Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran los puntos de conexión, los puertos y los protocolos necesarios para los servicios y características habilitados para Azure Arc.
Por lo general, los requisitos de conectividad incluyen estos principios:
- Todas las conexiones son TCP a menos que se especifique lo contrario.
- Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
- Todas las conexiones son salientes a menos que se especifique lo contrario.
Para utilizar un proxy, compruebe que los agentes y la máquina que realiza el proceso de incorporación cumplan los requisitos de red indicados en este artículo.
Sugerencia
Para la nube pública de Azure, puede reducir el número de puntos de conexión necesarios mediante la puerta de enlace de Azure Arc para servidores habilitados para Arc o Kubernetes habilitado para Arc.
Puntos de conexión de Kubernetes habilitados para Azure Arc
Se requiere conectividad con los puntos de conexión basados en Kubernetes de Arc para todas las ofertas de Arc basadas en Kubernetes, entre las que se incluyen:
- Kubernetes habilitado para Azure Arc
- Azure Container Apps en Azure Arc
- Machine Learning habilitado para Azure Arc
- Servicios de datos habilitados para Azure Arc (solo modo de conectividad directa)
Importante
Los agentes de Azure Arc requieren las siguientes direcciones URL salientes en https://:443 (a menos que se indique lo contrario).
Para *.servicebus.windows.net, los websockets deben estar habilitados para el acceso saliente en el firewall y el proxy.
| Punto de conexión (DNS) | Descripción |
|---|---|
https://management.azure.com |
Necesario para que el agente se conecte a Azure y registre el clúster. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Punto de conexión de plano de datos para que el agente inserte información de la configuración de estado y recuperación de cambios. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Necesario para capturar y actualizar tokens de Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Necesario para extraer imágenes de contenedor para agentes de Azure Arc. |
dl.k8s.io |
Necesario para descargar archivos binarios de kubectl durante la incorporación de Azure Arc mediante la extensión connectedk8s de la CLI de Azure. |
https://gbl.his.arc.azure.com |
Necesario para obtener el punto de conexión regional para extraer los certificados de la identidad administrada asignada por el sistema. |
https://*.his.arc.azure.com |
Necesario para extraer certificados de identidad administrados que haya asignado el sistema. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.net |
Para escenarios basados en la conexión de clúster y la ubicación personalizada. |
*.servicebus.windows.net |
Para escenarios basados en la conexión de clúster y la ubicación personalizada. |
https://graph.microsoft.com/ |
Obligatorio cuando se configura el RBAC de Azure. |
*.arc.azure.net |
Obligatorio para administrar clústeres conectados en Azure Portal. |
https://<region>.obo.arc.azure.com:8084/ |
Obligatorio cuando se configura Cluster Connect y Azure RBAC . |
https://linuxgeneva-microsoft.azurecr.io |
Obligatorio si usa extensiones de Kubernetes habilitadas para Azure Arc. |
Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.
Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.
Para ver una lista de todas las regiones, ejecute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Para más información, consulte Requisitos de red de Kubernetes habilitados para Azure Arc.
Servicios de datos habilitados para Azure Arc
En esta sección se describen los requisitos específicos de los servicios de datos habilitados para Azure Arc, además de los puntos de conexión de Kubernetes habilitados para Arc enumerados anteriormente.
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| Gráfico de Helm (solo modo conectado directo) | 443 | arcdataservicesrow1.azurecr.ioarcdataservicesrow2.azurecr.io*.blob.core.windows.net |
Salida | Aprovisiona el programa previo del controlador de datos de Azure Arc y los objetos de nivel de clúster, como definiciones de recursos personalizados, roles de clúster y enlaces de rol de clúster, se extrae de una instancia de Azure Container Registry. |
| API de Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Salida | Azure Data Studio y la CLI de Azure se conectan a las API de Azure Resource Manager para enviar y recuperar datos de Azure para algunas características. Consulte API de Azure Monitor. |
| Servicio de procesamiento de datos de Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
Salida |
1 Requisito depende del modo de implementación:
- Para el modo directo, el pod del controlador en el clúster de Kubernetes debe tener conectividad saliente a los puntos de conexión para enviar los registros, las métricas, el inventario y la información de facturación a Azure Monitor/Data Processing Service.
- Para el modo indirecto, la máquina que se ejecuta
az arcdata dc uploaddebe tener la conectividad saliente con Azure Monitor y el servicio de procesamiento de datos.
2 Para las versiones de extensión hasta el 13 de febrero de 2024, use san-af-<region>-prod.azurewebsites.net.
API de Azure Monitor
La conectividad desde Azure Data Studio al servidor de API de Kubernetes usa el cifrado y la autenticación de Kubernetes que haya establecido. Cada usuario que usa Azure Data Studio o la CLI debe tener una conexión autenticada a la API de Kubernetes para realizar muchas de las acciones relacionadas con los servicios de datos habilitados para Azure Arc.
Para más información, consulte los modos y requisitos de conectividad.
Servidores habilitados para Azure Arc
Se requiere conectividad con puntos de conexión de servidor habilitados para Arc para:
Servidores SQL habilitados por Azure Arc
VMware vSphere habilitado para Azure Arc *
System Center Virtual Machine Manager habilitado para Azure Arc *
Azure Stack habilitado para Azure Arc (HCI) *
*Solo es necesario para la administración de invitados habilitada.
Los puntos de conexión de servidor habilitados para Azure Arc son necesarios para todas las ofertas de Azure Arc basadas en servidor.
Configuración de red
El agente de Azure Connected Machine para Linux y Windows se comunica de forma segura con la salida de Azure Arc mediante el puerto TCP 443. De manera predeterminada, el agente usa la ruta predeterminada a Internet para acceder a los servicios de Azure. Opcionalmente, puede configurar el agente para que use un servidor proxy si la red lo requiere. Los servidores proxy no hacen que el agente de Connected Machine sea más seguro, ya que el tráfico ya está cifrado.
Para proteger aún más la conectividad de red a Azure Arc, en lugar de usar redes públicas y servidores proxy, puede implementar un ámbito de vínculo privado de Azure Arc.
Nota:
Los servidores habilitados para Azure Arc no admiten el uso de una puerta de enlace de Log Analytics como proxy para el agente de Connected Machine. Al mismo tiempo, el agente de Azure Monitor admite puertas de enlace de Log Analytics.
Si el firewall o el servidor proxy restringe la conectividad saliente, asegúrese de que las direcciones URL y las etiquetas de servicio que aparecen aquí no están bloqueadas.
Etiquetas de servicio
Asegúrese de permitir el acceso a las siguientes etiquetas de servicio:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(si usa Windows Admin Center para administrar servidores habilitados para Azure Arc)
Para obtener una lista de direcciones IP para cada etiqueta o región de servicio, consulte el archivo JSON Intervalos IP de Azure y etiquetas de servicio: nube pública. Microsoft publica actualizaciones semanales que contienen cada servicio de Azure y los intervalos IP que usa. La información del archivo JSON es la lista actual a un momento dado de los intervalos IP que corresponden a cada etiqueta de servicio. Las direcciones IP están sujetas a cambios. Si se requieren intervalos de direcciones IP para la configuración del firewall, use la etiqueta de AzureCloud servicio para permitir el acceso a todos los servicios de Azure. No deshabilite la supervisión de seguridad ni la inspección de estas direcciones URL. Permitirlos como haría con otro tráfico de Internet.
Si filtra el tráfico a la etiqueta de AzureArcInfrastructure servicio, debe permitir el tráfico al intervalo de etiquetas de servicio completo. Los intervalos anunciados para regiones individuales, por ejemplo, AzureArcInfrastructure.AustraliaEast, no incluyen los intervalos IP que usan los componentes globales del servicio. La dirección IP específica resuelta para estos puntos de conexión podría cambiar con el tiempo dentro de los intervalos documentados. Por este motivo, el uso de una herramienta de búsqueda para identificar la dirección IP actual de un punto de conexión específico y permitir el acceso solo a esa dirección IP no es suficiente para garantizar el acceso confiable.
Para más información, consulte Etiquetas de servicio de red virtual.
Importante
Para filtrar el tráfico por direcciones IP en Azure Government o Azure operado por 21Vianet, asegúrese de agregar las direcciones IP de la AzureArcInfrastructure etiqueta de servicio para la nube pública de Azure, además de usar la etiqueta de servicio para la AzureArcInfrastructure nube. Después del 28 de octubre de 2025, se necesitará agregar la AzureArcInfrastructure etiqueta de servicio para la nube pública de Azure y las etiquetas de servicio para Azure Government y Azure operados por 21Vianet ya no se admitirán.
URLs
En esta tabla se enumeran las direcciones URL que deben estar disponibles para instalar y usar el agente de Connected Machine.
Nota:
Al configurar el agente de Connected Machine para comunicarse con Azure a través de un vínculo privado, se debe acceder a algunos puntos de conexión a través de Internet. En la columna Compatible con Private Link de la tabla siguiente se muestran los puntos de conexión que puede configurar con un punto de conexión privado. Si la columna muestra Público para un punto de conexión, aún debe permitir el acceso a ese punto de conexión a través del firewall o servidor proxy de la organización para que funcione el agente. El tráfico de red se enruta a través de puntos de conexión privados si se asigna un ámbito de vínculo privado.
| Recurso del agente | Descripción | Cuándo es necesario | Compatible con vínculo privado |
|---|---|---|---|
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows. | Solo en el momento de la instalación. 1 | Público. |
packages.microsoft.com |
Se usa para descargar el paquete de instalación de Linux. | Solo en el momento de la instalación. 1 | Público. |
login.microsoftonline.com |
Microsoft Entra ID. | Siempre. | Público. |
*.login.microsoft.com |
Microsoft Entra ID. | Siempre. | Público. |
pas.windows.net |
Microsoft Entra ID. | Siempre. | Público. |
management.azure.com |
Azure Resource Manager se usa para crear o eliminar el recurso de servidor de Azure Arc. | Solo cuando se conecta o desconecta un servidor. | Público, a menos que también se configure un vínculo privado de administración de recursos . |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbrida. | Siempre. | Privado. |
*.guestconfiguration.azure.com |
Administración de extensiones y servicios de configuración de invitados. | Siempre. | Privado. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servicio de notificaciones para escenarios de extensión y conectividad. | Siempre. | Público. |
azgn*.servicebus.windows.net o *.servicebus.windows.net |
Servicio de notificaciones para escenarios de extensión y conectividad. | Siempre. | Público. |
*.servicebus.windows.net |
Para escenarios de Windows Admin Center y Secure Shell (SSH). | Si usa SSH o Windows Admin Center desde Azure. | Público. |
*.waconazure.com |
Para la conectividad de Windows Admin Center. | Si usa Windows Admin Center. | Público. |
*.blob.core.windows.net |
Descargue el origen de las extensiones de servidor habilitadas para Azure Arc. | Siempre, excepto cuando se usan puntos de conexión privados. | No se usa cuando se configura un vínculo privado. |
dc.services.visualstudio.com |
Telemetría del agente. | Optional. No se usa en las versiones del agente 1.24 o posteriores. | Público. |
*.<region>.arcdataservices.com
2 |
Para SQL Server habilitado para Azure Arc. Envía el servicio de procesamiento de datos, la telemetría del servicio y la supervisión del rendimiento a Azure. Permite la seguridad de la capa de transporte (TLS) 1.2 o 1.3 solo. | Si usa SQL Server habilitado para Azure Arc. | Público. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Para la autenticación de Microsoft Entra con SQL Server habilitado para Azure Arc. | Si usa SQL Server habilitado para Azure Arc. | Público. |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para actualizaciones de seguridad extendidas (usa HTTP/TCP 80 y HTTPS/TCP 443). | Si usa actualizaciones de seguridad extendidas habilitadas por Azure Arc. Siempre es necesario para las actualizaciones automáticas o temporalmente si descarga los certificados manualmente. | Público. |
dls.microsoft.com |
Las máquinas de Azure Arc las usan para realizar la validación de licencias. | Se requiere cuando se usa el almacenamiento en caliente, las ventajas de Azure de Windows Server o la facturación de pago por uso de Windows Server en máquinas habilitadas para Azure Arc. | Público. |
1 El acceso a esta dirección URL también es necesario cuando las actualizaciones se realizan automáticamente.
2 Para más información sobre qué información se recopila y envía, revise Recopilación de datos e informes de SQL Server habilitados por Azure Arc.
Para las versiones de extensión hasta el 13 de febrero de 2024, use san-af-<region>-prod.azurewebsites.net. A partir del 12 de marzo de 2024, tanto el procesamiento de datos de Azure Arc como la telemetría de datos de Azure Arc usan *.<region>.arcdataservices.com.
Nota:
Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. En este comando se debe especificar la región del marcador de posición <region>. Estos puntos de conexión pueden cambiar periódicamente.
Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.
Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.
Para ver una lista de todas las regiones, ejecute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolos criptográficos
Para garantizar la seguridad de los datos en tránsito a Azure, le recomendamos encarecidamente que configure las máquinas para que usen TLS 1.2 y 1.3. Se han detectado que las versiones anteriores de la capa de sockets seguros (SSL) de TLS/Secure son vulnerables. Aunque todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomienda.
A partir de la versión 1.56 del agente de Connected Machine (solo Windows), los siguientes conjuntos de cifrado deben configurarse para al menos una de las versiones de TLS recomendadas:
TLS 1.3 (conjuntos en orden preferido por el servidor):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bits RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. RSA de 3072 bits) FS
TLS 1.2 (conjuntos en orden preferido por el servidor):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15360 bits RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. RSA de 3072 bits) FS
Para obtener más información, consulte Problemas de configuración de TLS de Windows.
Los puntos de conexión de SQL Server habilitados por los puntos de conexión de Azure Arc ubicados en *.\<region\>.arcdataservices.com solo admiten TLS 1.2 y 1.3. Solo Windows Server 2012 R2 y versiones posteriores admiten TLS 1.2. SQL Server habilitado por el punto de conexión de telemetría de Azure Arc no es compatible con Windows Server 2012 ni Windows Server 2012 R2.
| Plataforma/lenguaje | Soporte técnico | Información adicional |
|---|---|---|
| Linux | Las distribuciones de Linux tienden a basarse en OpenSSL para la compatibilidad con TLS 1.2. | Compruebe el registro de cambios de OpenSSL para confirmar que se admite la versión de OpenSSL. |
| Windows Server 2012 R2 y versiones posteriores | Compatible y habilitado de forma predeterminada. | Confirme que sigue usando la configuración predeterminada. |
| Windows Server 2012 | Se admite parcialmente. No se recomienda. | Algunos puntos de conexión siguen funcionando, pero otros puntos de conexión requieren TLS 1.2 o posterior, que no está disponible en Windows Server 2012. |
Subconjunto de puntos de conexión solo para ESU
Si usa servidores habilitados para Azure Arc solo para actualizaciones de seguridad extendidas para cualquiera de los siguientes productos:
- Windows Server 2012
- SQL Server 2012
Puede habilitar el siguiente subconjunto de puntos de conexión.
| Recurso del agente | Descripción | Cuándo es necesario | Punto de conexión que se usa con un vínculo privado |
|---|---|---|---|
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows. | Solo en el momento de la instalación. 1 | Público. |
login.windows.net |
Microsoft Entra ID. | Siempre. | Público. |
login.microsoftonline.com |
Microsoft Entra ID. | Siempre. | Público. |
*.login.microsoft.com |
Microsoft Entra ID. | Siempre. | Público. |
management.azure.com |
Azure Resource Manager se usa para crear o eliminar el recurso de servidor de Azure Arc. | Solo cuando se conecta o desconecta un servidor. | Público, a menos que también se configure un vínculo privado de administración de recursos . |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbrida. | Siempre. | Privado. |
*.guestconfiguration.azure.com |
Administración de extensiones y servicios de configuración de invitados. | Siempre. | Privado. |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para actualizaciones de seguridad extendidas (usa HTTP/TCP 80 y HTTPS/TCP 443). | Siempre para las actualizaciones automáticas o temporalmente si descarga los certificados manualmente. | Público. |
*.<region>.arcdataservices.com |
Telemetría de servicio y servicio de procesamiento de datos de Azure Arc. | Actualizaciones de seguridad extendidas de SQL Server. | Público. |
*.blob.core.windows.net |
Descargue el paquete de extensión de SQL Server. | Actualizaciones de seguridad extendidas de SQL Server. | No es necesario si usa Azure Private Link. |
1 También se necesita acceso a esta dirección URL cuando se realizan actualizaciones automáticamente.
Para más información, consulte Requisitos de red del agente de la máquina conectada.
Puente de recursos de Azure Arc
En esta sección se describen los requisitos de red adicionales específicos para implementar el puente de recursos de Azure Arc en su empresa. Estos requisitos también se aplican a VMware vSphere habilitado para Azure Arc y System Center Virtual Machine Manager habilitado para Azure Arc.
Requisitos de conectividad de salida
El firewall y las direcciones URL de proxy siguientes deben estar en la lista de permitidos para habilitar la comunicación desde la máquina de administración, la máquina virtual de puente de recursos de Arc (implementada inicialmente), la máquina virtual del puente de recursos de Arc 2 (la actualización crea una nueva máquina virtual mediante una dirección IP de máquina virtual diferente) y la dirección IP del plano de control a las direcciones URL de puente de recursos de Arc necesarias.
Importante
Al incorporar Arc Resource Bridge, debe proporcionar dos direcciones IP para las máquinas virtuales del dispositivo. Estos se especifican como:
- Intervalo de direcciones IP
- Dos direcciones IP individuales (una para cada máquina virtual)
Para garantizar las actualizaciones correctas, todas las direcciones IP de máquina virtual del dispositivo deben tener acceso saliente a las direcciones URL necesarias. Asegúrese de que estas direcciones URL están permitidas en la red.
Lista de permitidos del firewall/dirección URL del proxy
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| Punto de conexión de la API de SFS | 443 | msk8s.api.cdp.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargue el catálogo de productos, los bits de producto y las imágenes del sistema operativo de SFS. |
| Descarga de la imagen del puente de recursos (dispositivo) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargue las imágenes de sistema operativo del puente de recursos de Arc. |
| Registro de contenedor de Microsoft | 443 | mcr.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descubrir imágenes de contenedores para el puente de recursos de Arc. |
| Registro de contenedor de Microsoft | 443 | *.data.mcr.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargar imágenes de contenedores para el puente de recursos de Arc. |
| Windows NTP Server | 123 | time.windows.com |
Las direcciones IP de máquina de administración y máquina virtual del dispositivo (si el valor predeterminado de Hyper-V es Windows NTP) necesita conexión saliente en UDP | Sincronización de tiempo del sistema operativo en la máquina virtual y administración del dispositivo (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Administración de recursos en Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Se necesita para RBAC de Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Servicio de DataPlane del puente de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
La dirección IP de las máquinas virtuales del dispositivo necesita una conexión de salida. | Comuníquese con el proveedor de recursos en Azure. |
| Descarga de la imagen de contenedor del puente de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Necesario para extraer imágenes de contenedor. |
| Identidad administrada | 443 | *.his.arc.azure.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Necesario para extraer certificados de identidad administrados que haya asignado el sistema. |
| Descarga de imágenes de contenedor de Azure Arc para Kubernetes | 443 | azurearcfork8s.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraer imágenes de contenedores. |
| Servicio de telemetría de ADHS | 443 | adhs.events.data.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft desde la máquina virtual del dispositivo. |
| Servicio de datos de eventos de Microsoft | 443 | v20.events.data.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Enviar datos de diagnóstico desde Windows. |
| Recopilación de registros para el puente de recursos de Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Registros de inserción para componentes administrados por el dispositivo. |
| Descarga de los componentes del puente de recursos | 443 | kvamanagementoperator.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraer artefactos para los componentes administrados por el dispositivo. |
| Administrador de paquetes de código abierto de Microsoft | 443 | packages.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Descargue el paquete de instalación de Linux. |
| Ubicación personalizada | 443 | sts.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para la ubicación personalizada. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para Azure Arc. |
| Datos de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Azure portal | 443 | *.arc.azure.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Administrar clúster de Azure Portal. |
| Azure Service Bus | 443 | *.servicebus.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. Se deben permitir las conexiones de WebSocket (wss://) salientes. | Habilita el canal de control seguro. |
| CLI de Azure | 443 | *.blob.core.windows.net |
La máquina de administración necesita una conexión de salida. | Descargue el instalador de la CLI de Azure. |
| Extensión de Arc | 443 | *.web.core.windows.net |
La máquina de administración necesita una conexión de salida. | Descargue la extensión de puente de recursos de Arc. |
| Agente de Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La máquina de administración necesita una conexión de salida. | Plano de datos usado para el agente de Arc. |
| Paquete de Python | 443 |
pypi.org, *.pypi.org |
La máquina de administración necesita una conexión de salida. | Valide las versiones de Kubernetes y Python. |
| CLI de Azure | 443 |
pythonhosted.org, *.pythonhosted.org |
La máquina de administración necesita una conexión de salida. | Paquetes de Python para la instalación de la CLI de Azure. |
Requisitos de conectividad de entrada
Se debe permitir la comunicación entre los puertos siguientes desde la máquina de administración, las direcciones IP de máquina virtual del dispositivo y las direcciones IP del plano de control. Asegúrese de que estos puertos están abiertos y que el tráfico no se enruta a través de un proxy para facilitar la implementación y el mantenimiento del puente de recursos de Arc.
Importante
Durante la incorporación, debe proporcionar dos direcciones IP para las máquinas virtuales del dispositivo Arc Resource Bridge, ya sea como un intervalo o como dos direcciones IP individuales. Para realizar correctamente la implementación, las operaciones y las actualizaciones:
- Asegúrese de que se permite la comunicación entre la máquina de administración, las direcciones IP de la máquina virtual del dispositivo y las direcciones IP del plano de control a través de los puertos necesarios, como se muestra a continuación.
- No enrute el tráfico a través de un proxy para estas conexiones.
| Servicio | Puerto | IP/machine | Dirección | Notas |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs y Management machine |
Bidireccional | El equipo de administración se conecta de salida a las direcciones IP de máquina virtual del dispositivo. Las direcciones IP de máquina virtual del dispositivo deben permitir conexiones entrantes. |
| Servidor de la API de Kubernetes | 6443 |
appliance VM IPs y Management machine |
Bidireccional | El equipo de administración se conecta de salida a las direcciones IP de máquina virtual del dispositivo. Las direcciones IP de máquina virtual del dispositivo deben permitir conexiones entrantes. |
| SSH | 22 |
control plane IP y Management machine |
Bidireccional | Se usa para implementar y mantener la máquina virtual del dispositivo. |
| Servidor de la API de Kubernetes | 6443 |
control plane IP y Management machine |
Bidireccional | Administración de la máquina virtual del dispositivo. |
| HTTPS | 443 |
private cloud control plane address y Management machine |
La máquina de administración necesita una conexión de salida. | Comunicación con la nube privada (por ejemplo: dirección de VMware vCenter y almacén de datos de vSphere). |
| Servidor de la API de Kubernetes | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (entre sí) |
Bidireccional | Necesario para la actualización de la máquina virtual del dispositivo. Asegúrese de que todas las direcciones IP de máquina virtual del dispositivo tienen conectividad saliente entre sí a través de estos puertos. |
| HTTPS | 443 |
private cloud control plane address y appliance VM IPs |
Las direcciones IP de máquina virtual del dispositivo necesitan conexión saliente. | Comunicación con la nube privada (por ejemplo: dirección de VMware vCenter y almacén de datos de vSphere). |
Para obtener más información, consulte Requisitos de red del puente de recursos de Azure Arc.
VMware vSphere habilitado para Azure Arc
VMware vSphere habilitado para Azure Arc también requiere:
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| vCenter Server | 443 | URL de vCenter Server | La IP de la máquina virtual del dispositivo y el punto de conexión del plano de control necesitan conexión de salida. | Lo usa el servidor vCenter para comunicarse con la máquina virtual del dispositivo y el plano de control. |
| Extensión de clúster de VMware | 443 | azureprivatecloud.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraiga imágenes de contenedor para la extensión de clúster Microsoft.VMWare y Microsoft.AVS. |
| CLI de Azure y extensiones de CLI de Azure | 443 | *.blob.core.windows.net |
La máquina de administración necesita una conexión de salida. | Descargue el instalador de CLI de Azure y las extensiones de CLI de Azure. |
| Azure Resource Manager | 443 | management.azure.com |
La máquina de administración necesita una conexión de salida. | Necesario para crear o actualizar recursos en Azure mediante ARM. |
| Gráfico de Helm para agentes de Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La máquina de administración necesita una conexión de salida. | Punto de conexión del plano de datos para descargar la información de configuración de los agentes de Arc. |
| CLI de Azure | 443 | - login.microsoftonline.com - aka.ms |
La máquina de administración necesita una conexión de salida. | Necesario para capturar y actualizar tokens de Azure Resource Manager. |
Para más información, consulte Matriz de compatibilidad para VMware vSphere habilitado para Azure Arc.
System Center Virtual Machine Manager habilitado para Azure Arc
System Center Virtual Machine Manager (SCVMM) habilitado para Azure Arc también requiere:
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| Servidor de administración de SCVMM | 443 | Dirección URL del servidor de administración de SCVMM | La IP de la máquina virtual del dispositivo y el punto de conexión del plano de control necesitan conexión de salida. | Lo usa el servidor de SCVMM para comunicarse con la máquina virtual del dispositivo y el plano de control. |
Para obtener más información, consulte Introducción a System Center Virtual Machine Manager habilitado para Arc.
Puntos de conexión adicionales
En función de su escenario, es posible que necesite conectividad con otras direcciones URL, como las que usa Azure Portal, las herramientas de administración u otros servicios de Azure. En concreto, revise estas listas para asegurarse de que permite la conectividad a los puntos de conexión necesarios: