Topologi dan konektivitas jaringan untuk server dengan dukungan Azure Arc

  • Artikel

Server berkemampuan Azure Arc memungkinkan Anda mengelola server fisik Windows dan Linux dan komputer virtual (dihosting baik di lingkungan lokal Anda atau oleh penyedia cloud pihak ketiga) menggunakan sarana kontrol Azure. Dokumen ini memandu Anda melalui pertimbangan desain utama dan praktik terbaik untuk konektivitas server dengan dukungan Azure Arc sebagai bagian dari panduan zona pendaratan skala perusahaan Cloud Adoption Framework.

Artikel ini mengasumsikan bahwa Anda telah berhasil menerapkan zona pendaratan skala perusahaan dan membuat koneksi jaringan hibrid, dan karenanya berfokus pada konektivitas agen mesin yang terhubung dengan server yang didukung Azure Arc. Untuk informasi selengkapnya tentang prasyarat ini, tinjau gambaran umum skala perusahaan dan panduan implementasi.

Arsitektur

Diagram berikut menunjukkan arsitektur referensi konseptual untuk konektivitas server yang didukung Azure Arc.

Diagram that shows Azure Arc-enabled servers connectivity options.

Pertimbangan Desain

Daftar berikut ini memberikan gambaran umum pertimbangan desain jaringan untuk server dengan dukungan Azure Arc.

  • Tentukan metode konektivitas agen: Tinjau infrastruktur, persyaratan keamanan, dan putuskan bagaimana agen komputer yang terhubung akan berkomunikasi dengan Azure dari jaringan lokal Anda atau penyedia cloud lainnya. Koneksi ini dapat langsung melalui internet, melalui server proksi, atau Anda dapat menerapkan Private Link untuk koneksi privat.
  • Mengelola akses ke tag layanan Azure: Buat proses otomatis untuk menjaga firewall dan aturan jaringan proksi tetap diperbarui sesuai dengan persyaratan jaringan agen Mesin yang Koneksi.
  • Mengamankan konektivitas jaringan Anda ke Azure Arc: Konfigurasikan sistem operasi mesin untuk menggunakan Keamanan Lapisan Transportasi (TLS) versi 1.2. Versi lama tidak disarankan karena kerentanan yang diketahui.
  • Tentukan metode konektivitas ekstensi: Ekstensi Azure yang disebarkan di server dengan dukungan Azure Arc biasanya perlu berkomunikasi dengan layanan Azure lainnya. Konektivitas ini dapat langsung menggunakan jaringan publik, melalui firewall, atau melalui server proksi. Jika desain Anda memerlukan konektivitas privat, Anda harus mengambil langkah tambahan selain mengonfigurasi Titik Akhir Privat untuk agen Arc guna mengaktifkan konektivitas Titik Akhir Privat untuk setiap layanan yang diakses oleh ekstensi.
  • Tinjau arsitektur konektivitas Anda secara keseluruhan: Tinjau topologi jaringan dan area desain konektivitas skala perusahaan zona pendaratan Azure untuk menilai dampak server dengan dukungan Azure Arc pada konektivitas Anda secara keseluruhan.

Rekomendasi desain

Menentukan metode konektivitas agen Azure Arc

Server dengan dukungan Azure Arc memungkinkan Anda menyambungkan komputer hibrid menggunakan metode berikut:

  • Koneksi langsung, secara opsional dari belakang firewall atau server proksi
  • Tautan Privat Azure

Sambungan langsung

Server dengan dukungan Azure Arc menawarkan konektivitas langsung ke titik akhir publik Azure. Dengan metode konektivitas ini, semua agen mesin akan membuka koneksi melalui internet menggunakan titik akhir publik. Agen mesin yang terhubung untuk Linux dan Windows berkomunikasi keluar ke Azure dengan cara yang aman menggunakan protokol HTTPS (TCP/443).

Saat menggunakan metode koneksi langsung, Anda perlu meninjau akses internet Anda untuk agen komputer yang terhubung. Sebaiknya konfigurasikan aturan jaringan yang diperlukan.

Server proksi atau koneksi firewall (opsional)

Jika komputer menggunakan firewall atau server proksi untuk berkomunikasi melalui internet, agen terhubung keluar menggunakan protokol HTTPS.

Jika konektivitas keluar dibatasi oleh firewall atau server proksi Anda, pastikan untuk mengizinkan rentang IP sesuai persyaratan jaringan agen Mesin yang Koneksi. Saat Anda hanya mengizinkan rentang IP atau nama domain yang diperlukan bagi agen untuk berkomunikasi dengan layanan, gunakan tag layanan dan URL untuk mengonfigurasi firewall atau server proksi Anda.

Jika Anda menyebarkan ekstensi di server dengan dukungan Azure Arc, setiap ekstensi terhubung ke titik akhir atau titik akhirnya sendiri, dan Anda juga harus mengizinkan semua URL yang sesuai di firewall atau proksi. Menambahkan titik akhir ini akan memastikan lalu lintas jaringan terperinci yang aman untuk memenuhi prinsip hak istimewa paling sedikit (PoLP).

Dengan menggunakan server berkemampuan Azure Arc dengan Cakupan Tautan Privat Arc, Anda dapat memastikan bahwa semua lalu lintas dari agen Arc Anda tetap berada di jaringan Anda. Konfigurasi ini memiliki keuntungan keamanan: lalu lintas tidak melintasi Internet dan Anda tidak perlu membuka sebanyak mungkin pengecualian keluar pada firewall pusat data Anda. Namun, menggunakan Private Link memberlakukan sejumlah tantangan manajemen sambil meningkatkan kompleksitas dan biaya secara keseluruhan, terutama untuk organisasi global. Beberapa tantangan ini adalah:

  • Pilihan untuk menggunakan Cakupan Azure Private Link Arc mencakup semua klien Arc di bawah cakupan DNS yang sama. Anda tidak dapat memiliki beberapa klien Arc menggunakan Titik Akhir Privat dan beberapa menggunakan publik saat mereka berbagi server DNS (tanpa solusi seperti Kebijakan DNS)
  • Klien Arc Anda baik semua Titik Akhir Privat di wilayah utama atau DNS perlu dikonfigurasi sehingga nama Titik Akhir Privat yang sama diselesaikan ke alamat IP yang berbeda (misalnya, menggunakan partisi DNS yang direplikasi secara selektif untuk DNS terintegrasi Direktori Aktif). Jika Anda menggunakan Titik Akhir Privat yang sama untuk semua klien Arc, Anda harus dapat merutekan lalu lintas dari semua jaringan Anda ke Titik Akhir Privat.
  • Langkah tambahan diperlukan untuk memastikan Titik Akhir Privat juga digunakan untuk layanan Azure apa pun yang diakses oleh komponen perangkat lunak Ekstensi yang disebarkan menggunakan Arc, seperti ruang kerja Analitik Log, Akun Automation, Key Vault, atau Azure Storage
  • Koneksi ke ID Azure Entra menggunakan titik akhir publik, sehingga klien masih memerlukan beberapa akses internet

Karena tantangan ini, sebaiknya evaluasi apakah Private Link adalah persyaratan untuk implementasi Arc Anda. Pertimbangkan bahwa dengan titik akhir publik, lalu lintas akan dienkripsi dan, tergantung pada cara menggunakan Arc untuk Server, dapat terbatas pada lalu lintas manajemen dan metadata. Masalah keamanan dapat dikucilkan dengan menerapkan kontrol keamanan agen lokal.

Tinjau batasan dan batasan yang terkait dengan dukungan Private Link untuk Arc untuk detail selengkapnya.

Diagram that shows Azure Arc-enabled servers Private Link topology.

Tip

Tinjau keamanan Azure Private Link untuk informasi selengkapnya.

Mengelola akses ke tag layanan Azure

Sebaiknya terapkan proses otomatis untuk menjaga aturan jaringan firewall dan proksi tetap diperbarui sesuai dengan persyaratan jaringan Azure Arc.

Mengamankan konektivitas jaringan Anda ke Azure Arc

Sebaiknya gunakan protokol Transport Layer Security 1.2 untuk memastikan keamanan data saat transit ke Azure. Versi TLS/Secure Sockets Layer (SSL) yang lebih lama ditemukan rentan dan tidak disarankan.

Menentukan metode konektivitas ekstensi

Saat Anda mengaktifkan salah satu server berkemampuan Azure Arc yang mendukung ekstensi VM, ekstensi tersebut terhubung ke layanan Azure lainnya. Penting untuk menentukan metode konektivitas untuk ekstensi tersebut: baik secara langsung, di belakang server/firewall proksi, atau menggunakan Azure Private Link.

Jika server berkemampuan Azure Arc Anda menggunakan proksi atau firewall, Anda juga harus mengizinkan semua URL yang diperlukan untuk ekstensi, karena mereka akan berkomunikasi dengan titik akhir mereka sendiri.

Jika menggunakan Private Link, Anda harus mengonfigurasi Private Link untuk setiap layanan.

Langkah berikutnya

Untuk panduan selengkapnya tentang perjalanan adopsi cloud hibrid Anda, tinjau sumber daya berikut: