Använda Azure Private Link för att på ett säkert sätt ansluta servrar till Azure Arc

Med Azure Private Link kan du på ett säkert sätt länka Azure PaaS-tjänster till ditt virtuella nätverk med hjälp av privata slutpunkter. För många tjänster konfigurerar du bara en slutpunkt per resurs. Det innebär att du kan ansluta dina lokala servrar eller flera molnservrar med Azure Arc och skicka all trafik via en Azure ExpressRoute- eller plats-till-plats-VPN-anslutning i stället för att använda offentliga nätverk.

Från och med Azure Arc-aktiverade servrar kan du använda en Private Link-omfångsmodell för att tillåta att flera servrar eller datorer kommunicerar med sina Azure Arc-resurser med hjälp av en enda privat slutpunkt.

Den här artikeln beskriver när du ska använda och hur du konfigurerar ett Azure Arc Private Link-omfång.

Fördelar

Med Private Link kan du:

  • Anslut privat till Azure Arc utan att öppna någon offentlig nätverksåtkomst.
  • Se till att data från den Azure Arc-aktiverade datorn eller servern endast nås via auktoriserade privata nätverk. Detta omfattar även data från VM-tillägg som är installerade på den dator eller server som tillhandahåller stöd för hantering och övervakning efter distributionen.
  • Förhindra dataexfiltrering från dina privata nätverk genom att definiera specifika Azure Arc-aktiverade servrar och andra Azure-tjänstresurser, till exempel Azure Monitor, som ansluter via din privata slutpunkt.
  • Anslut ditt privata lokala nätverk på ett säkert sätt till Azure Arc med Hjälp av ExpressRoute och Private Link.
  • Behåll all trafik i Microsoft Azure-stamnätverket.

Mer information finns i Viktiga fördelar med Private Link.

Så här fungerar det

Azure Arc Private Link-omfånget ansluter privata slutpunkter (och de virtuella nätverk som de finns i) till en Azure-resurs, i det här fallet Azure Arc-aktiverade servrar. När du aktiverar någon av de Azure Arc-aktiverade servertillägg som stöds, till exempel Azure Monitor, ansluter dessa resurser andra Azure-resurser. T.ex.:

  • Log Analytics-arbetsyta som krävs för Azure Automation Ändringsspårning och inventering, Azure Monitor VM-insikter och Azure Monitor-logginsamling med Log Analytics-agenten.
  • Azure Automation-konto som krävs för uppdateringshantering och Ändringsspårning och inventering.
  • Azure Key Vault
  • Azure Blob Storage krävs för tillägget för anpassat skript.

Diagram of basic resource topology

Anslut för alla andra Azure-resurser från en Azure Arc-aktiverad server kräver att Private Link konfigureras för varje tjänst, vilket är valfritt, men rekommenderas. Azure Private Link kräver separat konfiguration per tjänst.

Mer information om hur du konfigurerar Private Link för De Azure-tjänster som anges tidigare finns i artiklarna Azure Automation, Azure Monitor, Azure Key Vault eller Azure Blob Storage .

Viktigt!

Azure Private Link är nu allmänt tillgänglig. Både Private Endpoint och Private Link-tjänsten (tjänsten bakom standardlastbalanseraren) är allmänt tillgängliga. Olika Azure PaaS-registreringar till Azure Private Link enligt olika scheman. Se Private Link-tillgänglighet för en uppdaterad status för Azure PaaS på Private Link. Kända begränsningar finns i Private Endpoint och Private Link Service.

  • Med den privata slutpunkten på ditt virtuella nätverk kan den nå Azure Arc-aktiverade servrars slutpunkter via privata IP-adresser från nätverkets pool, i stället för att använda till offentliga IP-adresser för dessa slutpunkter. Det gör att du kan fortsätta använda din Azure Arc-aktiverade serverresurs utan att öppna ditt VNet för utgående trafik som inte begärts.

  • Trafik från den privata slutpunkten till dina resurser går via Microsoft Azure-stamnätet och dirigeras inte till offentliga nätverk.

  • Du kan konfigurera var och en av dina komponenter för att tillåta eller neka inmatning och frågor från offentliga nätverk. Det ger ett skydd på resursnivå så att du kan styra trafiken till specifika resurser.

Villkor och begränsningar

Objektet Private Link-omfång för Azure Arc-aktiverade servrar har ett antal gränser som du bör tänka på när du planerar konfigurationen av Private Link.

  • Du kan associera högst ett Azure Arc Private Link-omfång med ett virtuellt nätverk.
  • En Azure Arc-aktiverad dator eller serverresurs kan bara ansluta till en Azure Arc-aktiverad server private link-omfång.
  • Alla lokala datorer måste använda samma privata slutpunkt genom att matcha rätt privat slutpunktsinformation (FQDN-postnamn och privat IP-adress) med samma DNS-vidarebefordrare. Mer information finns i DNS-konfiguration för privata Slutpunkter i Azure
  • Den Azure Arc-aktiverade servern och Azure Arc Private Link-omfånget måste finnas i samma Azure-region. Den privata slutpunkten och det virtuella nätverket måste också finnas i samma Azure-region, men den här regionen kan skilja sig från azure Arc Private Link-omfånget och Den Arc-aktiverade servern.
  • Nätverkstrafik till Microsoft Entra-ID och Azure Resource Manager passerar inte Azure Arc Private Link-omfånget och fortsätter att använda din standardnätverksväg till Internet. Du kan också konfigurera en privat resurshanteringslänk för att skicka Azure Resource Manager-trafik till en privat slutpunkt.
  • Andra Azure-tjänster som du ska använda, till exempel Azure Monitor, kräver egna privata slutpunkter i ditt virtuella nätverk.
  • Fjärråtkomst till servern med Hjälp av Windows Administrationscenter eller SSH stöds inte via privat länk just nu.

Om du vill ansluta servern till Azure Arc via en privat länk måste du konfigurera nätverket för att göra följande:

  1. Upprätta en anslutning mellan ditt lokala nätverk och ett virtuellt Azure-nätverk med hjälp av en plats-till-plats-VPN - eller ExpressRoute-krets.

  2. Distribuera ett Azure Arc Private Link-omfång som styr vilka datorer eller servrar som kan kommunicera med Azure Arc via privata slutpunkter och associera det med ditt virtuella Azure-nätverk med hjälp av en privat slutpunkt.

  3. Uppdatera DNS-konfigurationen i det lokala nätverket för att lösa de privata slutpunktsadresserna.

  4. Konfigurera din lokala brandvägg för att tillåta åtkomst till Microsoft Entra-ID och Azure Resource Manager.

  5. Associera datorerna eller servrarna som är registrerade med Azure Arc-aktiverade servrar med det privata länkomfånget.

  6. Du kan också distribuera privata slutpunkter för andra Azure-tjänster som din dator eller server hanteras av, till exempel:

    • Azure Monitor
    • Azure Automation
    • Azure Blob Storage
    • Azure Key Vault

Den här artikeln förutsätter att du redan har konfigurerat din ExpressRoute-krets eller plats-till-plats VPN-anslutning.

Konfiguration av nätverk

Azure Arc-aktiverade servrar integreras med flera Azure-tjänster för att få molnhantering och styrning till dina hybriddatorer eller -servrar. De flesta av dessa tjänster erbjuder redan privata slutpunkter, men du måste konfigurera dina brandväggs- och routningsregler för att tillåta åtkomst till Microsoft Entra-ID och Azure Resource Manager via Internet tills dessa tjänster erbjuder privata slutpunkter.

Det finns två sätt att uppnå detta:

  • Om nätverket är konfigurerat för att dirigera all Internetbunden trafik via Azure VPN- eller ExpressRoute-kretsen kan du konfigurera nätverkssäkerhetsgruppen (NSG) som är associerad med ditt undernät i Azure för att tillåta utgående TCP 443-åtkomst (HTTPS) till Microsoft Entra-ID och Azure med hjälp av tjänsttaggar. NSG-reglerna bör se ut så här:

    Inställning Microsoft Entra ID-regel Azure-regel
    Källa Virtuellt nätverk Virtuellt nätverk
    Källportintervall * *
    Mål Service Tag Service Tag
    Måltjänsttagg AzureActiveDirectory AzureResourceManager
    Målportintervall 443 443
    Protokoll Tcp Tcp
    Åtgärd Tillåt Tillåt
    Prioritet 150 (måste vara lägre än alla regler som blockerar Internetåtkomst) 151 (måste vara lägre än alla regler som blockerar Internetåtkomst)
    Name AllowAADOutboundAccess TillåtAzOutboundAccess
  • Konfigurera brandväggen i ditt lokala nätverk för att tillåta utgående TCP 443-åtkomst (HTTPS) till Microsoft Entra ID och Azure med hjälp av de nedladdningsbara tjänsttaggfilerna. JSON-filen innehåller alla offentliga IP-adressintervall som används av Microsoft Entra ID och Azure och uppdateras varje månad för att återspegla eventuella ändringar. Azure AD:s tjänsttagg är AzureActiveDirectory och Azures tjänsttagg är AzureResourceManager. Kontakta nätverksadministratören och nätverksbrandväggsleverantören för att lära dig hur du konfigurerar brandväggsregler.

Se det visuella diagrammet under avsnittet Så här fungerar det för nätverkstrafikflödena.

  1. Logga in på Azure-portalen.

  2. Gå till Skapa en resurs i Azure-portalen och sök efter Azure Arc Private Link-omfång. Du kan också använda följande länk för att öppna sidan Azure Arc Private Link-omfång i portalen.

    Screenshot of private scope home page with Create button.

  3. Välj Skapa.

  4. På fliken Grundläggande väljer du en prenumeration och resursgrupp.

  5. Ange ett namn för Azure Arc Private Link-omfånget. Det är bäst att använda ett meningsfullt och tydligt namn.

    Du kan också kräva att varje Azure Arc-aktiverad dator eller server som är associerad med det här Azure Arc Private Link-omfånget skickar data till tjänsten via den privata slutpunkten. Det gör du genom att markera kryssrutan Tillåt åtkomst till offentligt nätverk så att datorer eller servrar som är associerade med det här Azure Arc Private Link-omfånget kan kommunicera med tjänsten via både privata eller offentliga nätverk. Du kan ändra den här inställningen när du har skapat omfånget om du ändrar dig.

  6. Välj fliken Privat slutpunkt och välj sedan Skapa.

  7. I fönstret Skapa privat slutpunkt :

    1. Ange ett namn för slutpunkten.

    2. Välj Ja för Integrera med privat DNS-zon och låt den automatiskt skapa en ny Privat DNS zon.

      Kommentar

      Om du väljer Nej och föredrar att hantera DNS-poster manuellt ska du först slutföra konfigurationen av private link – inklusive den här privata slutpunkten och konfigurationen för privat omfång. Konfigurera sedan DNS enligt anvisningarna i Konfigurera DNS för den privata Azure-slutpunkten. Se till att du inte skapar tomma poster när du förbereder konfigurationen av den privata länken. De DNS-poster som du skapar kan åsidosätta befintliga inställningar och påverka anslutningen till Azure Arc-aktiverade servrar.

    3. Välj OK.

  8. Välj Granska + skapa.

    Screenshot showing the Create Private Link Scope window

  9. Låt valideringen passera och välj sedan Skapa.

Konfigurera lokal DNS-vidarebefordran

Dina lokala datorer eller servrar måste kunna matcha DNS-posterna för privat länk till ip-adresserna för den privata slutpunkten. Hur du konfigurerar detta beror på om du använder privata DNS-zoner i Azure för att underhålla DNS-poster, eller om du använder din egen DNS-server lokalt och hur många servrar du konfigurerar.

DNS-konfiguration med hjälp av Azure-integrerade privata DNS-zoner

Om du konfigurerar privata DNS-zoner för Azure Arc-aktiverade servrar och gästkonfiguration när du skapar den privata slutpunkten måste dina lokala datorer eller servrar kunna vidarebefordra DNS-frågor till de inbyggda Azure DNS-servrarna för att matcha de privata slutpunktsadresserna korrekt. Du behöver en DNS-vidarebefordrare i Azure (antingen en specialbyggd virtuell dator eller en Azure Firewall-instans med DNS-proxy aktiverad), varefter du kan konfigurera din lokala DNS-server för att vidarebefordra frågor till Azure för att lösa ip-adresser för privata slutpunkter.

Den privata slutpunktsdokumentationen innehåller vägledning för att konfigurera lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare.

Manuell DNS-serverkonfiguration

Om du valde att inte använda privata DNS-zoner i Azure när den privata slutpunkten skapades måste du skapa nödvändiga DNS-poster på din lokala DNS-server.

  1. Gå till Azure-portalen.

  2. Navigera till den privata slutpunktsresursen som är associerad med ditt virtuella nätverk och omfånget för privata länkar.

  3. I den vänstra rutan väljer du DNS-konfiguration för att se en lista över DNS-poster och motsvarande IP-adresser som du måste konfigurera på DNS-servern. FQDN:er och IP-adresser ändras baserat på den region som du valde för din privata slutpunkt och de tillgängliga IP-adresserna i undernätet.

    DNS configuration details

  4. Följ riktlinjerna från DNS-serverleverantören för att lägga till nödvändiga DNS-zoner och A-poster som matchar tabellen i portalen. Se till att du väljer en DNS-server som är lämpligt begränsad för nätverket. Varje dator eller server som använder den här DNS-servern löser nu IP-adresserna för den privata slutpunkten och måste associeras med Azure Arc Private Link-omfånget, annars nekas anslutningen.

Scenarier med en enskild server

Om du bara planerar att använda privata länkar för att stödja några datorer eller servrar kanske du inte vill uppdatera hela nätverkets DNS-konfiguration. I det här fallet kan du lägga till värdnamnen och IP-adresserna för den privata slutpunkten i din värdfil för operativsystem. Beroende på operativsystemets konfiguration kan Hosts-filen vara den primära eller alternativa metoden för att matcha värdnamnet till IP-adressen.

Windows

  1. Öppna C:\Windows\System32\drivers\etc\hosts med hjälp av ett konto med administratörsbehörighet.

  2. Lägg till privata slutpunkts-IP-adresser och värdnamn som visas i tabellen från steg 3 under Manuell DNS-serverkonfiguration. Värdfilen kräver IP-adressen först följt av ett blanksteg och sedan värdnamnet.

  3. Spara filen med dina ändringar. Du kan behöva spara i en annan katalog först och sedan kopiera filen till den ursprungliga sökvägen.

Linux

  1. /etc/hosts Öppna värdfilen i en textredigerare.

  2. Lägg till privata slutpunkts-IP-adresser och värdnamn som visas i tabellen från steg 3 under Manuell DNS-serverkonfiguration. Värdfilen frågar efter IP-adressen först följt av ett blanksteg och sedan värdnamnet.

  3. Spara filen med dina ändringar.

Anslut till en Azure Arc-aktiverad server

Kommentar

Den lägsta version som stöds av Den Azure Arc-anslutna datoragenten med privat slutpunkt är version 1.4. Distributionsskriptet för Azure Arc-aktiverade servrar som genereras i portalen laddar ned den senaste versionen.

När du ansluter en dator eller server med Azure Arc-aktiverade servrar för första gången kan du ansluta den till ett Private Link-omfång. Följande steg är

  1. I en webbläsare går du till Azure-portalen.

  2. Gå till Datorer – Azure Arc.

  3. På sidan Datorer – Azure Arc väljer du Lägg till/skapa längst upp till vänster och väljer sedan Lägg till en dator i den nedrullningsbara menyn.

  4. På sidan Lägg till servrar med Azure Arc väljer du antingen Lägg till en enskild server eller Lägg till flera servrar beroende på distributionsscenariot och väljer sedan Generera skript.

  5. På sidan Generera skript väljer du den prenumeration och resursgrupp där du vill att datorn ska hanteras i Azure. Välj en Azure-plats där datorns metadata ska lagras. Den här platsen kan vara samma eller annorlunda som resursgruppens plats.

  6. På sidan Grundläggande anger du följande:

    1. Välj prenumerations- och resursgruppen för datorn.

    2. I listrutan Region väljer du Azure-regionen för att lagra datorn eller servermetadata.

    3. I listrutan Operativsystem väljer du det operativsystem som skriptet är konfigurerat att köras på.

    4. Under Anslut ivity-metoden väljer du Privat slutpunkt och väljer Azure Arc Private Link-omfånget som skapades i del 1 i listrutan.

      Selecting Private Endpoint connectivity option

    5. Välj Nästa: Taggar.

  7. Om du har valt Lägg till flera servrar går du till sidan Autentisering och väljer tjänstens huvudnamn som skapats för Azure Arc-aktiverade servrar i listrutan. Om du inte har skapat ett huvudnamn för tjänsten för Azure Arc-aktiverade servrar bör du först granska hur du skapar ett huvudnamn för tjänsten för att bekanta dig med de behörigheter som krävs och stegen för att skapa ett. Välj Nästa: Taggar för att fortsätta.

  8. På sidan Taggar granskar du de föreslagna standardtaggarnaför fysisk plats och anger ett värde, eller anger en eller flera anpassade taggar som stöder dina standarder.

  9. Välj Nästa: Ladda ned och kör skript.

  10. På sidan Ladda ned och kör skript granskar du sammanfattningsinformationen och väljer sedan Ladda ned. Om du fortfarande behöver göra ändringar väljer du Föregående.

När du har laddat ned skriptet måste du köra det på datorn eller servern med ett privilegierat konto (administratör eller rotkonto). Beroende på nätverkskonfigurationen kan du behöva ladda ned agenten från en dator med internetåtkomst och överföra den till datorn eller servern och sedan ändra skriptet med sökvägen till agenten.

Windows-agenten kan laddas ned från https://aka.ms/AzureConnectedMachineAgent och Linux-agenten kan laddas ned från https://packages.microsoft.com. Leta efter den senaste versionen av azcmagenten under distributionskatalogen för operativsystemet och installera den med din lokala pakethanterare.

Skriptet returnerar statusmeddelanden som meddelar dig om registreringen lyckades när den har slutförts.

Dricks

Nätverkstrafik från Azure Anslut ed Machine-agenten till Microsoft Entra-ID (login.windows.net, login.microsoftonline.com, pas.windows.net) och Azure Resource Manager (management.azure.com) fortsätter att använda offentliga slutpunkter. Om servern behöver kommunicera via en proxyserver för att nå dessa slutpunkter konfigurerar du agenten med proxyserverns URL innan du ansluter den till Azure. Du kan också behöva konfigurera en proxy bypass för Azure Arc-tjänsterna om din privata slutpunkt inte är tillgänglig från proxyservern.

Konfigurera en befintlig Azure Arc-aktiverad server

För Azure Arc-aktiverade servrar som konfigurerades före ditt privata länkomfång kan du låta dem börja använda Azure Arc-aktiverade servrar Private Link-omfång genom att utföra följande steg.

  1. I Azure-portalen går du till din Azure Arc Private Link-omfångsresurs.

  2. I den vänstra rutan väljer du Azure Arc-resurser och sedan + Lägg till.

  3. Välj servrarna i listan som du vill associera med private link-omfånget och välj sedan Välj för att spara ändringarna.

    Kommentar

    Endast Azure Arc-aktiverade servrar i samma prenumeration och region som ditt Private Link-omfång visas.

    Selecting Azure Arc resources

Det kan ta upp till 15 minuter för Private Link-omfånget att acceptera anslutningar från de nyligen associerade servrarna.

Felsökning

  1. Kontrollera din lokala DNS-server för att kontrollera att den antingen vidarebefordrar till Azure DNS eller har konfigurerats med lämpliga A-poster i din privata länkzon. Dessa uppslagskommandon ska returnera privata IP-adresser i ditt virtuella Azure-nätverk. Om de löser offentliga IP-adresser kontrollerar du din dator eller server och nätverkets DNS-konfiguration.

    nslookup gbl.his.arc.azure.com
    nslookup agentserviceapi.guestconfiguration.azure.com
    
  2. Om du har problem med att registrera en dator eller server kontrollerar du att du har lagt till tjänsttaggar för Microsoft Entra och Azure Resource Manager i brandväggen för det lokala nätverket. Agenten måste kommunicera med dessa tjänster via Internet tills privata slutpunkter är tillgängliga för dessa tjänster.

Nästa steg