Requisitos de red del puente de recursos de Azure Arc
En este artículo se describen los requisitos de red para implementar el puente de recursos de Azure Arc en su empresa.
Requisitos de red generales
El puente de recursos de Arc se comunica de forma segura con la salida de Azure Arc a través del puerto TCP 443. Si el dispositivo necesita conectarse a través de un servidor proxy o firewall para comunicarse a través de Internet, se comunica con la salida mediante el protocolo HTTPS.
Por lo general, los requisitos de conectividad incluyen estos principios:
- Todas las conexiones son TCP a menos que se especifique lo contrario.
- Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
- Todas las conexiones son salientes a menos que se especifique lo contrario.
Para utilizar un proxy, compruebe que los agentes y la máquina que realiza el proceso de incorporación cumplan los requisitos de red indicados en este artículo.
Requisitos de conectividad de salida
El firewall y las URL de proxy que se indican a continuación deben incluirse en la lista de permitidos para permitir la comunicación desde el equipo de administración, la máquina virtual del dispositivo y la dirección IP del plano de control a las URL necesarias del puente de recursos de Arc.
Lista de permitidos del firewall/dirección URL del proxy
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| Punto de conexión de la API de SFS | 443 | msk8s.api.cdp.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargue el catálogo de productos, los bits de producto y las imágenes del sistema operativo de SFS. |
| Descarga de la imagen del puente de recursos (dispositivo) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargue las imágenes de sistema operativo del puente de recursos de Arc. |
| Registro de contenedor de Microsoft | 443 | mcr.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descubrir imágenes de contenedores para el puente de recursos de Arc. |
| Registro de contenedor de Microsoft | 443 | *.data.mcr.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargar imágenes de contenedores para el puente de recursos de Arc. |
| Windows NTP Server | 123 | time.windows.com |
Las direcciones IP de máquina de administración y máquina virtual del dispositivo (si el valor predeterminado de Hyper-V es Windows NTP) necesita conexión saliente en UDP | Sincronización de tiempo del sistema operativo en la máquina virtual y administración del dispositivo (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Administración de recursos en Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Se necesita para RBAC de Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Servicio de DataPlane del puente de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
La dirección IP de las máquinas virtuales del dispositivo necesita una conexión de salida. | Comuníquese con el proveedor de recursos en Azure. |
| Descarga de la imagen de contenedor del puente de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Necesario para extraer imágenes de contenedor. |
| Identidad administrada | 443 | *.his.arc.azure.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Necesario para extraer certificados de identidad administrados que haya asignado el sistema. |
| Descarga de imágenes de contenedor de Azure Arc para Kubernetes | 443 | azurearcfork8s.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraer imágenes de contenedores. |
| Agente de Azure Arc | 443 | k8connecthelm.azureedge.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | implementar agente de Azure Arc. |
| Servicio de telemetría de ADHS | 443 | adhs.events.data.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft desde la máquina virtual del dispositivo. |
| Servicio de datos de eventos de Microsoft | 443 | v20.events.data.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Enviar datos de diagnóstico desde Windows. |
| Recopilación de registros para el puente de recursos de Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Registros de inserción para componentes administrados por el dispositivo. |
| Descarga de los componentes del puente de recursos | 443 | kvamanagementoperator.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraer artefactos para los componentes administrados por el dispositivo. |
| Administrador de paquetes de código abierto de Microsoft | 443 | packages.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Descargue el paquete de instalación de Linux. |
| Ubicación personalizada | 443 | sts.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para la ubicación personalizada. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para Azure Arc. |
| Ubicación personalizada | 443 | k8sconnectcsp.azureedge.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para la ubicación personalizada. |
| Datos de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Azure portal | 443 | *.arc.azure.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Administrar clúster de Azure Portal. |
| Extensión de la CLI de Azure | 443 | *.blob.core.windows.net |
La máquina de administración necesita una conexión de salida. | Descargue el instalador y la extensión de la CLI de Azure. |
| Agente de Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La máquina de administración necesita una conexión de salida. | Plano de datos usado para el agente de Arc. |
| Paquete de Python | 443 | pypi.org, *.pypi.org |
La máquina de administración necesita una conexión de salida. | Valide las versiones de Kubernetes y Python. |
| CLI de Azure | 443 | pythonhosted.org, *.pythonhosted.org |
La máquina de administración necesita una conexión de salida. | Paquetes de Python para la instalación de la CLI de Azure. |
Requisitos de conectividad de entrada
Se debe permitir la comunicación entre los puertos siguientes desde la máquina de administración, las direcciones IP de máquina virtual del dispositivo y las direcciones IP del plano de control. Asegúrese de que estos puertos están abiertos y que el tráfico no se enruta a través de un proxy para facilitar la implementación y el mantenimiento del puente de recursos de Arc.
| Servicio | Puerto | IP/machine | Dirección | Notas |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs y Management machine |
Bidireccional | Se usa para implementar y mantener la máquina virtual del dispositivo. |
| Servidor de la API de Kubernetes | 6443 | appliance VM IPs y Management machine |
Bidireccional | Administración de la máquina virtual del dispositivo. |
| SSH | 22 | control plane IP y Management machine |
Bidireccional | Se usa para implementar y mantener la máquina virtual del dispositivo. |
| Servidor de la API de Kubernetes | 6443 | control plane IP y Management machine |
Bidireccional | Administración de la máquina virtual del dispositivo. |
| HTTPS | 443 | private cloud control plane address y Management machine |
La máquina de administración necesita una conexión de salida. | Comunicación con el plano de control (por ejemplo: dirección VMware vCenter). |
Nota:
Las direcciones URL que se enumeran aquí solo son necesarias para el puente de recursos de Arc. Otros productos de Arc (como VMware vSphere habilitado para Arc) pueden tener direcciones URL adicionales necesarias. Para más información, consulte Requisitos de red de Azure Arc.
Intervalos IP designados para el puente de recursos de Arc
Al implementar el puente de recursos de Arc, los intervalos IP específicos se reservan exclusivamente para los pods y servicios de Kubernetes dentro de la máquina virtual del dispositivo. Estos intervalos IP internos no deben superponerse con ninguna entrada de configuración para el puente de recursos, como prefijo de dirección IP, dirección IP del plano de control, direcciones IP de máquina virtual del dispositivo, servidores DNS, servidores proxy o hosts ESXi de vSphere. Para más información sobre la configuración del puente de recursos de Arc, consulte los requisitos del sistema.
Nota:
Estos intervalos IP designados solo se usan internamente dentro del puente de recursos de Arc. No afectan a los recursos o redes de Azure.
| Servicio | Intervalo IP designado |
|---|---|
| Pods de Kubernetes del puente de recursos de Arc | 10.244.0.0/16 |
| Servicios de Kubernetes del puente de recursos de Arc | 10.96.0.0/12 |
Configuración de proxy SSL
Importante
Arc Resource Bridge solo admite servidores proxy directos (explícitos), incluidos los servidores proxy no autenticados, los servidores proxy con autenticación básica, los servidores proxy de terminación SSL y los servidores proxy de paso a través de SSL.
Si usa un proxy, Arc Resource Bridge debe configurarse para usar el proxy para conectarse a los servicios de Azure.
Para configurar el puente de recursos de Arc con proxy, proporcione la ruta de acceso del archivo de certificado de proxy durante la creación de los archivos de configuración.
El formato del archivo de certificado es X.509 codificado en Base-64 (.CER).
Solo pase el certificado de proxy único. Si se pasa un conjunto de certificados, se producirá un error en la implementación.
El punto de conexión del servidor proxy no puede ser un dominio
.local.El servidor proxy debe ser accesible desde todas las direcciones IP dentro del prefijo de dirección IP, incluido el plano de control y las direcciones IP de máquina virtual del dispositivo.
Solo hay dos certificados que deben ser pertinentes al implementar el puente de recursos de Arc detrás de un proxy de SSL:
Certificado SSL para el proxy SSL (de modo que la máquina de administración y la máquina virtual del dispositivo confíen en el FQDN del proxy y puedan establecer una conexión SSL con él)
Certificado SSL de los servidores de descarga de Microsoft. El propio servidor proxy debe confiar en este certificado, ya que el proxy es el que establece la conexión final y debe confiar en el punto de conexión. Es posible que las máquinas que no usen Windows no confíen en este segundo certificado de forma predeterminada, por lo que puede que tenga que asegurarse de que es de confianza.
Para implementar el puente de recursos de Arc, las imágenes deben descargarse en el equipo de administración y, después, cargarse en la galería de la nube privada local. Si el servidor proxy limita la velocidad de descarga, es posible que no pueda descargar las imágenes necesarias (~3,5 GB) dentro del tiempo asignado (90 minutos).
Lista de exclusión sin proxy
Si se usa un servidor proxy, la tabla siguiente contiene la lista de direcciones que se deben excluir del proxy mediante la configuración de los ajustes de noProxy.
| Dirección IP | Motivo de exclusión |
|---|---|
| localhost, 127.0.0.1 | Tráfico de Localhost |
| .svc | Tráfico interno del servicio Kubernetes (.svc) donde .svc representa un nombre con caracteres comodín. Esto es similar a decir *.svc, pero no se usa ninguno en este esquema. |
| 10.0.0.0/8 | Espacio de direcciones de red privada |
| 172.16.0.0/12 | Espacio de direcciones de red privada: CIDR de Kubernetes Service |
| 192.168.0.0/16 | Espacio de direcciones de red privada: CIDR del pod de Kubernetes |
| contoso.com. | Puede que desee excluir el redireccionamiento del espacio de nombres de la empresa (.contoso.com) a través del proxy. Para excluir todas las direcciones de un dominio, debe agregar el dominio a la lista noProxy. Use un punto inicial en lugar de un carácter comodín (*). En el ejemplo, las direcciones .contoso.com excluyen las direcciones prefix1.contoso.com, prefix2.contoso.com, etc. |
El valor predeterminado de noProxy es localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Aunque estos valores predeterminados funcionan para muchas redes, puede que necesite agregar más intervalos de subred o nombres a la lista de exclusiones. Por ejemplo, puede que desee excluir el redireccionamiento del espacio de nombres de la empresa (.contoso.com) a través del proxy. Para conseguirlo, especifique los valores en la lista noProxy.
Importante
Al enumerar varias direcciones para la configuración de noProxy, no agregue espacios después de las comas que separan las direcciones. Las direcciones deben seguir inmediatamente las comas.
Escucha de puerto interno
Debe tener en cuenta que la máquina virtual del dispositivo está configurada para escuchar en los puertos siguientes. Estos puertos se usan exclusivamente para procesos internos y no requieren acceso externo:
- 8443: punto de conexión para el Webhook de autenticación de Microsoft Entra
- 10257: Punto de conexión para métricas del puente de recursos de Arc
- 10250: Punto de conexión para métricas del puente de recursos de Arc
- 2382: Punto de conexión para métricas del puente de recursos de Arc
Pasos siguientes
- Revise la Introducción al puente de recursos de Azure Arc para obtener más información sobre los requisitos y los detalles técnicos.
- Obtenga información sobre la configuración de seguridad y las consideraciones para el puente de recursos de Azure Arc.
- Vea las sugerencias para solucionar problemas de red.