Wymagania dotyczące sieci mostka zasobów usługi Azure Arc
W tym artykule opisano wymagania sieciowe dotyczące wdrażania mostka zasobów usługi Azure Arc w przedsiębiorstwie.
Ogólne wymagania dotyczące sieci
Mostek zasobów usługi Arc komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Jeśli urządzenie musi nawiązać połączenie za pośrednictwem zapory lub serwera proxy w celu komunikowania się przez Internet, ruch wychodzący komunikacji używa protokołu HTTPS.
Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:
- Wszystkie połączenia są tcp, chyba że określono inaczej.
- Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
- Wszystkie połączenia są wychodzące, chyba że określono inaczej.
Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.
Wymagania dotyczące łączności wychodzącej
Poniższe adresy URL zapory i serwera proxy muszą być dozwolone, aby umożliwić komunikację z maszyny zarządzania, maszyny wirtualnej urządzenia i adresu IP płaszczyzny sterowania do wymaganych adresów URL mostka zasobów usługi Arc.
Lista dozwolonych adresów URL zapory/serwera proxy
| Usługa | Port | Adres URL | Kierunek | Uwagi |
|---|---|---|---|---|
| Punkt końcowy interfejsu API usługi SFS | 443 | msk8s.api.cdp.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Pobierz katalog produktów, bity produktów i obrazy systemu operacyjnego z usługi SFS. |
| Pobieranie obrazu mostka zasobów (urządzenia) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Pobierz obrazy systemu operacyjnego mostka zasobów usługi Arc. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Odnajdź obrazy kontenerów dla mostka zasobów usługi Arc. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Pobierz obrazy kontenerów dla mostka zasobów usługi Arc. |
| Windows NTP Server | 123 | time.windows.com |
Adresy IP maszyny zarządzania i urządzenia (jeśli domyślna funkcja Hyper-V to Windows NTP) wymagają połączenia wychodzącego na UDP | Synchronizacja czasu systemu operacyjnego na maszynie wirtualnej i maszynie zarządzania urządzenia (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Zarządzanie zasobami na platformie Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagana dla kontroli dostępu opartej na rolach platformy Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagane do zaktualizowania tokenów usługi ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagane do zaktualizowania tokenów usługi ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagane do zaktualizowania tokenów usługi ARM. |
| Usługa Dataplane mostka zasobów (urządzenie) | 443 | *.dp.prod.appliances.azure.com |
Adres IP maszyn wirtualnych urządzeń wymaga połączenia wychodzącego. | Komunikacja z dostawcą zasobów na platformie Azure. |
| Pobieranie obrazu kontenera mostka zasobów (urządzenia) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagane do ściągania obrazów kontenerów. |
| Tożsamość zarządzana | 443 | *.his.arc.azure.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system. |
| Pobieranie obrazu kontenera usługi Azure Arc for Kubernetes | 443 | azurearcfork8s.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Ściąganie obrazów kontenerów. |
| Agent usługi Azure Arc | 443 | k8connecthelm.azureedge.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | wdrażanie agenta usługi Azure Arc. |
| Usługa telemetrii ADHS | 443 | adhs.events.data.microsoft.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła dane diagnostyczne firmy Microsoft z maszyny wirtualnej urządzenia. |
| Usługa danych zdarzeń firmy Microsoft | 443 | v20.events.data.microsoft.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wysyłanie danych diagnostycznych z systemu Windows. |
| Zbieranie dzienników dla mostka zasobów usługi Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wypychanie dzienników dla składników zarządzanych przez urządzenie. |
| Pobieranie składników mostka zasobów | 443 | kvamanagementoperator.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Artefakty ściągania dla składników zarządzanych przez urządzenie. |
| Menedżer pakietów open source firmy Microsoft | 443 | packages.microsoft.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Pobierz pakiet instalacyjny systemu Linux. |
| Lokalizacja niestandardowa | 443 | sts.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagana dla lokalizacji niestandardowej. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagane dla usługi Azure Arc. |
| Lokalizacja niestandardowa | 443 | k8sconnectcsp.azureedge.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagana dla lokalizacji niestandardowej. |
| Dane diagnostyczne | 443 | gcs.prod.monitoring.core.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
| Dane diagnostyczne | 443 | *.prod.microsoftmetrics.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
| Dane diagnostyczne | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
| Dane diagnostyczne | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
| Azure Portal | 443 | *.arc.azure.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Zarządzanie klastrem w witrynie Azure Portal. |
| Interfejs wiersza polecenia i rozszerzenie platformy Azure | 443 | *.blob.core.windows.net |
Maszyna zarządzania wymaga połączenia wychodzącego. | Pobierz Instalator i rozszerzenie interfejsu wiersza polecenia platformy Azure. |
| Azure Arc Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Maszyna zarządzania wymaga połączenia wychodzącego. | Plan danych używany dla agenta usługi Arc. |
| Pakiet języka Python | 443 | pypi.org, *.pypi.org |
Maszyna zarządzania wymaga połączenia wychodzącego. | Zweryfikuj wersje platformy Kubernetes i języka Python. |
| Interfejs wiersza polecenia platformy Azure | 443 | pythonhosted.org, *.pythonhosted.org |
Maszyna zarządzania wymaga połączenia wychodzącego. | Pakiety języka Python na potrzeby instalacji interfejsu wiersza polecenia platformy Azure. |
Wymagania dotyczące łączności przychodzącej
Komunikacja między następującymi portami musi być dozwolona z maszyny zarządzania, adresów IP maszyny wirtualnej urządzenia i adresów IP płaszczyzny sterowania. Upewnij się, że te porty są otwarte i że ruch nie jest kierowany przez serwer proxy, aby ułatwić wdrażanie i konserwację mostka zasobów usługi Arc.
| Usługa | Port | Adres IP/maszyna | Kierunek | Uwagi |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs i Management machine |
Dwukierunkowe | Służy do wdrażania i obsługi maszyny wirtualnej urządzenia. |
| Serwer interfejsu API usługi Kubernetes | 6443 | appliance VM IPs i Management machine |
Dwukierunkowy | Zarządzanie maszyną wirtualną urządzenia. |
| SSH | 22 | control plane IP i Management machine |
Dwukierunkowe | Służy do wdrażania i obsługi maszyny wirtualnej urządzenia. |
| Serwer interfejsu API usługi Kubernetes | 6443 | control plane IP i Management machine |
Dwukierunkowy | Zarządzanie maszyną wirtualną urządzenia. |
| HTTPS | 443 | private cloud control plane address i Management machine |
Maszyna zarządzania wymaga połączenia wychodzącego. | Komunikacja z płaszczyzną sterowania (np. adres VMware vCenter). |
Uwaga
Adresy URL wymienione tutaj są wymagane tylko dla mostka zasobów usługi Arc. Inne produkty Arc (takie jak oprogramowanie VMware vSphere z obsługą usługi Arc) mogą mieć dodatkowe wymagane adresy URL. Aby uzyskać szczegółowe informacje, zobacz Wymagania dotyczące sieci usługi Azure Arc.
Wyznaczone zakresy adresów IP dla mostka zasobów usługi Arc
Podczas wdrażania mostka zasobów usługi Arc określone zakresy adresów IP są zarezerwowane wyłącznie dla zasobników i usług Kubernetes na maszynie wirtualnej urządzenia. Te wewnętrzne zakresy adresów IP nie mogą nakładać się na żadne dane wejściowe konfiguracji mostka zasobów, takie jak prefiks adresu IP adresu IP, adres IP płaszczyzny sterowania, adresy IP maszyny wirtualnej urządzenia, serwery DNS, serwery proxy lub hosty vSphere ESXi. Aby uzyskać szczegółowe informacje na temat konfiguracji mostka zasobów usługi Arc, zapoznaj się z wymaganiami systemowym.
Uwaga
Te wyznaczone zakresy adresów IP są używane tylko wewnętrznie w obrębie mostka zasobów usługi Arc. Nie mają one wpływu na zasoby ani sieci platformy Azure.
| Usługa | Wyznaczony zakres adresów IP |
|---|---|
| Zasobniki kubernetes mostka zasobów usługi Arc | 10.244.0.0/16 |
| Usługi Kubernetes mostka zasobów usługi Arc | 10.96.0.0/12 |
Konfiguracja serwera proxy SSL
Ważne
Mostek zasobów usługi Arc obsługuje tylko bezpośrednie (jawne) serwery proxy, w tym nieuwierzytelnione serwery proxy, serwery proxy z uwierzytelnianiem podstawowym, kończenie połączeń SSL i serwery proxy przekazywania SSL.
W przypadku korzystania z serwera proxy mostek zasobów usługi Arc musi być skonfigurowany do używania serwera proxy w celu nawiązania połączenia z usługami platformy Azure.
Aby skonfigurować mostek zasobów usługi Arc z serwerem proxy, podaj ścieżkę pliku certyfikatu serwera proxy podczas tworzenia plików konfiguracji.
Format pliku certyfikatu to X.509 zakodowany w formacie Base-64 (. CER).
Przekaż tylko pojedynczy certyfikat serwera proxy. Jeśli pakiet certyfikatów zostanie przekazany, wdrożenie zakończy się niepowodzeniem.
Punkt końcowy serwera proxy nie może być domeną
.local.Serwer proxy musi być dostępny ze wszystkich adresów IP w prefiksie adresu IP, w tym adresów IP płaszczyzny sterowania i adresów IP maszyn wirtualnych urządzenia.
Istnieją tylko dwa certyfikaty, które powinny być istotne podczas wdrażania mostka zasobów usługi Arc za serwerem proxy SSL:
Certyfikat SSL dla serwera proxy SSL (dzięki czemu maszyna zarządzana i maszyna wirtualna urządzenia ufają nazwie FQDN serwera proxy i może nawiązać z nim połączenie SSL)
Certyfikat SSL serwerów pobierania firmy Microsoft. Ten certyfikat musi być zaufany przez sam serwer proxy, ponieważ jest to ten, który ustanawia końcowe połączenie i musi ufać punktowi końcowemu. Maszyny spoza systemu Windows mogą nie ufać temu drugiemu certyfikatowi domyślnie, dlatego może być konieczne upewnienie się, że jest zaufany.
Aby wdrożyć mostek zasobów usługi Arc, obrazy należy pobrać na maszynę zarządzania, a następnie przekazać je do lokalnej galerii chmury prywatnej. Jeśli serwer proxy ogranicza szybkość pobierania, może nie być możliwe pobranie wymaganych obrazów (~3,5 GB) w czasie przydzielonym (90 minut).
Lista wykluczeń dla braku serwera proxy
Jeśli używany jest serwer proxy, poniższa tabela zawiera listę adresów, które powinny zostać wykluczone z serwera proxy przez skonfigurowanie noProxy ustawień.
| IP Address | Przyczyna wykluczenia |
|---|---|
| localhost, 127.0.0.1 | Ruch hosta lokalnego |
| .Svc | Wewnętrzny ruch usługi Kubernetes (.svc), w którym plik svc reprezentuje nazwę symbolu wieloznakowego. Jest to podobne do następującego: *.svc, ale żaden z nich nie jest używany w tym schemacie. |
| 10.0.0.0/8 | przestrzeń adresowa sieci prywatnej |
| 172.16.0.0/12 | Przestrzeń adresowa sieci prywatnej — CIDR usługi Kubernetes Service |
| 192.168.0.0/16 | Przestrzeń adresowa sieci prywatnej — CIDR zasobnika Kubernetes |
| contoso.com. | Możesz wykluczyć przestrzeń nazw przedsiębiorstwa (.contoso.com) z przekierowania przez serwer proxy. Aby wykluczyć wszystkie adresy w domenie, należy dodać domenę noProxy do listy. Użyj kropki wiodącej, a nie symbolu wieloznakowego (*). W przykładzie adresy wykluczają adresy .contoso.com prefix1.contoso.com, prefix2.contoso.comi tak dalej. |
Wartość domyślna parametru noProxy to localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Chociaż te wartości domyślne będą działać dla wielu sieci, może być konieczne dodanie większej liczby zakresów podsieci i/lub nazw do listy wykluczeń. Możesz na przykład wykluczyć przestrzeń nazw przedsiębiorstwa (.contoso.com) z przekierowania przez serwer proxy. Można to osiągnąć, określając wartości na noProxy liście.
Ważne
Podczas wyświetlania listy wielu adresów ustawień noProxy nie należy dodawać spacji po każdym przecince, aby oddzielić adresy. Adresy muszą natychmiast podążać za przecinkami.
Nasłuchiwanie portów wewnętrznych
Należy pamiętać, że maszyna wirtualna urządzenia jest skonfigurowana do nasłuchiwania na następujących portach. Te porty są używane wyłącznie dla procesów wewnętrznych i nie wymagają dostępu zewnętrznego:
- 8443 — punkt końcowy dla elementu webhook uwierzytelniania entra firmy Microsoft
- 10257 — Metryki mostka zasobów usługi Arc dla punktu końcowego
- 10250 — Metryki mostka zasobów usługi Arc dla punktu końcowego
- 2382 — Metryki mostka zasobów usługi Arc dla punktu końcowego
Następne kroki
- Zapoznaj się z omówieniem mostka zasobów usługi Azure Arc, aby dowiedzieć się więcej o wymaganiach i szczegółach technicznych.
- Dowiedz się więcej o konfiguracji zabezpieczeń i zagadnieniach dotyczących mostka zasobów usługi Azure Arc.
- Zapoznaj się z poradami dotyczącymi rozwiązywania problemów z siecią.