Utilizar Azure Private Link para ligar servidores de forma segura ao Azure Arc - Azure Arc (2023)

Azure Private Link permite-lhe ligar de forma segura os serviços PaaS do Azure à sua rede virtual através de pontos finais privados. Para muitos serviços, basta configurar um ponto final por recurso. Isto significa que pode ligar os seus servidores no local ou multi-cloud ao Azure Arc e enviar todo o tráfego através de uma ligação VPN do Azure ExpressRoute ou site a site em vez de utilizar redes públicas.

A partir dos servidores preparados para o Azure Arc, pode utilizar um modelo de Âmbito Private Link para permitir que vários servidores ou computadores comuniquem com os respetivos recursos do Azure Arc através de um único ponto final privado.

Este artigo aborda quando utilizar e como configurar um Âmbito de Private Link do Azure Arc.

Vantagens

Com Private Link pode:

• Ligue-se em privado ao Azure Arc sem abrir qualquer acesso à rede pública.
• Confirme que os dados do computador ou servidor preparado para o Azure Arc só são acedidos através de redes privadas autorizadas. Isto também inclui dados de extensões de VM instaladas no computador ou servidor que fornecem suporte de monitorização e gestão pós-implementação.
• Impeça a transferência de dados das suas redes privadas ao definir servidores específicos compatíveis com o Azure Arc e outros recursos de serviços do Azure, como o Azure Monitor, que se liga através do ponto final privado.
• Ligue de forma segura a sua rede privada no local ao Azure Arc com o ExpressRoute e Private Link.
• Mantenha todo o tráfego dentro da rede principal do Microsoft Azure.

Para obter mais informações, veja Principais Benefícios do Private Link.

Como funciona

O Âmbito do Private Link do Azure Arc liga pontos finais privados (e as redes virtuais em que estão contidos) a um recurso do Azure, neste caso, servidores compatíveis com o Azure Arc. Quando ativa qualquer um dos servidores compatíveis com o Azure Arc suportam extensões de VM, como a Gestão de Atualizações do Automatização do Azure ou o Azure Monitor, esses recursos ligam outros recursos do Azure. Como:

• Área de trabalho do Log Analytics necessária para Automatização do Azure Gestão de Atualizações, Automatização do Azure Registo de Alterações e Inventário, informações da VM do Azure Monitor e recolha de registos do Azure Monitor com o agente do Log Analytics.
• Automatização do Azure conta necessária para a Gestão de Atualizações e Registo de Alterações e Inventário.
• Azure Key Vault
• Armazenamento de Blobs do Azure, necessário para a Extensão de Script Personalizado.

A conectividade a qualquer outro recurso do Azure a partir de um servidor compatível com o Azure Arc requer a configuração de Private Link para cada serviço, o que é opcional, mas recomendado. Azure Private Link requer uma configuração separada por serviço.

Para obter mais informações sobre como configurar Private Link para os serviços do Azure listados anteriormente, veja os artigos Automatização do Azure, Azure Monitor, Azure Key Vault ou Armazenamento de Blobs do Azure.

• O Ponto Final Privado na VNet permite-lhe aceder aos pontos finais dos servidores preparados para o Azure Arc através de IPs privados a partir do conjunto da sua rede, em vez de utilizar para os IPs públicos destes pontos finais. Isto permite-lhe continuar a utilizar o recurso de servidores preparados para o Azure Arc sem abrir a VNet para o tráfego de saída não pedido.

• O tráfego do Ponto Final Privado para os seus recursos irá passar pelo backbone do Microsoft Azure e não será encaminhado para redes públicas.

• Pode configurar cada um dos seus componentes para permitir ou negar a ingestão e consultas de redes públicas. Isto fornece uma proteção ao nível dos recursos, para que possa controlar o tráfego para recursos específicos.

Restrições e limitações

Os servidores preparados para o Azure Arc Private Link objeto Âmbito têm vários limites que deve considerar ao planear a configuração do Private Link.

• Pode associar, no máximo, um Âmbito de Private Link do Azure Arc a uma rede virtual.
• Um recurso de servidor ou máquina compatível com o Azure Arc só pode ligar a um servidor preparado para o Azure Arc Private Link Âmbito.
• Todos os computadores no local precisam de utilizar o mesmo ponto final privado ao resolver as informações de ponto final privado corretos (nome do registo FQDN e endereço IP privado) com o mesmo reencaminhador DNS. Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure
• O servidor compatível com o Azure Arc e o Âmbito de Private Link do Azure Arc têm de estar na mesma região do Azure. O Ponto Final Privado e a rede virtual também têm de estar na mesma região do Azure, mas esta região pode ser diferente da do âmbito do Azure Arc Private Link e do servidor compatível com o Arc.
• O tráfego de rede para o Azure Active Directory e o Azure Resource Manager não atravessa o Âmbito do Private Link do Azure Arc e continuará a utilizar a rota de rede predefinida para a Internet. Opcionalmente, pode configurar uma ligação privada de gestão de recursos para enviar tráfego do Azure Resource Manager para um ponto final privado.
• Outros serviços do Azure que irá utilizar, por exemplo, o Azure Monitor, requerem os seus próprios pontos finais privados na sua rede virtual.
• Neste momento, o acesso remoto ao servidor com Windows Admin Center ou SSH não é suportado através de uma ligação privada.

Planear a configuração do Private Link

Para ligar o servidor ao Azure Arc através de uma ligação privada, tem de configurar a sua rede para realizar o seguinte:

1. Estabeleça uma ligação entre a sua rede no local e uma rede virtual do Azure com um circuito VPN site a site ou ExpressRoute.

2. Implemente um Âmbito de Private Link do Azure Arc, que controla que máquinas ou servidores podem comunicar com o Azure Arc através de pontos finais privados e associá-lo à sua rede virtual do Azure através de um ponto final privado.

3. Atualize a configuração de DNS na sua rede local para resolver os endereços de ponto final privado.

4. Configure a firewall local para permitir o acesso ao Azure Active Directory e ao Azure Resource Manager.

5. Associe os computadores ou servidores registados aos servidores compatíveis com o Azure Arc ao âmbito da ligação privada.

6. Opcionalmente, implemente pontos finais privados para outros serviços do Azure pelos qual o seu computador ou servidor é gerido, como:

   • Azure Monitor
   • Automatização do Azure
   • Armazenamento de Blobs do Azure
   • Azure Key Vault

Este artigo pressupõe que já configurou o circuito do ExpressRoute ou a ligação VPN site a site.

Configuração de rede

Os servidores preparados para o Azure Arc integram-se em vários serviços do Azure para levar a gestão e governação da cloud às suas máquinas ou servidores híbridos. A maioria destes serviços já oferece pontos finais privados, mas tem de configurar a firewall e as regras de encaminhamento para permitir o acesso ao Azure Active Directory e ao Azure Resource Manager através da Internet até estes serviços oferecerem pontos finais privados.

Existem duas formas de o conseguir:

• Se a sua rede estiver configurada para encaminhar todo o tráfego vinculado à Internet através da VPN do Azure ou do circuito do ExpressRoute, pode configurar o grupo de segurança de rede (NSG) associado à sua sub-rede no Azure para permitir o acesso TCP 443 (HTTPS) de saída ao Azure AD e ao Azure com etiquetas de serviço. As regras do NSG devem ter o seguinte aspeto:

  Definições	Azure AD regra	Regra do Azure
  Fonte	Rede virtual	Rede virtual
  Intervalo de portas de origem	*	*
  Destino	Etiqueta de Serviço	Etiqueta de Serviço
  Etiqueta do serviço de destino	AzureActiveDirectory	AzureResourceManager
  Intervalos de portas de destino	443	443
  Protocolo	TCP	TCP
  Ação	Permitir	Permitir
  Prioridade	150 (tem de ser inferior a qualquer regra que bloqueie o acesso à Internet)	151 (tem de ser inferior a qualquer regra que bloqueie o acesso à Internet)
  Name	AllowAADOutboundAccess	PermitirAzOutboundAccess

• Configure a firewall na sua rede local para permitir o acesso TCP 443 (HTTPS) de saída ao Azure AD e ao Azure com os ficheiros de etiquetas de serviço transferíveis. O ficheiro JSON contém todos os intervalos de endereços IP públicos utilizados pelo Azure AD e pelo Azure e é atualizado mensalmente para refletir quaisquer alterações. A etiqueta de serviço do Azure ADs é AzureActiveDirectory e a etiqueta de serviço do Azure é AzureResourceManager. Consulte o administrador de rede e o fornecedor da firewall de rede para saber como configurar as regras de firewall.

Veja o diagrama visual na secção Como funciona para os fluxos de tráfego de rede.

Criar um Âmbito de Private Link

1. Inicie sessão no portal do Azure.

2. Aceda a Criar um recurso no portal do Azure e procure Âmbito de Private Link do Azure Arc. Em alternativa, pode utilizar a seguinte ligação para abrir a página Âmbito do Azure Arc Private Link no portal.

3. Selecione Criar.

4. No separador Noções Básicas , selecione uma Subscrição e Um Grupo de Recursos.

5. Introduza um nome para o Âmbito de Private Link do Azure Arc. É melhor utilizar um nome significativo e claro.

   Opcionalmente, pode exigir que todos os servidores ou máquinas compatíveis com o Azure Arc associados a este Âmbito de Private Link do Azure Arc enviem dados para o serviço através do ponto final privado. Para tal, selecione a caixa Permitir acesso à rede pública para que os computadores ou servidores associados a este Âmbito de Private Link do Azure Arc possam comunicar com o serviço através de redes privadas ou públicas. Pode alterar esta definição depois de criar o âmbito se mudar de ideias.

6. Selecione o separador Ponto final privado e, em seguida, selecione Criar.

7. Na janela Criar ponto final privado :

   1. Introduza um Nome para o ponto final.

   2. Selecione Sim para Integrar com a zona DNS privada e permita-lhe criar automaticamente um novo DNS Privado Zone.

      Nota

      Se escolher Não e preferir gerir os registos DNS manualmente, conclua primeiro a configuração do seu Private Link , incluindo este Ponto Final Privado e a configuração do Âmbito Privado. Em seguida, configure o DNS de acordo com as instruções em Configuração do DNS do Ponto Final Privado do Azure. Não crie registos vazios como preparação da configuração da Ligação Privada. Os registos DNS que criar podem substituir as definições existentes e afetar a conectividade com servidores preparados para o Azure Arc.

   3. Selecione OK.

8. Selecione Rever + Criar.

   

9. Deixe passar a validação e, em seguida, selecione Criar.

Configurar o reencaminhamento DNS no local

Os seus computadores ou servidores no local têm de conseguir resolver os registos DNS de ligação privada para os endereços IP do ponto final privado. A forma como configura isto depende se está a utilizar zonas DNS privadas do Azure para manter registos DNS ou se está a utilizar o seu próprio servidor DNS no local e quantos servidores está a configurar.

Configuração de DNS com zonas DNS privadas integradas no Azure

Se configurar zonas DNS privadas para servidores preparados para o Azure Arc e Configuração de Convidado ao criar o ponto final privado, os seus computadores ou servidores no local têm de conseguir reencaminhar consultas DNS para os servidores DNS incorporados do Azure para resolver corretamente os endereços de ponto final privado. Precisa de um reencaminhador DNS no Azure (uma VM criada de propósito ou uma instância de Azure Firewall com o proxy DNS ativado), após o qual pode configurar o servidor DNS no local para reencaminhar consultas para o Azure para resolver endereços IP de ponto final privados.

A documentação do ponto final privado fornece orientações para configurar cargas de trabalho no local com um reencaminhador DNS.

Configuração manual do servidor DNS

Se optou por não utilizar zonas DNS privadas do Azure durante a criação de pontos finais privados, terá de criar os registos DNS necessários no servidor DNS no local.

1. Aceda ao portal do Azure.

2. Navegue para o recurso de ponto final privado associado à rede virtual e ao âmbito da ligação privada.

3. No painel esquerdo, selecione Configuração DNS para ver uma lista dos registos DNS e dos endereços IP correspondentes que terá de configurar no servidor DNS. Os FQDNs e os endereços IP serão alterados com base na região que selecionou para o ponto final privado e nos endereços IP disponíveis na sua sub-rede.

4. Siga as orientações do fornecedor do servidor DNS para adicionar as zonas DNS necessárias e os registos A para corresponder à tabela no portal. Certifique-se de que seleciona um servidor DNS com o âmbito adequado para a sua rede. Todos os computadores ou servidores que utilizam este servidor DNS resolvem agora os endereços IP do ponto final privado e têm de estar associados ao Âmbito de Private Link do Azure Arc ou a ligação será recusada.

Cenários de servidor único

Se estiver apenas a planear utilizar Ligações Privadas para suportar alguns computadores ou servidores, poderá não querer atualizar toda a configuração DNS da rede. Neste caso, pode adicionar os nomes de anfitrião e endereços IP do ponto final privado ao ficheiro anfitriões dos sistemas operativos. Dependendo da configuração do SO, o ficheiro Anfitriões pode ser o método principal ou alternativo para resolver o nome do anfitrião para o endereço IP.

Windows

1. Com uma conta com privilégios de administrador, abra C:\Windows\System32\drivers\etc\hosts.

2. Adicione os IPs de ponto final privado e os nomes de anfitrião, conforme mostrado na tabela a partir do passo 3 em Configuração manual do servidor DNS. O ficheiro de anfitriões requer primeiro o endereço IP seguido de um espaço e, em seguida, do nome do anfitrião.

3. Guarde o ficheiro com as suas alterações. Poderá ter de guardar noutro diretório primeiro e, em seguida, copiar o ficheiro para o caminho original.

Linux

1. Abra o /etc/hosts ficheiro de anfitriões num editor de texto.

2. Adicione os IPs de ponto final privado e os nomes de anfitrião, conforme mostrado na tabela a partir do passo 3 em Configuração manual do servidor DNS. O ficheiro anfitrião pede o endereço IP primeiro seguido de um espaço e, em seguida, do nome do anfitrião.

3. Guarde o ficheiro com as suas alterações.

Ligar a servidores compatíveis com o Azure Arc

Configurar um novo servidor compatível com o Azure Arc para utilizar a Ligação privada

Ao ligar um computador ou servidor com servidores preparados para o Azure Arc pela primeira vez, pode ligá-lo opcionalmente a um Âmbito de Private Link. Os seguintes passos são

1. No browser, aceda ao portal do Azure.

2. Navegue para Servidores -Azure Arc.

3. Na página Servidores - Azure Arc , selecione Adicionar no canto superior esquerdo.

4. Na página Adicionar servidores com o Azure Arc , selecione Adicionar um único servidor ou Adicionar vários servidores consoante o cenário de implementação e, em seguida, selecione Gerar script.

5. Na página Gerar script , selecione a subscrição e o grupo de recursos onde pretende que a máquina seja gerida no Azure. Selecione uma localização do Azure onde os metadados da máquina serão armazenados. Esta localização pode ser igual ou diferente da localização do grupo de recursos.

6. Na página Pré-requisitos , reveja as informações e, em seguida, selecione Seguinte: Detalhes do recurso.

7. Na página Detalhes do recurso , indique o seguinte:

   1. Na lista pendente Grupo de recursos, selecione o grupo de recursos a partir do qual a máquina será gerida.

   2. Na lista pendente Região , selecione a região do Azure para armazenar os metadados do computador ou do servidor.

   3. Na lista pendente Sistema operativo , selecione o sistema operativo no qual o script está configurado para ser executado.

   4. Em Conectividade de Rede, selecione Ponto final privado e selecione o Âmbito de Private Link do Azure Arc criado na Parte 1 na lista pendente.

      

   5. Selecione Seguinte: Etiquetas.

8. Se tiver selecionado Adicionar vários servidores, na página Autenticação , selecione o principal de serviço criado para servidores compatíveis com o Azure Arc na lista pendente. Se não tiver criado um principal de serviço para servidores preparados para o Azure Arc, veja primeiro como criar um principal de serviço para se familiarizar com as permissões necessárias e os passos para criar um. Selecione Seguinte: Etiquetas para continuar.

9. Na página Etiquetas , reveja as etiquetas de localização física predefinidas sugeridas e introduza um valor ou especifique uma ou mais Etiquetas personalizadas para suportar as suas normas.

10. Selecione Seguinte: Transferir e executar script.

11. Na página Transferir e executar script , reveja as informações de resumo e, em seguida, selecione Transferir. Se ainda precisar de fazer alterações, selecione Anterior.

Depois de transferir o script, tem de executá-lo no seu computador ou servidor com uma conta com privilégios (administrador ou raiz). Dependendo da configuração da rede, poderá ter de transferir o agente a partir de um computador com acesso à Internet e transferi-lo para o seu computador ou servidor e, em seguida, modificar o script com o caminho para o agente.

O agente do Windows pode ser transferido a partir do https://aka.ms/AzureConnectedMachineAgent e o agente linux pode ser transferido a partir de https://packages.microsoft.com. Procure a versão mais recente do azcmagent no diretório de distribuição do SO e instale-a com o gestor de pacotes local.

O script devolverá mensagens de estado informando-o se a inclusão foi concluída com êxito.

Configurar um servidor compatível com o Azure Arc existente

Para servidores compatíveis com o Azure Arc que foram configurados antes do âmbito da ligação privada, pode permitir que comecem a utilizar os servidores preparados para o Azure Arc Private Link Âmbito ao concluir os seguintes passos.

1. Na portal do Azure, navegue para o recurso Azure Arc Private Link Scope.

2. No painel esquerdo, selecione Recursos do Azure Arc e, em seguida, + Adicionar.

3. Selecione os servidores na lista que pretende associar ao âmbito Private Link e, em seguida, selecione Selecionar para guardar as alterações.

   Nota

   Só são apresentados os servidores preparados para o Azure Arc na mesma subscrição e região que o âmbito do Private Link.

O Âmbito do Private Link pode demorar até 15 minutos a aceitar ligações dos servidores associados recentemente.

Resolução de problemas

1. Verifique os servidores DNS no local para verificar se está a reencaminhar para o DNS do Azure ou se está configurado com os registos A adequados na zona de ligação privada. Estes comandos de pesquisa devem devolver endereços IP privados na sua rede virtual do Azure. Se resolverem os endereços IP públicos, verifique novamente a configuração DNS do seu computador ou servidor e da rede.

   nslookup gbl.his.arc.azure.comnslookup agentserviceapi.guestconfiguration.azure.com

2. Se estiver a ter problemas ao integrar um computador ou servidor, confirme que adicionou as etiquetas de serviço do Azure Active Directory e do Azure Resource Manager à firewall de rede local. O agente tem de comunicar com estes serviços através da Internet até que os pontos finais privados estejam disponíveis para estes serviços.

Passos seguintes

• Para saber mais sobre o Ponto Final Privado, veja O que é o Ponto Final Privado do Azure?.

• Se estiver a ter problemas com a configuração da conectividade do Ponto Final Privado do Azure, veja Resolver problemas de conectividade do Ponto Final Privado do Azure.

• Veja o seguinte para configurar Private Link para Automatização do Azure, Azure Monitor, Key Vault do Azure ou armazenamento de Blobs do Azure.