Azure Arc 리소스 브리지 네트워크 요구 사항
이 문서에서는 엔터프라이즈에 Azure Arc 리소스 브리지를 배포하기 위한 네트워킹 요구 사항을 설명합니다.
일반적인 네트워크 요구 사항
Arc 리소스 브리지는 TCP 포트 443을 통해 Azure Arc에 안전하게 아웃바운드 통신합니다. 어플라이언스가 인터넷을 통해 통신하기 위해 방화벽이나 프록시 서버를 통해 연결해야 하는 경우 HTTPS 프로토콜을 사용하여 아웃바운드 통신합니다.
일반적으로 연결 요구 사항에는 다음 원칙이 포함됩니다.
- 달리 지정하지 않는 한 모든 연결은 TCP입니다.
- 모든 HTTP 연결은 공식적으로 서명되고 확인 가능한 인증서와 함께 HTTPS 및 SSL/TLS를 사용합니다.
- 달리 지정하지 않는 한 모든 연결은 아웃바운드입니다.
프록시를 사용하려면 온보딩 프로세스를 수행하는 에이전트와 컴퓨터가 이 문서의 네트워크 요구 사항을 충족하는지 확인합니다.
아웃바운드 연결
아래의 방화벽 및 프록시 URL은 관리 컴퓨터, 어플라이언스 VM 및 컨트롤 플레인 IP에서 필요한 Arc 리소스 브리지 URL로의 통신을 사용하도록 설정하기 위해 허용 목록에 있어야 합니다.
방화벽/프록시 URL 허용 목록
| 서비스 | 포트 | URL | 방향 | 참고 |
|---|---|---|---|---|
| SFS API 엔드포인트 | 443 | msk8s.api.cdp.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | SFS에서 제품 카탈로그, 제품 비트, OS 이미지를 다운로드합니다. |
| 리소스 브리지(어플라이언스) 이미지 다운로드 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Arc 리소스 브리지 OS 이미지를 다운로드합니다. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Arc 리소스 브리지용 컨테이너 이미지를 다운로드합니다. |
| Windows NTP 서버 | 123 | time.windows.com |
관리 컴퓨터 및 어플라이언스 VM IP(Hyper-V 기본값이 Windows NTP인 경우)는 UDP에서 아웃바운드 연결이 필요합니다. | 어플라이언스 VM 및 관리 컴퓨터(Windows NTP)에서 OS 시간 동기화. |
| Azure Resource Manager | 443 | management.azure.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure의 리소스 관리 |
| Microsoft Graph | 443 | graph.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure RBAC에 필요합니다. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | ARM 토큰을 업데이트하는 데 필요합니다. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | ARM 토큰을 업데이트하는 데 필요합니다. |
| Azure Resource Manager | 443 | login.windows.net |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | ARM 토큰을 업데이트하는 데 필요합니다. |
| 리소스 브리지(어플라이언스) 데이터 평면 서비스 | 443 | *.dp.prod.appliances.azure.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure에서 리소스 공급자와 통신합니다. |
| 리소스 브리지(어플라이언스) 컨테이너 이미지 다운로드 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 컨테이너 이미지를 끌어오는 데 필요합니다. |
| 관리 ID | 443 | *.his.arc.azure.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 시스템이 할당한 관리 ID 인증서를 가져오는 데 필요합니다. |
| Kubernetes용 Azure Arc 컨테이너 이미지 다운로드 | 443 | azurearcfork8s.azurecr.io |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 컨테이너 이미지를 끌어옵니다. |
| Azure Arc 에이전트 | 443 | k8connecthelm.azureedge.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure Arc 에이전트를 배포합니다. |
| ADHS 원격 분석 서비스 | 443 | adhs.events.data.microsoft.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 어플라이언스 VM에서 Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| Microsoft 이벤트 데이터 서비스 | 443 | v20.events.data.microsoft.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Windows에서 진단 데이터를 보냅니다. |
| Arc 리소스 브리지에 대한 로그 컬렉션 | 443 | linuxgeneva-microsoft.azurecr.io |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 어플라이언스 관리 구성 요소에 대한 푸시 로그. |
| 리소스 브리지 구성 요소 다운로드 | 443 | kvamanagementoperator.azurecr.io |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 어플라이언스 관리 구성 요소에 대한 아티팩트를 끌어옵니다. |
| Microsoft 오픈 소스 패키지 관리자 | 443 | packages.microsoft.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Linux 설치 패키지를 다운로드합니다. |
| 사용자 지정 위치 | 443 | sts.windows.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 사용자 지정 위치에 필요합니다. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure Arc에 필요합니다. |
| 사용자 지정 위치 | 443 | k8sconnectcsp.azureedge.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 사용자 지정 위치에 필요합니다. |
| 진단 데이터 | 443 | gcs.prod.monitoring.core.windows.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| 진단 데이터 | 443 | *.prod.microsoftmetrics.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| 진단 데이터 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| 진단 데이터 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| Azure Portal | 443 | *.arc.azure.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure Portal에서 클러스터를 관리합니다. |
| Azure CLI 및 확장 | 443 | *.blob.core.windows.net |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Azure CLI 설치 프로그램 및 확장을 다운로드합니다. |
| Azure Arc 에이전트 | 443 | *.dp.kubernetesconfiguration.azure.com |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Arc 에이전트에 사용되는 데이터 평면입니다. |
| Python 패키지 | 443 | pypi.org, *.pypi.org |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Kubernetes 및 Python 버전의 유효성을 검사합니다. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Azure CLI 설치용 Python 패키지입니다. |
| SSH | 22 | Arc resource bridge appliance VM IPs |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | 어플라이언스 VM 문제 해결에 사용됩니다. |
| Kubernetes API 서버 | 6443 | Arc resource bridge appliance VM IPs |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | 어플라이언스 VM 관리. |
참고 항목
여기에 나열된 URL은 Arc 리소스 브리지에만 필요합니다. 다른 Arc 제품(예: Arc 지원 VMware vSphere)에는 추가 필수 URL이 있을 수 있습니다. 자세한 정보는 Azure Arc 네트워크 요구 사항을 참조하세요.
SSL 프록시 구성
프록시를 사용하는 경우 서비스에 연결할 수 있도록 프록시에 대해 Azure Arc 리소스 브리지를 구성해야 합니다.
프록시를 사용하여 Arc 리소스 브리지를 구성하려면 구성 파일을 만드는 동안 프록시 인증서 파일 경로를 제공합니다.
인증서 파일의 형식은 Base-64로 인코딩된 X.509(.CER)입니다.
단일 프록시 인증서만 전달합니다. 인증서 번들이 전달되면 배포가 실패합니다.
프록시 서버 엔드포인트는
.local도메인일 수 없습니다.프록시 서버는 컨트롤 플레인 및 어플라이언스 VM IP를 포함하여 IP 주소 접두사 내의 모든 IP에서 연결할 수 있어야 합니다.
SSL 프록시 뒤에 Arc 리소스 브리지를 배포할 때 관련되어야 하는 인증서는 두 가지뿐입니다.
SSL 프록시용 SSL 인증서(관리 컴퓨터와 어플라이언스 VM이 프록시 FQDN을 신뢰하고 이에 대한 SSL 연결을 설정할 수 있음)
Microsoft 다운로드 서버의 SSL 인증서입니다. 프록시는 최종 연결을 설정하며 엔드포인트를 신뢰해야 하므로, 이 인증서를 프록시 서버 자체에서 신뢰할 수 있어야 합니다. 비 Windows 머신은 기본적으로 이 두 번째 인증서를 신뢰하지 않을 수 있으므로, 신뢰할 수 있는지 확인해야 할 수도 있습니다.
Arc 리소스 브리지를 배포하려면 이미지를 관리 머신에 다운로드한 다음 온-프레미스 프라이빗 클라우드 갤러리에 업로드해야 합니다. 프록시 서버가 다운로드 속도를 제한하는 경우 할당된 시간(90분) 내에 필요한 이미지(3.5GB 이하)를 다운로드하지 못할 수 있습니다.
프록시가 없는 제외 목록
프록시 서버를 사용하는 경우 다음 표에는 noProxy 설정을 구성하여 프록시에서 제외해야 하는 주소 목록이 포함되어 있습니다.
| IP 주소 | 제외 이유 |
|---|---|
| localhost, 127.0.0.1 | Localhost traffic |
| .svc | 내부 Kubernetes 서비스 트래픽(.svc)에서 .svc 는 와일드카드 이름을 나타냅니다. 이는 *.svc를 말하는 것과 비슷하지만 이 스키마에는 사용되지 않습니다. |
| 10.0.0.0/8 | 프라이빗 네트워크 주소 공간 |
| 172.16.0.0/12 | 프라이빗 네트워크 주소 공간 - Kubernetes Service CIDR |
| 192.168.0.0/16 | 프라이빗 네트워크 주소 공간 - Kubernetes Pod CIDR |
| contoso.com. | 엔터프라이즈 네임스페이스(.contoso.com)가 프록시를 통해 전달되지 않도록 할 수 있습니다. 도메인의 모든 주소를 제외하려면 noProxy 목록에 도메인을 추가해야 합니다. 와일드카드(*) 문자가 아닌 선행 마침표를 사용합니다. 샘플에서 .contoso.com 주소는 prefix1.contoso.com, prefix2.contoso.com 주소 등을 제외됩니다. |
noProxy 의 기본값은 localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16입니다. 이러한 기본값은 많은 네트워크에서 작동하지만 예외 목록에 서브넷 범위 및/또는 이름을 더 추가해야 할 수 있습니다. 예를 들어 엔터프라이즈 네임스페이스(.contoso.com)가 프록시를 통해 전달되지 않도록 할 수 있습니다. noProxy 목록에서 값을 지정하여 이를 달성할 수 있습니다.
Important
noProxy 설정에 대해 여러 주소를 나열하는 경우 주소를 구분하기 위해 각 쉼표 뒤에 공백을 추가하지 마세요. 주소는 쉼표 바로 뒤에 와야 합니다.
내부 포트 수신 대기
참고로 어플라이언스 VM이 다음 포트에서 수신하도록 구성되어 있음을 알고 있어야 합니다. 이러한 포트는 내부 프로세스에만 사용되며 외부 액세스가 필요하지 않습니다.
8443 - AAD 인증 웹후크용 엔드포인트
10257 - Arc 리소스 브리지 메트릭용 엔드포인트
10250 - Arc 리소스 브리지 메트릭용 엔드포인트
2382 - Arc 리소스 브리지 메트릭용 엔드포인트
다음 단계
- 요구 사항과 기술 세부 정보에 대해 자세히 알아보려면 Azure Arc 리소스 브리지 개요를 검토합니다.
- Azure Arc 리소스 브리지의 보안 구성 및 고려 사항을 알아봅니다.
- 네트워킹 문제에 대한 문제 해결 팁을 확인합니다.