Topologia e conectividade de rede para servidores habilitados para Azure Arc

  • Artigo

Os servidores habilitados para Azure Arc permitem que você gerencie os servidores físicos e as máquinas virtuais do Windows e do Linux (hospedados no ambiente local ou por um provedor de nuvem de terceiros), usando o plano de controle do Azure. Este documento explica as principais considerações e melhores práticas de design para conectividade de servidores habilitados para Azure Arc, como parte das diretrizes de zona de destino de escala empresarial do Cloud Adoption Framework.

Este artigo pressupõe que você implementou com êxito a zona de destino de escala empresarial e estabeleceu conexões de rede híbrida e, portanto, concentra-se na conectividade do Connected Machine Agent dos servidores habilitados para Azure Arc. Para obter mais informações sobre esse pré-requisito, examine a visão geral de escala empresarial e as diretrizes de implementação.

Arquitetura

O diagrama a seguir mostra uma arquitetura de referência conceitual para a conectividade de servidores habilitados para Azure Arc.

Diagram that shows Azure Arc-enabled servers connectivity options.

Considerações sobre o design

A lista a seguir fornece uma visão geral das considerações de design de rede para servidores habilitados para Azure Arc.

  • Definir o método de conectividade do agente: examine a infraestrutura existente e os requisitos de segurança e decida como o Connected Machine Agent se comunicará com o Azure na rede local ou em outros provedores de nuvem. Essa conexão pode passar diretamente pela Internet, por meio de um servidor proxy, ou você pode implementar o Link Privado para estabelecer uma conexão privada.
  • Gerenciar o acesso às marcas de serviço do Azure: crie um processo automatizado para manter as regras de firewall e de rede proxy atualizadas de acordo com os requisitos de rede do agente da Máquina Conectada.
  • Proteja sua conectividade de rede com o Azure Arc: configure o sistema operacional da máquina para usar o TLS (Transport Layer Security) versão 1.2. Versões mais antigas não são recomendadas devido a vulnerabilidades conhecidas.
  • Definir o método de conectividade de extensões: as extensões do Azure implantadas em um servidor habilitado para Azure Arc normalmente precisam se comunicar com outros serviços do Azure. Essa conectividade pode ser estabelecida diretamente usando redes públicas, por meio de um firewall ou por meio de um servidor proxy. Se o seu design exigir conectividade privada, você precisará executar etapas adicionais além da configuração de Pontos de extremidade privados para o agente Arc para habilitar a conectividade de ponto de extremidade privado para cada serviço acessado por extensões.
  • Examine a arquitetura de conectividade geral: examine a área de design de conectividade e topologia de rede de escala empresarial da zona de destino do Azure, para avaliar o impacto dos servidores habilitados para Azure Arc na conectividade geral.

Recomendações sobre design

Definir método de conectividade do agente do Azure Arc

Os servidores habilitados para Azure Arc permitem que você conecte computadores híbridos usando os seguintes métodos:

  • Conexão direta, opcionalmente protegida por um firewall ou um servidor proxy
  • Link Privado do Azure

Conexão direta

Os servidores habilitados para Azure Arc oferecem uma conectividade direta com pontos de extremidade públicos do Azure. Com esse método de conectividade, todos os agentes de computador abrirão uma conexão por meio da Internet, usando um ponto de extremidade público. O Connected Machine Agent para Linux e Windows executa comunicação de saída com o Azure de maneira segura usando o protocolo HTTPS (TCP/443).

Ao usar o método de conexão direta, você precisa examinar o acesso à Internet para o Connected Machine Agent. É recomendável configurar as regras de rede necessárias.

Conexão com um servidor proxy ou firewall (opcional)

Se a máquina usar um firewall ou um servidor proxy para se comunicar pela Internet, o agente se conectará de saída usando o protocolo HTTPS.

Se a conectividade de saída for restrita pelo firewall ou por um servidor proxy, certifique-se de permitir os intervalos de IP de acordo com os requisitos de rede do agente da Máquina Conectada. Quando você permitir que apenas os intervalos de IP ou nomes de domínio necessários do agente se comuniquem com o serviço, use as marcas de serviço e as URLs para configurar o firewall ou servidor proxy.

Se você implantar extensões em seus servidores habilitados para Azure Arc, cada extensão se conectará a seu próprio ponto de extremidade ou pontos de extremidade, e você também deverá permitir todas as URLs correspondentes no firewall ou proxy. Adicionar esses pontos de extremidade garantirá que o tráfego de rede seguro granular atenda ao PoLP (princípio de privilégio mínimo).

Usando o servidor habilitado para Arc do Azure com o Arc Private Link Scope, você pode garantir que todo o tráfego de seus agentes Arc permaneça em sua rede. Essa configuração tem vantagens de segurança: o tráfego não atravessa a Internet e você não precisa abrir tantas exceções de saída no firewall do datacenter. No entanto, o uso do Private Link impõe uma série de desafios de gerenciamento, ao mesmo tempo em que aumenta a complexidade e o custo gerais, especialmente para organizações globais. Alguns dos desafios são:

  • A opção de usar o Arc Private Link Scopes abrange todos os clientes Arc sob o mesmo escopo DNS. Você não pode ter alguns clientes Arc usando pontos de extremidade privados e alguns usando público quando compartilham um servidor DNS (sem soluções alternativas, como políticas DNS)
  • Seus clientes Arc todos os pontos de extremidade privados em uma região primária ou DNS precisam ser configurados para que os mesmos nomes de ponto de extremidade privado resolvam para endereços IP diferentes (por exemplo, usando partições DNS replicadas seletivamente para DNS integrado ao Active Directory). Se você usar os mesmos pontos de extremidade privados para todos os seus clientes Arc, precisará ser capaz de rotear o tráfego de todas as suas redes para os pontos de extremidade privados.
  • Etapas adicionais são necessárias para garantir que os Pontos de Extremidade Privados também sejam usados para quaisquer serviços do Azure acessados por componentes de software de Extensões implantados usando o Arc, como espaços de trabalho do Log Analytics, Contas de Automação, Cofre de Chaves ou Armazenamento do Azure
  • A conectividade com a ID do Azure Entra usa ponto de extremidade público, portanto, os clientes ainda exigem algum acesso à Internet

Devido a esses desafios, recomendamos avaliar se o Private Link é um requisito para sua implementação do Arc. Considere que, com pontos de extremidade públicos, o tráfego será criptografado e, dependendo de como usar o Arc for Servers, pode ser limitado ao gerenciamento e ao tráfego de metadados. As preocupações de segurança podem ser aliviadas com a implementação de controles de segurança de agentes locais.

Analise as restrições e limitações associadas ao suporte de Link Privado para Arc para obter mais detalhes.

Diagram that shows Azure Arc-enabled servers Private Link topology.

Dica

Examine a segurança do Link Privado do Azure para obter mais informações.

Gerenciar acesso às marcas de serviço do Azure

Recomendamos a implementação de um processo automatizado para manter as regras de firewall e rede proxy atualizadas de acordo com os requisitos de rede do Azure Arc.

Proteger a conectividade de rede com o Azure Arc

É recomendável usar o protocolo TLS 1.2 para garantir a segurança dos dados em trânsito para o Azure. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis e não são recomendadas.

Definir método de conectividade de extensões

Quando você habilita qualquer uma das extensões de VM com suporte dos servidores habilitados para Azure Arc, essas extensões são conectadas a outros serviços do Azure. É importante determinar o método de conectividade para essas extensões: direto, protegido por um servidor proxy/firewall ou usando o Link Privado do Azure.

Se seus servidores habilitados para Arco do Azure usarem um proxy ou um firewall, você também deverá permitir todas as URLs necessárias para as extensões, pois elas se comunicarão com seus próprios pontos de extremidade.

Se você estiver usando o Link Privado, deverá configurar o Link Privado para cada serviço.

Próximas etapas

Para obter mais diretrizes para o percurso de adoção de nuvem híbrida, examine os recursos a seguir: