Compartilhar via

Conectividade privada para clusters do Kubernetes habilitados para Arc usando link privado (versão prévia)

  • Artigo

O Link Privado do Azure permite vincular com segurança os serviços do Azure à sua rede virtual usando pontos de extremidade privados. Isso significa que você pode conectar os seus clusters do Kubernetes locais com o Azure Arc e enviar todo o tráfego por uma conexão VPN site a site ou do Azure ExpressRoute em vez de usar redes públicas. No Azure Arc, você pode usar um modelo de Escopo de Link Privado para permitir que vários clusters do Kubernetes se comuniquem com os respectivos recursos do Azure Arc usando um só ponto de extremidade privado.

Este documento aborda quando usar e como configurar um Link Privado do Azure Arc (versão prévia).

Importante

O recurso de Link Privado do Azure Arc está atualmente em VERSÃO PRÉVIA em todas as regiões em que o Kubernetes habilitado para Azure Arc está presente, exceto no Sudeste da Ásia. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Vantagens

Com o Link Privado, você pode:

  • Conectar-se de maneira particular ao Azure Arc sem abrir nenhum acesso de rede pública.
  • Garantir que os dados do cluster do Kubernetes habilitado para Arc só sejam acessados por meio de redes privadas autorizadas.
  • Evitar a exfiltração dos dados das suas redes privadas definindo clusters do Kubernetes específicos habilitados para Azure Arc e outros recursos de serviços do Azure, como o Azure Monitor, que se conecta por meio do ponto de extremidade privado.
  • Conectar sua rede local privada ao Azure Arc com segurança usando o ExpressRoute e o Link Privado.
  • Manter todo o tráfego dentro da rede de principal do Microsoft Azure.

Para obter mais informações, confira Principais benefícios do Link Privado do Azure.

Como ele funciona

O Escopo de Link Privado do Azure Arc conecta pontos de extremidade privados (e as redes virtuais em que eles estão contidos) com um recurso do Azure, nesse caso os clusters do Kubernetes habilitados para o Azure Arc. Quando você habilita qualquer uma das extensões com suporte do cluster do Kubernetes habilitado para Arc, como o Azure Monitor, a conexão com outros recursos do Azure pode ser necessária para esses cenários. Por exemplo, no caso do Azure Monitor, os logs coletados do cluster são enviados para o workspace do Log Analytics.

A conectividade com os outros recursos do Azure em um cluster do Kubernetes habilitado para Arc listado anteriormente exige a configuração do Link Privado para cada serviço. Para obter um exemplo, confira Link Privado para o Azure Monitor.

Limitações atuais

Considere essas limitações atuais ao planejar sua configuração de Link Privado.

  • Você pode associar, no máximo, um Escopo de Link Privado do Azure Arc a uma rede virtual.

  • Um cluster do Kubernetes habilitado para o Azure Arc só pode se conectar com um Escopo de Link Privado do Azure Arc.

  • Todos os clusters do Kubernetes locais precisam usar o mesmo ponto de extremidade privado, resolvendo as informações corretas do ponto de extremidade privado (nome do registro FQDN e endereço IP privado) com o mesmo encaminhador de DNS. Para obter mais informações, confira Configuração de DNS do ponto de extremidade privado do Azure. O cluster do Kubernetes habilitado para Azure Arc, o Escopo de Link Privado do Azure Arc e a rede virtual precisam estar na mesma região do Azure. O ponto de extremidade privado e a rede virtual também devem estar na mesma região do Azure, mas essa região pode ser diferente daquela do Escopo de Link Privado do Azure Arc e do cluster do Kubernetes habilitado para Arc.

  • O tráfego para a Microsoft Entra ID, o Azure Resource Manager e as marcas de serviço do Registro de Contêiner da Microsoft devem ser permitidos por meio do firewall de rede local durante a visualização.

  • Os outros serviços do Azure que você usará, por exemplo, o Azure Monitor, exigem pontos de extremidade privados próprios na rede virtual.

    Observação

    Não há suporte para a funcionalidade Conexão de Cluster (e, portanto, para o Local personalizado) em clusters do Kubernetes habilitados para Azure Arc com conectividade privada habilitada. Isso está planejado e será adicionado posteriormente. A conectividade de rede usando links privados para serviços do Azure Arc, como serviços de dados habilitados para Azure Arc e serviços de aplicativo habilitados para Azure Arc que usam esses recursos, também não têm suporte ainda. Consulte a seção abaixo para obter uma lista de extensões de cluster ou serviços do Azure Arc que dão suporte à conectividade de rede por meio de links privados.

Nos clusters do Kubernetes habilitados para Azure Arc configurados com links privados, as extensões a seguir dão suporte à conectividade de ponta a ponta por meio de links privados. Consulte as diretrizes vinculadas a cada extensão de cluster para obter etapas de configuração adicionais e detalhes sobre o suporte para links privados.

Para conectar o seu cluster do Kubernetes com o Azure Arc por meio de um link privado, você precisará configurar a sua rede para realizar o seguinte:

  1. Estabelecer uma conexão entre a rede local e uma rede virtual do Azure usando uma VPN site a site ou um circuito do ExpressRoute.
  2. Implantar um Escopo de Link Privado do Azure Arc que controla que clusters do Kubernetes podem se comunicar com o Azure Arc em pontos de extremidade privados, e associá-lo à sua rede virtual do Azure usando um ponto de extremidade privado.
  3. Atualize a configuração de DNS na rede local para resolver os endereços de pontos de extremidade privados.
  4. Configure o firewall local para permitir o acesso à Microsoft Entra ID, ao Azure Resource Manager e ao Registro de Contêiner da Microsoft.
  5. Associar os clusters do Kubernetes habilitados para Azure Arc ao Escopo de Link Privado do Azure Arc.
  6. Como opção, implantar pontos de extremidade privados para outros serviços do Azure pelos quais o seu cluster do Kubernetes habilitado para Azure Arc é gerenciado, como o Azure Monitor. O restante deste artigo pressupõe que você já tenha configurado o seu circuito do ExpressRoute ou a conexão VPN site a site.

Configuração de rede

O Kubernetes habilitado para Azure Arc integra-se a vários serviços do Azure para levar o gerenciamento e a governança de nuvem para os seus clusters do Kubernetes híbridos. A maioria desses serviços já oferece pontos de extremidade privados, mas você precisa configurar seu firewall e regras de roteamento para permitir o acesso à Microsoft Entra ID e ao Azure Resource Manager pela Internet até que esses serviços ofereçam pontos de extremidade privados. Você também precisa permitir o acesso ao Microsoft Container Registry (e AzureFrontDoor.FirstParty como um precursor do Microsoft Container Registry) para extrair imagens e gráficos Helm para habilitar serviços como o Azure Monitor, bem como para a configuração inicial de agentes do Azure Arc nos clusters do Kubernetes.

Há duas maneiras de fazer isso:

  • Se sua rede estiver configurada para rotear todo o tráfego associado à Internet por meio da VPN do Azure ou do circuito do ExpressRoute, você poderá configurar o NSG (grupo de segurança de rede) associado à sua sub-rede no Azure para permitir o acesso de saída do TCP 443 (HTTPS) à Microsoft Entra ID, ao Azure Resource Manager, ao Azure Front Door e ao Registro de Contêiner da Microsoft usando marcas de serviço. As regras NSG devem ser semelhantes às seguintes:

    Configuração Regra da Microsoft Entra ID Regra do Azure Resource Manager Regra do AzureFrontDoorFirstParty Regra do Microsoft Container Registry
    Origem Rede Virtual Rede Virtual Rede Virtual Rede Virtual
    Intervalos de portas de origem * * * *
    Destino Marca de serviço Marca de serviço Marca de serviço Marca de serviço
    Marca de serviço de destino AzureActiveDirectory AzureResourceManager AzureFrontDoor.FirstParty MicrosoftContainerRegistry
    Intervalos de portas de destino 443 443 443 443
    Protocolo TCP TCP TCP TCP
    Ação Allow Permitir Permitir (entrada e saída) Permitir
    Prioridade 150 (precisa ser inferior a qualquer regra que bloqueie o acesso à Internet) 151 (precisa ser inferior a qualquer regra que bloqueie o acesso à Internet) 152 (precisa ser inferior a qualquer regra que bloqueie o acesso à Internet) 153 (precisa ser inferior a qualquer regra que bloqueie o acesso à Internet)
    Nome AllowAADOutboundAccess AllowAzOutboundAccess AllowAzureFrontDoorFirstPartyAccess AllowMCROutboundAccess

  • Configure o firewall em sua rede local para permitir acesso TCP 443 (HTTPS) de saída à ID do Microsoft Entra, ao Gerenciador de Recursos do Azure e ao Registro de Contêiner da Microsoft e acesso de entrada e de saída ao AzureFrontDoor.FirstParty usando os arquivos de marca de serviço baixáveis. O arquivo JSON contém todos os intervalos de endereços IP públicos usados pelo Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty e Registro de Contêiner da Microsoft e é atualizado mensalmente para refletir quaisquer alterações. A marca de serviço do Microsoft Entra é AzureActiveDirectory, a marca de serviço do Azure Resource Manager é AzureResourceManager, a marca de serviço do Registro de Contêiner da Microsoft é MicrosoftContainerRegistry e a marca de serviço do Azure Front Door é AzureFrontDoor.FirstParty. Fale o administrador da sua rede e o fornecedor do firewall de rede para saber como configurar as regras de firewall.

  1. Entre no portal do Azure.

  2. No portal do Azure, acesse Criar um recurso e procure Escopo de Link Privado do Azure Arc. Ou, então, acesse diretamente a página Escopo de Link Privado do Azure Arc no portal.

  3. Selecione Criar.

  4. Selecionar uma assinatura e um grupo de recursos. Durante a versão prévia, a sua rede virtual e os clusters do Kubernetes habilitados para Azure Arc precisam estar na mesma assinatura do Escopo de Link Privado do Azure Arc.

  5. Dê um nome ao Escopo de Link Privado do Azure Arc.

  6. Como opção, você pode exigir que todos os clusters do Kubernetes habilitados para Azure Arc associados a esse Escopo de Link Privado do Azure Arc enviem dados para o serviço por meio do ponto de extremidade privado. Se você selecionar Habilitar acesso à rede pública, os clusters do Kubernetes associados a esse Escopo de Link Privado do Azure Arc poderão se comunicar com o serviço por redes públicas ou privadas. Você poderá alterar essa configuração após a criação do escopo, conforme necessário.

  7. Selecione Examinar + criar.

    Screenshot of the Azure Arc Private Link Scope creation screen in the Azure portal.

  8. Após concluir a validação, selecione Criar.

Criar um ponto de extremidade privado

Depois que o Escopo de Link Privado do Azure Arc for criado, você precisará conectá-lo a uma ou mais redes virtuais usando um ponto de extremidade privado. O ponto de extremidade privado expõe o acesso aos serviços do Azure Arc em um IP privado no seu espaço de endereço de rede virtual.

O ponto de extremidade privado na sua rede virtual permite que ela acesse os pontos de extremidade dos clusters do Kubernetes habilitados para Azure Arc por meio de IPs privados do seu pool da rede, em vez de usar os IPs públicos desses pontos de extremidade. Isso permite que você continue usando os clusters do Kubernetes habilitados para Azure Arc sem abrir a sua VNet para o tráfego de saída não solicitado. O tráfego do ponto de extremidade privado para os seus recursos passará pelo Microsoft Azure e não será roteado para redes públicas.

  1. No recurso do escopo, selecione Conexões de ponto de extremidade privado no menu de recursos à esquerda. Selecione Adicionar para iniciar o processo de criação do ponto de extremidade. Você também pode aprovar as conexões iniciadas no centro de Links Privados. Basta selecioná-las e selecionar Aprovar.

    Screenshot of the Private Endpoint connections screen in the Azure portal.

  2. Escolha a assinatura, o grupo de recursos, o nome do ponto de extremidade e a região que você deseja usar. Isso deve estar na mesma região que a sua rede virtual.

  3. Selecione Avançar: Recurso.

  4. Na página Recurso, faça o seguinte:

    1. Selecione a assinatura que contém o seu recurso de Escopo de Link Privado do Azure Arc.
    2. Em Tipo de recurso, escolha Microsoft.HybridCompute/privateLinkScopes.
    3. Na lista suspensa Recurso, escolha o Escopo de Link Privado do Azure Arc criado anteriormente.
    4. Selecione Avançar: configuração.

  5. Na página Configuração, faça o seguinte:

    1. Escolha a rede virtual e a sub-rede da qual você deseja se conectar com os clusters do Kubernetes habilitados para Azure Arc.

    2. Para Integrar com a zona de DNS privado, selecione Sim. Uma nova Zona de DNS Privado será criada. As zonas DNS reais podem ser diferentes do que é mostrado na captura de tela abaixo.

      Screenshot of the Configuration step to create a private endpoint in the Azure portal.

      Observação

      Se você escolher Não e preferir gerenciar os registros DNS manualmente, primeiro, conclua a configuração do Link Privado, incluindo esse ponto de extremidade privado e a configuração do Escopo Privado. Em seguida, configure o seu DNS de acordo com as instruções em Configuração de DNS do ponto de extremidade privado do Azure. Certifique-se de não criar registros vazios como preparação para a configuração do seu link privado. Os registros DNS que você cria podem substituir as configurações existentes e afetar a conectividade com os clusters de Kubernetes habilitados para Azure Arc.

    3. Selecione Examinar + criar.

    4. Aguarde a aprovação de validação.

    5. Selecione Criar.

Configurar o encaminhamento de DNS local

Os clusters do Kubernetes locais precisam conseguir resolver os registros DNS de link privado para os endereços IP do ponto de extremidade privado. A maneira como você configura isso depende se você está usando zonas DNS privadas do Azure para manter os registros DNS ou se está usando o seu servidor DNS próprio local, junto com quantos clusters estão sendo configurados.

Configuração de DNS usando zonas DNS privadas integradas ao Azure

Se você configurar zonas DNS privadas para clusters do Kubernetes habilitados para Azure Arc ao criar o ponto de extremidade privado, os seus clusters do Kubernetes locais deverão conseguir encaminhar consultas DNS para os servidores DNS do Azure internos a fim de resolver os endereços de pontos de extremidade privados corretamente. Você precisa ter um encaminhador de DNS no Azure (uma VM criada com finalidade específica ou uma instância do Firewall do Azure com o proxy DNS habilitado). Depois disso, você pode configurar o servidor DNS local para encaminhar consultas ao Azure a fim de resolver endereços IP do ponto de extremidade privado.

A documentação do ponto de extremidade privado fornece diretrizes para configurar cargas de trabalho locais usando um encaminhador de DNS.

Configuração manual do servidor DNS

Se você tiver recusado o uso de zonas DNS privadas do Azure durante a criação do ponto de extremidade privado, precisará criar os registros DNS necessários no seu servidor DNS local.

  1. Vá para o Portal do Azure.

  2. Acesse o recurso de ponto de extremidade privado associado à sua rede virtual e ao Escopo de Link Privado do Azure Arc.

  3. No painel esquerdo, selecione Configuração de DNS para ver uma lista dos registros DNS e dos endereços IP correspondentes que você precisará configurar no servidor DNS. Os FQDNs e os endereços IP serão alterados de acordo com a região selecionada para o ponto de extremidade privado e os endereços IP disponíveis na sub-rede.

    Screenshot showing manual DNS server configuration in the Azure portal.

  4. Siga as diretrizes do fornecedor do servidor DNS para adicionar as zonas DNS necessárias e os registros A para que eles correspondam à tabela no portal. Escolha um servidor DNS com escopo adequado para sua rede. Cada cluster do Kubernetes que usa esse servidor DNS agora resolverá os endereços IP do ponto de extremidade privado e deverá estar associado ao Escopo de Link Privado do Azure Arc, ou a conexão será recusada.

Observação

A configuração de links privados para clusters do Kubernetes habilitados para o Azure Arc tem suporte a partir da versão 1.3.0 da extensão da CLI connectedk8s, mas requer uma versão da CLI do Azure posterior à 2.3.0. Se você usar uma versão posterior à 1.3.0 para a extensão da CLI connectedk8s, apresentamos validações para verificar e conectar com êxito o cluster ao Azure Arc somente se você estiver executando a versão da CLI do Azure posterior à 2.3.0.

Você pode configurar links privados para um cluster do Kubernetes habilitado para Azure Arc existente ou ao integrar um cluster do Kubernetes ao Azure Arc pela primeira vez usando o comando abaixo:

az connectedk8s connect -g <resource-group-name> -n <connected-cluster-name> -l <location> --enable-private-link true --private-link-scope-resource-id <pls-arm-id>
Nome do parâmetro Descrição
--enable-private-link Propriedade para habilitar/desabilitar a funcionalidade de links privados. Defina-o como "True" para habilitar a conectividade com links privados.
--private-link-scope-resource-id ID do recurso de escopo de link privado criado anteriormente. Por exemplo: /subscriptions//resourceGroups//providers/Microsoft.HybridCompute/privateLinkScopes/

Para clusters do Kubernetes habilitados para Azure Arc que foram configurados antes de configurar o escopo de link privado do Azure Arc, você pode configurar links privados por meio do portal do Azure usando as seguintes etapas:

  1. No portal do Azure, acesse o recurso de Escopo de Link Privado do Azure Arc.

  2. No painel esquerdo, selecione Recursos do Azure Arc e + Adicionar.

  3. Escolha os clusters do Kubernetes na lista que deseja associar ao Escopo de Link Privado e escolha Selecionar para salvar as alterações.

    Observação

    A lista mostra apenas os clusters do Kubernetes habilitados para Azure Arc que estão dentro da mesma assinatura e região que o Escopo de Link Privado.

    Screenshot of the list of Kubernetes clusters for the Azure Arc Private Link Scope.

Solução de problemas

Se você tiver problemas, as seguintes sugestões poderão ajudar:

  • Verifique os servidores DNS locais para confirmar se eles estão fazendo o encaminhamento para o DNS do Azure ou se estão configurados com registros A apropriados na zona de link privado. Esses comandos de pesquisa devem retornar endereços IP privados na sua rede virtual do Azure. Se eles resolverem endereços IP públicos, verifique duas vezes a configuração de DNS do computador ou do servidor e da rede.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
nslookup dp.kubernetesconfiguration.azure.com

  • Se você estiver tendo problemas para integrar seu cluster Kubernetes, confirme se adicionou as marcas de serviço Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty e Registro de Contêiner da Microsoft ao firewall de rede local.

Próximas etapas