Azure Arc のネットワーク要件

  • [アーティクル]

この記事では、Azure Arc 対応のサービスと機能に必要なエンドポイント、ポート、プロトコルのリストを示します。

一般に、接続要件には次の原則が含まれます。

  • 特に指定がない限り、すべての接続は TCP です。
  • すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
  • 特に指定がない限り、すべての接続はアウトバウンドです。

プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。

Azure Arc 対応 Kubernetes エンドポイント

Kubernetes ベースのすべての Arc オファリングに、次のような Arc Kubernetes ベースのエンドポイントへの接続が必要です。

  • Azure Arc 対応 Kubernetes
  • Azure Arc 対応アプリ サービス
  • Azure Arc 対応機械学習
  • Azure Arc 対応データ サービス (直接接続モードのみ)

重要

Azure Arc エージェントが機能するには、https://:443 に次の送信 URL が必要です。 *.servicebus.windows.net の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。

エンドポイント (DNS) 説明
https://management.azure.com エージェントが Azure に接続し、クラスターを登録するために必要です。
https://<region>.dp.kubernetesconfiguration.azure.com エージェントが状態をプッシュして構成情報をフェッチするためのデータ プレーン エンドポイント。
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 Azure Resource Manager トークンをフェッチし、更新するために必要です。
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 Azure Arc エージェント用のコンテナー イメージをプルするために必要です。
https://gbl.his.arc.azure.com システム割り当て管理 ID 証明書をプルするためリージョン エンドポイントを取得するために必要です。
https://*.his.arc.azure.com システム割り当てマネージド ID 証明書をプルするために必須。
https://k8connecthelm.azureedge.net az connectedk8s connect では、Helm 3 を使用して、Kubernetes クラスターに Azure Arc エージェントをデプロイします。 このエンドポイントは、エージェント Helm chart のデプロイを容易にするために、Helm クライアントのダウンロードに必要です。
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。
*.servicebus.windows.net クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。
https://graph.microsoft.com/ Azure RBAC が構成されている場合は必須です。
*.arc.azure.net Azure portal 内の接続されているクラスターを管理する場合は必須です。
https://<region>.obo.arc.azure.com:8084/ クラスター接続が構成されている場合は必須です。
dl.k8s.io 自動エージェント アップグレードが有効になっている場合は必須です。

*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、このコマンドを使用します。

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。

たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。

すべてのリージョンの一覧を表示するには、このコマンドを実行します。

az account list-locations -o table

Get-AzLocation | Format-Table

詳細については、Azure Arc 対応 Kubernetes ネットワークの要件に関する記事を参照してください。

Azure Arc 対応データ サービス

このセクションでは、上記の Arc 対応 Kubernetes エンドポイントに加えて、Azure Arc 対応データ サービスに固有の要件について説明します。

サービス [ポート] URL 方向 メモ
Helm chart (直接接続モードのみ) 443 arcdataservicesrow1.azurecr.io 送信 Azure Arc データ コントローラーのブートストラッパーとクラスター レベルのオブジェクト (カスタム リソース定義、クラスター ロール、クラスター ロール バインディングなど) をプロビジョニングし、Azure Container Registry からプルされます。
Azure Monitor API * 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com		 送信 一部の機能では、Azure との間でデータを送受信するために、Azure Data Studio および Azure CLI が Azure Resource Manager API に接続します。 「Azure Monitor API」をご覧ください。
Azure Arc データ処理サービス * 443 *.<region>.arcdataservices.com2 発信

1 要件は、デプロイ モードによって異なります。

  • 直接モードの場合、Kubernetes クラスター上のコントローラー ポッドには、ログ、メトリック、インベントリ、課金情報を Azure Monitor とデータ処理サービスに送信するために、エンドポイントへのアウトバウンド接続が必要です。
  • 間接モードの場合、az arcdata dc upload を実行するマシンには、Azure Monitor とデータ処理サービスへのアウトバウンド接続が必要です。

22024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net を使用してください。

Azure Monitor API

Azure Data Studio から Kubernetes API サーバーへの接続には、確立した Kubernetes 認証および暗号化が使用されます。 Azure Data Studio または CLI を使用している各ユーザーは、Azure Arc 対応データ サービスに関連した多くのアクションを実行するために、Kubernetes API への認証された接続を持っている必要があります。

