Udostępnij za pośrednictwem


Wymagania dotyczące sieci mostka zasobów usługi Azure Arc

W tym artykule opisano wymagania sieciowe dotyczące wdrażania mostka zasobów usługi Azure Arc w przedsiębiorstwie.

Ogólne wymagania dotyczące sieci

Mostek zasobów usługi Arc komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Jeśli urządzenie musi nawiązać połączenie za pośrednictwem zapory lub serwera proxy w celu komunikowania się przez Internet, ruch wychodzący komunikacji używa protokołu HTTPS.

Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:

  • Wszystkie połączenia są tcp, chyba że określono inaczej.
  • Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
  • Wszystkie połączenia są wychodzące, chyba że określono inaczej.

Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.

Wymagania dotyczące łączności wychodzącej

Poniższe adresy URL zapory i serwera proxy muszą być dozwolone, aby umożliwić komunikację z maszyny zarządzania, maszyny wirtualnej urządzenia i adresu IP płaszczyzny sterowania do wymaganych adresów URL mostka zasobów usługi Arc.

Lista dozwolonych adresów URL zapory/serwera proxy

Usługa Port Adres URL Kierunek Uwagi
Punkt końcowy interfejsu API usługi SFS 443 msk8s.api.cdp.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Pobierz katalog produktów, bity produktów i obrazy systemu operacyjnego z usługi SFS.
Pobieranie obrazu mostka zasobów (urządzenia) 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Pobierz obrazy systemu operacyjnego mostka zasobów usługi Arc.
Microsoft Container Registry 443 mcr.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Odnajdź obrazy kontenerów dla mostka zasobów usługi Arc.
Microsoft Container Registry 443 *.data.mcr.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Pobierz obrazy kontenerów dla mostka zasobów usługi Arc.
Windows NTP Server 123 time.windows.com Adresy IP maszyny zarządzania i urządzenia (jeśli domyślna funkcja Hyper-V to Windows NTP) wymagają połączenia wychodzącego na UDP Synchronizacja czasu systemu operacyjnego na maszynie wirtualnej i maszynie zarządzania urządzenia (Windows NTP).
Azure Resource Manager 443 management.azure.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Zarządzanie zasobami na platformie Azure.
Microsoft Graph 443 graph.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Wymagana dla kontroli dostępu opartej na rolach platformy Azure.
Azure Resource Manager 443 login.microsoftonline.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Wymagane do zaktualizowania tokenów usługi ARM.
Azure Resource Manager 443 *.login.microsoft.com Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Wymagane do zaktualizowania tokenów usługi ARM.
Azure Resource Manager 443 login.windows.net Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. Wymagane do zaktualizowania tokenów usługi ARM.
Usługa Dataplane mostka zasobów (urządzenie) 443 *.dp.prod.appliances.azure.com Adres IP maszyn wirtualnych urządzeń wymaga połączenia wychodzącego. Komunikacja z dostawcą zasobów na platformie Azure.
Pobieranie obrazu kontenera mostka zasobów (urządzenia) 443 *.blob.core.windows.net, ecpacr.azurecr.io Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagane do ściągania obrazów kontenerów.
Tożsamość zarządzana 443 *.his.arc.azure.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
Pobieranie obrazu kontenera usługi Azure Arc for Kubernetes 443 azurearcfork8s.azurecr.io Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Ściąganie obrazów kontenerów.
Agent usługi Azure Arc 443 k8connecthelm.azureedge.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. wdrażanie agenta usługi Azure Arc.
Usługa telemetrii ADHS 443 adhs.events.data.microsoft.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła dane diagnostyczne firmy Microsoft z maszyny wirtualnej urządzenia.
Usługa danych zdarzeń firmy Microsoft 443 v20.events.data.microsoft.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wysyłanie danych diagnostycznych z systemu Windows.
Zbieranie dzienników dla mostka zasobów usługi Arc 443 linuxgeneva-microsoft.azurecr.io Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wypychanie dzienników dla składników zarządzanych przez urządzenie.
Pobieranie składników mostka zasobów 443 kvamanagementoperator.azurecr.io Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Artefakty ściągania dla składników zarządzanych przez urządzenie.
Menedżer pakietów open source firmy Microsoft 443 packages.microsoft.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Pobierz pakiet instalacyjny systemu Linux.
Lokalizacja niestandardowa 443 sts.windows.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagana dla lokalizacji niestandardowej.
Azure Arc 443 guestnotificationservice.azure.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagane dla usługi Azure Arc.
Lokalizacja niestandardowa 443 k8sconnectcsp.azureedge.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Wymagana dla lokalizacji niestandardowej.
Dane diagnostyczne 443 gcs.prod.monitoring.core.windows.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft.
Dane diagnostyczne 443 *.prod.microsoftmetrics.com Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft.
Dane diagnostyczne 443 *.prod.hot.ingest.monitor.core.windows.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft.
Dane diagnostyczne 443 *.prod.warm.ingest.monitor.core.windows.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft.
Azure Portal 443 *.arc.azure.net Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. Zarządzanie klastrem w witrynie Azure Portal.
Interfejs wiersza polecenia i rozszerzenie platformy Azure 443 *.blob.core.windows.net Maszyna zarządzania wymaga połączenia wychodzącego. Pobierz Instalator i rozszerzenie interfejsu wiersza polecenia platformy Azure.
Azure Arc Agent 443 *.dp.kubernetesconfiguration.azure.com Maszyna zarządzania wymaga połączenia wychodzącego. Plan danych używany dla agenta usługi Arc.
Pakiet języka Python 443 pypi.org, *.pypi.org Maszyna zarządzania wymaga połączenia wychodzącego. Zweryfikuj wersje platformy Kubernetes i języka Python.
Interfejs wiersza polecenia platformy Azure 443 pythonhosted.org, *.pythonhosted.org Maszyna zarządzania wymaga połączenia wychodzącego.  Pakiety języka Python na potrzeby instalacji interfejsu wiersza polecenia platformy Azure.

Wymagania dotyczące łączności przychodzącej

Komunikacja między następującymi portami musi być dozwolona z maszyny zarządzania, adresów IP maszyny wirtualnej urządzenia i adresów IP płaszczyzny sterowania. Upewnij się, że te porty są otwarte i że ruch nie jest kierowany przez serwer proxy, aby ułatwić wdrażanie i konserwację mostka zasobów usługi Arc.

Usługa Port Adres IP/maszyna Kierunek Uwagi
SSH 22 appliance VM IPs i Management machine Dwukierunkowe Służy do wdrażania i obsługi maszyny wirtualnej urządzenia.
Serwer interfejsu API usługi Kubernetes 6443 appliance VM IPs i Management machine Dwukierunkowy Zarządzanie maszyną wirtualną urządzenia.
SSH 22 control plane IP i Management machine Dwukierunkowe Służy do wdrażania i obsługi maszyny wirtualnej urządzenia.
Serwer interfejsu API usługi Kubernetes 6443 control plane IP i Management machine Dwukierunkowy Zarządzanie maszyną wirtualną urządzenia.
HTTPS 443 private cloud control plane address i Management machine Maszyna zarządzania wymaga połączenia wychodzącego.  Komunikacja z płaszczyzną sterowania (np. adres VMware vCenter).

Uwaga

Adresy URL wymienione tutaj są wymagane tylko dla mostka zasobów usługi Arc. Inne produkty Arc (takie jak oprogramowanie VMware vSphere z obsługą usługi Arc) mogą mieć dodatkowe wymagane adresy URL. Aby uzyskać szczegółowe informacje, zobacz Wymagania dotyczące sieci usługi Azure Arc.

Wyznaczone zakresy adresów IP dla mostka zasobów usługi Arc

Podczas wdrażania mostka zasobów usługi Arc określone zakresy adresów IP są zarezerwowane wyłącznie dla zasobników i usług Kubernetes na maszynie wirtualnej urządzenia. Te wewnętrzne zakresy adresów IP nie mogą nakładać się na żadne dane wejściowe konfiguracji mostka zasobów, takie jak prefiks adresu IP adresu IP, adres IP płaszczyzny sterowania, adresy IP maszyny wirtualnej urządzenia, serwery DNS, serwery proxy lub hosty vSphere ESXi. Aby uzyskać szczegółowe informacje na temat konfiguracji mostka zasobów usługi Arc, zapoznaj się z wymaganiami systemowym.

Uwaga

Te wyznaczone zakresy adresów IP są używane tylko wewnętrznie w obrębie mostka zasobów usługi Arc. Nie mają one wpływu na zasoby ani sieci platformy Azure.

Usługa Wyznaczony zakres adresów IP
Zasobniki kubernetes mostka zasobów usługi Arc 10.244.0.0/16
Usługi Kubernetes mostka zasobów usługi Arc 10.96.0.0/12

Konfiguracja serwera proxy SSL

Ważne

Mostek zasobów usługi Arc obsługuje tylko bezpośrednie (jawne) serwery proxy, w tym nieuwierzytelnione serwery proxy, serwery proxy z uwierzytelnianiem podstawowym, kończenie połączeń SSL i serwery proxy przekazywania SSL.

W przypadku korzystania z serwera proxy mostek zasobów usługi Arc musi być skonfigurowany do używania serwera proxy w celu nawiązania połączenia z usługami platformy Azure.

  • Aby skonfigurować mostek zasobów usługi Arc z serwerem proxy, podaj ścieżkę pliku certyfikatu serwera proxy podczas tworzenia plików konfiguracji.

  • Format pliku certyfikatu to X.509 zakodowany w formacie Base-64 (. CER).

  • Przekaż tylko pojedynczy certyfikat serwera proxy. Jeśli pakiet certyfikatów zostanie przekazany, wdrożenie zakończy się niepowodzeniem.

  • Punkt końcowy serwera proxy nie może być domeną .local .

  • Serwer proxy musi być dostępny ze wszystkich adresów IP w prefiksie adresu IP, w tym adresów IP płaszczyzny sterowania i adresów IP maszyn wirtualnych urządzenia.

Istnieją tylko dwa certyfikaty, które powinny być istotne podczas wdrażania mostka zasobów usługi Arc za serwerem proxy SSL:

  • Certyfikat SSL dla serwera proxy SSL (dzięki czemu maszyna zarządzana i maszyna wirtualna urządzenia ufają nazwie FQDN serwera proxy i może nawiązać z nim połączenie SSL)

  • Certyfikat SSL serwerów pobierania firmy Microsoft. Ten certyfikat musi być zaufany przez sam serwer proxy, ponieważ jest to ten, który ustanawia końcowe połączenie i musi ufać punktowi końcowemu. Maszyny spoza systemu Windows mogą nie ufać temu drugiemu certyfikatowi domyślnie, dlatego może być konieczne upewnienie się, że jest zaufany.

Aby wdrożyć mostek zasobów usługi Arc, obrazy należy pobrać na maszynę zarządzania, a następnie przekazać je do lokalnej galerii chmury prywatnej. Jeśli serwer proxy ogranicza szybkość pobierania, może nie być możliwe pobranie wymaganych obrazów (~3,5 GB) w czasie przydzielonym (90 minut).

Lista wykluczeń dla braku serwera proxy

Jeśli używany jest serwer proxy, poniższa tabela zawiera listę adresów, które powinny zostać wykluczone z serwera proxy przez skonfigurowanie noProxy ustawień.

IP Address Przyczyna wykluczenia
localhost, 127.0.0.1 Ruch hosta lokalnego
.Svc Wewnętrzny ruch usługi Kubernetes (.svc), w którym plik svc reprezentuje nazwę symbolu wieloznakowego. Jest to podobne do następującego: *.svc, ale żaden z nich nie jest używany w tym schemacie.
10.0.0.0/8 przestrzeń adresowa sieci prywatnej
172.16.0.0/12 Przestrzeń adresowa sieci prywatnej — CIDR usługi Kubernetes Service
192.168.0.0/16 Przestrzeń adresowa sieci prywatnej — CIDR zasobnika Kubernetes
contoso.com. Możesz wykluczyć przestrzeń nazw przedsiębiorstwa (.contoso.com) z przekierowania przez serwer proxy. Aby wykluczyć wszystkie adresy w domenie, należy dodać domenę noProxy do listy. Użyj kropki wiodącej, a nie symbolu wieloznakowego (*). W przykładzie adresy wykluczają adresy .contoso.com prefix1.contoso.com, prefix2.contoso.comi tak dalej.

Wartość domyślna parametru noProxy to localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Chociaż te wartości domyślne będą działać dla wielu sieci, może być konieczne dodanie większej liczby zakresów podsieci i/lub nazw do listy wykluczeń. Możesz na przykład wykluczyć przestrzeń nazw przedsiębiorstwa (.contoso.com) z przekierowania przez serwer proxy. Można to osiągnąć, określając wartości na noProxy liście.

Ważne

Podczas wyświetlania listy wielu adresów ustawień noProxy nie należy dodawać spacji po każdym przecince, aby oddzielić adresy. Adresy muszą natychmiast podążać za przecinkami.

Nasłuchiwanie portów wewnętrznych

Należy pamiętać, że maszyna wirtualna urządzenia jest skonfigurowana do nasłuchiwania na następujących portach. Te porty są używane wyłącznie dla procesów wewnętrznych i nie wymagają dostępu zewnętrznego:

  • 8443 — punkt końcowy dla elementu webhook uwierzytelniania entra firmy Microsoft
  • 10257 — Metryki mostka zasobów usługi Arc dla punktu końcowego
  • 10250 — Metryki mostka zasobów usługi Arc dla punktu końcowego
  • 2382 — Metryki mostka zasobów usługi Arc dla punktu końcowego

Następne kroki