适用于:Azure Local 2411.1 版本及更高版本
重要
Azure Stack HCI 现在是 Azure Local 的一部分。 了解详细信息。
本文概述了适用于 Azure Local 的 Azure Arc 网关。 Arc 网关可在运行软件版本 2408 及更高版本的 Azure Local 新部署上启用。 本文还介绍了如何在 Azure 中创建和删除 Arc 网关资源。
你可以使用 Arc 网关显著减少部署和管理 Azure Local 实例所需的终结点数量。 当你创建 Arc 网关时,你可以连接到它,并将其用于 Azure Local 的新部署。
重要
此功能目前处于预览状态。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
工作原理
Arc 网关通过引入以下组件来发挥作用:
Arc 网关资源:一种 Azure 资源,充当 Azure 流量的通用入口点。 此网关资源有一个你可以使用的特定域或 URL。 当你创建 Arc 网关资源时,该域或 URL 是成功响应的一部分。
Arc 代理:添加到 Arc 代理程序的一个新组件。 该组件作为一项服务运行(称为 Azure Arc 代理),并充当 Azure Arc 代理和扩展的正向代理。 网关路由器无需你进行任何配置。 此路由器是 Arc 核心代理程序的一部分,并在启用了 Arc 的资源上下文中运行。
当你将 Arc 网关与 Azure Local 2411 版本的部署集成时,每台机器都会获得 Arc 代理以及其他 Arc 代理。
使用 Arc 网关时,http 和 https 流量的流向发生如下更改:
Azure Local 主机操作系统组件的流量流向
操作系统代理设置用于将所有 HTTPS 主机流量通过 Arc 代理进行路由。
流量从 Arc 代理转发到 Arc 网关。
根据 Arc 网关中的配置,如果允许,流量将被发送到目标服务。 如果不允许,Arc 代理会将此流量重定向到企业代理(如果未设置企业代理,则直接向外发送)。 Arc 代理会自动确定终结点的正确路径。
Arc 设备 Azure Arc 资源网桥和 AKS 控制平面的流量流
从现在起,可路由 IP(故障转移群集 IP 资源)用于通过 Azure 本地主机计算机上运行的 Arc 代理转发流量。
Azure Arc 资源网桥和 Azure Kubernetes 服务 (AKS) 转发代理配置为使用可路由 IP。
在代理设置到位后,Arc 资源网桥和 AKS 出站流量将转发到通过可路由 IP 在某个 Azure 本地计算机上运行的 Arc 代理。
当流量到达 Arc 代理时,剩余流采用与所述路径相同的路径。 如果允许前往目标服务的流量,则会将其发送到 Arc 网关。 如果没有设置代理,则会将其发送到企业代理(如果未设置代理,则直接发送)。 特别是对于 AKS,此路径用于下载 Arc 代理程序和 Arc 扩展 Pod 的 Docker 映像。
Azure Local VM 流量的流向
HTTP 和 HTTPS 流量将转发到企业代理。 此版本尚不支持由 Arc 启用的 Azure 本地虚拟机(VM)中的 Arc 代理。
流量流向如下图所示:
受支持的方案和不受支持的方案
可以在以下方案中将 Arc 网关用于 Azure 本地版本 2411.1 或更高版本:
- 在部署运行版本 2411.1 或更高版本的新 Azure 本地实例时启用 Arc 网关。
- 必须在计划部署 Azure 本地实例的同一订阅上创建 Arc 网关资源。
Azure Local 不支持的场景包括:
- 不支持在部署后启用 Arc 网关。
未重定向 Azure Local 终结点
表中的终结点是必需的,并且必须在代理或防火墙中将其加入允许列表才能部署 Azure Local 实例:
| 终结点编号 | 必需的终结点 | 组件 |
|---|---|---|
| 1 | http://aka.ms:443 |
Bootstrap |
| 2 | http://azurestackreleases.download.prss.microsoft.com:443] |
Bootstrap框架 |
| 3 | http://login.microsoftonline.com:443 |
Arc 注册 |
| 4 | http://<region>.login.microsoft.com:443 |
Arc 注册 |
| 5 | http://management.azure.com:443 |
Arc 注册 |
| 6 | http://gbl.his.arc.azure.com:443 |
Arc 注册 |
| 7 | http://<region>.his.arc.azure.com:443 |
Arc 注册 |
| 8 | http://dc.services.visualstudio.com:443 |
Arc 注册 |
| 9 | https://<region>.obo.arc.azure.com:8084 |
AKS 扩展 |
| 10 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Arc 网关 |
| 11 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 12 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
云见证存储帐户 |
| 13 | http://files.pythonhosted.org:443 |
从第 2504 个新部署开始不再需要。 Microsoft 本地云/ARB/AKS |
| 14 | http://pypi.org:443 |
从第 2504 个新部署开始不再需要。 Microsoft 本地云/ARB/AKS |
| 15 | http://raw.githubusercontent.com:443 |
从第 2504 个新部署开始不再需要。 Microsoft 本地云/ARB/AKS |
| 16 | http://pythonhosted.org:443 |
从第 2504 个新部署开始不再需要。 Microsoft 本地云/ARB/AKS |
| 十七 | http://ocsp.digicert.com |
Arc 扩展的证书吊销列表 |
| 18 | http://s.symcd.com |
Arc 扩展的证书吊销列表 |
| 19 | http://ts-ocsp.ws.symantec.com |
Arc 扩展的证书吊销列表 |
| 20 | http://ocsp.globalsign.com |
Arc 扩展的证书吊销列表 |
| 21 | http://ocsp2.globalsign.com |
Arc 扩展的证书吊销列表 |
| 22 | http://oneocsp.microsoft.com |
Arc 扩展的证书吊销列表 |
| 23 | http://crl.microsoft.com/pkiinfra |
Arc 扩展的证书吊销列表 |
| 24 | http://dl.delivery.mp.microsoft.com |
Windows 更新 |
| 二十五 | http://*.tlu.dl.delivery.mp.microsoft.com |
Windows 更新 |
| 26 | http://*.windowsupdate.com |
Windows 更新 |
| 二十七 | http://*.windowsupdate.microsoft.com |
Windows 更新 |
| 28 | http://*.update.microsoft.com |
Windows 更新 |
限制和局限
请考虑此版本中 Arc 网关的以下局限性:
- Arc 网关预览不支持终止传输层安全(TLS)协议的代理。
- 在使用 Arc 网关(预览版)时,不支持同时使用 ExpressRoute、站点到站点 VPN 或专用终结点。
在 Azure 中创建 Arc 网关资源
你可以使用 Azure 门户、Azure CLI 或 Azure PowerShell 创建 Arc 网关资源。
- 登录到 Azure 门户。
- 转到 Azure Arc > Azure Arc 网关页面,然后选择“创建”。
- 选择您计划在其中部署 Azure 本地实例的订阅。
- 对于“名称”,输入 Arc 网关资源的名称。
- 对于“位置”,输入 Arc 网关资源应位于的区域。 一个 Arc 网关资源可供同一 Azure 租户中任何启用了 Arc 的资源使用。
- 选择“下一步”。
- 在“标记”页面上,指定一个或多个自定义标记以符合你的标准。
- 选择“查看 + 创建”。
- 查看你的详细信息,然后选择“创建”。
网关创建过程需要 9 到 10 分钟才能完成。
从计算机分离 Arc 网关或更改该关联
要将网关资源与你启用了 Arc 的服务器分离,将网关资源 ID 设置为 null。 若要将已启用 Arc 的服务器附加到另一个 Arc 网关资源,请使用新的 Arc 网关信息更新名称和资源 ID:
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-enabled server name> --gateway-resource-id "
删除 Arc 网关资源
在删除 Arc 网关资源之前,请确保没有附加任何设备。 要删除网关资源,请运行以下命令:
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
此操作可能需要几分钟时间。
后续步骤
此功能仅在 Azure Local 2411.1 版本或更高版本中可用。