Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Funkcja jawnego serwera proxy usługi Azure Firewall może bezpiecznie kierować cały ruch Azure Arc za pośrednictwem połączenia prywatnego (ExpressRoute lub sieci VPN typu lokacja-lokacja) do usługi Azure. Ta funkcja umożliwia korzystanie z usługi Azure Arc bez uwidaczniania środowiska lokalnego w publicznym Internecie.
W tym artykule opisano kroki konfigurowania usługi Azure Firewall z funkcją jawnego serwera proxy jako serwera proxy pośredniczącego dla serwerów z włączoną obsługą Arc lub zasobów platformy Kubernetes.
Ważne
Jawny serwer proxy usługi Azure Firewall jest obecnie w wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Jak działa funkcja jawnego serwera proxy usługi Azure Firewall
Agentów usługi Azure Arc mogą używać serwera proxy przekazującego do łączenia się z usługami Azure. Funkcja jawnego serwera proxy w usłudze Azure Firewall umożliwia używanie usługi Azure Firewall w sieci wirtualnej jako serwera proxy pośredniczącego dla agentów Arc.
Ponieważ jawny serwer proxy usługi Azure Firewall działa w prywatnej sieci wirtualnej i masz do niej bezpieczne połączenie za pośrednictwem usługi ExpressRoute lub sieci VPN typu lokacja-lokacja, cały ruch usługi Azure Arc można kierować do zamierzonego miejsca docelowego w sieci firmy Microsoft, bez konieczności dostępu do publicznego Internetu.
Aby pobrać diagramy architektury w wysokiej rozdzielczości, odwiedź stronę Jumpstart Gems.
Ograniczenia i bieżące ograniczenia
- To rozwiązanie wykorzystuje jawny serwer proxy usługi Azure Firewall jako serwer pośredniczący. Funkcja jawnego serwera proxy nie obsługuje inspekcji protokołu TLS.
- Nie można zastosować certyfikatów TLS do serwera proxy jawnego usługi Azure Firewall.
- To rozwiązanie nie jest obecnie obsługiwane przez maszyny wirtualne usługi Azure Local ani Azure Arc działające w środowisku lokalnym platformy Azure.
Koszty usługi Azure Firewall
Cennik usługi Azure Firewall jest oparty na godzinach wdrażania i łącznej ilości przetworzonych danych. Szczegółowe informacje na temat cennika usługi Azure Firewall można znaleźć na stronie Cennik usługi Azure Firewall.
Wymagania wstępne i wymagania dotyczące sieci
Aby użyć tego rozwiązania, musisz mieć następujące elementy:
- Istniejąca sieć wirtualna platformy Azure.
- Istniejące połączenie usługi ExpressRoute lub sieci VPN typu lokacja-lokacja ze środowiska lokalnego do sieci wirtualnej platformy Azure.
Konfigurowanie usługi Azure Firewall
Wykonaj następujące kroki, aby włączyć funkcję jawnego serwera proxy w usłudze Azure Firewall.
Tworzenie zasobu usługi Azure Firewall
Jeśli masz istniejącą usługę Azure Firewall w sieci wirtualnej, możesz pominąć tę sekcję. W przeciwnym razie wykonaj następujące kroki, aby utworzyć nowy zasób usługi Azure Firewall.
- W przeglądarce zaloguj się do witryny Azure Portal i przejdź do strony Azure Firewalls.
- Wybierz pozycję Utwórz , aby utworzyć nową zaporę.
- Wprowadź swoją subskrypcję, grupę zasobów, nazwę i region.
- Dla Firewall SKU wybierz opcję Standard lub Premium.
- Ukończ pozostałą część karty Podstawy zgodnie z potrzebami konfiguracji.
- Wybierz Przejrzyj i utwórz, a następnie Utwórz, aby utworzyć zaporę.
Aby uzyskać więcej informacji, zobacz Wdrażanie i konfigurowanie usługi Azure Firewall.
Włączanie funkcji jawnego serwera proxy (wersja zapoznawcza)
Przejdź do zasobu usługi Azure Firewall, a następnie przejdź do zasad zapory.
W obszarze Ustawienia przejdź do okienka Jawny serwer proxy (wersja zapoznawcza).
Wybierz pozycję Włącz jawny serwer proxy.
Wprowadź żądane wartości portów HTTP i HTTPS.
Uwaga
Port HTTP jest często używany w wersji 8080 i 8443 dla portu HTTPS.
Wybierz pozycję Zastosuj , aby zapisać zmiany.
Tworzenie reguły aplikacji
Jeśli chcesz utworzyć listę dozwolonych dla jawnego serwera proxy usługi Azure Firewall, możesz opcjonalnie utworzyć regułę aplikacji, aby umożliwić komunikację z wymaganymi punktami końcowymi dla Twoich scenariuszy.
- Przejdź do odpowiedniej polityki zapory ogniowej.
- W obszarze Ustawienia przejdź do okienka Reguły aplikacji .
- Wybierz pozycję Dodaj kolekcję reguł.
- Podaj nazwę kolekcji reguł.
- Ustaw priorytet reguły na podstawie innych reguł, które mogą istnieć.
- Podaj nazwę reguły.
- W polu Źródło wprowadź wartość "*" lub wszelkie źródłowe adresy IP, które mogą istnieć.
- Ustaw Protokół jako http:80,https:443.
- Ustaw Destination jako listę adresów URL rozdzielanych przecinkami, wymaganych dla Twojego scenariusza. Aby uzyskać szczegółowe informacje na temat wymaganych adresów URL, zobacz Wymagania dotyczące sieci usługi Azure Arc.
- Wybierz pozycję Dodaj , aby zapisać kolekcję reguł i regułę.
Ustaw Azure Firewall jako serwer proxy przekazujący
Wykonaj następujące kroki, aby ustawić usługę Azure Firewall jako serwer proxy przekazywania dla zasobów Arc.
Serwery z obsługą usługi Arc
Aby skonfigurować usługę Azure Firewall jako serwer proxy typu forward podczas dodawania nowych serwerów Arc:
- Wygeneruj skrypt dołączania.
- Ustaw metodę łączności jako serwer proxy i ustaw adres URL serwera proxy jako
http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>. - Dołączanie serwerów przy użyciu skryptu.
Aby ustawić serwer proxy pośredniczący dla istniejących serwerów z obsługą usługi Arc, uruchom następujące polecenie przy użyciu lokalnego interfejsu wiersza polecenia agenta połączonej maszyny platformy Azure.
azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`
Kubernetes z obsługą Arc
Aby ustawić usługę Azure Firewall jako serwer proxy przekazywania podczas dołączania nowych klastrów Kubernetes, uruchom polecenie connect z określonymi parametrami proxy-https i proxy-http :
az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port> --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Aby ustawić serwer proxy przekazywania dla istniejących klastrów Kubernetes obsługiwanych przez usługę Arc, uruchom następujące polecenie:
az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Rozwiązywanie problemów
Aby sprawdzić, czy ruch jest pomyślnie kierowany za pośrednictwem jawnego serwera proxy usługi Azure Firewall, należy najpierw upewnić się, że jawny serwer proxy jest dostępny i działa zgodnie z oczekiwaniami od strony sieci. W tym celu uruchom następujące polecenie: curl -x <proxy IP> <target FQDN>
Ponadto możesz wyświetlić dzienniki reguł aplikacji usługi Azure Firewall, aby zweryfikować ruch. Jawny serwer proxy opiera się na regułach aplikacji, więc wszystkie dzienniki są dostępne w tabeli AZFWApplicationRules, jak pokazano w tym przykładzie:
Integracja usługi Private Link
W połączeniu z usługą Azure Private Link można używać jawnego serwera proxy usługi Azure Firewall. Aby używać tych rozwiązań razem, skonfiguruj środowisko tak, aby ruch do punktów końcowych, które nie obsługują Private Link, był kierowany przez jawny serwer proxy, jednocześnie zezwalając na ruch do punktów końcowych Azure Arc obsługujących Private Link na ominięcie jawnego serwera proxy i kierowanie ruchu bezpośrednio do odpowiedniego prywatnego punktu końcowego.
- W przypadku usługi Azure Private Link dla serwerów z obsługą usługi Arc użyj funkcji pominięcia serwera proxy.
- W przypadku usługi Azure Private Link dla platformy Kubernetes z obsługą usługi Arc (wersja zapoznawcza) uwzględnij Microsoft Entra ID, usługę Azure Resource Manager, usługę Azure Front Door i punkty końcowe usługi Microsoft Container Registry w zakresie pomijania serwera proxy klastra.