Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O recurso de proxy explícito do Firewall do Azure pode rotear todo o tráfego do Azure Arc com segurança por meio de sua conexão privada (ExpressRoute ou VPN site a site) para o Azure. Esse recurso permite que você use o Azure Arc sem expor seu ambiente local à Internet pública.
Este artigo explica as etapas para configurar o Firewall do Azure tendo o recurso Proxy Explícito como o proxy de encaminhamento para seus servidores habilitados para Arc ou recursos do Kubernetes.
Importante
O proxy explícito do Firewall do Azure está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Como funciona o recurso de proxy explícito do Firewall do Azure
Os agentes do Azure Arc podem usar um proxy de encaminhamento para se conectar aos serviços do Azure. O recurso de proxy explícito do Firewall do Azure permite que você use um Firewall do Azure em sua VNet (rede virtual) como o proxy de encaminhamento para seus agentes do Arc.
À medida que o proxy Explícito do Firewall do Azure opera em sua VNet privada e você tem uma conexão segura com ela por meio do ExpressRoute ou VPN Site a Site, todo o tráfego do Azure Arc pode ser roteado para o destino pretendido na rede da Microsoft, sem a necessidade de qualquer acesso público à Internet.
Para baixar diagramas de arquitetura em alta resolução, visite Jumpstart Gems.
Restrições e limitações atuais
- Essa solução usa o proxy explícito do Firewall do Azure como um proxy de encaminhamento. O recurso proxy explícito não dá suporte à Inspeção TLS.
- Os certificados TLS não podem ser aplicados ao proxy explícito do Firewall do Azure.
- No momento, essa solução não é compatível com VMs locais do Azure ou do Azure Arc em execução no Azure Local.
Custos do Firewall do Azure
O preço do Firewall do Azure é baseado nas horas de implantação e no total de dados processados. Detalhes sobre os preços do Firewall do Azure podem ser encontrados na página Preços do Firewall do Azure.
Pré-requisitos e requisitos de rede
Para usar essa solução, você deve ter:
- Uma VNet do Azure existente.
- Uma conexão ExpressRoute ou VPN site a site existente do seu ambiente local para sua VNet do Azure.
Configurar o Firewall do Azure
Siga estas etapas para habilitar o recurso de proxy explícito no Firewall do Azure.
Criar o recurso de Firewall do Azure
Se você tiver um Firewall do Azure existente em sua VNet, poderá ignorar esta seção. Caso contrário, siga estas etapas para criar um novo recurso do Firewall do Azure.
- No navegador, entre no portal do Azure e navegue até a página firewalls do Azure.
- Selecione Criar para criar um firewall.
- Insira sua Assinatura, Grupo de recursos, Nome e Região.
- Para o SKU do Firewall, selecione Standard ou Premium.
- Conclua o restante da guia Noções básicas conforme necessário para sua configuração.
- Selecione Revisar e criar e, em seguida, selecione Criar para criar o firewall.
Para obter mais informações, confira Implantar e configurar o Firewall do Azure.
Habilitar o recurso proxy explícito (versão prévia)
Navegue até o recurso do Firewall do Azure e vá para a Política de Firewall.
Em Configurações, navegue até o painel Proxy Explícito (Versão Prévia).
Selecione Habilitar Proxy Explícito.
Insira os valores desejados para as portas HTTP e HTTPS.
Observação
É comum usar 8080 para a porta HTTP e 8443 para a porta HTTPS.
Escolha Aplicar para salvar as alterações.
Criar uma regra de aplicativo
Se você quiser criar uma lista de permissões para o proxy explícito do Firewall do Azure, você poderá criar opcionalmente uma regra de aplicativo para permitir a comunicação com os pontos de extremidade necessários para seus cenários.
- Navegue até a política de firewall aplicável.
- Em Configurações, navegue até o painel Regras de Aplicativo.
- Selecione Adicionar uma coleção de regras.
- Forneça um Nome para a coleção de regras.
- Defina a Prioridade da regra com base em outras regras que você possa ter.
- Forneça um nome para a regra.
- Para a Origem, insira “*” ou quaisquer IPs de origem que você possa ter.
- Defina o Protocolo como http:80,https:443.
- Defina o Destino como uma lista de URLs separadas por vírgula obrigatórias para seu cenário. Para obter detalhes sobre as URLs necessárias, consulte os requisitos de rede do Azure Arc.
- Selecione Adicionar para salvar a coleção de regras e a regra.
Definir o Firewall do Azure como o proxy de encaminhamento
Para configurar o Firewall do Azure como proxy encaminhador para seus recursos do Arc, siga estas etapas.
Servidores habilitados para Arc
Para configurar seu Firewall do Azure como proxy de encaminhamento durante a ativação de novos servidores Arc:
- Gerar o script de integração.
- Defina o Método de Conectividade como Servidor Proxy e defina a URL do Servidor Proxy como
http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>. - Integre seus servidores usando o script.
Para definir o proxy de encaminhamento para servidores habilitados para Arc existentes, execute o seguinte comando usando a CLI do Azure Connected Machine Agent local:
azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`
Kubernetes com suporte de Arc
Para definir o Firewall do Azure como o proxy de encaminhamento durante a integração de novos clusters do Kubernetes, execute o comando connect com os parâmetros proxy-https e proxy-http especificados:
az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port> --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Para definir o proxy de encaminhamento para clusters Kubernetes habilitados para Arc existentes, execute o seguinte comando:
az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Resolução de problemas
Para verificar se o tráfego está sendo encaminhado com êxito por meio do Proxy Explícito do Firewall do Azure, primeiro verifique se o proxy Explícito está acessível e funcionando conforme o esperado na sua rede. Para fazer isso, execute o seguinte comando: curl -x <proxy IP> <target FQDN>
Além disso, você pode exibir os logs de regras do Aplicativo de Firewall do Azure para verificar o tráfego. O proxy explícito depende das regras de aplicativo, portanto, todos os logs estão disponíveis na tabela AZFWApplicationRules, conforme mostrado neste exemplo:
Integração de Link Privado
Você pode usar o proxy explícito do Firewall do Azure em conjunto com o Link Privado do Azure. Para usar essas soluções em conjunto, configure seu ambiente para que o tráfego para pontos de extremidade que não dão suporte ao Link Privado seja roteado por meio do proxy Explícito, enquanto permite o tráfego para pontos de extremidade do Azure Arc que dão suporte ao Link Privado ignorar o proxy Explícito e, em vez disso, rotear o tráfego diretamente para o ponto de extremidade privado relevante.
- Para Link Privado do Azure para servidores habilitados para Arc, use o recurso Proxy Bypass.
- Para o Link Privado do Azure para Kubernetes habilitado para Arc (versão prévia), inclua os pontos de extremidade do Microsoft Entra ID, Azure Resource Manager, Azure Front Door e Registro de Contêiner da Microsoft no intervalo para ignorar o proxy do seu cluster.