Requisitos de rede de ponte de recursos do Azure Arc
Este artigo descreve os requisitos de rede para implantar a ponte de recursos do Azure Arc em sua empresa.
Requisitos gerais de rede
A ponte de recursos do Arc comunica a saída com segurança para o Azure Arc pela porta TCP 443. Se o dispositivo precisar se conectar por meio de um firewall ou servidor proxy para se comunicar pela Internet, ele comunicará a saída usando o protocolo HTTPS.
Geralmente os requisitos de conectividade incluem esses princípios.
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e o computador que executam o processo de integração atendem aos requisitos de rede neste artigo.
Conectividade de saída
As URLs do firewall e do proxy abaixo devem estar na lista de permissões para permitir a comunicação do computador de gerenciamento, da VM do dispositivo e do IP do plano de controle com as URLs necessárias da ponte de recursos do Arc.
Lista de permitidos de URL de Firewall/Proxy
Serviço | Porta | URL | Direção | Observações |
---|---|---|---|---|
Ponto de extremidade da API SFS | 443 | msk8s.api.cdp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe o catálogo de produtos, os bits do produto e as imagens do sistema operacional do SFS. |
Download de imagem de ponte de recursos (dispositivo) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe as imagens do sistema operacional de ponte de recursos do Arc. |
Registro de Contêiner da Microsoft | 443 | mcr.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Faça o download de imagens de contêineres para a Ponte de Recursos do Arc. |
Windows NTP Server | 123 | time.windows.com |
Os IPs de VM de dispositivo e computador de gerenciamento (se o padrão do Hyper-V for o Windows NTP) precisarão de uma conexão de saída no UDP | Sincronização de tempo do sistema operacional no computador VM e Gerenciamento do dispositivo (Windows NTP). |
Azure Resource Manager | 443 | management.azure.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Gerenciar recursos no Azure. |
Microsoft Graph | 443 | graph.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para o RBAC do Azure. |
Azure Resource Manager | 443 | login.microsoftonline.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
Azure Resource Manager | 443 | *.login.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
Azure Resource Manager | 443 | login.windows.net |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
Serviço de Plano de dados de ponte de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
O IP das VMs do dispositivo precisa da conexão de saída. | Comunique-se com o provedor de recursos no Azure. |
Download de imagem de contêiner de ponte de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull de imagens de contêiner. |
Identidade Gerenciada | 443 | *.his.arc.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull dos certificados de Identidade Gerenciada atribuída pelo sistema. |
Download da imagem de contêiner do Azure Arc para Kubernetes | 443 | azurearcfork8s.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de imagens de contêineres. |
Agente do Azure Arc | 443 | k8connecthelm.azureedge.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Implanta o agente do Azure Arc. |
Serviço de telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft da VM do dispositivo. |
Serviço de dados de eventos da Microsoft | 443 | v20.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envie dados de diagnóstico do Windows. |
Coleta de registros para a Ponte de Recursos do Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Registros de envio para componentes gerenciados pelo Dispositivo. |
Download dos componentes da ponte de recursos | 443 | kvamanagementoperator.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de artefatos para os componentes gerenciados do Dispositivo. |
Gerenciador de pacotes de código aberto da Microsoft | 443 | packages.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Faça o download do pacote de instalação do Linux. |
Local Personalizado | 443 | sts.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para a Localização Personalizada. |
Azure Arc | 443 | guestnotificationservice.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para o Azure Arc. |
Local Personalizado | 443 | k8sconnectcsp.azureedge.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para a Localização Personalizada. |
Dados de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
Dados de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
Dados de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
Dados de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
Portal do Azure | 443 | *.arc.azure.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Gerencia o cluster no portal do Azure. |
Extensão e CLI do Azure | 443 | *.blob.core.windows.net |
O computador de gerenciamento precisa de uma conexão de saída. | Baixe o instalador e a extensão da CLI do Azure. |
Agente do Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
O computador de gerenciamento precisa de uma conexão de saída. | Plano de dados usado para o agente do Arc. |
Pacote do Python | 443 | pypi.org , *.pypi.org |
O computador de gerenciamento precisa de uma conexão de saída. | Validar as versões do Kubernetes e do Python. |
CLI do Azure | 443 | pythonhosted.org , *.pythonhosted.org |
O computador de gerenciamento precisa de uma conexão de saída. | Pacotes Python para instalação da CLI do Azure. |
SSH | 22 | Arc resource bridge appliance VM IPs |
O computador de gerenciamento precisa de uma conexão de saída. | Usada para solucionar problemas da VM do dispositivo. |
Servidor de API do Kubernetes | 6443 | Arc resource bridge appliance VM IPs |
O computador de gerenciamento precisa de uma conexão de saída. | Gerenciamento da VM do dispositivo. |
Observação
As URLs listadas aqui são necessárias somente para a ponte de recursos do Arc. Outros produtos Arc (como vSphere VMware habilitado para Arc) podem ter URLs adicionais necessárias. Para obter detalhes, consulte os requisitos de rede do Azure Arc.
Configuração do proxy de SSL
Se estiver usando um proxy, a ponte de recursos do Arc deverá ser configurada para proxy para que possa se conectar aos serviços do Azure.
Para configurar a ponte de recursos do Arc com proxy, forneça o caminho do arquivo de certificado proxy durante a criação dos arquivos de configuração.
O formato do arquivo de certificado é X.509 codificado em Base 64 (. CER).
Passe apenas o certificado de proxy único. Se um pacote de certificados for aprovado, a implantação falhará.
O ponto de extremidade do servidor proxy não pode ser um domínio
.local
.O servidor proxy deve ser acessível de todos os IPs dentro do prefixo de endereço IP, incluindo o plano de controle e os IPs de VM do dispositivo.
Há apenas dois certificados que devem ser relevantes ao implantar a ponte de recursos do Arc atrás de um proxy SSL:
Certificado SSL para o proxy SSL (para que o computador de gerenciamento e a VM do dispositivo confiem no FQDN do proxy e possam estabelecer uma conexão SSL com ele)
Certificado SSL dos servidores de download da Microsoft. O servidor proxy em si deve confiar nesse certificado, pois é o proxy que estabelece a conexão final e precisa confiar no ponto de extremidade. Computadores não Windows podem não confiar nesse segundo certificado por padrão, portanto, talvez seja necessário garantir que ele seja confiável.
Para implantar a ponte de recursos do Arc, as imagens precisam ser baixadas no computador de gerenciamento e, em seguida, carregadas na galeria de nuvem privada local. Se o servidor proxy limitar a velocidade de download, talvez você não consiga baixar as imagens necessárias (aproximadamente 3,5 GB) dentro do tempo alocado (90 min).
Lista de exclusão para nenhum proxy
Se um servidor proxy estiver sendo usado, a tabela a seguir conterá a lista de endereços que devem ser excluídos do proxy definindo as configurações do noProxy
.
Endereço IP | Motivo da exclusão |
---|---|
localhost, 127.0.0.1 | Tráfego localhost |
*.svc | Tráfego de serviço interno do Kubernetes (.svc), em que .svc representa um nome curinga. Isso é semelhante a dizer *.svc, mas nenhum é usado neste esquema. |
10.0.0.0/8 | espaço de endereço de rede privada |
172.16.0.0/12 | Espaço de endereço de rede privada – CIDR do Serviço Kubernetes |
192.168.0.0/16 | Espaço de endereço de rede privada – CIDR do Pod do Kubernetes |
contoso.com. | Talvez você queira isentar o namespace da empresa (.contoso.com) de ser direcionado por meio do proxy. Para excluir todos os endereços em um domínio, você deve adicionar o domínio à lista do noProxy . Use um período à esquerda em vez de um caractere curinga (*). No exemplo, os endereços .contoso.com excluem endereços prefix1.contoso.com , prefix2.contoso.com e assim por diante. |
O valor padrão para noProxy
é localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
. Embora esses valores padrão funcionem para muitas redes, talvez seja necessário adicionar mais intervalos de sub-rede e/ou nomes à lista de isenções. Por exemplo, talvez você queira isentar o namespace da empresa (.contoso.com) de ser direcionado por meio do proxy. Você pode conseguir isso especificando os valores na lista do noProxy
.
Importante
Ao listar vários endereços para as configurações do noProxy
, não adicione um espaço após cada vírgula para separar os endereços. Os endereços devem seguir imediatamente as vírgulas.
Escuta de porta interna
Como um aviso, você deve estar ciente de que a VM do dispositivo está configurada para escutar as portas a seguir. Estas portas são usadas exclusivamente para processos internos e não exigem acesso externo:
8443 – Ponto de extremidade para webhook de autenticação do AAD
10257 – Métricas de ponte de recursos do ponto de extremidade para Arc
10250 – Métricas de ponte de recursos do ponto de extremidade para Arc
2382 – Métricas de ponte de recursos do ponto de extremidade para Arc
Próximas etapas
- Revise a visão geral da ponte de recursos do Azure Arc (versão prévia) para saber mais sobre requisitos e detalhes técnicos.
- Saiba mais sobre a configuração de segurança e as considerações para a ponte de recursos do Azure Arc.
- Veja dicas de solução de problemas de rede.