共用方式為

使用 Azure 专用链接将服务器安全地连接到 Azure Arc

使用 Azure 专用链接,可以使用专用终结点安全地将 Azure 平台即服务 (PaaS) 服务链接到虚拟网络。 对于许多服务,为每个资源设置一个终结点。 然后,可以使用 Azure Arc 连接本地或多云服务器,并通过 Azure ExpressRoute 或站点到站点 虚拟专用网络(VPN)连接 发送所有流量,而不是使用公用网络。

使用已启用 Azure Arc 的服务器,可以使用专用链接范围模型,允许多个服务器或计算机使用单个专用终结点与其 Azure Arc 资源通信。

本文介绍何时使用 Azure Arc 专用链接范围以及如何设置它。

Advantages

使用专用链接,可以:

  • 以专用方式连接到 Azure Arc,无需开放任何公共网络访问权限。
  • 确保仅通过授权的专用网络访问已启用 Azure Arc 的计算机或服务器中的数据。 此要求还包括安装在计算机或服务器上提供部署后管理和监视支持的 虚拟机(VM)扩展 中的数据。
  • 通过定义特定的已启用 Azure Arc 的服务器和其他 Azure 服务资源(例如通过专用终结点连接的 Azure Monitor),防止数据从专用网络外泄。
  • 使用 ExpressRoute 和专用链接安全地将专用本地网络连接到 Azure Arc。
  • 将所有流量保留在 Microsoft Azure 主干网络中。

有关详细信息,请参阅 Azure 专用链接的主要优势

工作原理

Azure Arc 专用链接范围将专用终结点(及其包含的虚拟网络)连接到 Azure 资源。 在这种情况下,它是已启用 Azure Arc 的服务器。 为已启用 Azure Arc 的服务器(例如 Azure Monitor)启用任一受支持的 VM 扩展时,这些资源会连接其他 Azure 资源,例如:

  • Log Analytics 工作区是 Azure 自动化更改跟踪和清单、Azure Monitor VM 见解以及通过 Azure Monitor 代理进行日志收集所必需的工具。
  • Azure Key Vault。
  • 自定义脚本扩展所需的 Azure Blob 存储。

显示基本资源拓扑的关系图。

Note

若要以高分辨率下载 Arc 图表,请访问 Jumpstart Gems

从已启用 Azure Arc 的服务器连接到任何其他 Azure 资源时,需要为每个服务配置专用链接,这是可选的,但我们建议使用。 专用链接要求每个服务单独配置。

有关如何为前面列出的 Azure 服务配置专用链接的详细信息,请参阅 有关 Azure MonitorKey VaultBlob 存储的文章。

Important

Private Link 现已正式发布。 专用终结点和专用链接服务(指的是标准负载均衡器后面的服务)均已正式发布。 不同的 Azure PaaS 服务会按照不同的计划接入到专用链接。 有关专用链接上的 Azure PaaS 的更新状态,请参阅 专用链接可用性。 有关已知限制,请参阅 专用终结点专用链接服务

  • 虚拟网络上的专用终结点允许它通过网络池中的专用 IP(而不是使用这些终结点的公共 IP)访问已启用 Azure Arc 的服务器终结点。 这样,就可以继续使用已启用 Azure Arc 的服务器资源,而无需将虚拟网络打开到未请求的出站流量。
  • 从专用终结点到资源的流量通过 Azure 主干,不会路由到公用网络。
  • 你可以配置每个组件,以允许或拒绝从公用网络引入和查询。 这提供资源级保护,以便你可以控制流向特定资源的流量。

限制和局限

已启用 Azure Arc 的服务器专用链接范围对象具有多种限制,在计划专用链接设置时应考虑这些限制:

  • 最多可以将一个 Azure Arc 专用链接范围与虚拟网络相关联。

  • 已启用 Azure Arc 的计算机或服务器资源只能连接到一个已启用 Azure Arc 的服务器专用链接范围。

  • 所有本地计算机都需要通过解析正确的专用终结点信息(例如完全限定的域名(FQDN)记录名称和专用 IP 地址来使用相同的专用终结点。 他们需要使用相同的域名系统(DNS)转发器。 有关详细信息,请参阅 Azure 专用终结点 DNS 配置

  • 已启用 Azure Arc 的服务器和 Azure Arc 专用链接范围必须位于彼此相同的 Azure 区域中。 专用终结点和虚拟网络必须位于同一 Azure 区域,但可以与 Azure Arc 私有链接作用域和已启用 Azure Arc 的服务器的区位不同。

  • 发往 Microsoft Entra ID 和 Azure 资源管理器 (Azure Resource Manager) 的网络流量不会通过 Azure Arc 私有链接范围传输,而是继续使用到 Internet 的默认网络路由。

  • 您使用的其他 Azure 服务(例如 Azure Monitor)需要在您的虚拟网络中有其各自的专用终结点。

  • 目前不支持通过专用链接使用 Windows Admin Center 或 SSH 远程访问服务器。

若要通过专用链接将服务器连接到 Azure Arc,必须将网络配置为完成以下任务:

  1. 使用 站点到站点 VPNExpressRoute 线路在本地网络与 Azure 虚拟网络之间建立连接。

  2. 部署 Azure Arc 专用链接范围,用于控制可以通过专用终结点与 Azure Arc 通信的计算机或服务器。 使用专用终结点将其与 Azure 虚拟网络相关联。

  3. 更新本地网络的 DNS 配置,以解析专用终结点地址。

  4. 配置本地防火墙以允许访问 Microsoft Entra ID 和 Resource Manager。

  5. 将注册到已启用 Azure Arc 的服务器的计算机或服务器与专用链接范围相关联。

  6. (可选)为管理计算机或服务器的其他 Azure 服务部署专用终结点,例如:

    • Azure Monitor
    • Azure 自动化
    • Azure Blob 存储
    • Azure Key Vault

本文假定你已设置 ExpressRoute 线路或站点到站点 VPN 连接。

网络配置

将已启用 Azure Arc 的服务器与多个 Azure 服务集成,可以为混合计算机或服务器实现云管理和治理。 其中大多数服务都已提供专用终结点。 需要配置防火墙和路由规则,以允许通过 Internet 访问 Microsoft Entra ID 和 Resource Manager,直到这些服务提供专用终结点。

有两种方法允许访问:

  • 如果网络配置为通过 Azure VPN 或 ExpressRoute 线路路由所有 Internet 绑定的流量,则可以在 Azure 中配置与子网关联的网络安全组(NSG)。 使用 服务标记 允许通过 TCP 443 (HTTPS) 出向访问 Microsoft Entra ID 和 Azure。 NSG 规则的格式应如下表所示:

    Setting Microsoft Entra ID 规则 Azure 规则
    Source 虚拟网络 虚拟网络
    源端口范围 * *
    Destination 服务标记 服务标记
    目标服务标记 AzureActiveDirectory AzureResourceManager
    目标端口范围 443 443
    Protocol TCP TCP
    Action Allow Allow
    Priority 150 (必须低于阻止 Internet 访问的任何规则)。 151 (必须低于阻止 Internet 访问的任何规则)。
    Name AllowAADOutboundAccess AllowAzOutboundAccess

  • 配置本地网络上的防火墙,以允许出站 TCP 443 (HTTPS) 访问 Microsoft Entra ID 和 Azure,方法是使用可下载的服务标签文件。 该 JSON 文件包含 Microsoft Entra ID 和 Azure 使用的所有公共 IP 地址范围,并每月更新以反映任何更改。 Microsoft Entra ID 服务标记为 AzureActiveDirectory. Azure 服务标记为 AzureResourceManager. 请咨询网络管理员和网络防火墙供应商,了解如何配置防火墙规则。

要进一步了解网络流量,请参阅本文工作原理部分的图表。

  1. 登录到 Azure 门户

  2. 直接转到门户中的 Azure Arc 专用链接范围页面,然后选择“创建 Azure Arc 专用链接范围”

    带有“创建”按钮的专用范围主页的屏幕截图。

  3. 在“ 基本信息 ”选项卡上,选择订阅和资源组。

  4. 输入 Azure Arc 专用链接范围的名称。 最好使用有意义且清晰的名称。

  5. (可选)可以要求与此 Azure Arc 专用链接范围关联的每个已启用 Azure Arc 的计算机或服务器通过专用终结点将数据发送到服务。 为此,请选中 “允许公用网络访问 ”复选框,以便与此 Azure Arc 专用链接范围关联的计算机或服务器可以通过专用或公用网络与服务通信。 在根据需要创建范围后,可以更改此设置。

  6. 选择 “专用终结点 ”选项卡,然后选择“ 创建”。

  7. “创建专用终结点 ”窗格中:

    1. 输入终结点的名称。

    2. 若要 与专用 DNS 区域集成,请选择“ ”,并自动创建新的专用 DNS 区域。

      Note

      如果选择 “否 ”并愿意手动管理 DNS 记录,请先完成专用链接的设置,包括此专用终结点和专用范围配置。 然后,根据 Azure 专用终结点 DNS 配置中的说明配置 DNS。 请确保不要在准备专用链接设置时创建空记录。 创建的 DNS 记录可以替代现有设置,并影响与已启用 Azure Arc 的服务器的连接。

      不能对使用专用链接的 Azure Arc 资源与不使用专用链接的 Azure Arc 资源使用相同的虚拟网络/DNS 区域。 未连接到专用链接的 Azure Arc 资源必须解析为公共终结点。

    3. 选择“确定”

  8. 选择“查看 + 创建”

    显示“创建专用链接范围”窗口的屏幕截图。

  9. 让验证通过,然后选择“创建”。

配置本地 DNS 转发

本地计算机或服务器必须能够将专用链接 DNS 记录解析为专用终结点 IP 地址。 配置此行为的方式取决于你是否使用:

  • 用于维护 DNS 记录的 Azure 专用 DNS 区域。
  • 本地自己的 DNS 服务器和配置的服务器数。

使用 Azure 集成的专用 DNS 区域进行 DNS 配置

如果在创建专用终结点时为已启用 Azure Arc 的服务器和来宾配置设置了专用 DNS 区域,则本地计算机或服务器必须能够将 DNS 查询转发到内置的 Azure DNS 服务器,以正确解析专用终结点地址。 需要在 Azure 中使用 DNS 转发器(启用了 DNS 代理的专用 VM 或 Azure 防火墙实例)。 然后,可以将本地 DNS 服务器配置为将查询转发到 Azure 以解析专用终结点 IP 地址。

有关详细信息,请参阅 具有本地 DNS 转发器的 Azure DNS 专用解析程序

手动配置 DNS 服务器

如果在创建专用终结点期间选择退出使用 Azure 专用 DNS 区域,则需要在本地 DNS 服务器中创建所需的 DNS 记录。

  1. 在 Azure 门户中,转到与虚拟网络和专用链接的范围关联的专用终端资源。

  2. 在服务菜单上的 “设置”下,选择 DNS 配置 以查看 DNS 记录列表以及需要在 DNS 服务器上设置的相应 IP 地址。 FQDN 和 IP 地址会根据为专用终结点选择的区域和子网中的可用 IP 地址而更改。

  3. 按照 DNS 服务器供应商的指导添加必要的 DNS 区域和 A 记录,以匹配门户中的表格。 确保为您的网络选择适用于其范围的 DNS 服务器。 使用此 DNS 服务器的每个计算机或服务器现在都会解析专用终结点 IP 地址。 每台计算机或服务器都必须与 Azure Arc 专用链接范围相关联,否则连接被拒绝。

单一服务器方案

如果计划使用专用链接仅支持少数计算机或服务器,则可能不希望更新整个网络的 DNS 配置。 在这种情况下,可以将专用终结点主机名和 IP 地址添加到作系统的 主机 文件中。 根据 OS 配置,Hosts 文件可以是将主机名解析为 IP 地址的主要或替代方法。

Windows

  1. 使用具有管理员权限的帐户打开 C:\Windows\System32\drivers\etc\hosts

  2. DNS 配置 列表中添加专用终结点 IP 和主机名,如 手动 DNS 服务器配置中所述。 主机文件首先需要 IP 地址,后跟空格,然后是主机名。

  3. 保存对文件的更改。 可能需要先保存到另一个目录,然后将该文件复制到原始路径。

Linux

  1. 在文本编辑器中打开 /etc/hosts 文件。

  2. DNS 配置 列表中添加专用终结点 IP 和主机名,如 手动 DNS 服务器配置中所述。 主机文件首先请求 IP 地址,后跟空格,然后是主机名。

  3. 保存对文件的更改。

连接已启用 Azure Arc 的服务器

使用专用终结点需要 Azure Connected Machine 代理版本 1.4 或更高版本。 门户中生成的已启用 Azure Arc 的服务器部署脚本会下载最新版本。

首次将计算机或服务器连接到已启用 Azure Arc 的服务器时,可以选择将其连接到专用链接范围。

  1. 在浏览器中转到 Azure 门户

  2. 转到 计算机 - Azure Arc

  3. 在“计算机 - Azure Arc”页上,选择左上角的“+ 添加”

  4. “使用 Azure Arc 添加服务器 ”页上,选择“ 添加单个服务器 ”或 “根据部署方案添加多个服务器 ”,然后选择“ 生成脚本”。

  5. “基本信息 ”页上,提供以下信息:

    1. 选择计算机的订阅和资源组。

    2. “区域 ”下拉列表中,选择要存储计算机或服务器元数据的 Azure 区域。

    3. “操作系统”下拉列表中,选择脚本配置要运行的操作系统。

    4. “连接”方法下,选择 “专用终结点 ”,并从下拉列表中选择第 1 部分中创建的 Azure Arc 专用链接范围。

      显示选择专用终结点连接选项的屏幕截图。

    5. 在完成时选择“下一步: 标记”。

  6. 如果在“身份验证”页上选择了“添加多个服务器”,请从下拉列表中选择为已启用 Azure Arc 的服务器创建的服务主体。 如果需要为已启用 Azure Arc 的服务器创建服务主体,请查看如何 创建服务主体 以了解权限以及创建权限所需的步骤。 选择“下一步:标记”继续。

  7. “标记 ”页上,查看建议的默认 物理位置标记 并输入值,或指定一个或多个自定义标记来支持标准。

  8. 在完成时选择“下一步:下载并运行脚本。

  9. 在“下载并运行脚本”页上查看摘要信息,然后选择“下载” 。

下载脚本后,必须使用特权(管理员或根)帐户在计算机或服务器上运行该脚本。 根据网络配置,可能需要从具有 Internet 访问权限的计算机下载代理并将其传输到计算机或服务器。 然后使用代理的路径修改脚本。

可以下载 Windows 代理Linux 代理。 查找操作系统分发目录下的最新版本azcmagent,并用本地包管理器进行安装。

该脚本返回状态消息,告知你在载入完成后是否成功。

从 Azure Connected Machine 代理到 Microsoft Entra ID(login.chinacloudapi.cn、、login.partner.microsoftonline.cnpas.chinacloudapi.cn) 和资源管理器(management.chinacloudapi.cn)的网络流量将继续使用公共终结点。 如果服务器需要通过代理服务器进行通信才能访问这些终结点,请在将其连接到 Azure 之前 使用代理服务器 URL 配置代理程序 。 如果无法从代理服务器访问专用终结点,则可能需要为 Azure Arc 服务 配置代理旁路

配置现有的已启用 Azure Arc 的服务器

对于在专用链接范围之前设置的已启用 Azure Arc 的服务器,可以使用已启用 Azure Arc 的服务器专用链接范围来启动这些服务器。

  1. 在 Azure 门户中,转到 Azure Arc 专用链接范围资源。

  2. 在服务菜单上的 “配置”下,选择 “Azure Arc 资源”,然后选择“ + 添加”。

  3. 选择要与专用链接范围关联的列表中的服务器,然后选择 “选择” 以保存更改。

    显示选择 Azure Arc 资源的屏幕截图。

专用链接范围可能需要长达 15 分钟才能接受来自最近关联的服务器的连接。

Troubleshooting

如果遇到问题,以下建议可能会有所帮助:

  • 检查本地 DNS 服务器,验证它是转发到 Azure DNS,还是配置为在专用链接区域中使用适当的 A 记录。 这些查找命令应返回 Azure 虚拟网络中的专用 IP 地址。 如果他们解析公共 IP 地址,请仔细检查计算机或服务器和网络的 DNS 配置。

    nslookup gbl.his.arc.azure.cn
nslookup agentserviceapi.guestconfiguration.azure.cn

  • 有关载入计算机或服务器的问题,请确认已将 Microsoft Entra ID 和 Resource Manager 服务标记添加到本地网络防火墙。 在这些服务可以使用专用终结点之前,代理需要通过 Internet 与这些服务通信。

如需更多故障排除指南,请参阅 排查 Azure 专用终结点连接问题

相关内容