Az Azure Arc erőforráshíd hálózati követelményei
Ez a cikk az Azure Arc-erőforráshíd vállalati üzembe helyezésének hálózati követelményeit ismerteti.
Általános hálózati követelmények
Az Arc erőforráshíd biztonságosan kommunikál az Azure Arc felé a 443-es TCP-porton keresztül. Ha a berendezésnek tűzfalon vagy proxykiszolgálón keresztül kell csatlakoznia az interneten keresztüli kommunikáció céljából, a HTTPS protokollt használja a kimenő kommunikációhoz.
A kapcsolati követelmények általában az alábbi alapelveket tartalmazzák:
- Az összes kapcsolat TCP, kivéve, ha másként van megadva.
- Minden HTTP-kapcsolat https és SSL/TLS protokollt használ hivatalosan aláírt és ellenőrizhető tanúsítványokkal.
- Az összes kapcsolat kimenő, kivéve, ha másként van megadva.
Proxy használatához ellenőrizze, hogy az előkészítési folyamatot végrehajtó ügynökök és a gép megfelelnek-e a jelen cikkben szereplő hálózati követelményeknek.
Kimenő kapcsolatra vonatkozó követelmények
Az alábbi tűzfal- és proxy URL-címeket engedélyezni kell a felügyeleti gépről, a berendezés virtuális gépéről és a vezérlősík IP-címéről a szükséges Arc-erőforráshíd URL-címére való kommunikáció engedélyezéséhez.
Tűzfal/proxy URL-engedélyezési listája
| Szolgáltatás | Port | URL-cím | Direction (Irány) | Jegyzetek |
|---|---|---|---|---|
| SFS API-végpont | 443 | msk8s.api.cdp.microsoft.com |
A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége. | Termékkatalógus, termékbitek és operációsrendszer-rendszerképek letöltése az SFS-ből. |
| Erőforráshíd (berendezés) képének letöltése | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége. | Töltse le az Arc Resource Bridge operációs rendszer lemezképét. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége. | Töltse le az Arc Resource Bridge tárolólemezképét. |
| Windows NTP Server | 123 | time.windows.com |
Felügyeleti gép & berendezés virtuálisgép-IP-címeinek (ha a Hyper-V alapértelmezett Windows NTP) kimenő kapcsolatot igényel az UDP-n | Operációs rendszer időszinkronizálása a berendezés VM > felügyeleti gépében (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége. | Erőforrások kezelése az Azure-ban. |
| Microsoft Graph | 443 | graph.microsoft.com |
A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége. | Az Azure RBAC-hez szükséges. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége. | Arm-jogkivonatok frissítéséhez szükséges. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége. | Arm-jogkivonatok frissítéséhez szükséges. |
| Azure Resource Manager | 443 | login.windows.net |
A felügyeleti gép & berendezés virtuálisgép-IP-címének kimenő kapcsolatra van szüksége. | Arm-jogkivonatok frissítéséhez szükséges. |
| Erőforráshíd (berendezés) Dataplane szolgáltatás | 443 | *.dp.prod.appliances.azure.com |
A berendezés virtuális gépeinek IP-címéhez kimenő kapcsolat szükséges. | Kommunikáció az Azure-beli erőforrás-szolgáltatóval. |
| Erőforráshíd (berendezés) tárolólemezképének letöltése | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Tárolórendszerképek lekéréséhez szükséges. |
| Felügyelt identitás | 443 | *.his.arc.azure.com |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | A rendszer által hozzárendelt felügyelt identitástanúsítványok lekéréséhez szükséges. |
| Az Azure Arc for Kubernetes-tároló lemezképének letöltése | 443 | azurearcfork8s.azurecr.io |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Tárolólemezképek lekérése. |
| Azure Arc-ügynök | 443 | k8connecthelm.azureedge.net |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | üzembe helyezheti az Azure Arc-ügynököt. |
| ADHS telemetriai szolgáltatás | 443 | adhs.events.data.microsoft.com |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat a berendezés virtuális gépéről. |
| Microsoft-események adatszolgáltatása | 443 | v20.events.data.microsoft.com |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Diagnosztikai adatok küldése a Windowsból. |
| Naplógyűjtés az Arc-erőforráshídhoz | 443 | linuxgeneva-microsoft.azurecr.io |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Leküldéses naplók a berendezés által felügyelt összetevőkhöz. |
| Erőforráshíd összetevőinek letöltése | 443 | kvamanagementoperator.azurecr.io |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Lekéréses összetevők a berendezés által felügyelt összetevőkhöz. |
| Microsoft nyílt forráskód csomagkezelő | 443 | packages.microsoft.com |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Töltse le a Linux telepítőcsomagot. |
| Egyéni hely | 443 | sts.windows.net |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Egyéni helyhez szükséges. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Az Azure Archoz szükséges. |
| Egyéni hely | 443 | k8sconnectcsp.azureedge.net |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Egyéni helyhez szükséges. |
| Diagnosztikai adatok | 443 | gcs.prod.monitoring.core.windows.net |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat. |
| Diagnosztikai adatok | 443 | *.prod.microsoftmetrics.com |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat. |
| Diagnosztikai adatok | 443 | *.prod.hot.ingest.monitor.core.windows.net |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat. |
| Diagnosztikai adatok | 443 | *.prod.warm.ingest.monitor.core.windows.net |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Rendszeres időközönként elküldi a Microsoftnak a szükséges diagnosztikai adatokat. |
| Azure Portal | 443 | *.arc.azure.net |
A berendezés virtuálisgép-ip-címének kimenő kapcsolatra van szüksége. | Fürt kezelése az Azure Portalról. |
| Azure CLI > bővítmény | 443 | *.blob.core.windows.net |
A felügyeleti gépnek kimenő kapcsolatra van szüksége. | Töltse le az Azure CLI Installert és a bővítményt. |
| Azure Arc-ügynök | 443 | *.dp.kubernetesconfiguration.azure.com |
A felügyeleti gépnek kimenő kapcsolatra van szüksége. | Az Arc-ügynökhöz használt adatsík. |
| Python-csomag | 443 | pypi.org, *.pypi.org |
A felügyeleti gépnek kimenő kapcsolatra van szüksége. | Kubernetes- és Python-verziók ellenőrzése. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
A felügyeleti gépnek kimenő kapcsolatra van szüksége. | Python-csomagok az Azure CLI telepítéséhez. |
Bejövő kapcsolati követelmények
A következő portok közötti kommunikációt engedélyezni kell a felügyeleti gépről, a berendezés virtuálisgép-IP-címéről és a vezérlősík IP-címéről. Győződjön meg arról, hogy ezek a portok nyitva vannak, és hogy a forgalom nem proxyn keresztül van irányítva az Arc-erőforráshíd üzembe helyezésének és karbantartásának megkönnyítése érdekében.
| Szolgáltatás | Port | IP-cím/gép | Direction (Irány) | Jegyzetek |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs és Management machine |
Kétirányú | A berendezés virtuális gépének üzembe helyezéséhez és karbantartásához használatos. |
| Kubernetes API-kiszolgáló | 6443 | appliance VM IPs és Management machine |
Kétirányú | A berendezés virtuális gépének kezelése. |
| SSH | 22 | control plane IP és Management machine |
Kétirányú | A berendezés virtuális gépének üzembe helyezéséhez és karbantartásához használatos. |
| Kubernetes API-kiszolgáló | 6443 | control plane IP és Management machine |
Kétirányú | A berendezés virtuális gépének kezelése. |
| HTTPS | 443 | private cloud control plane address és Management machine |
A felügyeleti gépnek kimenő kapcsolatra van szüksége. | Kommunikáció vezérlősíkkal (pl. VMware vCenter-cím). |
Feljegyzés
Az itt felsorolt URL-címek csak az Arc erőforráshídhoz szükségesek. Más Arc-termékek (például az Arc-kompatibilis VMware vSphere) további szükséges URL-címekkel rendelkezhetnek. További részletekért tekintse meg az Azure Arc hálózati követelményeit.
SSL-proxy konfigurálása
Fontos
Az Arc Resource Bridge csak a közvetlen (explicit) proxykat támogatja, beleértve a hitelesítés nélküli proxykat, az alapszintű hitelesítéssel rendelkező proxykat, az SSL-lezáró proxykat és az SSL-átengedési proxykat.
Proxy használata esetén az Arc Resource Bridge-et úgy kell konfigurálni, hogy a proxyt használja az Azure-szolgáltatásokhoz való csatlakozáshoz.
Az Arc-erőforráshíd proxyval való konfigurálásához adja meg a proxytanúsítvány fájljának elérési útját a konfigurációs fájlok létrehozása során.
A tanúsítványfájl formátuma Base-64 kódolású X.509 (. CER).
Csak az egyetlen proxytanúsítványt adja át. Ha egy tanúsítványcsomag átadása megtörtént, az üzembe helyezés sikertelen lesz.
A proxykiszolgáló végpontja nem lehet
.localtartomány.A proxykiszolgálónak az IP-címelőtagon belüli összes IP-címről elérhetőnek kell lennie, beleértve a vezérlősíkot és a berendezés virtuálisgép-IP-címeit is.
Csak két tanúsítványnak kell relevánsnak lennie az Arc-erőforráshíd SSL-proxy mögötti üzembe helyezésekor:
SSL-tanúsítvány az SSL-proxyhoz (így a felügyeleti gép és a berendezés virtuális gépe megbízik a proxy teljes tartománynevében, és SSL-kapcsolatot létesíthet vele)
A Microsoft letöltési kiszolgálóinak SSL-tanúsítványa. Ezt a tanúsítványt magának a proxykiszolgálónak kell megbízhatónak lennie, mivel a proxy az, amely a végső kapcsolatot létesíti, és megbízhatónak kell lennie a végpontban. Előfordulhat, hogy a nem Windows rendszerű gépek alapértelmezés szerint nem bíznak meg a második tanúsítványban, ezért előfordulhat, hogy meg kell győződnie arról, hogy megbízható.
Az Arc-erőforráshíd üzembe helyezéséhez a rendszerképeket le kell tölteni a felügyeleti gépre, majd fel kell tölteni a helyszíni magánfelhőtárba. Ha a proxykiszolgáló szabályozza a letöltési sebességet, előfordulhat, hogy a megadott időn belül (90 perc) nem tudja letölteni a szükséges lemezképeket (~3,5 GB).
Proxy nélküli kizárási lista
Proxykiszolgáló használata esetén az alábbi táblázat tartalmazza azoknak a címeknek a listáját, amelyeket a beállítások konfigurálásával ki kell zárni a noProxy proxyból.
| IP Address | A kizárás oka |
|---|---|
| localhost, 127.0.0.1 | Localhost-forgalom |
| .Svc | Belső Kubernetes-szolgáltatásforgalom (.svc), ahol az .svc helyettesítő karaktereket jelöl. Ez hasonló a *.svc kifejezéshez, de ebben a sémában egyik sem használatos. |
| 10.0.0.0/8 | privát hálózati címtér |
| 172.16.0.0/12 | Privát hálózati címtér – Kubernetes Service CIDR |
| 192.168.0.0/16 | Privát hálózati címtér – Kubernetes Pod CIDR |
| contoso.com konfigurálta. | Előfordulhat, hogy a vállalati névteret (.contoso.com) nem szeretné a proxyn keresztül irányítani. A tartomány összes címének kizárásához hozzá kell adnia a tartományt a noProxy listához. Használjon kezdő pontot helyettesítő karakter (*) karakter helyett. A mintában a címek .contoso.com kizárják a címeket prefix1.contoso.com, prefix2.contoso.comés így tovább. |
Az alapértelmezett érték a noProxy következő localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16: . Bár ezek az alapértelmezett értékek számos hálózat esetében működnek, előfordulhat, hogy további alhálózati tartományokat és/vagy neveket kell hozzáadnia a kivétellistához. Előfordulhat például, hogy a vállalati névteret (.contoso.com) nem szeretné a proxyn keresztül irányítani. Ezt a listában szereplő noProxy értékek megadásával érheti el.
Fontos
Ha több címet is felsorol a noProxy beállításokhoz, ne adjon hozzá szóközt az egyes vesszők után a címek elválasztásához. A címeknek azonnal követnie kell a vesszőt.
Belső portfigyelés
Fontos tudnia, hogy a berendezés virtuális gépe a következő portok figyelésére van konfigurálva. Ezeket a portokat kizárólag belső folyamatokhoz használják, és nem igényelnek külső hozzáférést:
8443 – A Microsoft Entra Authentication Webhook végpontja
10257 – Az Arc-erőforráshíd metrikáinak végpontja
10250 – Végpont az Arc-erőforráshíd metrikáihoz
2382 – Végpont az Arc-erőforráshíd metrikáihoz
Következő lépések
- Tekintse át az Azure Arc erőforráshídjának áttekintését a követelményekkel és a műszaki részletekkel kapcsolatos további információkért.
- Ismerje meg az Azure Arc-erőforráshíd biztonsági konfigurációját és szempontjait.
- Hibaelhárítási tippek a hálózatkezelési problémákhoz.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: