Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Si usa servidores proxy empresariales para administrar el tráfico saliente, la puerta de enlace de Azure Arc le permite incorporar la infraestructura a Azure Arc mediante solo siete puntos de conexión. Con la puerta de enlace de Azure Arc, puede hacer lo siguiente:
- Conéctese a Azure Arc permitiendo el acceso de red pública solo a siete nombres de dominio completamente calificados.
- Vea y audite todo el tráfico que un agente de Azure Connected Machine envía a Azure a través de la puerta de enlace de Azure Arc.
Note
La creación de puerta de enlace de Arc se ve afectada actualmente por los cambios temporales de Azure Front Door. La creación de recursos puede tardar hasta 2 horas y puede exceder el tiempo de espera, lo que genera fallos. Si se produce un error en la creación de recursos, vuelva a intentar la creación de recursos de puerta de enlace de Arc.
Funcionamiento de la puerta de enlace de Azure Arc
La puerta de enlace de Azure Arc consta de dos componentes principales:
- Recurso de puerta de enlace de Azure Arc: Un recurso de Azure que actúa como front-end común para el tráfico de Azure. Este recurso de puerta de enlace se sirve en un dominio específico. Una vez creado el recurso de puerta de enlace de Azure Arc, se le devuelve el dominio en la respuesta satisfactoria.
- Proxy de Azure Arc: Nuevo componente agregado a los agentes de Azure Arc. Este componente se ejecuta en el contexto de un recurso habilitado para Azure Arc como servicio denominado proxy de Azure Arc. Actúa como proxy de reenvío que usan los agentes y extensiones de Azure Arc. No se requiere ninguna configuración por su parte para este proxy.
Cuando la puerta de enlace está implementada, el tráfico fluye a través de los agentes de Azure Arc, el >, el proxy empresarial, la > y hacia el servicio de destino. Para obtener más información, consulte Protocolo de reenvío de puerta de enlace de Azure Arc.
Para descargar diagramas de arquitectura en alta resolución, visite Jumpstart Gems.
Limitaciones actuales
La puerta de enlace de Azure Arc tiene las siguientes limitaciones actuales. Tenga en cuenta estos factores al planear la configuración:
- La omisión de proxy no se admite cuando la puerta de enlace de Azure Arc está en uso. Incluso si intenta usar la función ejecutando
azcmagent config set proxy.bypass, el tráfico no puede omitir el proxy. - Cada suscripción de Azure tiene un límite de cinco recursos de puerta de enlace de Azure Arc.
- La puerta de enlace de Azure Arc solo se usa para la conectividad en la plataforma de nube pública de Azure.
- No se recomienda usar la puerta de enlace de Azure Arc en entornos donde se requiera la terminación o inspección de Transport Layer Security (TLS). Si el entorno requiere la terminación o inspección de TLS, se recomienda omitir la inspección de TLS para el punto de conexión de Gateway de Azure Arc (
<Your URL prefix>.gw.arc.azure.com). Para más información, consulte puerta de enlace de Azure Arc e inspección de TLS.
Aunque la puerta de enlace de Azure Arc proporciona la conectividad necesaria para usar servidores habilitados para Azure Arc, es posible que tenga que permitir manualmente más puntos de conexión en su entorno para usar algunas extensiones y servicios con las máquinas conectadas. Para más información, consulte Más escenarios. Con el tiempo, la puerta de enlace de Azure Arc va cubriendo gradualmente más puntos de conexión y elimina aún más la necesidad de estos permisos manuales.
Planeamiento de la configuración de la puerta de enlace de Azure Arc
- Opción de región: la puerta de enlace de Azure Arc es un servicio global. La conectividad en ejecución se entrega a través de la red perimetral global de Azure Front Door, que redirige automáticamente a los clientes al punto de presencia más cercano para un acceso de baja latencia y una conmutación por error sin interrupciones. La región que seleccione al crear la puerta de enlace solo determina el plano de control. Esta es la región en la que residen los metadatos de administración y recursos de puerta de enlace y donde se producen acciones de creación, actualización y eliminación. La región que elija no restringe el rendimiento ni los puntos de conexión en tiempo de ejecución de la puerta de enlace. Por ejemplo, elegir Este de EE. UU. frente a Oeste de Europa no cambia dónde se conectan los clientes en tiempo de ejecución. Afecta solo a la ubicación del plano de administración y a la política o a la localidad del control de acceso basado en roles.
- Recursos habilitados para Azure Arc por recurso de puerta de enlace de Azure Arc: al planear la implementación de Azure Arc con la puerta de enlace de Azure Arc, debe determinar cuántos recursos de puerta de enlace son necesarios para su entorno. Esta cantidad depende del número de recursos que planea administrar en cada región de Azure. Solo para los servidores habilitados para Azure Arc, una regla general es que un recurso de puerta de enlace de Azure Arc puede controlar 2000 recursos por región de Azure. Puede usar la puerta de enlace de Azure Arc con una combinación de servidores habilitados para Azure Arc, clústeres de Kubernetes habilitados para Azure Arc e instancias locales de Azure. La fórmula que proporcionamos puede ayudarle a calcular el número de recursos de puerta de enlace de Azure Arc que necesita.
Permisos necesarios
Para crear recursos de puerta de enlace de Azure Arc y administrar su asociación con servidores habilitados para Azure Arc, un usuario debe tener el rol de administrador de puertas de enlace de Azure Arc.
Creación de un recurso de puerta de enlace de Azure Arc
Puede crear un recurso de puerta de enlace de Azure Arc mediante Azure Portal, la CLI de Azure o Azure PowerShell. Por lo general, tarda unos 10 minutos en crear un recurso de puerta de enlace de Azure Arc después de finalizar estos pasos.
En el explorador, inicie sesión en Azure Portal.
Vaya a Azure Arc. En el menú servicio, en Administración, seleccione Puerta de enlace de Azure Arc y, a continuación, seleccione Crear.
Seleccione la suscripción y el grupo de recursos donde desea que el recurso de puerta de enlace de Azure Arc se administre en Azure. Cualquier recurso habilitado para Azure Arc en el mismo inquilino de Azure puede usar un recurso de puerta de enlace de Azure Arc.
En Nombre, escriba el nombre del recurso de puerta de enlace de Azure Arc.
En Ubicación, escriba la región donde debe estar el recurso de puerta de enlace de Azure Arc. Cualquier recurso habilitado para Azure Arc en el mismo inquilino de Azure puede usar un recurso de puerta de enlace de Azure Arc.
Seleccione Siguiente.
En la página Etiquetas , especifique opcionalmente una o varias etiquetas personalizadas para admitir los estándares.
Selecciona Revisar + crear.
Revise los detalles de entrada y, a continuación, seleccione Crear.
Confirmar acceso a las direcciones URL necesarias
Después de crear con éxito el recurso, la respuesta de éxito incluye la dirección URL de la puerta de enlace de Azure Arc. Asegúrese de que la dirección URL de la puerta de enlace de Azure Arc y todas estas direcciones URL están permitidas en el entorno donde residen los recursos de Azure Arc.
Important
Esta lista se actualizó recientemente. Si ha habilitado previamente el acceso a estas direcciones URL, es posible que tenga que revisar la lista y actualizar la configuración de red para asegurarse de que se permite cada punto de conexión.
| URL | Purpose |
|---|---|
<Your URL prefix>.gw.arc.azure.com |
La dirección URL de la puerta de enlace (obtenida mediante la ejecución az arcgateway list después de crear el recurso de puerta de enlace) |
management.azure.com |
Punto de conexión de Azure Resource Manager, necesario para el canal de control de Azure Resource Manager |
login.microsoftonline.com, <region>.login.microsoft.com |
Punto de conexión de Microsoft Entra ID para adquirir tokens de acceso de identidad |
gbl.his.arc.azure.com |
Punto de conexión de servicio en la nube para comunicarse con agentes de Azure Arc |
<region>.his.arc.azure.com |
Se usa para el canal de control principal de Azure Arc |
packages.microsoft.com |
Necesario para conectar servidores Linux a Azure Arc |
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows |
Integración de nuevos recursos de Azure Arc con el recurso de puerta de enlace de Azure Arc
Genere el script de instalación.
Siga las instrucciones de Inicio rápido: Conexión de máquinas híbridas con servidores habilitados para Azure Arc para crear un script que automatice la descarga e instalación del agente de Azure Connected Machine y establezca la conexión con Azure Arc.
Important
Al generar el script de incorporación, asegúrese de que el punto de conexión público esté seleccionado en la sección Método de conectividad . Asegúrese también de que el recurso de puerta de enlace de Azure Arc esté seleccionado en la lista desplegable Recurso de puerta de enlace.
Ejecute el script de instalación para incorporar los servidores a Azure Arc.
En el script, el identificador de Azure Resource Manager del recurso de puerta de enlace de Azure Arc se muestra como
--gateway-id.
Configuración de los recursos existentes de Azure Arc para usar la puerta de enlace de Azure Arc
Puede asociar recursos existentes de Azure Arc a un recurso de puerta de enlace de Azure Arc mediante Azure Portal, la CLI de Azure o Azure PowerShell.
En Azure Portal, vaya a Azure Arc: puerta de enlace de Azure Arc.
Seleccione el recurso de puerta de enlace de Azure Arc que se va a asociar al servidor habilitado para Azure Arc.
En el menú de servicio del recurso de puerta de enlace, seleccione Recursos asociados.
Selecciona Agregar.
Seleccione el recurso de servidor habilitado para Azure Arc para asociarlo al recurso de puerta de enlace de Azure Arc.
Seleccione Aplicar.
Con la versión 1.50 o anterior del agente de Máquina Conectada, también debe ejecutar azcmagent config set connection.type gateway para actualizar el servidor habilitado para Azure Arc a fin de usar la puerta de enlace de Azure Arc. En el caso de las versiones 1.51 y posteriores del agente, este paso no es necesario porque la operación se produce automáticamente. Se recomienda usar la versión más reciente del agente de Connected Machine.
Comprobación correcta de la configuración de la puerta de enlace de Azure Arc
En el servidor incorporado, ejecute el comando azcmagent show.
El resultado debe indicar los siguientes valores:
- Estado del agente: se muestra como Conectado.
-
Uso del proxy HTTPS: se muestra como
http://localhost:40343. - Proxy ascendente: aparece como el proxy de tu empresa (si estableces uno). La dirección URL de la puerta de enlace de Azure Arc debe reflejar la dirección URL del recurso de puerta de enlace.
Para comprobar la instalación correcta, ejecute el comando azcmagent check.
El resultado debe indicar que connection.type se establece en la puerta de enlace y la columna Reachable debe indicar true para todas las direcciones URL.
Eliminación de la asociación de puerta de enlace de Azure Arc
Puede deshabilitar la puerta de enlace de Azure Arc y quitar la asociación entre el recurso de puerta de enlace de Azure Arc y el clúster habilitado para Azure Arc. Después, el clúster habilitado para Azure Arc usa tráfico directo.
Esta operación solo se aplica a la puerta de enlace de Azure Arc en servidores habilitados para Azure Arc, no a Azure Local. Si usa la puerta de enlace de Azure Arc en Azure Local, consulte Acerca de la puerta de enlace de Azure Arc para Azure Local para obtener información sobre la eliminación.
Establezca el tipo de conexión del servidor habilitado para Azure Arc en
directen lugar degatewayejecutar el comando siguiente:azcmagent config set connection.type directNote
Si realiza este paso, se deben cumplir todos los requisitos de red de Azure Arc en su entorno para seguir usando Azure Arc.
Desasocie el recurso de puerta de enlace de Azure Arc de la máquina:
En Azure Portal, vaya a Azure Arc: puerta de enlace de Azure Arc.
Seleccione el recurso de puerta de enlace de Azure Arc.
En el menú de servicio del recurso de puerta de enlace, seleccione Recursos asociados.
Seleccione el servidor.
Seleccione Quitar.
Eliminación de un recurso de puerta de enlace de Azure Arc
Puede eliminar un recurso de puerta de enlace de Azure Arc mediante Azure Portal, la CLI de Azure o Azure PowerShell. Esta operación puede tardar hasta 5 minutos en completarse.
En Azure Portal, vaya a Azure Arc: puerta de enlace de Azure Arc.
Seleccione el recurso de puerta de enlace de Azure Arc.
Seleccione Eliminar y confirme la eliminación.
Supervisión del tráfico de puerta de enlace de Azure Arc
Puede auditar el tráfico de la puerta de enlace de Azure Arc mediante la visualización de los registros de proxy de Azure Arc.
Para ver los registros de proxy de Azure Arc en Windows:
- Ejecute
azcmagent logsen PowerShell. - En el archivo .zip resultante, el
arcproxy.logarchivo se encuentra en laProgramData\AzureConnectedMachineAgent\Logcarpeta .
Para ver los registros de proxy de Azure Arc en Linux:
- Ejecute
sudo azcmagent logs. - En el archivo .zip resultante, el
arcproxy.logarchivo se encuentra en la/var/opt/azcmagent/log/carpeta .
Planeamiento de recursos de puerta de enlace de Azure Arc para varios tipos de recursos
Para determinar cuántos recursos de puerta de enlace necesita por región de Azure para varios tipos de recursos, use la fórmula siguiente:
Puntuación = (Servidores ÷ 20) + (clústeres de Kubernetes ÷ 10) + (instancias locales de Azure ÷ 10)
Where:
- Servidores = total de servidores independientes + máquinas virtuales aprovisionadas (en Azure Local)
- Clústeres de Kubernetes = clústeres de Kubernetes independientes totales + clústeres de Azure Arc de Azure Kubernetes Service (en Azure Local)
- Instancias locales de Azure = total de implementaciones locales de Azure
Si la puntuación de cada región desde la que va a administrar sus recursos es inferior a <100, basta con un recurso de puerta de enlace de Azure Arc.
Si la puntuación de cualquier región desde donde desea gestionar sus recursos es ≥100, se requiere más de un recurso de puerta de enlace de Azure Arc para esa región.
En los ejemplos siguientes se proporciona más contexto.
Ejemplo 1
| Región | Servers | Clústeres de Kubernetes | Instancias locales de Azure | Cálculo de puntuación | Puntuación |
|---|---|---|---|---|---|
| East US | 300 | 20 | 5 | 300/20 + 20/10 + 5/10 | 17,5 |
| West Europe | 800 | 50 | 10 | 800/20 + 50/10 + 10/10 | 46.0 |
| Japón Oriental | 100 | 5 | 2 | 100/20 + 5/10 + 2/10 | 5.7 |
La puntuación de cada región es <100. Un recurso de puerta de enlace de Azure Arc es suficiente.
Ejemplo 2
| Región | Servers | Clústeres de Kubernetes | Instancias locales de Azure | Cálculo de puntuación | Puntuación |
|---|---|---|---|---|---|
| East US | 6,000 | 300 | 40 | 6000/20 + 300/10 + 40/10 | 334.0 |
| West Europe | 2,500 | 120 | 25 | 2500/20 + 120/10 + 25/10 | 139,5 |
| Sudeste Asiático | 900 | 30 | 8 | 900/20 + 30/10 + 8/10 | 48.8 |
- La puntuación Este de EE.UU. es >100. Se necesitan tres recursos de puerta de enlace de Azure Arc para admitir la carga en esta región.
- La puntuación de Europa Occidental es >100. Se necesitan dos recursos de puerta de enlace de Azure Arc para admitir la carga en esta región.
- La puntuación sudeste de Asia es <100. Se necesita un recurso de puerta de enlace de Azure Arc para admitir la carga en esta región.
En este escenario, solo se requieren tres recursos de puerta de enlace en total porque los cálculos se basan en la carga máxima por región, no en la carga combinada en todas las regiones.
Más escenarios
La puerta de enlace de Azure Arc cubre los puntos de conexión necesarios para incorporar un servidor, además de puntos de conexión para admitir varios escenarios habilitados para Azure Arc. En función de los escenarios que adopte, es posible que tenga que permitir más puntos de conexión en su entorno.
Escenarios que no requieren más puntos de conexión
- Centro de Administración de Windows (Windows Admin Center)
- Secure Shell
- Actualizaciones de seguridad ampliada
- Extensión de Azure para SQL Server
Escenarios que requieren más puntos de conexión
Los puntos de conexión enumerados con los siguientes escenarios deben permitirse en el proxy de empresa al usar la puerta de enlace de Azure Arc:
Servicios de datos habilitados para Azure Arc:
*.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com
Agente de Azure Monitor:
<log-analytics-workspace-id>.ods.opinsights.azure.com<data-collection-endpoint>.<virtual-machine-region>.ingest.monitor.azure.com
Sincronización de certificados de Azure Key Vault:
<vault-name>.vault.azure.net
Extensión Hybrid Runbook Worker de Azure Automation:
*.azure-automation.net
Extensión de actualización del sistema operativo Windows/Azure Update Manager:
- El entorno debe cumplir todos los requisitos previos de Windows Update.
Microsoft Defender:
- El entorno debe cumplir todos los requisitos previos de Microsoft Defender.
Arquitectura de puerta de enlace de Azure Arc
Revise la siguiente información para obtener más información sobre la arquitectura de la puerta de enlace de Azure Arc.
Protocolo de reenvío de puerta de enlace de Azure Arc
Puerta de enlace de Azure Arc e inspección de TLS
La puerta de enlace de Azure Arc funciona mediante el establecimiento de una sesión TLS entre el proxy de Azure Arc y la puerta de enlace de Azure Arc en Azure. Dentro de esta sesión TLS, el proxy de Azure Arc envía una solicitud de conexión HTTP anidada al recurso de puerta de enlace de Azure Arc. La solicitud de conexión indica al recurso que reenvíe la conexión al destino de destino previsto. A continuación, si el propio destino está en TLS, se establece una sesión TLS interna de extremo a extremo entre el agente de Azure Arc y el destino.
Al usar proxies de terminación con la puerta de enlace de Arc, el proxy verá la solicitud de conexión HTTP anidada. Podría permitir este tipo de solicitud, pero no puede interceptar el tráfico cifrado con TLS hacia el destino, a menos que realice una terminación TLS anidada. Este comportamiento está fuera de las capacidades de los proxies de terminación TLS estándar. Al usar un proxy de terminación de conexión, se recomienda omitir la inspección de TLS para el punto de enlace de la puerta de enlace de Azure Arc.
Puntos de conexión accesibles a través de la puerta de enlace de Azure Arc
Arc Gateway usa un conjunto de puntos de conexión para permitir que todas las características de Arc funcionen sin problemas. Actualmente, este conjunto incluye más de 200 puntos de conexión, que representan los requisitos acumulativos para todas las funcionalidades admitidas. Para obtener la lista completa, consulte los puntos de conexión de puerta de enlace de Azure Arc.
Algunos endpoints utilizan caracteres comodín para simplificar la conectividad y garantizar la cobertura de funcionalidades. Se recomienda revisar estos puntos de conexión con el equipo de seguridad de red para confirmar que se alinean con las directivas de su organización. Estos puntos de conexión son esenciales para el funcionamiento seguro y confiable de los servicios de Arc.