Требования к сети Azure Arc
В этой статье перечислены конечные точки, порты и протоколы, необходимые для служб и функций с поддержкой Azure Arc.
Как правило, требования к подключению включают следующие принципы:
- Все подключения являются TCP, если иное не указано.
- Все HTTP-подключения используют ПРОТОКОЛ HTTPS и SSL/TLS с официально подписанными и проверяемыми сертификатами.
- Все подключения исходящие, если иное не указано.
Чтобы использовать прокси-сервер, убедитесь, что агенты и компьютер, выполняющие процесс подключения, соответствуют требованиям к сети в этой статье.
Конечные точки Kubernetes с поддержкой Azure Arc
Подключение конечную точку на основе Arc Kubernetes требуется для всех предложений Arc на основе Kubernetes, в том числе:
- Kubernetes с поддержкой Azure Arc
- Службы приложений с поддержкой Azure Arc
- Машинное обучение с поддержкой Azure Arc
- Службы данных с поддержкой Azure Arc (только режим прямого подключения)
Внимание
Для работы агентов Azure Arc требуются следующие исходящие URL-адреса (https://:443).
Для *.servicebus.windows.net в брандмауэре и прокси-сервере необходимо включить WebSocket для исходящего доступа.
| Конечная точка (DNS) | Description |
|---|---|
https://management.azure.com |
Требуется для подключения агента к Azure и регистрации кластера. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Конечная точка плоскости данных, через которую агент будет отправлять сведения о состоянии и извлекать сведения о конфигурации. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Требуется для извлечения и обновления маркеров Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Требуется агентам Azure Arc для извлечения образов контейнеров. |
https://gbl.his.arc.azure.com |
Требуется для получения региональной конечной точки, позволяющей запрашивать назначенные системой сертификаты управляемых удостоверений. |
https://*.his.arc.azure.com |
Требуется для получения сертификатов управляемого удостоверения, назначаемого системой. |
https://k8connecthelm.azureedge.net |
az connectedk8s connect использует Helm 3 для развертывания агентов Arc Azure в кластере Kubernetes. Эта конечная точка необходима для загрузки клиента Helm, чтобы упростить развертывание чарта агента Helm. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.nethttps://k8sconnectcsp.azureedge.net |
Для подключения кластера и сценариев на основе пользовательского расположения. |
*.servicebus.windows.net |
Для подключения кластера и сценариев на основе пользовательского расположения. |
https://graph.microsoft.com/ |
Требуется при настройке Azure RBAC . |
*.arc.azure.net |
Требуется для управления подключенными кластерами в портал Azure. |
https://<region>.obo.arc.azure.com:8084/ |
Требуется при настройке Подключение кластера. |
dl.k8s.io |
Требуется при включенном автоматическом обновлении агента. |
Чтобы перевести дикую *.servicebus.windows.net карта в определенные конечные точки, используйте команду:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Чтобы получить сегмент региона региональной конечной точки, удалите все пробелы из имени региона Azure. Например, регион "Восточная часть США 2 " — eastus2имя региона.
Например, *.<region>.arcdataservices.com должно находиться *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".
Чтобы просмотреть список всех регионов, выполните следующую команду:
az account list-locations -o table
Get-AzLocation | Format-Table
Дополнительные сведения см. в статье о требованиях к сети Kubernetes с поддержкой Azure Arc.
Службы данных с поддержкой Azure Arc
В этом разделе описываются требования, относящиеся к службам данных с поддержкой Azure Arc, в дополнение к конечным точкам Kubernetes с поддержкой Arc, перечисленным выше.
