Hálózati topológia és kapcsolat az Azure Arc-kompatibilis kiszolgálókhoz

  • Cikk

Az Azure Arc-kompatibilis kiszolgálók lehetővé teszik a Windows- és Linux rendszerű fizikai kiszolgálók és virtuális gépek (helyszíni környezetben vagy külső felhőszolgáltató által üzemeltetett) kezelését az Azure vezérlősík használatával. Ez a dokumentum egy felhőadaptálási keretrendszer nagyvállalati szintű célzóna-útmutató részeként ismerteti az Azure Arc-kompatibilis kiszolgálók kapcsolatának legfontosabb tervezési szempontjait és ajánlott eljárásait.

Ez a cikk feltételezi, hogy sikeresen implementálta a nagyvállalati szintű célzónát és a létrehozott hibrid hálózati kapcsolatokat, ezért az Azure Arc-kompatibilis kiszolgálók csatlakoztatott gépügynök-kapcsolatára összpontosít. Erről az előfeltételről további információt a nagyvállalati szintű áttekintésben és a megvalósítási útmutatóban talál.

Felépítés

Az alábbi ábra az Azure Arc-kompatibilis kiszolgálók kapcsolatára vonatkozó elméleti referenciaarchitektúrát mutatja be.

Diagram that shows Azure Arc-enabled servers connectivity options.

Kialakítási szempontok

Az alábbi lista áttekintést nyújt az Azure Arc-kompatibilis kiszolgálók hálózattervezési szempontjairól.

  • Az ügynök kapcsolati módjának meghatározása: Tekintse át a meglévő infrastruktúrát, a biztonsági követelményeket, és döntse el, hogy a csatlakoztatott gépügynök hogyan kommunikál az Azure-ral a helyszíni hálózatról vagy más felhőszolgáltatóktól. Ez a kapcsolat közvetlenül az interneten keresztül, proxykiszolgálón keresztül, vagy privát kapcsolat esetén is implementálható.
  • Az Azure-szolgáltatáscímkékhez való hozzáférés kezelése: Automatikus folyamat létrehozása a tűzfal és a proxy hálózati szabályainak frissítéséhez a Csatlakozás gépügynök hálózati követelményeinek megfelelően.
  • Az Azure Arc hálózati kapcsolatának védelme: Konfigurálja a gép operációs rendszerét a Transport Layer Security (TLS) 1.2-es verziójának használatára. A régebbi verziók nem ajánlottak az ismert biztonsági rések miatt.
  • Bővítmények kapcsolati módszerének meghatározása: Az Azure Arc-kompatibilis kiszolgálón üzembe helyezett Azure-bővítményeknek általában más Azure-szolgáltatásokkal kell kommunikálniuk. Ez a kapcsolat közvetlenül nyilvános hálózatokon keresztül, tűzfalon vagy proxykiszolgálón keresztül is elérhető. Ha a tervezéshez privát kapcsolat szükséges, további lépéseket kell tennie azon túl, hogy konfigurálja az Arc-ügynök privát végpontjait, hogy engedélyezhesse a privát végpontok közötti kapcsolatot a bővítmények által elért összes szolgáltatáshoz.
  • Tekintse át az általános kapcsolati architektúrát: Tekintse át az Azure-beli célzóna nagyvállalati szintű hálózati topológiáját és kapcsolattervezési területét , hogy felmérje az Azure Arc-kompatibilis kiszolgálók általános kapcsolatra gyakorolt hatását.

Tervezési javaslatok

Az Azure Arc-ügynök kapcsolati módszerének meghatározása

Az Azure Arc-kompatibilis kiszolgálók lehetővé teszik hibrid gépek csatlakoztatását az alábbi módszerekkel:

  • Közvetlen kapcsolat, opcionálisan tűzfal vagy proxykiszolgáló mögött
  • Azure Private Link

Közvetlen kapcsolat

Az Azure Arc-kompatibilis kiszolgálók közvetlen kapcsolatot biztosítanak az Azure nyilvános végpontjaival. Ezzel a kapcsolati módszerrel minden gépügynök megnyit egy kapcsolatot az interneten keresztül egy nyilvános végpont használatával. A Linux és a Windows csatlakoztatott gépügynöke biztonságosan kommunikál az Azure-zal a HTTPS protokoll (TCP/443) használatával.

A közvetlen kapcsolati módszer használatakor át kell tekintenie a csatlakoztatott gép ügynökének internetkapcsolatát. Javasoljuk, hogy konfigurálja a szükséges hálózati szabályokat.

Proxykiszolgáló vagy tűzfalkapcsolat (nem kötelező)

Ha a gép tűzfalat vagy proxykiszolgálót használ az interneten keresztüli kommunikációhoz, az ügynök a HTTPS protokoll használatával csatlakozik kifelé.

Ha a tűzfal vagy a proxykiszolgáló korlátozza a kimenő kapcsolatot, engedélyezze az IP-tartományokat a Csatlakozás gépügynök hálózati követelményeinek megfelelően. Ha csak a szükséges IP-tartományokat vagy tartományneveket engedélyezi az ügynöknek a szolgáltatással való kommunikációhoz, használja a szolgáltatáscímkéket és az URL-címeket a tűzfal vagy a proxykiszolgáló konfigurálásához.

Ha bővítményeket helyez üzembe az Azure Arc-kompatibilis kiszolgálókon, minden bővítmény a saját végpontjához vagy végpontjaihoz csatlakozik, és engedélyeznie kell az összes megfelelő URL-címet a tűzfalon vagy a proxyn. A végpontok hozzáadása biztosítja a részletes biztonságos hálózati forgalmat, hogy megfeleljen a minimális jogosultság (PoLP) elvének.

Az Azure Arc-kompatibilis kiszolgáló arc privát kapcsolati hatókörrel való használatával gondoskodhat arról, hogy az Arc-ügynököktől érkező összes forgalom a hálózaton maradjon. Ennek a konfigurációnak biztonsági előnyei vannak: a forgalom nem halad át az interneten, és nem kell annyi kimenő kivételt megnyitnia az adatközpont tűzfalán. A Private Link használata azonban számos felügyeleti kihívást jelent, ugyanakkor növeli az általános összetettség és a költségek számát, különösen a globális szervezetek számára. Ilyenek többek között a következők:

  • Az Arc Private Link-hatókörök használata az összes Arc-ügyfelet magában foglalja ugyanabban a DNS-hatókörben. Egyes Arc-ügyfelek nem használhatnak privát végpontokat, mások pedig nyilvánosan, amikor dns-kiszolgálót használnak (áthidaló megoldások, például DNS-szabályzatok nélkül)
  • Az Arc-ügyfeleknek vagy az elsődleges régióban lévő összes privát végpontot vagy DNS-t úgy kell konfigurálni, hogy ugyanazok a privát végpontok nevei feloldódjanak különböző IP-címekre (például szelektíven replikált DNS-partíciók használatával az Active Directoryval integrált DNS-hez). Ha ugyanazokat a privát végpontokat használja az összes Arc-ügyfélhez, képesnek kell lennie arra, hogy az összes hálózatból a privát végpontokra irányíthassa a forgalmat.
  • További lépések szükségesek annak biztosításához, hogy a privát végpontok az Arc használatával üzembe helyezett Bővítmények szoftverösszetevői által elért Azure-szolgáltatásokhoz is használhatók legyenek, például Log Analytics-munkaterületekhez, Automation-fiókokhoz, Key Vaulthoz vagy Azure Storage-hoz
  • Csatlakozás azure Entra ID-hez való hozzáférés nyilvános végpontot használ, így az ügyfeleknek továbbra is szükségük van némi internet-hozzáférésre

Ezen kihívások miatt azt javasoljuk, hogy értékelje ki, hogy a Private Link követelmény-e az Arc-implementációhoz. Vegye figyelembe, hogy a nyilvános végpontok esetében a forgalom titkosítva lesz, és az Arc for Servers használatának módjától függően a felügyeletre és a metaadat-forgalomra korlátozható. A biztonsági problémák enyhíthetők a helyi ügynök biztonsági vezérlőinek alkalmazásával.

További részletekért tekintse át az Arc Privát kapcsolat támogatásával kapcsolatos korlátozásokat és korlátozásokat .

Diagram that shows Azure Arc-enabled servers Private Link topology.

Tipp.

További információért tekintse át az Azure Private Link biztonságát .

Az Azure-szolgáltatáscímkékhez való hozzáférés kezelése

Javasoljuk, hogy implementáljon egy automatizált folyamatot a tűzfal és a proxy hálózati szabályainak az Azure Arc hálózati követelményeinek megfelelően történő frissítéséhez.

Az Azure Archoz való hálózati kapcsolat védelme

Javasoljuk, hogy a Transport Layer Security 1.2 protokoll használatával biztosítsa az Azure-ba átvitt adatok biztonságát. A TLS/Secure Sockets Layer (SSL) régebbi verziói sebezhetőnek bizonyultak, és nem ajánlottak.

Bővítmények kapcsolati módszerének meghatározása

Ha engedélyezi az Azure Arc-kompatibilis kiszolgálók támogatott virtuálisgép-bővítményeit, ezek a bővítmények más Azure-szolgáltatásokhoz csatlakoznak. Fontos meghatározni ezeknek a bővítményeknek a kapcsolati módját: közvetlenül, proxykiszolgáló/tűzfal mögött, vagy az Azure Private Link használatával.

Ha az Azure Arc-kompatibilis kiszolgálók proxyt vagy tűzfalat használnak, engedélyeznie kell a bővítményekhez szükséges összes URL-címet is, mivel azok a saját végpontjaikkal kommunikálnak.

Ha Privát kapcsolatot használ, minden szolgáltatáshoz konfigurálnia kell a Private Linket.

Következő lépések

A hibrid felhő bevezetésére vonatkozó további útmutatásért tekintse át a következő erőforrásokat: