Requisiti di rete del bridge di risorse di Azure Arc
Questo articolo descrive i requisiti di rete per la distribuzione del bridge di risorse di Azure Arc nell'azienda.
Requisiti di rete generali
Il bridge di risorse Arc comunica in uscita in modo sicuro ad Azure Arc sulla porta TCP 443. Se l'appliance deve connettersi tramite un firewall o un server proxy per comunicare tramite Internet, comunica in uscita usando il protocollo HTTPS.
In genere, i requisiti di connettività includono i principi seguenti:
- Tutte le connessioni sono TCP, se non diversamente specificato.
- Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
- Tutte le connessioni sono in uscita, se non diversamente specificato.
Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.
Connettività in uscita
Gli URL del firewall e del proxy seguenti devono essere compresi nell'elenco elementi consentiti per abilitare la comunicazione dal computer di gestione, dalla macchina virtuale dell'appliance e dall'IP del piano di controllo agli URL necessari del bridge di risorse di Arc.
Elenco di indirizzi consentiti dell'URL del firewall/proxy
Servizio | Porta | URL | Direzione | Note |
---|---|---|---|---|
Endpoint API SFS | 443 | msk8s.api.cdp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare il catalogo dei prodotti, i bit di prodotto e le immagini del sistema operativo da SFS. |
Download dell'immagine del bridge di risorse (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del sistema operativo del bridge di risorse di Arc. |
Registro Container Microsoft | 443 | mcr.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del contenitore per il bridge di risorse di Arc. |
Server NTP Windows | 123 | time.windows.com |
Gli indirizzi IP delle macchine virtuali di gestione e dell'appliance (se l'impostazione predefinita di Hyper-V è Windows NTP) richiedono una connessione in uscita in UDP | Sincronizzazione dell'ora del sistema operativo nella macchina virtuale dell'appliance e nel computer di gestione (NTP Windows). |
Azure Resource Manager | 443 | management.azure.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Gestire le risorse in Azure. |
Microsoft Graph | 443 | graph.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per il controllo degli accessi in base al ruolo di Azure. |
Azure Resource Manager | 443 | login.microsoftonline.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
Azure Resource Manager | 443 | *.login.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
Azure Resource Manager | 443 | login.windows.net |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
Servizio Dataplane del bridge di risorse (appliance) | 443 | *.dp.prod.appliances.azure.com |
L'IP delle macchine virtuali dell'appliance richiede una connessione in uscita. | Comunicare con il provider di risorse in Azure. |
Download dell'immagine del contenitore del bridge di risorse (appliance) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull delle immagini del contenitore. |
Identità gestita | 443 | *.his.arc.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema. |
Download dell'immagine del contenitore di Azure Arc per Kubernetes | 443 | azurearcfork8s.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull delle immagini del contenitore. |
Agente Azure Arc | 443 | k8connecthelm.azureedge.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | distribuire l'agente di Azure Arc. |
Servizio di telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft dalla macchina virtuale dell'appliance. |
Servizio dati degli eventi Microsoft | 443 | v20.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Inviare dati di diagnostica da Windows. |
Raccolta di log per il bridge di risorse di Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il push dei log per i componenti gestiti dell'appliance. |
Download dei componenti del bridge di risorse | 443 | kvamanagementoperator.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull degli artefatti per i componenti gestiti dell'appliance. |
Gestione pacchetti open source di Microsoft | 443 | packages.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Scaricare il pacchetto di installazione di Linux. |
Percorso personalizzato | 443 | sts.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per la posizione personalizzata. |
Azure Arc | 443 | guestnotificationservice.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per Azure Arc. |
Percorso personalizzato | 443 | k8sconnectcsp.azureedge.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per la posizione personalizzata. |
Dati di diagnostica | 443 | gcs.prod.monitoring.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
Dati di diagnostica | 443 | *.prod.microsoftmetrics.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
Dati di diagnostica | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
Dati di diagnostica | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
Azure portal | 443 | *.arc.azure.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Gestire il cluster da portale di Azure. |
Interfaccia della riga di comando e estensione di Azure | 443 | *.blob.core.windows.net |
Il computer di gestione richiede la connessione in uscita. | Scaricare il programma di installazione e l'estensione dell'interfaccia della riga di comando di Azure. |
Agente di Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Il computer di gestione richiede la connessione in uscita. | Dataplane usato per l'agente Arc. |
Pacchetto Python | 443 | pypi.org , *.pypi.org |
Il computer di gestione richiede la connessione in uscita. | Convalidare le versioni di Kubernetes e Python. |
Interfaccia della riga di comando di Azure | 443 | pythonhosted.org , *.pythonhosted.org |
Il computer di gestione richiede la connessione in uscita. | Installazione dei pacchetti Python per l'interfaccia della riga di comando di Azure. |
SSH | 22 | Arc resource bridge appliance VM IPs |
Il computer di gestione richiede la connessione in uscita. | Usato per la risoluzione dei problemi della macchina virtuale dell'appliance. |
Server API Kubernetes | 6443 | Arc resource bridge appliance VM IPs |
Il computer di gestione richiede la connessione in uscita. | Gestione della macchina virtuale dell'appliance. |
Nota
Gli URL elencati di seguito sono necessari solo per il bridge di risorse Arc. Altri prodotti Arc, ad esempio VMware vSphere abilitati per Arc, possono avere URL aggiuntivi obbligatori. Per informazioni dettagliate, vedere Requisiti di rete di Azure Arc.
Configurazione del proxy SSL
Se si usa un proxy, il bridge di risorse Arc deve essere configurato per il proxy in modo che possa connettersi ai servizi di Azure.
Per configurare il bridge di risorse Arc con proxy, specificare il percorso del file del certificato proxy durante la creazione dei file di configurazione.
Il formato del file di certificato è con codifica Base 64 X.509 (. CER).
Passare solo il certificato proxy singolo. Se viene passato un bundle di certificati, la distribuzione avrà esito negativo.
L'endpoint server proxy non può essere un
.local
dominio.Il server proxy deve essere raggiungibile da tutti gli INDIRIZZI IP all'interno del prefisso dell'indirizzo IP, inclusi gli INDIRIZZI IP del piano di controllo e dell'appliance.
Quando si distribuisce il bridge di risorse Arc dietro un proxy SSL, sono necessari solo due certificati:
Certificato SSL per il proxy SSL (in modo che il computer di gestione e la macchina virtuale dell'appliance considerino attendibile il nome di dominio completo del proxy e possa stabilire una connessione SSL)
Certificato SSL dei server di download Microsoft. Questo certificato deve essere considerato attendibile dal server proxy stesso, perché il proxy è quello che stabilisce la connessione finale e deve considerare attendibile l'endpoint. I computer non Windows potrebbero non considerare attendibile questo secondo certificato per impostazione predefinita, pertanto potrebbe essere necessario assicurarsi che sia attendibile.
Per distribuire Il bridge di risorse Arc, le immagini devono essere scaricate nel computer di gestione e quindi caricate nella raccolta cloud privato locale. Se il server proxy limita la velocità di download, potrebbe non essere possibile scaricare le immagini richieste (~3,5 GB) entro il tempo assegnato (90 minuti).
Elenco di esclusione per nessun proxy
Se viene usato un server proxy, la tabella seguente contiene l'elenco di indirizzi che devono essere esclusi dal proxy configurando le noProxy
impostazioni.
Indirizzo IP | Motivo dell'esclusione |
---|---|
localhost, 127.0.0.1 | Traffico localhost |
.Svc | Traffico interno del servizio Kubernetes (con estensione svc) in cui .svc rappresenta un nome con caratteri jolly. Questo è simile a *.svc, ma nessuno viene usato in questo schema. |
10.0.0.0/8 | spazio indirizzi di rete privato |
172.16.0.0/12 | Spazio indirizzi di rete privata - CIDR del servizio Kubernetes |
192.168.0.0/16 | Spazio indirizzi di rete privata - CIDR pod Kubernetes |
.contoso.com | È possibile esentare lo spazio dei nomi dell'organizzazione (con estensione contoso.com) dall'essere indirizzato tramite il proxy. Per escludere tutti gli indirizzi in un dominio, è necessario aggiungere il dominio all'elenco noProxy . Usare un punto iniziale anziché un carattere jolly (*) . Nell'esempio gli indirizzi .contoso.com escludono gli prefix1.contoso.com indirizzi , prefix2.contoso.com e così via. |
Il valore predefinito per noProxy
è localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
. Anche se questi valori predefiniti funzioneranno per molte reti, potrebbe essere necessario aggiungere altri intervalli di subnet e/o nomi all'elenco di esenzioni. Ad esempio, è possibile esentare lo spazio dei nomi dell'organizzazione (con estensione contoso.com) dall'essere indirizzato tramite il proxy. A tale scopo, è possibile specificare i valori nell'elenco noProxy
.
Importante
Quando si elencano più indirizzi per le noProxy
impostazioni, non aggiungere uno spazio dopo ogni virgola per separare gli indirizzi. Gli indirizzi devono seguire immediatamente le virgole.
Ascolto delle porte interne
Si noti che la macchina virtuale dell'appliance è configurata per l'ascolto sulle porte seguenti. Queste porte vengono usate esclusivamente per i processi interni e non richiedono l'accesso esterno:
8443 - Endpoint per il webhook di autenticazione AAD
10257 - Endpoint per le metriche del bridge di risorse Arc
10250 - Endpoint per le metriche del bridge di risorse Arc
2382 - Endpoint per le metriche del bridge di risorse Arc
Passaggi successivi
- Per altre informazioni sui requisiti e i dettagli tecnici, vedere la panoramica del bridge di risorse di Azure Arc.
- Informazioni sulla configurazione e sulle considerazioni sulla sicurezza per il bridge di risorse di Azure Arc.
- Visualizzare i suggerimenti per la risoluzione dei problemi di rete.