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| Диаграмма Helm (только для прямого подключенного режима) | 443 | arcdataservicesrow1.azurecr.io |
Исходящие | Подготавливает загрузчик контроллера данных Azure Arc и объекты уровня кластера, такие как пользовательские определения ресурсов, роли кластера и привязки ролей кластера, извлекается из Реестр контейнеров Azure. |
| API Azure Monitor * | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Исходящие | Azure Data Studio, и Azure CLI подключаются к API-интерфейсам Azure Resource Manager для обмена данными с Azure для некоторых функций. См . API Azure Monitor. |
| Служба обработки данных Azure Arc * | 443 | *.<region>.arcdataservices.com2 |
Исходящие |
1 Требование зависит от режима развертывания:
- Для прямого режима модуль pod контроллера в кластере Kubernetes должен иметь исходящее подключение к конечным точкам для отправки журналов, метрик, инвентаризации и выставления счетов в службу Azure Monitor/Data Processing Service.
- Для косвенного режима компьютер, на котором выполняется
az arcdata dc upload, должен иметь исходящее подключение к Службе обработки данных и Azure Monitor.
2 Для версий расширений до 13 февраля 2024 г. используйте san-af-<region>-prod.azurewebsites.net.
API Azure Monitor
При подключении из Azure Data Studio к серверу API Kubernetes используются проверка подлинности Kubernetes и настроенное вами шифрование. У каждого пользователя Azure Data Studio для выполнения различных действий, связанных со службами данных с поддержкой Azure Arc, должно быть прошедшее проверку подлинности подключение к API Kubernetes.
Дополнительные сведения см. в разделе Подключение режимов и требований.
Серверы с поддержкой Azure Arc
для Подключение конечных точек сервера с поддержкой Arc требуется:
SQL Server, включенный Azure Arc
VMware vSphere с поддержкой Azure Arc *
Диспетчер виртуальных машин System Center с поддержкой Azure Arc *
Azure Arc с поддержкой Azure Stack (HCI) *
*Требуется только для гостевого управления.
Конечные точки сервера с поддержкой Azure Arc необходимы для всех предложений Arc на основе сервера.
Конфигурации сети
Агент машин с Подключение Azure для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. По умолчанию агент использует маршрут по умолчанию к Интернету для доступа к службам Azure. При необходимости агент можно настроить для использования прокси-сервера , если сеть требует его. Прокси-серверы не делают агент Connected Machine более безопасным, поскольку трафик уже зашифрован.
Для дальнейшего обеспечения безопасности сетевого подключения к Azure Arc вместо использования общедоступных сетей и прокси-серверов можно реализовать область Приватный канал Azure Arc.
Примечание.
Серверы с поддержкой Azure Arc не поддерживают использование шлюза Log Analytics в качестве прокси-сервера для агента Подключение компьютера. В то же время агент Azure Monitor поддерживает шлюз Log Analytics.
Если исходящее подключение ограничено брандмауэром или прокси-сервером, убедитесь, что URL-адреса и теги служб, перечисленные ниже, не блокируются.
Теги служб
Обязательно разрешите доступ к следующим тегам службы:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Хранилище
- Windows Администратор Center (при использовании Центра Администратор Windows для управления серверами с поддержкой Arc)
Список IP-адресов для каждого тега службы или региона см. в файле JSON для диапазонов IP-адресов Azure и тегов служб — общедоступного облака. Корпорация Майкрософт публикует еженедельные обновления, содержащие каждую службу Azure и диапазоны IP-адресов, которые она использует. Эта информация в JSON-файле является актуальным списком точек во времени для диапазонов IP-адресов, соответствующих каждому тегу службы. IP-адреса могут изменяться. Если для настройки брандмауэра требуются диапазоны IP-адресов, то для предоставления доступа ко всем службам Azure следует использовать тег службы AzureCloud. Не отключайте мониторинг безопасности или проверку URL-адресов, но предоставьте такие же разрешения, как для интернет-трафика.
Если вы фильтруете трафик к тегу службы AzureArcInfrastructure, необходимо разрешить трафик в полный диапазон тегов службы. Диапазоны, объявленные для отдельных регионов, например AzureArcInfrastructure.AustraliaEast, не включают диапазоны IP-адресов, используемые глобальными компонентами службы. Определенный IP-адрес, разрешенный для этих конечных точек, может измениться со временем в документированных диапазонах, поэтому просто с помощью средства поиска для идентификации текущего IP-адреса для данной конечной точки и разрешения доступа к ней недостаточно для обеспечения надежного доступа.
Дополнительные сведения см. в разделе тегов службы виртуальной сети.
URL-адреса
В таблице ниже перечислены URL-адреса, которые должны быть доступны для установки и использования агента компьютера Подключение.
Примечание.
При настройке агента подключенной машины Azure для обмена данными с Azure через приватный канал некоторые конечные точки по-прежнему должны быть доступны через Интернет. Конечная точка, используемая с столбцом приватного канала в следующей таблице, показывает, какие конечные точки можно настроить с помощью частной конечной точки. Если в столбце отображается общедоступная конечная точка, необходимо по-прежнему разрешить доступ к этой конечной точке через брандмауэр вашей организации и (или) прокси-сервер для работы агента.
| Ресурс агента | Description | При необходимости | Конечная точка, используемая с приватным каналом |
|---|---|---|---|
aka.ms |
Используется для разрешения скрипта загрузки во время установки | Только во время установки | Общедоступный |
download.microsoft.com |
Используется для скачивания пакета установки Windows | Только во время установки | Общедоступный |
packages.microsoft.com |
Используется для скачивания пакета установки Linux | Только во время установки | Общедоступный |
login.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
login.microsoftonline.com |
Microsoft Entra ID | Всегда | Общедоступный |
pas.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
management.azure.com |
Azure Resource Manager — создание или удаление ресурса сервера Arc | При подключении или отключении сервера только | Общедоступная, если не настроена приватная ссылка на управление ресурсами |
*.his.arc.azure.com |
Метаданные и службы гибридных удостоверений | Всегда | Private |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации | Всегда | Private |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Служба уведомлений для сценариев расширения и подключения | Всегда | Общедоступный |
azgn*.servicebus.windows.net |
Служба уведомлений для сценариев расширения и подключения | Всегда | Общедоступный |
*.servicebus.windows.net |
Для сценариев Центра Администратор Windows и SSH | При использовании SSH или Центра Администратор Windows из Azure | Общедоступный |
*.waconazure.com |
Для подключения к Центру Администратор Windows | При использовании Центра Администратор Windows | Общедоступный |
*.blob.core.windows.net |
Скачивание источника для расширений серверов с поддержкой Azure Arc | Всегда, за исключением использования частных конечных точек | Не используется при настройке приватного канала |
dc.services.visualstudio.com |
Данные телеметрии агента | Необязательный, не используемый в агентах версии 1.24+ | Общедоступный |
*.<region>.arcdataservices.com1 |
Для Arc SQL Server. Отправляет службу обработки данных, телеметрию служб и мониторинг производительности в Azure. Разрешает ПРОТОКОЛ TLS 1.3. | Всегда | Общедоступный |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) | Если используется ESUs, включенный Azure Arc. Требуется всегда для автоматических обновлений или временно при скачивании сертификатов вручную. | Общедоступный |
1 Для версий расширений до 13 февраля 2024 г. используйте san-af-<region>-prod.azurewebsites.net. Начиная с 12 марта 2024 г. обработка данных Azure Arc и использование *.<region>.arcdataservices.comтелеметрии данных Azure Arc.
Примечание.
Чтобы перевести дикую *.servicebus.windows.net карта в определенные конечные точки, используйте команду\GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. В рамках этой команды регион должен быть указан для <region> заполнителя.
Чтобы получить сегмент региона региональной конечной точки, удалите все пробелы из имени региона Azure. Например, регион "Восточная часть США 2 " — eastus2имя региона.
Например, *.<region>.arcdataservices.com должно находиться *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".
Чтобы просмотреть список всех регионов, выполните следующую команду:
az account list-locations -o table
Get-AzLocation | Format-Table
Протокол TLS 1.2
Чтобы обеспечить безопасность данных, передаваемых в Azure, настоятельно рекомендуем настроить для компьютера использование протокола TLS версии 1.2. Более старые версии протоколов TLS/SSL оказались уязвимы. Хотя они все еще используются для обеспечения обратной совместимости, применять их не рекомендуется.
| Платформа или язык | Поддержка | Дополнительные сведения |
|---|---|---|
| Linux | Как правило, дистрибутивы Linux для поддержки протокола TLS 1.2 используют OpenSSL. | Убедитесь, что ваша версия OpenSSL поддерживается, проверив журнал изменений OpenSSL. |
| Windows Server 2012 R2 и более поздних версий; | Поддерживается и включена по умолчанию. | Убедитесь, что вы все еще используете параметры по умолчанию. |
Подмножество конечных точек только для ESU
Если вы используете серверы с поддержкой Azure Arc только для расширенной безопасности Обновления для следующих продуктов:
- Windows Server 2012
- SQL Server 2012
Вы можете включить следующее подмножество конечных точек:
| Ресурс агента | Description | При необходимости | Конечная точка, используемая с приватным каналом |
|---|---|---|---|
aka.ms |
Используется для разрешения скрипта загрузки во время установки | Только во время установки | Общедоступный |
download.microsoft.com |
Используется для скачивания пакета установки Windows | Только во время установки | Общедоступный |
login.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
login.microsoftonline.com |
Microsoft Entra ID | Всегда | Общедоступный |
management.azure.com |
Azure Resource Manager — создание или удаление ресурса сервера Arc | При подключении или отключении сервера только | Общедоступная, если не настроена приватная ссылка на управление ресурсами |
*.his.arc.azure.com |
Метаданные и службы гибридных удостоверений | Всегда | Private |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации | Всегда | Private |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) | Всегда для автоматических обновлений или временно при скачивании сертификатов вручную. | Общедоступный |
*.<region>.arcdataservices.com |
Служба обработки данных Azure Arc и данные телеметрии служб. | SQL Server ESUs | Общедоступный |
Дополнительные сведения см. в разделе Подключение требования к сети агента компьютера.
Ресурсный мост Azure Arc
В этом разделе описаны дополнительные требования к сети, относящиеся к развертыванию моста ресурсов Azure Arc в вашей организации. Эти требования также применяются к диспетчер виртуальных машин System Center с поддержкой VMware vSphere с поддержкой Azure Arc и Azure Arc.
Исходящее соединение
Указанные ниже URL-адреса брандмауэра и прокси-сервера должны быть разрешены для включения связи с компьютера управления, виртуальной машины устройства и IP-адреса уровня управления с необходимыми URL-адресами моста ресурсов Arc.
Список разрешенных URL-адресов брандмауэра или прокси-сервера
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| Конечная точка API SFS | 443 | msk8s.api.cdp.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Скачайте каталог продуктов, биты продуктов и образы ОС из SFS. |
| Скачивание образа моста ресурсов ((модуль)) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Скачайте образы ОС Arc Resource Bridge. |
| Реестр контейнеров Майкрософт | 443 | mcr.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Скачайте образы контейнеров для Arc Resource Bridge. |
| Windows NTP Server | 123 | time.windows.com |
Ip-адреса виртуальных машин управления и устройства (если для Hyper-V по умолчанию используется Windows NTP) требуется исходящее подключение к UDP | Синхронизация времени ОС в (модуль) виртуальной машине и компьютере управления (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Управление ресурсами в Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для обновления маркеров ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для обновления маркеров ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для обновления маркеров ARM. |
| Служба dataplane ((модуль)) | 443 | *.dp.prod.appliances.azure.com |
ДЛЯ IP-адреса виртуальных машин устройства требуется исходящее подключение. | Обмен данными с поставщиком ресурсов в Azure. |
| Скачивание образа контейнера моста ресурсов ((модуль)) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для извлечения образов контейнеров. |
| Управляемое удостоверение | 443 | *.his.arc.azure.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для получения сертификатов управляемого удостоверения, назначаемого системой. |
| Скачивание образа контейнера Azure Arc для Kubernetes | 443 | azurearcfork8s.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Извлечение образов контейнеров. |
| Агент Azure Arc | 443 | k8connecthelm.azureedge.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | разверните агент Azure Arc. |
| Служба телеметрии ADHS | 443 | adhs.events.data.microsoft.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные майкрософт из (модуль) виртуальной машины. |
| Служба данных событий Майкрософт | 443 | v20.events.data.microsoft.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Отправка диагностических данных из Windows. |
| Коллекция журналов для Моста ресурсов Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Отправка журналов для управляемых компонентов устройства. |
| Скачивание компонентов моста ресурсов | 443 | kvamanagementoperator.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Извлечение артефактов для управляемых компонентов устройства. |
| Диспетчер пакетов Microsoft открытый код | 443 | packages.microsoft.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Скачайте пакет установки Linux. |
| Пользовательское расположение | 443 | sts.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для пользовательского расположения. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для Azure Arc. |
| Пользовательское расположение | 443 | k8sconnectcsp.azureedge.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для пользовательского расположения. |
| Диагностические данные | 443 | gcs.prod.monitoring.core.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Диагностические данные | 443 | *.prod.microsoftmetrics.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Диагностические данные | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Диагностические данные | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Портал Azure | 443 | *.arc.azure.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Управление кластером из портал Azure. |
| Azure CLI и расширение | 443 | *.blob.core.windows.net |
Компьютер управления нуждается в исходящем подключении. | Скачайте установщик и расширение Azure CLI. |
| Агент Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Компьютер управления нуждается в исходящем подключении. | План данных, используемый для агента Arc. |
| Пакет Python | 443 | pypi.org, *.pypi.org |
Компьютер управления нуждается в исходящем подключении. | Проверьте версии Kubernetes и Python. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Компьютер управления нуждается в исходящем подключении. | Пакеты Python для установки Azure CLI. |
| SSH | 22 | Arc resource bridge appliance VM IPs |
Компьютер управления нуждается в исходящем подключении. | Используется для устранения неполадок (модуль) виртуальной машины. |
| Сервер API Kubernetes | 6443 | Arc resource bridge appliance VM IPs |
Компьютер управления нуждается в исходящем подключении. | Управление (модуль) виртуальной машиной. |
Дополнительные сведения см. в статье о требованиях к сети моста ресурсов Azure Arc.
Диспетчер виртуальных машин System Center с поддержкой Azure Arc
Для диспетчер виртуальных машин System Center с поддержкой Azure Arc (SCVMM) также требуется:
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| Сервер управления SCVMM | 443 | URL-адрес сервера управления SCVMM | Ip-адрес виртуальной машины устройства и конечная точка плоскости управления требуют исходящего подключения. | Используется сервером SCVMM для взаимодействия с виртуальной машиной устройства и плоскости управления. |
Дополнительные сведения см. в разделе "Общие сведения о диспетчер виртуальных машин с поддержкой Arc".
VMware vSphere с поддержкой Azure Arc
Для VMware vSphere с поддержкой Azure Arc также требуется:
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| vCenter Server | 443 | URL-адрес сервера vCenter | Ip-адрес виртуальной машины устройства и конечная точка плоскости управления требуют исходящего подключения. | Используется сервером vCenter для взаимодействия с виртуальной машиной устройства и плоскости управления. |
Дополнительные сведения см . в таблице поддержки VMware vSphere с поддержкой Azure Arc.
Дополнительные конечные точки
В зависимости от вашего сценария может потребоваться подключение к другим URL-адресам, таким как те, которые используются портал Azure, средствами управления или другими службами Azure. В частности, просмотрите эти списки, чтобы обеспечить подключение к любым необходимым конечным точкам: