Azure Arc ゲートウェイ (プレビュー) を使用してネットワーク構成要件を簡略化する
エンタープライズ プロキシを使用して送信トラフィックを管理する場合、Azure Arc ゲートウェイは接続を有効にするプロセスを簡略化するのに役立ちます。
Azure Arc ゲートウェイ (現在プレビュー段階) では、次のことができます。
- 7 つの完全修飾ドメイン名 (FQDN) にのみ公衆ネットワーク アクセスを開いて、Azure Arc に接続します。
- Arc エージェントが Arc ゲートウェイ経由で Azure に送信するすべてのトラフィックを表示および監査します。
重要
Azure Arc ゲートウェイは現在プレビュー段階です。
ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Azure Arc ゲートウェイのしくみ
Arc ゲートウェイは、次の 2 つの新しいコンポーネントを導入することによって機能します。
- Arc ゲートウェイ リソースは、Azure トラフィックの共通フロントエンドとして機能する Azure リソースです。 ゲートウェイ リソースは、特定のドメイン/URL 上で提供されます。 このリソースは、この記事で説明されている手順に従って作成する必要があります。 ゲートウェイ リソースが正常に作成されると、このドメイン/URL が成功時の応答の中に含まれます。
- Arc Proxy は、独自のポッド (Azure Arc プロキシと呼ばれます) として実行される新しいコンポーネントです。 このコンポーネントは、Azure Arc エージェントと拡張機能によって使用される、転送プロキシとして機能します。 Azure Arc プロキシに対して、ユーザー側で構成する必要はありません。
詳細については、Azure Arc ゲートウェイ しくみを参照してください。
重要
Azure Local および AKS では、TLS 終端プロキシ、ExpressRoute/サイト間 VPN、またはプライベート エンドポイントはサポートされていません。 また、Azure サブスクリプションあたり 5 つの Arc ゲートウェイ リソースに制限があります。
開始する前に
Azure Local で AKS クラスターを作成するための 前提条件を満たしていることを確認。
この記事では、Azure CLI のバージョン 1.4.23 以降が必要です。 Azure CloudShell を使用する場合は、最新バージョンが既にインストールされています。
Arc ゲートウェイ リソースを作成し、AKS Arc クラスターとの関連付けを管理するには、次の Azure アクセス許可が必要です。
Microsoft.Kubernetes/connectedClusters/settings/default/writeMicrosoft.hybridcompute/gateways/readMicrosoft.hybridcompute/gateways/write
Arc ゲートウェイ リソースは、Azure CLI または Azure portal を使用して作成できます。 AKS クラスターと Azure Local の Arc ゲートウェイ リソースを作成する方法の詳細については、「Azure で Arc ゲートウェイ リソースを作成を参照してください。 Arc ゲートウェイ リソースを作成するときに、次のコマンドを実行してゲートウェイ リソース ID を取得します。
$gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
必要な URL へのアクセスを確認する
Arc ゲートウェイの URL と以下のすべての URL がエンタープライズ ファイアウォール経由で許可されていることを確認します。
| URL | 目的 |
|---|---|
[Your URL prefix].gw.arc.azure.com |
ゲートウェイ URL。 この URL は、リソースの作成後に az arcgateway list を実行することで取得できます。 |
management.azure.com |
Azure Resource Manager コントロール チャネルに必要な Azure Resource Manager エンドポイント。 |
<region>.obo.arc.azure.com |
az connectedk8s proxyを使用する場合に必要です。 |
login.microsoftonline.com, <region>.login.microsoft.com |
ID アクセス トークンを取得するために使用される Microsoft Entra ID エンドポイント。 |
gbl.his.arc.azure.com, <region>.his.arc.azure.com |
Arc エージェントと通信するためのクラウド サービス エンドポイント。 短い名前を使用します。たとえば、米国東部の eus などです。 |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Azure Arc エージェント用のコンテナー イメージをプルするために必要です。 |
Arc ゲートウェイを有効にして AKS Arc クラスターを作成する
次のコマンドを実行して、Arc ゲートウェイが有効になっている AKS Arc クラスターを作成します。
az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys
AKS Arc クラスターを更新し、Arc ゲートウェイを有効にする
次のコマンドを実行して AKS Arc クラスターを更新し、Arc ゲートウェイを有効にします。
az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId
AKS Arc クラスターで Arc ゲートウェイを無効にする
AKS Arc クラスターを無効にするには、次のコマンドを実行します。
az aksarc update -n $clusterName -g $resourceGroup --disable-gateway
トラフィックを監視
ゲートウェイ トラフィックを監査するには、ゲートウェイ ルーターのログを表示します。
kubectl get pods -n azure-arcを実行します。- Arc プロキシ ポッドを特定します (その名前は
arc-proxy-で始まります)。 kubectl logs -n azure-arc <Arc Proxy pod name>を実行します。
その他のシナリオ
パブリック プレビュー期間中、Arc ゲートウェイには、AKS Arc クラスターに必要なエンドポイントと、追加の Arc 対応シナリオに必要なエンドポイントの一部が含まれます。 採用するシナリオに基づいて、プロキシで追加のエンドポイントを引き続き許可する必要があります。
Arc ゲートウェイが使用されている場合は、次のシナリオに記載されているすべてのエンドポイントを、エンタープライズ プロキシ内で許可する必要があります。
- Azure Monitor 内のコンテナー分析情報:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
- Azure Key Vault:
<vault-name>.vault.azure.net
- Azure Policy:
data.policy.core.windows.netstore.policy.core.windows.net
- Microsoft Defender for Containers:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com
- Azure Arc 対応データ サービス
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com