Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca gli endpoint, le porte e i protocolli necessari per i servizi e le funzionalità abilitati per Azure Arc.
In genere, i requisiti di connettività includono i principi seguenti:
- Tutte le connessioni sono TCP, se non diversamente specificato.
- Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
- Tutte le connessioni sono in uscita, se non diversamente specificato.
Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.
Suggerimento
Per il cloud pubblico di Azure, è possibile ridurre il numero di endpoint necessari usando il gateway Azure Arc per i server abilitati per Arc o Kubernetes abilitato per Arc.
Endpoint Kubernetes abilitati per Azure Arc
La connettività agli endpoint basati su Arc Kubernetes è necessaria per tutte le offerte Arc basate su Kubernetes, tra cui:
- Kubernetes con abilitazione di Azure Arc
- App Azure Container in Azure Arc
- Machine Learning abilitato per Azure Arc
- Servizi dati abilitati per Azure Arc (solo modalità di connettività diretta)
Importante
Per il funzionamento degli agenti di Azure Arc sono necessari gli URL in uscita seguenti su https://:443.
Per *.servicebus.windows.net, i web socket devono essere abilitati per l'accesso in uscita nel firewall e nel proxy.
| Endpoint del DNS | Descrizione |
|---|---|
https://management.azure.com |
Necessario per consentire all'agente di connettersi ad Azure e registrare il cluster. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Endpoint del piano dati che consente all'agente di eseguire il push dello stato e recuperare le informazioni di configurazione. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Obbligatorio per recuperare e aggiornare i token di Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Obbligatorio per il pull delle immagini del contenitore per gli agenti di Azure Arc |
dl.k8s.io |
Obbligatorio per scaricare i file binari kubectl durante l'onboarding di Azure Arc tramite l'estensione connectedk8s dell'interfaccia della riga di comando di Azure. |
https://gbl.his.arc.azure.com |
Obbligatorio per ottenere l'endpoint a livello di area per il pull dei certificati di identità gestita assegnata dal sistema. |
https://*.his.arc.azure.com |
Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.net |
Per Cluster Connect e per scenari basati sulla posizione personalizzata. |
*.servicebus.windows.net |
Per Cluster Connect e per scenari basati sulla posizione personalizzata. |
https://graph.microsoft.com/ |
Obbligatorio quando è configurato il controllo degli accessi in base al ruolo di Azure. |
*.arc.azure.net |
Obbligatorio per gestire i cluster connessi nel portale di Azure. |
https://<region>.obo.arc.azure.com:8084/ |
Obbligatorio quando è configurato Cluster Connect e Controllo degli accessi in base al ruolo di Azure. |
https://linuxgeneva-microsoft.azurecr.io |
Obbligatorio se si usano le estensioni Kubernetes abilitate per Azure Arc. |
Per convertire il carattere jolly *.servicebus.windows.net in endpoint specifici, usare il comando:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.
Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.
Per visualizzare un elenco di tutte le aree, eseguire questo comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Per altre informazioni, vedere Requisiti di rete Kubernetes abilitati per Azure Arc.
Servizi dati abilitati per Azure Arc
Questa sezione descrive i requisiti specifici per i servizi dati abilitati per Azure Arc, oltre agli endpoint Kubernetes abilitati per Arc elencati in precedenza.
| Assistenza | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Grafico Helm (solo modalità connessa diretta) | 443 | arcdataservicesrow1.azurecr.io |
In uscita | Esegue il provisioning del programma di avvio automatico del controller dei dati di Azure Arc e degli oggetti a livello di cluster, ad esempio definizioni di risorse personalizzate, ruoli del cluster e associazioni di ruoli del cluster, viene eseguito il pull da un Registro Azure Container. |
| API di monitoraggio di Azure 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
In uscita | Azure Data Studio e l'interfaccia della riga di comando di Azure si connettono alle API di Azure Resource Manager per inviare e recuperare dati da e verso Azure per alcune funzionalità. Vedere API di Monitoraggio di Azure. |
| Servizio di elaborazione dati di Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
In uscita |
1 Il requisito dipende dalla modalità di distribuzione:
- Per la modalità diretta, il pod controller nel cluster Kubernetes deve avere connettività in uscita verso gli endpoint per inviare i log, le metriche, l'inventario e le informazioni di fatturazione a Monitoraggio di Azure/Servizio di elaborazione dati.
- Per la modalità indiretta, il computer che esegue
az arcdata dc uploaddeve avere la connettività in uscita verso Monitoraggio di Azure e verso il servizio di elaborazione dati.
2 Per le versioni dell'estensione fino al 13 febbraio 2024, usare san-af-<region>-prod.azurewebsites.net.
API di monitoraggio di Azure
La connettività da Azure Data Studio al server API Kubernetes usa l'autenticazione e la crittografia kubernetes stabilita. Ogni utente che usa Azure Data Studio o l'interfaccia della riga di comando deve avere una connessione autenticata verso l'API Kubernetes per eseguire molte delle azioni correlate ai servizi dati abilitati per Azure Arc.
Per altre informazioni, vedere Requisiti e modalità di connessione.
Server con abilitazione di Azure Arc
La connettività agli endpoint server abilitati per Arc è necessaria per:
SQL Server abilitato da Azure Arc.
VMware vSphere abilitato per Azure Arc *
System Center Virtual Machine Manager abilitato per Azure Arc *
Azure Stack (HCI) abilitato per Azure Arc *
*Obbligatorio solo per la gestione guest abilitata.
Gli endpoint server abilitati per Azure Arc sono necessari per tutte le offerte di Azure Arc basate su server.
Configurazione della rete
L'agente di Azure Connected Machine per Linux e Windows comunica in modo sicuro in uscita con Azure Arc sulla porta TCP 443. Per impostazione predefinita, l'agente usa la route predefinita verso Internet per raggiungere i servizi di Azure. Facoltativamente , è possibile configurare l'agente per l'uso di un server proxy se la rete lo richiede. I server proxy non rendono l'agente di Connected Machine più sicuro perché il traffico è già crittografato.
Per proteggere ulteriormente la connettività di rete ad Azure Arc, invece di usare reti pubbliche e server proxy, è possibile implementare un ambito di collegamento privato di Azure Arc.
Nota
I server abilitati per Azure Arc non supportano l'uso di un gateway di Log Analytics come proxy per l'agente connected machine. Allo stesso tempo, l'agente di Monitoraggio di Azure supporta i gateway di Log Analytics.
Se il firewall o il server proxy limita la connettività in uscita, assicurarsi che gli URL e i tag di servizio elencati qui non siano bloccati.
Tag di servizio
Assicurarsi di consentire l'accesso ai tag di servizio seguenti:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(se si usa Windows Admin Center per gestire i server abilitati per Azure Arc)
Per un elenco di indirizzi IP per ogni tag/area del servizio, vedere il file JSON Intervalli IP e tag di servizio di Azure - Cloud pubblico. Microsoft pubblica gli aggiornamenti settimanali che contengono ogni servizio di Azure e gli intervalli IP usati. Le informazioni nel file JSON sono l'elenco temporizzato corrente degli intervalli IP che corrispondono a ogni tag di servizio. Gli indirizzi IP sono soggetti a modifiche. Se per la configurazione del firewall sono necessari intervalli di indirizzi IP, usare il tag del AzureCloud servizio per consentire l'accesso a tutti i servizi di Azure. Non disabilitare il monitoraggio della sicurezza o l'analisi di questi URL. Consentili come si farebbe con altri traffico Internet.
Se si filtra il traffico verso il tag di AzureArcInfrastructure servizio, è necessario consentire il traffico verso l'intervallo di tag di servizio completo. Gli intervalli annunciati per singole aree, ad esempio , AzureArcInfrastructure.AustraliaEastnon includono gli intervalli IP usati dai componenti globali del servizio. L'indirizzo IP specifico risolto per questi endpoint può cambiare nel tempo entro gli intervalli documentati. Per questo motivo, l'uso di uno strumento di ricerca per identificare l'indirizzo IP corrente per un endpoint specifico e consentire l'accesso solo a tale indirizzo IP non è sufficiente per garantire l'accesso affidabile.
Per altre informazioni, vedere Tag del servizio di rete virtuale.
Importante
Per filtrare il traffico in base agli indirizzi IP in Azure per enti pubblici o in Azure gestito da 21Vianet, assicurarsi di aggiungere gli indirizzi IP dal tag del AzureArcInfrastructure servizio per il cloud pubblico di Azure, oltre a usare il AzureArcInfrastructure tag di servizio per il cloud. Dopo il 28 ottobre 2025, l'aggiunta del tag di servizio per il AzureArcInfrastructure cloud pubblico di Azure sarà necessaria e i tag di servizio per Azure per enti pubblici e Azure gestiti da 21Vianet non saranno più supportati.
URL
Questa tabella elenca gli URL che devono essere disponibili per l'installazione e l'uso dell'agente Connected Machine.
Nota
Quando si configura l'agente connected machine per comunicare con Azure tramite un collegamento privato, è comunque necessario accedere ad alcuni endpoint tramite Internet. La colonna Collegamento privato con supporto nella tabella seguente mostra gli endpoint che è possibile configurare con un endpoint privato. Se la colonna mostra Pubblico per un endpoint, è comunque necessario consentire l'accesso a tale endpoint tramite il firewall e/o il server proxy della propria organizzazione affinché l'agente funzioni. Il traffico di rete viene instradato tramite endpoint privati se viene assegnato un ambito di collegamento privato.
| Risorsa dell'agente | Descrizione | Se necessario | Collegamento privato in grado di supportare |
|---|---|---|---|
download.microsoft.com |
Usato per scaricare il pacchetto di installazione di Windows. | Solo in fase di installazione. 1 | Pubblico. |
packages.microsoft.com |
Usato per scaricare il pacchetto di installazione di Linux. | Solo in fase di installazione. 1 | Pubblico. |
login.microsoftonline.com |
Microsoft Entra ID. | Sempre. | Pubblico. |
*.login.microsoft.com |
Microsoft Entra ID. | Sempre. | Pubblico. |
pas.windows.net |
Microsoft Entra ID. | Sempre. | Pubblico. |
management.azure.com |
Azure Resource Manager viene usato per creare o eliminare la risorsa del server Azure Arc. | Solo quando ci si connette o si disconnette un server. | Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse . |
*.his.arc.azure.com |
Metadati e servizi di identità ibrida. | Sempre. | Privato. |
*.guestconfiguration.azure.com |
Gestione delle estensioni e servizi di configurazione guest. | Sempre. | Privato. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servizio di notifica per scenari di estensione e connettività. | Sempre. | Pubblico. |
azgn*.servicebus.windows.net o *.servicebus.windows.net |
Servizio di notifica per scenari di estensione e connettività. | Sempre. | Pubblico. |
*.servicebus.windows.net |
Per scenari Windows Admin Center e Secure Shell (SSH). | Se si usa SSH o Windows Admin Center da Azure. | Pubblico. |
*.waconazure.com |
Per la connettività di Windows Admin Center. | Se usi Windows Admin Center. | Pubblico. |
*.blob.core.windows.net |
Scaricare l'origine per le estensioni del server abilitate per Azure Arc. | Sempre, tranne quando si usano endpoint privati. | Non utilizzato quando viene configurato un collegamento privato. |
dc.services.visualstudio.com |
Telemetria dell'agente. | Optional. Non usato nelle versioni dell'agente 1.24+. | Pubblico. |
*.<region>.arcdataservices.com
2 |
Per SQL Server abilitato per Azure Arc. Invia il servizio di elaborazione dati, i dati di telemetria del servizio e il monitoraggio delle prestazioni ad Azure. Consente solo Transport Layer Security (TLS) 1.2 o 1.3. | Se si usa SQL Server abilitato per Azure Arc. | Pubblico. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Per l'autenticazione di Microsoft Entra con SQL Server abilitato per Azure Arc. | Se si usa SQL Server abilitato per Azure Arc. | Pubblico. |
www.microsoft.com/pkiops/certs |
Aggiornamenti intermedi dei certificati per gli aggiornamenti della sicurezza estesi (usa HTTP/TCP 80 e HTTPS/TCP 443). | Se si usano gli aggiornamenti della sicurezza estesi abilitati da Azure Arc. È sempre necessario per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati. | Pubblico. |
dls.microsoft.com |
Usato dai computer Azure Arc per eseguire la convalida delle licenze. | Obbligatorio quando si usano hotpatching, i vantaggi di Windows Server Azure o la fatturazione con pagamento in base al consumo di Windows Server nei computer abilitati per Azure Arc. | Pubblico. |
1 L'accesso a questo URL è necessario anche quando gli aggiornamenti vengono eseguiti automaticamente.
2 Per informazioni dettagliate sulle informazioni raccolte e inviate, vedere Raccolta dati e creazione di report per SQL Server abilitato da Azure Arc.
Per le versioni di estensione fino al 13 febbraio 2024, usare san-af-<region>-prod.azurewebsites.net. A partire dal 12 marzo 2024, sia l'elaborazione dati di Azure Arc che i dati di telemetria di Azure Arc usano *.<region>.arcdataservices.com.
Nota
Per convertire il carattere jolly *.servicebus.windows.net in endpoint specifici, usare il comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. All'interno di questo comando, l'area deve essere specificata per il segnaposto <region>. Questi endpoint possono cambiare periodicamente.
Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.
Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.
Per visualizzare un elenco di tutte le aree, eseguire questo comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolli crittografici
Per garantire la sicurezza dei dati in transito in Azure, è consigliabile configurare i computer per l'uso di TLS 1.2 e 1.3. Le versioni precedenti di TLS/Secure Sockets Layer (SSL) sono state rilevate come vulnerabili. Anche se attualmente funzionano ancora per consentire la compatibilità con le versioni precedenti, non sono consigliate.
A partire dalla versione 1.56 dell'agente Connected Machine (solo Windows), i pacchetti di crittografia seguenti devono essere configurati per almeno una delle versioni TLS consigliate:
TLS 1.3 (gruppi in ordine preferito dal server):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bit RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 bit RSA) FS
TLS 1.2 (gruppi in ordine preferito dal server):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15360 bit RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bit RSA) FS
Per altre informazioni, vedere Problemi di configurazione di Windows TLS.
L'istanza di SQL Server abilitata dagli endpoint di Azure Arc che si trovano in *.\<region\>.arcdataservices.com supportano solo TLS 1.2 e 1.3. Solo Windows Server 2012 R2 e versioni successive hanno il supporto per TLS 1.2. SQL Server abilitato dall'endpoint di telemetria di Azure Arc non è supportato per Windows Server 2012 o Windows Server 2012 R2.
| Piattaforma/linguaggio | Supporto tecnico | Maggiori informazioni |
|---|---|---|
| Linux | Le distribuzioni Linux si basano generalmente su OpenSSL per supportare TLS 1.2. | Controllare il log delle modifiche OpenSSL per verificare che la versione di OpenSSL sia supportata. |
| Windows Server 2012 R2 e versioni successive | Supportato e abilitato per impostazione predefinita. | Verificare di usare ancora le impostazioni predefinite. |
| Windows Server 2012 | Parzialmente supportato. Non consigliato. | Alcuni endpoint funzionano ancora, ma altri endpoint richiedono TLS 1.2 o versione successiva, che non è disponibile in Windows Server 2012. |
Subset di endpoint solo per ESU
Se si usano server abilitati per Azure Arc solo per gli aggiornamenti della sicurezza estesi per uno o entrambi i prodotti seguenti:
- Windows Server 2012
- SQL Server 2012
È possibile abilitare il sottoinsieme di endpoint seguente.
| Risorsa dell'agente | Descrizione | Se necessario | Endpoint utilizzati con collegamento privato |
|---|---|---|---|
download.microsoft.com |
Usato per scaricare il pacchetto di installazione di Windows. | Solo in fase di installazione. 1 | Pubblico. |
login.windows.net |
Microsoft Entra ID. | Sempre. | Pubblico. |
login.microsoftonline.com |
Microsoft Entra ID. | Sempre. | Pubblico. |
*.login.microsoft.com |
Microsoft Entra ID. | Sempre. | Pubblico. |
management.azure.com |
Azure Resource Manager viene usato per creare o eliminare la risorsa del server Azure Arc. | Solo quando ci si connette o si disconnette un server. | Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse . |
*.his.arc.azure.com |
Metadati e servizi di identità ibrida. | Sempre. | Privato. |
*.guestconfiguration.azure.com |
Gestione delle estensioni e servizi di configurazione guest. | Sempre. | Privato. |
www.microsoft.com/pkiops/certs |
Aggiornamenti intermedi dei certificati per gli aggiornamenti della sicurezza estesi (usa HTTP/TCP 80 e HTTPS/TCP 443). | Sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati. | Pubblico. |
*.<region>.arcdataservices.com |
Servizio di elaborazione dati di Azure Arc telemetria del servizio. | Aggiornamenti della sicurezza estesa di SQL Server. | Pubblico. |
*.blob.core.windows.net |
Scaricare il pacchetto dell'estensione SQL Server. | Aggiornamenti della sicurezza estesa di SQL Server. | Non obbligatorio se si usa collegamento privato di Azure. |
1 L'accesso a questo URL è necessario anche quando si eseguono automaticamente gli aggiornamenti.
Per altre informazioni, vedere Requisiti di rete dell'agente di Azure Connected Machine.
Bridge di risorse di Azure Arc
Questa sezione descrive i requisiti di rete aggiuntivi specifici per la distribuzione del bridge di risorse di Azure Arc nell'azienda. Questi requisiti si applicano anche a VMware vSphere abilitato per Azure Arc e a System Center Virtual Machine Manager abilitato per Azure Arc.
Requisiti di connettività in uscita
Gli URL del firewall e del proxy seguenti devono essere consentiti per abilitare la comunicazione dal computer di gestione, dalla macchina virtuale del bridge di risorse Arc (inizialmente distribuita), dalla MACCHINA virtuale arc resource bridge 2 (l'aggiornamento crea una nuova macchina virtuale usando un indirizzo IP di macchina virtuale diverso) e dall'INDIRIZZO IP del piano di controllo per gli URL del bridge di risorse Arc necessari.
Importante
Quando si esegue l'onboarding di Arc Resource Bridge, è necessario specificare due indirizzi IP per le macchine virtuali dell'appliance. Questi valori vengono specificati come segue:
- Intervallo di indirizzi IP
- Due indirizzi IP singoli (uno per ogni macchina virtuale)
Per garantire l'esito positivo degli aggiornamenti, tutti gli indirizzi IP delle macchine virtuali dell'appliance devono avere accesso in uscita agli URL necessari. Assicurarsi che questi URL siano consentiti nella rete.
Elenco di indirizzi consentiti dell'URL del firewall/proxy
| Assistenza | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Endpoint API SFS | 443 | msk8s.api.cdp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare il catalogo dei prodotti, i bit di prodotto e le immagini del sistema operativo da SFS. |
| Download dell'immagine del bridge di risorse (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del sistema operativo del bridge di risorse di Arc. |
| Registro Container Microsoft | 443 | mcr.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Individuare le immagini del contenitore per il bridge di risorse Arc. |
| Registro Container Microsoft | 443 | *.data.mcr.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del contenitore per il bridge di risorse di Arc. |
| Server NTP Windows | 123 | time.windows.com |
Gli IP della macchina di gestione e della macchina virtuale dell’appliance (se l'impostazione predefinita di Hyper-V è NTP Windows) richiedono una connessione in uscita in UDP | Sincronizzazione dell'ora del sistema operativo nella macchina virtuale dell'appliance e nel computer di gestione (NTP Windows). |
| Azure Resource Manager | 443 | management.azure.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Gestire le risorse in Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per il controllo degli accessi in base al ruolo di Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Servizio Dataplane del bridge di risorse (appliance) | 443 | *.dp.prod.appliances.azure.com |
L'IP delle macchine virtuali dell'appliance richiede una connessione in uscita. | Comunicare con il provider di risorse in Azure. |
| Download dell'immagine del contenitore del bridge di risorse (appliance) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull delle immagini del contenitore. |
| Identità gestita | 443 | *.his.arc.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema. |
| Download dell'immagine del contenitore di Azure Arc per Kubernetes | 443 | azurearcfork8s.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull delle immagini del contenitore. |
| Servizio di telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft dalla macchina virtuale dell'appliance. |
| Servizio dati degli eventi Microsoft | 443 | v20.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Inviare dati di diagnostica da Windows. |
| Raccolta di log per il bridge di risorse di Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il push dei log per i componenti gestiti dell'appliance. |
| Download dei componenti del bridge di risorse | 443 | kvamanagementoperator.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull degli artefatti per i componenti gestiti dell'appliance. |
| Gestione pacchetti open source di Microsoft | 443 | packages.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Scaricare il pacchetto di installazione di Linux. |
| Posizione personalizzata | 443 | sts.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per la posizione personalizzata. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per Azure Arc. |
| Dati di diagnostica | 443 | gcs.prod.monitoring.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.microsoftmetrics.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Azure portal | 443 | *.arc.azure.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Gestire il cluster dal portale di Azure. |
| Bus di servizio di Azure | 443 | *.servicebus.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Le connessioni WebSocket in uscita (wss://) devono essere consentite. | Abilita il canale di controllo sicuro. |
| Interfaccia della riga di comando di Azure | 443 | *.blob.core.windows.net |
Il computer di gestione richiede la connessione in uscita. | Scaricare il programma di installazione dell'interfaccia della riga di comando di Azure. |
| Estensione Arc | 443 | *.web.core.windows.net |
Il computer di gestione richiede la connessione in uscita. | Scaricare l'estensione del bridge di risorse Arc. |
| Agente Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Il computer di gestione richiede la connessione in uscita. | Dataplane usato per l'agente Arc. |
| Pacchetto Python | 443 |
pypi.org, *.pypi.org |
Il computer di gestione richiede la connessione in uscita. | Convalidare le versioni di Kubernetes e Python. |
| Interfaccia della riga di comando di Azure | 443 |
pythonhosted.org, *.pythonhosted.org |
Il computer di gestione richiede la connessione in uscita. | Installazione dei pacchetti Python per l'interfaccia della riga di comando di Azure. |
Requisiti di connettività in entrata
Le comunicazioni tra le porte seguenti devono essere consentite dal computer di gestione, dagli IP della macchina virtuale dell'appliance e dagli IP del piano di controllo. Assicurarsi che queste porte siano aperte e che il traffico non venga instradato tramite un proxy per facilitare la distribuzione e la manutenzione del bridge di risorse Arc.
Importante
Durante l'onboarding, è necessario specificare due indirizzi IP per le macchine virtuali dell'appliance Arc Resource Bridge, ovvero come intervallo o come due indirizzi IP singoli. Per una corretta distribuzione, operazioni e aggiornamenti:
- Assicurarsi che sia consentita la comunicazione tra il computer di gestione, gli INDIRIZZI IP delle macchine virtuali dell'appliance e gli INDIRIZZI IP del piano di controllo sulle porte necessarie, come indicato di seguito.
- Non instradare il traffico attraverso un proxy per queste connessioni.
| Assistenza | Porta | IP/computer | Direzione | Note |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs e Management machine |
Bidirezionale | Il computer di gestione si connette in uscita agli indirizzi IP delle macchine virtuali dell'appliance. Gli indirizzi IP delle macchine virtuali dell'appliance devono consentire le connessioni in ingresso. |
| Server API Kubernetes | 6443 |
appliance VM IPs e Management machine |
Bidirezionale | Il computer di gestione si connette in uscita agli indirizzi IP delle macchine virtuali dell'appliance. Gli indirizzi IP delle macchine virtuali dell'appliance devono consentire le connessioni in ingresso. |
| SSH | 22 |
control plane IP e Management machine |
Bidirezionale | Usato per la distribuzione e la gestione della macchina virtuale dell'appliance. |
| Server API Kubernetes | 6443 |
control plane IP e Management machine |
Bidirezionale | Gestione della macchina virtuale dell'appliance. |
| HTTPS | 443 |
private cloud control plane address e Management machine |
Il computer di gestione richiede la connessione in uscita. | Comunicazione con il cloud privato (ad esempio, indirizzo VMware vCenter e archivio dati vSphere). |
| Server API Kubernetes | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (l'uno all'altro) |
Bidirezionale | Obbligatorio per l'aggiornamento della macchina virtuale dell'appliance. Assicurarsi che tutti gli indirizzi IP delle macchine virtuali dell'appliance abbiano connettività in uscita tra loro su queste porte. |
| HTTPS | 443 |
private cloud control plane address e appliance VM IPs |
gli indirizzi IP delle macchine virtuali dell'appliance richiedono una connessione in uscita. | Comunicazione con il cloud privato (ad esempio, indirizzo VMware vCenter e archivio dati vSphere). |
Per altre informazioni, vedere Requisiti di rete del bridge di risorse di Azure Arc.
VMware vSphere con abilitazione di Azure Arc
VMware vSphere abilitato per Azure Arc richiede anche:
| Assistenza | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Server vCenter | 443 | URL di server vCenter | L'IP della macchina virtuale dell'appliance e l'endpoint del piano di controllo richiedono una connessione in uscita. | Usata da server vCenter per comunicare con la macchina virtuale dell'appliance e il piano di controllo. |
| Estensione del cluster VMware | 443 | azureprivatecloud.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull delle immagini del contenitore per Microsoft.VMWare e l'estensione cluster Microsoft.AVS. |
| Estensioni dell'interfaccia della riga di comando di Azure e dell'interfaccia della riga di comando di Azure | 443 | *.blob.core.windows.net |
Il computer di gestione richiede la connessione in uscita. | Scaricare il programma di installazione dell'interfaccia della riga di comando di Azure e le estensioni dell'interfaccia della riga di comando di Azure. |
| Azure Resource Manager | 443 | management.azure.com |
Il computer di gestione richiede la connessione in uscita. | Obbligatorio per creare/aggiornare le risorse in Azure tramite ARM. |
| Grafico Helm per gli agenti di Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Il computer di gestione richiede la connessione in uscita. | Endpoint del piano dati per il download delle informazioni di configurazione degli agenti Arc. |
| Interfaccia della riga di comando di Azure | 443 | - login.microsoftonline.com - aka.ms |
Il computer di gestione richiede la connessione in uscita. | Obbligatorio per recuperare e aggiornare i token di Azure Resource Manager. |
Per altre informazioni, vedere Matrice di supporto per VMware vSphere abilitata per Azure Arc.
System Center Virtual Machine Manager con abilitazione di Azure Arc
Anche System Center Virtual Machine Manager (SCVMM) abilitato per Azure Arc richiede:
| Assistenza | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Server di gestione SCVMM | 443 | URL del server di gestione SCVMM | L'IP della macchina virtuale dell'appliance e l'endpoint del piano di controllo richiedono una connessione in uscita. | Usato dal server SCVMM per comunicare con la macchina virtuale dell'appliance e il piano di controllo. |
Per altre informazioni, vedere Panoramica di System Center Virtual Machine Manager abilitato per Arc.
Altri endpoint
A seconda dello scenario, potrebbe essere necessaria la connettività ad altri URL, ad esempio quelli usati dalla portale di Azure, dagli strumenti di gestione o da altri servizi di Azure. In particolare, esaminare questi elenchi per assicurarsi di consentire la connettività a tutti gli endpoint necessari: