本文提供 Azure 本地(先前稱為 Azure Stack HCI)的 Azure Arc 閘道概觀。 您可以在運行 2506 版及更高版本軟體的 Azure Local 新部署上啟用 Arc 閘道。 本文也會說明如何在 Azure 中建立和刪除 Arc 閘道資源。
使用 Arc 閘道可大幅減少部署和管理 Azure 本機執行個體所需的端點數目。 當您建立 Arc 閘道時,請連線並使用它進行 Azure 本地的新部署。
備註
雖然適用於 Azure 本機基礎結構和 Azure 本機 VM 的 Arc 閘道已正式推出,但適用於 Azure 本機上 AKS 的 Arc 閘道仍處於預覽狀態。
運作方式
Arc 閘道的運作方式是引進下列元件:
Arc 閘道資源 – 作為 Azure 流量的常見進入點的 Azure 資源。 此閘道資源具有您可以使用的特定網域或URL。 當您建立 Arc 閘道資源時,此網域或 URL 是成功回應的一部分。
Arc Proxy – 新增至 Arc 代理程式的新元件。 此元件會作為一項服務 (稱為 Azure Arc Proxy) 執行,並充當 Azure Arc 代理程式和延伸模組的轉接器。 閘道路由器不需要任何設定。 此路由器是 Arc 核心代理程式的一部分,並在已啟用 Arc 的資源內容中執行。
在整合Arc閘道與 Azure 本機部署時,每部電腦都會與其他 Arc 代理程式一起取得 Arc Proxy。
下圖說明流量如何在各個元件之間流動:
下列各節說明當您使用 Arc 閘道時, http 和 https 流量如何變更:
Azure 本機主機 OS 的流量 1-3
請務必針對您不想透過 Arc 閘道傳送的任何端點設定 Proxy 略過清單 。
Arc 閘道不支援 HTTP 流量。 設定您的 Proxy 或防火牆,以允許 Azure 本機所需的 HTTP 端點。
所有未在代理伺服器略過名單中設定的 HTTPS 流量都會被轉送至 Arc 閘道。
Arc Proxy 會自動判斷端點的正確路徑。 如果 Arc 閘道不允許 HTTPS 端點,Arc Proxy 會將 HTTPS 流量傳送至您的企業 Proxy 或防火牆。
Azure Arc 資源橋接器的流量路徑 4
Azure Arc 資源橋接器的正向代理已配置為使用叢集 IP。
建立 Proxy 設定後,系統會透過叢集 IP 將 Arc 資源橋接器 HTTPS 流量轉送至其中一個 Azure 本機機器上執行的 Arc Proxy。
AKS 叢集和 Pod 的流量模式 5
當您使用 Arc 閘道在 Azure 本機上部署 AKS 叢集時,系統會將所有 HTTP 和 HTTPS 流量從 AKS 控制平面 VM 和工作節點 VM 轉送至叢集 IP 以充當代理。
如果基礎結構子網與 AKS 子網之間有現有的防火牆,請允許來自埠 22 和 6443 的流量。
當您在已設定 Arc 閘道的 Azure 本機上部署 AKS 工作負載時,您仍然需要允許存取管理子網路上不允許的端點。 如果您不想讓流量透過管理子網路路由傳送,請在 Azure 本機部署期間透過 Proxy 略過清單來設定不允許的端點。
如需詳細資訊,請參閱使用 Arc 閘道時,在 個別子網路上 AKS 所需的 FQDN 端點完整清單 。
Azure 本地虛擬機器的流量流向第6步
- 系統會將所有 Arc HTTPS 流量轉送至針對 Azure 本機 VM 設定的 Arc 閘道。
- 如果您想要將所有 HTTP 和 HTTPS 流量從 Azure 本機 VM 轉送至 Arc 閘道,您必須設定 OS WinInet 和 WinHTTP Proxy 設定,以使用在 http://< localhost>:<port40343> 上執行的 Arc Proxy。
- 原本預定給非 Arc 閘道管理端點的流量會經過企業代理或防火牆。
如需了解有關流量流的詳細資訊,請參閱深度探討 Azure Arc 閘道針對 Azure Local 的輸出流量模式。
支援與不支援的案例
在下列情境中使用 Azure Arc 閘道以應對 Azure 本地需求:
- 在部署執行 2506 版或以後版本的新 Azure 本地執行個體期間啟用 Arc 閘道。
- 當單一 Arc 閘道器在 Azure 本地實例與其工作負載間共享時,Arc 閘道資源必須與 Azure 本地實例共用同一訂閱。 若 Azure 本地化執行個體及其工作負載使用各自獨立的 Arc 閘道器,則與工作負載相關的閘道可以在同一租戶內承載虛擬機及閘道器的任何訂閱中建立。
Azure Local 不支援的狀況包括:
- 您無法在部署之後啟用 Arc 閘道。
Azure 本機端點未重新導向
備註
端點需求可能因 Azure 區域而異。 若有區域專屬端點清單(例如日本東區),請參考 AzureStack-Tools GitHub 倉庫 以獲得最新的端點映射。 本文中的表格代表全域預設值。
下表中的端點是必要的。 將這些端點新增至 Proxy 或防火牆中的允許清單,以部署 Azure 本機執行個體:
| 端點# | 必要的端點 | 元件 |
|---|---|---|
| 1 | https://aka.ms |
前端框架 Bootstrap |
| 2 | https://azurestackreleases.download.prss.microsoft.com |
前端框架 Bootstrap |
| 3 | https://login.microsoftonline.com |
Arc 登錄 |
| 4 | https://<region>.login.microsoft.com |
Arc 登錄 |
| 5 | https://management.azure.com |
Arc 登錄 |
| 6 | https://gbl.his.arc.azure.com |
Arc 登錄 |
| 7 | https://<region>.his.arc.azure.com |
Arc 登錄 |
| 8 | https://<region>.obo.arc.azure.com:8084 |
只有某些 AKS 工作負載擴充功能才需要 |
| 9 | https://<yourarcgatewayId>.gw.arc.azure.com |
Arc 閘道 |
| 10 | https://<yourkeyvaultname>.vault.azure.net |
Azure Key Vault |
| 11 | https://<yourblobstorageforcloudwitnessname>.blob.core.windows.net |
雲端見證儲存帳戶 |
| 12 | http://ocsp.digicert.com |
Arc 延伸模組的證書吊銷清單 |
| 13 | http://s.symcd.com |
Arc 延伸模組的證書吊銷清單 |
| 14 | http://ts-ocsp.ws.symantec.com |
Arc 延伸模組的證書吊銷清單 |
| 15 | http://ocsp.globalsign.com |
Arc 延伸模組的證書吊銷清單 |
| 16 | http://ocsp2.globalsign.com |
Arc 延伸模組的證書吊銷清單 |
| 17 | http://oneocsp.microsoft.com |
Arc 延伸模組的證書吊銷清單 |
| 18 | http://crl.microsoft.com/pkiinfra |
Arc 延伸模組的證書吊銷清單 |
| 19 | https://dl.delivery.mp.microsoft.com |
從第2504個新部署開始不再需要。 Windows Update(Windows 更新) |
| 20 | https://*.tlu.dl.delivery.mp.microsoft.com |
從第 2506 個新部署開始就不需要了。 Windows Update(Windows 更新) |
| 21 | https://*.windowsupdate.com |
從第 2506 個新部署開始就不需要了。 Windows Update(Windows 更新) |
| 22 | https://*.windowsupdate.microsoft.com |
從第 2506 個新部署開始就不需要了。 Windows Update(Windows 更新) |
| 23 | https://*.update.microsoft.com |
從第 2506 個新部署開始就不需要了。 Windows Update(Windows 更新) |
限制與限制條件
Arc 閘道在此版本中有下列限制:
- Arc 閘道不支援傳輸層安全性 (TLS) 終止 Proxy。
在 Azure 中建立 Arc 閘道資源
備註
目前 Arc 閘道器的建立受到 Azure Front Door 臨時變更的影響。 資源創建可能需要長達兩小時,且可能逾時導致失敗。 如果資源建立失敗,請再試一次 Arc Gateway 資源建立。
您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 來建立 Arc 閘道資源。
- 登入 Azure 入口網站。
- 移至 Azure Arc > Azure Arc 閘道頁面,然後選取 [建立]。
- 選取您打算部署 Azure 本機實例的訂用帳戶。
- 針對 [名稱],輸入Arc閘道資源的名稱。
- 針對 [位置],輸入Arc閘道資源應所在的區域。 相同 Azure 租使用者中任何已啟用 Arc 的資源會使用 Arc 閘道資源。
- 選取 [下一步]。
- 在 標籤 頁面上,指定一或多個自訂標籤以支持您的標準。
- 選取 檢閱及建立。
- 檢閱詳細數據,然後選取 [ 建立]。
閘道建立程式需要 9 到 10 分鐘才能完成。
從機器分離或改變Arc閘道關聯
若要將閘道資源與已啟用 Arc 的伺服器中斷連結,請將閘道資源識別碼設定為 null。 若要將已啟用 Arc 的伺服器附加至另一個 Arc 閘道資源,請使用新的 Arc 閘道資訊更新名稱和資源識別碼:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-enabled server name> --gateway-resource-id "
刪除 Arc 閘道資源
刪除 Arc 閘道資源之前,請確定未連結任何機器。 若要刪除閘道資源,請執行下列命令:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
這項作業可能需要幾分鐘的時間。
下一步
此功能僅適用於 Azure 本機版本 2506 或更新版本。