متطلبات شبكة جسر موارد Azure Arc
توضح هذه المقالة متطلبات الشبكات لنشر جسر موارد Azure Arc في مؤسستك.
متطلبات الشبكة العامة
يتصل جسر موارد Arc بالصادر بأمان إلى Azure Arc عبر منفذ TCP 443. إذا كان الجهاز بحاجة إلى الاتصال من خلال جدار حماية أو خادم وكيل للاتصال عبر الإنترنت، فإنه يتصل الصادر باستخدام بروتوكول HTTPS.
بشكل عام، تتضمن متطلبات الاتصال هذه المبادئ:
- جميع الاتصالات هي TCP ما لم يتم تحديد خلاف ذلك.
- تستخدم جميع اتصالات HTTP HTTPS وSSL/TLS مع شهادات موقعة رسميا ويمكن التحقق منها.
- جميع الاتصالات صادرة ما لم يتم تحديد خلاف ذلك.
لاستخدام وكيل، تحقق من أن العوامل والجهاز الذي يقوم بعملية الإعداد يفيان بمتطلبات الشبكة في هذه المقالة.
متطلبات الاتصال الصادر
يجب السماح بجدار الحماية وعناوين URL الوكيلة أدناه لتمكين الاتصال من جهاز الإدارة والجهاز الظاهري للجهاز وعنوان IP لمستوى التحكم إلى عناوين URL المطلوبة لجسر موارد Arc.
قائمة السماح لجدار الحماية/عنوان URL الوكيل
| الخدمة | منفذ | عنوان URL | الاتجاه | ملاحظات |
|---|---|---|---|---|
| نقطة نهاية واجهة برمجة تطبيقات SFS | 443 | msk8s.api.cdp.microsoft.com |
تحتاج أجهزة الإدارة و IPs الجهاز الظاهري إلى اتصال صادر. | قم بتنزيل كتالوج المنتجات وبتات المنتجات وصور نظام التشغيل من SFS. |
| تنزيل صورة جسر الموارد (الجهاز) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
تحتاج أجهزة الإدارة و IPs الجهاز الظاهري إلى اتصال صادر. | قم بتنزيل صور Arc Resource Bridge OS. |
| سجل حاويات Microsoft | 443 | mcr.microsoft.com |
تحتاج أجهزة الإدارة و IPs الجهاز الظاهري إلى اتصال صادر. | قم بتنزيل صور الحاوية ل Arc Resource Bridge. |
| Windows NTP Server | 123 | time.windows.com |
تحتاج أجهزة الإدارة وعناوين IP للجهاز الظاهري (إذا كان Hyper-V الافتراضي هو Windows NTP) إلى اتصال صادر على UDP | مزامنة وقت نظام التشغيل في الجهاز الظاهري للجهاز وجهاز الإدارة (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
تحتاج أجهزة الإدارة و IPs الجهاز الظاهري إلى اتصال صادر. | إدارة الموارد في Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
تحتاج أجهزة الإدارة و IPs الجهاز الظاهري إلى اتصال صادر. | مطلوب ل Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
تحتاج أجهزة الإدارة و IPs الجهاز الظاهري إلى اتصال صادر. | مطلوب لتحديث رموز ARM المميزة. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
تحتاج أجهزة الإدارة و IPs الجهاز الظاهري إلى اتصال صادر. | مطلوب لتحديث رموز ARM المميزة. |
| Azure Resource Manager | 443 | login.windows.net |
تحتاج أجهزة الإدارة و IPs الجهاز الظاهري إلى اتصال صادر. | مطلوب لتحديث رموز ARM المميزة. |
| خدمة مخطط بيانات جسر الموارد (الجهاز) | 443 | *.dp.prod.appliances.azure.com |
يحتاج IP الخاص بالأجهزة الظاهرية إلى اتصال صادر. | التواصل مع موفر الموارد في Azure. |
| تنزيل صورة حاوية جسر الموارد (الجهاز) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
تحتاج أجهزة VM IPs إلى اتصال صادر. | مطلوب لسحب صور الحاوية. |
| الهوية المُدارة | 443 | *.his.arc.azure.com |
تحتاج أجهزة VM IPs إلى اتصال صادر. | مطلوب للحصول على نقطة النهاية الإقليمية لسحب شهادات الهوية المدارة المعينة بواسطة النظام. |
| Azure Arc لتنزيل صورة حاوية Kubernetes | 443 | azurearcfork8s.azurecr.io |
تحتاج أجهزة VM IPs إلى اتصال صادر. | سحب صور الحاوية. |
| عامل Azure Arc | 443 | k8connecthelm.azureedge.net |
تحتاج أجهزة VM IPs إلى اتصال صادر. | توزيع عامل Azure Arc. |
| خدمة بيانات تتبع الاستخدام ل ADHS | 443 | adhs.events.data.microsoft.com |
تحتاج أجهزة VM IPs إلى اتصال صادر. | يرسل بشكل دوري بيانات التشخيص المطلوبة من الجهاز الظاهري ل Microsoft. |
| خدمة بيانات أحداث Microsoft | 443 | v20.events.data.microsoft.com |
تحتاج أجهزة VM IPs إلى اتصال صادر. | إرسال البيانات التشخيصية من Windows. |
| مجموعة السجل ل Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
تحتاج أجهزة VM IPs إلى اتصال صادر. | دفع السجلات للمكونات المدارة بواسطة الأجهزة. |
| تنزيل مكونات جسر الموارد | 443 | kvamanagementoperator.azurecr.io |
تحتاج أجهزة VM IPs إلى اتصال صادر. | سحب البيانات الاصطناعية للمكونات المدارة من الأجهزة. |
| مدير حزم Microsoft مصدر مفتوح | 443 | packages.microsoft.com |
تحتاج أجهزة VM IPs إلى اتصال صادر. | تنزيل حزمة تثبيت Linux. |
| الموقع المخصص | 443 | sts.windows.net |
تحتاج أجهزة VM IPs إلى اتصال صادر. | مطلوب للموقع المخصص. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
تحتاج أجهزة VM IPs إلى اتصال صادر. | مطلوب ل Azure Arc. |
| الموقع المخصص | 443 | k8sconnectcsp.azureedge.net |
تحتاج أجهزة VM IPs إلى اتصال صادر. | مطلوب للموقع المخصص. |
| البيانات التشخيصية | 443 | gcs.prod.monitoring.core.windows.net |
تحتاج أجهزة VM IPs إلى اتصال صادر. | يرسل بشكل دوري بيانات التشخيص المطلوبة من Microsoft. |
| البيانات التشخيصية | 443 | *.prod.microsoftmetrics.com |
تحتاج أجهزة VM IPs إلى اتصال صادر. | يرسل بشكل دوري بيانات التشخيص المطلوبة من Microsoft. |
| البيانات التشخيصية | 443 | *.prod.hot.ingest.monitor.core.windows.net |
تحتاج أجهزة VM IPs إلى اتصال صادر. | يرسل بشكل دوري بيانات التشخيص المطلوبة من Microsoft. |
| البيانات التشخيصية | 443 | *.prod.warm.ingest.monitor.core.windows.net |
تحتاج أجهزة VM IPs إلى اتصال صادر. | يرسل بشكل دوري بيانات التشخيص المطلوبة من Microsoft. |
| مدخل Azure | 443 | *.arc.azure.net |
تحتاج أجهزة VM IPs إلى اتصال صادر. | إدارة نظام المجموعة من مدخل Microsoft Azure. |
| ملحق Azure CLI | 443 | *.blob.core.windows.net |
يحتاج جهاز الإدارة إلى اتصال صادر. | قم بتنزيل Azure CLI Installer والملحق. |
| عامل Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
يحتاج جهاز الإدارة إلى اتصال صادر. | مخطط البيانات المستخدم لعامل Arc. |
| حزمة Python | 443 | pypi.org, *.pypi.org |
يحتاج جهاز الإدارة إلى اتصال صادر. | التحقق من صحة إصدارات Kubernetes وPython. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
يحتاج جهاز الإدارة إلى اتصال صادر. | حزم Python لتثبيت Azure CLI. |
متطلبات الاتصال الوارد
يجب السماح بالمنافذ التالية في جدار الحماية/الوكيل لتمكين الاتصال بين جهاز الإدارة وIPs الجهاز الظاهري وIPs لمستوى التحكم. تأكد من أن هذه المنافذ مفتوحة لتسهيل نشر وصيانة جسر موارد Arc.
| الخدمة | منفذ | عنوان URL | الاتجاه | ملاحظات |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs وManagement machine |
ثنائي الاتجاه | يستخدم لنشر الجهاز الظاهري للجهاز وصيانته. |
| خادم واجهة برمجة تطبيقات Kubernetes | 6443 | appliance VM IPs وManagement machine |
ثنائيه الاتجاه | إدارة الجهاز الظاهري للجهاز. |
| HTTPS | 443 | private cloud management console |
يحتاج جهاز الإدارة إلى اتصال صادر. | الاتصال بوحدة تحكم الإدارة (على سبيل المثال، خادم VMware vCenter). |
إشعار
عناوين URL المدرجة هنا مطلوبة لوصلة موارد Arc فقط. قد تحتوي منتجات Arc الأخرى (مثل VMware vSphere التي تدعم Arc) على عناوين URL إضافية مطلوبة. للحصول على التفاصيل، راجع متطلبات شبكة Azure Arc.
تكوين وكيل SSL
إذا كنت تستخدم وكيلا، يجب تكوين جسر موارد Arc للوكيل بحيث يمكنه الاتصال بخدمات Azure.
لتكوين جسر موارد Arc مع الوكيل، قم بتوفير مسار ملف شهادة الوكيل أثناء إنشاء ملفات التكوين.
تنسيق ملف الشهادة هو Base-64 المشفرة X.509 (. CER).
قم بتمرير شهادة الوكيل الفردية فقط. إذا تم تمرير حزمة شهادة، فسيفشل النشر.
لا يمكن أن تكون نقطة نهاية الخادم الوكيل مجالا
.local.يجب أن يكون الخادم الوكيل قابلا للوصول من جميع عناوين IP داخل بادئة عنوان IP، بما في ذلك مستوى التحكم وأجهزة VM IPs.
هناك شهادتان فقط يجب أن تكونا ذات صلة عند نشر جسر موارد Arc خلف وكيل SSL:
شهادة SSL لوكيل SSL الخاص بك (بحيث يثق جهاز الإدارة والجهاز الظاهري للجهاز ب FQDN الوكيل الخاص بك ويمكنه إنشاء اتصال SSL به)
شهادة SSL لخوادم تنزيل Microsoft. يجب الوثوق بهذه الشهادة من قبل الخادم الوكيل نفسه، حيث إن الوكيل هو الذي ينشئ الاتصال النهائي ويحتاج إلى الوثوق بنقطة النهاية. قد لا تثق الأجهزة غير التابعة ل Windows في هذه الشهادة الثانية بشكل افتراضي، لذلك قد تحتاج إلى التأكد من أنها موثوق بها.
لنشر جسر موارد Arc، يجب تنزيل الصور إلى جهاز الإدارة ثم تحميلها إلى معرض السحابة الخاص المحلي. إذا كان الخادم الوكيل الخاص بك يخنق سرعة التنزيل، فقد لا تتمكن من تنزيل الصور المطلوبة (~3.5 غيغابايت) خلال الوقت المخصص (90 دقيقة).
قائمة الاستبعاد بدون وكيل
إذا كان يتم استخدام خادم وكيل، يحتوي الجدول التالي على قائمة العناوين التي يجب استبعادها من الوكيل عن طريق تكوين noProxy الإعدادات.
| عنوان IP | سبب الاستبعاد |
|---|---|
| localhost، 127.0.0.1 | حركة مرور المضيف المحلي |
| .Svc | حركة مرور خدمة Kubernetes الداخلية (.svc) حيث يمثل .svc اسم حرف بدل. هذا مشابه لقول *.svc، ولكن لا يتم استخدام أي شيء في هذا المخطط. |
| 10.0.0.0/8 | مساحة عنوان الشبكة الخاصة |
| 172.16.0.0/12 | مساحة عنوان الشبكة الخاصة - CIDR لخدمة Kubernetes |
| 192.168.0.0/16 | مساحة عنوان الشبكة الخاصة - Kubernetes Pod CIDR |
| contoso.com. | قد تحتاج إلى إعفاء مساحة اسم المؤسسة (.contoso.com) من التوجيه من خلال الوكيل. لاستبعاد كافة العناوين في مجال، يجب إضافة المجال إلى noProxy القائمة. استخدم فترة بادئة بدلا من حرف بدل (*). في العينة، تستبعد العناوين .contoso.com العناوين prefix1.contoso.comو prefix2.contoso.comوهكذا. |
القيمة الافتراضية لـ noProxy هي localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. بينما ستعمل هذه القيم الافتراضية للعديد من الشبكات، قد تحتاج إلى إضافة المزيد من نطاقات الشبكة الفرعية و/أو الأسماء إلى قائمة الاستثناء. على سبيل المثال، قد تحتاج إلى إعفاء مساحة اسم المؤسسة (.contoso.com) من التوجيه من خلال الوكيل. يمكنك تحقيق ذلك عن طريق تحديد القيم في noProxy القائمة.
هام
عند سرد عناوين متعددة للإعدادات noProxy ، لا تقم بإضافة مسافة بعد كل فاصلة لفصل العناوين. يجب أن تتبع العناوين الفواصل على الفور.
الاستماع إلى المنفذ الداخلي
كإشعار، يجب أن تدرك أنه تم تكوين الجهاز الظاهري للجهاز للاستماع إلى المنافذ التالية. تستخدم هذه المنافذ حصريا للعمليات الداخلية ولا تتطلب وصولا خارجيا:
8443 - نقطة النهاية ل Microsoft Entra Authentication Webhook
10257 - نقطة النهاية لمقاييس جسر موارد Arc
10250 – نقطة النهاية لمقاييس جسر موارد Arc
2382 - نقطة النهاية لمقاييس جسر موارد Arc
الخطوات التالية
- راجع نظرة عامة على جسر موارد Azure Arc لفهم المزيد حول المتطلبات والتفاصيل التقنية.
- تعرف على تكوين الأمان واعتبارات جسر موارد Azure Arc.
- عرض تلميحات استكشاف الأخطاء وإصلاحها لمشكلات الشبكات.