Topologia di rete e connettività per i server abilitati per Azure Arc

I server abilitati per Azure Arc consentono di gestire i server fisici Windows e Linux e le macchine virtuali (ospitati nell'ambiente locale o da un provider di servizi cloud di terze parti) usando il piano di controllo di Azure. Questo documento illustra le principali considerazioni sulla progettazione e le procedure consigliate per la connettività dei server abilitati per Azure Arc come parte di una guida per la zona di destinazione su scala aziendale di Cloud Adoption Framework.

Questo articolo presuppone che sia stata implementata correttamente la zona di destinazione su scala aziendale e che siano state stabilite connessioni di rete ibride, quindi si concentra sulla connettività dell'agente computer connesso ai server abilitati per Azure Arc. Per altre informazioni su questo prerequisito, vedere la panoramica su scala aziendale e le linee guida per l'implementazione.

Architettura

Il diagramma seguente illustra un'architettura di riferimento concettuale per la connettività dei server abilitati per Azure Arc.

Considerazioni relative alla progettazione

L'elenco seguente offre una panoramica delle considerazioni sulla progettazione di rete per i server abilitati per Azure Arc.

• Definire il metodo di connettività dell'agente: esaminare l'infrastruttura esistente, i requisiti di sicurezza e decidere come l'agente del computer connesso comunicherà con Azure dalla rete locale o da altri provider di servizi cloud. Questa connessione può passare direttamente tramite Internet, tramite un server proxy oppure è possibile implementare collegamento privato per una connessione privata.
• Gestire l'accesso ai tag del servizio di Azure: creare un processo automatizzato per mantenere aggiornate le regole di rete del firewall e del proxy in base ai requisiti di rete dell'agente machine Connessione ed.
• Proteggere la connettività di rete ad Azure Arc: configurare il sistema operativo del computer per l'uso di Transport Layer Security (TLS) versione 1.2. Le versioni precedenti non sono consigliate a causa di vulnerabilità note.
• Definire il metodo di connettività delle estensioni: le estensioni di Azure distribuite in un server abilitato per Azure Arc devono in genere comunicare con altri servizi di Azure. Questa connettività può essere usata direttamente tramite reti pubbliche, tramite un firewall o tramite un server proxy. Se la progettazione richiede connettività privata, è necessario eseguire passaggi aggiuntivi oltre alla configurazione degli endpoint privati per l'agente Arc per abilitare la connettività dell'endpoint privato per ogni servizio a cui si accede dalle estensioni.
• Esaminare l'architettura di connettività complessiva: esaminare l'area di progettazione della topologia di rete e della connettività della zona di destinazione di Azure su scala aziendale per valutare l'impatto dei server abilitati per Azure Arc sulla connettività complessiva.

Suggerimenti per la progettazione

Definire il metodo di connettività dell'agente Azure Arc

I server abilitati per Azure Arc consentono di connettere computer ibridi usando i metodi seguenti:

• Connessione diretta, facoltativamente da dietro un firewall o un server proxy
• Collegamento privato di Azure

Connessione diretta

I server abilitati per Azure Arc offrono una connettività diretta agli endpoint pubblici di Azure. Con questo metodo di connettività, tutti gli agenti del computer apriranno una connessione tramite Internet usando un endpoint pubblico. L'agente del computer connesso per Linux e Windows comunica in uscita ad Azure in modo sicuro usando il protocollo HTTPS (TCP/443).

Quando si usa il metodo di connessione diretta, è necessario esaminare l'accesso a Internet per l'agente del computer connesso. È consigliabile configurare le regole di rete necessarie.

Connessione del server proxy o del firewall (facoltativo)

Se il computer usa un firewall o un server proxy per comunicare tramite Internet, l'agente si connette in uscita tramite il protocollo HTTPS.

Se la connettività in uscita è limitata dal firewall o da un server proxy, assicurarsi di consentire gli intervalli IP in base ai requisiti di rete dell'agente computer Connessione ed. Quando si consentono solo agli intervalli IP o ai nomi di dominio necessari per l'agente di comunicare con il servizio, usare tag di servizio e URL per configurare il firewall o il server proxy.

Se si distribuiscono estensioni nei server abilitati per Azure Arc, ogni estensione si connette al proprio endpoint o endpoint ed è anche necessario consentire tutti gli URL corrispondenti nel firewall o nel proxy. L'aggiunta di questi endpoint garantisce un traffico di rete protetto granulare per soddisfare il principio dei privilegi minimi (PoLP).

Collegamento privato

Usando il server abilitato per Azure Arc con Arc collegamento privato Scope, è possibile assicurarsi che tutto il traffico proveniente dagli agenti Arc rimanga nella rete. Questa configurazione presenta vantaggi per la sicurezza: il traffico non attraversa Internet e non è necessario aprire tutte le eccezioni in uscita nel firewall del data center. Tuttavia, l'uso di collegamento privato impone una serie di problemi di gestione, aumentando la complessità e i costi complessivi, soprattutto per le organizzazioni globali. Questi sono alcuni dei problemi:

• La scelta di usare gli ambiti di collegamento privato Arc include tutti i client Arc nello stesso ambito DNS. Non è possibile avere alcuni client Arc che usano endpoint privati e alcuni usano public quando condividono un server DNS (senza soluzioni alternative come i criteri DNS)
• È necessario configurare tutti gli endpoint privati in un'area primaria o DNS in modo che gli stessi nomi di endpoint privati vengano risolti in indirizzi IP diversi, ad esempio usando partizioni DNS replicate in modo selettivo per IL DNS integrato in Active Directory. Se si usano gli stessi endpoint privati per tutti i client Arc, è necessario essere in grado di instradare il traffico da tutte le reti agli endpoint privati.
• Sono necessari passaggi aggiuntivi per assicurarsi che gli endpoint privati vengano usati anche per tutti i servizi di Azure a cui si accede dai componenti software delle estensioni distribuiti tramite Arc, ad esempio aree di lavoro Log Analytics, account di automazione, Key Vault o Archiviazione di Azure
• Connessione ivity to Azure Entra ID usa l'endpoint pubblico, quindi i client richiedono comunque un accesso a Internet

A causa di queste sfide, è consigliabile valutare se collegamento privato è un requisito per l'implementazione di Arc. Si consideri che con gli endpoint pubblici, il traffico verrà crittografato e, a seconda di come usare Arc per server, può essere limitato alla gestione e al traffico dei metadati. I problemi di sicurezza possono essere risolti implementando i controlli di sicurezza dell'agente locale.

Per altri dettagli, vedere le restrizioni e le limitazioni associate al supporto di collegamento privato per Arc.

Suggerimento

Per altre informazioni, vedere collegamento privato di Azure sicurezza.

Gestire l'accesso ai tag del servizio di Azure

È consigliabile implementare un processo automatizzato per mantenere aggiornate le regole di rete firewall e proxy in base ai requisiti di rete di Azure Arc.

Proteggere la connettività di rete ad Azure Arc

È consigliabile usare il protocollo Transport Layer Security 1.2 per garantire la sicurezza dei dati in transito in Azure. Le versioni precedenti di TLS/Secure Sockets Layer (SSL) sono state trovate vulnerabili e non sono consigliate.

Definire il metodo di connettività delle estensioni

Quando si abilita una delle estensioni vm supportate per i server abilitati per Azure Arc, tali estensioni si connettono ad altri servizi di Azure. È importante determinare il metodo di connettività per tali estensioni: direttamente, dietro un server proxy o un firewall o usando collegamento privato di Azure.

Se i server abilitati per Azure Arc usano un proxy o un firewall, è necessario consentire anche tutti gli URL necessari per le estensioni, perché comunicheranno con i propri endpoint.

Se si usa collegamento privato, è necessario configurare collegamento privato per ogni servizio.

Passaggi successivi

Per altre indicazioni per il percorso di adozione del cloud ibrido, vedere le risorse seguenti:

• Esaminare gli scenari di avvio rapido di Azure Arc.
• Esaminare i prerequisiti per i server abilitati per Azure Arc.
• Esaminare la configurazione di rete necessaria per il metodo di connettività collegamento privato.
• Informazioni sul funzionamento dei server abilitati per Azure Arc collegamento privato.
• Pianificare una distribuzione su larga scala dei server con abilitazione di Azure Arc.
• Pianificare la configurazione collegamento privato.
• Per risolvere eventuali problemi di connettività, vedere la guida alla risoluzione dei problemi di connessione dell'agente di server abilitati per Azure Arc.
• Altre informazioni su Azure Arc tramite il percorso di apprendimento di Azure Arc.