Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répertorie les points de terminaison, les ports et les protocoles requis pour les services et fonctionnalités avec Azure Arc.
En règle générale, les exigences de connectivité incluent les principes suivants :
- Toutes les connexions sont TCP, sauf indication contraire.
- Toutes les connexions HTTP utilisent HTTPS et SSL/TLS avec des certificats officiellement signés et vérifiables.
- Toutes les connexions sont sortantes, sauf indication contraire.
Pour utiliser un proxy, vérifiez que les agents et l’ordinateur effectuant le processus d’intégration répondent aux exigences réseau requises dans cet article.
Conseil
Pour le cloud public Azure, vous pouvez réduire le nombre de points de terminaison requis à l’aide de la passerelle Azure Arc pour les serveurs avec Arc ou kubernetes avec Arc.
Points de terminaison Kubernetes avec Azure Arc
La connectivité aux points de terminaison Kubernetes Arc est requise pour toutes les offres Arc basées sur Kubernetes, notamment :
- Kubernetes compatible avec Azure Arc
- Azure Container Apps sur Azure Arc
- Machine Learning avec Azure Arc
- Services de données avec Azure Arc (mode de connectivité directe uniquement)
Important
Les agents Azure Arc nécessitent les URL https://:443 sortantes suivantes (sauf indication contraire).
En ce qui concerne *.servicebus.windows.net, les WebSockets doivent être activés pour l’accès sortant sur le pare-feu et le proxy.
| Point de terminaison (DNS) | Description |
|---|---|
https://management.azure.com |
Requis pour que l’agent se connecte à Azure et inscrive le cluster. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Point de terminaison du plan de données permettant à l’agent d’envoyer (push) le statut et de récupérer (fetch) les informations de configuration. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Requis pour extraire et mettre à jour des jetons Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Requis pour extraire des images conteneurs pour les agents Azure Arc. |
dl.k8s.io |
Requis pour télécharger les fichiers binaires kubectl pendant l’intégration d’Azure Arc par l’extension Connectedk8s d’Azure CLI. |
https://gbl.his.arc.azure.com |
Requis pour obtenir le point de terminaison régional pour l’extraction des certificats d’identité managée affectée par le système. |
https://*.his.arc.azure.com |
Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.net |
Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées. |
*.servicebus.windows.net |
Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées. |
https://graph.microsoft.com/ |
Obligatoire lorsque le contrôle d’accès en fonction du rôle (RBAC) Azure est configuré. |
*.arc.azure.net |
Requis pour gérer les clusters connectés dans le Portail Azure. |
https://<region>.obo.arc.azure.com:8084/ |
Obligatoire lorsque Cluster Connect et Azure RBAC sont configurés. |
https://linuxgeneva-microsoft.azurecr.io |
Obligatoire si vous utilisez des extensions Kubernetes compatibles avec Azure Arc. |
Pour traduire le caractère générique *.servicebus.windows.net dans des points de terminaison spécifiques, utilisez la commande :
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.
Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.
Pour afficher la liste de toutes les régions, exécutez cette commande :
az account list-locations -o table
Get-AzLocation | Format-Table
Pour plus d’informations, consultez la configuration réseau Kubernetes compatible avec Azure Arc.
Services de données avec Azure Arc
Cette section décrit les exigences spécifiques aux services de données avec Azure Arc, en plus des points de terminaison Kubernetes avec Arc répertoriés ci-dessus.
| service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Graphique Helm (mode de connexion directe uniquement) | 443 | arcdataservicesrow1.azurecr.ioarcdataservicesrow2.azurecr.io*.blob.core.windows.net |
Règle de trafic sortant | Approvisionne les objets de programme d’amorçage et de niveau de cluster du contrôleur de données Azure Arc, tels que les définitions de ressources personnalisées, les rôles de cluster et les liaisons de rôle de cluster. Extrait d’Azure Container Registry. |
| API Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Règle de trafic sortant | Azure CLI se connecte aux API Azure Resource Manager pour envoyer et récupérer des données vers et depuis Azure pour certaines fonctionnalités. Consultez la section API Azure Monitor. |
| Service de traitement des données Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
Règle de trafic sortant |
1 Condition requise dépend du mode de déploiement :
- Pour le mode direct, le pod de contrôleur sur le cluster Kubernetes doit disposer d’une connectivité sortante aux points de terminaison pour envoyer les journaux, les métriques, l’inventaire et les informations de facturation à Azure Monitor/service de traitement des données.
- Pour le mode indirect, la machine qui exécute
az arcdata dc uploaddoit disposer de la connectivité sortante à Azure Monitor et au service de traitement des données.
2 Pour les versions d’extension jusqu’au 13 février 2024, utilisez san-af-<region>-prod.azurewebsites.net.
API Azure Monitor
La connectivité au serveur d’API Kubernetes utilise l’authentification et le chiffrement Kubernetes que vous avez établis. Chaque utilisateur qui utilise Azure CLI doit disposer d’une connexion authentifiée à l’API Kubernetes pour effectuer de nombreuses actions liées aux services de données avec Azure Arc.
Pour plus d’informations, consultez Exigences et modes de connectivité réseau.
Serveurs avec Azure Arc
La connectivité aux points de terminaison de serveur avec Arc est requise pour :
SQL Server activé par Azure Arc
VMware vSphere avec Azure Arc *
System Center Virtual Machine Manager avec Azure Arc *
Azure Stack avec Azure Arc (HCI) *
*Obligatoire uniquement pour la gestion des invités activée.
Les points de terminaison de serveur avec Azure Arc sont requis pour toutes les offres Azure Arc basées sur le serveur.
Configuration du réseau
L’agent Azure Connected Machine pour Linux et Windows communique de manière sécurisée vers Azure Arc sur le port TCP 443. Par défaut, l’agent utilise l’itinéraire par défaut vers Internet pour atteindre les services Azure. Vous pouvez éventuellement configurer l’agent pour qu’il utilise un serveur proxy si votre réseau en a besoin. Les serveurs proxy ne sécurisent pas davantage l’agent Connected Machine, car le trafic est déjà chiffré.
Pour sécuriser davantage votre connectivité réseau à Azure Arc, au lieu d’utiliser des réseaux publics et des serveurs proxy, vous pouvez implémenter une étendue de liaison privée Azure Arc.
Remarque
Les serveurs avec Azure Arc ne prennent pas en charge l’utilisation d’une passerelle Log Analytics en tant que proxy pour l’agent Connected Machine. En même temps, l’agent Azure Monitor prend en charge les passerelles Log Analytics.
Si votre pare-feu ou votre serveur proxy restreint la connectivité sortante, assurez-vous que les URL et les balises de service répertoriées ici ne sont pas bloquées.
Balises de service
Veillez à autoriser l’accès aux balises de service suivantes :
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(si vous utilisez Windows Admin Center pour gérer les serveurs avec Azure Arc)
Pour obtenir la liste des adresses IP pour chaque balise/région de service, consultez le fichier JSON Azure IP Ranges and Service Tags - Public Cloud. Microsoft publie des mises à jour hebdomadaires qui contiennent chaque service Azure et les plages d’adresses IP qu’il utilise. Les informations contenues dans le fichier JSON sont la liste actuelle des plages d’adresses IP qui correspondent à chaque balise de service. Les adresses IP sont sujettes à modification. Si des plages d’adresses IP sont requises pour votre configuration de pare-feu, utilisez la balise de service pour autoriser l’accès AzureCloud à tous les services Azure. Ne désactivez pas la supervision ou l’inspection de sécurité de ces URL. Autorisez-les comme vous le feriez pour d’autres trafics Internet.
Si vous filtrez le trafic vers la balise de AzureArcInfrastructure service, vous devez autoriser le trafic vers la plage d’étiquettes de service complète. Les plages publiées pour des régions individuelles, par exemple, AzureArcInfrastructure.AustraliaEastn’incluent pas les plages d’adresses IP utilisées par les composants globaux du service. L’adresse IP spécifique résolue pour ces points de terminaison peut changer au fil du temps dans les plages documentées. Pour cette raison, l’utilisation d’un outil de recherche pour identifier l’adresse IP actuelle d’un point de terminaison spécifique et autoriser l’accès à cette adresse IP n’est pas suffisant pour garantir un accès fiable.
Pour plus d’informations, consultez Étiquettes de service du réseau virtuel.
Important
Pour filtrer le trafic par adresses IP dans Azure Government ou Azure géré par 21Vianet, veillez à ajouter les adresses IP à partir de la AzureArcInfrastructure balise de service pour le cloud public Azure, en plus d’utiliser la AzureArcInfrastructure balise de service pour votre cloud cloud. Après le 28 octobre 2025, l’ajout de la balise de service pour le AzureArcInfrastructure cloud public Azure sera nécessaire, et les balises de service pour Azure Government et Azure exploitées par 21Vianet ne seront plus prises en charge.
URLs
Ce tableau répertorie les URL qui doivent être disponibles pour installer et utiliser l’agent Connected Machine.
Remarque
Lorsque vous configurez l’agent Connected Machine pour communiquer avec Azure via une liaison privée, certains points de terminaison doivent toujours être accessibles via Internet. La colonne de liaison privée dans le tableau suivant indique les points de terminaison que vous pouvez configurer avec un point de terminaison privé. Si la colonne affiche public pour un point de terminaison, vous devez toujours autoriser l’accès à ce point de terminaison via le pare-feu et/ou le serveur proxy de votre organisation pour que l’agent fonctionne. Le trafic réseau est routé via des points de terminaison privés si une étendue de liaison privée est affectée.
| Ressource de l’agent | Description | Requise quand ? | Liaison privée compatible |
|---|---|---|---|
download.microsoft.com |
Utilisé pour télécharger le package d’installation De Windows. | Uniquement au moment de l’installation. 1 | Public. |
packages.microsoft.com |
Utilisé pour télécharger le package d’installation Linux. | Uniquement au moment de l’installation. 1 | Public. |
login.microsoftonline.com |
Microsoft Entra ID | Toujours. | Public. |
*.login.microsoft.com |
Microsoft Entra ID | Toujours. | Public. |
pas.windows.net |
Microsoft Entra ID | Toujours. | Public. |
management.azure.com |
Azure Resource Manager est utilisé pour créer ou supprimer la ressource de serveur Azure Arc. | Uniquement lorsque vous connectez ou déconnectez un serveur. | Public, sauf si une liaison privée de gestion des ressources est également configurée. |
*.his.arc.azure.com |
Métadonnées et services d’identité hybride. | Toujours. | Privé. |
*.guestconfiguration.azure.com |
Services de gestion des extensions et de configuration invité. | Toujours. | Privé. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Service de notification pour les scénarios d’extension et de connectivité. | Toujours. | Public. |
azgn*.servicebus.windows.net ou *.servicebus.windows.net |
Service de notification pour les scénarios d’extension et de connectivité. | Toujours. | Public. |
*.servicebus.windows.net |
Pour les scénarios Windows Admin Center et Secure Shell (SSH). | Si vous utilisez SSH ou Windows Admin Center à partir d’Azure. | Public. |
*.waconazure.com |
Pour la connectivité de Windows Admin Center. | Si vous utilisez Windows Admin Center. | Public. |
dc.services.visualstudio.com |
Télémétrie de l’agent. | Optional. Non utilisé dans les versions de l’agent 1.24+. | Public. |
*.<region>.arcdataservices.com
2 |
Pour SQL Server avec Azure Arc. Envoie le service de traitement des données, la télémétrie de service et la surveillance des performances à Azure. Autorise le protocole TLS (Transport Layer Security) 1.2 ou 1.3 uniquement. | Si vous utilisez SQL Server avec Azure Arc. | Public. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Pour l’authentification Microsoft Entra avec SQL Server avec Azure Arc. | Si vous utilisez SQL Server avec Azure Arc. | Public. |
www.microsoft.com/pkiops/certs |
Mises à jour de certificat intermédiaires pour les mises à jour de sécurité étendues (utilise HTTP/TCP 80 et HTTPS/TCP 443). | Si vous utilisez les mises à jour de sécurité étendues activées par Azure Arc. Toujours requis pour les mises à jour automatiques ou temporairement si vous téléchargez des certificats manuellement. | Public. |
dls.microsoft.com |
Utilisé par les machines Azure Arc pour effectuer la validation des licences. | Obligatoire lorsque vous utilisez la facturation hotpatching, Windows Server Azure Benefits ou Windows Server pay-as-you-go sur des machines avec Azure Arc. | Public. |
1 L’accès à cette URL est également nécessaire lorsque les mises à jour sont effectuées automatiquement.
2 Pour en savoir plus sur les informations collectées et envoyées, consultez Collecte et rapports sur les données pour SQL Server activé par Azure Arc.
Pour les versions d’extension jusqu’au 13 février 2024, utilisez san-af-<region>-prod.azurewebsites.net. À compter du 12 mars 2024, le traitement des données Azure Arc et la télémétrie des données Azure Arc utilisent *.<region>.arcdataservices.com.
Remarque
Pour translater le caractère générique *.servicebus.windows.net en points de terminaison spécifiques, utilisez la commande \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dans cette commande, la région doit être spécifiée pour l’espace réservé <region>. Ces points de terminaison peuvent changer régulièrement.
Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.
Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.
Pour afficher la liste de toutes les régions, exécutez cette commande :
az account list-locations -o table
Get-AzLocation | Format-Table
Protocoles de chiffrement
Pour garantir la sécurité des données en transit vers Azure, nous vous encourageons vivement à configurer des machines pour utiliser TLS 1.2 et 1.3. Les versions antérieures de TLS/Secure Sockets Layer (SSL) ont été jugées vulnérables. Bien qu’ils fonctionnent toujours pour permettre la compatibilité descendante, ils ne sont pas recommandés.
À partir de la version 1.56 de l’agent Connected Machine (Windows uniquement), les suites de chiffrement suivantes doivent être configurées pour au moins l’une des versions TLS recommandées :
TLS 1.3 (suites dans l’ordre préféré du serveur) :
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bits RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (équiv. 3072 bits RSA) FS
TLS 1.2 (suites dans l’ordre préféré du serveur) :
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15 360 bits RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (égal à 3072 bits RSA) FS
Pour plus d’informations, consultez les problèmes de configuration de Windows TLS.
Sql Server activé par les points de terminaison Azure Arc situés uniquement au *.\<region\>.arcdataservices.com support tls 1.2 et 1.3. Seuls Windows Server 2012 R2 et versions ultérieures prennent en charge TLS 1.2. SQL Server activé par le point de terminaison de télémétrie Azure Arc n’est pas pris en charge pour Windows Server 2012 ou Windows Server 2012 R2.
| Plateforme/Langage | Support | Plus d’informations |
|---|---|---|
| Linux | Les distributions de Linux s’appuient généralement sur OpenSSL pour la prise en charge de TLS 1.2. | Vérifiez le journal des modifications OpenSSL pour vérifier que votre version d’OpenSSL est prise en charge. |
| Windows Server 2012 R2 et versions ultérieures | Prise en charge et activée par défaut. | Vérifiez que vous utilisez toujours les paramètres par défaut. |
| Windows Server 2012 | Partiellement pris en charge. Ce n’est pas recommandé. | Certains points de terminaison fonctionnent toujours, mais d’autres points de terminaison nécessitent TLS 1.2 ou version ultérieure, qui n’est pas disponible sur Windows Server 2012. |
Sous-ensemble de points de terminaison pour l’ESU uniquement
Si vous utilisez des serveurs avec Azure Arc uniquement pour les mises à jour de sécurité étendues pour les deux produits suivants :
- Windows Server 2012
- SQL Server 2012
Vous pouvez activer le sous-ensemble de points de terminaison suivant.
| Ressource de l’agent | Description | Requise quand ? | Point de terminaison utilisé avec une liaison privée |
|---|---|---|---|
download.microsoft.com |
Utilisé pour télécharger le package d’installation De Windows. | Uniquement au moment de l’installation. 1 | Public. |
login.windows.net |
Microsoft Entra ID | Toujours. | Public. |
login.microsoftonline.com |
Microsoft Entra ID | Toujours. | Public. |
*.login.microsoft.com |
Microsoft Entra ID | Toujours. | Public. |
management.azure.com |
Azure Resource Manager est utilisé pour créer ou supprimer la ressource de serveur Azure Arc. | Uniquement lorsque vous connectez ou déconnectez un serveur. | Public, sauf si une liaison privée de gestion des ressources est également configurée. |
*.his.arc.azure.com |
Métadonnées et services d’identité hybride. | Toujours. | Privé. |
*.guestconfiguration.azure.com |
Services de gestion des extensions et de configuration invité. | Toujours. | Privé. |
www.microsoft.com/pkiops/certs |
Mises à jour de certificat intermédiaires pour les mises à jour de sécurité étendues (utilise HTTP/TCP 80 et HTTPS/TCP 443). | Toujours pour les mises à jour automatiques ou temporairement si vous téléchargez des certificats manuellement. | Public. |
*.<region>.arcdataservices.com |
Service de traitement de données Azure Arc et télémétrie du service. | Mises à jour de sécurité étendues SQL Server. | Public. |
1 L’accès à cette URL est également nécessaire lorsque vous effectuez automatiquement des mises à jour.
Pour plus d’informations, consultez Exigences de réseau de l’agent Azure Connected Machine.
Pont de ressources Azure Arc
Cette section décrit les exigences de mise en réseau supplémentaires spécifiques au déploiement d’Azure Arc Resource Bridge dans votre entreprise. Ces exigences s’appliquent également à VMware vSphere avec Azure Arc et à System Center Virtual Machine Manager avec Azure Arc.
Exigences de connectivité sortante
Les URL de pare-feu et de proxy ci-dessous doivent être autorisées afin d’activer la communication à partir de la machine de gestion, de la machine virtuelle de pont de ressources Arc (initialement déployée), de la machine virtuelle de pont de ressources Arc 2 (mise à niveau crée une machine virtuelle à l’aide d’une adresse IP de machine virtuelle différente) et de l’adresse IP du plan de contrôle vers les URL de pont de ressources Arc requises.
Important
Lors de l’intégration d’Arc Resource Bridge, vous devez fournir deux adresses IP pour les machines virtuelles de l’appliance. Celles-ci sont spécifiées comme suit :
- Une plage d’adresses IP
- Deux adresses IP individuelles (une pour chaque machine virtuelle)
Pour garantir la réussite des mises à niveau, toutes les adresses IP de machine virtuelle de l’appliance doivent avoir un accès sortant aux URL requises. Vérifiez que ces URL sont autorisées dans votre réseau.
Liste d’autorisation d’URL de pare-feu/proxy
| service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Serveurs DNS | 53 | Adresses IP de votre serveur DNS | Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Connectivité réseau aux serveurs DNS spécifiés pendant le déploiement pour résoudre les points de terminaison de service requis. |
| Point de terminaison d’API SFS | 443 | msk8s.api.cdp.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Télécharger le catalogue de produits, les bits de produits et les images du système d’exploitation de SFS. |
| Téléchargement de l’image (appliance) du pont de ressources | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Téléchargez les images du système d’exploitation du pont de ressources Arc. |
| Registre de conteneurs Microsoft | 443 | mcr.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Découvrez les images conteneur pour le pont de ressources Arc. |
| Registre de conteneurs Microsoft | 443 | *.data.mcr.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Téléchargez des images conteneur pour Arc Resource Bridge. |
| Serveur Windows NTP | 123 | time.windows.com |
Les IP de machine virtuelle d'appliance et de machine de gestion (si la valeur par défaut d'Hyper-V est Windows NTP) ont besoin d'une connexion sortante sur UDP | Synchronisation de l’heure du système d’exploitation dans la machine virtuelle de l’appliance et la machine de gestion (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Gestion des ressources dans Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour le contrôle d'accès en fonction du rôle (RBAC) Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour mettre à jour les jetons ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour mettre à jour les jetons ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour mettre à jour les jetons ARM. |
| Service de plan de données (appliance) du pont de ressources | 443 | *.dp.prod.appliances.azure.com |
L’adresse IP des machines virtuelles de l’appliance a besoin d’une connexion sortante. | Communiquez avec le fournisseur de ressources dans Azure. |
| Téléchargement de l’image conteneur (appliance) du pont de ressources | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour extraire des images conteneurs. |
| Identité managée | 443 | *.his.arc.azure.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système. |
| Téléchargement de l’image conteneur Azure Arc pour Kubernetes | 443 | azurearcfork8s.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Extraire des images conteneur. |
| Service de télémétrie ADHS | 443 | adhs.events.data.microsoft.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie régulièrement les données de diagnostic requises par Microsoft à partir de la machine virtuelle de l’appliance. |
| Service de données d’événements Microsoft | 443 | v20.events.data.microsoft.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoyer des données de diagnostic à partir de Windows. |
| Collection de journaux pour Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoyer (push) des journaux pour les composants managés de l’appliance. |
| Téléchargement des composants de pont de ressources | 443 | kvamanagementoperator.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Artefacts d’extraction pour les composants managés de l’appliance. |
| Gestionnaire de packages open source Microsoft | 443 | packages.microsoft.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Téléchargez le package d’installation Linux. |
| Emplacement personnalisé | 443 | sts.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour l'emplacement personnalisé. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Requis pour Azure Arc. |
| Données de diagnostic | 443 | gcs.prod.monitoring.core.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Données de diagnostic | 443 | *.prod.microsoftmetrics.com |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Données de diagnostic | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Données de diagnostic | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Envoie périodiquement les données de diagnostic requises par Microsoft. |
| Portail Azure | 443 | *.arc.azure.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Gérez un cluster dans le Portail Azure. |
| Azure Service Bus | 443 | *.servicebus.windows.net |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Les connexions WebSocket sortantes (wss://) doivent être autorisées. | Active le canal de contrôle sécurisé. |
| Azure CLI | 443 | *.blob.core.windows.net |
La machine de gestion a besoin d’une connexion sortante. | Téléchargez le programme d’installation d’Azure CLI. |
| Extension Arc | 443 | *.web.core.windows.net |
La machine de gestion a besoin d’une connexion sortante. | Téléchargez l’extension de pont de ressources Arc. |
| Agent Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La machine de gestion a besoin d’une connexion sortante. | Plan de données utilisé pour l’agent Arc. |
| Paquet Python | 443 |
pypi.org, *.pypi.org |
La machine de gestion a besoin d’une connexion sortante. | Validez les versions de Kubernetes et Python. |
| Azure CLI | 443 |
pythonhosted.org, *.pythonhosted.org |
La machine de gestion a besoin d’une connexion sortante. | Packages Python pour l’installation d’Azure CLI. |
Exigences de connectivité entrante
La communication entre les ports suivants doit être autorisée à partir de la machine de gestion, des adresses IPs de la VM de l'appliance et des adresses IPs du plan de contrôle. Vérifiez que ces ports sont ouverts et que le trafic n’est pas routé via un proxy pour faciliter le déploiement et la maintenance du pont de ressources Arc.
Important
Lors de l’intégration, vous devez fournir deux adresses IP pour les machines virtuelles de l’appliance Arc Resource Bridge, soit sous forme de plage, soit sous la forme de deux adresses IP individuelles. Pour un déploiement, des opérations et des mises à niveau réussis :
- Vérifiez que la communication est autorisée entre l’ordinateur de gestion, les adresses IP de machine virtuelle de l’appliance et les adresses IP du plan de contrôle sur les ports requis, comme indiqué ci-dessous.
- Ne routez pas le trafic via un proxy pour ces connexions.
| service | Port | IP/machine | Direction | Notes |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs et Management machine |
Bidirectionnel | La machine de gestion se connecte sortante aux adresses IP de machine virtuelle de l’appliance. Les adresses IP de machine virtuelle de l’appliance doivent autoriser les connexions entrantes. |
| Serveur d’API Kubernetes | 6443 |
appliance VM IPs et Management machine |
Bidirectionnel | La machine de gestion se connecte sortante aux adresses IP de machine virtuelle de l’appliance. Les adresses IP de machine virtuelle de l’appliance doivent autoriser les connexions entrantes. |
| SSH | 22 |
control plane IP et Management machine |
Bidirectionnel | Utilisés pour déployer et maintenir la machine virtuelle d’appliance. |
| Serveur d’API Kubernetes | 6443 |
control plane IP et Management machine |
Bidirectionnel | Gestion de la machine virtuelle d’appliance. |
| HTTPS | 443 |
private cloud control plane address et Management machine |
La machine de gestion a besoin d’une connexion sortante. | Communication avec un cloud privé (par exemple, adresse VMware vCenter et magasin de données vSphere). |
| Serveur d’API Kubernetes | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (entre eux) |
Bidirectionnel | Obligatoire pour la mise à niveau de machine virtuelle de l’appliance. Vérifiez que toutes les adresses IP de machine virtuelle de l’appliance disposent d’une connectivité sortante entre elles sur ces ports. |
| HTTPS | 443 |
private cloud control plane address et appliance VM IPs |
les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Communication avec un cloud privé (par exemple, adresse VMware vCenter et magasin de données vSphere). |
Pour plus d’informations, consultez configuration réseau requise pour le pont des ressources Azure Arc.
VMware vSphere avec Azure Arc
VMware vSphere avec Azure Arc nécessite également les éléments suivants :
| service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Serveur vCenter | 443 | URL du serveur vCenter | L’IP VM de l’appliance et le point de terminaison du plan de contrôle ont besoin d’une connexion sortante. | Utilisé par le serveur vCenter pour communiquer avec la machine virtuelle de l’appliance et le plan de contrôle. |
| Extension de cluster VMware | 443 | azureprivatecloud.azurecr.io |
Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. | Extrayez des images conteneur pour l’extension de cluster Microsoft.AVS et Microsoft.VMWare. |
| Extensions Azure CLI et Azure CLI | 443 | *.blob.core.windows.net |
La machine de gestion a besoin d’une connexion sortante. | Téléchargez le programme d’installation Azure CLI et les extensions Azure CLI. |
| Azure Resource Manager | 443 | management.azure.com |
La machine de gestion a besoin d’une connexion sortante. | Requis pour créer/mise à jour des ressources dans Azure en utilisant ARM. |
| Graphique Helm pour l’agent Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La machine de gestion a besoin d’une connexion sortante. | Point de terminaison de plan de données pour le téléchargement des informations de configuration des agents Arc. |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
La machine de gestion a besoin d’une connexion sortante. | Requis pour extraire et mettre à jour des jetons Azure Resource Manager. |
Pour plus d’informations, consultez la matrice de prise en charge pour VMware vSphere avec Azure Arc.
System Center Virtual Machine Manager avec Azure Arc
System Center Virtual Machine Manager (SCVMM) avec Azure Arc nécessite également les éléments suivants :
| service | Port | URL | Direction | Notes |
|---|---|---|---|---|
| Serveur d’administration SCVMM | 443 | URL du serveur d’administration SCVMM | L’IP VM de l’appliance et le point de terminaison du plan de contrôle ont besoin d’une connexion sortante. | Utilisé par le serveur SCVMM pour communiquer avec la machine virtuelle de l’appliance et le plan de contrôle. |
Pour plus d’informations, consultez Vue d’ensemble de System Center Virtual Machine Manager avec Arc.
Points de terminaison supplémentaires
Selon votre scénario, vous devrez peut-être vous connecter à d’autres URL, telles que celles utilisées par les Portail Azure, les outils de gestion ou d’autres services Azure. En particulier, passez en revue ces listes pour vous assurer que vous autorisez la connectivité à tous les points de terminaison nécessaires :