Bagikan melalui


Persyaratan jaringan jembatan sumber daya Azure Arc

Artikel ini menjelaskan persyaratan jaringan untuk menyebarkan jembatan sumber daya Azure Arc di perusahaan Anda.

Persyaratan jaringan umum

Jembatan sumber daya Arc berkomunikasi keluar dengan aman ke Azure Arc melalui port TCP 443. Jika alat perlu terhubung melalui firewall atau server proksi untuk berkomunikasi melalui internet, alat akan berkomunikasi keluar menggunakan protokol HTTPS.

Umumnya, persyaratan konektivitas mencakup prinsip-prinsip ini:

  • Semua koneksi adalah TCP kecuali ditentukan lain.
  • Semua koneksi HTTP menggunakan HTTPS dan SSL/TLS dengan sertifikat yang ditandatangani dan dapat diverifikasi secara resmi.
  • Semua koneksi keluar kecuali ditentukan lain.

Untuk menggunakan proksi, verifikasi bahwa agen dan mesin yang melakukan proses onboarding memenuhi persyaratan jaringan dalam artikel ini.

Persyaratan konektivitas keluar

URL firewall dan proksi di bawah ini harus diizinkan untuk mengaktifkan komunikasi dari komputer manajemen, VM Appliance, dan IP Sarana Kontrol ke URL jembatan sumber daya Arc yang diperlukan.

Daftar izin FIREWALL/URL Proksi

Layanan Port URL Arah Catatan
Titik akhir API SFS 443 msk8s.api.cdp.microsoft.com Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. Unduh katalog produk, bit produk, dan gambar OS dari SFS.
Pengunduhan gambar jembatan sumber daya (appliance) 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. Unduh gambar OS Arc Resource Bridge.
Microsoft Container Registry 443 mcr.microsoft.com Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. Temukan gambar kontainer untuk Arc Resource Bridge.
Microsoft Container Registry 443 *.data.mcr.microsoft.com Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. Unduh gambar kontainer untuk Arc Resource Bridge.
Windows NTP Server 123 time.windows.com Komputer manajemen & IP VM appliance (jika default Hyper-V adalah Windows NTP) memerlukan koneksi keluar pada UDP Sinkronisasi waktu OS di komputer virtual & Manajemen appliance (Windows NTP).
Azure Resource Manager 443 management.azure.com Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. Mengelola sumber daya di Azure.
Microsoft Graph 443 graph.microsoft.com Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. Diperlukan untuk Azure RBAC.
Azure Resource Manager 443 login.microsoftonline.com Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. Diperlukan untuk memperbarui token ARM.
Azure Resource Manager 443 *.login.microsoft.com Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. Diperlukan untuk memperbarui token ARM.
Azure Resource Manager 443 login.windows.net Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. Diperlukan untuk memperbarui token ARM.
Layanan Dataplane jembatan sumber daya (appliance) 443 *.dp.prod.appliances.azure.com IP VM appliance memerlukan koneksi keluar. Berkomunikasi dengan penyedia sumber daya di Azure.
Unduhan gambar kontainer penghubung sumber daya (appliance) 443 *.blob.core.windows.net, ecpacr.azurecr.io IP VM appliance memerlukan koneksi keluar. Diperlukan untuk menarik gambar kontainer.
Identitas Terkelola 443 *.his.arc.azure.com IP VM appliance memerlukan koneksi keluar. Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem.
Unduhan gambar kontainer Azure Arc untuk Kubernetes 443 azurearcfork8s.azurecr.io IP VM appliance memerlukan koneksi keluar. Tarik gambar kontainer.
Agen Azure Arc 443 k8connecthelm.azureedge.net IP VM appliance memerlukan koneksi keluar. menyebarkan agen Azure Arc.
Layanan telemetri ADHS 443 adhs.events.data.microsoft.com IP VM appliance memerlukan koneksi keluar. Secara berkala mengirim data diagnostik yang diperlukan Microsoft dari VM appliance.
Layanan data peristiwa Microsoft 443 v20.events.data.microsoft.com IP VM appliance memerlukan koneksi keluar. Kirim data diagnostik dari Windows.
Pengumpulan log untuk Arc Resource Bridge 443 linuxgeneva-microsoft.azurecr.io IP VM appliance memerlukan koneksi keluar. Mendorong log untuk komponen terkelola Appliance.
Unduhan komponen jembatan sumber daya 443 kvamanagementoperator.azurecr.io IP VM appliance memerlukan koneksi keluar. Tarik artefak untuk komponen yang dikelola Appliance.
Manajer paket Microsoft sumber terbuka 443 packages.microsoft.com IP VM appliance memerlukan koneksi keluar. Unduh paket penginstalan Linux.
Lokasi Kustom 443 sts.windows.net IP VM appliance memerlukan koneksi keluar. Diperlukan untuk Lokasi Kustom.
Azure Arc 443 guestnotificationservice.azure.com IP VM appliance memerlukan koneksi keluar. Diperlukan untuk Azure Arc.
Lokasi Kustom 443 k8sconnectcsp.azureedge.net IP VM appliance memerlukan koneksi keluar. Diperlukan untuk Lokasi Kustom.
Data diagnosis 443 gcs.prod.monitoring.core.windows.net IP VM appliance memerlukan koneksi keluar. Secara berkala mengirim data diagnostik yang diperlukan Microsoft.
Data diagnosis 443 *.prod.microsoftmetrics.com IP VM appliance memerlukan koneksi keluar. Secara berkala mengirim data diagnostik yang diperlukan Microsoft.
Data diagnosis 443 *.prod.hot.ingest.monitor.core.windows.net IP VM appliance memerlukan koneksi keluar. Secara berkala mengirim data diagnostik yang diperlukan Microsoft.
Data diagnosis 443 *.prod.warm.ingest.monitor.core.windows.net IP VM appliance memerlukan koneksi keluar. Secara berkala mengirim data diagnostik yang diperlukan Microsoft.
Portal Azure 443 *.arc.azure.net IP VM appliance memerlukan koneksi keluar. Mengelola kluster dari portal Azure.
Azure CLI & Ekstensi 443 *.blob.core.windows.net Mesin manajemen membutuhkan koneksi keluar. Unduh Penginstal dan ekstensi Azure CLI.
Agen Azure Arc 443 *.dp.kubernetesconfiguration.azure.com Mesin manajemen membutuhkan koneksi keluar. Dataplane yang digunakan untuk agen Arc.
Paket Python 443 pypi.org, *.pypi.org Mesin manajemen membutuhkan koneksi keluar. Validasi versi Kubernetes dan Python.
Azure CLI 443 pythonhosted.org, *.pythonhosted.org Mesin manajemen membutuhkan koneksi keluar.  Paket Python untuk penginstalan Azure CLI.

Persyaratan konektivitas masuk

Komunikasi antara port berikut harus diizinkan dari komputer manajemen, IP VM Appliance, dan IP Sarana Kontrol. Pastikan port ini terbuka dan lalu lintas tidak dirutekan melalui proksi untuk memfasilitasi penyebaran dan pemeliharaan jembatan sumber daya Arc.

Layanan Port IP/mesin Arah Catatan
SSH 22 appliance VM IPs dan Management machine Dua arah Digunakan untuk menyebarkan dan memelihara VM appliance.
Server API Kubernetes 6443 appliance VM IPs dan Management machine Bidirectional Manajemen VM appliance.
SSH 22 control plane IP dan Management machine Dua arah Digunakan untuk menyebarkan dan memelihara VM appliance.
Server API Kubernetes 6443 control plane IP dan Management machine Bidirectional Manajemen VM appliance.
HTTPS 443 private cloud control plane address dan Management machine Mesin manajemen membutuhkan koneksi keluar.  Komunikasi dengan sarana kontrol (misalnya: alamat VMware vCenter Server).

Catatan

URL yang tercantum di sini hanya diperlukan untuk jembatan sumber daya Arc. Produk Arc lainnya (seperti VMware vSphere dengan dukungan Arc) mungkin memiliki URL tambahan yang diperlukan. Untuk detailnya, lihat Persyaratan jaringan Azure Arc.

Rentang IP yang ditunjuk untuk jembatan sumber daya Arc

Saat menyebarkan jembatan sumber daya Arc, rentang IP tertentu dicadangkan secara eksklusif untuk pod dan layanan Kubernetes dalam VM appliance. Rentang IP internal ini tidak boleh tumpang tindih dengan input konfigurasi apa pun untuk penghubung sumber daya, seperti awalan alamat IP, IP sarana kontrol, IP VM appliance, server DNS, server proksi, atau host vSphere ESXi. Untuk detail tentang konfigurasi jembatan sumber daya Arc, lihat persyaratan sistem.

Catatan

Rentang IP yang ditunjuk ini hanya digunakan secara internal dalam jembatan sumber daya Arc. Mereka tidak memengaruhi sumber daya atau jaringan Azure.

Layanan Rentang IP yang ditunjuk
Pod Kubernetes jembatan sumber daya Arc 10.244.0.0/16
Layanan Kubernetes jembatan sumber daya Arc 10.96.0.0/12

Konfigurasi proksi SSL

Penting

Arc Resource Bridge hanya mendukung proksi langsung (eksplisit), termasuk proksi yang tidak diautentikasi, proksi dengan autentikasi dasar, proksi penghentian SSL, dan proksi passthrough SSL.

Jika menggunakan proksi, Arc Resource Bridge harus dikonfigurasi untuk menggunakan proksi untuk menyambungkan ke layanan Azure.

  • Untuk mengonfigurasi jembatan sumber daya Arc dengan proksi, berikan jalur file sertifikat proksi selama pembuatan file konfigurasi.

  • Format file sertifikat adalah Base-64 yang dikodekan X.509 (. CER).

  • Hanya berikan sertifikat proksi tunggal. Jika bundel sertifikat diteruskan, penyebaran akan gagal.

  • Titik akhir server proksi tidak dapat menjadi .local domain.

  • Server proksi harus dapat dijangkau dari semua IP dalam awalan alamat IP, termasuk SARANA kontrol dan IP VM appliance.

Hanya ada dua sertifikat yang harus relevan saat menyebarkan jembatan sumber daya Arc di belakang proksi SSL:

  • Sertifikat SSL untuk proksi SSL Anda (sehingga mesin manajemen dan VM appliance mempercayai FQDN proksi Anda dan dapat membuat koneksi SSL ke dalamnya)

  • Sertifikat SSL server unduhan Microsoft. Sertifikat ini harus dipercaya oleh server proksi Anda sendiri, karena proksi adalah yang membuat koneksi akhir dan perlu mempercayai titik akhir. Komputer non-Windows mungkin tidak mempercayai sertifikat kedua ini secara default, jadi Anda mungkin perlu memastikan bahwa sertifikat tersebut tepercaya.

Untuk menyebarkan jembatan sumber daya Arc, gambar perlu diunduh ke mesin manajemen dan kemudian diunggah ke galeri cloud privat lokal. Jika server proksi Anda membatasi kecepatan unduhan, Anda mungkin tidak dapat mengunduh gambar yang diperlukan (~3,5 GB) dalam waktu yang dialokasikan (90 menit).

Daftar pengecualian tanpa proksi

Jika server proksi sedang digunakan, tabel berikut berisi daftar alamat yang harus dikecualikan dari proksi dengan mengonfigurasi noProxy pengaturan.

Alamat IP Alasan pengecualian
localhost, 127.0.0.1 Lalu lintas localhost
.svc Lalu lintas layanan Kubernetes Internal (.svc) tempat .svc mewakili nama kartubebas. Tindakan ini mirip dengan menyatakan *.svc, tetapi tidak ada yang digunakan dalam skema ini.
10.0.0.0/8 ruang alamat jaringan privat
172.16.0.0/12 Ruang alamat jaringan privat - CIDR Layanan Kubernetes
192.168.0.0/16 Ruang alamat jaringan privat - CIDR Pod Kubernetes
contoso.com. Misalnya, Anda mungkin ingin mengecualikan namespace perusahaan Anda (.contoso.com) agar tidak diarahkan melalui proksi. Untuk mengecualikan semua alamat di dalam domain, Anda perlu menambahkan domain pada daftar noProxy. Gunakan tanda titik di jarak antar baris, bukan karakter kartubebas (*). Dalam sampel, alamat .contoso.com mengecualikan alamat prefix1.contoso.com, prefix2.contoso.com, dan sebagainya.

Nilai defaultnya untuk noProxy adalah localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Meskipun nilai default ini akan berfungsi untuk banyak jaringan, Anda mungkin perlu menambahkan lebih banyak rentang subnet dan/atau nama ke daftar pengecualian. Misalnya, Anda mungkin ingin mengecualikan namespace layanan perusahaan Anda (.contoso.com) agar tidak diarahkan melalui proksi. Anda dapat memperolehnya dengan cara menetapkan nilai di daftar noProxy.

Penting

Saat mencantumkan beberapa alamat untuk noProxy pengaturan, jangan tambahkan spasi setelah setiap koma untuk memisahkan alamat. Alamat harus segera mengikuti koma.

Mendengarkan port internal

Ketahuilah bahwa VM appliance dikonfigurasi untuk mendengarkan port berikut. Port ini digunakan secara eksklusif untuk proses internal dan tidak memerlukan akses eksternal:

  • 8443 – Titik akhir untuk Webhook Autentikasi Microsoft Entra
  • 10257 – Titik akhir untuk metrik jembatan sumber daya Arc
  • 10250 – Titik akhir untuk metrik jembatan sumber daya Arc
  • 2382 – Titik akhir untuk metrik jembatan sumber daya Arc

Langkah berikutnya