Требования к сети моста ресурсов Azure Arc
В этой статье описываются требования к сети для развертывания моста ресурсов Azure Arc в вашей организации.
Общие требования к сети
Мост ресурсов Arc безопасно взаимодействует с Azure Arc через TCP-порт 443. Если устройству необходимо подключиться через брандмауэр или прокси-сервер для обмена данными через Интернет, оно передает исходящий трафик по протоколу HTTPS.
Как правило, требования к подключению включают следующие принципы:
- Все подключения являются TCP, если иное не указано.
- Все HTTP-подключения используют ПРОТОКОЛ HTTPS и SSL/TLS с официально подписанными и проверяемыми сертификатами.
- Все подключения исходящие, если иное не указано.
Чтобы использовать прокси-сервер, убедитесь, что агенты и компьютер, выполняющие процесс подключения, соответствуют требованиям к сети в этой статье.
Требования к исходящему подключению
Указанные ниже URL-адреса брандмауэра и прокси-сервера должны быть разрешены для включения связи с компьютера управления, виртуальной машины устройства и IP-адреса уровня управления с необходимыми URL-адресами моста ресурсов Arc.
Список разрешенных URL-адресов брандмауэра или прокси-сервера
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| Конечная точка API SFS | 443 | msk8s.api.cdp.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Скачайте каталог продуктов, биты продуктов и образы ОС из SFS. |
| Скачивание образа моста ресурсов (устройства) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Скачайте образы ОС Arc Resource Bridge. |
| Реестр контейнеров Майкрософт | 443 | mcr.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Обнаружение образов контейнеров для Arc Resource Bridge. |
| Реестр контейнеров Майкрософт | 443 | *.data.mcr.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Скачайте образы контейнеров для Arc Resource Bridge. |
| Windows NTP Server | 123 | time.windows.com |
Ip-адреса виртуальных машин управления и устройства (если для Hyper-V по умолчанию используется Windows NTP) требуется исходящее подключение к UDP | Синхронизация времени ОС на виртуальной машине устройства и компьютере управления (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Управление ресурсами в Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для обновления маркеров ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для обновления маркеров ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для обновления маркеров ARM. |
| Служба "Мост ресурсов" (устройство) Dataplane | 443 | *.dp.prod.appliances.azure.com |
ДЛЯ IP-адреса виртуальных машин устройства требуется исходящее подключение. | Обмен данными с поставщиком ресурсов в Azure. |
| Скачивание образа контейнера моста ресурсов (устройство) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для извлечения образов контейнеров. |
| Управляемое удостоверение | 443 | *.his.arc.azure.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для получения сертификатов управляемого удостоверения, назначаемого системой. |
| Скачивание образа контейнера Azure Arc для Kubernetes | 443 | azurearcfork8s.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Извлечение образов контейнеров. |
| Агент Azure Arc | 443 | k8connecthelm.azureedge.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | разверните агент Azure Arc. |
| Служба телеметрии ADHS | 443 | adhs.events.data.microsoft.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные майкрософт из виртуальной машины устройства. |
| Служба данных событий Майкрософт | 443 | v20.events.data.microsoft.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Отправка диагностических данных из Windows. |
| Коллекция журналов для Моста ресурсов Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Отправка журналов для управляемых компонентов устройства. |
| Скачивание компонентов моста ресурсов | 443 | kvamanagementoperator.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Извлечение артефактов для управляемых компонентов устройства. |
| Диспетчер пакетов Microsoft открытый код | 443 | packages.microsoft.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Скачайте пакет установки Linux. |
| Пользовательское расположение | 443 | sts.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для пользовательского расположения. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для Azure Arc. |
| Пользовательское расположение | 443 | k8sconnectcsp.azureedge.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для пользовательского расположения. |
| Диагностические данные | 443 | gcs.prod.monitoring.core.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Диагностические данные | 443 | *.prod.microsoftmetrics.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Диагностические данные | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Диагностические данные | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Портал Azure | 443 | *.arc.azure.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Управление кластером из портал Azure. |
| Azure CLI и расширение | 443 | *.blob.core.windows.net |
Компьютер управления нуждается в исходящем подключении. | Скачайте установщик и расширение Azure CLI. |
| Агент Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Компьютер управления нуждается в исходящем подключении. | План данных, используемый для агента Arc. |
| Пакет Python | 443 | pypi.org, *.pypi.org |
Компьютер управления нуждается в исходящем подключении. | Проверьте версии Kubernetes и Python. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Компьютер управления нуждается в исходящем подключении. | Пакеты Python для установки Azure CLI. |
Требования к входящего подключения
Связь между следующими портами должна быть разрешена с компьютера управления, IP-адресов виртуальных машин устройства и IP-адресов плоскости управления. Убедитесь, что эти порты открыты и что трафик не направляется через прокси-сервер, чтобы упростить развертывание и обслуживание моста ресурсов Arc.
| Служба | порт. | IP/machine | Направление | Примечания |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs и Management machine. |
Двунаправленная репликация | Используется для развертывания и обслуживания виртуальной машины устройства. |
| Сервер API Kubernetes | 6443 | appliance VM IPs и Management machine. |
Двунаправленный | Управление виртуальной машиной устройства. |
| SSH | 22 | control plane IP и Management machine. |
Двунаправленная репликация | Используется для развертывания и обслуживания виртуальной машины устройства. |
| Сервер API Kubernetes | 6443 | control plane IP и Management machine. |
Двунаправленный | Управление виртуальной машиной устройства. |
| HTTPS | 443 | private cloud control plane address и Management machine. |
Компьютер управления нуждается в исходящем подключении. | Обмен данными с плоскости управления (например, адрес VMware vCenter). |
Примечание.
URL-адреса, перечисленные здесь, необходимы только для моста ресурсов Arc. Другие продукты Arc (например, VMware vSphere с поддержкой Arc) могут иметь дополнительные необходимые URL-адреса. Дополнительные сведения см. в статье о требованиях к сети Azure Arc.
Назначенные диапазоны IP-адресов для моста ресурсов Arc
При развертывании моста ресурсов Arc определенные диапазоны IP-адресов зарезервированы исключительно для модулей pod Kubernetes и служб на виртуальной машине устройства. Эти внутренние диапазоны IP-адресов не должны перекрываться с любыми входными данными конфигурации для моста ресурсов, такими как префикс IP-адреса IP-адреса, IP-адрес уровня управления, IP-адреса виртуальных машин устройства, DNS-серверы, прокси-серверы или узлы vSphere ESXi. Дополнительные сведения о конфигурации моста ресурсов Arc см. в требованиях к системе.
Примечание.
Эти назначенные диапазоны IP-адресов используются только внутри моста ресурсов Arc. Они не влияют на ресурсы Или сети Azure.
| Служба | Назначенный диапазон IP-адресов |
|---|---|
| Модули pod Kubernetes для моста ресурсов Arc | 10.244.0.0/16 |
| Службы Kubernetes для моста ресурсов Arc | 10.96.0.0/12 |
Конфигурация ПРОКСИ-сервера SSL
Внимание
Arc Resource Bridge поддерживает только прямые (явные) прокси-серверы, включая неавторентированные прокси-серверы, прокси-серверы с базовой проверкой подлинности, конечными прокси-серверами SSL и прокси-серверами SSL.
При использовании прокси-сервера мост ресурсов Arc должен быть настроен для использования прокси-сервера для подключения к службам Azure.
Чтобы настроить мост ресурсов Arc с прокси-сервером, укажите путь к файлу сертификата прокси во время создания файлов конфигурации.
Формат файла сертификата — X.509 (в кодировке Base-64). CER).
Передайте только один прокси-сертификат. Если пакет сертификатов передается, развертывание завершится ошибкой.
Конечная точка прокси-сервера не может быть доменом
.local.Прокси-сервер должен быть доступен от всех IP-адресов в префиксе IP-адреса, включая IP-адреса и IP-адреса виртуальной машины устройства.
Существует только два сертификата, которые должны быть релевантны при развертывании моста ресурсов Arc за прокси-сервером SSL:
SSL-сертификат для прокси-сервера SSL (чтобы виртуальная машина управления и виртуальная машина устройства доверяли полное доменное имя прокси-сервера и может установить к нему SSL-подключение).
SSL-сертификат серверов загрузки Майкрософт. Этот сертификат должен быть доверенным самим прокси-сервером, так как прокси-сервер — это тот, который устанавливает окончательное подключение и должен доверять конечной точке. Компьютеры, отличные от Windows, по умолчанию не могут доверять этому второму сертификату, поэтому может потребоваться убедиться, что он является доверенным.
Чтобы развернуть мост ресурсов Arc, образы необходимо скачать на компьютер управления, а затем передать в локальную коллекцию частного облака. Если прокси-сервер регулирует скорость загрузки, вы не сможете скачать необходимые образы (~3,5 ГБ) в течение выделенного времени (90 минут).
Список исключений без прокси-сервера
Если используется прокси-сервер, в следующей таблице содержится список адресов, которые следует исключить из прокси-сервера, настроив noProxy параметры.
| IP Address | Причина исключения |
|---|---|
| localhost, 127.0.0.1 | Трафик Localhost |
| .svc | Внутренний трафик службы Kubernetes (SVC), где SVC представляет подстановочное имя. Это похоже на фразу *.svc, но ни один из них не используется в этой схеме. |
| 10.0.0.0/8 | адресное пространство частной сети |
| 172.16.0.0/12 | Адресное пространство частной сети — CIDR службы Kubernetes |
| 192.168.0.0/16 | Адресное пространство частной сети — Kubernetes Pod CIDR |
| .contoso.com | Вы можете исключить пространство имен предприятия (.contoso.com) от перенаправления через прокси-сервер. Чтобы исключить все адреса в домене, необходимо добавить домен в noProxy список. Используйте ведущий период, а не подстановочный знак (*). В примере адреса .contoso.com исключают адреса prefix1.contoso.comи prefix2.contoso.comт. д. |
Значение noProxy по умолчанию — localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Хотя эти значения по умолчанию будут работать для многих сетей, может потребоваться добавить в список исключений дополнительные диапазоны подсетей и (или) имена. Например, может потребоваться исключить корпоративное пространство имен (.contoso.com) от перенаправления через прокси-сервер. Для этого можно указать значения в списке noProxy .
Внимание
При перечислении нескольких адресов параметров не добавляйте пробел после каждой запятой noProxy для разделения адресов. Адреса должны немедленно следовать запятыми.
Прослушивание внутреннего порта
Помните, что виртуальная машина устройства настроена для прослушивания следующих портов. Эти порты используются исключительно для внутренних процессов и не требуют внешнего доступа:
- 8443 — конечная точка для веб-перехватчика проверки подлинности Microsoft Entra
- 10257 — метрики моста моста ресурсов Arc для конечной точки
- 10250 — метрики моста ресурсов Arc для конечной точки
- 2382 — метрики моста моста ресурсов Arc для конечной точки
Следующие шаги
- Ознакомьтесь с обзором моста ресурсов Azure Arc, чтобы узнать больше о требованиях и технических деталях.
- Узнайте о настройке безопасности и рекомендации по мосту ресурсов Azure Arc.
- Ознакомьтесь с советами по устранению неполадок в сети.