Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo lista os pontos de extremidade, as portas e os protocolos necessários para os serviços e recursos habilitados para o Azure Arc.
Geralmente, os requisitos de conectividade incluem estes princípios:
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e a máquina que executa o processo de integração atendem aos requisitos de rede neste artigo.
Gorjeta
Para a nuvem pública do Azure, você pode reduzir o número de pontos de extremidade necessários usando o gateway do Azure Arc para servidores habilitados para Arc ou Kubernetes habilitados para Arc.
Pontos de extremidade do Kubernetes habilitados para Azure Arc
A conectividade com os endpoints baseados no Arc Kubernetes é necessária para todas as ofertas do Arc baseadas no Kubernetes, incluindo:
- Kubernetes habilitado para Azure Arc
- Aplicativos de contêiner do Azure no Azure Arc
- Aprendizagem Máquina Ativada por Azure Arc
- Serviços de dados habilitados para Azure Arc (somente no modo de conectividade direta)
Importante
Os agentes do Azure Arc exigem as seguintes URLs de saída para https://:443 funcionar.
Para *.servicebus.windows.neto , os websockets precisam estar habilitados para acesso de saída em firewall e proxy.
| Ponto final (DNS) | Description |
|---|---|
https://management.azure.com |
Necessário para que o agente se conecte ao Azure e registre o cluster. |
https://<region>.dp.kubernetesconfiguration.azure.com |
O ponto final do plano de dados para o agente emitir o estado e obter as informações de configuração. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
É necessário obter e atualizar os tokens do Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Necessário para extrair imagens de contêiner para agentes do Azure Arc. |
dl.k8s.io |
Necessário para baixar binários kubectl durante a integração do Azure Arc pela extensão connectedk8s da CLI do Azure. |
https://gbl.his.arc.azure.com |
Necessário para obter o ponto de extremidade regional para obter certificados de Identidade Gerenciada atribuídos pelo sistema. |
https://*.his.arc.azure.com |
Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.net |
Para Cluster Connect e para cenários baseados em Localização Personalizada. |
*.servicebus.windows.net |
Para Cluster Connect e para cenários baseados em Localização Personalizada. |
https://graph.microsoft.com/ |
Necessário quando o RBAC do Azure está configurado. |
*.arc.azure.net |
Necessário para gerenciar clusters conectados no portal do Azure. |
https://<region>.obo.arc.azure.com:8084/ |
Necessário quando o Cluster Connect e o Azure RBAC estão configurados. |
https://linuxgeneva-microsoft.azurecr.io |
Necessário se estiver usando extensões do Kubernetes habilitadas para Azure Arc. |
Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2.
Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Para obter mais informações, consulte Requisitos de rede do Kubernetes habilitados para Azure Arc.
Serviços de dados habilitados para Azure Arc
Esta seção descreve os requisitos específicos dos serviços de dados habilitados para ArcGIS do Azure, além dos pontos de extremidade do Kubernetes habilitados para Arc listados acima.
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| Gráfico de leme (somente no modo de conexão direta) | 443 | arcdataservicesrow1.azurecr.ioarcdataservicesrow2.azurecr.io*.blob.core.windows.net |
Saída | Provisiona o bootstrapper do controlador de dados do Azure Arc e objetos de nível de cluster, como definições de recursos personalizadas, funções de cluster e associações de função de cluster, são extraídos de um Registro de Contêiner do Azure. |
| Azure Monitor APIs 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Saída | O Azure Data Studio e a CLI do Azure se conectam às APIs do Azure Resource Manager para enviar e recuperar dados de e para o Azure para alguns recursos. Consulte Azure Monitor APIs. |
| Serviço de processamento de dados do Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
Saída |
1 O requisito depende do modo de implantação:
- Para o modo direto, o pod controlador no cluster Kubernetes precisa ter conectividade de saída com os pontos de extremidade para enviar os logs, métricas, inventário e informações de cobrança para o Azure Monitor/Serviço de Processamento de Dados.
- Para o modo indireto, a máquina que é executada
az arcdata dc uploadprecisa ter a conectividade de saída com o Azure Monitor e o Serviço de Processamento de Dados.
2 Para versões de extensão até 13 de fevereiro de 2024, inclusive, use san-af-<region>-prod.azurewebsites.net.
Azure Monitor APIs
A conectividade do Azure Data Studio com o servidor de API do Kubernetes usa a autenticação e a criptografia do Kubernetes que você estabeleceu. Cada utilizador que utiliza Azure Data Studio ou CLI deve ter uma ligação autenticada à API Kubernetes para realizar muitas das ações relacionadas com serviços de dados habilitados pelo Azure Arc.
Para obter mais informações, consulte Modos e requisitos de conectividade.
Servidores compatíveis com o Azure Arc
A conectividade com pontos de extremidade de servidor habilitados para Arc é necessária para:
SQL Server habilitado pelo Azure Arc
VMware vSphere habilitado para Azure Arc *
System Center Virtual Machine Manager habilitado para Azure Arc *
Azure Arc Enabled Azure Stack (HCI) *
*Apenas necessário para a gestão de convidados ativada.
Os pontos de extremidade de servidor habilitados para Azure Arc são necessários para todas as ofertas do Azure Arc baseadas em servidor.
Configuração da rede
O agente Azure Connected Machine para Linux e Windows comunica a saída com segurança para o Azure Arc através da porta TCP 443. Por padrão, o agente usa a rota padrão para a Internet para acessar os serviços do Azure. Opcionalmente, você pode configurar o agente para usar um servidor proxy se sua rede exigir. Os servidores proxy não tornam o agente da Máquina Conectada mais seguro porque o tráfego já está criptografado.
Para proteger ainda mais sua conectividade de rede com o Azure Arc, em vez de usar redes públicas e servidores proxy, você pode implementar um escopo de link privado do Azure Arc.
Nota
Os servidores com Azure Arc não suportam o uso de um gateway Log Analytics como proxy para o agente Connected Machine. Ao mesmo tempo, o Azure Monitor Agent dá suporte a gateways do Log Analytics.
Se o firewall ou o servidor proxy restringir a conectividade de saída, verifique se as URLs e tags de serviço listadas aqui não estão bloqueadas.
Etiquetas de serviço
Certifique-se de permitir o acesso às seguintes tags de serviço:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(se você usar o Windows Admin Center para gerenciar servidores habilitados para Azure Arc)
Para obter uma lista de endereços IP para cada tag/região de serviço, consulte o arquivo JSON Azure IP Ranges and Service Tags - Public Cloud. A Microsoft publica atualizações semanais que contêm cada serviço do Azure e os intervalos de IP que ele usa. As informações no arquivo JSON são a lista point-in-time atual dos intervalos de IP que correspondem a cada tag de serviço. Os endereços IP estão sujeitos a alterações. Se os intervalos de endereços IP forem necessários para sua configuração de firewall, use a AzureCloud marca de serviço para permitir o acesso a todos os serviços do Azure. Não desative o monitoramento de segurança ou a inspeção desses URLs. Permita-os como você faria com outro tráfego da Internet.
Se você filtrar o tráfego para a AzureArcInfrastructure etiqueta de serviço, deverá permitir o tráfego para o intervalo completo da etiqueta de serviço. Os intervalos anunciados para regiões individuais, por exemplo, AzureArcInfrastructure.AustraliaEastnão incluem os intervalos de IP usados pelos componentes globais do serviço. O endereço IP específico resolvido para esses pontos de extremidade pode mudar ao longo do tempo dentro dos intervalos documentados. Por esse motivo, usar uma ferramenta de pesquisa para identificar o endereço IP atual de um ponto de extremidade específico e permitir o acesso apenas a esse endereço IP não é suficiente para garantir um acesso confiável.
Para obter mais informações, consulte Marcas de serviço de rede virtual.
Importante
Para filtrar o tráfego por endereços IP no Azure Government ou no Azure operado pela 21Vianet, certifique-se de adicionar os AzureArcInfrastructure endereços IP da etiqueta de serviço para a nuvem pública do Azure, além de utilizar a etiqueta de serviço para a AzureArcInfrastructure sua nuvem. Após 28 de outubro de 2025, será necessário adicionar a etiqueta de serviço para a AzureArcInfrastructure nuvem pública do Azure e as etiquetas de serviço para o Azure Government e o Azure operadas pela 21Vianet deixarão de ser suportadas.
URLs
Esta tabela lista as URLs que devem estar disponíveis para instalar e usar o agente de Máquina Conectada.
Nota
Quando você configura o agente de Máquina Conectada para se comunicar com o Azure por meio de um link privado, alguns pontos de extremidade ainda devem ser acessados pela Internet. A coluna Compatível com link privado na tabela a seguir mostra os pontos de extremidade que você pode configurar com um ponto de extremidade privado. Se a coluna mostrar Público para um ponto de extremidade, você ainda deverá permitir o acesso a esse ponto de extremidade por meio do firewall e/ou servidor proxy da sua organização para que o agente funcione. O tráfego de rede é roteado através de pontos de extremidade privados se um escopo de link privado for atribuído.
| Recursos do agente | Description | Quando necessário | Compatível com link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Apenas no momento da instalação. 1º | Pública. |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux. | Apenas no momento da instalação. 1º | Pública. |
login.microsoftonline.com |
ID do Microsoft Entra. | Sempre. | Pública. |
*.login.microsoft.com |
ID do Microsoft Entra. | Sempre. | Pública. |
pas.windows.net |
ID do Microsoft Entra. | Sempre. | Pública. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso do servidor Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados. | Sempre. | Privado. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade. | Sempre. | Pública. |
azgn*.servicebus.windows.net ou *.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade. | Sempre. | Pública. |
*.servicebus.windows.net |
Para cenários do Windows Admin Center e Secure Shell (SSH). | Se você usa SSH ou Windows Admin Center do Azure. | Pública. |
*.waconazure.com |
Para conectividade com o Windows Admin Center. | Se você usa o Windows Admin Center. | Pública. |
*.blob.core.windows.net |
Baixe a fonte para extensões de servidor habilitadas para Azure Arc. | Sempre, exceto quando você usa pontos de extremidade privados. | Não usado quando um link privado é configurado. |
dc.services.visualstudio.com |
Telemetria do agente. | Opcional. Não usado nas versões do agente 1.24+. | Pública. |
*.<region>.arcdataservices.com
2 |
Para o SQL Server habilitado para Azure Arc. Envia serviço de processamento de dados, telemetria de serviço e monitoramento de desempenho para o Azure. Permite apenas Transport Layer Security (TLS) 1.2 ou 1.3. | Se você usar o SQL Server habilitado para Azure Arc. | Pública. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Para autenticação do Microsoft Entra com o SQL Server habilitado para Azure Arc. | Se você usar o SQL Server habilitado para Azure Arc. | Pública. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para Atualizações de Segurança Estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Se você usar as Atualizações de Segurança Estendidas habilitadas pelo Azure Arc. Sempre necessário para atualizações automáticas ou temporariamente se você baixar certificados manualmente. | Pública. |
dls.microsoft.com |
Usado por máquinas Azure Arc para executar a validação de licença. | É obrigatório quando utiliza hotpatching, Windows Server Azure Benefits, ou faturação pay-as-you-go do Windows Server em máquinas com Azure Arc habilitado. | Pública. |
1 O acesso a este URL também é necessário quando as atualizações são realizadas automaticamente.
2 Para obter detalhes sobre quais informações são coletadas e enviadas, consulte Coleta de dados e relatórios para o SQL Server habilitado pelo Azure Arc.
Para versões de extensão até e incluindo 13 de fevereiro de 2024, use san-af-<region>-prod.azurewebsites.net. A partir de 12 de março de 2024, o processamento de dados do Azure Arc e a telemetria de dados do Azure Arc serão usados *.<region>.arcdataservices.com.
Nota
Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dentro desse comando, a região deve ser especificada para o <region> espaço reservado. Estes parâmetros de avaliação podem ser alterados periodicamente.
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2.
Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolos criptográficos
Para garantir a segurança dos dados em trânsito para o Azure, recomendamos que você configure as máquinas para usar o TLS 1.2 e 1.3. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis. Embora ainda funcionem atualmente para permitir a compatibilidade com versões anteriores, eles não são recomendados.
A partir da versão 1.56 do agente Connected Machine (somente Windows), os seguintes pacotes de codificação devem ser configurados para pelo menos uma das versões recomendadas do TLS:
TLS 1.3 (suítes na ordem preferencial do servidor):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. RSA de 15360 bits) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 bits RSA) FS
TLS 1.2 (suítes na ordem preferencial do servidor):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. RSA de 15360 bits) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS
Para obter mais informações, consulte Problemas de configuração do TLS do Windows.
O SQL Server habilitado pelos pontos de extremidade do Azure Arc localizados no *.\<region\>.arcdataservices.com suporte somente TLS 1.2 e 1.3. Apenas o Windows Server 2012 R2 e posterior têm suporte para TLS 1.2. O SQL Server habilitado pelo ponto de extremidade de telemetria do Azure Arc não tem suporte para Windows Server 2012 ou Windows Server 2012 R2.
| Plataforma/Idioma | Suporte | Mais informações |
|---|---|---|
| Linux | As distribuições Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique o OpenSSL Changelog para confirmar que a sua versão do OpenSSL é suportada. |
| Windows Server 2012 R2 e posterior | Suportado e ativado por padrão. | Confirme se você ainda está usando as configurações padrão. |
| Windows Server 2012 | Parcialmente suportado. Não recomendado. | Alguns pontos de extremidade ainda funcionam, mas outros exigem TLS 1.2 ou posterior, que não está disponível no Windows Server 2012. |
Subconjunto de pontos finais apenas para ESU
Se você usar servidores habilitados para Azure Arc somente para Atualizações de Segurança Estendidas para um ou ambos os seguintes produtos:
- Windows Server 2012
- SQL Server 2012
Você pode habilitar o seguinte subconjunto de pontos de extremidade.
| Recursos do agente | Description | Quando necessário | Ponto de extremidade usado com link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Apenas no momento da instalação. 1º | Pública. |
login.windows.net |
ID do Microsoft Entra. | Sempre. | Pública. |
login.microsoftonline.com |
ID do Microsoft Entra. | Sempre. | Pública. |
*.login.microsoft.com |
ID do Microsoft Entra. | Sempre. | Pública. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso do servidor Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados. | Sempre. | Privado. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para Atualizações de Segurança Estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Sempre para atualizações automáticas ou temporariamente se você baixar certificados manualmente. | Pública. |
*.<region>.arcdataservices.com |
Serviço de processamento de dados e telemetria de serviço do Azure Arc. | Atualizações de segurança estendidas do SQL Server. | Pública. |
*.blob.core.windows.net |
Baixe o pacote de extensão do SQL Server. | Atualizações de segurança estendidas do SQL Server. | Não é necessário se você usar o Azure Private Link. |
1 O acesso a este URL também é necessário quando efetua atualizações automaticamente.
Para obter mais informações, consulte Requisitos de rede do agente de máquina conectada.
Bridge de recursos Azure Arc
Esta seção descreve os requisitos de rede adicionais específicos para implantar a ponte de recursos do Azure Arc em sua empresa. Esses requisitos também se aplicam ao VMware vSphere habilitado para Azure Arc e ao System Center Virtual Machine Manager habilitado para Azure Arc.
Requisitos de conectividade de saída
As URLs de firewall e proxy abaixo devem ser permitidas para habilitar a comunicação da máquina de gerenciamento, da VM de ponte de recursos do Arc (implantada inicialmente), da VM 2 da ponte de recursos do Arc (a atualização cria uma nova VM usando um IP de VM diferente) e do IP do Plano de Controle para as URLs de ponte de recursos do Arc necessárias.
Importante
Ao integrar o Arc Resource Bridge, você deve fornecer dois endereços IP para as VMs do dispositivo. Estes são especificados como:
- Uma gama de IPs
- Dois IPs individuais (um para cada VM)
Para garantir atualizações bem-sucedidas, todos os IPs de VM do dispositivo devem ter acesso de saída às URLs necessárias. Certifique-se de que estes URLs estão permitidos na sua rede.
Lista de permissões de URL de firewall/proxy
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| Ponto de extremidade da API SFS | 443 | msk8s.api.cdp.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Transfira o catálogo de produtos, bits de produtos e imagens do SO a partir do SFS. |
| Download de imagens da ponte de recursos (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Faça o download das imagens do sistema operacional Arc Resource Bridge. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Descubra imagens de contêiner para o Arc Resource Bridge. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Faça o download de imagens de contêiner para o Arc Resource Bridge. |
| Servidor Windows NTP | 123 | time.windows.com |
Máquina de gerenciamento & IPs de VM do dispositivo (se o padrão do Hyper-V for Windows NTP) precisam de conexão de saída no UDP | Sincronização de tempo do SO na VM do dispositivo & Máquina de gestão (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Gerencie recursos no Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para o Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Serviço de plano de dados de ponte de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
O IP das VMs do dispositivo precisa de conexão de saída. | Comunique-se com o provedor de recursos no Azure. |
| Download de imagem de contêiner de ponte de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para extrair imagens de contêiner. |
| Identidade Gerida | 443 | *.his.arc.azure.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema. |
| Download de imagem de contêiner do Azure Arc for Kubernetes | 443 | azurearcfork8s.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Puxe imagens de contêiner. |
| Serviço de telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft da VM do dispositivo. |
| Serviço de dados de eventos da Microsoft | 443 | v20.events.data.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envie dados de diagnóstico do Windows. |
| Coleta de logs para o Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Push logs para componentes gerenciados pelo Appliance. |
| Download de componentes da ponte de recursos | 443 | kvamanagementoperator.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Extraia artefatos para componentes gerenciados pelo Appliance. |
| Gerenciador de pacotes de código aberto da Microsoft | 443 | packages.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Faça o download do pacote de instalação do Linux. |
| Localização personalizada | 443 | sts.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para localização personalizada. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para o Azure Arc. |
| Dados de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| portal do Azure | 443 | *.arc.azure.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Gerencie o cluster a partir do portal do Azure. |
| Barramento de serviço do Azure | 443 | *.servicebus.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. Conexões WebSocket (wss://) de saída devem ser permitidas. | Permite um canal de controlo seguro. |
| CLI do Azure | 443 | *.blob.core.windows.net |
A máquina de gerenciamento precisa de conexão de saída. | Baixe o Azure CLI Installer. |
| Extensão do arco | 443 | *.web.core.windows.net |
A máquina de gerenciamento precisa de conexão de saída. | Baixe a extensão Arc resource bridge. |
| Azure Arc Agente | 443 | *.dp.kubernetesconfiguration.azure.com |
A máquina de gerenciamento precisa de conexão de saída. | Dataplane usado para o agente Arc. |
| Pacote Python | 443 |
pypi.org, *.pypi.org |
A máquina de gerenciamento precisa de conexão de saída. | Valide as versões Kubernetes e Python. |
| CLI do Azure | 443 |
pythonhosted.org, *.pythonhosted.org |
A máquina de gerenciamento precisa de conexão de saída. | Pacotes Python para instalação da CLI do Azure. |
Requisitos de conectividade de entrada
A comunicação entre as seguintes portas deve ser permitida a partir da máquina de gerenciamento, dos IPs da VM do Appliance e dos IPs do Plano de Controle. Certifique-se de que essas portas estejam abertas e que o tráfego não esteja sendo roteado por meio de um proxy para facilitar a implantação e a manutenção da ponte de recursos Arc.
Importante
Durante a integração, você deve fornecer dois endereços IP para as VMs do dispositivo Arc Resource Bridge — como um intervalo ou como dois IPs individuais. Para implantação, operações e atualizações bem-sucedidas:
- Certifique-se de que a comunicação seja permitida entre a máquina de gerenciamento, os IPs da VM do dispositivo e os IPs do plano de controle nas portas necessárias, conforme listado abaixo.
- Não encaminhe o tráfego através de um proxy para essas conexões.
| Serviço | Porta | IP/máquina | Direção | Notas |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs e Management machine |
Bidirecional | A máquina de gerenciamento conecta a saída aos IPs da VM do dispositivo. Os IPs de VM do dispositivo devem permitir conexões de entrada. |
| Servidor da API do Kubernetes | 6443 |
appliance VM IPs e Management machine |
Bidirecional | A máquina de gerenciamento conecta a saída aos IPs da VM do dispositivo. Os IPs de VM do dispositivo devem permitir conexões de entrada. |
| SSH | 22 |
control plane IP e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor da API do Kubernetes | 6443 |
control plane IP e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| HTTPS | 443 |
private cloud control plane address e Management machine |
A máquina de gerenciamento precisa de conexão de saída. | Comunicação com nuvem privada (ex: endereço VMware vCenter e armazenamento de dados vSphere). |
| Servidor da API do Kubernetes | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (uns aos outros) |
Bidirecional | Necessário para a atualização da VM do dispositivo. Certifique-se de que todos os IPs de VM do dispositivo tenham conectividade de saída entre si através dessas portas. |
| HTTPS | 443 |
private cloud control plane address e appliance VM IPs |
Os IPs de VM do dispositivo precisam de conexão de saída. | Comunicação com nuvem privada (ex: endereço VMware vCenter e armazenamento de dados vSphere). |
Para obter mais informações, consulte Requisitos de rede da ponte de recursos do Azure Arc.
VMware vSphere compatível com o Azure Arc
O VMware vSphere habilitado para Azure Arc também requer:
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| vCenter Server | 443 | URL do servidor vCenter | O IP da VM do dispositivo e o ponto de extremidade do plano de controle precisam de conexão de saída. | Usado pelo servidor vCenter para se comunicar com a VM do Appliance e o plano de controle. |
| Extensão VMware Cluster | 443 | azureprivatecloud.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Puxe imagens de contêiner para Microsoft.VMWare e Microsoft.AVS Cluster Extension. |
| Azure CLI e Azure CLI Extensions | 443 | *.blob.core.windows.net |
A máquina de gerenciamento precisa de conexão de saída. | Baixe o Instalador da CLI do Azure e as extensões da CLI do Azure. |
| Azure Resource Manager | 443 | management.azure.com |
A máquina de gerenciamento precisa de conexão de saída. | Necessário para criar/atualizar recursos no Azure usando ARM. |
| Gráfico de leme para agentes do Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
A máquina de gerenciamento precisa de conexão de saída. | Ponto de extremidade do plano de dados para baixar as informações de configuração dos agentes Arc. |
| CLI do Azure | 443 | - login.microsoftonline.com - aka.ms |
A máquina de gerenciamento precisa de conexão de saída. | É necessário obter e atualizar os tokens do Azure Resource Manager. |
Para obter mais informações, consulte Matriz de suporte para VMware vSphere habilitado para Azure Arc.
System Center Virtual Machine Manager compatível com o Azure Arc
O System Center Virtual Machine Manager (SCVMM) habilitado para Azure Arc também exige:
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| Servidor de gerenciamento SCVMM | 443 | URL do servidor de gerenciamento do SCVMM | O IP da VM do dispositivo e o ponto de extremidade do plano de controle precisam de conexão de saída. | Usado pelo servidor SCVMM para se comunicar com a VM do Appliance e o plano de controle. |
Para obter mais informações, consulte Visão geral do System Center Virtual Machine Manager habilitado para Arc.
Parâmetros de avaliação adicionais
Dependendo do seu cenário, você pode precisar de conectividade com outras URLs, como as usadas pelo portal do Azure, ferramentas de gerenciamento ou outros serviços do Azure. Em particular, revise essas listas para garantir que você permita a conectividade com quaisquer pontos de extremidade necessários: