本文概述了 Azure Local 的 Azure Arc 网关(以前称为 Azure Stack HCI)。 可以在 Azure 本地运行软件版本 2506 及更高版本的新部署上启用 Arc 网关。 本文还介绍了如何在 Azure 中创建和删除 Arc 网关资源。
使用 Arc 网关可显著减少部署和管理 Azure 本地实例所需的端点数量。 创建 Arc 网关时,请连接到 Azure Local 并将其用于新的部署。
工作原理
Arc 网关通过引入以下组件来发挥作用:
Arc 网关资源:一种 Azure 资源,充当 Azure 流量的通用入口点。 此网关资源有一个你可以使用的特定域或 URL。 创建 Arc 网关资源时,此域或 URL 是成功响应的一部分。
Arc 代理 – 已添加到 Arc 代理的新组件。 此组件作为服务(称为 Azure Arc 代理)运行,充当 Azure Arc 代理和扩展的转发代理。 网关路由器不需要任何配置。 此路由器是 Arc 核心代理的一部分,在已启用 Arc 的资源的上下文中运行。
将 Arc 网关与 Azure 本地部署集成时,每台计算机都会与其他 Arc 代理一起获取 Arc 代理。
下图演示了各种组件之间的流量如何流动:
以下部分介绍了使用 Arc 网关时 http 和 https 流量流如何更改:
Azure 本地主机操作系统的流量路径 1-3
确保为任何不希望通过 Arc 网关发送的终结点配置代理绕过列表。
Arc 网关不支持 HTTP 流量。 将您的代理或防火墙配置为允许 Azure Local 所需的 HTTP 终结点。
未在代理旁路列表中配置的所有 HTTPS 流量将转发到 Arc 网关。
Arc 代理会自动确定终结点的正确路径。 如果 Arc 网关不允许 HTTPS 终结点,Arc 代理会将 HTTPS 流量发送到企业代理或防火墙。
Azure Arc 资源网桥的流量流 4
Azure Arc 资源桥转发代理配置为使用群集 IP。
使用代理设置,系统通过群集 IP 将 Arc 资源网桥 HTTPS 流量转发到在某个 Azure 本地计算机上运行的 Arc 代理。
AKS 群集和容器组的数据流 5
使用 Arc 网关在 Azure 本地部署 AKS 群集时,系统会将所有 HTTP 和 HTTPS 流量从 AKS 控制平面 VM 和工作器节点 VM 转发到群集 IP 作为代理。
如果基础结构子网与 AKS 子网之间存在现有防火墙,则允许来自端口 22 和 6443 的流量。
在配置了 Arc 网关的 Azure 本地部署 AKS 工作负荷时,仍需允许访问管理子网上的不允许终结点。 如果不希望通过管理子网路由流量,请在 Azure 本地部署期间通过代理旁路列表配置不允许的终结点。
有关详细信息,请参阅使用 Arc 网关时 在分隔子网上的 AKS 所需的 FQDN 终结点的综合列表 。
Azure 本地 VM 的流量流 6
- 系统将所有 Arc HTTPS 流量转发到为 Azure 本地 VM 配置的 Arc 网关。
- 如果要将所有 HTTP 和 HTTPS 流量从 Azure 本地 VM 转发到 Arc 网关,则必须配置 OS WinInet 和 WinHTTP 代理设置,以使用在 http://< localhost>:<port40343> 上运行的 Arc 代理。
- 如果 Arc 网关不允许终结点到达 Azure 本地 VM 内部,系统会将流量发送到企业代理或防火墙。
有关流量流的详细信息,请参阅 深入了解 Azure Local 的 Azure Arc 网关出站流量模式。
受支持的方案和不受支持的方案
在 Azure 本地的以下方案中使用 Arc 网关:
- 在部署运行版本 2506 或更高版本的新 Azure 本地实例时启用 Arc 网关。
- 必须在计划部署 Azure 本地实例的同一订阅上创建 Arc 网关资源。
Azure Local 不支持的场景包括:
- 部署后无法启用 Arc 网关。
未重定向 Azure Local 终结点
下表中的终结点是必需的。 将这些终结点添加到代理或防火墙中的允许列表以部署 Azure 本地实例:
| 终结点编号 | 必需的终结点 | 组件 |
|---|---|---|
| 1 | https://aka.ms |
启动 |
| 2 | https://azurestackreleases.download.prss.microsoft.com |
启动 |
| 3 | https://login.microsoftonline.com |
Arc 注册 |
| 4 | https://<region>.login.microsoft.com |
Arc 注册 |
| 5 | https://management.azure.com |
Arc 注册 |
| 6 | https://gbl.his.arc.azure.com |
Arc 注册 |
| 7 | https://<region>.his.arc.azure.com |
Arc 注册 |
| 8 | https://<region>.obo.arc.azure.com:8084 |
仅适用于某些 AKS 工作负载扩展 |
| 9 | https://<yourarcgatewayId>.gw.arc.azure.com |
Arc 网关 |
| 10 | https://<yourkeyvaultname>.vault.azure.net |
Azure Key Vault |
| 11 | https://<yourblobstorageforcloudwitnessname>.blob.core.windows.net |
云见证存储帐户 |
| 12 | http://ocsp.digicert.com |
Arc 扩展的证书吊销列表 |
| 13 | http://s.symcd.com |
Arc 扩展的证书吊销列表 |
| 14 | http://ts-ocsp.ws.symantec.com |
Arc 扩展的证书吊销列表 |
| 15 | http://ocsp.globalsign.com |
Arc 扩展的证书吊销列表 |
| 16 | http://ocsp2.globalsign.com |
Arc 扩展的证书吊销列表 |
| 十七 | http://oneocsp.microsoft.com |
Arc 扩展的证书吊销列表 |
| 18 | http://crl.microsoft.com/pkiinfra |
Arc 扩展的证书吊销列表 |
| 19 | https://dl.delivery.mp.microsoft.com |
从第 2504 个新部署开始不再需要。 Windows 更新 |
| 20 | https://*.tlu.dl.delivery.mp.microsoft.com |
从第 2506 次新部署开始就不再需要。 Windows 更新 |
| 21 | https://*.windowsupdate.com |
从第2506个新部署开始将不再需要。 Windows 更新 |
| 22 | https://*.windowsupdate.microsoft.com |
从第2506次新部署开始,不再需要。 Windows 更新 |
| 23 | https://*.update.microsoft.com |
从第 2506 个新部署开始,不再需要。 Windows 更新 |
限制和局限
Arc 网关在此版本中具有以下限制:
- Arc 网关不支持传输层安全性(TLS)终止代理。
- Arc 网关不支持将 ExpressRoute、站点到站点 VPN 或专用终结点与 Arc 网关结合使用。
在 Azure 中创建 Arc 网关资源
你可以使用 Azure 门户、Azure CLI 或 Azure PowerShell 创建 Arc 网关资源。
- 登录到 Azure 门户。
- 转到 Azure Arc > Azure Arc 网关 页,然后选择“ 创建”。
- 选择您计划在其中部署 Azure 本地实例的订阅。
- 对于“名称”,输入 Arc 网关资源的名称。
- 对于“位置”,输入 Arc 网关资源应位于的区域。 一个 Arc 网关资源可供同一 Azure 租户中任何启用了 Arc 的资源使用。
- 选择“下一步”。
- 在“标记”页面上,指定一个或多个自定义标记以符合你的标准。
- 选择“查看 + 创建”。
- 查看你的详细信息,然后选择“创建”。
网关创建过程需要 9 到 10 分钟才能完成。
从计算机分离 Arc 网关或更改该关联
要将网关资源与你启用了 Arc 的服务器分离,将网关资源 ID 设置为 null。 若要将已启用 Arc 的服务器附加到另一个 Arc 网关资源,请使用新的 Arc 网关信息更新名称和资源 ID:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-enabled server name> --gateway-resource-id "
删除 Arc 网关资源
在删除 Arc 网关资源之前,请确保没有附加任何设备。 要删除网关资源,请运行以下命令:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
此操作可能需要几分钟时间。
后续步骤
此功能仅在 Azure 本地版本 2506 或更高版本中可用。