Az Azure Arc hálózati követelményei

Ez a cikk az Azure Arc-kompatibilis szolgáltatásokhoz és szolgáltatásokhoz szükséges végpontokat, portokat és protokollokat sorolja fel.

A kapcsolati követelmények általában az alábbi alapelveket tartalmazzák:

• Az összes kapcsolat TCP, kivéve, ha másként van megadva.
• Minden HTTP-kapcsolat https és SSL/TLS protokollt használ hivatalosan aláírt és ellenőrizhető tanúsítványokkal.
• Az összes kapcsolat kimenő, kivéve, ha másként van megadva.

Proxy használatához ellenőrizze, hogy az előkészítési folyamatot végrehajtó ügynökök és a gép megfelelnek-e a jelen cikkben szereplő hálózati követelményeknek.

Azure Arc-kompatibilis Kubernetes-végpontok

Az Arc Kubernetes-alapú végpontokhoz való kapcsolódás minden Kubernetes-alapú Arc-ajánlathoz szükséges, beleértve a következőket:

• Azure Arc-kompatibilis Kubernetes
• Azure Arc-kompatibilis appszolgáltatások
• Azure Arc-kompatibilis Machine Learning
• Azure Arc-kompatibilis adatszolgáltatások (csak közvetlen kapcsolati mód)

Azure Cloud

Fontos

Az Azure Arc-ügynökök működéséhez a következő kimenő URL-címek szükségesek https://:443 . Ehhez *.servicebus.windows.netengedélyezni kell a websocketeket a tűzfalon és proxyn való kimenő hozzáféréshez.

Végpont (DNS)	Leírás
https://management.azure.com	Az ügynöknek csatlakoznia kell az Azure-hoz, és regisztrálnia kell a fürtöt.
https://<region>.dp.kubernetesconfiguration.azure.com	Az ügynök adatsíkvégpontja az állapot leküldéséhez és a konfigurációs információk lekéréséhez.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	Az Azure Resource Manager-tokenek beolvasásához és frissítéséhez szükséges.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Az Azure Arc-ügynökök tárolólemezképeinek lekéréséhez szükséges.
https://gbl.his.arc.azure.com	A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges a regionális végpont lekéréséhez.
https://*.his.arc.azure.com	A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges.
https://k8connecthelm.azureedge.net	az connectedk8s connect A Helm 3 használatával üzembe helyezi az Azure Arc-ügynököket a Kubernetes-fürtön. Ez a végpont szükséges a Helm-ügyfél letöltéséhez az ügynök helm-diagramjának üzembe helyezésének megkönnyítéséhez.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	Fürtcsatlakozás és egyéni helyalapú forgatókönyvek esetén.
*.servicebus.windows.net	Fürtcsatlakozás és egyéni helyalapú forgatókönyvek esetén.
https://graph.microsoft.com/	Az Azure RBAC konfigurálásakor szükséges.
*.arc.azure.net	A csatlakoztatott fürtök Azure Portalon való kezeléséhez szükséges.
https://<region>.obo.arc.azure.com:8084/	A Fürtcsatlakozás konfigurálásakor szükséges.
https://linuxgeneva-microsoft.azurecr.io	Azure Arc-kompatibilis Kubernetes-bővítmények használata esetén kötelező.

A helyettesítő karakter adott végpontokra való lefordításához *.servicebus.windows.net használja a következő parancsot:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

A regionális végpont régiószegmensének lekéréséhez távolítsa el az összes szóközt az Azure-régió nevéből. Például az USA 2. keleti régiója, a régió neve .eastus2

Például: *.<region>.arcdataservices.com az USA 2. keleti régiójában kell lennie *.eastus2.arcdataservices.com .

Az összes régió listájának megtekintéséhez futtassa ezt a parancsot:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Fontos

Az Azure Arc-ügynökök működéséhez a következő kimenő URL-címek szükségesek https://:443 . Ehhez *.servicebus.usgovcloudapi.netengedélyezni kell a websocketeket a tűzfalon és proxyn való kimenő hozzáféréshez.

Végpont (DNS)	Leírás
https://management.usgovcloudapi.net	Az ügynöknek csatlakoznia kell az Azure-hoz, és regisztrálnia kell a fürtöt.
https://<region>.dp.kubernetesconfiguration.azure.us	Az ügynök adatsíkvégpontja az állapot leküldéséhez és a konfigurációs információk lekéréséhez.
https://login.microsoftonline.us <region>.login.microsoftonline.us	Az Azure Resource Manager-tokenek beolvasásához és frissítéséhez szükséges.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Az Azure Arc-ügynökök tárolólemezképeinek lekéréséhez szükséges.
https://gbl.his.arc.azure.us	A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges a regionális végpont lekéréséhez.
https://usgv.his.arc.azure.us	A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges.
https://k8connecthelm.azureedge.net	az connectedk8s connect A Helm 3 használatával üzembe helyezi az Azure Arc-ügynököket a Kubernetes-fürtön. Ez a végpont szükséges a Helm-ügyfél letöltéséhez az ügynök helm-diagramjának üzembe helyezésének megkönnyítéséhez.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	Fürtcsatlakozás és egyéni helyalapú forgatókönyvek esetén.
*.servicebus.usgovcloudapi.net	Fürtcsatlakozás és egyéni helyalapú forgatókönyvek esetén.
https://graph.microsoft.com/	Az Azure RBAC konfigurálásakor szükséges.
https://usgovvirginia.obo.arc.azure.us:8084/	A Fürtcsatlakozás konfigurálásakor szükséges.

A helyettesítő karakter adott végpontokra való lefordításához *.servicebus.usgovcloudapi.net használja a következő parancsot:

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

A regionális végpont régiószegmensének lekéréséhez távolítsa el az összes szóközt az Azure-régió nevéből. Például az USA 2. keleti régiója, a régió neve .eastus2

Például: *.<region>.arcdataservices.com az USA 2. keleti régiójában kell lennie *.eastus2.arcdataservices.com .

Az összes régió listájának megtekintéséhez futtassa ezt a parancsot:

az account list-locations -o table

Get-AzLocation | Format-Table

A 21Vianet által üzemeltetett Microsoft Azure

Fontos

Az Azure Arc-ügynökök működéséhez a következő kimenő URL-címek szükségesek https://:443 . Ehhez *.servicebus.chinacloudapi.cnengedélyezni kell a websocketeket a tűzfalon és proxyn való kimenő hozzáféréshez.

Végpont (DNS)	Leírás
https://management.chinacloudapi.cn	Az ügynöknek csatlakoznia kell az Azure-hoz, és regisztrálnia kell a fürtöt.
https://<region>.dp.kubernetesconfiguration.azure.cn	Az ügynök adatsíkvégpontja az állapot leküldéséhez és a konfigurációs információk lekéréséhez.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	Az Azure Resource Manager-tokenek beolvasásához és frissítéséhez szükséges.
mcr.azk8s.cn	Az Azure Arc-ügynökök tárolólemezképeinek lekéréséhez szükséges.
https://gbl.his.arc.azure.cn	A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges a regionális végpont lekéréséhez.
https://*.his.arc.azure.cn	A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges.
https://k8connecthelm.azureedge.net	az connectedk8s connect A Helm 3 használatával üzembe helyezi az Azure Arc-ügynököket a Kubernetes-fürtön. Ez a végpont szükséges a Helm-ügyfél letöltéséhez az ügynök helm-diagramjának üzembe helyezésének megkönnyítéséhez.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	Fürtcsatlakozás és egyéni helyalapú forgatókönyvek esetén.
*.servicebus.chinacloudapi.cn	Fürtcsatlakozás és egyéni helyalapú forgatókönyvek esetén.
https://graph.chinacloudapi.cn/	Az Azure RBAC konfigurálásakor szükséges.
*.arc.azure.cn	A csatlakoztatott fürtök Azure Portalon való kezeléséhez szükséges.
https://<region>.obo.arc.azure.cn:8084/	A Fürtcsatlakozás konfigurálásakor szükséges.
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Tárolóregisztrációs adatbázis proxykiszolgálói Azure China-beli virtuális gépekhez.

További információ: Azure Arc-kompatibilis Kubernetes hálózati követelmények.

Azure Arc-kompatibilis adatszolgáltatások

Ez a szakasz az Azure Arc-kompatibilis adatszolgáltatásokra vonatkozó követelményeket ismerteti a fent felsorolt Arc-kompatibilis Kubernetes-végpontok mellett.

Szolgáltatás	Port	URL-cím	Direction (Irány)	Jegyzetek
Helm-diagram (csak közvetlen csatlakoztatott mód)	443	arcdataservicesrow1.azurecr.io	Kimenő	Az Azure Arc-adatvezérlő rendszerindítóját és fürtszintű objektumait, például egyéni erőforrásdefiníciókat, fürtszerepköröket és fürtszerepkör-kötéseket egy Azure Container Registryből kéri le a rendszer.
Azure monitor API-k 1	443	*.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com	Kimenő	Az Azure Data Studio és az Azure CLI csatlakozik az Azure Resource Manager API-khoz, hogy adatokat küldjön és kérjen le az Azure-ba és az Azure-ból bizonyos funkciókhoz. Lásd: Azure Monitor API-k.
Azure Arc adatfeldolgozási szolgáltatás 1	443	*.<region>.arcdataservices.com 2	Kimenő

¹ A követelmény az üzembe helyezési módtól függ:

• Közvetlen mód esetén a Kubernetes-fürt vezérlő podjának kimenő kapcsolattal kell rendelkeznie a végpontokhoz a naplók, metrikák, leltár és számlázási adatok Azure Monitor/Data Processing Service-nek való elküldéséhez.
• Közvetett mód esetén a futtatott az arcdata dc upload gépnek rendelkeznie kell az Azure Monitor és az Adatfeldolgozási szolgáltatás kimenő kapcsolatával.

^{2 A 2024}. február 13-ig és azt is tartalmazó bővítményverziókhoz használja a következőtsan-af-<region>-prod.azurewebsites.net: .

Azure Monitor API-k

Az Azure Data Studio és a Kubernetes API-kiszolgáló közötti kapcsolat az Ön által létrehozott Kubernetes-hitelesítést és -titkosítást használja. Az Azure Data Studio-t vagy CLI-t használó összes felhasználónak hitelesített kapcsolattal kell rendelkeznie a Kubernetes API-val az Azure Arc-kompatibilis adatszolgáltatásokhoz kapcsolódó műveletek végrehajtásához.

További információ: Kapcsolati módok és követelmények.

Azure Arc-kompatibilis kiszolgálók

Az Arc-kompatibilis kiszolgálóvégpontokhoz való kapcsolódás a következőhöz szükséges:

• Az Azure Arc által engedélyezett SQL Server

• Azure Arc-kompatibilis VMware vSphere ^*

• Azure Arc-kompatibilis System Center Virtual Machine Manager ^*

• Azure Arc-kompatibilis Azure Stack (HCI) ^*

  ^*Csak a vendégkezelés engedélyezéséhez szükséges.

Az Azure Arc-kompatibilis kiszolgálóvégpontok minden kiszolgálóalapú Arc-ajánlathoz szükségesek.

Hálózatkezelési konfiguráció

A Linuxhoz és Windowshoz készült Azure Connected Machine-ügynök biztonságosan kommunikál az Azure Arc felé a 443-es TCP-porton keresztül. Alapértelmezés szerint az ügynök az alapértelmezett internetes útvonalat használja az Azure-szolgáltatások eléréséhez. Ha a hálózat megköveteli, konfigurálhatja az ügynököt proxykiszolgáló használatára. A proxykiszolgálók nem teszik biztonságosabbá a csatlakoztatott gép ügynökét, mert a forgalom már titkosítva van.

Az Azure Archoz való hálózati kapcsolat további védelme érdekében nyilvános hálózatok és proxykiszolgálók használata helyett implementálhat egy Azure Arc privát kapcsolati hatókört .

Feljegyzés

Az Azure Arc-kompatibilis kiszolgálók nem támogatják a Log Analytics-átjáró proxyként való használatát a Csatlakoztatottgép-ügynökhöz. Az Azure Monitor Agent ugyanakkor támogatja a Log Analytics-átjárót.

Ha a tűzfal vagy a proxykiszolgáló korlátozza a kimenő kapcsolatot, győződjön meg arról, hogy az alább felsorolt URL-címek és szolgáltatáscímkék nincsenek letiltva.

Szolgáltatáscímkék

Mindenképpen engedélyezze a következő szolgáltatáscímkék elérését:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Tárolás
• WindowsAdminCenter (ha a Windows Felügyeleti központot használja az Arc-kompatibilis kiszolgálók kezeléséhez)

Az egyes szolgáltatáscímkék/-régiók IP-címeinek listáját az Azure IP-tartományok és szolgáltatáscímkék – nyilvános felhő JSON-fájlban találja. A Microsoft heti frissítéseket tesz közzé, amelyek tartalmazzák az egyes Azure-szolgáltatásokat és az általa használt IP-címtartományokat. A JSON-fájlban található információk az egyes szolgáltatáscímkéknek megfelelő IP-tartományok aktuális időponthoz kötött listája. Az IP-címek változhatnak. Ha a tűzfal konfigurációjához IP-címtartományokra van szükség, akkor az AzureCloud szolgáltatáscímkét kell használni az összes Azure-szolgáltatáshoz való hozzáférés engedélyezéséhez. Ne tiltsa le ezeknek az URL-címeknek a biztonsági monitorozását vagy ellenőrzését, ne engedélyezze őket, ahogyan más internetes forgalmat.

Ha az AzureArcInfrastructure szolgáltatás címkéjére szűri a forgalmat, engedélyeznie kell a teljes szolgáltatáscímke-tartományba történő forgalmat. Az egyes régiókra (például AzureArcInfrastructure.AustraliaEast) meghirdetett tartományok nem tartalmazzák a szolgáltatás globális összetevői által használt IP-tartományokat. A végpontok meghatározott IP-címe idővel változhat a dokumentált tartományokon belül, ezért csak egy keresőeszköz használatával azonosítsa az adott végpont aktuális IP-címét, és az ahhoz való hozzáférés engedélyezése nem lesz elegendő a megbízható hozzáférés biztosításához.

További információ: Virtuális hálózati szolgáltatáscímkék.

URL-címek

Az alábbi táblázat felsorolja azokat az URL-címeket, amelyeknek elérhetőnek kell lenniük a Csatlakoztatottgép-ügynök telepítéséhez és használatához.

Azure Cloud

Feljegyzés

Ha az Azure-hoz csatlakoztatott gépügynököt úgy konfigurálja, hogy privát kapcsolaton keresztül kommunikáljon az Azure-ral, egyes végpontokat továbbra is az interneten keresztül kell elérni. Az alábbi táblázat Privát kapcsolatra képes oszlopa azt mutatja be, hogy mely végpontok konfigurálhatók privát végpontokkal. Ha az oszlopban egy végpont nyilvános , akkor is engedélyeznie kell a végpont elérését a szervezet tűzfalán és/vagy proxykiszolgálóján keresztül ahhoz, hogy az ügynök működjön. A hálózati forgalom privát végponton keresztül lesz irányítva, ha egy privát kapcsolat hatóköre van hozzárendelve.

Ügynök erőforrása	Leírás	Szükség esetén	Privát kapcsolatra képes
aka.ms	A letöltési szkript telepítés közbeni feloldására szolgál	Telepítéskor csak	Nyilvános
download.microsoft.com	A Windows telepítőcsomagjának letöltésére szolgál	Telepítéskor csak	Nyilvános
packages.microsoft.com	A Linux telepítési csomag letöltésére szolgál	Telepítéskor csak	Nyilvános
login.windows.net	Microsoft Entra ID	Mindig	Nyilvános
login.microsoftonline.com	Microsoft Entra ID	Mindig	Nyilvános
pas.windows.net	Microsoft Entra ID	Mindig	Nyilvános
management.azure.com	Azure Resource Manager – az Arc-kiszolgáló erőforrásának létrehozása vagy törlése	Kiszolgáló csatlakoztatása vagy leválasztása esetén csak	Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van
*.his.arc.azure.com	Metaadatok és hibrid identitásszolgáltatások	Mindig	Személyes
*.guestconfiguration.azure.com	Bővítménykezelési és vendégkonfigurációs szolgáltatások	Mindig	Személyes
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez	Mindig	Nyilvános
azgn*.servicebus.windows.net	Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez	Mindig	Nyilvános
*.servicebus.windows.net	Windows Felügyeleti központ és SSH-forgatókönyvek esetén	Ha SSH-t vagy Windows Felügyeleti központot használ az Azure-ból	Nyilvános
*.waconazure.com	A Windows Felügyeleti központ kapcsolatához	Ha a Windows Felügyeleti központot használja	Nyilvános
*.blob.core.windows.net	Az Azure Arc-kompatibilis kiszolgálók bővítményeinek letöltési forrása	Mindig, kivéve, ha privát végpontokat használ	Nem használható a privát kapcsolat konfigurálásakor
dc.services.visualstudio.com	Ügynök telemetriai adatai	Nem kötelező, nem használható az 1.24+-os ügynökverziókban	Nyilvános
*.<region>.arcdataservices.com1	Arc SQL Server esetén. Adatfeldolgozó szolgáltatást, szolgáltatás telemetriát és teljesítményfigyelést küld az Azure-nak. Engedélyezi a TLS 1.3-at.	Mindig	Nyilvános
www.microsoft.com/pkiops/certs	Köztes tanúsítványfrissítések az ESU-khoz (megjegyzés: HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ)	Ha az Azure Arc által engedélyezett ESU-kat használ. Mindig szükség van az automatikus frissítésekre, vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat.	Nyilvános

¹ Az összegyűjtött és elküldött információk részleteiért tekintse át az Azure Arc által engedélyezett SQL Server adatgyűjtését és jelentéskészítését.

A 2024. február 13-ig és a 2024. február 13-ig elérhető bővítményverziókhoz használja a következőt san-af-<region>-prod.azurewebsites.net: . 2024. március 12-től kezdve az Azure Arc-adatfeldolgozás és az Azure Arc-adattelemetria is használható*.<region>.arcdataservices.com.

Feljegyzés

A helyettesítő karakter adott végpontokra való lefordításához *.servicebus.windows.net használja a parancsot \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Ebben a parancsban a régiót meg kell adni a <region> helyőrzőhöz. Ezek a végpontok időnként változhatnak.

A regionális végpont régiószegmensének lekéréséhez távolítsa el az összes szóközt az Azure-régió nevéből. Például az USA 2. keleti régiója, a régió neve .eastus2

Például: *.<region>.arcdataservices.com az USA 2. keleti régiójában kell lennie *.eastus2.arcdataservices.com .

Az összes régió listájának megtekintéséhez futtassa ezt a parancsot:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Feljegyzés

Ha az Azure-hoz csatlakoztatott gépügynököt úgy konfigurálja, hogy privát kapcsolaton keresztül kommunikáljon az Azure-ral, egyes végpontokat továbbra is az interneten keresztül kell elérni. A privát kapcsolat oszlopban használt végpont az alábbi táblázatban azt mutatja be, hogy mely végpontok konfigurálhatók privát végpontokkal. Ha az oszlopban egy végpont nyilvános , akkor is engedélyeznie kell a végpont elérését a szervezet tűzfalán és/vagy proxykiszolgálóján keresztül ahhoz, hogy az ügynök működjön.

Ügynök erőforrása	Leírás	Szükség esetén	Privát kapcsolattal használt végpont
aka.ms	A letöltési szkript telepítés közbeni feloldására szolgál	Telepítéskor csak	Nyilvános
download.microsoft.com	A Windows telepítőcsomagjának letöltésére szolgál	Telepítéskor csak	Nyilvános
packages.microsoft.com	A Linux telepítési csomag letöltésére szolgál	Telepítéskor csak	Nyilvános
login.microsoftonline.us	Microsoft Entra ID	Mindig	Nyilvános
pasff.usgovcloudapi.net	Microsoft Entra ID	Mindig	Nyilvános
management.usgovcloudapi.net	Azure Resource Manager – az Arc-kiszolgáló erőforrásának létrehozása vagy törlése	Kiszolgáló csatlakoztatása vagy leválasztása esetén csak	Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van
*.his.arc.azure.us	Metaadatok és hibrid identitásszolgáltatások	Mindig	Személyes
*.guestconfiguration.azure.us	Bővítménykezelési és vendégkonfigurációs szolgáltatások	Mindig	Személyes
*.blob.core.usgovcloudapi.net	Az Azure Arc-kompatibilis kiszolgálók bővítményeinek letöltési forrása	Mindig, kivéve, ha privát végpontokat használ	Nem használható a privát kapcsolat konfigurálásakor
dc.applicationinsights.us	Ügynök telemetriai adatai	Nem kötelező, nem használható az 1.24+-os ügynökverziókban	Nyilvános
www.microsoft.com/pkiops/certs	Köztes tanúsítványfrissítések az ESU-khoz (megjegyzés: HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ)	Ha az Azure Arc által engedélyezett ESU-kat használ. Mindig szükség van az automatikus frissítésekre, vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat.	Nyilvános

A 21Vianet által üzemeltetett Microsoft Azure

Ügynök erőforrása	Leírás	Szükség esetén
aka.ms	A letöltési szkript telepítés közbeni feloldására szolgál	Telepítéskor csak
download.microsoft.com	A Windows telepítőcsomagjának letöltésére szolgál	Telepítéskor csak
packages.microsoft.com	A Linux telepítési csomag letöltésére szolgál	Telepítéskor csak
login.chinacloudapi.cn	Microsoft Entra ID	Mindig
login.partner.chinacloudapi.cn	Microsoft Entra ID	Mindig
pas.chinacloudapi.cn	Microsoft Entra ID	Mindig
management.chinacloudapi.cn	Azure Resource Manager – az Arc-kiszolgáló erőforrásának létrehozása vagy törlése	Kiszolgáló csatlakoztatása vagy leválasztása esetén csak
*.his.arc.azure.cn	Metaadatok és hibrid identitásszolgáltatások	Mindig
*.guestconfiguration.azure.cn	Bővítménykezelési és vendégkonfigurációs szolgáltatások	Mindig
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez	Mindig
azgn*.servicebus.chinacloudapi.cn	Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez	Mindig
*.servicebus.chinacloudapi.cn	Windows Felügyeleti központ és SSH-forgatókönyvek esetén	Ha SSH-t vagy Windows Felügyeleti központot használ az Azure-ból
*.blob.core.chinacloudapi.cn	Az Azure Arc-kompatibilis kiszolgálók bővítményeinek letöltési forrása	Mindig, kivéve, ha privát végpontokat használ
dc.applicationinsights.azure.cn	Ügynök telemetriai adatai	Nem kötelező, nem használható az 1.24+-os ügynökverziókban

Transport Layer Security 1.2 protokoll

Az Azure-ba átvitt adatok biztonsága érdekében határozottan javasoljuk, hogy konfigurálja a gépet a Transport Layer Security (TLS) 1.2 használatára. A TLS/Secure Sockets Layer (SSL) régebbi verziói sebezhetőnek bizonyultak, és bár jelenleg is dolgoznak a visszamenőleges kompatibilitás érdekében, nem ajánlott.

Platform/nyelv	Támogatás	További információ
Linux	A Linux-disztribúciók általában a TLS 1.2 OpenSSL-támogatására támaszkodnak.	Ellenőrizze az OpenSSL változásnaplóban , hogy az OpenSSL-verzió támogatott-e.
Windows Server 2012 R2 és újabb	Alapértelmezés szerint támogatott és engedélyezett.	Annak ellenőrzéséhez, hogy továbbra is az alapértelmezett beállításokat használja-e.

Csak az ESU végpontjainak részhalmaza

Ha csak az Azure Arc-kompatibilis kiszolgálókat használja a kiterjesztett biztonsági frissítésekhez az alábbi termékek egyikéhez vagy mindkettőhöz:

• Windows Server 2012
• SQL Server 2012

A végpontok alábbi részhalmazát engedélyezheti:

Azure Cloud

Ügynök erőforrása	Leírás	Szükség esetén	Privát kapcsolattal használt végpont
aka.ms	A letöltési szkript telepítés közbeni feloldására szolgál	Telepítéskor csak	Nyilvános
download.microsoft.com	A Windows telepítőcsomagjának letöltésére szolgál	Telepítéskor csak	Nyilvános
login.windows.net	Microsoft Entra ID	Mindig	Nyilvános
login.microsoftonline.com	Microsoft Entra ID	Mindig	Nyilvános
management.azure.com	Azure Resource Manager – az Arc-kiszolgáló erőforrásának létrehozása vagy törlése	Kiszolgáló csatlakoztatása vagy leválasztása esetén csak	Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van
*.his.arc.azure.com	Metaadatok és hibrid identitásszolgáltatások	Mindig	Személyes
*.guestconfiguration.azure.com	Bővítménykezelési és vendégkonfigurációs szolgáltatások	Mindig	Személyes
www.microsoft.com/pkiops/certs	Köztes tanúsítványfrissítések az ESU-khoz (megjegyzés: HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ)	Mindig automatikus frissítésekhez, vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat.	Nyilvános
*.<region>.arcdataservices.com	Azure Arc adatfeldolgozási szolgáltatás és szolgáltatás telemetriai adatok.	SQL Server ESU-k	Nyilvános
*.blob.core.windows.net	Sql Server-bővítménycsomag letöltése	SQL Server ESU-k	Privát hivatkozás használata esetén nem kötelező

Azure Government

Ügynök erőforrása	Leírás	Szükség esetén	Privát kapcsolattal használt végpont
aka.ms	A letöltési szkript telepítés közbeni feloldására szolgál	Telepítéskor csak	Nyilvános
download.microsoft.com	A Windows telepítőcsomagjának letöltésére szolgál	Telepítéskor csak	Nyilvános
login.microsoftonline.us	Microsoft Entra ID	Mindig	Nyilvános
management.usgovcloudapi.net	Azure Resource Manager – az Arc-kiszolgáló erőforrásának létrehozása vagy törlése	Kiszolgáló csatlakoztatása vagy leválasztása esetén csak	Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van
*.his.arc.azure.us	Metaadatok és hibrid identitásszolgáltatások	Mindig	Személyes
*.guestconfiguration.azure.us	Bővítménykezelési és vendégkonfigurációs szolgáltatások	Mindig	Személyes
www.microsoft.com/pkiops/certs	Köztes tanúsítványfrissítések az ESU-khoz (megjegyzés: HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ)	Mindig automatikus frissítésekhez, vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat.	Nyilvános
*.blob.core.usgovcloudapi.net	Sql Server-bővítménycsomag letöltése	SQL Server ESU-k	Privát hivatkozás használata esetén nem kötelező

A 21Vianet által üzemeltetett Microsoft Azure

Feljegyzés

A Windows Server 2012 kiterjesztett biztonsági frissítéséhez használt Azure Arc-kompatibilis kiszolgálók jelenleg nem érhetők el a 21Vianet-régiók által üzemeltetett Microsoft Azure-ban.

További információ: Csatlakoztatottgép-ügynök hálózati követelményei.

Azure Arc-erőforráshíd

Ez a szakasz az Azure Arc-erőforráshíd vállalaton belüli üzembe helyezésére vonatkozó további hálózati követelményeket ismerteti. Ezek a követelmények az Azure Arc-kompatibilis VMware vSphere-re és az Azure Arc-kompatibilis System Center Virtual Machine Managerre is vonatkoznak.

Kimenő kapcsolatra vonatkozó követelmények

Az alábbi tűzfal- és proxy URL-címeket engedélyezni kell a felügyeleti gépről, a berendezés virtuális gépéről és a vezérlősík IP-címéről a szükséges Arc-erőforráshíd URL-címére való kommunikáció engedélyezéséhez.

Tűzfal/proxy URL-engedélyezési listája

Szolgáltatás	Port	URL-cím	Direction (Irány)	Jegyzetek
SFS API-végpont	443	msk8s.api.cdp.microsoft.com	A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége.	Termékkatalógus, termékbitek és operációsrendszer-rendszerképek letöltése az SFS-ből.
Erőforráshíd (berendezés) képének letöltése	443	msk8s.sb.tlu.dl.delivery.mp.microsoft.com	A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége.	Töltse le az Arc Resource Bridge operációs rendszer lemezképét.
Microsoft Container Registry	443	mcr.microsoft.com	A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége.	Töltse le az Arc Resource Bridge tárolólemezképét.
Windows NTP Server	123	time.windows.com	Felügyeleti gép & berendezés virtuálisgép-IP-címeinek (ha a Hyper-V alapértelmezett Windows NTP) kimenő kapcsolatot igényel az UDP-n	Operációs rendszer időszinkronizálása a berendezés VM > felügyeleti gépében (Windows NTP).
Azure Resource Manager	443	management.azure.com	A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége.	Erőforrások kezelése az Azure-ban.
Microsoft Graph	443	graph.microsoft.com	A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége.	Az Azure RBAC-hez szükséges.
Azure Resource Manager	443	login.microsoftonline.com	A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége.	Arm-jogkivonatok frissítéséhez szükséges.
Azure Resource Manager	443	*.login.microsoft.com	A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége.	Arm-jogkivonatok frissítéséhez szükséges.
Azure Resource Manager	443	login.windows.net	A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége.	Arm-jogkivonatok frissítéséhez szükséges.
Erőforráshíd (berendezés) Dataplane szolgáltatás	443	*.dp.prod.appliances.azure.com	A berendezés virtuális gépeinek IP-címéhez kimenő kapcsolat szükséges.	Kommunikáció az Azure-beli erőforrás-szolgáltatóval.
Erőforráshíd (berendezés) tárolólemezképének letöltése	443	*.blob.core.windows.net, ecpacr.azurecr.io	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Tárolórendszerképek lekéréséhez szükséges.
Felügyelt identitás	443	*.his.arc.azure.com	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges.
Az Azure Arc for Kubernetes-tároló lemezképének letöltése	443	azurearcfork8s.azurecr.io	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Tárolólemezképek lekérése.
Azure Arc-ügynök	443	k8connecthelm.azureedge.net	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	üzembe helyezheti az Azure Arc-ügynököt.
ADHS telemetriai szolgáltatás	443	adhs.events.data.microsoft.com	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat a berendezés virtuális gépéről.
Microsoft-események adatszolgáltatása	443	v20.events.data.microsoft.com	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Diagnosztikai adatok küldése a Windowsból.
Naplógyűjtés az Arc-erőforráshídhoz	443	linuxgeneva-microsoft.azurecr.io	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Leküldéses naplók a berendezés által felügyelt összetevőkhöz.
Erőforráshíd összetevőinek letöltése	443	kvamanagementoperator.azurecr.io	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Lekéréses összetevők a berendezés által felügyelt összetevőkhöz.
Microsoft nyílt forráskód csomagkezelő	443	packages.microsoft.com	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Töltse le a Linux telepítőcsomagot.
Egyéni hely	443	sts.windows.net	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Egyéni helyhez szükséges.
Azure Arc	443	guestnotificationservice.azure.com	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Az Azure Archoz szükséges.
Egyéni hely	443	k8sconnectcsp.azureedge.net	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Egyéni helyhez szükséges.
Diagnosztikai adatok	443	gcs.prod.monitoring.core.windows.net	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat.
Diagnosztikai adatok	443	*.prod.microsoftmetrics.com	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat.
Diagnosztikai adatok	443	*.prod.hot.ingest.monitor.core.windows.net	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat.
Diagnosztikai adatok	443	*.prod.warm.ingest.monitor.core.windows.net	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat.
Azure Portal	443	*.arc.azure.net	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Fürt kezelése az Azure Portalról.
Azure CLI > bővítmény	443	*.blob.core.windows.net	A felügyeleti gépnek kimenő kapcsolatra van szüksége.	Töltse le az Azure CLI Installert és a bővítményt.
Azure Arc-ügynök	443	*.dp.kubernetesconfiguration.azure.com	A felügyeleti gépnek kimenő kapcsolatra van szüksége.	Az Arc-ügynökhöz használt adatsík.
Python-csomag	443	pypi.org, *.pypi.org	A felügyeleti gépnek kimenő kapcsolatra van szüksége.	Kubernetes- és Python-verziók ellenőrzése.
Azure CLI	443	pythonhosted.org, *.pythonhosted.org	A felügyeleti gépnek kimenő kapcsolatra van szüksége.	Python-csomagok az Azure CLI telepítéséhez.

Bejövő kapcsolati követelmények

A következő portok közötti kommunikációt engedélyezni kell a felügyeleti gépről, a berendezés virtuálisgép-IP-címéről és a vezérlősík IP-címéről. Győződjön meg arról, hogy ezek a portok nyitva vannak, és hogy a forgalom nem proxyn keresztül van irányítva az Arc-erőforráshíd üzembe helyezésének és karbantartásának megkönnyítése érdekében.

Szolgáltatás	Port	IP-cím/gép	Direction (Irány)	Jegyzetek
SSH	22	appliance VM IPs és Management machine	Kétirányú	A berendezés virtuális gépének üzembe helyezéséhez és karbantartásához használatos.
Kubernetes API-kiszolgáló	6443	appliance VM IPs és Management machine	Kétirányú	A berendezés virtuális gépének kezelése.
SSH	22	control plane IP és Management machine	Kétirányú	A berendezés virtuális gépének üzembe helyezéséhez és karbantartásához használatos.
Kubernetes API-kiszolgáló	6443	control plane IP és Management machine	Kétirányú	A berendezés virtuális gépének kezelése.
HTTPS	443	private cloud control plane address és Management machine	A felügyeleti gépnek kimenő kapcsolatra van szüksége.	Kommunikáció vezérlősíkkal (pl. VMware vCenter-cím).

További információkért lásd az Azure Arc erőforráshíd hálózati követelményeit.

Azure Arc-kompatibilis VMware vSphere

Az Azure Arc-kompatibilis VMware vSphere a következőket is igényli:

Szolgáltatás	Port	URL-cím	Direction (Irány)	Jegyzetek
vCenter Server	443	A vCenter-kiszolgáló URL-címe	A berendezés virtuális gép IP-címe és a vezérlősík végpontja kimenő kapcsolatot igényel.	A vCenter-kiszolgáló a Berendezés virtuális géppel és a vezérlősíkkal való kommunikációhoz használja.
VMware-fürtbővítmény	443	azureprivatecloud.azurecr.io	A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége.	Tárolólemezképek lekérése a Microsoft.VMWare-hez és a Microsoft.AVS-fürtbővítményhez.
Azure CLI- és Azure CLI-bővítmények	443	*.blob.core.windows.net	A felügyeleti gépnek kimenő kapcsolatra van szüksége.	Töltse le az Azure CLI Installert és az Azure CLI-bővítményeket.
Azure Resource Manager	443	management.azure.com	A felügyeleti gépnek kimenő kapcsolatra van szüksége.	Az azure-beli erőforrások ARM használatával történő létrehozásához/frissítéséhez szükséges.
Helm-diagram az Azure Arc-ügynökökhöz	443	*.dp.kubernetesconfiguration.azure.com	A felügyeleti gépnek kimenő kapcsolatra van szüksége.	Adatsíkvégpont az Arc-ügynökök konfigurációs adatainak letöltéséhez.
Azure CLI	443	- login.microsoftonline.com - aka.ms	A felügyeleti gépnek kimenő kapcsolatra van szüksége.	Az Azure Resource Manager-tokenek beolvasásához és frissítéséhez szükséges.

További információt az Azure Arc-kompatibilis VMware vSphere támogatási mátrixában talál.

Azure Arc-kompatibilis System Center Virtual Machine Manager

Az Azure Arc-kompatibilis System Center Virtual Machine Manager (SCVMM) a következőket is igényli:

Szolgáltatás	Port	URL-cím	Direction (Irány)	Jegyzetek
SCVMM felügyeleti kiszolgáló	443	Az SCVMM felügyeleti kiszolgáló URL-címe	A berendezés virtuális gép IP-címe és a vezérlősík végpontja kimenő kapcsolatot igényel.	Az SCVMM-kiszolgáló a Berendezés virtuális géppel és a vezérlősíkkal való kommunikációhoz használja.

További információ: Az Arc-kompatibilis System Center Virtual Machine Manager áttekintése.

További végpontok

A forgatókönyvtől függően szükség lehet más URL-címekre, például az Azure Portal, a felügyeleti eszközök vagy más Azure-szolgáltatások által használt URL-címekre. Különösen tekintse át ezeket a listákat, és győződjön meg arról, hogy engedélyezi a szükséges végpontokhoz való kapcsolódást:

• Az Azure Portal URL-címei
• Azure CLI-végpontok proxy megkerüléséhez