Om Azure Arc-gateway för Azure Local

2025-10-30

Den här artikeln innehåller en översikt över Azure Arc-gatewayen för Azure Local (kallades tidigare Azure Stack HCI). Du kan aktivera Arc-gatewayen för nya distributioner av Azure Local som kör programvaruversion 2506 och senare. Den här artikeln beskriver också hur du skapar och tar bort Arc-gatewayresursen i Azure.

Använd Arc-gatewayen för att avsevärt minska antalet nödvändiga slutpunkter som krävs för att distribuera och hantera lokala Azure-instanser. När du skapar Arc-gatewayen ansluter du till och använder den för nya distributioner av Azure Local.

Anmärkning

Arc-gatewayen för lokal Azure-infrastruktur och lokala Azure-datorer är allmänt tillgänglig, men Arc-gatewayen för AKS på Azure Local är fortfarande i förhandsversion.

Hur det fungerar

Arc-gatewayen fungerar genom att introducera följande komponenter:

Arc Gateway-resurs – en Azure-resurs som fungerar som en vanlig startpunkt för Azure-trafik. Den här gatewayresursen har en specifik domän eller URL som du kan använda. När du skapar Arc-gatewayresursen är den här domänen eller URL:en en en del av framgångssvaret.
Arc-proxy – en ny komponent som läggs till i Arc-agentryen. Den här komponenten körs som en tjänst (kallas Azure Arc Proxy) och fungerar som en framåtriktad proxy för Azure Arc-agenter och -tillägg. Gateway-routern behöver ingen konfiguration. Den här routern är en del av Arc Core-agentiteten och körs i kontexten för en Arc-aktiverad resurs.

När du integrerar Arc-gatewayen med lokala Azure-distributioner får varje dator Arc-proxy tillsammans med andra Arc-agenter.

Följande diagram visar hur trafiken flödar mellan de olika komponenterna:

I följande avsnitt beskrivs hur http- och https-trafikflödet ändras när du använder Arc-gatewayen:

Trafikflöden 1–3 för lokalt Värdoperativsystem i Azure

Se till att konfigurera listan över förbikoppling av proxy för alla slutpunkter som du inte vill skicka via Arc-gatewayen.
Arc-gatewayen stöder inte HTTP-trafik. Konfigurera proxyn eller brandväggen för att tillåta nödvändiga HTTP-slutpunkter för Azure Local.
All HTTPS-trafik som inte har konfigurerats i listan över förbikoppling av proxy vidarebefordras till Arc-gatewayen.
Arc-proxy avgör automatiskt rätt sökväg för slutpunkten. Om Arc-gatewayen inte tillåter HTTPS-slutpunkten skickar Arc-proxyn HTTPS-trafiken till företagsproxyn eller brandväggen.

Trafikflöde 4 för Azure Arc-resursbryggan

Proxyn för Azure Arc-resursbryggan framåt är konfigurerad för att använda kluster-IP.
Med proxyinställningarna på plats vidarebefordrar systemet HTTPS-trafik för Arc-resursbryggan till Arc-proxy som körs på en av de lokala Azure-datorerna via klustrets IP-adress.

Trafikflöde 5 för AKS-kluster och poddar

När du distribuerar AKS-kluster på Azure Local med Arc-gateway vidarebefordrar systemet all HTTP- och HTTPS-trafik från aks-kontrollplanets virtuella dator och de virtuella datorerna för arbetsnoden till klustrets IP-adress som proxy.
Om det finns en befintlig brandvägg mellan infrastrukturundernätet och AKS-undernätet tillåter du trafiken från portarna 22 och 6443.
När du distribuerar AKS-arbetsbelastningar på Azure Local med Arc-gateway konfigurerad måste du fortfarande tillåta åtkomst till de icke-tillåtna slutpunkterna i hanteringsundernätet. Om du inte vill att trafiken ska dirigeras via hanteringsundernätet konfigurerar du de icke-tillåtna slutpunkterna via listan över förbikoppling av proxy under Azure Local-distributionen.

Mer information finns i den omfattande listan över FQDN-slutpunkter som krävs för AKS i ett avgränsat undernät när du använder Arc-gateway.

Trafikflöde 6 för lokala Azure-datorer

Systemet vidarebefordrar all Arc HTTPS-trafik till Arc-gatewayen som konfigurerats för den lokala Virtuella Azure-datorn.
Om du vill vidarebefordra all HTTP- och HTTPS-trafik från den lokala Azure-datorn till Arc-gatewayen måste du konfigurera inställningarna för OS WinInet- och WinHTTP-proxy för att använda Arc-proxyn som körs på http://< localhost>:<port40343>.
Om Arc-gatewayen inte tillåter slutpunkter från att nå den lokala Azure-datorn skickar systemet trafiken till företagsproxyn eller brandväggen.

Mer information om trafikflödena finns i Djupdykning i utgående trafikläge för Azure Arc-gateway för Azure Local.

Scenarier som stöds och som inte stöds

Använd Arc-gatewayen i följande scenarier för Azure Local:

Aktivera Arc-gateway under distributionen av nya lokala Azure-instanser som kör version 2506 eller senare.
Arc-gatewayresursen måste skapas i samma prenumeration där du planerar att distribuera din lokala Azure-instans.

Scenarier som inte stöds för Azure Local är:

Du kan inte aktivera Arc-gatewayen efter distributionen.

Azures lokala slutpunkter omdirigeras inte

Slutpunkterna från följande tabell krävs. Lägg till dessa slutpunkter i listan över tillåtna i proxyn eller brandväggen för att distribuera den lokala Azure-instansen:

Slutpunkt #	Nödvändig slutpunkt	Komponent
1	`https://aka.ms`	Bootstrap
2	`https://azurestackreleases.download.prss.microsoft.com`	Bootstrap
3	`https://login.microsoftonline.com`	Arcregistrering
4	`https://<region>.login.microsoft.com`	Arcregistrering
5	`https://management.azure.com`	Arcregistrering
6	`https://gbl.his.arc.azure.com`	Arcregistrering
7	`https://<region>.his.arc.azure.com`	Arcregistrering
8	`https://<region>.obo.arc.azure.com:8084`	Krävs endast för vissa AKS-arbetsbelastningstillägg
9	`https://<yourarcgatewayId>.gw.arc.azure.com`	Arcgateway
10	`https://<yourkeyvaultname>.vault.azure.net`	Azure 密钥保管库
11	`https://<yourblobstorageforcloudwitnessname>.blob.core.windows.net`	Cloud Witness Storage-konto
12	`http://ocsp.digicert.com`	Lista över återkallade certifikat för Arc-tillägg
tretton	`http://s.symcd.com`	Lista över återkallade certifikat för Arc-tillägg
14	`http://ts-ocsp.ws.symantec.com`	Lista över återkallade certifikat för Arc-tillägg
15	`http://ocsp.globalsign.com`	Lista över återkallade certifikat för Arc-tillägg
16	`http://ocsp2.globalsign.com`	Lista över återkallade certifikat för Arc-tillägg
17	`http://oneocsp.microsoft.com`	Lista över återkallade certifikat för Arc-tillägg
18	`http://crl.microsoft.com/pkiinfra`	Lista över återkallade certifikat för Arc-tillägg
19	`https://dl.delivery.mp.microsoft.com`	Krävs inte från och med 2504 nya driftsättningar. Uppdateringar för Windows
20	`https://*.tlu.dl.delivery.mp.microsoft.com`	Krävs inte från och med 2506 nya distributioner. Windows Update
21	`https://*.windowsupdate.com`	Krävs inte från och med 2506 nya distributioner. Windows Update
22	`https://*.windowsupdate.microsoft.com`	Krävs inte från och med 2506 nya distributioner. Windows Update
23	`https://*.update.microsoft.com`	Krävs inte från och med 2506 nya distributioner. Windows Update

Villkor och begränsningar

Arc-gatewayen har följande begränsningar i den här versionen:

Arc-gatewayen stöder inte proxyservrar som terminerar Transport Layer Security (TLS).

Skapa Arc-gatewayresursen i Azure

Du kan skapa en Arc-gatewayresurs med hjälp av Azure Portal, Azure CLI eller Azure PowerShell.

Logga in på Azure-portalen.
Gå till Azure Arc > Azure Arc-gatewaysidan och välj sedan Skapa.
Välj den prenumeration där du planerar att distribuera din lokala Azure-instans.
Som Namn anger du namnet på Arc-gatewayresursen.
För Plats anger du den region där Arc-gatewayresursen ska finnas. En Arc-gatewayresurs används av alla Arc-aktiverade resurser i samma Azure-klientorganisation.
Välj Nästa.
På sidan Taggar anger du en eller flera anpassade taggar som stöder dina standarder.
Välj Granska och skapa.
Granska din information och välj sedan Skapa.

Det tar nio till tio minuter att skapa gatewayen.

Lägg till arc gateway-tillägget i Azure CLI:

az extension add -n arcgateway
På en dator med åtkomst till Azure kör du följande kommandon för att skapa arc-gatewayresursen:
```
az arcgateway create --name [gateway name] --resource-group [resource group] --location [location]
```
Det tar 9–10 minuter att skapa gatewayen.

På en dator med åtkomst till Azure kör du följande PowerShell-kommando för att skapa arc-gatewayresursen:

New-AzArcgateway -name <gateway name> -resource-group <resource group> -location <region> -subscription <subscription name or id> -gateway-type public  -allowed-features *

Det tar 9–10 minuter att skapa gatewayen.

Koppla från eller ändra Arc-gatewayassociationen från datorn

Om du vill koppla bort gatewayresursen från din Arc-aktiverade server anger du gatewayresurs-ID:t till null. Om du vill koppla en Arc-aktiverad server till en annan Arc-gatewayresurs uppdaterar du namnet och resurs-ID:t med den nya Arc-gatewayinformationen:

az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-enabled server name> --gateway-resource-id "

Ta bort Arc-gatewayresursen

Kontrollera att inga datorer är anslutna innan du tar bort en Arc-gatewayresurs. Kör följande kommando för att ta bort gatewayresursen:

az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>

Den här åtgärden kan ta några minuter.

Nästa steg

Registrera lokala Azure-datorer med Azure Arc-gateway

Den här funktionen är endast tillgänglig i Azure Local version 2506 eller senare.

Feedback

Var den här sidan till hjälp?