Simplifique os requisitos de configuração de rede com o Azure Arc Gateway (visualização)
Se você usar proxies corporativos para gerenciar o tráfego de saída, o gateway do Azure Arc pode ajudar a simplificar o processo de habilitação da conectividade.
O gateway do Azure Arc (atualmente em visualização) permite:
- Conecte-se ao Azure Arc abrindo o acesso à rede pública para apenas sete FQDNs (nomes de domínio totalmente qualificados).
- Visualize e audite todo o tráfego que os agentes do Arc enviam para o Azure por meio do gateway do Arc.
Importante
O gateway do Azure Arc está atualmente em visualização.
Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Como funciona o gateway do Azure Arc
O gateway Arc funciona com a introdução de dois novos componentes:
- O recurso de gateway Arc é um recurso do Azure que serve como um front-end comum para o tráfego do Azure. O recurso de gateway é servido em um domínio/URL específico. Você deve criar esse recurso seguindo as etapas descritas neste artigo. Depois de criar com êxito o recurso de gateway, esse domínio/URL é incluído na resposta de êxito.
- O Arc Proxy é um novo componente que é executado como seu próprio pod (chamado Azure Arc Proxy). Esse componente atua como um proxy de encaminhamento usado por agentes e extensões do Azure Arc. Não há nenhuma configuração necessária de sua parte para o Azure Arc Proxy.
Para obter mais informações, consulte como funciona o gateway do Azure Arc.
Importante
O Azure Local e o AKS não suportam proxies de terminação TLS, ExpressRoute/VPN site a site ou pontos de extremidade privados. Além disso, há um limite de cinco recursos do gateway Arc por assinatura do Azure.
Antes de começar
Certifique-se de concluir os pré-requisitos para criar clusters AKS no Azure Local.
Este artigo requer a versão 1.4.23 ou posterior da CLI do Azure. Se você usa o Azure CloudShell, a versão mais recente já está instalada.
As seguintes permissões do Azure são necessárias para criar recursos de gateway Arc e gerenciar sua associação com clusters AKS Arc:
Microsoft.Kubernetes/connectedClusters/settings/default/writeMicrosoft.hybridcompute/gateways/readMicrosoft.hybridcompute/gateways/write
Você pode criar um recurso de gateway Arc usando a CLI do Azure ou o portal do Azure. Para obter mais informações sobre como criar um recurso de gateway Arc para seus clusters AKS e Azure Local, consulte Criar o recurso de gateway Arc no Azure. Ao criar o recurso Arc gateway, obtenha o ID do recurso do gateway executando o seguinte comando:
$gatewayId = "(az arcgateway show --name <gateway's name> --resource-group <resource group> --query id -o tsv)"
Confirmar o acesso aos URLs necessários
Certifique-se de que o URL do seu gateway Arc e todos os URLs abaixo sejam permitidos através do firewall da sua empresa:
| URL | Propósito |
|---|---|
[Your URL prefix].gw.arc.azure.com |
O URL do seu gateway. Você pode obter essa URL executando az arcgateway list depois de criar o recurso. |
management.azure.com |
Ponto de extremidade do Azure Resource Manager, necessário para o canal de controle do Azure Resource Manager. |
<region>.obo.arc.azure.com |
Necessário quando az connectedk8s proxy é usado. |
login.microsoftonline.com, <region>.login.microsoft.com |
Ponto de extremidade Microsoft Entra ID, usado para adquirir tokens de acesso de identidade. |
gbl.his.arc.azure.com, <region>.his.arc.azure.com |
O ponto de extremidade do serviço de nuvem para comunicação com Arc Agents. Utiliza nomes curtos; por exemplo eus , para o Leste dos EUA. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
Necessário para extrair imagens de contêiner para agentes do Azure Arc. |
Crie um cluster AKS Arc com o gateway Arc ativado
Execute o seguinte comando para criar um cluster AKS Arc com o gateway Arc ativado:
az aksarc create -n $clusterName -g $resourceGroup --custom-location $customlocationID --vnet-ids $arcVmLogNetId --aad-admin-group-object-ids $aadGroupID --gateway-id $gatewayId --generate-ssh-keys
Atualizar um cluster AKS Arc e ativar o gateway Arc
Execute o seguinte comando para atualizar um cluster AKS Arc e ativar o gateway Arc:
az aksarc update -n $clusterName -g $resourceGroup --gateway-id $gatewayId
Desativar o gateway Arc em um cluster AKS Arc
Execute o seguinte comando para desativar um cluster AKS Arc:
az aksarc update -n $clusterName -g $resourceGroup --disable-gateway
Monitore o tráfego
Para auditar o tráfego do gateway, exiba os logs do roteador do gateway:
- Execute o
kubectl get pods -n azure-arc. - Identifique o pod Arc Proxy (seu nome começará com
arc-proxy-). - Execute o
kubectl logs -n azure-arc <Arc Proxy pod name>.
Outros cenários
Durante a visualização pública, o gateway Arc cobre os endpoints necessários para clusters AKS Arc e uma parte dos endpoints necessários para cenários adicionais habilitados para Arc. Com base nos cenários adotados, pontos de extremidade adicionais ainda devem ser permitidos em seu proxy.
Todos os endpoints listados para os seguintes cenários devem ser permitidos em seu proxy corporativo quando o Arc Gateway estiver em uso:
- Informações de contêiner no Azure Monitor:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
- Azure Key Vault:
<vault-name>.vault.azure.net
- Política do Azure:
data.policy.core.windows.netstore.policy.core.windows.net
- Microsoft Defender para contêineres:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com
- Serviços de dados habilitados para Azure Arc
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
Próximos passos
- Implantar extensão para clusters Kubernetes habilitados para MetalLB for Azure Arc.