Configuration réseau requise pour le pont des ressources Azure Arc
Cet article décrit les exigences de mise en réseau pour le déploiement d’Azure Arc Resource Bridge dans votre entreprise.
Configuration réseau requise générale
Le pont de ressources Arc communique de manière sécurisée avec Azure Arc sur le port TCP 443. Si l’appliance doit se connecter par l’intermédiaire d’un pare-feu ou d’un serveur proxy pour communiquer sur Internet, elle communique en utilisant le protocole HTTPS pour le trafic de sortie.
En règle générale, les exigences de connectivité incluent les principes suivants :
- Toutes les connexions sont TCP, sauf indication contraire.
- Toutes les connexions HTTP utilisent HTTPS et SSL/TLS avec des certificats officiellement signés et vérifiables.
- Toutes les connexions sont sortantes, sauf indication contraire.
Pour utiliser un proxy, vérifiez que les agents et l’ordinateur effectuant le processus d’intégration répondent aux exigences réseau requises dans cet article.
Exigences de connectivité sortante
Les URL de pare-feu et de proxy ci-dessous doivent être autorisées afin d’activer la communication à partir de l’ordinateur de gestion, de la machine virtuelle appliance et de l’adresse IP du plan de contrôle vers les URL de pont de ressources Arc requises.
Liste d’autorisation d’URL de pare-feu/proxy
| service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Point de terminaison d’API SFS | 443 | msk8s.api.cdp.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Télécharger le catalogue de produits, les bits de produits et les images du système d’exploitation de SFS. |
| Téléchargement de l’image (appliance) du pont de ressources | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Téléchargez les images du système d’exploitation du pont de ressources Arc. |
| Registre de conteneurs Microsoft | 443 | mcr.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Découvrez les images conteneur pour le pont de ressources Arc. |
| Registre de conteneurs Microsoft | 443 | *.data.mcr.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Téléchargez des images conteneur pour Arc Resource Bridge. |
| Serveur Windows NTP | 123 | time.windows.com |
Les IP de machine virtuelle d'appliance et de machine de gestion (si la valeur par défaut d'Hyper-V est Windows NTP) ont besoin d'une connexion sortante sur UDP | Synchronisation de l’heure du système d’exploitation dans la machine virtuelle de l’appliance et la machine de gestion (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Gestion des ressources dans Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour le contrôle d'accès en fonction du rôle (RBAC) Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour mettre à jour les jetons ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour mettre à jour les jetons ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour mettre à jour les jetons ARM. |
| Service de plan de données (appliance) du pont de ressources | 443 | *.dp.prod.appliances.azure.com |
L’adresse IP des machines virtuelles de l’appliance a besoin d’une connexion sortante. | Communiquez avec le fournisseur de ressources dans Azure. |
| Téléchargement de l’image conteneur (appliance) du pont de ressources | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour extraire des images conteneurs. |
| Identité managée | 443 | *.his.arc.azure.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système. |
| Téléchargement de l’image conteneur Azure Arc pour Kubernetes | 443 | azurearcfork8s.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Extraire des images conteneur. |
| Agent Azure Arc | 443 | k8connecthelm.azureedge.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Déployez l'agent Azure Arc. |
| Service de télémétrie ADHS | 443 | adhs.events.data.microsoft.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie régulièrement les données de diagnostic requises par Microsoft à partir de la machine virtuelle de l’appliance. |
| Service de données d’événements Microsoft | 443 | v20.events.data.microsoft.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoyer des données de diagnostic à partir de Windows. |
| Collection de journaux pour Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoyer (push) des journaux pour les composants managés de l’appliance. |
| Téléchargement des composants de pont de ressources | 443 | kvamanagementoperator.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Artefacts d’extraction pour les composants managés de l’appliance. |
| Gestionnaire de packages open source Microsoft | 443 | packages.microsoft.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Téléchargez le package d’installation Linux. |
| Emplacement personnalisé | 443 | sts.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour l'emplacement personnalisé. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour Azure Arc. |
| Emplacement personnalisé | 443 | k8sconnectcsp.azureedge.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour l'emplacement personnalisé. |
| Données de diagnostic | 443 | gcs.prod.monitoring.core.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Données de diagnostic | 443 | *.prod.microsoftmetrics.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Données de diagnostic | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Données de diagnostic | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Portail Azure | 443 | *.arc.azure.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Gérez un cluster dans le Portail Azure. |
| Azure CLI et extension | 443 | *.blob.core.windows.net |
La machine de gestion a besoin d’une connexion sortante. | Télécharger l’installateur Azure CLI et l’extension. |
| Agent Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La machine de gestion a besoin d’une connexion sortante. | Plan de données utilisé pour l’agent Arc. |
| Paquet Python | 443 | pypi.org, *.pypi.org |
La machine de gestion a besoin d’une connexion sortante. | Validez les versions de Kubernetes et Python. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
La machine de gestion a besoin d’une connexion sortante. | Packages Python pour l’installation d’Azure CLI. |
Exigences de connectivité entrante
La communication entre les ports suivants doit être autorisée à partir de la machine de gestion, des adresses IPs de la VM de l'appliance et des adresses IPs du plan de contrôle. Vérifiez que ces ports sont ouverts et que le trafic n’est pas routé via un proxy pour faciliter le déploiement et la maintenance du pont de ressources Arc.
| service | Port | IP/machine | Direction | Notes |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs et Management machine |
Bidirectionnel | Utilisés pour déployer et maintenir la machine virtuelle d’appliance. |
| Serveur d’API Kubernetes | 6443 | appliance VM IPs et Management machine |
Bidirectionnel | Gestion de la machine virtuelle d’appliance. |
| SSH | 22 | control plane IP et Management machine |
Bidirectionnel | Utilisés pour déployer et maintenir la machine virtuelle d’appliance. |
| Serveur d’API Kubernetes | 6443 | control plane IP et Management machine |
Bidirectionnel | Gestion de la machine virtuelle d’appliance. |
| HTTPS | 443 | private cloud control plane address et Management machine |
La machine de gestion a besoin d’une connexion sortante. | Communication avec le plan de contrôle (par exemple, adresse VMware vCenter). |
Remarque
Les URL répertoriées ici sont requises pour le pont de ressources Arc uniquement. D’autres produits Arc (tels que VMware vSphere compatible avec Arc) peuvent avoir des URL requises supplémentaires. Pour plus d’informations, consultez configuration réseau requise pour Azure Arc.
Plages IP désignées pour le pont de ressources Arc
Quand vous déployez le pont de ressources Arc, des plages IP spécifiques sont réservées exclusivement pour les pods et services Kubernetes au sein de la machine virtuelle de l’appliance. Ces plages IP internes ne doivent chevaucher aucune entrée de configuration du pont de ressources, comme le préfixe d’adresse IP, l’IP du plan de contrôle, les IP VM de l’appliance, les serveurs DNS, les serveurs proxy ou les hôtes vSphere ESXi. Pour plus d’informations sur la configuration du pont de ressources Arc, consultez les exigences du système.
Remarque
Ces plages IP désignées sont utilisées uniquement en interne dans le pont de ressources Arc. Elles n’affectent pas les ressources ou les réseaux Azure.
| service | Plage IP désignées |
|---|---|
| Pods Kubernetes de pont de ressources Arc | 10.244.0.0/16 |
| Services Kubernetes de pont de ressources Arc | 10.96.0.0/12 |
Configuration du proxy SSL
Important
Le pont de ressources Arc prend uniquement en charge les proxys directs (explicites), notamment les proxys non authentifiés, les proxys avec une authentification de base, les proxys de terminaison SSL et les proxys SSL Passthrough.
Si vous utilisez un proxy, le pont de ressources Arc doit être configuré pour utiliser le proxy afin de pouvoir se connecter aux services Azure.
Pour configurer le pont de ressources Arc avec proxy, fournissez le chemin du fichier de certificat proxy lors de la création des fichiers de configuration.
Le format du fichier de certificat est X.509 codé en base 64 (. CER).
Transmettez uniquement le certificat proxy unique. Si un ensemble de certificats est passé, le déploiement échoue.
Le point de terminaison du serveur proxy ne peut pas être un domaine
.local.Le serveur proxy doit être accessible à partir de toutes les adresses IP du préfixe d’adresse IP, y compris le plan de contrôle et les adresses IP de machine virtuelle de l’appliance.
Il n’existe que deux certificats qui doivent être pertinents lors du déploiement du pont de ressources Arc derrière un proxy SSL :
Certificat SSL pour votre proxy SSL (afin que la machine de gestion et la machine virtuelle de l’appliance approuvent votre nom de domaine complet proxy et puissent établir une connexion SSL à celui-ci)
Certificat SSL des serveurs de téléchargement Microsoft. Ce certificat doit être approuvé par votre serveur proxy lui-même, car le proxy est celui qui établit la connexion finale et doit approuver le point de terminaison. Les ordinateurs non Windows peuvent ne pas approuver ce deuxième certificat par défaut. Vous devrez peut-être donc vous assurer qu’il est approuvé.
Pour déployer le pont des ressources Arc, les images doivent être téléchargées sur la machine de gestion, puis chargées dans la galerie de clouds privés locale. Si votre serveur proxy limite la vitesse de téléchargement, vous ne pourrez peut-être pas télécharger les images requises (~3,5 Go) dans le délai imparti (90 min).
Liste d’exclusions pour aucun proxy
Si un serveur proxy est utilisé, le tableau suivant contient la liste des adresses qui doivent être exclues du proxy en configurant les paramètres de noProxy.
| Adresse IP | Motif de l’exclusion |
|---|---|
| localhost, 127.0.0.1 | Trafic Localhost |
| .svc | Le trafic du service Kubernetes interne (.svc) où .svc représente un nom générique. Cela équivaut à .svc, mais aucun n’est utilisé dans ce schéma. |
| 10.0.0.0/8 | Espace d’adressage du réseau privé |
| 172.16.0.0/12 | Espace d’adressage du réseau privé - CIDR Kubernetes Service |
| 192.168.0.0/16 | Espace d’adressage du réseau privé - CIDR Kubernetes Pod |
| contoso.com : | Vous souhaiterez peut-être exempter l’espace de noms de votre entreprise (.contoso.com) d’un passage par le proxy. Pour exclure toutes les adresses d’un domaine, vous devez ajouter le domaine à la liste noProxy. Utilisez un point final plutôt qu’un caractère générique (*). Dans l’exemple, les adresses .contoso.com excluent les adresses prefix1.contoso.com, prefix2.contoso.com, et ainsi de suite. |
La valeur par défaut pour noProxy est localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Bien que ces valeurs par défaut fonctionnent pour de nombreux réseaux, vous aurez peut-être besoin d’ajouter d’autres plages de sous-réseaux et/ou de noms à la liste d’exemptions. Par exemple, vous pouvez souhaiter exempter votre espace de noms d’entreprise (.contoso.com) d’un transit via le proxy. Il suffit pour cela de spécifier les valeurs dans la liste noProxy.
Important
Lorsque vous répertoriez plusieurs adresses pour les paramètres noProxy, n’ajoutez pas d’espace après chaque virgule pour séparer les adresses. Les adresses doivent immédiatement suivre les virgules.
Écoute de port interne
Notez que la machine virtuelle de l’appliance est configurée pour écouter sur les ports suivants. Ces ports sont utilisés exclusivement pour les processus internes et ne nécessitent pas d’accès externe :
- 8443 – Point de terminaison pour un webhook d’authentification Microsoft Entra
- 10257 : points de terminaison pour les métriques de pont de ressources Arc
- 10250 : points de terminaison pour les métriques de pont de ressources Arc
- 2382 : points de terminaison pour les métriques de pont de ressources Arc
Étapes suivantes
- Passez en revue la vue d’ensemble du pont de ressources Azure Arc pour en savoir plus sur les exigences et les détails techniques.
- Découvrez configuration de la sécurité et des considérations relatives au pont de ressources Azure Arc.
- Affichez conseils de résolution des problèmes de mise en réseau.