Accéder aux services Azure via le proxy explicite du Pare-feu Azure (préversion publique)

La fonctionnalité proxy explicite du pare-feu Azure peut router tout le trafic Azure Arc en toute sécurité via votre connexion privée (ExpressRoute ou VPN de site à site) vers Azure. Cette fonctionnalité vous permet d’utiliser Azure Arc sans exposer votre environnement local à l’Internet public.

Cet article explique les étapes de configuration du Pare-feu Azure avec la fonctionnalité proxy explicite comme proxy de transfert pour vos serveurs avec Arc ou vos ressources Kubernetes.

Fonctionnement de la fonctionnalité proxy explicite du pare-feu Azure

Les agents Azure Arc peuvent utiliser un proxy de transfert pour se connecter aux services Azure. La fonctionnalité de proxy Explicite du pare-feu Azure vous permet d’utiliser un pare-feu Azure au sein de votre réseau virtuel (VNet) comme proxy de transfert pour vos agents Arc.

À mesure que le proxy Azure Firewall Explicit fonctionne au sein de votre réseau virtuel privé et que vous disposez d’une connexion sécurisée via ExpressRoute ou VPN de site à site, tout le trafic Azure Arc peut être acheminé vers sa destination prévue au sein du réseau Microsoft, sans nécessiter d’accès à Internet public.

Pour télécharger des diagrammes d’architecture en haute résolution, visitez Jumpstart Gems.

Restrictions et limitations actuelles

• Cette solution utilise le proxy explicite du pare-feu Azure comme proxy de transfert. La fonctionnalité proxy explicite ne prend pas en charge l’inspection TLS.
• Les certificats TLS ne peuvent pas être appliqués au proxy explicite du pare-feu Azure.
• Cette solution n’est actuellement pas prise en charge par les machines virtuelles Azure Local ou Azure Arc s’exécutant dans Azure Local.

Coûts du Pare-feu Azure

La tarification du Pare-feu Azure est basée sur les heures de déploiement et la quantité totale de données traitées. Vous trouverez plus d’informations sur la tarification du Pare-feu Azure dans la page Tarification du pare-feu Azure.

Conditions préalables requises et configuration réseau requise

Pour utiliser cette solution, vous devez avoir les éléments suivants :

• Un réseau virtuel Azure existant.
• Une connexion VPN expressRoute ou site à site existante de votre environnement local à votre réseau virtuel Azure.

Configurer le Pare-feu Azure

Procédez comme suit pour activer la fonctionnalité de proxy explicite sur votre pare-feu Azure.

Créer la ressource pare-feu Azure

Si vous disposez d’un pare-feu Azure existant dans votre réseau virtuel, vous pouvez ignorer cette section. Dans le cas contraire, procédez comme suit pour créer une ressource pare-feu Azure.

1. À partir de votre navigateur, connectez-vous au portail Azure et accédez à la page Pare-feu Azure.
2. Sélectionnez Créer pour créer un pare-feu.
3. Entrez votre abonnement, votre groupe de ressources, votre nom et votre région.
4. Pour la référence SKU du pare-feu, sélectionnez Standard ou Premium .
5. Terminez le reste de l’onglet Informations de base si nécessaire pour votre configuration.
6. Sélectionnez Vérifier + créer, puis créer pour créer le pare-feu.

Pour plus d’informations, consultez Déployer et configurer le Pare-feu Azure.

Activer la fonctionnalité de proxy explicite (aperçu)

1. Accédez à votre ressource pare-feu Azure, puis accédez à la stratégie de pare-feu.

2. Dans Paramètres, accédez au volet Proxy explicite (préversion).

3. Sélectionnez Activer le proxy explicite.

4. Entrez les valeurs souhaitées pour les ports HTTP et HTTPS.

   Remarque

   Il est courant d’utiliser 8080 pour le port HTTP et 8443 pour le port HTTPS.

5. Sélectionnez Appliquer pour enregistrer les modifications. 

Créer une règle d’application

Si vous souhaitez créer une liste de permis pour votre proxy explicite du pare-feu Azure, vous pouvez choisir de créer une règle d’application pour autoriser la communication avec les interfaces de connexion requises pour vos scénarios.

1. Accédez à la stratégie de pare-feu applicable. 
2. Dans Paramètres, accédez au volet Règles d’application . 
3. Sélectionnez Ajouter une collection de règles. 
4. Indiquez un nom pour la collection de règles.
5. Définissez la priorité de la règle en fonction d’autres règles que vous pouvez avoir.
6. Indiquez un nom pour la règle.
7. Pour la source, entrez « * » ou les adresses IP sources que vous pouvez avoir.
8. Définissez le protocolesur http :80,https :443. 
9. Définissez La destination en tant que liste séparée par des virgules des URL requises pour votre scénario. Pour plus d’informations sur les URL requises, consultez la configuration réseau requise pour Azure Arc.
10. Sélectionnez Ajouter pour enregistrer la collection de règles et la règle. 

Définir votre pare-feu Azure comme proxy de transfert

Suivez ces étapes pour définir votre pare-feu Azure comme proxy de transfert pour vos ressources Arc.

Serveurs avec Arc

Pour définir votre pare-feu Azure comme proxy de transfert lors de l’intégration de nouveaux serveurs Arc :

1. Générez le script d’intégration.
2. Définissez la méthode de connectivité en tant que serveur proxy et définissez l’URL du serveur proxy sur http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>.
3. Intégrez vos serveurs à l’aide du script.

Pour définir le proxy de transfert pour les serveurs avec Arc existants, exécutez la commande suivante à l’aide de l’interface CLI locale de l’agent Azure Connected Machine :

azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`

Kubernetes activé par Arc

Pour définir votre pare-feu Azure comme proxy de transfert lors de l’intégration de nouveaux clusters Kubernetes, exécutez la commande de connexion avec les paramètres proxy-https et proxy-http spécifiés.

az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>  --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port> 

Pour définir le proxy de transfert pour les clusters Kubernetes avec Arc existants, exécutez la commande suivante :

az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>  

Résolution des problèmes

Pour vérifier que le trafic passe correctement par votre proxy explicite du Pare-feu Azure, vous devez d’abord vous assurer que le proxy explicite est accessible et fonctionne comme prévu à partir de votre réseau. Pour ce faire, exécutez la commande suivante : curl -x <proxy IP> <target FQDN>

En outre, vous pouvez consulter les journaux des règles d'application du pare-feu Azure afin de vérifier le trafic. Le proxy explicite s’appuie sur des règles d’application. Tous les journaux d’activité sont donc disponibles dans la table AZFWApplicationRules, comme illustré dans cet exemple :

Intégration de Private Link

Vous pouvez utiliser le proxy Azure Firewall Explicit conjointement avec Azure Private Link. Pour utiliser ces solutions ensemble, configurez votre environnement afin que le trafic vers les points de terminaison ne prenant pas en charge Private Link soit acheminé via le proxy explicite, tout en permettant au trafic vers les points de terminaison Azure Arc qui prennent en charge Private Link de contourner le proxy explicite et d’acheminer le trafic directement vers le point de terminaison privé approprié.

• Pour les serveurs avec Azure Private Link pour Arc, utilisez la fonctionnalité de contournement du proxy.
• Pour Azure Private Link pour Kubernetes avec Arc (préversion), incluez les points de terminaison Microsoft Entra ID, Azure Resource Manager, Azure Front Door et Microsoft Container Registry dans la plage d’exclusion du proxy de votre cluster.

Étapes suivantes

• En savoir plus sur le proxy explicite du pare-feu Azure (préversion)
• Lire Démystifier le proxy explicite : pour améliorer la sécurité avec Azure Firewall