Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O recurso de proxy explícito do Firewall do Azure pode encaminhar, com segurança, todo o tráfego do Azure Arc através da sua ligação privada (ExpressRoute ou VPN Site-to-Site) para o Azure. Esse recurso permite que você use o Azure Arc sem expor seu ambiente local à Internet pública.
Este artigo explica as etapas para configurar o Azure Firewall com a funcionalidade Proxy Explícito como o proxy de encaminhamento direto para os seus servidores com Arc ativado ou recursos do Kubernetes.
Importante
O proxy explícito do Firewall do Azure está atualmente em PREVIEW. Consulte os Termos de Utilização Complementares das Visualizações Prévias do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão em beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Como funciona o recurso de proxy explícito do Firewall do Azure
Os agentes do Azure Arc podem usar um proxy de encaminhamento para se conectar aos serviços do Azure. O recurso de proxy explícito do Firewall do Azure permite que você use um Firewall do Azure em sua rede virtual (VNet) como o proxy de encaminhamento para seus agentes Arc.
Como o proxy explícito do Azure Firewall opera na sua VNet privada e você tem uma conexão segura com ela por meio do ExpressRoute ou da VPN Site a Site, todo o tráfego do Azure Arc pode ser roteado para o destino pretendido na rede da Microsoft, sem necessitar de qualquer acesso público à internet.
Para baixar diagramas de arquitetura em alta resolução, visite Jumpstart Gems.
Restrições e limitações atuais
- Esta solução utiliza o proxy explícito do Firewall do Azure como um proxy de reenviamento. O recurso de proxy explícito não suporta inspeção TLS.
- Os certificados TLS não podem ser aplicados ao proxy explícito do Firewall do Azure.
- Atualmente, esta solução não é suportada pelas VMs do Azure Local ou do Azure Arc em execução no Azure Local.
Custos do Firewall do Azure
O preço do Firewall do Azure é baseado nas horas de implantação e no total de dados processados. Detalhes sobre os preços do Firewall do Azure podem ser encontrados na página Preços do Firewall do Azure.
Pré-requisitos e requisitos de rede
Para usar esta solução, você deve ter:
- Uma VNet do Azure existente.
- Uma conexão ExpressRoute ou VPN site-a-site existente do seu ambiente on-premises para a sua VNet do Azure.
Configurar o Firewall do Azure
Siga estas etapas para habilitar o recurso de proxy explícito no seu Firewall do Azure.
Criar o recurso Firewall do Azure
Se você tiver um Firewall do Azure existente em sua rede virtual, poderá ignorar esta seção. Caso contrário, siga estas etapas para criar um novo recurso do Firewall do Azure.
- No navegador, entre no portal do Azure e navegue até a página Firewalls do Azure.
- Selecione Criar para criar um novo firewall.
- Introduza a sua Subscrição, Grupo de recursos, Nome e Região.
- Para o Firewall SKU, selecione Standard ou Premium .
- Preencha o restante da guia Noções básicas conforme necessário para sua configuração.
- Selecione Rever + criar e, em seguida, selecione Criar para criar a firewall.
Para obter mais informações, consulte Implantar e configurar o Firewall do Azure.
Ativar o recurso Proxy explícito (visualização)
Navegue até o recurso do Firewall do Azure e vá para a Política de Firewall.
Em Configurações, navegue até ao painel Proxy Explícito (Pré-visualização).
Selecione Ativar Proxy Explícito.
Insira os valores desejados para as portas HTTP e HTTPS.
Observação
É comum usar 8080 para a porta HTTP e 8443 para a porta HTTPS.
Selecione Aplicar para salvar as alterações.
Criar uma regra de aplicativo
Se quiser criar uma lista de permissões para seu proxy explícito do Firewall do Azure, você pode, opcionalmente, criar uma regra de aplicativo para permitir a comunicação com os pontos de extremidade necessários para seus cenários.
- Navegue até à política de firewall aplicável.
- Em Configurações, navegue até à painel de Regras de Aplicação.
- Selecione Adicionar uma coleção de regras.
- Forneça um Nome para a coleção de regras.
- Defina a regra Prioridade com base em outras regras que você possa ter.
- Forneça um Nome para a regra.
- Para a Fonte, digite "*" ou quaisquer IPs de origem que você possa ter.
- Defina Protocolo como http:80,https:443.
- Defina Destino como uma lista separada por vírgulas de URLs necessárias para o seu cenário. Para obter detalhes sobre as URLs necessárias, consulte Requisitos de rede do Azure Arc.
- Selecione Adicionar para salvar a coleção de regras e a regra.
Definir o Firewall do Azure como o proxy de encaminhamento
Siga estas etapas para definir o seu Firewall do Azure como o proxy de encaminhamento para os seus recursos do Arc.
Servidores com suporte Arc
Para definir o seu Firewall do Azure como o proxy de reencaminhamento ao integrar novos servidores Arc:
- Gere o script de integração.
- Defina o Método de Conectividade como Servidor Proxy e defina a URL do Servidor Proxy como
http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>. - Integre seus servidores usando o script.
Para definir o proxy de encaminhamento para servidores com suporte para Arc existentes, execute o seguinte comando usando a CLI do agente local do Azure Connected Machine:
azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`
Kubernetes habilitado para Arc
Para definir o Firewall do Azure como o proxy de encaminhamento durante a integração de novos clusters Kubernetes, execute o comando connect especificando os parâmetros proxy-https e proxy-http.
az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port> --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Para definir o proxy de encaminhamento para clusters Kubernetes existentes com o Arc ativado, execute o seguinte comando:
az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
Solução de problemas
Para verificar se o tráfego está sendo intermediado com êxito por meio do Proxy Explícito do Firewall do Azure, você deve primeiro garantir que o proxy Explícito esteja acessível e funcionando conforme o esperado da sua rede. Para fazer isso, execute o seguinte comando: curl -x <proxy IP> <target FQDN>
Além disso, você pode exibir os logs de regras do Aplicativo de Firewall do Azure para verificar o tráfego. O proxy explícito depende de regras de aplicativo, portanto, todos os logs estão disponíveis na tabela AZFWApplicationRules, conforme mostrado neste exemplo:
Integração de Link Privado
Você pode usar o proxy explícito do Firewall do Azure em conjunto com o Azure Private Link. Para usar essas soluções juntas, configure seu ambiente para que o tráfego para pontos de extremidade que não oferecem suporte à rota de Link Privado por meio do proxy Explicit, permitindo que o tráfego para pontos de extremidade do Azure Arc que oferecem suporte a Link Privado ignorem o proxy Explícito e, em vez disso, roteiem o tráfego diretamente para o ponto de extremidade privado relevante:
- Para servidores com Arc habilitados para Azure Private Link, use o recurso Proxy Bypass.
- Para o Azure Private Link for Arc-enabled Kubernetes (pré-visualização), inclua o Microsoft Entra ID, o Azure Resource Manager, o Azure Front Door e os pontos de extremidade do Microsoft Container Registry na gama de exceções do proxy do cluster.