Simplifier les exigences de configuration réseau avec la passerelle Azure Arc (préversion)
Si vous utilisez des proxys d’entreprise pour gérer le trafic sortant, la passerelle Azure Arc peut vous aider à simplifier le processus d’activation de la connectivité.
La passerelle Azure Arc (actuellement en préversion) vous permet de :
- Vous connecter à Azure Arc en ouvrant l’accès au réseau public à seulement sept noms de domaine complets (FQDN).
- Voir et auditer tout le trafic que les agents Arc envoient à Azure via la passerelle Arc.
Important
La passerelle Azure Arc est actuellement en préversion.
Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.
Fonctionnement de la passerelle Azure Arc
La passerelle Arc fonctionne en introduisant deux nouveaux composants :
- La ressource de passerelle Arc est une ressource Azure qui sert de serveur frontal commun pour le trafic Azure. Cette ressource de passerelle est servie sur un domaine/une URL spécifique. Vous devez créer cette ressource en suivant les étapes décrites dans cet article. Une fois que vous avez créé la ressource de passerelle, ce domaine/cette URL est inclus dans la confirmation de réussite.
- Le proxy Arc est un nouveau composant qui s’exécute en tant que son propre pod (appelé proxy Azure Arc). Ce composant agit comme un proxy de transfert utilisé par les agents et extensions Azure Arc. Aucune configuration n’est nécessaire de votre part pour le Proxy Azure Arc.
Pour plus d’informations, consultez le fonctionnement de la passerelle Azure Arc.
Important
Azure Local et AKS ne prennent pas en charge les proxys d’arrêt TLS, expressRoute/vpn de site à site ou points de terminaison privés. En outre, il existe une limite de cinq ressources de passerelle Arc par abonnement Azure.
Avant de commencer
Veillez à remplir les conditions préalables à la création de clusters AKS sur Azure Local.
Cet article nécessite la version 1.4.23 ou ultérieure d’Azure CLI. Si vous utilisez Azure CloudShell, la dernière version est déjà installée.
Les autorisations Azure suivantes sont requises pour créer des ressources de passerelle Arc et gérer leur association avec des clusters AKS Arc :
Microsoft.Kubernetes/connectedClusters/settings/default/writeMicrosoft.hybridcompute/gateways/readMicrosoft.hybridcompute/gateways/write
Vous pouvez créer une ressource de passerelle Arc à l’aide d’Azure CLI ou du Portail Azure. Pour plus d’informations sur la création d’une ressource de passerelle Arc pour vos clusters AKS et Azure Local, consultez créer la ressource de passerelle Arc dans Azure. Lorsque vous créez la ressource de passerelle Arc, obtenez l’ID de ressource de passerelle en exécutant la commande suivante :
$gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
Vérifier l’accès aux URL nécessaires
Vérifiez que votre URL de passerelle Arc et toutes les URL ci-dessous sont autorisées via votre pare-feu d’entreprise :
| URL | Objectif |
|---|---|
[Your URL prefix].gw.arc.azure.com |
Votre URL de passerelle. Vous pouvez obtenir cette URL en cours d’exécution az arcgateway list après avoir créé la ressource. |
management.azure.com |
Point de terminaison Azure Resource Manager requis pour le canal de contrôle Azure Resource Manager. |
<region>.obo.arc.azure.com |
Obligatoire quand az connectedk8s proxy il est utilisé. |
login.microsoftonline.com, <region>.login.microsoft.com |
Point de terminaison Microsoft Entra ID, utilisé pour l’acquisition de jetons d’accès d’identité. |
gbl.his.arc.azure.com, <region>.his.arc.azure.com |
Point de terminaison de service cloud pour communiquer avec les agents Arc. Utilise des noms courts ; par exemple eus pour usa Est. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Requis pour extraire des images conteneurs pour les agents Azure Arc. |
Créer un cluster AKS Arc avec la passerelle Arc activée
Exécutez la commande suivante pour créer un cluster AKS Arc avec la passerelle Arc activée :
az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys
Mettre à jour un cluster AKS Arc et activer la passerelle Arc
Exécutez la commande suivante pour mettre à jour un cluster AKS Arc et activer la passerelle Arc :
az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId
Désactiver la passerelle Arc sur un cluster AKS Arc
Exécutez la commande suivante pour désactiver un cluster AKS Arc :
az aksarc update -n $clusterName -g $resourceGroup --disable-gateway
Surveiller le trafic
Pour auditer le trafic de votre passerelle, consultez les journaux du routeur de passerelle :
- Exécutez
kubectl get pods -n azure-arc. - Identifiez le pod Proxy Arc (son nom commence par
arc-proxy-). - Exécutez
kubectl logs -n azure-arc <Arc Proxy pod name>.
Autres scénarios
Pendant la préversion publique, la passerelle Arc couvre les points de terminaison requis pour les clusters AKS Arc et une partie des points de terminaison requis pour des scénarios supplémentaires avec Arc. En fonction des scénarios que vous adoptez, des points de terminaison supplémentaires doivent toujours être autorisés dans votre proxy.
Tous les points de terminaison listés pour les scénarios suivants doivent être autorisés dans votre proxy d’entreprise quand vous utilisez la passerelle Arc :
- Container Insights dans Azure Monitor :
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
- Azure Key Vault :
<vault-name>.vault.azure.net
- Azure Policy :
data.policy.core.windows.netstore.policy.core.windows.net
- Microsoft Defender pour les conteneurs :
*.ods.opinsights.azure.com*.oms.opinsights.azure.com
- Services de données avec Azure Arc
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
Étapes suivantes
- Déployer l’extension pour les clusters Kubernetes avec MetalLB pour Azure Arc.