarier

Under den offentliga förhandsversionen omfattar Arc-gateway slutpunkter som krävs för registrering av ett kluster och en del av de slutpunkter som krävs för ytterligare Arc-aktiverade scenarier. Baserat på de scenarier du använder måste ytterligare slutpunkter fortfarande tillåtas i proxyn.

Alla slutpunkter som anges för följande scenarier måste tillåtas i företagsproxyn när Arc-gatewayen används: