Persyaratan jaringan jembatan sumber daya Azure Arc
Artikel ini menjelaskan persyaratan jaringan untuk menyebarkan jembatan sumber daya Azure Arc di perusahaan Anda.
Persyaratan jaringan umum
Jembatan sumber daya Arc berkomunikasi keluar dengan aman ke Azure Arc melalui port TCP 443. Jika alat perlu terhubung melalui firewall atau server proksi untuk berkomunikasi melalui internet, alat akan berkomunikasi keluar menggunakan protokol HTTPS.
Umumnya, persyaratan konektivitas mencakup prinsip-prinsip ini:
- Semua koneksi adalah TCP kecuali ditentukan lain.
- Semua koneksi HTTP menggunakan HTTPS dan SSL/TLS dengan sertifikat yang ditandatangani dan dapat diverifikasi secara resmi.
- Semua koneksi keluar kecuali ditentukan lain.
Untuk menggunakan proksi, verifikasi bahwa agen dan mesin yang melakukan proses onboarding memenuhi persyaratan jaringan dalam artikel ini.
Persyaratan konektivitas keluar
URL firewall dan proksi di bawah ini harus diizinkan untuk mengaktifkan komunikasi dari komputer manajemen, VM Appliance, dan IP Sarana Kontrol ke URL jembatan sumber daya Arc yang diperlukan.
Daftar izin FIREWALL/URL Proksi
| Layanan | Port | URL | Arah | Catatan |
|---|---|---|---|---|
| Titik akhir API SFS | 443 | msk8s.api.cdp.microsoft.com |
Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. | Unduh katalog produk, bit produk, dan gambar OS dari SFS. |
| Pengunduhan gambar jembatan sumber daya (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. | Unduh gambar OS Arc Resource Bridge. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. | Temukan gambar kontainer untuk Arc Resource Bridge. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. | Unduh gambar kontainer untuk Arc Resource Bridge. |
| Windows NTP Server | 123 | time.windows.com |
Komputer manajemen & IP VM appliance (jika default Hyper-V adalah Windows NTP) memerlukan koneksi keluar pada UDP | Sinkronisasi waktu OS di komputer virtual & Manajemen appliance (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. | Mengelola sumber daya di Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. | Diperlukan untuk Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. | Diperlukan untuk memperbarui token ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. | Diperlukan untuk memperbarui token ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Mesin manajemen & IP VM Appliance memerlukan koneksi keluar. | Diperlukan untuk memperbarui token ARM. |
| Layanan Dataplane jembatan sumber daya (appliance) | 443 | *.dp.prod.appliances.azure.com |
IP VM appliance memerlukan koneksi keluar. | Berkomunikasi dengan penyedia sumber daya di Azure. |
| Unduhan gambar kontainer penghubung sumber daya (appliance) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
IP VM appliance memerlukan koneksi keluar. | Diperlukan untuk menarik gambar kontainer. |
| Identitas Terkelola | 443 | *.his.arc.azure.com |
IP VM appliance memerlukan koneksi keluar. | Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem. |
| Unduhan gambar kontainer Azure Arc untuk Kubernetes | 443 | azurearcfork8s.azurecr.io |
IP VM appliance memerlukan koneksi keluar. | Tarik gambar kontainer. |
| Agen Azure Arc | 443 | k8connecthelm.azureedge.net |
IP VM appliance memerlukan koneksi keluar. | menyebarkan agen Azure Arc. |
| Layanan telemetri ADHS | 443 | adhs.events.data.microsoft.com |
IP VM appliance memerlukan koneksi keluar. | Secara berkala mengirim data diagnostik yang diperlukan Microsoft dari VM appliance. |
| Layanan data peristiwa Microsoft | 443 | v20.events.data.microsoft.com |
IP VM appliance memerlukan koneksi keluar. | Kirim data diagnostik dari Windows. |
| Pengumpulan log untuk Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
IP VM appliance memerlukan koneksi keluar. | Mendorong log untuk komponen terkelola Appliance. |
| Unduhan komponen jembatan sumber daya | 443 | kvamanagementoperator.azurecr.io |
IP VM appliance memerlukan koneksi keluar. | Tarik artefak untuk komponen yang dikelola Appliance. |
| Manajer paket Microsoft sumber terbuka | 443 | packages.microsoft.com |
IP VM appliance memerlukan koneksi keluar. | Unduh paket penginstalan Linux. |
| Lokasi Kustom | 443 | sts.windows.net |
IP VM appliance memerlukan koneksi keluar. | Diperlukan untuk Lokasi Kustom. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
IP VM appliance memerlukan koneksi keluar. | Diperlukan untuk Azure Arc. |
| Lokasi Kustom | 443 | k8sconnectcsp.azureedge.net |
IP VM appliance memerlukan koneksi keluar. | Diperlukan untuk Lokasi Kustom. |
| Data diagnosis | 443 | gcs.prod.monitoring.core.windows.net |
IP VM appliance memerlukan koneksi keluar. | Secara berkala mengirim data diagnostik yang diperlukan Microsoft. |
| Data diagnosis | 443 | *.prod.microsoftmetrics.com |
IP VM appliance memerlukan koneksi keluar. | Secara berkala mengirim data diagnostik yang diperlukan Microsoft. |
| Data diagnosis | 443 | *.prod.hot.ingest.monitor.core.windows.net |
IP VM appliance memerlukan koneksi keluar. | Secara berkala mengirim data diagnostik yang diperlukan Microsoft. |
| Data diagnosis | 443 | *.prod.warm.ingest.monitor.core.windows.net |
IP VM appliance memerlukan koneksi keluar. | Secara berkala mengirim data diagnostik yang diperlukan Microsoft. |
| Portal Azure | 443 | *.arc.azure.net |
IP VM appliance memerlukan koneksi keluar. | Mengelola kluster dari portal Azure. |
| Azure CLI & Ekstensi | 443 | *.blob.core.windows.net |
Mesin manajemen membutuhkan koneksi keluar. | Unduh Penginstal dan ekstensi Azure CLI. |
| Agen Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Mesin manajemen membutuhkan koneksi keluar. | Dataplane yang digunakan untuk agen Arc. |
| Paket Python | 443 | pypi.org, *.pypi.org |
Mesin manajemen membutuhkan koneksi keluar. | Validasi versi Kubernetes dan Python. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Mesin manajemen membutuhkan koneksi keluar. | Paket Python untuk penginstalan Azure CLI. |
Persyaratan konektivitas masuk
Komunikasi antara port berikut harus diizinkan dari komputer manajemen, IP VM Appliance, dan IP Sarana Kontrol. Pastikan port ini terbuka dan lalu lintas tidak dirutekan melalui proksi untuk memfasilitasi penyebaran dan pemeliharaan jembatan sumber daya Arc.
| Layanan | Port | IP/mesin | Arah | Catatan |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs dan Management machine |
Dua arah | Digunakan untuk menyebarkan dan memelihara VM appliance. |
| Server API Kubernetes | 6443 | appliance VM IPs dan Management machine |
Bidirectional | Manajemen VM appliance. |
| SSH | 22 | control plane IP dan Management machine |
Dua arah | Digunakan untuk menyebarkan dan memelihara VM appliance. |
| Server API Kubernetes | 6443 | control plane IP dan Management machine |
Bidirectional | Manajemen VM appliance. |
| HTTPS | 443 | private cloud control plane address dan Management machine |
Mesin manajemen membutuhkan koneksi keluar. | Komunikasi dengan sarana kontrol (misalnya: alamat VMware vCenter Server). |
Catatan
URL yang tercantum di sini hanya diperlukan untuk jembatan sumber daya Arc. Produk Arc lainnya (seperti VMware vSphere dengan dukungan Arc) mungkin memiliki URL tambahan yang diperlukan. Untuk detailnya, lihat Persyaratan jaringan Azure Arc.
Rentang IP yang ditunjuk untuk jembatan sumber daya Arc
Saat menyebarkan jembatan sumber daya Arc, rentang IP tertentu dicadangkan secara eksklusif untuk pod dan layanan Kubernetes dalam VM appliance. Rentang IP internal ini tidak boleh tumpang tindih dengan input konfigurasi apa pun untuk penghubung sumber daya, seperti awalan alamat IP, IP sarana kontrol, IP VM appliance, server DNS, server proksi, atau host vSphere ESXi. Untuk detail tentang konfigurasi jembatan sumber daya Arc, lihat persyaratan sistem.
Catatan
Rentang IP yang ditunjuk ini hanya digunakan secara internal dalam jembatan sumber daya Arc. Mereka tidak memengaruhi sumber daya atau jaringan Azure.
| Layanan | Rentang IP yang ditunjuk |
|---|---|
| Pod Kubernetes jembatan sumber daya Arc | 10.244.0.0/16 |
| Layanan Kubernetes jembatan sumber daya Arc | 10.96.0.0/12 |
Konfigurasi proksi SSL
Penting
Arc Resource Bridge hanya mendukung proksi langsung (eksplisit), termasuk proksi yang tidak diautentikasi, proksi dengan autentikasi dasar, proksi penghentian SSL, dan proksi passthrough SSL.
Jika menggunakan proksi, Arc Resource Bridge harus dikonfigurasi untuk menggunakan proksi untuk menyambungkan ke layanan Azure.
Untuk mengonfigurasi jembatan sumber daya Arc dengan proksi, berikan jalur file sertifikat proksi selama pembuatan file konfigurasi.
Format file sertifikat adalah Base-64 yang dikodekan X.509 (. CER).
Hanya berikan sertifikat proksi tunggal. Jika bundel sertifikat diteruskan, penyebaran akan gagal.
Titik akhir server proksi tidak dapat menjadi
.localdomain.Server proksi harus dapat dijangkau dari semua IP dalam awalan alamat IP, termasuk SARANA kontrol dan IP VM appliance.
Hanya ada dua sertifikat yang harus relevan saat menyebarkan jembatan sumber daya Arc di belakang proksi SSL:
Sertifikat SSL untuk proksi SSL Anda (sehingga mesin manajemen dan VM appliance mempercayai FQDN proksi Anda dan dapat membuat koneksi SSL ke dalamnya)
Sertifikat SSL server unduhan Microsoft. Sertifikat ini harus dipercaya oleh server proksi Anda sendiri, karena proksi adalah yang membuat koneksi akhir dan perlu mempercayai titik akhir. Komputer non-Windows mungkin tidak mempercayai sertifikat kedua ini secara default, jadi Anda mungkin perlu memastikan bahwa sertifikat tersebut tepercaya.
Untuk menyebarkan jembatan sumber daya Arc, gambar perlu diunduh ke mesin manajemen dan kemudian diunggah ke galeri cloud privat lokal. Jika server proksi Anda membatasi kecepatan unduhan, Anda mungkin tidak dapat mengunduh gambar yang diperlukan (~3,5 GB) dalam waktu yang dialokasikan (90 menit).
Daftar pengecualian tanpa proksi
Jika server proksi sedang digunakan, tabel berikut berisi daftar alamat yang harus dikecualikan dari proksi dengan mengonfigurasi noProxy pengaturan.
| Alamat IP | Alasan pengecualian |
|---|---|
| localhost, 127.0.0.1 | Lalu lintas localhost |
| .svc | Lalu lintas layanan Kubernetes Internal (.svc) tempat .svc mewakili nama kartubebas. Tindakan ini mirip dengan menyatakan *.svc, tetapi tidak ada yang digunakan dalam skema ini. |
| 10.0.0.0/8 | ruang alamat jaringan privat |
| 172.16.0.0/12 | Ruang alamat jaringan privat - CIDR Layanan Kubernetes |
| 192.168.0.0/16 | Ruang alamat jaringan privat - CIDR Pod Kubernetes |
| contoso.com. | Misalnya, Anda mungkin ingin mengecualikan namespace perusahaan Anda (.contoso.com) agar tidak diarahkan melalui proksi. Untuk mengecualikan semua alamat di dalam domain, Anda perlu menambahkan domain pada daftar noProxy. Gunakan tanda titik di jarak antar baris, bukan karakter kartubebas (*). Dalam sampel, alamat .contoso.com mengecualikan alamat prefix1.contoso.com, prefix2.contoso.com, dan sebagainya. |
Nilai defaultnya untuk noProxy adalah localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Meskipun nilai default ini akan berfungsi untuk banyak jaringan, Anda mungkin perlu menambahkan lebih banyak rentang subnet dan/atau nama ke daftar pengecualian. Misalnya, Anda mungkin ingin mengecualikan namespace layanan perusahaan Anda (.contoso.com) agar tidak diarahkan melalui proksi. Anda dapat memperolehnya dengan cara menetapkan nilai di daftar noProxy.
Penting
Saat mencantumkan beberapa alamat untuk noProxy pengaturan, jangan tambahkan spasi setelah setiap koma untuk memisahkan alamat. Alamat harus segera mengikuti koma.
Mendengarkan port internal
Ketahuilah bahwa VM appliance dikonfigurasi untuk mendengarkan port berikut. Port ini digunakan secara eksklusif untuk proses internal dan tidak memerlukan akses eksternal:
- 8443 – Titik akhir untuk Webhook Autentikasi Microsoft Entra
- 10257 – Titik akhir untuk metrik jembatan sumber daya Arc
- 10250 – Titik akhir untuk metrik jembatan sumber daya Arc
- 2382 – Titik akhir untuk metrik jembatan sumber daya Arc
Langkah berikutnya
- Tinjau gambaran umum jembatan sumber daya Azure Arc untuk memahami selengkapnya tentang persyaratan dan detail teknis.
- Pelajari tentang konfigurasi dan pertimbangan keamanan untuk jembatan sumber daya Azure Arc.
- Lihat tips pemecahan masalah untuk masalah jaringan.