Requisitos de rede do Azure Arc
Este artigo lista os pontos de extremidade, as portas e os protocolos necessários para os serviços e recursos habilitados para o Azure Arc.
Geralmente, os requisitos de conectividade incluem estes princípios:
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e a máquina que executa o processo de integração atendem aos requisitos de rede neste artigo.
Pontos de extremidade do Kubernetes habilitados para Azure Arc
A conectividade com os endpoints baseados no Arc Kubernetes é necessária para todas as ofertas do Arc baseadas no Kubernetes, incluindo:
- Kubernetes habilitado para Azure Arc
- Serviços de aplicativo habilitados para Azure Arc
- Azure Arc-enabled Machine Learning
- Serviços de dados habilitados para Azure Arc (somente no modo de conectividade direta)
Importante
Os agentes do Azure Arc exigem as seguintes URLs de saída para https://:443 funcionar.
Para *.servicebus.windows.neto , os websockets precisam estar habilitados para acesso de saída em firewall e proxy.
| Ponto final (DNS) | Description |
|---|---|
https://management.azure.com |
Necessário para que o agente se conecte ao Azure e registre o cluster. |
https://<region>.dp.kubernetesconfiguration.azure.com |
O ponto final do plano de dados para o agente emitir o estado e obter as informações de configuração. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
É necessário obter e atualizar os tokens do Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Necessário para extrair imagens de contêiner para agentes do Azure Arc. |
https://gbl.his.arc.azure.com |
Necessário para obter o ponto de extremidade regional para obter certificados de Identidade Gerenciada atribuídos pelo sistema. |
https://*.his.arc.azure.com |
Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema. |
https://k8connecthelm.azureedge.net |
az connectedk8s connect usa o Helm 3 para implantar agentes do Azure Arc no cluster do Kubernetes. Esse ponto de extremidade é necessário para o download do cliente Helm para facilitar a implantação do gráfico de leme do agente. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.nethttps://k8sconnectcsp.azureedge.net |
Para Cluster Connect e para cenários baseados em Localização Personalizada. |
*.servicebus.windows.net |
Para Cluster Connect e para cenários baseados em Localização Personalizada. |
https://graph.microsoft.com/ |
Necessário quando o RBAC do Azure está configurado. |
*.arc.azure.net |
Necessário para gerenciar clusters conectados no portal do Azure. |
https://<region>.obo.arc.azure.com:8084/ |
Necessário quando o Cluster Connect está configurado. |
dl.k8s.io |
Necessário quando a atualização automática do agente está ativada. |
Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2.
Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Para obter mais informações, consulte Requisitos de rede do Kubernetes habilitados para Azure Arc.
Serviços de dados habilitados para Azure Arc
Esta seção descreve os requisitos específicos dos serviços de dados habilitados para ArcGIS do Azure, além dos pontos de extremidade do Kubernetes habilitados para Arc listados acima.
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| Gráfico de leme (somente no modo de conexão direta) | 443 | arcdataservicesrow1.azurecr.io |
Saída | Provisiona o bootstrapper do controlador de dados do Azure Arc e objetos de nível de cluster, como definições de recursos personalizadas, funções de cluster e associações de função de cluster, são extraídos de um Registro de Contêiner do Azure. |
| Azure monitor APIs * | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Saída | O Azure Data Studio e a CLI do Azure se conectam às APIs do Azure Resource Manager para enviar e recuperar dados de e para o Azure para alguns recursos. Consulte Azure Monitor APIs. |
| Serviço de processamento de dados do Azure Arc * | 443 | *.<region>.arcdataservices.com2 |
De Saída |
1 O requisito depende do modo de implantação:
- Para o modo direto, o pod controlador no cluster Kubernetes precisa ter conectividade de saída com os pontos de extremidade para enviar os logs, métricas, inventário e informações de cobrança para o Azure Monitor/Serviço de Processamento de Dados.
- Para o modo indireto, a máquina que é executada
az arcdata dc uploadprecisa ter a conectividade de saída com o Azure Monitor e o Serviço de Processamento de Dados.
2 Para versões de extensão até 13 de fevereiro de 2024, inclusive, use san-af-<region>-prod.azurewebsites.net.
Azure Monitor APIs
A conectividade do Azure Data Studio com o servidor de API do Kubernetes usa a autenticação e a criptografia do Kubernetes que você estabeleceu. Cada usuário que está usando o Azure Data Studio ou a CLI deve ter uma conexão autenticada com a API do Kubernetes para executar muitas das ações relacionadas aos serviços de dados habilitados para Arco do Azure.
Para obter mais informações, consulte Modos e requisitos de conectividade.
Servidores compatíveis com o Azure Arc
A conectividade com pontos de extremidade de servidor habilitados para Arc é necessária para:
SQL Server habilitado pelo Azure Arc
VMware vSphere habilitado para Azure Arc *
Azure Arc-enabled System Center Virtual Machine Manager *
Azure Arc-enabled Azure Stack (HCI) *
*Apenas necessário para a gestão de convidados ativada.
Os pontos de extremidade de servidor habilitados para Azure Arc são necessários para todas as ofertas de Arc baseadas em servidor.
Configuração da rede
O agente Azure Connected Machine para Linux e Windows comunica a saída com segurança para o Azure Arc através da porta TCP 443. Por padrão, o agente usa a rota padrão para a Internet para acessar os serviços do Azure. Opcionalmente, você pode configurar o agente para usar um servidor proxy se sua rede exigir. Os servidores proxy não tornam o agente da Máquina Conectada mais seguro porque o tráfego já está criptografado.
Para proteger ainda mais sua conectividade de rede com o Azure Arc, em vez de usar redes públicas e servidores proxy, você pode implementar um Escopo de Link Privado do Azure Arc .
Nota
Os servidores habilitados para Arco do Azure não oferecem suporte ao uso de um gateway do Log Analytics como proxy para o agente de Máquina Conectada. Ao mesmo tempo, o Azure Monitor Agent dá suporte ao gateway do Log Analytics.
Se a conectividade de saída for restrita pelo firewall ou servidor proxy, verifique se as URLs e tags de serviço listadas abaixo não estão bloqueadas.
Etiquetas de serviço
Certifique-se de permitir o acesso às seguintes etiquetas de serviço:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Armazenamento
- WindowsAdminCenter (se estiver usando o Windows Admin Center para gerenciar servidores habilitados para Arc)
Para obter uma lista de endereços IP para cada tag/região de serviço, consulte o arquivo JSON Azure IP Ranges and Service Tags – Public Cloud. A Microsoft publica atualizações semanais contendo cada Serviço do Azure e os intervalos de IP que ele usa. Essas informações no arquivo JSON são a lista point-in-time atual dos intervalos de IP que correspondem a cada marca de serviço. Os endereços IP estão sujeitos a alterações. Se os intervalos de endereços IP forem necessários para sua configuração de firewall, a Tag de Serviço AzureCloud deverá ser usada para permitir o acesso a todos os serviços do Azure. Não desative o monitoramento de segurança ou a inspeção desses URLs, permita-os como faria com outro tráfego da Internet.
Se você filtrar o tráfego para a marca de serviço AzureArcInfrastructure, deverá permitir o tráfego para o intervalo completo de tags de serviço. Os intervalos anunciados para regiões individuais, por exemplo, AzureArcInfrastructure.AustraliaEast, não incluem os intervalos de IP usados pelos componentes globais do serviço. O endereço IP específico resolvido para esses pontos finais pode mudar ao longo do tempo dentro dos intervalos documentados, portanto, apenas usar uma ferramenta de pesquisa para identificar o endereço IP atual para um determinado ponto final e permitir o acesso a ele não será suficiente para garantir um acesso confiável.
Para obter mais informações, consulte Marcas de serviço de rede virtual.
URLs
A tabela abaixo lista as URLs que devem estar disponíveis para instalar e usar o agente de Máquina Conectada.
Nota
Ao configurar o agente de máquina conectada do Azure para se comunicar com o Azure por meio de um link privado, alguns pontos de extremidade ainda devem ser acessados pela Internet. A coluna Ponto de extremidade usado com link privado na tabela a seguir mostra quais pontos de extremidade podem ser configurados com um ponto de extremidade privado. Se a coluna mostrar Público para um ponto de extremidade, você ainda deverá permitir o acesso a esse ponto de extremidade por meio do firewall e/ou servidor proxy da sua organização para que o agente funcione.
| Recursos do agente | Description | Quando necessário | Ponto de extremidade usado com link privado |
|---|---|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação | No momento da instalação, apenas | Público |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows | No momento da instalação, apenas | Público |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux | No momento da instalação, apenas | Público |
login.windows.net |
Microsoft Entra ID | Sempre | Público |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Público |
pas.windows.net |
Microsoft Entra ID | Sempre | Público |
management.azure.com |
Azure Resource Manager - para criar ou excluir o recurso do servidor Arc | Ao conectar ou desconectar um servidor, somente | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida | Sempre | Privado |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados | Sempre | Privado |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade | Sempre | Público |
azgn*.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade | Sempre | Público |
*.servicebus.windows.net |
Para cenários do Windows Admin Center e SSH | Se estiver usando SSH ou Windows Admin Center do Azure | Público |
*.waconazure.com |
Para conectividade do Windows Admin Center | Se estiver usando o Windows Admin Center | Público |
*.blob.core.windows.net |
Fonte de download para extensões de servidores habilitadas para Azure Arc | Sempre, exceto ao usar pontos de extremidade privados | Não usado quando o link privado está configurado |
dc.services.visualstudio.com |
Telemetria do agente | Opcional, não usado nas versões do agente 1.24+ | Público |
*.<region>.arcdataservices.com1 |
Para Arc SQL Server. Envia serviço de processamento de dados, telemetria de serviço e monitoramento de desempenho para o Azure. Permite TLS 1.3. | Sempre | Público |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para ESUs (observação: usa HTTP/TCP 80 e HTTPS/TCP 443) | Se estiver usando ESUs habilitados pelo Azure Arc. Necessário sempre para atualizações automáticas, ou temporariamente se baixar certificados manualmente. | Público |
1 Para versões de extensão até e incluindo 13 de fevereiro de 2024, use san-af-<region>-prod.azurewebsites.net. A partir de 12 de março de 2024 , o processamento de dados do Azure Arc e a telemetria de dados do Azure Arc são usados *.<region>.arcdataservices.com.
Nota
Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dentro desse comando, a região deve ser especificada para o <region> espaço reservado.
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2.
Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolo Transport Layer Security 1.2
Para garantir a segurança dos dados em trânsito para o Azure, recomendamos que você configure a máquina para usar o Transport Layer Security (TLS) 1.2. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis e, embora ainda funcionem atualmente para permitir compatibilidade com versões anteriores, não são recomendadas.
| Plataforma/Idioma | Suporte | Mais Informações |
|---|---|---|
| Linux | As distribuições Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique o OpenSSL Changelog para confirmar se a sua versão do OpenSSL é suportada. |
| Windows Server 2012 R2 e superior | Suportado e ativado por padrão. | Para confirmar que você ainda está usando as configurações padrão. |
Subconjunto de pontos finais apenas para ESU
Se você estiver usando servidores habilitados para Azure Arc somente para Atualizações de Segurança Estendidas para um ou ambos os seguintes produtos:
- Windows Server 2012
- SQL Server 2012
Você pode habilitar o seguinte subconjunto de pontos de extremidade:
| Recursos do agente | Description | Quando necessário | Ponto de extremidade usado com link privado |
|---|---|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação | No momento da instalação, apenas | Público |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows | No momento da instalação, apenas | Público |
login.windows.net |
Microsoft Entra ID | Sempre | Público |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Público |
management.azure.com |
Azure Resource Manager - para criar ou excluir o recurso do servidor Arc | Ao conectar ou desconectar um servidor, somente | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida | Sempre | Privado |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados | Sempre | Privado |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para ESUs (observação: usa HTTP/TCP 80 e HTTPS/TCP 443) | Sempre para atualizações automáticas, ou temporariamente se baixar certificados manualmente. | Público |
*.<region>.arcdataservices.com |
Serviço de processamento de dados e telemetria de serviço do Azure Arc. | SQL Server ESUs | Público |
Para obter mais informações, consulte Requisitos de rede do agente de máquina conectada.
Bridge de recursos Azure Arc
Esta seção descreve os requisitos de rede adicionais específicos para implantar a ponte de recursos do Azure Arc em sua empresa. Esses requisitos também se aplicam ao VMware vSphere habilitado para Azure Arc e ao System Center Virtual Machine Manager habilitado para Azure Arc.
Conectividade de saída
As URLs de firewall e proxy abaixo devem ser permitidas para permitir a comunicação da máquina de gerenciamento, VM do Appliance e IP do Plano de Controle para as URLs de ponte de recursos Arc necessárias.
Lista de permissões de URL de firewall/proxy
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| Ponto de extremidade da API SFS | 443 | msk8s.api.cdp.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Transfira o catálogo de produtos, bits de produtos e imagens do SO a partir do SFS. |
| Download de imagens da ponte de recursos (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Faça o download das imagens do sistema operacional Arc Resource Bridge. |
| Registro de contêiner da Microsoft | 443 | mcr.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Faça o download de imagens de contêiner para o Arc Resource Bridge. |
| Servidor Windows NTP | 123 | time.windows.com |
Máquina de gerenciamento & IPs de VM do dispositivo (se o padrão do Hyper-V for Windows NTP) precisam de conexão de saída no UDP | Sincronização de tempo do SO na VM do dispositivo & Máquina de gestão (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Gerencie recursos no Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para o Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Serviço de plano de dados de ponte de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
O IP das VMs do dispositivo precisa de conexão de saída. | Comunique-se com o provedor de recursos no Azure. |
| Download de imagem de contêiner de ponte de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para extrair imagens de contêiner. |
| Identidade Gerida | 443 | *.his.arc.azure.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema. |
| Download de imagem de contêiner do Azure Arc for Kubernetes | 443 | azurearcfork8s.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Puxe imagens de contêiner. |
| Agente do Azure Arc | 443 | k8connecthelm.azureedge.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | implantar o agente do Azure Arc. |
| Serviço de telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft da VM do dispositivo. |
| Serviço de dados de eventos da Microsoft | 443 | v20.events.data.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envie dados de diagnóstico do Windows. |
| Coleta de logs para o Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Push logs para componentes gerenciados pelo Appliance. |
| Download de componentes da ponte de recursos | 443 | kvamanagementoperator.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Extraia artefatos para componentes gerenciados pelo Appliance. |
| Gerenciador de pacotes de código aberto da Microsoft | 443 | packages.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Faça o download do pacote de instalação do Linux. |
| Localização personalizada | 443 | sts.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para localização personalizada. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para o Azure Arc. |
| Localização personalizada | 443 | k8sconnectcsp.azureedge.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para localização personalizada. |
| Dados de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Portal do Azure | 443 | *.arc.azure.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Gerencie o cluster a partir do portal do Azure. |
| Azure CLI & Extensão | 443 | *.blob.core.windows.net |
A máquina de gerenciamento precisa de conexão de saída. | Baixe o instalador e a extensão da CLI do Azure. |
| Azure Arc Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
A máquina de gerenciamento precisa de conexão de saída. | Dataplane usado para o agente Arc. |
| Pacote Python | 443 | pypi.org, *.pypi.org |
A máquina de gerenciamento precisa de conexão de saída. | Valide as versões Kubernetes e Python. |
| CLI do Azure | 443 | pythonhosted.org, *.pythonhosted.org |
A máquina de gerenciamento precisa de conexão de saída. | Pacotes Python para instalação da CLI do Azure. |
| SSH | 22 | Arc resource bridge appliance VM IPs |
A máquina de gerenciamento precisa de conexão de saída. | Usado para solucionar problemas da VM do dispositivo. |
| Servidor da API do Kubernetes | 6443 | Arc resource bridge appliance VM IPs |
A máquina de gerenciamento precisa de conexão de saída. | Gestão de VM de appliance. |
Para obter mais informações, consulte Requisitos de rede da ponte de recursos do Azure Arc.
System Center Virtual Machine Manager compatível com o Azure Arc
O System Center Virtual Machine Manager (SCVMM) habilitado para Azure Arc também exige:
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| Servidor de gerenciamento SCVMM | 443 | URL do servidor de gerenciamento do SCVMM | O IP da VM do dispositivo e o ponto de extremidade do plano de controle precisam de conexão de saída. | Usado pelo servidor SCVMM para se comunicar com a VM do Appliance e o plano de controle. |
Para obter mais informações, consulte Visão geral do System Center Virtual Machine Manager habilitado para Arc.
VMware vSphere compatível com o Azure Arc
O VMware vSphere habilitado para Azure Arc também requer:
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| vCenter Server | 443 | URL do servidor vCenter | O IP da VM do dispositivo e o ponto de extremidade do plano de controle precisam de conexão de saída. | Usado pelo servidor vCenter para se comunicar com a VM do Appliance e o plano de controle. |
Para obter mais informações, consulte Matriz de suporte para VMware vSphere habilitado para Azure Arc.
Parâmetros de avaliação adicionais
Dependendo do seu cenário, você pode precisar de conectividade com outras URLs, como as usadas pelo portal do Azure, ferramentas de gerenciamento ou outros serviços do Azure. Em particular, revise essas listas para garantir que você permita a conectividade com quaisquer pontos de extremidade necessários: