Share via


Netwerkvereisten voor Azure Arc-resourcebrug

In dit artikel worden de netwerkvereisten beschreven voor het implementeren van Azure Arc-resourcebrug in uw onderneming.

Algemene netwerkvereisten

Arc-resourcebrug communiceert veilig uitgaand naar Azure Arc via TCP-poort 443. Als het apparaat verbinding moet maken via een firewall of proxyserver om via internet te communiceren, communiceert het uitgaande verkeer via het HTTPS-protocol.

Over het algemeen omvatten de connectiviteitsvereisten de volgende principes:

  • Alle verbindingen zijn TCP, tenzij anders opgegeven.
  • Alle HTTP-verbindingen gebruiken HTTPS en SSL/TLS met officieel ondertekende en verifieerbare certificaten.
  • Alle verbindingen zijn uitgaand, tenzij anders is opgegeven.

Als u een proxy wilt gebruiken, controleert u of de agents en de computer die het onboardingproces uitvoeren, voldoen aan de netwerkvereisten in dit artikel.

Vereisten voor uitgaande connectiviteit

De onderstaande firewall- en proxy-URL's moeten worden toegestaan om communicatie mogelijk te maken vanaf de beheercomputer, de VM van het apparaat en het IP-adres van het besturingsvlak naar de vereiste ARC-resourcebrug-URL's.

Acceptatielijst voor firewall/proxy-URL

Onderhoud Poort URL Richting Notes
SFS API-eindpunt 443 msk8s.api.cdp.microsoft.com IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. Download productcatalogus, product bits en os-installatiekopieën van SFS.
Resourcebrug (apparaat) installatiekopieën downloaden 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. Download de installatiekopieën van het besturingssysteem van Arc Resource Bridge.
Microsoft Container Registry 443 mcr.microsoft.com IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. Ontdek containerinstallatiekopieën voor Arc Resource Bridge.
Microsoft Container Registry 443 *.data.mcr.microsoft.com IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. Download containerinstallatiekopieën voor Arc Resource Bridge.
Windows NTP-server 123 time.windows.com IP-adressen van vm's voor beheercomputers en apparaten (als Hyper-V-standaard Windows NTP is) uitgaande verbinding op UDP nodig Tijdsynchronisatie van het besturingssysteem in de VM en beheermachine van het apparaat (Windows NTP).
Azure Resource Manager 443 management.azure.com IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. Resources beheren in Azure.
Microsoft Graph 443 graph.microsoft.com IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. Vereist voor Azure RBAC.
Azure Resource Manager 443 login.microsoftonline.com IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. Vereist om ARM-tokens bij te werken.
Azure Resource Manager 443 *.login.microsoft.com IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. Vereist om ARM-tokens bij te werken.
Azure Resource Manager 443 login.windows.net IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. Vereist om ARM-tokens bij te werken.
Resourcebrug (apparaat) Dataplane-service 443 *.dp.prod.appliances.azure.com Het IP-adres van het apparaat heeft een uitgaande verbinding nodig. Communiceren met de resourceprovider in Azure.
Download van containerinstallatiekopieën van resourcebrug (apparaat) 443 *.blob.core.windows.net, ecpacr.azurecr.io VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Vereist voor het ophalen van containerinstallatiekopieën.
Beheerde identiteit 443 *.his.arc.azure.com VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
Azure Arc voor Kubernetes-containerinstallatiekopieën downloaden 443 azurearcfork8s.azurecr.io VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Containerinstallatiekopieën ophalen.
Azure Arc-agents 443 k8connecthelm.azureedge.net VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Azure Arc-agent implementeren.
ADHS-telemetrieservice 443 adhs.events.data.microsoft.com VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Verzendt periodiek vereiste diagnostische gegevens van Microsoft vanaf de VM van het apparaat.
Gegevensservice voor Microsoft-gebeurtenissen 443 v20.events.data.microsoft.com VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Diagnostische gegevens verzenden vanuit Windows.
Logboekverzameling voor Arc Resource Bridge 443 linuxgeneva-microsoft.azurecr.io VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Pushlogboeken voor door het apparaat beheerde onderdelen.
Resourcebrugonderdelen downloaden 443 kvamanagementoperator.azurecr.io VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Pull-artefacten voor door het apparaat beheerde onderdelen.
Microsoft open source packages manager 443 packages.microsoft.com VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Download het Linux-installatiepakket.
Aangepaste locatie 443 sts.windows.net VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Vereist voor aangepaste locatie.
Azure Arc 443 guestnotificationservice.azure.com VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Vereist voor Azure Arc.
Aangepaste locatie 443 k8sconnectcsp.azureedge.net VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Vereist voor aangepaste locatie.
Diagnostische gegevens 443 gcs.prod.monitoring.core.windows.net VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Verzendt periodiek vereiste diagnostische gegevens van Microsoft.
Diagnostische gegevens 443 *.prod.microsoftmetrics.com VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Verzendt periodiek vereiste diagnostische gegevens van Microsoft.
Diagnostische gegevens 443 *.prod.hot.ingest.monitor.core.windows.net VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Verzendt periodiek vereiste diagnostische gegevens van Microsoft.
Diagnostische gegevens 443 *.prod.warm.ingest.monitor.core.windows.net VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Verzendt periodiek vereiste diagnostische gegevens van Microsoft.
Azure Portal 443 *.arc.azure.net VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. Cluster beheren vanuit Azure Portal.
Azure CLI en extensie 443 *.blob.core.windows.net Voor de beheercomputer is een uitgaande verbinding vereist. Download het Azure CLI-installatieprogramma en de extensie.
Azure Arc-agent 443 *.dp.kubernetesconfiguration.azure.com Voor de beheercomputer is een uitgaande verbinding vereist. Dataplane gebruikt voor Arc-agent.
Python-pakket 443 pypi.org, *.pypi.org Voor de beheercomputer is een uitgaande verbinding vereist. Valideer Kubernetes- en Python-versies.
Azure-CLI 443 pythonhosted.org, *.pythonhosted.org Voor de beheercomputer is een uitgaande verbinding vereist.  Python-pakketten voor azure CLI-installatie.

Vereisten voor binnenkomende connectiviteit

Communicatie tussen de volgende poorten moet zijn toegestaan vanaf de beheercomputer, IP-adressen van vm's van apparaten en IP-adressen van besturingsvlak. Zorg ervoor dat deze poorten open zijn en dat verkeer niet wordt gerouteerd via een proxy om de implementatie en het onderhoud van de Arc-resourcebrug te vergemakkelijken.

Onderhoud Poort IP/machine Richting Notes
SSH 22 appliance VM IPs en Management machine In twee richtingen Wordt gebruikt voor het implementeren en onderhouden van de VM van het apparaat.
Kubernetes API-server 6443 appliance VM IPs en Management machine Bidirectioneel Beheer van de VM van het apparaat.
SSH 22 control plane IP en Management machine In twee richtingen Wordt gebruikt voor het implementeren en onderhouden van de VM van het apparaat.
Kubernetes API-server 6443 control plane IP en Management machine Bidirectioneel Beheer van de VM van het apparaat.
HTTPS 443 private cloud control plane address en Management machine Voor de beheercomputer is een uitgaande verbinding vereist.  Communicatie met besturingsvlak (bijvoorbeeld VMware vCenter-adres).

Notitie

De HIER vermelde URL's zijn alleen vereist voor Arc-resourcebrug. Andere Arc-producten (zoals VMware vSphere met Arc) hebben mogelijk extra vereiste URL's. Zie Azure Arc-netwerkvereisten voor meer informatie.

Toegewezen IP-bereiken voor Arc-resourcebrug

Bij het implementeren van Arc-resourcebrug zijn specifieke IP-bereiken exclusief gereserveerd voor de Kubernetes-pods en -services binnen de vm van het apparaat. Deze interne IP-bereiken mogen niet overlappen met configuratie-invoer voor de resourcebrug, zoals IP-adresvoorvoegsel, IP-adres van besturingsvlak, VM-IP-adressen van apparaten, DNS-servers, proxyservers of vSphere ESXi-hosts. Raadpleeg de systeemvereisten voor meer informatie over de configuratie van de Arc-resourcebrug.

Notitie

Deze aangewezen IP-bereiken worden alleen intern binnen de Arc-resourcebrug gebruikt. Ze hebben geen invloed op Azure-resources of -netwerken.

Onderhoud Toegewezen IP-bereik
Kubernetes-pods voor Arc-resourcebrug 10.244.0.0/16
Kubernetes-services voor Arc-resourcebrug 10.96.0.0/12

SSL-proxyconfiguratie

Belangrijk

Arc Resource Bridge ondersteunt alleen directe (expliciete) proxy's, waaronder niet-geverifieerde proxy's, proxy's met basisverificatie, SSL-afsluitproxy's en SSL-passthroughproxy's.

Als u een proxy gebruikt, moet de Arc Resource Bridge worden geconfigureerd om de proxy te kunnen gebruiken om verbinding te kunnen maken met Azure-services.

  • Als u de Arc-resourcebrug met proxy wilt configureren, geeft u het pad naar het proxycertificaatbestand op tijdens het maken van de configuratiebestanden.

  • De indeling van het certificaatbestand is Base-64 gecodeerd X.509 (. CER).

  • Geef alleen het certificaat voor één proxy door. Als een certificaatbundel wordt doorgegeven, mislukt de implementatie.

  • Het eindpunt van de proxyserver kan geen domein zijn .local .

  • De proxyserver moet bereikbaar zijn vanaf alle IP-adressen binnen het IP-adresvoorvoegsel, inclusief het besturingsvlak en vm-IP-adressen van apparaten.

Er zijn slechts twee certificaten die relevant moeten zijn bij het implementeren van de Arc-resourcebrug achter een SSL-proxy:

  • SSL-certificaat voor uw SSL-proxy (zodat de beheercomputer en apparaat-VM uw proxy-FQDN vertrouwen en er een SSL-verbinding mee tot stand kan brengen)

  • SSL-certificaat van de Microsoft-downloadservers. Dit certificaat moet worden vertrouwd door uw proxyserver zelf, omdat de proxy de proxy is die de uiteindelijke verbinding tot stand heeft gebracht en het eindpunt moet vertrouwen. Niet-Windows-computers vertrouwen dit tweede certificaat mogelijk niet standaard, dus mogelijk moet u ervoor zorgen dat het wordt vertrouwd.

Als u Arc-resourcebrug wilt implementeren, moeten installatiekopieën worden gedownload naar de beheercomputer en vervolgens worden geüpload naar de on-premises privécloudgalerie. Als de downloadsnelheid van uw proxyserver wordt beperkt, kunt u mogelijk niet de vereiste installatiekopieën (~3,5 GB) downloaden binnen de toegewezen tijd (90 min).

Uitsluitingslijst voor geen proxy

Als een proxyserver wordt gebruikt, bevat de volgende tabel de lijst met adressen die moeten worden uitgesloten van de proxy door de noProxy instellingen te configureren.

IP-adres Reden voor uitsluiting
localhost, 127.0.0.1 Localhost-verkeer
.Svc Intern Kubernetes-serviceverkeer (.svc) waarbij .svc een jokertekennaam vertegenwoordigt. Dit is vergelijkbaar met het zeggen van *.svc, maar er wordt geen gebruikt in dit schema.
10.0.0.0/8 privénetwerkadresruimte
172.16.0.0/12 Privénetwerkadresruimte - Kubernetes Service CIDR
192.168.0.0/16 Privénetwerkadresruimte - Kubernetes Pod CIDR
contoso.com. Mogelijk wilt u uw bedrijfsnaamruimte (.contoso.com) uitsluiten van omgeleid te worden via de proxy. Als u alle adressen in een domein wilt uitsluiten, moet u het domein toevoegen aan de noProxy lijst. Gebruik een voorloopperiode in plaats van een jokerteken (*) teken. In het voorbeeld worden adressen .contoso.com prefix1.contoso.comuitgesloten, prefix2.contoso.comenzovoort.

De standaardwaarde is noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Hoewel deze standaardwaarden voor veel netwerken werken, moet u mogelijk meer subnetbereiken en/of namen toevoegen aan de lijst met uitzonderingen. U kunt bijvoorbeeld uw bedrijfsnaamruimte (.contoso.com) uitsluiten van omgeleid te worden via de proxy. U kunt dit bereiken door de waarden in de noProxy lijst op te geven.

Belangrijk

Wanneer u meerdere adressen voor de noProxy instellingen vermeldt, voegt u na elke komma geen spatie toe om de adressen te scheiden. De adressen moeten onmiddellijk de komma's volgen.

Interne poort luisteren

Houd er rekening mee dat de VM van het apparaat is geconfigureerd om te luisteren op de volgende poorten. Deze poorten worden uitsluitend gebruikt voor interne processen en vereisen geen externe toegang:

  • 8443 – Eindpunt voor Microsoft Entra Authentication Webhook
  • 10257 – Eindpunt voor metrische gegevens van Arc-resourcebrug
  • 10250 – Eindpunt voor metrische gegevens van arc-resourcebrug
  • 2382 – Eindpunt voor metrische gegevens van arc-resourcebrug

Volgende stappen