Síťová topologie a možnosti připojení pro servery s podporou Služby Azure Arc

Servery s podporou Azure Arc umožňují spravovat fyzické servery a virtuální počítače s Windows a Linuxem (hostované buď v místním prostředí, nebo poskytovatelem cloudu třetí strany) pomocí řídicí roviny Azure. Tento dokument vás provede klíčovými aspekty návrhu a osvědčenými postupy pro připojení serverů s podporou Azure Arc v rámci pokynů k cílové zóně architektury přechodu na cloud.

Tento článek předpokládá, že jste úspěšně implementovali cílovou zónu na podnikové úrovni a vytvořili hybridní síťová připojení, a proto se zaměřujete na připojení agenta počítače připojeného k Azure Arc. Další informace o tomto požadavku najdete v přehledu podnikového rozsahu a pokyny k implementaci.

Architektura

Následující diagram znázorňuje koncepční referenční architekturu pro připojení serverů s podporou Azure Arc.

Aspekty návrhu

Následující seznam obsahuje přehled aspektů návrhu sítě pro servery s podporou Azure Arc.

• Definujte metodu připojení agenta: Zkontrolujte stávající infrastrukturu, požadavky na zabezpečení a rozhodněte, jak bude agent připojeného počítače komunikovat s Azure z vaší místní sítě nebo jiných poskytovatelů cloudu. Toto připojení může jít přímo přes internet, přes proxy server nebo můžete implementovat Private Link pro privátní připojení.
• Správa přístupu ke značkům služeb Azure: Vytvořte automatizovaný proces, který udržuje pravidla sítě brány firewall a proxy serveru aktualizována podle požadavků na síť agenta Připojení počítače.
• Zabezpečení síťového připojení ke službě Azure Arc: Nakonfigurujte operační systém počítače tak, aby používal protokol TLS (Transport Layer Security) verze 1.2. Starší verze se nedoporučují kvůli známým chybám zabezpečení.
• Definujte metodu připojení rozšíření: Rozšíření Azure nasazená na serveru s podporou Azure Arc obvykle potřebují komunikovat s jinými službami Azure. Toto připojení může jít přímo pomocí veřejných sítí, přes bránu firewall nebo přes proxy server. Pokud váš návrh vyžaduje privátní připojení, budete muset provést další kroky nad rámec konfigurace privátních koncových bodů pro agenta Arc, abyste povolili připojení privátního koncového bodu pro každou službu, ke které přistupuje rozšíření.
• Projděte si celkovou architekturu připojení: Zkontrolujte topologii sítě a oblast návrhu připojení cílové zóny Azure na podnikové úrovni a vyhodnoťte dopad serverů s podporou Azure Arc na celkové připojení.

Doporučení k návrhu

Definování metody připojení agenta Azure Arc

Servery s podporou Azure Arc umožňují připojit hybridní počítače pomocí následujících metod:

• Přímé připojení, volitelně zezadu za bránou firewall nebo proxy serverem
• Azure Private Link

Přímé připojení

Servery s podporou Azure Arc nabízejí přímé připojení k veřejným koncovým bodům Azure. Pomocí této metody připojení otevřou všichni agenti počítačů připojení přes internet pomocí veřejného koncového bodu. Agent připojených počítačů pro Linux a Windows komunikuje s Azure zabezpečeným způsobem pomocí protokolu HTTPS (TCP/443).

Při použití metody přímého připojení je potřeba zkontrolovat přístup k internetu pro agenta připojeného počítače. Doporučujeme nakonfigurovat požadovaná pravidla sítě.

Proxy server nebo připojení brány firewall (volitelné)

Pokud počítač používá bránu firewall nebo proxy server ke komunikaci přes internet, agent se připojí k odchozímu přenosu pomocí protokolu HTTPS.

Pokud je odchozí připojení omezené bránou firewall nebo proxy serverem, nezapomeňte povolit rozsahy IP adres podle požadavků na síť agenta Připojení počítače. Pokud povolíte komunikaci agenta se službou jenom požadovanými rozsahy IP adres nebo názvy domén, nakonfigurujte bránu firewall nebo proxy server pomocí značek služeb a adres URL .

Pokud nasadíte rozšíření na servery s podporou Služby Azure Arc, každé rozšíření se připojí k vlastnímu koncovému bodu nebo koncovým bodům a musíte také povolit všechny odpovídající adresy URL v bráně firewall nebo proxy serveru. Přidáním těchto koncových bodů zajistíte podrobné zabezpečené síťové přenosy, aby splňovaly princip nejnižších oprávnění (PoLP).

Private Link

Pomocí serveru s podporou Azure Arc s oborem služby Arc Private Link můžete zajistit, aby veškerý provoz z agentů Arc zůstal ve vaší síti. Tato konfigurace má výhody zabezpečení: Provoz neprochází internetem a nemusíte otevírat tolik odchozích výjimek v bráně firewall datacentra. Použití služby Private Link však přináší řadu výzev správy a současně zvyšuje celkovou složitost a náklady, zejména pro globální organizace. Příklady problémů, které je potřeba řešit:

• Volba použití oborů služby Arc Private Link zahrnuje všechny klienty Arc ve stejném oboru DNS. Někteří klienti Arc nemůžou používat privátní koncové body ani veřejné, když sdílejí server DNS (bez alternativních řešení, jako jsou zásady DNS).
• Klienti Arc musí být nakonfigurovaní buď všechny privátní koncové body v primární oblasti, nebo DNS tak, aby se stejné názvy privátních koncových bodů přeložily na různé IP adresy (například pomocí selektivně replikovaných oddílů DNS pro DNS integrované se službou Active Directory). Pokud používáte stejné privátní koncové body pro všechny klienty Arc, musíte být schopni směrovat provoz ze všech sítí do privátních koncových bodů.
• Další kroky jsou potřeba k zajištění, aby se privátní koncové body používaly také pro všechny služby Azure, ke které přistupují softwarové komponenty rozšíření nasazené pomocí služby Arc, jako jsou pracovní prostory služby Log Analytics, účty Automation, Key Vault nebo Azure Storage.
• Připojení ivity pro Azure Entra ID používá veřejný koncový bod, takže klienti stále vyžadují přístup k internetu.

Kvůli těmto výzvám doporučujeme vyhodnotit, jestli je private link požadavkem pro implementaci arc. Vezměte v úvahu, že u veřejných koncových bodů se provoz zašifruje a v závislosti na tom, jak používat Arc pro servery, může být omezený na provoz správy a metadat. Problémy se zabezpečením je možné zmírnit implementací kontrolních mechanismů zabezpečení místního agenta.

Další podrobnosti najdete v omezeních a omezeních spojených s podporou služby Private Link pro Arc.

Tip

Další informace najdete v zabezpečení služby Azure Private Link.

Správa přístupu ke značek služeb Azure

Doporučujeme implementovat automatizovaný proces pro udržování pravidel sítě brány firewall a proxy serveru podle požadavků na síť Azure Arc.

Zabezpečení síťového připojení ke službě Azure Arc

K zajištění zabezpečení přenášených dat do Azure doporučujeme použít protokol Transport Layer Security 1.2. Starší verze protokolu TLS/Secure Sockets Layer (SSL) byly ohroženy a nedoporučuje se.

Definování metody připojení rozšíření

Když povolíte některé z podporovaných rozšíření virtuálních počítačů s podporou Azure Arc, připojují se tato rozšíření k dalším službám Azure. Je důležité určit metodu připojení pro tato rozšíření: buď přímo, za proxy serverem nebo bránou firewall, nebo pomocí služby Azure Private Link.

Pokud vaše servery s podporou Azure Arc používají proxy server nebo bránu firewall, musíte také povolit všechny adresy URL vyžadované pro rozšíření, protože budou komunikovat se svými vlastními koncovými body.

Pokud používáte službu Private Link, musíte pro každou službu nakonfigurovat službu Private Link.

Další kroky

Další pokyny pro cestu přechodu na hybridní cloud najdete v následujících zdrojích informací:

• Projděte si scénáře azure Arc Jumpstart .
• Projděte si požadavky pro servery s podporou Azure Arc.
• Zkontrolujte požadovanou konfiguraci sítě pro metodu připojení Private Link.
• Zjistěte, jak fungují servery s podporou Služby Azure Arc Private Link .
• Naplánujte nasazení serverů s povolením služby Azure Arc ve velkém měřítku.
• Naplánujte nastavení služby Private Link.
• Pokud chcete vyřešit všechny problémy s připojením, projděte si průvodce připojením agenta agenta azure Arc s podporou služby Azure Arc.
• Další informace o Azure Arc najdete ve studijním programu Azure Arc.