Requisitos de rede de ponte de recursos do Azure Arc
Este artigo descreve os requisitos de rede para implantar a ponte de recursos do Azure Arc em sua empresa.
Requisitos gerais de rede
A ponte de recursos do Arc comunica a saída com segurança para o Azure Arc pela porta TCP 443. Se o dispositivo precisar se conectar por meio de um firewall ou servidor proxy para se comunicar pela Internet, ele comunicará a saída usando o protocolo HTTPS.
Geralmente os requisitos de conectividade incluem esses princípios.
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e o computador que executam o processo de integração atendem aos requisitos de rede neste artigo.
Requisitos de conectividade de saída
As URLs do firewall e do proxy abaixo devem estar na lista de permissões para permitir a comunicação do computador de gerenciamento, da VM do dispositivo e do IP do plano de controle com as URLs necessárias da ponte de recursos do Arc.
Lista de permitidos de URL de Firewall/Proxy
| Serviço | Porta | URL | Direção | Observações |
|---|---|---|---|---|
| Ponto de extremidade da API SFS | 443 | msk8s.api.cdp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe o catálogo de produtos, os bits do produto e as imagens do sistema operacional do SFS. |
| Download de imagem de ponte de recursos (dispositivo) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe as imagens do sistema operacional de ponte de recursos do Arc. |
| Registro de Contêiner da Microsoft | 443 | mcr.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Descubra imagens de contêiner para o Arc Resource Bridge. |
| Registro de Contêiner da Microsoft | 443 | *.data.mcr.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Faça o download de imagens de contêineres para a Ponte de Recursos do Arc. |
| Windows NTP Server | 123 | time.windows.com |
Os IPs da VM do dispositivo e do computador de gerenciamento (se o padrão do Hyper-V for o NTP do Windows) precisam de uma conexão de saída UDP | Sincronização de tempo do sistema operacional no computador VM e Gerenciamento do dispositivo (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Gerenciar recursos no Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Obrigatório para o RBAC do Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Serviço de Plano de dados de ponte de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
O IP das VMs do dispositivo precisa da conexão de saída. | Comunique-se com o provedor de recursos no Azure. |
| Download de imagem de contêiner de ponte de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull de imagens de contêiner. |
| Identidade Gerenciada | 443 | *.his.arc.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull dos certificados de Identidade Gerenciada atribuída pelo sistema. |
| Download da imagem de contêiner do Azure Arc para Kubernetes | 443 | azurearcfork8s.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de imagens de contêineres. |
| Agente do Azure Arc | 443 | k8connecthelm.azureedge.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Implanta o agente do Azure Arc. |
| Serviço de telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft da VM do dispositivo. |
| Serviço de dados de eventos da Microsoft | 443 | v20.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envie dados de diagnóstico do Windows. |
| Coleta de registros para a Ponte de Recursos do Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Registros de envio para componentes gerenciados pelo Dispositivo. |
| Download dos componentes da ponte de recursos | 443 | kvamanagementoperator.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de artefatos para os componentes gerenciados do Dispositivo. |
| Gerenciador de pacotes de código aberto da Microsoft | 443 | packages.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Faça o download do pacote de instalação do Linux. |
| Local Personalizado | 443 | sts.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Local Personalizado. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Azure Arc. |
| Local Personalizado | 443 | k8sconnectcsp.azureedge.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Local Personalizado. |
| Dados de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Portal do Azure | 443 | *.arc.azure.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Gerencia clusters a partir do portal do Azure. |
| Extensão e CLI do Azure | 443 | *.blob.core.windows.net |
O computador de gerenciamento precisa de uma conexão de saída. | Baixe o instalador e a extensão da CLI do Azure. |
| Agente do Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
O computador de gerenciamento precisa de uma conexão de saída. | Plano de dados usado para o agente do Arc. |
| Pacote do Python | 443 | pypi.org, *.pypi.org |
O computador de gerenciamento precisa de uma conexão de saída. | Validar as versões do Kubernetes e do Python. |
| CLI do Azure | 443 | pythonhosted.org, *.pythonhosted.org |
O computador de gerenciamento precisa de uma conexão de saída. | Pacotes Python para instalação da CLI do Azure. |
Requisitos de conectividade de entrada
A comunicação entre as seguintes portas deve ser permitida a partir da máquina de gerenciamento, dos IPs da VM do Dispositivo e dos IPs do painel de controle. Verifique se essas portas estão abertas e se o tráfego não está sendo roteado por meio de um proxy para facilitar a implantação e a manutenção da ponte de recursos Arc.
| Serviço | Porta | IP/computador | Direção | Observações |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor de API do Kubernetes | 6443 | appliance VM IPs e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| SSH | 22 | control plane IP e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor de API do Kubernetes | 6443 | control plane IP e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| HTTPS | 443 | private cloud control plane address e Management machine |
O computador de gerenciamento precisa de uma conexão de saída. | Comunicação com o painel de controle (ex.: endereço do VMware vCenter). |
Observação
As URLs listadas aqui são necessárias somente para a ponte de recursos do Arc. Outros produtos Arc (como vSphere VMware habilitado para Arc) podem ter URLs adicionais necessárias. Para obter detalhes, consulte os requisitos de rede do Azure Arc.
Intervalos de IP designados para a ponte de recursos do Arc
Ao implantar a ponte de recursos do Arc, intervalos de IP específicos são reservados exclusivamente para os pods e serviços do Kubernetes dentro da VM do dispositivo. Esses intervalos de IP internos não devem se sobrepor a nenhuma entrada de configuração para a ponte de recursos, como prefixo de endereço IP, IP do plano de controle, IPs de VM do dispositivo, servidores DNS, servidores proxy ou hosts vSphere ESXi. Para obter detalhes sobre a configuração da ponte de recursos do Arc, consulte os requisitos do sistema.
Observação
Esses intervalos de IP designados são usados somente internamente dentro da ponte de recursos do Arc. Eles não afetam recursos ou redes do Azure.
| Serviço | Intervalo de IP designado |
|---|---|
| Pods do Kubernetes da ponte de recursos do Arc | 10.244.0.0/16 |
| Serviços do Kubernetes da ponte de recursos do Arc | 10.96.0.0/12 |
Configuração do proxy de SSL
Importante
A Ponte de Recursos do Arc dá suporte apenas a proxies diretos (explícitos), incluindo proxies não autenticados, proxies com autenticação básica, proxies de encerramento de SSL e proxies de passagem SSL.
Se estiver usando um proxy, a Ponte de Recursos do Arc deverá ser configurada para usar o proxy para se conectar aos serviços do Azure.
Para configurar a ponte de recursos do Arc com proxy, forneça o caminho do arquivo de certificado proxy durante a criação dos arquivos de configuração.
O formato do arquivo de certificado é X.509 codificado em Base 64 (. CER).
Passe apenas o certificado de proxy único. Se um pacote de certificados for aprovado, a implantação falhará.
O ponto de extremidade do servidor proxy não pode ser um domínio
.local.O servidor proxy deve ser acessível de todos os IPs dentro do prefixo de endereço IP, incluindo o plano de controle e os IPs de VM do dispositivo.
Há apenas dois certificados que devem ser relevantes ao implantar a ponte de recursos do Arc atrás de um proxy SSL:
Certificado SSL para o proxy SSL (para que o computador de gerenciamento e a VM do dispositivo confiem no FQDN do proxy e possam estabelecer uma conexão SSL com ele)
Certificado SSL dos servidores de download da Microsoft. O servidor proxy em si deve confiar nesse certificado, pois é o proxy que estabelece a conexão final e precisa confiar no ponto de extremidade. Computadores não Windows podem não confiar nesse segundo certificado por padrão, portanto, talvez seja necessário garantir que ele seja confiável.
Para implantar a ponte de recursos do Arc, as imagens precisam ser baixadas no computador de gerenciamento e, em seguida, carregadas na galeria de nuvem privada local. Se o servidor proxy limitar a velocidade de download, talvez você não consiga baixar as imagens necessárias (aproximadamente 3,5 GB) dentro do tempo alocado (90 min).
Lista de exclusão para nenhum proxy
Se um servidor proxy estiver sendo usado, a tabela a seguir conterá a lista de endereços que devem ser excluídos do proxy definindo as configurações do noProxy.
| Endereço IP | Motivo da exclusão |
|---|---|
| localhost, 127.0.0.1 | Tráfego localhost |
| *.svc | Tráfego de serviço interno do Kubernetes (.svc), em que .svc representa um nome curinga. Isso é semelhante a dizer *.svc, mas nenhum é usado neste esquema. |
| 10.0.0.0/8 | espaço de endereço de rede privada |
| 172.16.0.0/12 | Espaço de endereço de rede privada – CIDR do Serviço Kubernetes |
| 192.168.0.0/16 | Espaço de endereço de rede privada – CIDR do Pod do Kubernetes |
| contoso.com. | Talvez você queira isentar o namespace da empresa (.contoso.com) de ser direcionado por meio do proxy. Para excluir todos os endereços em um domínio, você deve adicionar o domínio à lista do noProxy. Use um período à esquerda em vez de um caractere curinga (*). No exemplo, os endereços .contoso.com excluem endereços prefix1.contoso.com, prefix2.contoso.com e assim por diante. |
O valor padrão para noProxy é localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Embora esses valores padrão funcionem para muitas redes, talvez seja necessário adicionar mais intervalos de sub-rede e/ou nomes à lista de isenções. Por exemplo, talvez você queira isentar o namespace da empresa (.contoso.com) de ser direcionado por meio do proxy. Você pode conseguir isso especificando os valores na lista do noProxy.
Importante
Ao listar vários endereços para as configurações do noProxy, não adicione um espaço após cada vírgula para separar os endereços. Os endereços devem seguir imediatamente as vírgulas.
Escuta de porta interna
Saiba que a VM do dispositivo está configurada para escutar nas portas a seguir. Estas portas são usadas exclusivamente para processos internos e não exigem acesso externo:
- 8443 – Ponto de extremidade para webhook de autenticação Microsoft Entra
- 10257 – Métricas de ponte de recursos do ponto de extremidade para Arc
- 10250 – Métricas de ponte de recursos do ponto de extremidade para Arc
- 2382 – Métricas de ponte de recursos do ponto de extremidade para Arc
Próximas etapas
- Revise a visão geral da ponte de recursos do Azure Arc (versão prévia) para saber mais sobre requisitos e detalhes técnicos.
- Saiba mais sobre a configuração de segurança e as considerações para a ponte de recursos do Azure Arc.
- Veja dicas de solução de problemas de rede.