Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La característica de proxy explícito de Azure Firewall puede enrutar todo el tráfico de Azure Arc de forma segura a través de la conexión privada (ExpressRoute o VPN de sitio a sitio) a Azure. Esta característica le permite usar Azure Arc sin exponer el entorno local a la red pública de Internet.
En este artículo se explican los pasos para configurar Azure Firewall con la característica Proxy Explicito como proxy de reenvío directo para los servidores habilitados con Arc o los recursos de Kubernetes.
Importante
El proxy explícito de Azure Firewall está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Funcionamiento de la característica de proxy explícito de Azure Firewall
Los agentes de Azure Arc pueden usar un proxy de reenvío para conectarse a los servicios de Azure. La característica de proxy explícito de Azure Firewall permite usar una instancia de Azure Firewall dentro de la red virtual (VNet) como proxy de reenvío para los agentes de Arc.
Como el proxy explícito de Azure Firewall funciona dentro de la red virtual privada y tiene una conexión segura a ella a través de ExpressRoute o VPN de sitio a sitio, todo el tráfico de Azure Arc se puede enrutar a su destino previsto dentro de la red de Microsoft, sin necesidad de acceso público a Internet.
Para descargar diagramas de arquitectura en alta resolución, visite Jumpstart Gems.
Restricciones y limitaciones actuales
- Esta solución usa el proxy explícito de Azure Firewall como proxy de reenvío. La característica de proxy explícito no admite la inspección de TLS.
- Los certificados TLS no se pueden aplicar al proxy explícito de Azure Firewall.
- Esta solución no es compatible actualmente con máquinas virtuales de Azure Local o Azure Arc que se ejecutan en Azure Local.
Costos asociados a Azure Firewall
Los precios de Azure Firewall se basan en las horas de implementación y los datos procesados totales. Puede encontrar detalles sobre los precios de Azure Firewall en la página Precios de Azure Firewall.
Requisitos previos y requisitos de red
Para usar esta solución, debe tener:
- Una red virtual de Azure existente.
- Una conexión existente de ExpressRoute o VPN de sitio a sitio desde su entorno local a su red virtual de Azure.
Configuración de Azure Firewall
Siga estos pasos para habilitar la característica de proxy explícito en Azure Firewall.
Creación del recurso de Azure Firewall
Si tiene una instancia de Azure Firewall existente en la red virtual, puede omitir esta sección. De lo contrario, siga estos pasos para crear un nuevo recurso de Azure Firewall.
- En el explorador, inicie sesión en Azure Portal y vaya a la página Azure Firewalls.
- Seleccione Crear para crear un firewall.
- Escriba la suscripción, el grupo de recursos, el nombre y la región.
- En SKU del firewall, seleccione Estándar o Premium.
- Complete el resto de la pestaña Aspectos básicos según sea necesario para la configuración.
- Seleccione Revisar y crear y, a continuación, seleccione Crear para crear el firewall.
Para obtener más información, consulte Implementación y configuración de Azure Firewall.
Habilitación de la característica de proxy explícito (versión preliminar)
Vaya al recurso de Azure Firewall y, a continuación, vaya a la directiva de firewall.
En Configuración, vaya al panel Proxy explícito (versión preliminar).
Seleccione Habilitar Proxy explícito.
Escriba los valores deseados para los puertos HTTP y HTTPS.
Nota:
Es habitual usar 8080 para el puerto HTTP y 8443 para el puerto HTTPS.
Seleccione Aplicar para guardar los cambios.
Creación de una regla de aplicación
Si desea crear una lista de permitidos para el proxy explícito de Azure Firewall, puede crear opcionalmente una regla de aplicación para permitir la comunicación con los puntos de conexión necesarios para sus escenarios.
- Vaya a la directiva de firewall aplicable.
- En Configuración, vaya al panel Reglas de aplicación.
- Seleccione Agregar una colección de reglas.
- Proporcione un Nombre para la colección de reglas.
- Establezca la regla Prioridad en función de otras reglas que tenga.
- Proporcione un Nombre para la regla.
- En Origen, escriba “*”o cualquier IP de origen que tenga.
- Establezca Protocolo como http:80,https:443.
- Establezca Destino como una lista separada por comas de direcciones URL necesarias para su escenario. Para más información sobre las direcciones URL necesarias, consulte Requisitos de red de Azure Arc.
- Seleccione Agregar para guardar la colección de reglas y la regla.
Establecimiento de Azure Firewall como proxy de reenvío
Siga estos pasos para establecer Azure Firewall como proxy de reenvío para los recursos de Arc.
Servidores habilitados para Arc
Para establecer Azure Firewall como proxy de reenvío al incorporar nuevos servidores de Arc:
- Genere el script de incorporación.
- Establezca Método de conectividad como Servidor proxy y establezca la dirección URL del servidor proxy como
http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>. - Incorpore los servidores mediante el script.
Para establecer el proxy de reenvío para los servidores habilitados para Arc existentes, ejecute el siguiente comando mediante la CLI local del agente de Azure Connected Machine:
azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`
Kubernetes habilitado para Arc
Para establecer Azure Firewall como proxy de reenvío al incorporar nuevos clústeres de Kubernetes, ejecute el comando "connect" con los parámetros especificados proxy-https y proxy-http:
az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port> --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Para establecer el proxy de reenvío para los clústeres de Kubernetes habilitados para Arc existentes, ejecute el siguiente comando:
az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Solución de problemas
Para comprobar que el tráfico se está proxiando correctamente a través del Proxy explícito de Azure Firewall, primero debe asegurarse de que el Proxy explícito es accesible y funciona según lo previsto desde la red. Para ello, ejecute el siguiente comando: curl -x <proxy IP> <target FQDN>
Además, puede ver los registros de reglas de aplicación de Azure Firewall para comprobar el tráfico. El proxy explícito se basa en las reglas de aplicación, por lo que todos los registros están disponibles en la tabla AZFWApplicationRules, como se muestra en este ejemplo:
Integración de Private Link
Puede usar el proxy explícito de Azure Firewall junto con Azure Private Link. Para utilizar estas soluciones conjuntamente, configure su entorno de modo que el tráfico a los puntos de conexión que no admiten Private Link se enrute a través del proxy explícito, al tiempo que permite que el tráfico a los puntos de conexión de Azure Arc que sí admiten Private Link omita el proxy explícito y, en su lugar, enrute el tráfico directamente al punto de conexión privado correspondiente:
- Para servidores habilitados para Azure Private Link para Arc, use la característica de omisión de proxy.
- Para Azure Private Link para Kubernetes habilitado para Arc (versión preliminar), incluya los puntos de conexión de Microsoft Entra ID, Azure Resource Manager, Azure Front Door y Microsoft Container Registry en el intervalo de omisión de proxy del clúster.