Configuration réseau requise pour Azure Arc
Cet article répertorie les points de terminaison, les ports et les protocoles requis pour les services et fonctionnalités avec Azure Arc.
En règle générale, les exigences de connectivité incluent les principes suivants :
- Toutes les connexions sont TCP, sauf indication contraire.
- Toutes les connexions HTTP utilisent HTTPS et SSL/TLS avec des certificats officiellement signés et vérifiables.
- Toutes les connexions sont sortantes, sauf indication contraire.
Pour utiliser un proxy, vérifiez que les agents et l’ordinateur effectuant le processus d’intégration répondent aux exigences réseau requises dans cet article.
Points de terminaison Kubernetes avec Azure Arc
La connectivité aux points de terminaison Kubernetes Arc est requise pour toutes les offres Arc basées sur Kubernetes, notamment :
- Kubernetes compatible avec Azure Arc
- Services d’application avec Azure Arc
- Machine Learning avec Azure Arc
- Services de données avec Azure Arc (mode de connectivité directe uniquement)
Important
Les agents Azure Arc nécessitent les URL sortantes suivantes sur https://:443 pour fonctionner.
En ce qui concerne *.servicebus.windows.net, les WebSockets doivent être activés pour l’accès sortant sur le pare-feu et le proxy.
| Point de terminaison (DNS) | Description |
|---|---|
https://management.azure.com |
Requis pour que l’agent se connecte à Azure et inscrive le cluster. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Point de terminaison du plan de données permettant à l’agent d’envoyer (push) le statut et de récupérer (fetch) les informations de configuration. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Requis pour extraire et mettre à jour des jetons Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Requis pour extraire des images conteneurs pour les agents Azure Arc. |
https://gbl.his.arc.azure.com |
Requis pour obtenir le point de terminaison régional pour l’extraction des certificats d’identité managée affectée par le système. |
https://*.his.arc.azure.com |
Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système. |
https://k8connecthelm.azureedge.net |
az connectedk8s connect utilise Helm 3 pour déployer des agents Azure Arc sur le cluster Kubernetes. Ce point de terminaison est nécessaire pour le téléchargement du client Helm afin de faciliter le déploiement du graphique Helm de l’agent. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.nethttps://k8sconnectcsp.azureedge.net |
Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées. |
*.servicebus.windows.net |
Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées. |
https://graph.microsoft.com/ |
Obligatoire lorsque le contrôle d’accès en fonction du rôle (RBAC) Azure est configuré. |
*.arc.azure.net |
Requis pour gérer les clusters connectés dans le Portail Azure. |
https://<region>.obo.arc.azure.com:8084/ |
Requis lorsque cluster Connect est configuré. |
https://linuxgeneva-microsoft.azurecr.io |
Obligatoire si vous utilisez des extensions Kubernetes compatibles avec Azure Arc. |
Pour traduire le caractère générique *.servicebus.windows.net dans des points de terminaison spécifiques, utilisez la commande :
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.
Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.
Pour afficher la liste de toutes les régions, exécutez cette commande :
az account list-locations -o table
Get-AzLocation | Format-Table
Pour plus d’informations, consultez la configuration réseau Kubernetes compatible avec Azure Arc.
Services de données avec Azure Arc
Cette section décrit les exigences spécifiques aux services de données avec Azure Arc, en plus des points de terminaison Kubernetes avec Arc répertoriés ci-dessus.
| service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Graphique Helm (mode de connexion directe uniquement) | 443 | arcdataservicesrow1.azurecr.io |
Règle de trafic sortant | Approvisionne les objets de programme d’amorçage et de niveau de cluster du contrôleur de données Azure Arc, tels que les définitions de ressources personnalisées, les rôles de cluster et les liaisons de rôle de cluster. Extrait d’Azure Container Registry. |
| API Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Règle de trafic sortant | Azure Data Studio et Azure CLI se connectent aux API Azure Resource Manager pour envoyer et récupérer des données vers et depuis Azure pour certaines fonctionnalités. Consultez la section API Azure Monitor. |
| Service de traitement des données Azure Arc 1 | 443 | *.<region>.arcdataservices.com 2 |
Règle de trafic sortant |
1 Condition requise dépend du mode de déploiement :
- Pour le mode direct, le pod de contrôleur sur le cluster Kubernetes doit disposer d’une connectivité sortante aux points de terminaison pour envoyer les journaux, les métriques, l’inventaire et les informations de facturation à Azure Monitor/service de traitement des données.
- Pour le mode indirect, la machine qui exécute
az arcdata dc uploaddoit disposer de la connectivité sortante à Azure Monitor et au service de traitement des données.
2 Pour les versions d’extension jusqu’au 13 février 2024, utilisez san-af-<region>-prod.azurewebsites.net.
API Azure Monitor
La connectivité d’Azure Data Studio au serveur d’API Kubernetes utilise l’authentification et le chiffrement Kubernetes que vous avez établis. Chaque utilisateur qui utilise Azure Data Studio ou l’interface CLI doit disposer d’une connexion authentifiée à l’API Kubernetes pour effectuer un grand nombre des actions associées aux services de données avec Azure Arc.
Pour plus d’informations, consultez Exigences et modes de connectivité réseau.
Serveurs avec Azure Arc
La connectivité aux points de terminaison de serveur avec Arc est requise pour :
SQL Server activé par Azure Arc
VMware vSphere avec Azure Arc *
System Center Virtual Machine Manager avec Azure Arc *
Azure Stack avec Azure Arc (HCI) *
*Obligatoire uniquement pour la gestion des invités activée.
Les points de terminaison de serveur compatibles avec Azure Arc sont requis pour toutes les offres Arc basées sur le serveur.
Configuration du réseau
L’agent Azure Connected Machine pour Linux et Windows communique de manière sécurisée vers Azure Arc sur le port TCP 443. Par défaut, l’agent utilise l’itinéraire par défaut vers Internet pour atteindre les services Azure. Vous pouvez éventuellement configurer l’agent pour qu’il utilise un serveur proxy si votre réseau en a besoin. Les serveurs proxy ne sécurisent pas davantage l’agent Connected Machine, car le trafic est déjà chiffré.
Pour sécuriser davantage votre connectivité réseau à Azure Arc, au lieu d’utiliser des réseaux publics et des serveurs proxy, vous pouvez implémenter une étendue de liaison privée Azure Arc.
Remarque
Les serveurs avec Azure Arc ne prennent pas en charge l’utilisation d’une passerelle Log Analytics comme proxy pour l’agent Connected Machine. Parallèlement, l’agent Azure Monitor prend en charge la passerelle Log Analytics.
Si la connectivité sortante est restreinte par votre pare-feu ou votre serveur proxy, vérifiez que les URL et les étiquettes de service listées ci-dessous ne sont pas bloquées.
Balises de service
Veillez à autoriser l’accès aux étiquettes de service suivantes :
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Stockage
- WindowsAdminCenter (si vous utilisez Windows Admin Center pour gérer les serveurs avec Arc)
Pour obtenir la liste d’adresses IP de chaque étiquette de service/région, consultez le fichier JSON Plages d’adresses IP Azure et étiquettes de service – Cloud public. Microsoft publie chaque semaine une mise à jour contenant chacun des services Azure et les plages d’adresses IP qu’il utilise. Ces informations dans le fichier JSON constituent la liste actuelle des plages d’adresses IP qui correspondent à chaque balise de service. Les adresses IP sont sujettes à modification. Si des plages d’adresses IP sont requises par la configuration de votre pare-feu, utilisez l’étiquette de service AzureCloud pour autoriser l’accès à tous les services Azure. Ne désactivez pas la supervision ou l’inspection de la sécurité de ces URL ; autorisez-les comme vous le feriez pour tout autre trafic Internet.
Si vous filtrez le trafic vers la balise de service AzureArcInfrastructure, vous devez autoriser le trafic vers la plage d’étiquettes de service complète. Les plages publiées pour des régions individuelles, par exemple AzureArcInfrastructure.AustraliaEast, n’incluent pas les plages d’adresses IP utilisées par les composants globaux du service. L’adresse IP spécifique résolue pour ces points de terminaison peut changer au fil du temps dans les plages documentées. Par conséquent, il suffit d’utiliser un outil de recherche pour identifier l’adresse IP actuelle d’un point de terminaison donné et d’autoriser l’accès à celui-ci ne sera pas suffisant pour garantir un accès fiable.
Pour plus d’informations, consultez Étiquettes de service du réseau virtuel.
URLs
Le tableau ci-dessous liste les URL qui doivent être disponibles pour installer et utiliser l’agent Connected Machine.
Remarque
Lors de la configuration de l’agent de machine connectée Azure pour communiquer avec Azure via une liaison privée, certains points de terminaison doivent toujours être accessibles via Internet. La colonne Liaison privée compatible du tableau suivant indique les points d’extrémité qui peuvent être configurés avec un point de terminaison privé. Si la colonne affiche public pour un point de terminaison, vous devez toujours autoriser l’accès à ce point de terminaison via le pare-feu et/ou le serveur proxy de votre organisation pour que l’agent fonctionne. Le trafic réseau est acheminé par le point de terminaison privé si une étendue de liaison privée est attribuée.
| Ressource de l’agent | Description | Requise quand ? | Liaison privée compatible |
|---|---|---|---|
aka.ms |
Utilisée pour résoudre le script de téléchargement lors de l’installation | Au moment de l’installation uniquement | Public |
download.microsoft.com |
Utilisée pour télécharger le package d’installation Windows | Au moment de l’installation uniquement | Public |
packages.microsoft.com |
Utilisée pour télécharger le package d’installation Linux | Au moment de l’installation uniquement | Public |
login.windows.net |
Microsoft Entra ID | Toujours | Public |
login.microsoftonline.com |
Microsoft Entra ID | Toujours | Public |
*login.microsoft.com |
Microsoft Entra ID | Toujours | Public |
pas.windows.net |
Microsoft Entra ID | Toujours | Public |
management.azure.com |
Azure Resource Manager - pour créer ou supprimer la ressource du serveur Arc | Lors de la connexion ou de la déconnexion d’un serveur uniquement | Public, sauf si une liaison privée de gestion des ressources est également configurée |
*.his.arc.azure.com |
Services de métadonnées et d’identité hybride | Toujours | Privée |
*.guestconfiguration.azure.com |
Services de gestion d’extensions et de configuration Invité | Toujours | Privée |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Service de notification pour les scénarios d’extension et de connectivité | Toujours | Public |
azgn*.servicebus.windows.net |
Service de notification pour les scénarios d’extension et de connectivité | Toujours | Public |
*.servicebus.windows.net |
Pour les scénarios Windows Admin Center et SSH | Si vous utilisez SSH ou Windows Admin Center à partir d’Azure | Public |
*.waconazure.com |
Pour une connectivité Windows Admin Center | Si vous utilisez Windows Admin Center | Public |
*.blob.core.windows.net |
Source de téléchargement pour les extensions de serveurs avec Azure Arc | Toujours, sauf en cas d’utilisation de points de terminaison privés | Non utilisé lorsque la liaison privée est configurée |
dc.services.visualstudio.com |
Télémétrie de l’agent | Facultatif, non utilisé dans les versions de l’agent 1.24+ | Publique |
*.<region>.arcdataservices.com 1 |
Pour Arc SQL Server. Envoie le service de traitement des données, la télémétrie de service et la surveillance des performances à Azure. Autorise TLS 1.3. | Toujours | Public |
www.microsoft.com/pkiops/certs |
Mise à jour des certificats intermédiaires pour les ESU ( remarque : utilise HTTP/TCP 80 et HTTPS/TCP 443) | En cas d’utilisation des ESU activées par Azure Arc. Toujours requis pour les mises à jour automatiques, ou temporairement si les certificats sont téléchargés manuellement. | Publique |
1 Pour plus d’informations sur les informations collectées et envoyées, consultez Collecte et création de rapports de données pour SQL Server activés par Azure Arc.
Pour les versions d’extension jusqu’au et incluant le 13 février 2024, utilisez san-af-<region>-prod.azurewebsites.net. Depuis le 12 mars 2024 le traitement des données Azure Arc et la télémétrie des données Azure Arc utilisent *.<region>.arcdataservices.com.
Remarque
Pour translater le caractère générique *.servicebus.windows.net en points de terminaison spécifiques, utilisez la commande \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dans cette commande, la région doit être spécifiée pour l’espace réservé <region>. Ces points de terminaison peuvent périodiquement changer.
Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.
Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.
Pour afficher la liste de toutes les régions, exécutez cette commande :
az account list-locations -o table
Get-AzLocation | Format-Table
Protocole Transport Layer Security 1.2
Pour garantir la sécurité des données en transit vers Azure, nous vous encourageons vivement à configurer la machine de manière à utiliser le protocole TLS (Transport Layer Security) 1.2. Les versions antérieures de TLS/SSL (Secure Sockets Layer) se sont avérées vulnérables et bien qu’elles fonctionnent encore pour assurer la compatibilité descendante, elles sont déconseillées.
| Plateforme/Langage | Support | Informations complémentaires |
|---|---|---|
| Linux | Les distributions de Linux s’appuient généralement sur OpenSSL pour la prise en charge de TLS 1.2. | Vérifiez OpenSSL Changelog pour vous assurer que votre version d’OpenSSL est prise en charge. |
| Windows Server 2012 R2 et versions ultérieures | Pris en charge, activé par défaut. | Pour confirmer que vous utilisez toujours les paramètres par défaut. |
Sous-ensemble de points de terminaison pour l’ESU uniquement
Si vous utilisez des serveurs Azure Arc uniquement pour des mises à jour de sécurité étendues pour l’un ou l’autre des produits suivants, ou pour les deux :
- Windows Server 2012
- SQL Server 2012
Vous pouvez activer le sous-ensemble de points de terminaison suivant :
| Ressource de l’agent | Description | Requise quand ? | Point de terminaison utilisé avec une liaison privée |
|---|---|---|---|
aka.ms |
Utilisée pour résoudre le script de téléchargement lors de l’installation | Au moment de l’installation uniquement | Public |
download.microsoft.com |
Utilisée pour télécharger le package d’installation Windows | Au moment de l’installation uniquement | Public |
login.windows.net |
Microsoft Entra ID | Toujours | Public |
login.microsoftonline.com |
Microsoft Entra ID | Toujours | Public |
*login.microsoft.com |
Microsoft Entra ID | Toujours | Public |
management.azure.com |
Azure Resource Manager - pour créer ou supprimer la ressource du serveur Arc | Lors de la connexion ou de la déconnexion d’un serveur uniquement | Public, sauf si une liaison privée de gestion des ressources est également configurée |
*.his.arc.azure.com |
Services de métadonnées et d’identité hybride | Toujours | Privée |
*.guestconfiguration.azure.com |
Services de gestion d’extensions et de configuration Invité | Toujours | Privée |
www.microsoft.com/pkiops/certs |
Mise à jour des certificats intermédiaires pour les ESU ( remarque : utilise HTTP/TCP 80 et HTTPS/TCP 443) | Toujours pour les mises à jour automatiques, ou temporairement si vous téléchargez les certificats manuellement. | Publique |
*.<region>.arcdataservices.com |
Service de traitement de données Azure Arc et télémétrie du service. | ESU SQL Server | Publique |
*.blob.core.windows.net |
Télécharger le package de l’extension Sql Server | ESU SQL Server | Non obligatoire si vous utilisez Private Link |
Pour plus d’informations, consultez Exigences de réseau de l’agent Azure Connected Machine.
Pont de ressources Azure Arc
Cette section décrit les exigences de mise en réseau supplémentaires spécifiques au déploiement d’Azure Arc Resource Bridge dans votre entreprise. Ces exigences s’appliquent également à VMware vSphere avec Azure Arc et à System Center Virtual Machine Manager avec Azure Arc.
Exigences de connectivité sortante
Les URL de pare-feu et de proxy ci-dessous doivent être autorisées afin d’activer la communication à partir de l’ordinateur de gestion, de la machine virtuelle appliance et de l’adresse IP du plan de contrôle vers les URL de pont de ressources Arc requises.
Liste d’autorisation d’URL de pare-feu/proxy
| service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Point de terminaison d’API SFS | 443 | msk8s.api.cdp.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Télécharger le catalogue de produits, les bits de produits et les images du système d’exploitation de SFS. |
| Téléchargement de l’image (appliance) du pont de ressources | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Téléchargez les images du système d’exploitation du pont de ressources Arc. |
| Registre de conteneurs Microsoft | 443 | mcr.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Découvrez des images conteneur pour Arc Resource Bridge. |
| Registre de conteneurs Microsoft | 443 | *.data.mcr.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Téléchargez des images conteneur pour Arc Resource Bridge. |
| Serveur Windows NTP | 123 | time.windows.com |
Les IP de machine virtuelle d'appliance et de machine de gestion (si la valeur par défaut d'Hyper-V est Windows NTP) ont besoin d'une connexion sortante sur UDP | Synchronisation de l’heure du système d’exploitation dans la machine virtuelle de l’appliance et la machine de gestion (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Gestion des ressources dans Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour le contrôle d'accès en fonction du rôle (RBAC) Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour mettre à jour les jetons ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour mettre à jour les jetons ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour mettre à jour les jetons ARM. |
| Service de plan de données (appliance) du pont de ressources | 443 | *.dp.prod.appliances.azure.com |
L’adresse IP des machines virtuelles de l’appliance a besoin d’une connexion sortante. | Communiquez avec le fournisseur de ressources dans Azure. |
| Téléchargement de l’image conteneur (appliance) du pont de ressources | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour extraire des images conteneurs. |
| Identité managée | 443 | *.his.arc.azure.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système. |
| Téléchargement de l’image conteneur Azure Arc pour Kubernetes | 443 | azurearcfork8s.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Extraire des images conteneur. |
| Agent Azure Arc | 443 | k8connecthelm.azureedge.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Déployez l'agent Azure Arc. |
| Service de télémétrie ADHS | 443 | adhs.events.data.microsoft.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie régulièrement les données de diagnostic requises par Microsoft à partir de la machine virtuelle de l’appliance. |
| Service de données d’événements Microsoft | 443 | v20.events.data.microsoft.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoyer des données de diagnostic à partir de Windows. |
| Collection de journaux pour Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoyer (push) des journaux pour les composants managés de l’appliance. |
| Téléchargement des composants de pont de ressources | 443 | kvamanagementoperator.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Artefacts d’extraction pour les composants managés de l’appliance. |
| Gestionnaire de packages open source Microsoft | 443 | packages.microsoft.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Téléchargez le package d’installation Linux. |
| Emplacement personnalisé | 443 | sts.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour l'emplacement personnalisé. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour Azure Arc. |
| Emplacement personnalisé | 443 | k8sconnectcsp.azureedge.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour l'emplacement personnalisé. |
| Données de diagnostic | 443 | gcs.prod.monitoring.core.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Données de diagnostic | 443 | *.prod.microsoftmetrics.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Données de diagnostic | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Données de diagnostic | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Portail Azure | 443 | *.arc.azure.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Gérez un cluster dans le Portail Azure. |
| Azure CLI et extension | 443 | *.blob.core.windows.net |
La machine de gestion a besoin d’une connexion sortante. | Télécharger l’installateur Azure CLI et l’extension. |
| Agent Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La machine de gestion a besoin d’une connexion sortante. | Plan de données utilisé pour l’agent Arc. |
| Paquet Python | 443 | pypi.org, *.pypi.org |
La machine de gestion a besoin d’une connexion sortante. | Validez les versions de Kubernetes et Python. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
La machine de gestion a besoin d’une connexion sortante. | Packages Python pour l’installation d’Azure CLI. |
Exigences de connectivité entrante
La communication entre les ports suivants doit être autorisée à partir de la machine de gestion, des adresses IPs de la VM de l'appliance et des adresses IPs du plan de contrôle. Vérifiez que ces ports sont ouverts et que le trafic n’est pas routé via un proxy pour faciliter le déploiement et la maintenance du pont de ressources Arc.
| service | Port | IP/machine | Direction | Notes |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs et Management machine |
Bidirectionnel | Utilisés pour déployer et maintenir la machine virtuelle d’appliance. |
| Serveur d’API Kubernetes | 6443 | appliance VM IPs et Management machine |
Bidirectionnel | Gestion de la machine virtuelle d’appliance. |
| SSH | 22 | control plane IP et Management machine |
Bidirectionnel | Utilisés pour déployer et maintenir la machine virtuelle d’appliance. |
| Serveur d’API Kubernetes | 6443 | control plane IP et Management machine |
Bidirectionnel | Gestion de la machine virtuelle d’appliance. |
| HTTPS | 443 | private cloud control plane address et Management machine |
La machine de gestion a besoin d’une connexion sortante. | Communication avec le plan de contrôle (par exemple, adresse VMware vCenter). |
Pour plus d’informations, consultez configuration réseau requise pour le pont des ressources Azure Arc.
VMware vSphere avec Azure Arc
VMware vSphere avec Azure Arc nécessite également les éléments suivants :
| service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Serveur vCenter | 443 | URL du serveur vCenter | L’IP VM de l’appliance et le point de terminaison du plan de contrôle ont besoin d’une connexion sortante. | Utilisé par le serveur vCenter pour communiquer avec la machine virtuelle de l’appliance et le plan de contrôle. |
| Extension de cluster VMware | 443 | azureprivatecloud.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Extrayez des images conteneur pour l’extension de cluster Microsoft.AVS et Microsoft.VMWare. |
| Extensions Azure CLI et Azure CLI | 443 | *.blob.core.windows.net |
La machine de gestion a besoin d’une connexion sortante. | Téléchargez le programme d’installation Azure CLI et les extensions Azure CLI. |
| Azure Resource Manager | 443 | management.azure.com |
La machine de gestion a besoin d’une connexion sortante. | Requis pour créer/mise à jour des ressources dans Azure en utilisant ARM. |
| Graphique Helm pour l’agent Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La machine de gestion a besoin d’une connexion sortante. | Point de terminaison de plan de données pour le téléchargement des informations de configuration des agents Arc. |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
La machine de gestion a besoin d’une connexion sortante. | Requis pour extraire et mettre à jour des jetons Azure Resource Manager. |
Pour plus d’informations, consultez la matrice de prise en charge pour VMware vSphere avec Azure Arc.
System Center Virtual Machine Manager avec Azure Arc
System Center Virtual Machine Manager (SCVMM) avec Azure Arc nécessite également les éléments suivants :
| service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Serveur d’administration SCVMM | 443 | URL du serveur d’administration SCVMM | L’IP VM de l’appliance et le point de terminaison du plan de contrôle ont besoin d’une connexion sortante. | Utilisé par le serveur SCVMM pour communiquer avec la machine virtuelle de l’appliance et le plan de contrôle. |
Pour plus d’informations, consultez Vue d’ensemble de System Center Virtual Machine Manager avec Arc.
Points de terminaison supplémentaires
Selon votre scénario, vous devrez peut-être vous connecter à d’autres URL, telles que celles utilisées par les Portail Azure, les outils de gestion ou d’autres services Azure. En particulier, passez en revue ces listes pour vous assurer que vous autorisez la connectivité à tous les points de terminaison nécessaires :