Zugreifen auf Azure-Dienste über den expliziten Azure Firewall-Proxy (Public Preview)

Die Azure Firewall Explicit Proxy-Funktion kann den gesamten Azure Arc-Datenverkehr sicher über Ihre private Verbindung (ExpressRoute oder Site-zu-Site-VPN) an Azure weiterleiten. Mit diesem Feature können Sie Azure Arc verwenden, ohne Ihre lokale Umgebung für das öffentliche Internet verfügbar zu machen.

In diesem Artikel werden die Schritte zum Konfigurieren der Azure Firewall mit dem Feature "Expliziter Proxy" als Weiterleitungsproxy für Ihre Arc-fähigen Server oder Kubernetes-Ressourcen erläutert.

Funktionsweise des expliziten Proxyfeatures von Azure Firewall

Azure Arc-Agents können einen Weiterleitungsproxy verwenden, um eine Verbindung mit Azure-Diensten herzustellen. Mit dem Feature "Expliziter Azure Firewall-Proxy" können Sie eine Azure-Firewall in Ihrem virtuellen Netzwerk (VNet) als Weiterleitungsproxy für Ihre Arc-Agents verwenden.

Da der explizite Azure Firewall-Proxy innerhalb Ihres privaten VNet funktioniert und Sie über ExpressRoute oder Site-zu-Site-VPN eine sichere Verbindung damit herstellen, kann der gesamte Azure Arc-Datenverkehr an sein beabsichtigtes Ziel innerhalb des Microsoft-Netzwerks weitergeleitet werden, ohne dass ein öffentlicher Internetzugang erforderlich ist.

Um Architekturdiagramme in hoher Auflösung herunterzuladen, besuchen Sie Jumpstart Gems.

Einschränkungen und aktuelle Einschränkungen

• Diese Lösung verwendet den expliziten Azure Firewall-Proxy als Weiterleitungsproxy. Das Explizite Proxyfeature unterstützt keine TLS-Inspektion.
• TLS-Zertifikate können nicht auf den expliziten Azure Firewall-Proxy angewendet werden.
• Diese Lösung wird derzeit nicht von azure Local oder Azure Arc VMs unterstützt, die in Azure Local ausgeführt werden.

Kosten von Azure Firewall

Die Azure Firewall-Preise basieren auf den Bereitstellungsstunden und den insgesamt verarbeiteten Daten. Details zu den Preisen für Azure Firewall finden Sie auf der Azure Firewall-Preisseite.

Voraussetzungen und Netzwerkanforderungen

Um diese Lösung zu verwenden, müssen Sie folgendes haben:

• Ein vorhandenes Azure VNet.
• Eine vorhandene ExpressRoute- oder Standort-zu-Standort-VPN-Verbindung von Ihrer lokalen Umgebung zu Ihrem Azure VNet.

Konfigurieren der Azure-Firewall

Führen Sie die folgenden Schritte aus, um das Explizite Proxyfeature in Ihrer Azure-Firewall zu aktivieren.

Erstellen der Azure Firewall-Ressource

Wenn Sie über eine vorhandene Azure-Firewall in Ihrem VNet verfügen, können Sie diesen Abschnitt überspringen. Führen Sie andernfalls die folgenden Schritte aus, um eine neue Azure Firewall-Ressource zu erstellen.

1. Melden Sie sich in Ihrem Browser beim Azure-Portal an, und navigieren Sie zur Seite "Azure Firewalls ".
2. Wählen Sie Erstellen aus, um eine neue Firewall zu erstellen.
3. Geben Sie Ihr Abonnement, Ihre Ressourcengruppe, Ihren Namen und Ihre Region ein.
4. Wählen Sie als Firewall-SKU die Option Standard oder Premium aus.
5. Vervollständigen Sie den Rest des Grundlagen-Tabs nach Bedarf für Ihre Konfiguration.
6. Wählen Sie Überprüfen und erstellen und dann Erstellen aus, um die Firewall zu erstellen.

Weitere Informationen finden Sie unter Bereitstellen und Konfigurieren von Azure Firewall.

Aktivieren des Features für den expliziten Proxy (Vorschau)

1. Navigieren Sie zu Ihrer Azure Firewall-Ressource, und wechseln Sie dann zur Firewallrichtlinie.

2. Navigieren Sie unter Einstellungen zum Bereich Expliziter Proxy (Vorschau).

3. Wählen Sie Expliziten Proxy aktivieren aus.

4. Geben Sie die gewünschten Werte für die HTTP- und HTTPS-Ports ein.

   Hinweis

   Es ist üblich, 8080 für den HTTP-Port und 8443 für den HTTPS-Port zu verwenden.

5. Wählen Sie Übernehmen aus, um die Änderungen zu speichern. 

Erstellen einer Anwendungsregel

Wenn Sie eine Zulassungsliste für Ihren expliziten Azure Firewall-Proxy erstellen möchten, können Sie optional eine Anwendungsregel erstellen, um die Kommunikation mit den erforderlichen Endpunkten für Ihre Szenarien zu ermöglichen.

1. Navigieren Sie zur entsprechenden Firewallrichtlinie. 
2. Navigieren Sie unter Einstellungen zum Bereich Anwendungsregeln. 
3. Wählen Sie Regelsammlung hinzufügen aus. 
4. Geben Sie unter Name einen Namen für die Regelsammlung ein.
5. Legen Sie die Regel Priorität basierend auf anderen Regeln fest, die Sie möglicherweise eingerichtet haben.
6. Geben Sie einen Namen für die Regel an.
7. Geben Sie „*“ für Quelle oder beliebige Quell-IPs ein, die Sie möglicherweise haben.
8. Legen Sie Protokoll auf http:80,https:443 fest. 
9. Legen Sie unter Ziel eine durch Trennzeichen getrennte Liste von URLs fest, die für Ihr Szenario erforderlich sind. Ausführliche Informationen zu erforderlichen URLs finden Sie unter Azure Arc-Netzwerkanforderungen.
10. Wählen Sie Hinzufügen aus, um die Regelsammlung und die Regel zu speichern. 

Festlegen Ihrer Azure-Firewall als Weiterleitungsproxy

Führen Sie die folgenden Schritte aus, um Ihre Azure-Firewall als Weiterleitungsproxy für Ihre Arc-Ressourcen festzulegen.

Arc-fähige Server

So legen Sie Ihre Azure-Firewall beim Onboarding neuer Arc-Server als Weiterleitungsproxy fest:

1. Generieren Sie das Onboardingskript.
2. Legen Sie Konnektivitätsmethode auf Proxyserver und unter Proxyserver-URL die URL http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port> fest.
3. Führen Sie für Ihre Server mithilfe des Skripts das Onboarding durch.

Um den Weiterleitungsproxy für vorhandene Arc-fähige Server festzulegen, führen Sie den folgenden Befehl mit der lokalen CLI des Azure Connected Machine-Agents aus:

azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`

Kubernetes mit Arc-Unterstützung

Führen Sie den Verbindungsbefehl mit den proxy-httpsproxy-http angegebenen Parametern aus, um Ihre Azure Firewall als Weiterleitungsproxy festzulegen, während sie neue Kubernetes-Cluster integrieren:

az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>  --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port> 

Führen Sie den folgenden Befehl aus, um den Forward-Proxy für vorhandene Arc-fähige Kubernetes-Cluster festzulegen:

az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>  

Problembehandlung

Um zu überprüfen, ob der Datenverkehr erfolgreich über den expliziten Azure Firewall-Proxy weitergeleitet wird, sollten Sie zuerst sicherstellen, dass von Ihrem Netzwerk aus auf den expliziten Proxy zugegriffen werden kann und er wie erwartet funktioniert. Führen Sie dazu den folgenden Befehl aus: curl -x <proxy IP> <target FQDN>.

Darüber hinaus können Sie die Azure Firewall Application-Regelprotokolle anzeigen, um den Datenverkehr zu überprüfen. Der explizite Proxy basiert auf Anwendungsregeln, sodass alle Protokolle in der Tabelle AZFWApplicationRules verfügbar sind, wie in diesem Beispiel gezeigt:

Integration von privaten Links

Sie können azure Firewall Explicit Proxy in Verbindung mit Azure Private Link verwenden. Um diese Lösungen zusammen zu verwenden, konfigurieren Sie Ihre Umgebung so, dass Datenverkehr zu Endpunkten, die keine Private Link-Routen über den expliziten Proxy unterstützen, erfolgt, während Datenverkehr zu Azure Arc-Endpunkten, die Private Link unterstützen, den expliziten Proxy umgeht und stattdessen direkt zu dem relevanten privaten Endpunkt weitergeleitet wird.

• Verwenden Sie für Azure Private Link für Arc-fähige Server das Feature Proxyumgehung.
• Für Azure Private Link für Arc-fähiges Kubernetes (Vorschau) nehmen Sie Microsoft Entra ID-, Azure Resource Manager-, Azure Front Door- und Microsoft Container Registry-Endpunkte in den Proxyauslassungsbereich Ihres Clusters auf.

Nächste Schritte

• Weitere Informationen zu Azure Firewall Explicit Proxy (Vorschau)
• Weitere Informationen finden Sie unter Entmystifizierung von „Expliziter Proxy“: Verbessern der Sicherheit mit Azure Firewall.