Hálózati topológia és kapcsolat az Azure Arc-kompatibilis kiszolgálókhoz
Az Azure Arc-kompatibilis kiszolgálók lehetővé teszik a Windows- és Linux rendszerű fizikai kiszolgálók és virtuális gépek (helyszíni környezetben vagy külső felhőszolgáltató által üzemeltetett) kezelését az Azure vezérlősík használatával. Ez a dokumentum egy felhőadaptálási keretrendszer nagyvállalati szintű célzóna-útmutató részeként ismerteti az Azure Arc-kompatibilis kiszolgálók kapcsolatának legfontosabb tervezési szempontjait és ajánlott eljárásait.
Ez a cikk feltételezi, hogy sikeresen implementálta a nagyvállalati szintű célzónát és a létrehozott hibrid hálózati kapcsolatokat, ezért az Azure Arc-kompatibilis kiszolgálók csatlakoztatott gépügynök-kapcsolatára összpontosít. Erről az előfeltételről további információt a nagyvállalati szintű áttekintésben és a megvalósítási útmutatóban talál.
Felépítés
Az alábbi ábra az Azure Arc-kompatibilis kiszolgálók kapcsolatára vonatkozó elméleti referenciaarchitektúrát mutatja be.
Kialakítási szempontok
Az alábbi lista áttekintést nyújt az Azure Arc-kompatibilis kiszolgálók hálózattervezési szempontjairól.
- Az ügynök kapcsolati módjának meghatározása: Tekintse át a meglévő infrastruktúrát, a biztonsági követelményeket, és döntse el, hogy a csatlakoztatott gépügynök hogyan kommunikál az Azure-ral a helyszíni hálózatról vagy más felhőszolgáltatóktól. Ez a kapcsolat közvetlenül az interneten keresztül, proxykiszolgálón keresztül, vagy privát kapcsolat esetén is implementálható.
- Az Azure-szolgáltatáscímkékhez való hozzáférés kezelése: Automatikus folyamat létrehozása a tűzfal és a proxy hálózati szabályainak frissítéséhez a Csatlakozás gépügynök hálózati követelményeinek megfelelően.
- Az Azure Arc hálózati kapcsolatának védelme: Konfigurálja a gép operációs rendszerét a Transport Layer Security (TLS) 1.2-es verziójának használatára. A régebbi verziók nem ajánlottak az ismert biztonsági rések miatt.
- Bővítmények kapcsolati módszerének meghatározása: Az Azure Arc-kompatibilis kiszolgálón üzembe helyezett Azure-bővítményeknek általában más Azure-szolgáltatásokkal kell kommunikálniuk. Ez a kapcsolat közvetlenül nyilvános hálózatokon keresztül, tűzfalon vagy proxykiszolgálón keresztül is elérhető. Ha a tervezéshez privát kapcsolat szükséges, további lépéseket kell tennie azon túl, hogy konfigurálja az Arc-ügynök privát végpontjait, hogy engedélyezhesse a privát végpontok közötti kapcsolatot a bővítmények által elért összes szolgáltatáshoz.
- Tekintse át az általános kapcsolati architektúrát: Tekintse át az Azure-beli célzóna nagyvállalati szintű hálózati topológiáját és kapcsolattervezési területét , hogy felmérje az Azure Arc-kompatibilis kiszolgálók általános kapcsolatra gyakorolt hatását.
Tervezési javaslatok
Az Azure Arc-ügynök kapcsolati módszerének meghatározása
Az Azure Arc-kompatibilis kiszolgálók lehetővé teszik hibrid gépek csatlakoztatását az alábbi módszerekkel:
- Közvetlen kapcsolat, opcionálisan tűzfal vagy proxykiszolgáló mögött
- Azure Private Link
Közvetlen kapcsolat
Az Azure Arc-kompatibilis kiszolgálók közvetlen kapcsolatot biztosítanak az Azure nyilvános végpontjaival. Ezzel a kapcsolati módszerrel minden gépügynök megnyit egy kapcsolatot az interneten keresztül egy nyilvános végpont használatával. A Linux és a Windows csatlakoztatott gépügynöke biztonságosan kommunikál az Azure-zal a HTTPS protokoll (TCP/443) használatával.
A közvetlen kapcsolati módszer használatakor át kell tekintenie a csatlakoztatott gép ügynökének internetkapcsolatát. Javasoljuk, hogy konfigurálja a szükséges hálózati szabályokat.
Proxykiszolgáló vagy tűzfalkapcsolat (nem kötelező)
Ha a gép tűzfalat vagy proxykiszolgálót használ az interneten keresztüli kommunikációhoz, az ügynök a HTTPS protokoll használatával csatlakozik kifelé.
Ha a tűzfal vagy a proxykiszolgáló korlátozza a kimenő kapcsolatot, engedélyezze az IP-tartományokat a Csatlakozás gépügynök hálózati követelményeinek megfelelően. Ha csak a szükséges IP-tartományokat vagy tartományneveket engedélyezi az ügynöknek a szolgáltatással való kommunikációhoz, használja a szolgáltatáscímkéket és az URL-címeket a tűzfal vagy a proxykiszolgáló konfigurálásához.
Ha bővítményeket helyez üzembe az Azure Arc-kompatibilis kiszolgálókon, minden bővítmény a saját végpontjához vagy végpontjaihoz csatlakozik, és engedélyeznie kell az összes megfelelő URL-címet a tűzfalon vagy a proxyn. A végpontok hozzáadása biztosítja a részletes biztonságos hálózati forgalmat, hogy megfeleljen a minimális jogosultság (PoLP) elvének.
Privát kapcsolat
Az Azure Arc-kompatibilis kiszolgáló arc privát kapcsolati hatókörrel való használatával gondoskodhat arról, hogy az Arc-ügynököktől érkező összes forgalom a hálózaton maradjon. Ennek a konfigurációnak biztonsági előnyei vannak: a forgalom nem halad át az interneten, és nem kell annyi kimenő kivételt megnyitnia az adatközpont tűzfalán. A Private Link használata azonban számos felügyeleti kihívást jelent, ugyanakkor növeli az általános összetettség és a költségek számát, különösen a globális szervezetek számára. Ilyenek többek között a következők:
- Az Arc Private Link-hatókörök használata az összes Arc-ügyfelet magában foglalja ugyanabban a DNS-hatókörben. Egyes Arc-ügyfelek nem használhatnak privát végpontokat, mások pedig nyilvánosan, amikor dns-kiszolgálót használnak (áthidaló megoldások, például DNS-szabályzatok nélkül)
- Az Arc-ügyfeleknek vagy az elsődleges régióban lévő összes privát végpontot vagy DNS-t úgy kell konfigurálni, hogy ugyanazok a privát végpontok nevei feloldódjanak különböző IP-címekre (például szelektíven replikált DNS-partíciók használatával az Active Directoryval integrált DNS-hez). Ha ugyanazokat a privát végpontokat használja az összes Arc-ügyfélhez, képesnek kell lennie arra, hogy az összes hálózatból a privát végpontokra irányíthassa a forgalmat.
- További lépések szükségesek annak biztosításához, hogy a privát végpontok az Arc használatával üzembe helyezett Bővítmények szoftverösszetevői által elért Azure-szolgáltatásokhoz is használhatók legyenek, például Log Analytics-munkaterületekhez, Automation-fiókokhoz, Key Vaulthoz vagy Azure Storage-hoz
- Csatlakozás azure Entra ID-hez való hozzáférés nyilvános végpontot használ, így az ügyfeleknek továbbra is szükségük van némi internet-hozzáférésre
Ezen kihívások miatt azt javasoljuk, hogy értékelje ki, hogy a Private Link követelmény-e az Arc-implementációhoz. Vegye figyelembe, hogy a nyilvános végpontok esetében a forgalom titkosítva lesz, és az Arc for Servers használatának módjától függően a felügyeletre és a metaadat-forgalomra korlátozható. A biztonsági problémák enyhíthetők a helyi ügynök biztonsági vezérlőinek alkalmazásával.
További részletekért tekintse át az Arc Privát kapcsolat támogatásával kapcsolatos korlátozásokat és korlátozásokat .
Tipp.
További információért tekintse át az Azure Private Link biztonságát .
Az Azure-szolgáltatáscímkékhez való hozzáférés kezelése
Javasoljuk, hogy implementáljon egy automatizált folyamatot a tűzfal és a proxy hálózati szabályainak az Azure Arc hálózati követelményeinek megfelelően történő frissítéséhez.
Az Azure Archoz való hálózati kapcsolat védelme
Javasoljuk, hogy a Transport Layer Security 1.2 protokoll használatával biztosítsa az Azure-ba átvitt adatok biztonságát. A TLS/Secure Sockets Layer (SSL) régebbi verziói sebezhetőnek bizonyultak, és nem ajánlottak.
Bővítmények kapcsolati módszerének meghatározása
Ha engedélyezi az Azure Arc-kompatibilis kiszolgálók támogatott virtuálisgép-bővítményeit, ezek a bővítmények más Azure-szolgáltatásokhoz csatlakoznak. Fontos meghatározni ezeknek a bővítményeknek a kapcsolati módját: közvetlenül, proxykiszolgáló/tűzfal mögött, vagy az Azure Private Link használatával.
Ha az Azure Arc-kompatibilis kiszolgálók proxyt vagy tűzfalat használnak, engedélyeznie kell a bővítményekhez szükséges összes URL-címet is, mivel azok a saját végpontjaikkal kommunikálnak.
Ha Privát kapcsolatot használ, minden szolgáltatáshoz konfigurálnia kell a Private Linket.
Következő lépések
A hibrid felhő bevezetésére vonatkozó további útmutatásért tekintse át a következő erőforrásokat:
- Tekintse át az Azure Arc jumpstart-forgatókönyveit .
- Tekintse át az Azure Arc-kompatibilis kiszolgálók előfeltételeit .
- Tekintse át a Private Link kapcsolati módszerhez szükséges hálózati konfigurációt .
- Ismerje meg az Azure Arc-kompatibilis kiszolgálók Private Link működését.
- Tervezze meg az Azure Arc-kompatibilis kiszolgálók nagy léptékű üzembe helyezését .
- Tervezze meg a Private Link beállítását.
- A csatlakozási problémák megoldásához tekintse át az Azure Arc-kompatibilis kiszolgálók ügynökeinek kapcsolati útmutatóját.
- További információ az Azure Arcról az Azure Arc képzési tervével.