詳細については、「接続モードと要件」を参照してください。

Azure Arc 対応サーバー

次の場合、Arc 対応サーバー エンドポイントへの接続が必要です。

  • Azure Arcによって有効化された SQL Server

  • Azure Arc 対応 VMware vSphere *

  • Azure Arc 対応 System Center Virtual Machine Manager *

  • Azure Arc 対応 Azure Stack (HCI) *

    *ゲスト管理が有効になっている場合にのみ必須です。

サーバー ベースのすべての Arc オファリングには、Azure Arc 対応サーバー エンドポイントが必要です。

ネットワークの構成

Linux および Windows 用の Azure Connected Machine エージェントは、TCP ポート 443 を介して Azure Arc へのアウトバウンド通信を安全に行います。 既定では、エージェントはインターネットへの既定のルートを使用して Azure サービスに接続します。 ネットワークで必要とされる場合に、プロキシ サーバーを使用するようにエージェントを構成することもできます。 トラフィックは既に暗号化されているため、プロキシ サーバーによって Connected Machine Agent のセキュリティが強化されることはありません。

Azure Arc へのネットワーク接続をさらにセキュリティで保護するために、パブリック ネットワークとプロキシ サーバーを使用する代わりに、Azure Arc プライベート リンク スコープを実装できます。

Note

Azure Arc 対応サーバーでは、Connected Machine エージェントのプロキシとして Log Analytics ゲートウェイを使用することはサポートされていません。 同時に、Azure Monitor エージェントは Log Analytics ゲートウェイをサポートします。

アウトバウンド接続がファイアウォールやプロキシ サーバーによって制限されている場合は、以下に示す URL とサービス タグがブロックされていないことを確認してください。

サービス タグ

次のサービス タグへのアクセスを許可してください。

各サービス タグ/リージョンの IP アドレスの一覧については、「Azure IP 範囲とサービス タグ – パブリック クラウド」という JSON ファイルを参照してください。 Microsoft では、各 Azure サービスとそれが使用する IP 範囲を含む更新プログラムを毎週発行しています。 JSON ファイル内のこの情報は、各サービス タグに対応する現在の特定時点の IP 範囲の一覧です。 IP アドレスは変更される可能性があります。 ファイアウォール構成に IP アドレス範囲が必要な場合は、AzureCloud サービス タグを使用して、すべての Azure サービスへのアクセスを許可してください。 これらの URL のセキュリティ監視または検査を無効にせず、他のインターネット トラフィックと同様に許可してください。

AzureArcInfrastructure サービス タグへのトラフィックをフィルター処理する場合は、完全なサービス タグ範囲へのトラフィックを許可する必要があります。 AzureArcInfrastructure.AustraliaEast など、個々のリージョンに対してアドバタイズされた範囲には、サービスのグローバル コンポーネントで使用される IP 範囲は含まれません。 これらのエンドポイントに対して解決される特定の IP アドレスは、文書化された範囲内で時間の経過と同時に変化する可能性があるため、参照ツールを使用して特定のエンドポイントの現在の IP アドレスを識別するだけでは、信頼性の高いアクセスを確保するには、そのエンドポイントへのアクセスを許可するだけでは不十分です。

詳細については、「仮想ネットワーク サービス タグ」を参照してください。

URL

次の表は、Connected Machine エージェントをインストールして使用するために、利用可能にする必要がある URL を示したものです。

Note

プライベート リンクを介して Azure と通信するように Azure 接続マシン エージェントを構成する場合、一部のエンドポイントにはインターネット経由で引き続きアクセスする必要があります。 次の表のプライベート リンク列で使用されるエンドポイントは、プライベート エンドポイントを使用して構成できるエンドポイントを示しています。 この列にエンドポイントとしてパブリックが表示されている場合でも、エージェントが機能するためには、組織のファイアウォールやプロキシ サーバーを介してそのエンドポイントへのアクセスを許可する必要があります。

エージェントのリソース 説明 必要な場合 プライベート リンクで使用されるエンドポイント
aka.ms インストール中にダウンロード スクリプトを解決するために使用されます インストール時のみ パブリック
download.microsoft.com Windows のインストール パッケージをダウンロードするために使用されます インストール時のみ パブリック
packages.microsoft.com Linux インストール パッケージをダウンロードするために使用されます インストール時のみ パブリック
login.windows.net Microsoft Entra ID Always (常に) パブリック
login.microsoftonline.com Microsoft Entra ID Always (常に) パブリック
pas.windows.net Microsoft Entra ID Always (常に) パブリック
management.azure.com Azure Resource Manager - Arc サーバー リソースを作成または削除します サーバーを接続または切断する場合のみ リソース管理のプライベート リンクも構成されてない限り、パブリック
*.his.arc.azure.com メタデータとハイブリッド ID サービス Always (常に) プライベート
*.guestconfiguration.azure.com 拡張機能管理とゲスト構成サービス Always (常に) プライベート
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com 拡張機能と接続のシナリオ用の通知サービス Always (常に) パブリック
azgn*.servicebus.windows.net 拡張機能と接続のシナリオ用の通知サービス Always (常に) パブリック
*.servicebus.windows.net Windows Admin Center と SSH のシナリオの場合 Azure から SSH または Windows Admin Center を使用する場合 パブリック
*.waconazure.com Windows Admin Center接続の場合 Windows Admin Center を使用している場合 パブリック
*.blob.core.windows.net Azure Arc 対応サーバー拡張機能のダウンロード元 プライベート エンドポイントを使用する場合を除き、常に プライベート リンクが構成されている場合は使用されません
dc.services.visualstudio.com エージェント テレメトリ オプション。エージェント バージョン 1.24 以降では使用されません 公開
*.<region>.arcdataservices.com1 Arc SQL Server の場合。 データ処理サービス、サービス テレメトリ、およびパフォーマンスの監視を Azure に送信します。 TLS 1.3 を許可します。 常時 公開
www.microsoft.com/pkiops/certs ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します) Azure Arc によって有効にされる ESU を使用している場合。自動更新には常に必要です。証明書を手動でダウンロードする場合は一時的に必要です。 公開

12024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net を使用してください。 2024 年 3 月 12 日以降、Azure Arc データ処理と Azure Arc データ テレメトリの両方で *.<region>.arcdataservices.com を使用します。

Note

*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、コマンド \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region> を使用します。 このコマンド内で、<region> プレースホルダーにリージョンを指定する必要があります。

リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。

たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。

すべてのリージョンの一覧を表示するには、このコマンドを実行します。

az account list-locations -o table

Get-AzLocation | Format-Table

トランスポート層セキュリティ 1.2 プロトコル

Azure に転送中のデータのセキュリティを確保するには、トランスポート層セキュリティ (TLS) 1.2 を使用するようにマシンを構成することを強くお勧めします。 以前のバージョンの TLS/SSL (Secure Sockets Layer) は脆弱であることが確認されています。現在、これらは下位互換性を維持するために使用可能ですが、推奨されていません

プラットフォーム/言語 サポート 詳細情報
Linux Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。 OpenSSL の Changelog を参照して、使用している OpenSSL のバージョンがサポートされていることを確認してください。
Windows Server 2012 R2 以降 サポートされていて、既定で有効。 既定の設定を使用していることを確認するには。

ESU のみ用のエンドポイントのサブセット

次の製品のいずれかまたは両方で拡張セキュリティ更新プログラムにのみ Azure Arc 対応サーバーを使用している場合:

  • Windows Server 2012
  • SQL Server 2012

エンドポイントの次のサブセットを有効にすることができます:

エージェントのリソース 説明 必要な場合 プライベート リンクで使用されるエンドポイント
aka.ms インストール中にダウンロード スクリプトを解決するために使用されます インストール時のみ パブリック
download.microsoft.com Windows のインストール パッケージをダウンロードするために使用されます インストール時のみ パブリック
login.windows.net Microsoft Entra ID Always (常に) パブリック
login.microsoftonline.com Microsoft Entra ID Always (常に) パブリック
management.azure.com Azure Resource Manager - Arc サーバー リソースを作成または削除します サーバーを接続または切断する場合のみ リソース管理のプライベート リンクも構成されてない限り、パブリック
*.his.arc.azure.com メタデータとハイブリッド ID サービス Always (常に) プライベート
*.guestconfiguration.azure.com 拡張機能管理とゲスト構成サービス Always (常に) プライベート
www.microsoft.com/pkiops/certs ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します) 自動更新の場合は常時、または証明書を手動でダウンロードする場合は一時的。 公開
*.<region>.arcdataservices.com Azure Arc データ処理サービスとサービス テレメトリ。 SQL Server ESU 公開

詳細については、「Connected Machine エージェントのネットワーク要件」を参照してください。

Azure Arc リソース ブリッジ

このセクションでは、企業での Azure Arc リソース ブリッジのデプロイに固有の追加のネットワーク要件について説明します。 これらの要件は、Azure Arc 対応 VMware vSphere と Azure Arc 対応 System Center Virtual Machine Manager にも適用されます。

送信接続

以下のファイアウォールとプロキシ URL は、管理マシン、アプライアンス VM、コントロール プレーン IP から必要な Arc リソース ブリッジ URL への通信を有効にするために、許可リストに載せる必要があります。

ファイアウォール/プロキシ URL 許可リスト

サービス [ポート] URL 方向 メモ
SFS API エンドポイント 443 msk8s.api.cdp.microsoft.com 管理マシンとアプライアンス VM IP には送信接続が必要です。 SFS から製品カタログ、製品ビット、OS イメージをダウンロードします。
リソース ブリッジ (アプライアンス) イメージのダウンロード 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com 管理マシンとアプライアンス VM IP には送信接続が必要です。 Arc Resource Bridge OS イメージをダウンロードします。
Microsoft Container Registry 443 mcr.microsoft.com 管理マシンとアプライアンス VM IP には送信接続が必要です。 Arc リソース ブリッジのコンテナー イメージをダウンロードします。
Windows NTP サーバー 123 time.windows.com 管理マシンとアプライアンス VM IP (Hyper-V の既定値が Windows NTP の場合) には UDP での送信接続が必要です アプライアンス VM と管理マシン (Windows NTP) での OS 時刻同期。
Azure Resource Manager 443 management.azure.com 管理マシンとアプライアンス VM IP には送信接続が必要です。 Azure でのリソースの管理。
Microsoft Graph 443 graph.microsoft.com 管理マシンとアプライアンス VM IP には送信接続が必要です。 Azure RBAC に必要です。
Azure Resource Manager 443 login.microsoftonline.com 管理マシンとアプライアンス VM IP には送信接続が必要です。 ARM トークンの更新が必要です。
Azure Resource Manager 443 *.login.microsoft.com 管理マシンとアプライアンス VM IP には送信接続が必要です。 ARM トークンの更新が必要です。
Azure Resource Manager 443 login.windows.net 管理マシンとアプライアンス VM IP には送信接続が必要です。 ARM トークンの更新が必要です。
リソース ブリッジ (アプライアンス) データプレーン サービス 443 *.dp.prod.appliances.azure.com アプライアンス VM IP には送信接続が必要です。 Azure 内でリソース プロバイダーと通信します。
リソース ブリッジ (アプライアンス) コンテナー イメージのダウンロード 443 *.blob.core.windows.net, ecpacr.azurecr.io アプライアンス VM IP には送信接続が必要です。 コンテナー イメージをプルするために必要です。
マネージド ID 443 *.his.arc.azure.com アプライアンス VM IP には送信接続が必要です。 システム割り当てマネージド ID 証明書をプルするために必須。
Azure Arc for Kubernetes コンテナー イメージのダウンロード 443 azurearcfork8s.azurecr.io アプライアンス VM IP には送信接続が必要です。 コンテナー イメージのプル。
Azure Arc エージェント 443 k8connecthelm.azureedge.net アプライアンス VM IP には送信接続が必要です。 Azure Arc エージェントをデプロイします。
ADHS テレメトリ サービス 443 adhs.events.data.microsoft.com アプライアンス VM IP には送信接続が必要です。 必要な診断データをアプライアンス VM から Microsoft に定期的に送信します。
Microsoft イベント データ サービス 443 v20.events.data.microsoft.com アプライアンス VM IP には送信接続が必要です。 Windows から診断データを送信します。
Arc リソース ブリッジのログ収集 443 linuxgeneva-microsoft.azurecr.io アプライアンス VM IP には送信接続が必要です。 アプライアンス管理コンポーネントのログをプッシュします。
リソース ブリッジ コンポーネントのダウンロード 443 kvamanagementoperator.azurecr.io アプライアンス VM IP には送信接続が必要です。 アプライアンスのマネージド コンポーネントの成果物をプルします。
Microsoft オープン ソース パッケージ マネージャー 443 packages.microsoft.com アプライアンス VM IP には送信接続が必要です。 Linux インストール パッケージをダウンロードします。
カスタムの場所 443 sts.windows.net アプライアンス VM IP には送信接続が必要です。 カスタムの場所に必要です。
Azure Arc 443 guestnotificationservice.azure.com アプライアンス VM IP には送信接続が必要です。 Azure Arc に必要です。
カスタムの場所 443 k8sconnectcsp.azureedge.net アプライアンス VM IP には送信接続が必要です。 カスタムの場所に必要です。
診断データ 443 gcs.prod.monitoring.core.windows.net アプライアンス VM IP には送信接続が必要です。 必要な診断データを Microsoft に定期的に送信します。
診断データ 443 *.prod.microsoftmetrics.com アプライアンス VM IP には送信接続が必要です。 必要な診断データを Microsoft に定期的に送信します。
診断データ 443 *.prod.hot.ingest.monitor.core.windows.net アプライアンス VM IP には送信接続が必要です。 必要な診断データを Microsoft に定期的に送信します。
診断データ 443 *.prod.warm.ingest.monitor.core.windows.net アプライアンス VM IP には送信接続が必要です。 必要な診断データを Microsoft に定期的に送信します。
Azure portal 443 *.arc.azure.net アプライアンス VM IP には送信接続が必要です。 Azure portal からクラスターを管理します。
Azure CLI と拡張機能 443 *.blob.core.windows.net 管理マシンには送信接続が必要です。 Azure CLI インストーラーと拡張機能をダウンロードします。
Azure Arc エージェント 443 *.dp.kubernetesconfiguration.azure.com 管理マシンには送信接続が必要です。 Arc エージェントで使用されるデータプレーン。
Python パッケージ 443 pypi.org, *.pypi.org 管理マシンには送信接続が必要です。 Kubernetes と Python のバージョンを検証します。
Azure CLI 443 pythonhosted.org, *.pythonhosted.org 管理マシンには送信接続が必要です。  Azure CLI インストール用の Python パッケージ。
SSH 22 Arc resource bridge appliance VM IPs 管理マシンには送信接続が必要です。 アプライアンス VM のトラブルシューティングに使用します。
Kubernetes API サーバー 6443 Arc resource bridge appliance VM IPs 管理マシンには送信接続が必要です。  アプライアンス VM の管理。

詳細については、「Azure Arc リソース ブリッジのネットワーク要件」を参照してください。

Azure Arc 対応 System Center Virtual Machine Manager

Azure Arc 対応 System Center Virtual Machine Manager (SCVMM) には以下も必要です。

サービス [ポート] URL 方向 メモ
SCVMM 管理サーバー 443 SCVMM 管理サーバーの URL アプライアンス VM IP とコントロール プレーン エンドポイントには送信接続が必要です。 アプライアンス VM およびコントロール プレーンと通信するために SCVMM サーバーによって使用されます。

詳細については、「Arc 対応 System Center Virtual Machine Manager の概要」を参照してください

Azure Arc 対応 VMware vSphere

Azure Arc 対応 VMware vSphere には以下も必要です。

サービス [ポート] URL 方向 メモ
vCenter Server 443 vCenter Server の URL アプライアンス VM IP とコントロール プレーン エンドポイントには送信接続が必要です。 アプライアンス VM とコントロール プレーンとの通信に vCenter サーバーによって使用されます。

詳細については、Azure Arc 対応 VMware vSphere のサポート マトリックスを参照してください

エンドポイントの追加

シナリオによっては、Azure portal、管理ツール、その他の Azure サービスで使用される URL など、他の URL への接続が必要になる場合があります。 特に、次のリストを確認して、必要なエンドポイントへの接続が許可されていることを確認してください。