Udostępnij za pośrednictwem


Wymagania dotyczące sieci usługi Azure Arc

W tym artykule wymieniono punkty końcowe, porty i protokoły wymagane dla usług i funkcji z obsługą usługi Azure Arc.

Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:

  • Wszystkie połączenia są tcp, chyba że określono inaczej.
  • Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
  • Wszystkie połączenia są wychodzące, chyba że określono inaczej.

Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.

Punkty końcowe platformy Kubernetes z obsługą usługi Azure Arc

Łączność z punktami końcowymi opartymi na usłudze Arc Kubernetes jest wymagana dla wszystkich ofert usługi Arc opartych na platformie Kubernetes, w tym:

  • Platforma Kubernetes z obsługą usługi Azure Arc
  • Usługi App Services z obsługą usługi Azure Arc
  • Uczenie maszynowe z obsługą usługi Azure Arc
  • Usługi danych z obsługą usługi Azure Arc (tylko tryb łączności bezpośredniej)

Ważne

Agenci usługi Azure Arc wymagają następujących adresów URL ruchu wychodzącego do https://:443 działania. W przypadku *.servicebus.windows.netobiektów websocket należy włączyć dostęp wychodzący na zaporze i serwerze proxy.

Punkt końcowy (DNS) opis
https://management.azure.com Wymagane, aby agent nawiązał połączenie z platformą Azure i zarejestrował klaster.
https://<region>.dp.kubernetesconfiguration.azure.com Punkt końcowy płaszczyzny danych dla agenta umożliwiający wypychanie informacji o stanie i pobieranie informacji o konfiguracji.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
Wymagany do pobierania i aktualizowania tokenów usługi Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc.
https://gbl.his.arc.azure.com Wymagany do pobrania regionalnego punktu końcowego na potrzeby ściągania certyfikatów tożsamości zarządzanej przypisanej przez system.
https://*.his.arc.azure.com Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
https://k8connecthelm.azureedge.net az connectedk8s connect program Helm 3 służy do wdrażania agentów usługi Azure Arc w klastrze Kubernetes. Ten punkt końcowy jest potrzebny do pobrania klienta programu Helm, aby ułatwić wdrażanie pakietu helm agenta.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej.
*.servicebus.windows.net W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej.
https://graph.microsoft.com/ Wymagane w przypadku skonfigurowania kontroli dostępu opartej na rolach platformy Azure.
*.arc.azure.net Wymagane do zarządzania połączonymi klastrami w witrynie Azure Portal.
https://<region>.obo.arc.azure.com:8084/ Wymagane po skonfigurowaniu połączenia klastra .
https://linuxgeneva-microsoft.azurecr.io Wymagane w przypadku korzystania z rozszerzeń Kubernetes z obsługą usługi Azure Arc.

Aby przetłumaczyć *.servicebus.windows.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia :

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.

Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.

Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:

az account list-locations -o table
Get-AzLocation | Format-Table

Aby uzyskać więcej informacji, zobacz Wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc.

Usługi danych z obsługą usługi Azure Arc

W tej sekcji opisano wymagania specyficzne dla usług danych z obsługą usługi Azure Arc oprócz punktów końcowych platformy Kubernetes z obsługą usługi Arc wymienionych powyżej.

Usługa Port Adres URL Kierunek Uwagi
Wykres Helm (tylko tryb połączony bezpośrednio) 443 arcdataservicesrow1.azurecr.io Wychodzący Aprowizuje inicjator danych usługi Azure Arc i obiekty na poziomie klastra, takie jak niestandardowe definicje zasobów, role klastra i powiązania roli klastra, są pobierane z usługi Azure Container Registry.
Interfejsy API usługi Azure Monitor 1 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Wychodzący Usługa Azure Data Studio i interfejs wiersza polecenia platformy Azure łączą się z interfejsami API usługi Azure Resource Manager w celu wysyłania i pobierania danych do i z platformy Azure w celu uzyskania niektórych funkcji. Zobacz Interfejsy API usługi Azure Monitor.
Usługa przetwarzania danych usługi Azure Arc 1 443 *.<region>.arcdataservices.com 2 Wychodzący

1 Wymaganie zależy od trybu wdrożenia:

  • W przypadku trybu bezpośredniego zasobnik kontrolera w klastrze Kubernetes musi mieć łączność wychodzącą z punktami końcowymi w celu wysyłania dzienników, metryk, spisu i informacji rozliczeniowych do usługi Azure Monitor/Data Processing Service.
  • W przypadku trybu pośredniego maszyna, która działa az arcdata dc upload , musi mieć łączność wychodzącą z usługami Azure Monitor i Data Processing Service.

2 W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net.

Interfejsy API usługi Azure Monitor

Łączność z narzędzia Azure Data Studio do serwera interfejsu API Kubernetes korzysta z uwierzytelniania i szyfrowania platformy Kubernetes, które zostało ustanowione. Każdy użytkownik korzystający z narzędzia Azure Data Studio lub interfejsu wiersza polecenia musi mieć uwierzytelnione połączenie z interfejsem API platformy Kubernetes, aby wykonać wiele akcji związanych z usługami danych z obsługą usługi Azure Arc.

Aby uzyskać więcej informacji, zobacz Tryby łączności i wymagania.

Serwery z obsługą usługi Azure Arc

Łączność z punktami końcowymi serwera z obsługą usługi Arc jest wymagana dla:

  • Program SQL Server włączony przez usługę Azure Arc

  • Platforma VMware vSphere z obsługą usługi Azure Arc *

  • Program System Center Virtual Machine Manager z obsługą usługi Azure Arc *

  • Usługa Azure Stack z obsługą usługi Azure Arc (HCI) *

    *Tylko wymagane do zarządzania gościem włączone.

Punkty końcowe serwera z obsługą usługi Azure Arc są wymagane dla wszystkich ofert usługi Arc opartych na serwerze.

Konfiguracja sieci

Agent połączonej maszyny platformy Azure dla systemów Linux i Windows komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Domyślnie agent używa domyślnej trasy do Internetu, aby uzyskać dostęp do usług platformy Azure. Opcjonalnie można skonfigurować agenta do korzystania z serwera proxy, jeśli sieć tego wymaga. Serwery proxy nie zabezpieczają agenta połączonej maszyny, ponieważ ruch jest już zaszyfrowany.

Aby dodatkowo zabezpieczyć łączność sieciową z usługą Azure Arc, zamiast korzystać z sieci publicznych i serwerów proxy, możesz zaimplementować zakres usługi Azure Arc Private Link.

Uwaga

Serwery z obsługą usługi Azure Arc nie obsługują używania bramy usługi Log Analytics jako serwera proxy dla agenta połączonej maszyny. Jednocześnie agent usługi Azure Monitor obsługuje bramę usługi Log Analytics.

Jeśli łączność wychodząca jest ograniczona przez zaporę lub serwer proxy, upewnij się, że adresy URL i tagi usług wymienione poniżej nie są blokowane.

Tagi usługi

Pamiętaj, aby zezwolić na dostęp do następujących tagów usługi:

Aby uzyskać listę adresów IP dla każdego tagu usługi/regionu, zobacz plik JSON Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna. Firma Microsoft publikuje cotygodniowe aktualizacje zawierające każdą usługę platformy Azure i używane zakresy adresów IP. Te informacje w pliku JSON są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Adresy IP mogą ulec zmianie. Jeśli zakresy adresów IP są wymagane do konfiguracji zapory, należy użyć tagu usługi AzureCloud , aby zezwolić na dostęp do wszystkich usług platformy Azure. Nie wyłączaj monitorowania zabezpieczeń ani inspekcji tych adresów URL, zezwalaj na nie tak jak w przypadku innego ruchu internetowego.

Jeśli filtrujesz ruch do tagu usługi AzureArcInfrastructure, musisz zezwolić na ruch do pełnego zakresu tagów usługi. Zakresy anonsowane dla poszczególnych regionów, na przykład AzureArcInfrastructure.AustraliaEast, nie obejmują zakresów adresów IP używanych przez globalne składniki usługi. Określony adres IP rozpoznany dla tych punktów końcowych może ulec zmianie w czasie w udokumentowanych zakresach, więc wystarczy użyć narzędzia odnośnika do zidentyfikowania bieżącego adresu IP dla danego punktu końcowego i umożliwienia dostępu do niego, aby zapewnić niezawodny dostęp.

Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej.

Adresy URL

W poniższej tabeli wymieniono adresy URL, które muszą być dostępne w celu zainstalowania i użycia agenta połączonej maszyny.

Uwaga

Podczas konfigurowania agenta połączonej maszyny platformy Azure w celu komunikowania się z platformą Azure za pośrednictwem łącza prywatnego niektóre punkty końcowe muszą być nadal dostępne za pośrednictwem Internetu. Kolumna Obsługa łącza prywatnego w poniższej tabeli pokazuje, które punkty końcowe można skonfigurować przy użyciu prywatnego punktu końcowego. Jeśli w kolumnie jest wyświetlana wartość Publiczna dla punktu końcowego, nadal musisz zezwolić na dostęp do tego punktu końcowego za pośrednictwem zapory organizacji i/lub serwera proxy, aby agent mógł działać. Ruch sieciowy jest kierowany przez prywatny punkt końcowy, jeśli zostanie przypisany zakres łącza prywatnego.

Zasób agenta opis Jeśli jest to wymagane Obsługa łącza prywatnego
aka.ms Służy do rozpoznawania skryptu pobierania podczas instalacji Tylko w czasie instalacji Publiczne
download.microsoft.com Służy do pobierania pakietu instalacyjnego systemu Windows Tylko w czasie instalacji Publiczne
packages.microsoft.com Służy do pobierania pakietu instalacyjnego systemu Linux Tylko w czasie instalacji Publiczne
login.microsoftonline.com Microsoft Entra ID Zawsze Publiczne
*login.microsoft.com Microsoft Entra ID Zawsze Publiczne
pas.windows.net Microsoft Entra ID Zawsze Publiczne
management.azure.com Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc Podczas nawiązywania połączenia lub odłączania serwera tylko Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami
*.his.arc.azure.com Metadane i usługi tożsamości hybrydowej Zawsze Prywatne
*.guestconfiguration.azure.com Zarządzanie rozszerzeniami i usługi konfiguracji gościa Zawsze Prywatne
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Usługa powiadomień dla scenariuszy rozszerzenia i łączności Zawsze Publiczne
azgn*.servicebus.windows.net Usługa powiadomień dla scenariuszy rozszerzenia i łączności Zawsze Publiczne
*.servicebus.windows.net W przypadku scenariuszy windows Admin Center i SSH W przypadku korzystania z protokołu SSH lub Centrum administracyjnego systemu Windows z platformy Azure Publiczne
*.waconazure.com W przypadku łączności z usługą Windows Admin Center W przypadku korzystania z Centrum administracyjnego systemu Windows Publiczne
*.blob.core.windows.net Pobieranie źródła dla rozszerzeń serwerów z obsługą usługi Azure Arc Zawsze, z wyjątkiem przypadków korzystania z prywatnych punktów końcowych Nieużytowane podczas konfigurowania łącza prywatnego
dc.services.visualstudio.com Telemetria agenta Opcjonalne, nieużytne w wersji agenta w wersji 1.24 lub nowszej Publiczne
*.<region>.arcdataservices.com 1 W przypadku programu Arc SQL Server. Wysyła usługę przetwarzania danych, dane telemetryczne usługi i monitorowanie wydajności na platformę Azure. Zezwala na protokół TLS 1.3. Zawsze Publiczne
www.microsoft.com/pkiops/certs Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) W przypadku korzystania z jednostek ESU z włączoną przez usługę Azure Arc. Wymagane zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. Publiczne

1 Aby uzyskać szczegółowe informacje o tym, jakie informacje są zbierane i wysyłane, zapoznaj się z tematem Zbieranie danych i raportowanie dla programu SQL Server włączonego przez usługę Azure Arc.

W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net. Począwszy od 12 marca 2024 r. zarówno przetwarzanie danych usługi Azure Arc, jak i dane telemetryczne usługi Azure Arc używają funkcji *.<region>.arcdataservices.com.

Uwaga

Aby przetłumaczyć *.servicebus.windows.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. W tym poleceniu należy określić region dla symbolu zastępczego <region> . Te punkty końcowe mogą okresowo się zmieniać.

Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.

Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.

Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:

az account list-locations -o table
Get-AzLocation | Format-Table

Protokół Transport Layer Security 1.2

Aby zapewnić bezpieczeństwo danych przesyłanych na platformę Azure, zdecydowanie zachęcamy do skonfigurowania maszyny do korzystania z protokołu Transport Layer Security (TLS) 1.2. Starsze wersje protokołu TLS/Secure Sockets Layer (SSL) zostały uznane za podatne na zagrożenia i mimo że nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane.

Platforma/język Pomoc techniczna Więcej informacji
Linux Dystrybucje systemu Linux mają tendencję do polegania na protokole OpenSSL na potrzeby obsługi protokołu TLS 1.2. Sprawdź dziennik zmian protokołu OpenSSL, aby potwierdzić, że jest obsługiwana twoja wersja protokołu OpenSSL.
Windows Server 2012 R2 i nowsze Obsługiwane i domyślnie włączone. Aby potwierdzić, że nadal używasz ustawień domyślnych.

Podzestaw punktów końcowych tylko dla jednostek ESU

Jeśli używasz serwerów z obsługą usługi Azure Arc tylko w przypadku rozszerzonych aktualizacji zabezpieczeń dla następujących produktów lub obu następujących produktów:

  • Windows Server 2012
  • SQL Server 2012

Możesz włączyć następujący podzbiór punktów końcowych:

Zasób agenta opis Jeśli jest to wymagane Punkt końcowy używany z linkiem prywatnym
aka.ms Służy do rozpoznawania skryptu pobierania podczas instalacji Tylko w czasie instalacji Publiczne
download.microsoft.com Służy do pobierania pakietu instalacyjnego systemu Windows Tylko w czasie instalacji Publiczne
login.windows.net Microsoft Entra ID Zawsze Publiczne
login.microsoftonline.com Microsoft Entra ID Zawsze Publiczne
*login.microsoft.com Microsoft Entra ID Zawsze Publiczne
management.azure.com Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc Podczas nawiązywania połączenia lub odłączania serwera tylko Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami
*.his.arc.azure.com Metadane i usługi tożsamości hybrydowej Zawsze Prywatne
*.guestconfiguration.azure.com Zarządzanie rozszerzeniami i usługi konfiguracji gościa Zawsze Prywatne
www.microsoft.com/pkiops/certs Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) Zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. Publiczne
*.<region>.arcdataservices.com Usługa przetwarzania danych i dane telemetryczne usługi Azure Arc. ESU programu SQL Server Publiczne
*.blob.core.windows.net Pobierz pakiet rozszerzenia programu Sql Server ESU programu SQL Server Nie jest wymagane w przypadku korzystania z usługi Private Link

Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci agenta połączonej maszyny.

Mostek zasobów usługi Azure Arc

W tej sekcji opisano dodatkowe wymagania dotyczące sieci specyficzne dla wdrażania mostka zasobów usługi Azure Arc w przedsiębiorstwie. Te wymagania dotyczą również programu VMware vSphere z obsługą usługi Azure Arc i programu System Center Virtual Machine Manager z obsługą usługi Azure Arc.

Wymagania dotyczące łączności wychodzącej

Poniższe adresy URL zapory i serwera proxy muszą być dozwolone, aby umożliwić komunikację z maszyny zarządzania, maszyny wirtualnej urządzenia i adresu IP płaszczyzny sterowania do wymaganych adresów URL mostka zasobów usługi Arc.

Lista dozwolonych adresów URL zapory/serwera proxy

Usługa Port Adres URL Kierunek Uwagi
Punkt końcowy interfejsu API usługi SFS 443 msk8s.api.cdp.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Pobierz katalog produktów, bity produktów i obrazy systemu operacyjnego z usługi SFS.
Pobieranie obrazu mostka zasobów (urządzenia) 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Pobierz obrazy systemu operacyjnego mostka zasobów usługi Arc.
Microsoft Container Registry 443 mcr.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Odnajdź obrazy kontenerów dla mostka zasobów usługi Arc.
Microsoft Container Registry 443 *.data.mcr.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Pobierz obrazy kontenerów dla mostka zasobów usługi Arc.
Windows NTP Server 123 time.windows.com Adresy IP maszyny zarządzania i urządzenia (jeśli domyślna funkcja Hyper-V to Windows NTP) wymagają połączenia wychodzącego na UDP Synchronizacja czasu systemu operacyjnego na maszynie wirtualnej i maszynie zarządzania urządzenia (Windows NTP).
Azure Resource Manager 443 management.azure.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Zarządzanie zasobami na platformie Azure.
Microsoft Graph 443 graph.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Wymagana dla kontroli dostępu opartej na rolach platformy Azure.
Azure Resource Manager 443 login.microsoftonline.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Wymagane do zaktualizowania tokenów usługi ARM.
Azure Resource Manager 443 *.login.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Wymagane do zaktualizowania tokenów usługi ARM.
Azure Resource Manager 443 login.windows.net Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Wymagane do zaktualizowania tokenów usługi ARM.
Usługa Dataplane mostka zasobów (urządzenie) 443 *.dp.prod.appliances.azure.com Adres IP maszyn wirtualnych urządzeń wymaga połączenia wychodzącego. Komunikacja z dostawcą zasobów na platformie Azure.
Pobieranie obrazu kontenera mostka zasobów (urządzenia) 443 *.blob.core.windows.net, ecpacr.azurecr.io Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagane do ściągania obrazów kontenerów.
Tożsamość zarządzana 443 *.his.arc.azure.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
Pobieranie obrazu kontenera usługi Azure Arc for Kubernetes 443 azurearcfork8s.azurecr.io Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Ściąganie obrazów kontenerów.
Agent usługi Azure Arc 443 k8connecthelm.azureedge.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. wdrażanie agenta usługi Azure Arc.
Usługa telemetrii ADHS 443 adhs.events.data.microsoft.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła dane diagnostyczne firmy Microsoft z maszyny wirtualnej urządzenia.
Usługa danych zdarzeń firmy Microsoft 443 v20.events.data.microsoft.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wysyłanie danych diagnostycznych z systemu Windows.
Zbieranie dzienników dla mostka zasobów usługi Arc 443 linuxgeneva-microsoft.azurecr.io Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wypychanie dzienników dla składników zarządzanych przez urządzenie.
Pobieranie składników mostka zasobów 443 kvamanagementoperator.azurecr.io Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Artefakty ściągania dla składników zarządzanych przez urządzenie.
Menedżer pakietów open source firmy Microsoft 443 packages.microsoft.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Pobierz pakiet instalacyjny systemu Linux.
Lokalizacja niestandardowa 443 sts.windows.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagana dla lokalizacji niestandardowej.
Azure Arc 443 guestnotificationservice.azure.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagane dla usługi Azure Arc.
Lokalizacja niestandardowa 443 k8sconnectcsp.azureedge.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagana dla lokalizacji niestandardowej.
Dane diagnostyczne 443 gcs.prod.monitoring.core.windows.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft.
Dane diagnostyczne 443 *.prod.microsoftmetrics.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft.
Dane diagnostyczne 443 *.prod.hot.ingest.monitor.core.windows.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft.
Dane diagnostyczne 443 *.prod.warm.ingest.monitor.core.windows.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft.
Azure Portal 443 *.arc.azure.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Zarządzanie klastrem w witrynie Azure Portal.
Interfejs wiersza polecenia i rozszerzenie platformy Azure 443 *.blob.core.windows.net Maszyna zarządzania wymaga połączenia wychodzącego. Pobierz Instalator i rozszerzenie interfejsu wiersza polecenia platformy Azure.
Azure Arc Agent 443 *.dp.kubernetesconfiguration.azure.com Maszyna zarządzania wymaga połączenia wychodzącego. Plan danych używany dla agenta usługi Arc.
Pakiet języka Python 443 pypi.org, *.pypi.org Maszyna zarządzania wymaga połączenia wychodzącego. Zweryfikuj wersje platformy Kubernetes i języka Python.
Interfejs wiersza polecenia platformy Azure 443 pythonhosted.org, *.pythonhosted.org Maszyna zarządzania wymaga połączenia wychodzącego.  Pakiety języka Python na potrzeby instalacji interfejsu wiersza polecenia platformy Azure.

Wymagania dotyczące łączności przychodzącej

Komunikacja między następującymi portami musi być dozwolona z maszyny zarządzania, adresów IP maszyny wirtualnej urządzenia i adresów IP płaszczyzny sterowania. Upewnij się, że te porty są otwarte i że ruch nie jest kierowany przez serwer proxy, aby ułatwić wdrażanie i konserwację mostka zasobów usługi Arc.

Usługa Port Adres IP/maszyna Kierunek Uwagi
SSH 22 appliance VM IPs i Management machine Dwukierunkowe Służy do wdrażania i obsługi maszyny wirtualnej urządzenia.
Serwer interfejsu API usługi Kubernetes 6443 appliance VM IPs i Management machine Dwukierunkowy Zarządzanie maszyną wirtualną urządzenia.
SSH 22 control plane IP i Management machine Dwukierunkowe Służy do wdrażania i obsługi maszyny wirtualnej urządzenia.
Serwer interfejsu API usługi Kubernetes 6443 control plane IP i Management machine Dwukierunkowy Zarządzanie maszyną wirtualną urządzenia.
HTTPS 443 private cloud control plane address i Management machine Maszyna zarządzania wymaga połączenia wychodzącego.  Komunikacja z płaszczyzną sterowania (np. adres VMware vCenter).

Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci mostka zasobów usługi Azure Arc.

Platforma VMware vSphere z obsługą usługi Azure Arc

Platforma VMware vSphere z obsługą usługi Azure Arc wymaga również następujących elementów:

Usługa Port Adres URL Kierunek Uwagi
vCenter Server 443 Adres URL serwera vCenter Adres IP maszyny wirtualnej urządzenia i punkt końcowy płaszczyzny sterowania wymagają połączenia wychodzącego. Używany przez serwer vCenter do komunikowania się z maszyną wirtualną urządzenia i płaszczyzną sterowania.
Rozszerzenie klastra VMware 443 azureprivatecloud.azurecr.io Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Ściąganie obrazów kontenerów dla rozszerzenia klastra Microsoft.VMWare i Microsoft.AVS.
Interfejs wiersza polecenia platformy Azure i rozszerzenia interfejsu wiersza polecenia platformy Azure 443 *.blob.core.windows.net Maszyna zarządzania wymaga połączenia wychodzącego. Pobierz instalator interfejsu wiersza polecenia platformy Azure i rozszerzenia interfejsu wiersza polecenia platformy Azure.
Azure Resource Manager 443 management.azure.com Maszyna zarządzania wymaga połączenia wychodzącego. Wymagane do tworzenia/aktualizowania zasobów na platformie Azure przy użyciu usługi ARM.
Wykres helm dla agentów usługi Azure Arc 443 *.dp.kubernetesconfiguration.azure.com Maszyna zarządzania wymaga połączenia wychodzącego. Punkt końcowy płaszczyzny danych do pobierania informacji o konfiguracji agentów usługi Arc.
Interfejs wiersza polecenia platformy Azure 443 - login.microsoftonline.com

- aka.ms
Maszyna zarządzania wymaga połączenia wychodzącego. Wymagany do pobierania i aktualizowania tokenów usługi Azure Resource Manager.

Aby uzyskać więcej informacji, zobacz Macierz obsługi dla oprogramowania VMware vSphere z obsługą usługi Azure Arc.

Program System Center Virtual Machine Manager z obsługą usługi Azure Arc

Program System Center Virtual Machine Manager (SCVMM) z obsługą usługi Azure Arc wymaga również następujących elementów:

Usługa Port Adres URL Kierunek Uwagi
Serwer zarządzania programu SCVMM 443 Adres URL serwera zarządzania PROGRAMU SCVMM Adres IP maszyny wirtualnej urządzenia i punkt końcowy płaszczyzny sterowania wymagają połączenia wychodzącego. Używany przez serwer SCVMM do komunikowania się z maszyną wirtualną urządzenia i płaszczyzną sterowania.

Aby uzyskać więcej informacji, zobacz Omówienie programu System Center Virtual Machine Manager z obsługą usługi Arc.

Dodatkowe punkty końcowe

W zależności od scenariusza może być konieczna łączność z innymi adresami URL, takimi jak te używane przez witrynę Azure Portal, narzędzia do zarządzania lub inne usługi platformy Azure. W szczególności przejrzyj te listy, aby zapewnić łączność z dowolnymi niezbędnymi punktami końcowymi: