Netwerkvereisten voor Azure Arc-resourcebrug
In dit artikel worden de netwerkvereisten beschreven voor het implementeren van Azure Arc-resourcebrug in uw onderneming.
Algemene netwerkvereisten
Arc-resourcebrug communiceert veilig uitgaand naar Azure Arc via TCP-poort 443. Als het apparaat verbinding moet maken via een firewall of proxyserver om via internet te communiceren, communiceert het uitgaande verkeer via het HTTPS-protocol.
Over het algemeen omvatten de connectiviteitsvereisten de volgende principes:
- Alle verbindingen zijn TCP, tenzij anders opgegeven.
- Alle HTTP-verbindingen gebruiken HTTPS en SSL/TLS met officieel ondertekende en verifieerbare certificaten.
- Alle verbindingen zijn uitgaand, tenzij anders is opgegeven.
Als u een proxy wilt gebruiken, controleert u of de agents en de computer die het onboardingproces uitvoeren, voldoen aan de netwerkvereisten in dit artikel.
Vereisten voor uitgaande connectiviteit
De onderstaande firewall- en proxy-URL's moeten worden toegestaan om communicatie mogelijk te maken vanaf de beheercomputer, de VM van het apparaat en het IP-adres van het besturingsvlak naar de vereiste ARC-resourcebrug-URL's.
Acceptatielijst voor firewall/proxy-URL
Onderhoud | Poort | URL | Richting | Notes |
---|---|---|---|---|
SFS API-eindpunt | 443 | msk8s.api.cdp.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Download productcatalogus, product bits en os-installatiekopieën van SFS. |
Resourcebrug (apparaat) installatiekopieën downloaden | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Download de installatiekopieën van het besturingssysteem van Arc Resource Bridge. |
Microsoft Container Registry | 443 | mcr.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Ontdek containerinstallatiekopieën voor Arc Resource Bridge. |
Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Download containerinstallatiekopieën voor Arc Resource Bridge. |
Windows NTP-server | 123 | time.windows.com |
IP-adressen van vm's voor beheercomputers en apparaten (als Hyper-V-standaard Windows NTP is) uitgaande verbinding op UDP nodig | Tijdsynchronisatie van het besturingssysteem in de VM en beheermachine van het apparaat (Windows NTP). |
Azure Resource Manager | 443 | management.azure.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Resources beheren in Azure. |
Microsoft Graph | 443 | graph.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Vereist voor Azure RBAC. |
Azure Resource Manager | 443 | login.microsoftonline.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Vereist om ARM-tokens bij te werken. |
Azure Resource Manager | 443 | *.login.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Vereist om ARM-tokens bij te werken. |
Azure Resource Manager | 443 | login.windows.net |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Vereist om ARM-tokens bij te werken. |
Resourcebrug (apparaat) Dataplane-service | 443 | *.dp.prod.appliances.azure.com |
Het IP-adres van het apparaat heeft een uitgaande verbinding nodig. | Communiceren met de resourceprovider in Azure. |
Download van containerinstallatiekopieën van resourcebrug (apparaat) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor het ophalen van containerinstallatiekopieën. |
Beheerde identiteit | 443 | *.his.arc.azure.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten. |
Azure Arc voor Kubernetes-containerinstallatiekopieën downloaden | 443 | azurearcfork8s.azurecr.io |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Containerinstallatiekopieën ophalen. |
Azure Arc-agents | 443 | k8connecthelm.azureedge.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Azure Arc-agent implementeren. |
ADHS-telemetrieservice | 443 | adhs.events.data.microsoft.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft vanaf de VM van het apparaat. |
Gegevensservice voor Microsoft-gebeurtenissen | 443 | v20.events.data.microsoft.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Diagnostische gegevens verzenden vanuit Windows. |
Logboekverzameling voor Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Pushlogboeken voor door het apparaat beheerde onderdelen. |
Resourcebrugonderdelen downloaden | 443 | kvamanagementoperator.azurecr.io |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Pull-artefacten voor door het apparaat beheerde onderdelen. |
Microsoft open source packages manager | 443 | packages.microsoft.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Download het Linux-installatiepakket. |
Aangepaste locatie | 443 | sts.windows.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor aangepaste locatie. |
Azure Arc | 443 | guestnotificationservice.azure.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor Azure Arc. |
Aangepaste locatie | 443 | k8sconnectcsp.azureedge.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor aangepaste locatie. |
Diagnostische gegevens | 443 | gcs.prod.monitoring.core.windows.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft. |
Diagnostische gegevens | 443 | *.prod.microsoftmetrics.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft. |
Diagnostische gegevens | 443 | *.prod.hot.ingest.monitor.core.windows.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft. |
Diagnostische gegevens | 443 | *.prod.warm.ingest.monitor.core.windows.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft. |
Azure Portal | 443 | *.arc.azure.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Cluster beheren vanuit Azure Portal. |
Azure CLI en extensie | 443 | *.blob.core.windows.net |
Voor de beheercomputer is een uitgaande verbinding vereist. | Download het Azure CLI-installatieprogramma en de extensie. |
Azure Arc-agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Voor de beheercomputer is een uitgaande verbinding vereist. | Dataplane gebruikt voor Arc-agent. |
Python-pakket | 443 | pypi.org , *.pypi.org |
Voor de beheercomputer is een uitgaande verbinding vereist. | Valideer Kubernetes- en Python-versies. |
Azure-CLI | 443 | pythonhosted.org , *.pythonhosted.org |
Voor de beheercomputer is een uitgaande verbinding vereist. | Python-pakketten voor azure CLI-installatie. |
Vereisten voor binnenkomende connectiviteit
Communicatie tussen de volgende poorten moet zijn toegestaan vanaf de beheercomputer, IP-adressen van vm's van apparaten en IP-adressen van besturingsvlak. Zorg ervoor dat deze poorten open zijn en dat verkeer niet wordt gerouteerd via een proxy om de implementatie en het onderhoud van de Arc-resourcebrug te vergemakkelijken.
Onderhoud | Poort | IP/machine | Richting | Notes |
---|---|---|---|---|
SSH | 22 | appliance VM IPs en Management machine |
In twee richtingen | Wordt gebruikt voor het implementeren en onderhouden van de VM van het apparaat. |
Kubernetes API-server | 6443 | appliance VM IPs en Management machine |
Bidirectioneel | Beheer van de VM van het apparaat. |
SSH | 22 | control plane IP en Management machine |
In twee richtingen | Wordt gebruikt voor het implementeren en onderhouden van de VM van het apparaat. |
Kubernetes API-server | 6443 | control plane IP en Management machine |
Bidirectioneel | Beheer van de VM van het apparaat. |
HTTPS | 443 | private cloud control plane address en Management machine |
Voor de beheercomputer is een uitgaande verbinding vereist. | Communicatie met besturingsvlak (bijvoorbeeld VMware vCenter-adres). |
Notitie
De HIER vermelde URL's zijn alleen vereist voor Arc-resourcebrug. Andere Arc-producten (zoals VMware vSphere met Arc) hebben mogelijk extra vereiste URL's. Zie Azure Arc-netwerkvereisten voor meer informatie.
Toegewezen IP-bereiken voor Arc-resourcebrug
Bij het implementeren van Arc-resourcebrug zijn specifieke IP-bereiken exclusief gereserveerd voor de Kubernetes-pods en -services binnen de vm van het apparaat. Deze interne IP-bereiken mogen niet overlappen met configuratie-invoer voor de resourcebrug, zoals IP-adresvoorvoegsel, IP-adres van besturingsvlak, VM-IP-adressen van apparaten, DNS-servers, proxyservers of vSphere ESXi-hosts. Raadpleeg de systeemvereisten voor meer informatie over de configuratie van de Arc-resourcebrug.
Notitie
Deze aangewezen IP-bereiken worden alleen intern binnen de Arc-resourcebrug gebruikt. Ze hebben geen invloed op Azure-resources of -netwerken.
Onderhoud | Toegewezen IP-bereik |
---|---|
Kubernetes-pods voor Arc-resourcebrug | 10.244.0.0/16 |
Kubernetes-services voor Arc-resourcebrug | 10.96.0.0/12 |
SSL-proxyconfiguratie
Belangrijk
Arc Resource Bridge ondersteunt alleen directe (expliciete) proxy's, waaronder niet-geverifieerde proxy's, proxy's met basisverificatie, SSL-afsluitproxy's en SSL-passthroughproxy's.
Als u een proxy gebruikt, moet de Arc Resource Bridge worden geconfigureerd om de proxy te kunnen gebruiken om verbinding te kunnen maken met Azure-services.
Als u de Arc-resourcebrug met proxy wilt configureren, geeft u het pad naar het proxycertificaatbestand op tijdens het maken van de configuratiebestanden.
De indeling van het certificaatbestand is Base-64 gecodeerd X.509 (. CER).
Geef alleen het certificaat voor één proxy door. Als een certificaatbundel wordt doorgegeven, mislukt de implementatie.
Het eindpunt van de proxyserver kan geen domein zijn
.local
.De proxyserver moet bereikbaar zijn vanaf alle IP-adressen binnen het IP-adresvoorvoegsel, inclusief het besturingsvlak en vm-IP-adressen van apparaten.
Er zijn slechts twee certificaten die relevant moeten zijn bij het implementeren van de Arc-resourcebrug achter een SSL-proxy:
SSL-certificaat voor uw SSL-proxy (zodat de beheercomputer en apparaat-VM uw proxy-FQDN vertrouwen en er een SSL-verbinding mee tot stand kan brengen)
SSL-certificaat van de Microsoft-downloadservers. Dit certificaat moet worden vertrouwd door uw proxyserver zelf, omdat de proxy de proxy is die de uiteindelijke verbinding tot stand heeft gebracht en het eindpunt moet vertrouwen. Niet-Windows-computers vertrouwen dit tweede certificaat mogelijk niet standaard, dus mogelijk moet u ervoor zorgen dat het wordt vertrouwd.
Als u Arc-resourcebrug wilt implementeren, moeten installatiekopieën worden gedownload naar de beheercomputer en vervolgens worden geüpload naar de on-premises privécloudgalerie. Als de downloadsnelheid van uw proxyserver wordt beperkt, kunt u mogelijk niet de vereiste installatiekopieën (~3,5 GB) downloaden binnen de toegewezen tijd (90 min).
Uitsluitingslijst voor geen proxy
Als een proxyserver wordt gebruikt, bevat de volgende tabel de lijst met adressen die moeten worden uitgesloten van de proxy door de noProxy
instellingen te configureren.
IP-adres | Reden voor uitsluiting |
---|---|
localhost, 127.0.0.1 | Localhost-verkeer |
.Svc | Intern Kubernetes-serviceverkeer (.svc) waarbij .svc een jokertekennaam vertegenwoordigt. Dit is vergelijkbaar met het zeggen van *.svc, maar er wordt geen gebruikt in dit schema. |
10.0.0.0/8 | privénetwerkadresruimte |
172.16.0.0/12 | Privénetwerkadresruimte - Kubernetes Service CIDR |
192.168.0.0/16 | Privénetwerkadresruimte - Kubernetes Pod CIDR |
contoso.com. | Mogelijk wilt u uw bedrijfsnaamruimte (.contoso.com) uitsluiten van omgeleid te worden via de proxy. Als u alle adressen in een domein wilt uitsluiten, moet u het domein toevoegen aan de noProxy lijst. Gebruik een voorloopperiode in plaats van een jokerteken (*) teken. In het voorbeeld worden adressen .contoso.com prefix1.contoso.com uitgesloten, prefix2.contoso.com enzovoort. |
De standaardwaarde is noProxy
localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
. Hoewel deze standaardwaarden voor veel netwerken werken, moet u mogelijk meer subnetbereiken en/of namen toevoegen aan de lijst met uitzonderingen. U kunt bijvoorbeeld uw bedrijfsnaamruimte (.contoso.com) uitsluiten van omgeleid te worden via de proxy. U kunt dit bereiken door de waarden in de noProxy
lijst op te geven.
Belangrijk
Wanneer u meerdere adressen voor de noProxy
instellingen vermeldt, voegt u na elke komma geen spatie toe om de adressen te scheiden. De adressen moeten onmiddellijk de komma's volgen.
Interne poort luisteren
Houd er rekening mee dat de VM van het apparaat is geconfigureerd om te luisteren op de volgende poorten. Deze poorten worden uitsluitend gebruikt voor interne processen en vereisen geen externe toegang:
- 8443 – Eindpunt voor Microsoft Entra Authentication Webhook
- 10257 – Eindpunt voor metrische gegevens van Arc-resourcebrug
- 10250 – Eindpunt voor metrische gegevens van arc-resourcebrug
- 2382 – Eindpunt voor metrische gegevens van arc-resourcebrug
Volgende stappen
- Bekijk het overzicht van de Azure Arc-resourcebrug voor meer informatie over vereisten en technische details.
- Meer informatie over beveiligingsconfiguratie en overwegingen voor Azure Arc-resourcebrug.
- Bekijk tips voor het oplossen van problemen met netwerken.