Condividi tramite

Usare la connettività privata per i cluster Kubernetes abilitati per Arc con un collegamento privato (anteprima)

  • Articolo

Collegamento privato di Azure consente di collegare in modo sicuro i servizi di Azure alla rete virtuale tramite endpoint privati. Ciò significa che è possibile connettere i cluster Kubernetes locali con Azure Arc e inviare tutto il traffico usando una connessione ExpressRoute di Azure o VPN da sito a sito anziché usare reti pubbliche. In Azure Arc è possibile usare un modello di ambito collegamento privato per consentire a più cluster Kubernetes di comunicare con le corrispondenti risorse di Azure Arc tramite un singolo endpoint privato.

Questo documento mostra quando usare e come configurare Collegamento privato di Azure Arc (anteprima).

Importante

La funzionalità Collegamento privato di Azure Arc è attualmente disponibile IN ANTEPRIMA in tutte le aree in cui è presente Kubernetes abilitato per Azure Arc, ad eccezione dell'Asia sud-orientale. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Vantaggi

Con il collegamento privato è possibile:

  • Connettersi privatamente ad Azure Arc senza aprire alcun accesso alla rete pubblica.
  • Assicurarsi che i dati del cluster Kubernetes abilitato per Arc siano accessibili solo tramite reti private autorizzate.
  • Impedire l'esfiltrazione di dati dalle reti private definendo cluster Kubernetes specifici abilitati per Azure Arc e altre risorse dei servizi di Azure, ad esempio Monitoraggio di Azure, che si connette tramite l'endpoint privato.
  • Connettere in modo sicuro la rete locale privata ad Azure Arc usando ExpressRoute e il collegamento privato.
  • Mantenere tutto il traffico all'interno della rete backbone di Microsoft Azure.

Per altre informazioni, vedere Vantaggi principali di Collegamento privato di Azure.

Funzionamento

L'ambito collegamento privato di Azure Arc connette gli endpoint privati (e le reti virtuali in cui sono contenuti) a una risorsa di Azure, in questo caso i cluster Kubernetes abilitati per Azure Arc. Quando si abilita un'estensione del cluster Kubernetes abilitata per Arc, è possibile che sia necessaria la connessione ad altre risorse di Azure per questi scenari. Ad esempio, con Monitoraggio di Azure, i log raccolti dal cluster vengono inviati all'area di lavoro Log Analytics.

La connettività alle altre risorse di Azure da un cluster Kubernetes abilitato per Arc elencata in precedenza richiede la configurazione di un collegamento privato per ogni servizio. Per un esempio, vedere Collegamento privato per Monitoraggio di Azure.

Limitazioni correnti

Prendere in considerazione queste limitazioni correnti durante la pianificazione della configurazione del collegamento privato.

  • È possibile associare un solo ambito di azure Arc collegamento privato a una rete virtuale.

  • Un cluster Kubernetes abilitato per Azure Arc può connettersi solo a un ambito collegamento privato di Azure Arc.

  • Tutti i cluster Kubernet locali devono usare lo stesso endpoint privato risolvendo le informazioni corrette sull'endpoint privato (nome di record FQDN e indirizzo IP privato) tramite lo stesso server d'inoltro DNS. Per altre informazioni, vedere Valori della zona DNS privata dell'endpoint privato di Azure. Il cluster Kubernetes abilitato per Azure Arc, l'ambito collegamento privato di Azure Arc e la rete virtuale devono trovarsi nella stessa area di Azure. Anche l'endpoint privato e la rete virtuale devono trovarsi nella stessa area di Azure, anche se questa area può essere diversa da quella dell'ambito collegamento privato di Azure Arc e del cluster Kubernetes abilitato per Arc.

  • Il traffico verso Microsoft Entra ID, Azure Resource Manager e i tag del servizio Registro Azure Container deve essere consentito tramite il firewall di rete locale durante l'anteprima.

  • Altri servizi di Azure usati, ad esempio Monitoraggio di Azure, possono richiedere i propri endpoint privati nella rete virtuale.

    Nota

    La funzionalità Cluster Connect (e quindi la posizione personalizzata) non è attualmente supportata nei cluster Kubernetes abilitati per Azure Arc con connettività privata abilitata. La connettività di rete tramite collegamenti privati per i servizi di Azure Arc, ad esempio i servizi dati abilitati per Azure Arc e i servizi app abilitati per Azure Arc che usano queste funzionalità, non sono attualmente supportati.

Nei cluster Kubernetes abilitati per Azure Arc configurati con collegamenti privati, queste estensioni supportano la connettività end-to-end tramite collegamenti privati:

Per connettere il cluster Kubernetes ad Azure Arc tramite un collegamento privato, configurare la rete come indicato di seguito:

  1. Stabilire una connessione tra la rete locale e una rete virtuale di Azure usando un VPN da sito a sito o circuito ExpressRoute.
  2. Distribuire un ambito di azure Arc collegamento privato, che controlla quali cluster Kubernetes possono comunicare con Azure Arc tramite endpoint privati e associarlo alla rete virtuale di Azure usando un endpoint privato.
  3. Aggiornare la configurazione DNS nella rete locale per risolvere gli indirizzi dell'endpoint privato.
  4. Configurare il firewall locale per consentire l'accesso a Microsoft Entra ID, Azure Resource Manager e Registro Azure Container.
  5. Associare l’ambito collegamento privato di Azure Arc ai cluster Kubernetes abilitati per Azure Arc.
  6. Facoltativamente, distribuire endpoint privati per altri servizi di Azure usati con il cluster Kubernetes abilitato per Azure Arc, ad esempio Monitoraggio di Azure.

Il resto di questo articolo presuppone che sia già stato configurato il circuito ExpressRoute o la connessione VPN da sito a sito.

Configurazione di rete

Kubernetes abilitato per Azure Arc si integra con diversi servizi di Azure per portare la gestione e la governance del cloud nei cluster Kubernetes ibridi. La maggior parte di questi servizi offre già endpoint privati. Tuttavia, è necessario configurare il firewall e le regole di routing per consentire l'accesso a Microsoft Entra ID e Azure Resource Manager tramite Internet fino a quando tali servizi non offrono endpoint privati. È anche necessario consentire l'accesso a Registro Azure Container (e AzureFrontDoor.FirstParty come precursore del Registro Azure Container) per eseguire il pull di immagini e grafici Helm per abilitare i servizi come Monitoraggio di Azure e per la configurazione iniziale degli agenti di Azure Arc nei cluster Kubernetes.

Esistono due modi per abilitare questa configurazione:

  • Se la rete è configurata per instradare tutto il traffico associato a Internet attraverso la VPN di Azure o il circuito ExpressRoute, è possibile configurare il gruppo di sicurezza di rete (NSG) associato alla subnet in Azure per consentire l'accesso TCP 443 (HTTPS) in uscita a Microsoft Entra ID, Azure Resource Manager, Frontdoor di Azure e Registro Contenitori Microsoft usando i tag del servizio. Le regole del gruppo di sicurezza di rete dovrebbero essere simili alle seguenti:

    Impostazione Regola Microsoft Entra ID Ruolo di Azure Resource Manager Regola di AzureFrontDoorFirstParty Regola di Registro Container Microsoft
    Origine Rete virtuale Rete virtuale Rete virtuale Rete virtuale
    Intervalli di porte di origine * * * *
    Destinazione Tag del servizio Tag del servizio Tag del servizio Tag del servizio
    Tag del servizio di destinazione AzureActiveDirectory AzureResourceManager AzureFrontDoor.FirstParty MicrosoftContainerRegistry
    Intervalli porte di destinazione 443 443 443 443
    Protocollo TCP TCP TCP TCP
    Azione Consenti Consenti Consenti (sia in ingresso che in uscita) Consenti
    Priorità 150 (deve essere inferiore a qualsiasi regola che blocca l'accesso a Internet) 151 (deve essere inferiore a qualsiasi regola che blocca l'accesso a Internet) 152 (deve essere inferiore a qualsiasi regola che blocca l'accesso a Internet) 153 (deve essere inferiore a qualsiasi regola che blocca l'accesso a Internet)
    Nome AllowAADOutboundAccess AllowAzOutboundAccess AllowAzureFrontDoorFirstPartyAccess AllowMCROutboundAccess

  • In alternativa, configurare il firewall nella rete locale per consentire l'accesso TCP 443 (HTTPS) in uscita a Microsoft Entra ID, Azure Resource Manager e Registro Contenitori Microsoft e l'accesso in ingresso e in uscita all'uso AzureFrontDoor.FirstParty dei file di tag del servizio scaricabili. Il file JSON contiene tutti gli intervalli di indirizzi IP pubblici usati da Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstPartye Registro Contenitori Microsoft e viene aggiornato mensilmente per riflettere eventuali modifiche. Il tag del servizio Microsoft Entra è AzureActiveDirectory, il tag di servizio di Azure Resource Manager è AzureResourceManager, il tag di servizio di Registro Azure Container è MicrosoftContainerRegistrye il tag di servizio di Frontdoor di Azure è AzureFrontDoor.FirstParty. Consultare l'amministratore di rete e il fornitore del firewall di rete per informazioni su come configurare le regole del firewall.

  1. Accedere al portale di Azure.

  2. Passare a Creare una risorsa nella portale di Azure e cercare Azure Arc collegamento privato Ambito, quindi selezionare Crea. In alternativa, passare direttamente alla pagina Ambiti di collegamento privato di Azure Arc nella portale di Azure e quindi selezionare Crea ambito collegamento privato di Azure Arc.

  3. Selezionare un sottoscrizione e un gruppo di risorse. Durante l'anteprima, la rete virtuale e i cluster Kubernetes abilitati per Azure Arc devono rientrare nella stessa sottoscrizione dell'ambito collegamento privato di Azure Arc.

  4. Assegnare un nome all'ambito collegamento privato di Azure Arc.

  5. Per richiedere a ogni cluster Kubernetes abilitato per Arc associato a questo ambito di Azure Arc collegamento privato inviare dati al servizio tramite l'endpoint privato, selezionare Consenti l'accesso alla rete pubblica. In questo caso, i cluster Kubernetes associati a questo ambito di Azure Arc collegamento privato possono comunicare con il servizio su reti private o pubbliche. È possibile modificare questa impostazione dopo aver creato l’ambito.

    Screenshot della schermata che mostra la creazione dell'ambito collegamento privato di Azure Arc nel portale di Azure.

  6. Selezionare Rivedi e crea.

  7. Al termine della convalida selezionare Crea.

Creare un endpoint privato

Dopo aver creato l'ambito collegamento privato di Azure Arc, è necessario connetterlo a una o più reti virtuali tramite un endpoint privato. L'endpoint privato espone l'accesso ai servizi di Azure Arc in un indirizzo IP privato dello spazio di indirizzi della rete virtuale.

L'endpoint privato nella rete virtuale consente di raggiungere gli endpoint dei cluster Kubernetes abilitati per Azure Arc tramite indirizzi IP privati dal pool della rete, anziché usare gli indirizzi IP pubblici di questi endpoint. Ciò consente di continuare a usare i cluster Kubernetes abilitati per Azure Arc senza aprire la rete virtuale per il traffico in uscita non richiesto. Il traffico dall'endpoint privato alle risorse passa attraverso Microsoft Azure e non viene instradato alle reti pubbliche.

  1. Nel portale di Azure passare alla risorsa Ambito collegamento privato di Azure Arc.

  2. Nel menu delle risorse, in Configura selezionare Connessioni endpoint privato.

  3. Selezionare Aggiungi per avviare il processo di creazione dell'endpoint. È anche possibile approvare le connessioni avviate nel Centro collegamento privato selezionandole e facendo clic su Approva.

    Screenshot del portale di Azure che mostra la schermata Connessioni endpoint privati.

  4. Selezionare la sottoscrizione e il gruppo di risorse e immettere un nome per l'endpoint. Selezionare la stessa area della rete virtuale.

  5. Selezionare Avanti: Risorsa.

  6. Nella pagina Risorsa, se questi valori non sono già selezionati, eseguire le operazioni seguenti:

    1. Selezionare la sottoscrizione che contiene la risorsa Ambito collegamento privato di Azure Arc.
    2. In Tipo di risorsa scegliere Microsoft.HybridCompute/privateLinkScopes.
    3. In Risorsa scegliere l'ambito di azure Arc collegamento privato creato in precedenza.
    4. Selezionare Avanti: Rete virtuale.

  7. Nella pagina Rete virtuale:

    1. Selezionare la rete virtuale e la subnet da cui connettersi ai cluster Kubernetes abilitati per Azure Arc.
    2. Selezionare Avanti: DNS.

  8. Nella pagina DNS :

    1. Per Integrazione con zona DNS privata, scegliere . Viene creata una nuova zona DNS privato.

      In alternativa, se si preferisce gestire manualmente i record DNS, selezionare No, quindi completare la configurazione del collegamento privato, incluso questo endpoint privato e la configurazione dell'ambito privato. Configurare quindi il DNS in base alle istruzioni riportate in Valori di zona DNS privato dell'endpoint privato di Azure. Assicurarsi di non creare record vuoti come preparazione per la configurazione del collegamento privato. I record DNS creati possono sostituire le impostazioni esistenti e influire sulla connettività con i cluster Kubernetes abilitati per Azure Arc.

      Importante

      La stessa zona VNET/DNS non può essere usata per entrambe le risorse Arc usando un collegamento privato e quelle che non usano il collegamento privato. Le risorse Arc che non sono connesse al collegamento privato devono essere risolte in endpoint pubblici.

    2. Selezionare Rivedi e crea.

    3. Superare la convalida.

    4. Seleziona Crea.

Configurare l'inoltro DNS locale

I cluster Kubernetes locali devono essere in grado di risolvere i record DNS del collegamento privato negli indirizzi IP dell'endpoint privato. I passaggi di configurazione variano a seconda che si usino zone DNS private di Azure per gestire i record DNS o il proprio server DNS locale.

Configurazione DNS con zone DNS private integrate in Azure

Se è stata selezionata l'opzione per l'integrazione con la zona DNS privata durante la creazione dell'endpoint privato, i cluster Kubernetes locali devono essere in grado di inoltrare le query DNS ai server DNS di Azure predefiniti per risolvere correttamente gli indirizzi dell'endpoint privato. È necessario un server d'inoltro DNS in Azure (una macchina virtuale predefinita o un'istanza di Firewall di Azure con proxy DNS abilitato), dopodiché è possibile configurare il server DNS locale per inoltrare le query ad Azure per risolvere gli indirizzi IP dell'endpoint privato.

Per altre informazioni, vedere Resolver privato di Azure con server d'inoltro DNS locale.

Configurazione manuale del server DNS

Se si è scelto esplicitamente di usare zone DNS private di Azure durante la creazione di endpoint privati, è necessario creare i record DNS necessari nel server DNS locale.

  1. Nella portale di Azure passare alla risorsa endpoint privato associata alla rete virtuale e all'ambito del collegamento privato.
  2. Dal menu del servizio, in Impostazioni selezionare Configurazione DNS per visualizzare un elenco dei record DNS e degli indirizzi IP corrispondenti che è necessario configurare nel server DNS. I nomi di dominio completo e gli indirizzi IP cambieranno in base all'area selezionata per l'endpoint privato e agli indirizzi IP disponibili nella subnet.
  3. Seguire le indicazioni del fornitore del server DNS per aggiungere le zone DNS necessarie e i record A necessari in modo che corrispondano alla tabella nel portale. Assicurarsi di selezionare un server DNS con ambito appropriato per la rete. Ogni cluster Kubernet che usa il server DNS risolve ora gli indirizzi IP dell'endpoint privato e deve essere associato all'ambito collegamento privato di Azure Arc altrimenti la connessione verrà rifiutata.

Nota

La configurazione dei collegamenti privati per i cluster Kubernetes abilitati per Azure Arc è supportata a partire dalla versione 1.3.0 dell'estensione dell'interfaccia della riga di comando connectedk8s, ma richiede la versione dell'interfaccia della riga di comando di Azure successiva alla 2.3.0. Se si usa una versione successiva alla 1.3.0 per l'estensione dell'interfaccia della riga di comando connectedk8s, sono state introdotte le convalide per verificare e connettere correttamente il cluster ad Azure Arc solo se si esegue la versione dell'interfaccia della riga di comando di Azure successiva alla 2.3.0.

È possibile configurare collegamenti privati per un cluster Kubernetes abilitato per Azure Arc esistente o durante l'onboarding di un cluster Kubernetes in Azure Arc per la prima volta usando il comando seguente:

az connectedk8s connect -g <resource-group-name> -n <connected-cluster-name> -l <location> --enable-private-link true --private-link-scope-resource-id <pls-arm-id>
Nome parametro Descrizione
--enable-private-link Abilita la funzionalità collegamento privato se impostata su True.
--private-link-scope-resource-id ID della risorsa dell'ambito collegamento privato creata in precedenza. Ad esempio: /subscriptions//resourceGroups//providers/Microsoft.HybridCompute/privateLinkScopes/

Per i cluster Kubernetes abilitati per Azure Arc configurati prima di configurare l'ambito del collegamento privato di Azure Arc, configurare i collegamenti privati nella portale di Azure seguendo questa procedura:

  1. Nel portale di Azure passare alla risorsa Ambito collegamento privato di Azure Arc.
  2. Nel menu del servizio, in Configura selezionare Risorse di Azure Arc. Quindi selezionare Aggiungi.
  3. Tutti i cluster Kubernetes abilitati per Arc verranno visualizzati nella stessa sottoscrizione e nella stessa area dell'ambito di collegamento privato. Selezionare la casella per ogni cluster Kubernetes da associare all'ambito collegamento privato. Al termine, scegliere Seleziona per salvare le modifiche.

Risoluzione dei problemi

In caso di problemi, possono essere utili i suggerimenti seguenti:

  • Controllare il server DNS locale per verificare che sia in corso l'inoltro a DNS di Azure oppure sia configurato con i record A appropriati nella zona di collegamento privato. Questi comandi di ricerca devono restituire indirizzi IP privati nella rete virtuale di Azure. Se risolvono gli indirizzi IP pubblici, controllare la configurazione DNS del server e della rete.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
nslookup dp.kubernetesconfiguration.azure.com

  • Per problemi di onboarding del cluster Kubernetes, verificare di aver aggiunto l'ID Microsoft Entra, Azure Resource Manager, AzureFrontDoor.FirstParty e i tag del servizio Registro Azure Container al firewall di rete locale.

Per altri suggerimenti per la risoluzione dei problemi, vedere Risolvere i problemi di connettività dell'endpoint privato di Azure.

Passaggi successivi