Verwenden von Azure Private Link zum sicheren Verbinden von Servern mit Azure Arc

Mit Azure Private Link können Sie azure platform-as-a-Service (PaaS)-Dienste sicher mit Ihrem virtuellen Netzwerk verknüpfen, indem Sie private Endpunkte verwenden. Für viele Dienste richten Sie einen Endpunkt pro Ressource ein. Anschließend können Sie Ihre lokalen oder multicloud-Server mit Azure Arc verbinden und den gesamten Datenverkehr über Azure ExpressRoute oder eine VPN-Verbindung (Site-to-Site Virtual Private Network) senden, anstatt öffentliche Netzwerke zu verwenden.

Mit Azure Arc-fähigen Servern können Sie mithilfe eines privaten Linkbereichsmodells mehrere Server oder Computer mit ihren Azure Arc-Ressourcen kommunizieren, indem Sie einen einzelnen privaten Endpunkt verwenden.

In diesem Artikel wird erläutert, wann Sie den Azure Arc Private Link-Bereich verwenden und wie er eingerichtet wird.

Vorteile

Mit privatem Link können Sie:

Herstellen einer privaten Verbindung mit Azure Arc ohne öffentlichen Netzwerkzugriff.
Stellen Sie sicher, dass auf Daten vom Azure Arc-fähigen Computer oder Server nur über autorisierte private Netzwerke zugegriffen wird. Diese Anforderung umfasst auch Daten von VM-Erweiterungen (Virtual Machine), die auf dem Computer oder Server installiert sind, die Unterstützung für die Verwaltung und Überwachung nach der Bereitstellung bereitstellen.
Verhindern Sie die Datenexfiltration aus Ihren privaten Netzwerken, indem Sie bestimmte Azure Arc-fähige Server und andere Azure-Dienstressourcen definieren, z. B. Azure Monitor, die eine Verbindung über Ihren privaten Endpunkt herstellen.
Verbinden Sie Ihr privates lokales Netzwerk sicher mit Azure Arc mithilfe von ExpressRoute und privatem Link.
Kapseln des gesamten Datenverkehrs innerhalb des Microsoft Azure-Backbonenetzwerks.

Weitere Informationen finden Sie unter Hauptvorteile von Azure Private Link.

Funktionsweise

Azure Arc Bereich für private Verknüpfungen verbindet private Endpunkte (und die virtuellen Netzwerke, in denen sie enthalten sind) mit einer Azure Ressource. In diesem Fall handelt es sich um Azure Arc-fähige Server. Wenn Sie eine der unterstützten VM-Erweiterungen für Azure Arc-fähige Server aktivieren, z. B. Azure Monitor, verbinden diese Ressourcen andere Azure-Ressourcen, z. B.:

Log Analytics-Arbeitsbereich, der für azure Automation Änderungsnachverfolgung und Bestand, Azure Monitor VM Insights und Azure Monitor Log Collection mit Azure Monitor Agent erforderlich ist.
Azure Key Vault:
Azure Blob Storage, das für die benutzerdefinierte Skripterweiterung erforderlich ist.

Um Architekturdiagramme in hoher Auflösung herunterzuladen, besuchen Sie Jumpstart Gems.

Für die Konnektivität mit jeder anderen Azure-Ressource von einem Azure Arc-fähigen Server müssen Sie Private Link für jeden Dienst konfigurieren, was optional ist, aber empfohlen wird. Private Verknüpfung erfordert eine separate Konfiguration pro Dienst.

Weitere Informationen zum Konfigurieren des privaten Links für die zuvor aufgeführten Azure-Dienste finden Sie in den Artikeln zu Azure Automation, Azure Monitor, Key Vault oder Blob Storage.

Wichtig

Privater Link ist jetzt allgemein verfügbar. Sowohl private Endpunkt- als auch Private Link-Dienste (Dienst hinter einem Standardlastenausgleich) sind allgemein verfügbar. Verschiedene Azure PaaS-Dienste werden zu unterschiedlichen Zeitplänen in Private Link eingebunden. Einen aktualisierten Status von Azure PaaS auf privatem Link finden Sie unter Verfügbarkeit von privatem Link. Bekannte Einschränkungen finden Sie unter "Privater Endpunkt " und "Privater Linkdienst".

Der private Endpunkt in Ihrem virtuellen Netzwerk ermöglicht es, Azure Arc-fähige Serverendpunkte über private IPs aus dem Pool Ihres Netzwerks zu erreichen, anstatt die öffentlichen IPs dieser Endpunkte zu verwenden. Auf diese Weise können Sie Ihre Azure Arc-fähige Serverressource weiterhin verwenden, ohne Ihr virtuelles Netzwerk für ausgehenden Datenverkehr zu öffnen, der nicht angefordert wurde.
Der Datenverkehr vom privaten Endpunkt zu Ihren Ressourcen überschreitet das Azure-Backbone und wird nicht an öffentliche Netzwerke weitergeleitet.
Sie können Ihre einzelnen Komponenten so konfigurieren, dass Erfassung und Abfragen aus öffentlichen Netzwerken zugelassen oder verweigert werden. Dies bietet einen Schutz auf Ressourcenebene, sodass Sie den Datenverkehr zu bestimmten Ressourcen steuern können.

Voraussetzungen

Ein Azure-Abonnement. Wenn Sie kein Konto haben, erstellen Sie ein kostenloses Konto.
Eine aktive ExpressRoute-Verbindung oder site-to-site VPN-Verbindung zwischen Ihrem lokalen Netzwerk und einem Azure virtuellen Netzwerk.
Ein Azure virtuelles Netzwerk in derselben Region wie Ihre Azure Arc-fähigen Server.
Azure Connected Machine Agent Version 1.4 oder höher auf jedem Server, um eine Verbindung über Private Link herzustellen.
Mindestens Mitwirkender auf dem Azure-Abonnement oder der Ressourcengruppe, um einen privaten Link-Bereich und private Endpunkt-Ressourcen zu erstellen.
Bei Verwendung von Azure PowerShell sind die folgenden Module erforderlich:
- Az.ConnectedMachine, Az.Network und Az.PrivateDns. Führen Sie Install-Module -Name Az.ConnectedMachine, Az.Network, Az.PrivateDns -AllowClobber aus.
Bei Verwendung von Azure CLI ist die folgende Erweiterung erforderlich:
- connectedmachine Erweiterung. Führen Sie az extension add --name connectedmachine aus.

Einschränkungen

Das Azure Arc-fähige Server-Objekt für private Verknüpfungen weist mehrere Beschränkungen auf, die Sie berücksichtigen sollten, wenn Sie das Setup für private Links planen:

Höchstens kann ein privater Azure Arc-Linkbereich einem virtuellen Netzwerk zugeordnet werden.
Ein Computer mit Azure Arc-Unterstützung oder eine Serverressource kann nur mit einem Private Link-Bereich eines Servers mit Azure Arc-Unterstützung eine Verbindung herstellen.
Alle lokalen Computer müssen denselben privaten Endpunkt verwenden, indem die richtigen privaten Endpunktinformationen aufgelöst werden, z. B. vollqualifizierter Domänenname (FQDN)-Eintragsname und private IP-Adresse. Sie müssen dieselbe DNS-Weiterleitung (Domain Name System) verwenden. Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.
Der Azure Arc-fähige Server und der private Azure Arc-Linkbereich müssen sich in derselben Azure-Region befinden wie beieinander. Der private Endpunkt und das virtuelle Netzwerk müssen sich in derselben Azure-Region befinden, die sich jedoch von der Region Ihres privaten Azure Arc-Linkbereichs und dem Azure Arc-fähigen Server unterscheiden kann.
Netzwerkdatenverkehr zu Microsoft Entra ID und Azure Resource Manager durchläuft nicht den Privaten Azure Arc-Linkbereich und verwendet weiterhin Ihre Standardnetzwerkroute zum Internet. Sie können optional einen privaten Link für die Ressourcenverwaltung konfigurieren , um Ressourcen-Manager-Datenverkehr an einen privaten Endpunkt zu senden.
Andere Azure-Dienste, die Sie verwenden, z. B. Azure Monitor, erfordern ihre eigenen privaten Endpunkte in Ihrem virtuellen Netzwerk.
Der Remotezugriff auf den Server mithilfe von Windows Admin Center oder SSH wird derzeit nicht über einen privaten Link unterstützt.

Planen des Setups für private Links

Um Ihren Server über einen privaten Link mit Azure Arc zu verbinden, müssen Sie Ihr Netzwerk so konfigurieren, dass die folgenden Aufgaben ausgeführt werden:

Stellen Sie einen privaten Azure Arc-Linkbereich bereit, der die Computer oder Server steuert, die mit Azure Arc über private Endpunkte kommunizieren können. Ordnen Sie es Ihrem virtuellen Azure-Netzwerk mithilfe eines privaten Endpunkts zu.
Aktualisieren Sie die DNS-Konfiguration in Ihrem lokalen Netzwerk, um die Adressen der privaten Endpunktadressen aufzulösen.
Konfigurieren Sie Ihre lokale Firewall, um den Zugriff auf die Microsoft Entra-ID und den Ressourcen-Manager zu ermöglichen.
Ordnen Sie die Computer oder Server, die mit Azure Arc-fähigen Servern registriert sind, dem Bereich für private Verknüpfungen zu.
Stellen Sie optional private Endpunkte für andere Azure Dienste bereit, die Ihren Computer oder Server verwalten, z. B.:
- Azure Monitor
- Azure Automation
- Azure Blob Storage (Speicherdienst von Azure für unstrukturierte Daten)
- Azure Key Vault (ein Dienst zur sicheren Verwaltung kryptografischer Schlüssel)

Netzwerkkonfiguration

Azure Arc-fähige Server lassen sich in verschiedene Azure-Dienste integrieren, um Ihren Hybridcomputern oder -servern Verwaltungs- und Governancefunktionen in der Cloud zu ermöglichen. Die meisten dieser Dienste bieten bereits private Endpunkte an. Sie müssen Ihre Firewall- und Routingregeln konfigurieren, um den Zugriff auf Microsoft Entra ID und Ressourcen-Manager über das Internet zu ermöglichen, bis diese Dienste private Endpunkte anbieten.

Es gibt zwei Möglichkeiten zum Zulassen des Zugriffs:

Konfigurieren Sie die Firewall in Ihrem lokalen Netzwerk, um ausgehenden TCP 443 (HTTPS)-Zugriff auf Microsoft Entra ID und Azure mithilfe der herunterladbaren Diensttagdateien zu ermöglichen. Die Datei JSON enthält die öffentlichen IP-Adressbereiche, die von Microsoft Entra ID und Azure verwendet werden, und wird monatlich aktualisiert, um alle Änderungen widerzuspiegeln.

Die Microsoft Entra ID-Dienstmarke lautet AzureActiveDirectory. Das Azure-Servicetag lautet AzureResourceManager. Wenn Sie erfahren möchten, wie Sie Ihre Firewallregeln konfigurieren, wenden Sie sich an den Netzwerkadministrator und den Netzwerkfirewallanbieter.

Wenn Ihr Netzwerk für die Weiterleitung des gesamten internetgebundenen Datenverkehrs über den Azure-VPN- oder ExpressRoute-Schaltkreis konfiguriert ist, können Sie die Netzwerksicherheitsgruppe (Network Security Group, NSG) konfigurieren, die Ihrem Subnetz in Azure zugeordnet ist. Verwenden Sie Diensttags , um ausgehenden TCP 443 (HTTPS)-Zugriff auf Microsoft Entra ID und Azure zu ermöglichen.

Die NSG-Regeln sollten wie in der folgenden Tabelle aussehen:

Einstellung	Microsoft Entra ID-Regel	Azure-Regel
`Source`	Virtuelles Netzwerk	Virtuelles Netzwerk
Quellportbereiche	*	*
Bestimmungsort	Diensttag	Diensttag
Zieldiensttag	`AzureActiveDirectory`	`AzureResourceManager`
Zielportbereiche	443	443
Protocol	TCP	TCP
Aktion	Allow	Allow
Priority	150 (Muss niedriger sein als alle Regeln, die den Internetzugriff blockieren.)	151 (Muss niedriger sein als alle Regeln, die den Internetzugriff blockieren.)
Name	`AllowAADOutboundAccess`	`AllowAzOutboundAccess`

Verwenden Sie eine der folgenden Methoden, um diese NSG-Regeln mithilfe der Befehlszeile zu erstellen:

Azure PowerShell
Azure CLI

$nsgName = "<nsg-name>"
$resourceGroup = "<resource-group>"
$nsg = Get-AzNetworkSecurityGroup -Name $nsgName -ResourceGroupName $resourceGroup

# Microsoft Entra ID rule

$nsg = $nsg | Add-AzNetworkSecurityRuleConfig `
  -Name "AllowAADOutboundAccess" `
  -Priority 150 `
  -Direction Outbound `
  -Access Allow `
  -Protocol Tcp `
  -SourceAddressPrefix VirtualNetwork `
  -SourcePortRange * `
  -DestinationAddressPrefix AzureActiveDirectory `
  -DestinationPortRange 443

# Azure rule

$nsg = $nsg | Add-AzNetworkSecurityRuleConfig `
  -Name "AllowAzOutboundAccess" `
  -Priority 151 `
  -Direction Outbound `
  -Access Allow `
  -Protocol Tcp `
  -SourceAddressPrefix VirtualNetwork `
  -SourcePortRange * `
  -DestinationAddressPrefix AzureResourceManager `
  -DestinationPortRange 443

$nsg | Set-AzNetworkSecurityGroup

# Microsoft Entra ID rule

az network nsg rule create \
  --resource-group "<resource-group>" \
  --nsg-name "<nsg-name>" \
  --name "AllowAADOutboundAccess" \
  --priority 150 \
  --direction Outbound \
  --access Allow \
  --protocol Tcp \
  --source-address-prefixes VirtualNetwork \
  --source-port-ranges "*" \
  --destination-address-prefixes AzureActiveDirectory \
  --destination-port-ranges 443

# Azure rule

az network nsg rule create \
  --resource-group "<resource-group>" \
  --nsg-name "<nsg-name>" \
  --name "AllowAzOutboundAccess" \
  --priority 151 \
  --direction Outbound \
  --access Allow \
  --protocol Tcp \
  --source-address-prefixes VirtualNetwork \
  --source-port-ranges "*" \
  --destination-address-prefixes AzureResourceManager \
  --destination-port-ranges 443

Weitere Informationen zu den Netzwerkdatenverkehrsflüssen finden Sie im Diagramm im Abschnitt Funktionsweise dieses Artikels.

Erstellen eines privaten Azure Arc-Linkbereichs

Wichtig

Wenn Sie Azure PowerShell oder Azure CLI verwenden, führen Sie alle Schritte in this section innerhalb einer single-Terminalsitzung aus (oder kombinieren Sie jeden Schritt in einer Skriptdatei). Variablen wie $scopeId (PowerShell) und scopeId (Bash) werden in früheren Schritten festgelegt und in späteren Schritten referenziert. Das Starten einer neuen Terminalsitzung zwischen den Schritten bewirkt, dass diese Variablen verloren gehen und nachfolgende Befehle fehlschlagen.

Melden Sie sich beim Azure-Portal an.
Suchen Sie in der Suchleiste nach Azure Arc Private Link Scopes, und wählen Sie dann Erstellen aus.
Wählen Sie auf der Registerkarte " Grundlagen " eine Abonnement- und Ressourcengruppe aus.
Geben Sie einen Namen für den privaten Azure Arc-Linkbereich ein. Es empfiehlt sich ein aussagekräftiger Name.
Wenn Sie optional alle zugehörigen Computer auf die Kommunikation nur über den privaten Endpunkt beschränken möchten, deaktivieren Sie das Kontrollkästchen " Zugriff auf öffentliche Netzwerke zulassen ". Dieses Kontrollkästchen ist standardmäßig aktiviert, sodass Computer oder Server sowohl über private als auch öffentliche Netzwerke kommunizieren können. Sie können diese Einstellung ändern, nachdem Sie den Bereich erstellt haben.
Wählen Sie die Registerkarte "Privater Endpunkt " und dann " Erstellen" aus.
Im Bereich "Privater Endpunkt erstellen ":
1. Geben Sie einen Namen für den Endpunkt ein.
2. Wählen Sie für die Integration in private DNS-Zone"Ja" aus, und lassen Sie sie automatisch eine neue private DNS-Zone erstellen.
  
  Hinweis
  
  Wenn Sie "Nein" auswählen und DNS-Einträge manuell verwalten möchten, schließen Sie zuerst die Einrichtung Ihres privaten Links ab, einschließlich dieses privaten Endpunkts und der Konfiguration des privaten Bereichs. Konfigurieren Sie dann Ihr DNS gemäß den Anweisungen in der DNS-Konfiguration des privaten Azure-Endpunkts. Stellen Sie sicher, dass Sie keine leeren Datensätze bei der Vorbereitung auf die Einrichtung Ihres privaten Links erstellen. Die von Ihnen erstellten DNS-Einträge können vorhandene Einstellungen außer Kraft setzen und sich auf Ihre Konnektivität mit Azure Arc-fähigen Servern auswirken.
  
  Sie können nicht dasselbe virtuelle Netzwerk oder dieselbe DNS-Zone sowohl für Azure Arc-Ressourcen verwenden, die private Links nutzen, als auch für solche, die keine privaten Links nutzen. Azure Arc-Ressourcen, die nicht mit privaten Links verbunden sind, müssen auf öffentliche Endpunkte zugreifen können.
3. Klicken Sie auf OK.
Klicken Sie auf Überprüfen + erstellen.
Nachdem die Überprüfung bestanden wurde, wählen Sie "Erstellen" aus.

Erstellen Sie den Bereich für private Links:
```
New-AzConnectedPrivateLinkScope `
  -ResourceGroupName "<resource-group>" `
  -Location "<location>" `
  -ScopeName "<scope-name>" `
  -PublicNetworkAccess Enabled
```
Setzen Sie -PublicNetworkAccess auf Disabled, um zu beschränken, dass Maschinen nur über den privaten Endpunkt kommunizieren.

Rufen Sie die Bereichsressourcen-ID für die Verwendung in späteren Schritten ab:

$scope = Get-AzConnectedPrivateLinkScope `
  -ResourceGroupName "<resource-group>" `
  -ScopeName "<scope-name>"
$scopeId = $scope.Id

Deaktivieren Sie die Netzwerkrichtlinien für private Endpunkte im Zielsubnetz, und erstellen Sie dann den privaten Endpunkt:

$vnet = Get-AzVirtualNetwork -Name "<vnet-name>" -ResourceGroupName "<resource-group>"
$subnet = Get-AzVirtualNetworkSubnetConfig -Name "<subnet-name>" -VirtualNetwork $vnet
$subnet.PrivateEndpointNetworkPolicies = "Disabled"
Set-AzVirtualNetwork -VirtualNetwork $vnet

$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
    -Name "<connection-name>" `
    -PrivateLinkServiceId $scopeId `
    -GroupId "hybridcompute"

New-AzPrivateEndpoint `
    -ResourceGroupName "<resource-group>" `
    -Name "<endpoint-name>" `
    -Location "<location>" `
    -Subnet $subnet `
    -PrivateLinkServiceConnection $privateEndpointConnection

Erstellen und Verknüpfen einer DNS-Zone:

$resourceGroup = "<resource-group>"
$vnetName = "<vnet-name>"
$endpointName = "<endpoint-name>"

# Define required DNS zones for Azure Arc
$dnsZoneNames = @(
    "privatelink.his.arc.azure.com",
    "privatelink.guestconfiguration.azure.com"

    # Uncomment the following line if using Kubernetes extensions:
    # "privatelink.dp.kubernetesconfiguration.azure.com"
)

$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroup

# Step 1: Create private DNS zones and link to VNet
foreach ($zoneName in $dnsZoneNames) {

    # Create the private DNS zone
    New-AzPrivateDnsZone `
        -ResourceGroupName $resourceGroup `
        -Name $zoneName

 # Link the DNS zone to the VNet
 New-AzPrivateDnsVirtualNetworkLink `
     -ResourceGroupName $resourceGroup `
     -ZoneName $zoneName `
     -Name "$($zoneName -replace '\.', '-')-link" `
     -VirtualNetworkId $vnet.Id

 Write-Host "Created and linked DNS zone: $zoneName"
}

# Step 2: Create the DNS zone group on the private endpoint
$dnsZoneConfigs = $dnsZoneNames | ForEach-Object {
    $zone = Get-AzPrivateDnsZone -ResourceGroupName $resourceGroup -Name $_
    New-AzPrivateDnsZoneConfig `
        -Name ($_ -replace '\.', '-') `
        -PrivateDnsZoneId $zone.ResourceId
}

New-AzPrivateDnsZoneGroup `
    -ResourceGroupName $resourceGroup `
    -PrivateEndpointName $endpointName `
    -Name "arc-dns-zone-group" `
    -PrivateDnsZoneConfig $dnsZoneConfigs

Write-Host "DNS zone group created on endpoint $endpointName"

Erstellen Sie den Privaten Linkbereich:

az connectedmachine private-link-scope create \
  --resource-group "<resource-group>" \
  --location "<location>" \
  --scope-name "<scope-name>" \
  --public-network-access Enabled

Legen Sie --public-network-access bis Disabled fest, um Maschinen so einzuschränken, dass sie nur über den privaten Endpunkt kommunizieren.

Rufen Sie die Bereichsressourcen-ID für die Verwendung in späteren Schritten ab:

scopeId=$(az connectedmachine private-link-scope show \
  --resource-group "<resource-group>" \
  --scope-name "<scope-name>" \
  --query id -o tsv)

Deaktivieren sie private Endpunktnetzwerkrichtlinien im Zielsubnetz:

az network vnet subnet update \
  --resource-group "<resource-group>" \
  --vnet-name "<vnet-name>" \
  --name "<subnet-name>" \
  --private-endpoint-network-policies Disabled

Erstellen Sie den privaten Endpunkt, und ordnen Sie ihn dem Bereich zu:

az network private-endpoint create \
  --resource-group "<resource-group>" \
  --name "<endpoint-name>" \
  --location "<location>" \
  --vnet-name "<vnet-name>" \
  --subnet "<subnet-name>" \
  --private-connection-resource-id "$scopeId" \
  --group-id "hybridcompute" \
  --connection-name "<connection-name>"

Erstellen und Verknüpfen einer DNS-Zone:

RESOURCE_GROUP="<resource-group>"
VNET_NAME="<vnet-name>"
ENDPOINT_NAME="<endpoint-name>"

# Define required DNS zones for Azure Arc
DNS_ZONES=(
    "privatelink.his.arc.azure.com"
    "privatelink.guestconfiguration.azure.com"
    # Uncomment the following line if using Kubernetes extensions:
    # "privatelink.dp.kubernetesconfiguration.azure.com"
)

# Get VNet resource ID
VNET_ID=$(az network vnet show \
    --resource-group "$RESOURCE_GROUP" \
    --name "$VNET_NAME" \
    --query id -o tsv)

# Step 1: Create DNS zones and link to VNet
for ZONE in "${DNS_ZONES[@]}"; do
    LINK_NAME="${ZONE//./-}-link"

    # Create the private DNS zone
    az network private-dns zone create \
        --resource-group "$RESOURCE_GROUP" \
        --name "$ZONE" \
        --output none

    # Link the DNS zone to the VNet
    az network private-dns link vnet create \
        --resource-group "$RESOURCE_GROUP" \
        --zone-name "$ZONE" \
        --name "$LINK_NAME" \
        --virtual-network "$VNET_ID" \
        --registration-enabled false \
        --output none

    echo "Created and linked DNS zone: $ZONE"
done

# Step 2: Create DNS zone group on the private endpoint
FIRST=true
for ZONE in "${DNS_ZONES[@]}"; do
    ZONE_ID=$(az network private-dns zone show \
        --resource-group "$RESOURCE_GROUP" \
        --name "$ZONE" \
        --query id -o tsv)
    CONFIG_NAME="${ZONE//./-}"

    if [ "$FIRST" = true ]; then
        # Create the zone group with the first zone
        az network private-endpoint dns-zone-group create \
            --resource-group "$RESOURCE_GROUP" \
            --endpoint-name "$ENDPOINT_NAME" \
            --name "arc-dns-zone-group" \
            --zone-name "$CONFIG_NAME" \
            --private-dns-zone "$ZONE_ID" \
            --output none
        FIRST=false
    else
        # Add subsequent zones to the existing group
        az network private-endpoint dns-zone-group add \
            --resource-group "$RESOURCE_GROUP" \
            --endpoint-name "$ENDPOINT_NAME" \
            --name "arc-dns-zone-group" \
            --zone-name "$CONFIG_NAME" \
            --private-dns-zone "$ZONE_ID" \
            --output none
    fi

    echo "Added zone '$ZONE' to DNS zone group."
done

echo "DNS zone group created on endpoint '$ENDPOINT_NAME'."

Konfigurieren der lokalen DNS-Weiterleitung

Ihre lokalen Computer oder Server müssen in der Lage sein, die DNS-Einträge für Private Link mit den IP-Adressen des privaten Endpunkts aufzulösen. Wie Sie dieses Verhalten konfigurieren, hängt davon ab, ob Sie Folgendes verwenden:

Azure private DNS-Zonen zum Verwalten von DNS-Einträgen.
Ihr eigener DNS-Server lokal und wie viele Server Sie konfigurieren.

DNS-Konfiguration mithilfe von azure-integrierten privaten DNS-Zonen

Wenn Sie beim Erstellen des privaten Endpunkts private DNS-Zonen einrichten, muss Ihr lokaler DNS-Server Abfragen an Azure DNS weiterleiten, um die privaten Endpunktadressen aufzulösen. Bereitstellen einer DNS-Weiterleitung in Azure, entweder einer dedizierten VM oder einer Azure Firewall Instanz mit aktiviertem DNS-Proxy.

Weitere Informationen finden Sie unter Azure DNS Private Resolver mit lokaler DNS-Weiterleitung.

Manuelle DNS-Serverkonfiguration

Wenn Sie die Verwendung privater Azure-DNS-Zonen während der Erstellung privater Endpunkte deaktiviert haben, müssen Sie die erforderlichen DNS-Einträge auf Ihrem lokalen DNS-Server erstellen.

Wechseln Sie im Azure-Portal zu der privaten Endpunktressource, die Ihrem virtuellen Netzwerk und Dem privaten Linkbereich zugeordnet ist.
Wählen Sie im Dienstmenü unter "Einstellungen"die DNS-Konfiguration aus, um eine Liste der DNS-Einträge und die entsprechenden IP-Adressen anzuzeigen, die Sie auf Ihrem DNS-Server einrichten müssen. Die FQDNs und IP-Adressen ändern sich basierend auf der Region, die Sie für Ihren privaten Endpunkt und die verfügbaren IP-Adressen in Ihrem Subnetz ausgewählt haben.

Führen Sie den folgenden Befehl aus, um die für Ihren DNS-Server erforderlichen DNS-Einträge und IP-Adressen abzurufen:

$endpoint = Get-AzPrivateEndpoint `
  -ResourceGroupName "<resource-group>" `
  -Name "<endpoint-name>"

$endpoint.CustomDnsConfigs | Select-Object Fqdn, IpAddresses

Führen Sie den folgenden Befehl aus, um die für Ihren DNS-Server erforderlichen DNS-Einträge und IP-Adressen abzurufen:

az network private-endpoint show \
  --resource-group "<resource-group>" \
  --name "<endpoint-name>" \
  --query "customDnsConfigs[].{FQDN:fqdn, IPAddresses:ipAddresses}" \
  --output table

Nachdem Sie über die Liste der FQDNs und IP-Adressen verfügen, befolgen Sie die Anweisungen Ihres DNS-Serveranbieters, um die erforderlichen DNS-Zonen und A-Einträge hinzuzufügen. Stellen Sie sicher, dass Sie einen DNS-Server auswählen, der für Ihr Netzwerk geeignet war. Jeder Computer oder Server, der diesen DNS-Server verwendet, löst jetzt die ip-Adressen des privaten Endpunkts auf. Jeder Computer oder Server muss dem privaten Azure Arc-Verknüpfungsbereich zugeordnet sein, oder die Verbindung wird verweigert.

Szenarien mit Einzelserver

Wenn Sie beabsichtigen, private Links zu verwenden, um nur wenige Computer oder Server zu unterstützen, sollten Sie die DNS-Konfiguration Ihres gesamten Netzwerks möglicherweise nicht aktualisieren. In diesem Fall können Sie die Hostnamen und IP-Adressen des privaten Endpunkts zur Hostdatei Ihres Betriebssystems hinzufügen. Abhängig von der Betriebssystemkonfiguration kann die Hosts-Datei die primäre oder alternative Methode zum Auflösen eines Hostnamens in eine IP-Adresse sein.

Windows
Linux

Verwenden Sie ein Konto mit Administratorrechten, um C:\Windows\System32\drivers\etc\hosts zu öffnen.
Fügen Sie die privaten Endpunkt-IPs und Hostnamen aus der DNS-Konfigurationsauflistung hinzu, wie in der manuellen DNS-Serverkonfiguration beschrieben. Die Hostdatei erfordert zuerst die IP-Adresse, gefolgt von einem Leerzeichen und dann dem Hostnamen.
Speichern Sie die Datei mit Ihren Änderungen. Möglicherweise müssen Sie zuerst in einem anderen Verzeichnis speichern und dann die Datei in den ursprünglichen Pfad kopieren.

Herstellen einer Verbindung mit einem Azure Arc-fähigen Server

Für die Verwendung eines privaten Endpunkts ist der Azure Connected Machine-Agent, Version 1.4 oder höher, erforderlich. Mithilfe des im Portal generierten Skripts zur Bereitstellung Azure Arc-fähiger Servern wird die neueste Version heruntergeladen.

Konfigurieren eines neuen Azure Arc-fähigen Servers für die Verwendung von privatem Link

Wenn Sie einen Computer oder Server zum ersten Mal mit Azure Arc-fähigen Servern verbinden, können Sie ihn optional mit einem privaten Linkbereich verbinden.

Hinweis

Das Onboarding-Skript muss aus dem Azure Portal generiert werden. Nachdem der Computer verbunden wurde, können Sie ihn einem privaten Linkbereich zuordnen, indem Sie Azure PowerShell oder Azure CLI verwenden. Siehe Konfigurieren eines vorhandenen Azure Arc-aktivierten Servers.

Melden Sie sich beim Azure-Portal an. Suchen Sie in der Suchleiste nach Azure Arc.
Wählen Sie unter "Infrastruktur" die Option "Computer" aus. Wählen Sie in der Befehlsleiste "Hinzufügen/Erstellen" und dann " Computer hinzufügen" aus.
Wählen Sie auf der Seite " Server mit Azure Arc hinzufügen" entweder einen einzelnen Server oder je nach Bereitstellungsszenario mehrere Server hinzufügen aus, und wählen Sie dann " Skript generieren" aus.
Geben Sie auf der Seite "Grundlagen" die folgenden Informationen an:
1. Wählen Sie das Abonnement und die Ressourcengruppe für den Computer aus.
2. Wählen Sie in der Dropdownliste " Region " die Azure-Region aus, um die Computer- oder Servermetadaten zu speichern.
3. Wählen Sie in der Dropdownliste des Betriebssystems das Betriebssystem aus, auf dem das Skript für die Ausführung konfiguriert ist.
4. Wählen Sie unter Connectivity-Methode, Privater Endpunkt aus, und wählen Sie den Privaten Linkbereich von Azure Arc aus, den Sie in der Dropdownliste erstellt haben.
5. Wählen Sie Weiter: Tags aus.
Wenn Sie auf der Seite "Authentifizierungmehrere Server hinzufügen" ausgewählt haben, wählen Sie den Dienstprinzipal aus, der für Azure Arc-fähige Server in der Dropdownliste erstellt wurde. Wenn Sie einen Dienstprinzipal für Azure Arc-fähige Server erstellen müssen, lesen Sie, wie Sie einen Dienstprinzipal erstellen , um Informationen zu Berechtigungen und den Schritten zu erhalten, die zum Erstellen eines Dienstprinzipals erforderlich sind. Wählen SieWeiter: Tags aus, um fortzufahren.
Überprüfen Sie auf der Tags-Seite die empfohlenen Tags für physische Standorte, indem Sie einen Wert eingeben, oder geben Sie ein oder mehrere benutzerdefinierte Tags an, um Ihre Standards zu unterstützen.
Wählen Sie Weiter: Skript herunterladen und ausführen.
Überprüfen Sie die auf der Seite Skript herunterladen und ausführen die Zusammenfassungsinformationen, und wählen Sie dann Herunterladen aus.

Nachdem Sie das Skript heruntergeladen haben, müssen Sie es auf Ihrem Computer oder Server mithilfe eines privilegierten Kontos (Administrator oder Stammkonto) ausführen. Je nach Netzwerkkonfiguration müssen Sie den Agent möglicherweise von einem Computer mit Internetverbindung herunterladen und auf Ihren Computer oder Server übertragen. Ändern Sie dann das Skript mit dem Pfad zum Agent.

Sie können den Windows-Agent und den Linux-Agent herunterladen. Suchen Sie nach der neuesten Version von azcmagent in Ihrem Betriebssystemverteilungsverzeichnis und installieren Sie sie mit Ihrem lokalen Paket-Manager.

Das Skript gibt Statusmeldungen zurück, die Ihnen mitteilen, ob das Onboarding erfolgreich war, nachdem es abgeschlossen wurde.

Netzwerkdatenverkehr vom Azure Connected Machine-Agent zu Microsoft Entra ID (login.windows.net, login.microsoftonline.com, pas.windows.net) und Resource Manager (management.azure.com) verwenden weiterhin öffentliche Endpunkte. Wenn Ihr Server über einen Proxyserver kommunizieren muss, um diese Endpunkte zu erreichen, konfigurieren Sie den Agent mit der Proxyserver-URL , bevor Sie sie mit Azure verbinden. Möglicherweise müssen Sie auch eine Proxyumgehung für die Azure Arc-Dienste konfigurieren, wenn auf Ihren privaten Endpunkt nicht von Ihrem Proxyserver aus zugegriffen werden kann.

Konfigurieren eines vorhandenen Azure Arc-fähigen Servers

Für Azure Arc-fähige Server, die vor Ihrem privaten Linkbereich eingerichtet wurden, können Sie zulassen, dass sie mit dem Privaten Linkbereich für Azure Arc-fähige Server beginnen.

Wechseln Sie im Azure-Portal zu Ihrer Azure Arc Private-Link-Bereichsressource.
Wählen Sie im Menü "Dienst " unter "Konfigurieren"Azure Arc-Ressourcen und dann +Hinzufügen aus.
Wählen Sie die Server in der Liste aus, die Sie dem Bereich für private Verknüpfungen zuordnen möchten, und wählen Sie dann "Auswählen" aus, um Ihre Änderungen zu speichern.

Rufen Sie die Ressourcen-ID des privaten Link-Bereichs ab:

$scope = Get-AzConnectedPrivateLinkScope `
  -ResourceGroupName "<resource-group>" `
  -ScopeName "<scope-name>"

Ordnen Sie den Computer dem Bereich für private Verknüpfungen zu:

Update-AzConnectedMachine `
  -ResourceGroupName "<resource-group>" `
  -Name "<machine-name>" `
  -PrivateLinkScopeResourceId $scope.Id

Die private Linkbereichs-Ressourcen-ID abrufen:

scopeId=$(az connectedmachine private-link-scope show \
  --resource-group "<resource-group>" \
  --scope-name "<scope-name>" \
  --query id -o tsv)

Ordnen Sie den Computer dem Bereich für private Verknüpfungen zu:

az connectedmachine update \
  --resource-group "<resource-group>" \
  --name "<machine-name>" \
  --private-link-scope-resource-id "$scopeId"

Es kann bis zu 15 Minuten dauern, bis der private Link-Bereich Verbindungen von den kürzlich zugeordneten Servern akzeptiert.

Problembehandlung

Wenn Probleme auftreten, können die folgenden Vorschläge hilfreich sein:

Überprüfen Sie Ihren lokalen DNS-Server, um sicherzustellen, dass er entweder an Azure DNS weiterleitet oder mit den entsprechenden A-Einträgen in Ihrer Private Link-Zone konfiguriert ist. Diese Lookupbefehle müssen private IP-Adressen in Ihrem virtuellen Azure-Netzwerk zurückgeben. Wenn sie öffentliche IP-Adressen auflösen, überprüfen Sie Ihren Computer oder Server und die DNS-Konfiguration des Netzwerks gründlich.
```
nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
```
Bei Problemen beim Onboarding eines Computers oder Servers bestätigen Sie, dass Sie die Microsoft Entra ID- und Resource Manager-Diensttags zu Ihrer lokalen Netzwerkfirewall hinzugefügt haben. Der Agent muss mit diesen Diensten über das Internet kommunizieren, bis private Endpunkte für diese Dienste verfügbar sind.

Weitere Hilfe zur Problembehandlung finden Sie unter "Behandeln von Problemen bei der Verbindung mit privaten Azure-Endpunkten".

Erfahren Sie mehr über private Endpunkte in Was ist ein privater Endpunkt?.
Erfahren Sie, wie Sie private Links für Azure Automation, Azure Monitor, Azure Key Vault oder Azure Blob Storage konfigurieren.

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-05