Wymagania dotyczące sieci usługi Azure Arc
W tym artykule wymieniono punkty końcowe, porty i protokoły wymagane dla usług i funkcji z obsługą usługi Azure Arc.
Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:
- Wszystkie połączenia są tcp, chyba że określono inaczej.
- Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
- Wszystkie połączenia są wychodzące, chyba że określono inaczej.
Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.
Punkty końcowe platformy Kubernetes z obsługą usługi Azure Arc
Łączność z punktami końcowymi opartymi na usłudze Arc Kubernetes jest wymagana dla wszystkich ofert usługi Arc opartych na platformie Kubernetes, w tym:
- Platforma Kubernetes z obsługą usługi Azure Arc
- Usługi App Services z obsługą usługi Azure Arc
- Uczenie maszynowe z obsługą usługi Azure Arc
- Usługi danych z obsługą usługi Azure Arc (tylko tryb łączności bezpośredniej)
Ważne
Agenci usługi Azure Arc wymagają następujących adresów URL ruchu wychodzącego do https://:443
działania.
W przypadku *.servicebus.windows.net
obiektów websocket należy włączyć dostęp wychodzący na zaporze i serwerze proxy.
Punkt końcowy (DNS) | opis |
---|---|
https://management.azure.com |
Wymagane, aby agent nawiązał połączenie z platformą Azure i zarejestrował klaster. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Punkt końcowy płaszczyzny danych dla agenta umożliwiający wypychanie informacji o stanie i pobieranie informacji o konfiguracji. |
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net |
Wymagany do pobierania i aktualizowania tokenów usługi Azure Resource Manager. |
https://mcr.microsoft.com https://*.data.mcr.microsoft.com |
Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc. |
https://gbl.his.arc.azure.com |
Wymagany do pobrania regionalnego punktu końcowego na potrzeby ściągania certyfikatów tożsamości zarządzanej przypisanej przez system. |
https://*.his.arc.azure.com |
Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system. |
https://k8connecthelm.azureedge.net |
az connectedk8s connect program Helm 3 służy do wdrażania agentów usługi Azure Arc w klastrze Kubernetes. Ten punkt końcowy jest potrzebny do pobrania klienta programu Helm, aby ułatwić wdrażanie pakietu helm agenta. |
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net |
W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej. |
*.servicebus.windows.net |
W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej. |
https://graph.microsoft.com/ |
Wymagane w przypadku skonfigurowania kontroli dostępu opartej na rolach platformy Azure. |
*.arc.azure.net |
Wymagane do zarządzania połączonymi klastrami w witrynie Azure Portal. |
https://<region>.obo.arc.azure.com:8084/ |
Wymagane po skonfigurowaniu połączenia klastra . |
https://linuxgeneva-microsoft.azurecr.io |
Wymagane w przypadku korzystania z rozszerzeń Kubernetes z obsługą usługi Azure Arc. |
Aby przetłumaczyć *.servicebus.windows.net
symbol wieloznaczny na określone punkty końcowe, użyj polecenia :
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2
.
Na przykład: *.<region>.arcdataservices.com
powinien znajdować się *.eastus2.arcdataservices.com
w regionie Wschodnie stany USA 2.
Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:
az account list-locations -o table
Get-AzLocation | Format-Table
Aby uzyskać więcej informacji, zobacz Wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc.
Usługi danych z obsługą usługi Azure Arc
W tej sekcji opisano wymagania specyficzne dla usług danych z obsługą usługi Azure Arc oprócz punktów końcowych platformy Kubernetes z obsługą usługi Arc wymienionych powyżej.
Usługa | Port | Adres URL | Kierunek | Uwagi |
---|---|---|---|---|
Wykres Helm (tylko tryb połączony bezpośrednio) | 443 | arcdataservicesrow1.azurecr.io |
Wychodzący | Aprowizuje inicjator danych usługi Azure Arc i obiekty na poziomie klastra, takie jak niestandardowe definicje zasobów, role klastra i powiązania roli klastra, są pobierane z usługi Azure Container Registry. |
Interfejsy API usługi Azure Monitor 1 | 443 | *.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com |
Wychodzący | Usługa Azure Data Studio i interfejs wiersza polecenia platformy Azure łączą się z interfejsami API usługi Azure Resource Manager w celu wysyłania i pobierania danych do i z platformy Azure w celu uzyskania niektórych funkcji. Zobacz Interfejsy API usługi Azure Monitor. |
Usługa przetwarzania danych usługi Azure Arc 1 | 443 | *.<region>.arcdataservices.com 2 |
Wychodzący |
1 Wymaganie zależy od trybu wdrożenia:
- W przypadku trybu bezpośredniego zasobnik kontrolera w klastrze Kubernetes musi mieć łączność wychodzącą z punktami końcowymi w celu wysyłania dzienników, metryk, spisu i informacji rozliczeniowych do usługi Azure Monitor/Data Processing Service.
- W przypadku trybu pośredniego maszyna, która działa
az arcdata dc upload
, musi mieć łączność wychodzącą z usługami Azure Monitor i Data Processing Service.
2 W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net
.
Interfejsy API usługi Azure Monitor
Łączność z narzędzia Azure Data Studio do serwera interfejsu API Kubernetes korzysta z uwierzytelniania i szyfrowania platformy Kubernetes, które zostało ustanowione. Każdy użytkownik korzystający z narzędzia Azure Data Studio lub interfejsu wiersza polecenia musi mieć uwierzytelnione połączenie z interfejsem API platformy Kubernetes, aby wykonać wiele akcji związanych z usługami danych z obsługą usługi Azure Arc.
Aby uzyskać więcej informacji, zobacz Tryby łączności i wymagania.
Serwery z obsługą usługi Azure Arc
Łączność z punktami końcowymi serwera z obsługą usługi Arc jest wymagana dla:
Program SQL Server włączony przez usługę Azure Arc
Platforma VMware vSphere z obsługą usługi Azure Arc *
Program System Center Virtual Machine Manager z obsługą usługi Azure Arc *
Usługa Azure Stack z obsługą usługi Azure Arc (HCI) *
*Tylko wymagane do zarządzania gościem włączone.
Punkty końcowe serwera z obsługą usługi Azure Arc są wymagane dla wszystkich ofert usługi Arc opartych na serwerze.
Konfiguracja sieci
Agent połączonej maszyny platformy Azure dla systemów Linux i Windows komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Domyślnie agent używa domyślnej trasy do Internetu, aby uzyskać dostęp do usług platformy Azure. Opcjonalnie można skonfigurować agenta do korzystania z serwera proxy, jeśli sieć tego wymaga. Serwery proxy nie zabezpieczają agenta połączonej maszyny, ponieważ ruch jest już zaszyfrowany.
Aby dodatkowo zabezpieczyć łączność sieciową z usługą Azure Arc, zamiast korzystać z sieci publicznych i serwerów proxy, możesz zaimplementować zakres usługi Azure Arc Private Link.
Uwaga
Serwery z obsługą usługi Azure Arc nie obsługują używania bramy usługi Log Analytics jako serwera proxy dla agenta połączonej maszyny. Jednocześnie agent usługi Azure Monitor obsługuje bramę usługi Log Analytics.
Jeśli łączność wychodząca jest ograniczona przez zaporę lub serwer proxy, upewnij się, że adresy URL i tagi usług wymienione poniżej nie są blokowane.
Tagi usługi
Pamiętaj, aby zezwolić na dostęp do następujących tagów usługi:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (jeśli używasz Centrum administracyjnego systemu Windows do zarządzania serwerami z obsługą usługi Arc)
Aby uzyskać listę adresów IP dla każdego tagu usługi/regionu, zobacz plik JSON Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna. Firma Microsoft publikuje cotygodniowe aktualizacje zawierające każdą usługę platformy Azure i używane zakresy adresów IP. Te informacje w pliku JSON są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Adresy IP mogą ulec zmianie. Jeśli zakresy adresów IP są wymagane do konfiguracji zapory, należy użyć tagu usługi AzureCloud , aby zezwolić na dostęp do wszystkich usług platformy Azure. Nie wyłączaj monitorowania zabezpieczeń ani inspekcji tych adresów URL, zezwalaj na nie tak jak w przypadku innego ruchu internetowego.
Jeśli filtrujesz ruch do tagu usługi AzureArcInfrastructure, musisz zezwolić na ruch do pełnego zakresu tagów usługi. Zakresy anonsowane dla poszczególnych regionów, na przykład AzureArcInfrastructure.AustraliaEast, nie obejmują zakresów adresów IP używanych przez globalne składniki usługi. Określony adres IP rozpoznany dla tych punktów końcowych może ulec zmianie w czasie w udokumentowanych zakresach, więc wystarczy użyć narzędzia odnośnika do zidentyfikowania bieżącego adresu IP dla danego punktu końcowego i umożliwienia dostępu do niego, aby zapewnić niezawodny dostęp.
Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej.
Adresy URL
W poniższej tabeli wymieniono adresy URL, które muszą być dostępne w celu zainstalowania i użycia agenta połączonej maszyny.
Uwaga
Podczas konfigurowania agenta połączonej maszyny platformy Azure w celu komunikowania się z platformą Azure za pośrednictwem łącza prywatnego niektóre punkty końcowe muszą być nadal dostępne za pośrednictwem Internetu. Kolumna Obsługa łącza prywatnego w poniższej tabeli pokazuje, które punkty końcowe można skonfigurować przy użyciu prywatnego punktu końcowego. Jeśli w kolumnie jest wyświetlana wartość Publiczna dla punktu końcowego, nadal musisz zezwolić na dostęp do tego punktu końcowego za pośrednictwem zapory organizacji i/lub serwera proxy, aby agent mógł działać. Ruch sieciowy jest kierowany przez prywatny punkt końcowy, jeśli zostanie przypisany zakres łącza prywatnego.
Zasób agenta | opis | Jeśli jest to wymagane | Obsługa łącza prywatnego |
---|---|---|---|
aka.ms |
Służy do rozpoznawania skryptu pobierania podczas instalacji | Tylko w czasie instalacji | Publiczne |
download.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Windows | Tylko w czasie instalacji | Publiczne |
packages.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Linux | Tylko w czasie instalacji | Publiczne |
login.microsoftonline.com |
Microsoft Entra ID | Zawsze | Publiczne |
*login.microsoft.com |
Microsoft Entra ID | Zawsze | Publiczne |
pas.windows.net |
Microsoft Entra ID | Zawsze | Publiczne |
management.azure.com |
Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc | Podczas nawiązywania połączenia lub odłączania serwera tylko | Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami |
*.his.arc.azure.com |
Metadane i usługi tożsamości hybrydowej | Zawsze | Prywatne |
*.guestconfiguration.azure.com |
Zarządzanie rozszerzeniami i usługi konfiguracji gościa | Zawsze | Prywatne |
guestnotificationservice.azure.com , *.guestnotificationservice.azure.com |
Usługa powiadomień dla scenariuszy rozszerzenia i łączności | Zawsze | Publiczne |
azgn*.servicebus.windows.net |
Usługa powiadomień dla scenariuszy rozszerzenia i łączności | Zawsze | Publiczne |
*.servicebus.windows.net |
W przypadku scenariuszy windows Admin Center i SSH | W przypadku korzystania z protokołu SSH lub Centrum administracyjnego systemu Windows z platformy Azure | Publiczne |
*.waconazure.com |
W przypadku łączności z usługą Windows Admin Center | W przypadku korzystania z Centrum administracyjnego systemu Windows | Publiczne |
*.blob.core.windows.net |
Pobieranie źródła dla rozszerzeń serwerów z obsługą usługi Azure Arc | Zawsze, z wyjątkiem przypadków korzystania z prywatnych punktów końcowych | Nieużytowane podczas konfigurowania łącza prywatnego |
dc.services.visualstudio.com |
Telemetria agenta | Opcjonalne, nieużytne w wersji agenta w wersji 1.24 lub nowszej | Publiczne |
*.<region>.arcdataservices.com 1 |
W przypadku programu Arc SQL Server. Wysyła usługę przetwarzania danych, dane telemetryczne usługi i monitorowanie wydajności na platformę Azure. Zezwala na protokół TLS 1.3. | Zawsze | Publiczne |
www.microsoft.com/pkiops/certs |
Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) | W przypadku korzystania z jednostek ESU z włączoną przez usługę Azure Arc. Wymagane zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. | Publiczne |
1 Aby uzyskać szczegółowe informacje o tym, jakie informacje są zbierane i wysyłane, zapoznaj się z tematem Zbieranie danych i raportowanie dla programu SQL Server włączonego przez usługę Azure Arc.
W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net
. Począwszy od 12 marca 2024 r. zarówno przetwarzanie danych usługi Azure Arc, jak i dane telemetryczne usługi Azure Arc używają funkcji *.<region>.arcdataservices.com
.
Uwaga
Aby przetłumaczyć *.servicebus.windows.net
symbol wieloznaczny na określone punkty końcowe, użyj polecenia \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
. W tym poleceniu należy określić region dla symbolu zastępczego <region>
. Te punkty końcowe mogą okresowo się zmieniać.
Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2
.
Na przykład: *.<region>.arcdataservices.com
powinien znajdować się *.eastus2.arcdataservices.com
w regionie Wschodnie stany USA 2.
Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:
az account list-locations -o table
Get-AzLocation | Format-Table
Protokół Transport Layer Security 1.2
Aby zapewnić bezpieczeństwo danych przesyłanych na platformę Azure, zdecydowanie zachęcamy do skonfigurowania maszyny do korzystania z protokołu Transport Layer Security (TLS) 1.2. Starsze wersje protokołu TLS/Secure Sockets Layer (SSL) zostały uznane za podatne na zagrożenia i mimo że nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane.
Platforma/język | Pomoc techniczna | Więcej informacji |
---|---|---|
Linux | Dystrybucje systemu Linux mają tendencję do polegania na protokole OpenSSL na potrzeby obsługi protokołu TLS 1.2. | Sprawdź dziennik zmian protokołu OpenSSL, aby potwierdzić, że jest obsługiwana twoja wersja protokołu OpenSSL. |
Windows Server 2012 R2 i nowsze | Obsługiwane i domyślnie włączone. | Aby potwierdzić, że nadal używasz ustawień domyślnych. |
Podzestaw punktów końcowych tylko dla jednostek ESU
Jeśli używasz serwerów z obsługą usługi Azure Arc tylko w przypadku rozszerzonych aktualizacji zabezpieczeń dla następujących produktów lub obu następujących produktów:
- Windows Server 2012
- SQL Server 2012
Możesz włączyć następujący podzbiór punktów końcowych:
Zasób agenta | opis | Jeśli jest to wymagane | Punkt końcowy używany z linkiem prywatnym |
---|---|---|---|
aka.ms |
Służy do rozpoznawania skryptu pobierania podczas instalacji | Tylko w czasie instalacji | Publiczne |
download.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Windows | Tylko w czasie instalacji | Publiczne |
login.windows.net |
Microsoft Entra ID | Zawsze | Publiczne |
login.microsoftonline.com |
Microsoft Entra ID | Zawsze | Publiczne |
*login.microsoft.com |
Microsoft Entra ID | Zawsze | Publiczne |
management.azure.com |
Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc | Podczas nawiązywania połączenia lub odłączania serwera tylko | Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami |
*.his.arc.azure.com |
Metadane i usługi tożsamości hybrydowej | Zawsze | Prywatne |
*.guestconfiguration.azure.com |
Zarządzanie rozszerzeniami i usługi konfiguracji gościa | Zawsze | Prywatne |
www.microsoft.com/pkiops/certs |
Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) | Zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. | Publiczne |
*.<region>.arcdataservices.com |
Usługa przetwarzania danych i dane telemetryczne usługi Azure Arc. | ESU programu SQL Server | Publiczne |
*.blob.core.windows.net |
Pobierz pakiet rozszerzenia programu Sql Server | ESU programu SQL Server | Nie jest wymagane w przypadku korzystania z usługi Private Link |
Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci agenta połączonej maszyny.
Mostek zasobów usługi Azure Arc
W tej sekcji opisano dodatkowe wymagania dotyczące sieci specyficzne dla wdrażania mostka zasobów usługi Azure Arc w przedsiębiorstwie. Te wymagania dotyczą również programu VMware vSphere z obsługą usługi Azure Arc i programu System Center Virtual Machine Manager z obsługą usługi Azure Arc.
Wymagania dotyczące łączności wychodzącej
Poniższe adresy URL zapory i serwera proxy muszą być dozwolone, aby umożliwić komunikację z maszyny zarządzania, maszyny wirtualnej urządzenia i adresu IP płaszczyzny sterowania do wymaganych adresów URL mostka zasobów usługi Arc.
Lista dozwolonych adresów URL zapory/serwera proxy
Usługa | Port | Adres URL | Kierunek | Uwagi |
---|---|---|---|---|
Punkt końcowy interfejsu API usługi SFS | 443 | msk8s.api.cdp.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Pobierz katalog produktów, bity produktów i obrazy systemu operacyjnego z usługi SFS. |
Pobieranie obrazu mostka zasobów (urządzenia) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Pobierz obrazy systemu operacyjnego mostka zasobów usługi Arc. |
Microsoft Container Registry | 443 | mcr.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Odnajdź obrazy kontenerów dla mostka zasobów usługi Arc. |
Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Pobierz obrazy kontenerów dla mostka zasobów usługi Arc. |
Windows NTP Server | 123 | time.windows.com |
Adresy IP maszyny zarządzania i urządzenia (jeśli domyślna funkcja Hyper-V to Windows NTP) wymagają połączenia wychodzącego na UDP | Synchronizacja czasu systemu operacyjnego na maszynie wirtualnej i maszynie zarządzania urządzenia (Windows NTP). |
Azure Resource Manager | 443 | management.azure.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Zarządzanie zasobami na platformie Azure. |
Microsoft Graph | 443 | graph.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagana dla kontroli dostępu opartej na rolach platformy Azure. |
Azure Resource Manager | 443 | login.microsoftonline.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagane do zaktualizowania tokenów usługi ARM. |
Azure Resource Manager | 443 | *.login.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagane do zaktualizowania tokenów usługi ARM. |
Azure Resource Manager | 443 | login.windows.net |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagane do zaktualizowania tokenów usługi ARM. |
Usługa Dataplane mostka zasobów (urządzenie) | 443 | *.dp.prod.appliances.azure.com |
Adres IP maszyn wirtualnych urządzeń wymaga połączenia wychodzącego. | Komunikacja z dostawcą zasobów na platformie Azure. |
Pobieranie obrazu kontenera mostka zasobów (urządzenia) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagane do ściągania obrazów kontenerów. |
Tożsamość zarządzana | 443 | *.his.arc.azure.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system. |
Pobieranie obrazu kontenera usługi Azure Arc for Kubernetes | 443 | azurearcfork8s.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Ściąganie obrazów kontenerów. |
Agent usługi Azure Arc | 443 | k8connecthelm.azureedge.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | wdrażanie agenta usługi Azure Arc. |
Usługa telemetrii ADHS | 443 | adhs.events.data.microsoft.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła dane diagnostyczne firmy Microsoft z maszyny wirtualnej urządzenia. |
Usługa danych zdarzeń firmy Microsoft | 443 | v20.events.data.microsoft.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wysyłanie danych diagnostycznych z systemu Windows. |
Zbieranie dzienników dla mostka zasobów usługi Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wypychanie dzienników dla składników zarządzanych przez urządzenie. |
Pobieranie składników mostka zasobów | 443 | kvamanagementoperator.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Artefakty ściągania dla składników zarządzanych przez urządzenie. |
Menedżer pakietów open source firmy Microsoft | 443 | packages.microsoft.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Pobierz pakiet instalacyjny systemu Linux. |
Lokalizacja niestandardowa | 443 | sts.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagana dla lokalizacji niestandardowej. |
Azure Arc | 443 | guestnotificationservice.azure.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagane dla usługi Azure Arc. |
Lokalizacja niestandardowa | 443 | k8sconnectcsp.azureedge.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagana dla lokalizacji niestandardowej. |
Dane diagnostyczne | 443 | gcs.prod.monitoring.core.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
Dane diagnostyczne | 443 | *.prod.microsoftmetrics.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
Dane diagnostyczne | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
Dane diagnostyczne | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
Azure Portal | 443 | *.arc.azure.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Zarządzanie klastrem w witrynie Azure Portal. |
Interfejs wiersza polecenia i rozszerzenie platformy Azure | 443 | *.blob.core.windows.net |
Maszyna zarządzania wymaga połączenia wychodzącego. | Pobierz Instalator i rozszerzenie interfejsu wiersza polecenia platformy Azure. |
Azure Arc Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Maszyna zarządzania wymaga połączenia wychodzącego. | Plan danych używany dla agenta usługi Arc. |
Pakiet języka Python | 443 | pypi.org , *.pypi.org |
Maszyna zarządzania wymaga połączenia wychodzącego. | Zweryfikuj wersje platformy Kubernetes i języka Python. |
Interfejs wiersza polecenia platformy Azure | 443 | pythonhosted.org , *.pythonhosted.org |
Maszyna zarządzania wymaga połączenia wychodzącego. | Pakiety języka Python na potrzeby instalacji interfejsu wiersza polecenia platformy Azure. |
Wymagania dotyczące łączności przychodzącej
Komunikacja między następującymi portami musi być dozwolona z maszyny zarządzania, adresów IP maszyny wirtualnej urządzenia i adresów IP płaszczyzny sterowania. Upewnij się, że te porty są otwarte i że ruch nie jest kierowany przez serwer proxy, aby ułatwić wdrażanie i konserwację mostka zasobów usługi Arc.
Usługa | Port | Adres IP/maszyna | Kierunek | Uwagi |
---|---|---|---|---|
SSH | 22 | appliance VM IPs i Management machine |
Dwukierunkowe | Służy do wdrażania i obsługi maszyny wirtualnej urządzenia. |
Serwer interfejsu API usługi Kubernetes | 6443 | appliance VM IPs i Management machine |
Dwukierunkowy | Zarządzanie maszyną wirtualną urządzenia. |
SSH | 22 | control plane IP i Management machine |
Dwukierunkowe | Służy do wdrażania i obsługi maszyny wirtualnej urządzenia. |
Serwer interfejsu API usługi Kubernetes | 6443 | control plane IP i Management machine |
Dwukierunkowy | Zarządzanie maszyną wirtualną urządzenia. |
HTTPS | 443 | private cloud control plane address i Management machine |
Maszyna zarządzania wymaga połączenia wychodzącego. | Komunikacja z płaszczyzną sterowania (np. adres VMware vCenter). |
Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci mostka zasobów usługi Azure Arc.
Platforma VMware vSphere z obsługą usługi Azure Arc
Platforma VMware vSphere z obsługą usługi Azure Arc wymaga również następujących elementów:
Usługa | Port | Adres URL | Kierunek | Uwagi |
---|---|---|---|---|
vCenter Server | 443 | Adres URL serwera vCenter | Adres IP maszyny wirtualnej urządzenia i punkt końcowy płaszczyzny sterowania wymagają połączenia wychodzącego. | Używany przez serwer vCenter do komunikowania się z maszyną wirtualną urządzenia i płaszczyzną sterowania. |
Rozszerzenie klastra VMware | 443 | azureprivatecloud.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Ściąganie obrazów kontenerów dla rozszerzenia klastra Microsoft.VMWare i Microsoft.AVS. |
Interfejs wiersza polecenia platformy Azure i rozszerzenia interfejsu wiersza polecenia platformy Azure | 443 | *.blob.core.windows.net |
Maszyna zarządzania wymaga połączenia wychodzącego. | Pobierz instalator interfejsu wiersza polecenia platformy Azure i rozszerzenia interfejsu wiersza polecenia platformy Azure. |
Azure Resource Manager | 443 | management.azure.com |
Maszyna zarządzania wymaga połączenia wychodzącego. | Wymagane do tworzenia/aktualizowania zasobów na platformie Azure przy użyciu usługi ARM. |
Wykres helm dla agentów usługi Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Maszyna zarządzania wymaga połączenia wychodzącego. | Punkt końcowy płaszczyzny danych do pobierania informacji o konfiguracji agentów usługi Arc. |
Interfejs wiersza polecenia platformy Azure | 443 | - login.microsoftonline.com - aka.ms |
Maszyna zarządzania wymaga połączenia wychodzącego. | Wymagany do pobierania i aktualizowania tokenów usługi Azure Resource Manager. |
Aby uzyskać więcej informacji, zobacz Macierz obsługi dla oprogramowania VMware vSphere z obsługą usługi Azure Arc.
Program System Center Virtual Machine Manager z obsługą usługi Azure Arc
Program System Center Virtual Machine Manager (SCVMM) z obsługą usługi Azure Arc wymaga również następujących elementów:
Usługa | Port | Adres URL | Kierunek | Uwagi |
---|---|---|---|---|
Serwer zarządzania programu SCVMM | 443 | Adres URL serwera zarządzania PROGRAMU SCVMM | Adres IP maszyny wirtualnej urządzenia i punkt końcowy płaszczyzny sterowania wymagają połączenia wychodzącego. | Używany przez serwer SCVMM do komunikowania się z maszyną wirtualną urządzenia i płaszczyzną sterowania. |
Aby uzyskać więcej informacji, zobacz Omówienie programu System Center Virtual Machine Manager z obsługą usługi Arc.
Dodatkowe punkty końcowe
W zależności od scenariusza może być konieczna łączność z innymi adresami URL, takimi jak te używane przez witrynę Azure Portal, narzędzia do zarządzania lub inne usługi platformy Azure. W szczególności przejrzyj te listy, aby zapewnić łączność z dowolnymi niezbędnymi punktami końcowymi: