Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены конечные точки, порты и протоколы, необходимые для служб и функций с поддержкой Azure Arc.
Как правило, требования к подключению включают следующие принципы:
- Все подключения являются TCP, если иное не указано.
- Все HTTP-подключения используют ПРОТОКОЛ HTTPS и SSL/TLS с официально подписанными и проверяемыми сертификатами.
- Все подключения исходящие, если иное не указано.
Чтобы использовать прокси-сервер, убедитесь, что агенты и компьютер, выполняющие процесс подключения, соответствуют требованиям к сети в этой статье.
Совет
Для общедоступного облака Azure можно уменьшить количество необходимых конечных точек с помощью шлюза Azure Arc для серверов с поддержкой Arc или Kubernetes с поддержкой Arc.
Конечные точки Kubernetes с поддержкой Azure Arc
Подключение к конечным точкам на основе Arc Kubernetes требуется для всех предложений Arc на основе Kubernetes, в том числе:
- Kubernetes с поддержкой Azure Arc
- Приложения контейнеров Azure в Azure Arc
- Машинное обучение с поддержкой Azure Arc
- Службы данных с поддержкой Azure Arc (только режим прямого подключения)
Внимание
Для агентов Azure Arc требуются следующие исходящие URL-адреса https://:443 (если не указано иное).
Для *.servicebus.windows.net в брандмауэре и прокси-сервере необходимо включить WebSocket для исходящего доступа.
| Конечная точка (DNS) | Description |
|---|---|
https://management.azure.com |
Требуется для подключения агента к Azure и регистрации кластера. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Конечная точка плоскости данных, через которую агент будет отправлять сведения о состоянии и извлекать сведения о конфигурации. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Требуется для извлечения и обновления маркеров Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Требуется агентам Azure Arc для извлечения образов контейнеров. |
dl.k8s.io |
Требуется скачать двоичные файлы kubectl во время подключения Azure Arc с помощью расширения Azure CLI connectedk8s. |
https://gbl.his.arc.azure.com |
Требуется для получения региональной конечной точки, позволяющей запрашивать назначенные системой сертификаты управляемых удостоверений. |
https://*.his.arc.azure.com |
Требуется для получения сертификатов управляемого удостоверения, назначаемого системой. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.net |
Для подключения кластера и сценариев на основе пользовательского расположения. |
*.servicebus.windows.net |
Для подключения кластера и сценариев на основе пользовательского расположения. |
https://graph.microsoft.com/ |
Требуется при настройке Azure RBAC . |
*.arc.azure.net |
Требуется для управления подключенными кластерами в портал Azure. |
https://<region>.obo.arc.azure.com:8084/ |
Требуется при настройке Cluster Connect и Azure RBAC . |
https://linuxgeneva-microsoft.azurecr.io |
Требуется, если используется расширения Kubernetes с поддержкой Azure Arc. |
gcs.prod.monitoring.core.windows.net*.prod.microsoftmetrics.com*.prod.hot.ingest.monitor.core.windows.net*.prod.warm.ingest.monitor.core.windows.net |
Требуется, если используется Операции Интернета вещей Azure, Azure Key Vault расширение Secret Store (SSE) или cert-manager для Kubernetes с поддержкой Azure Arc. |
Чтобы перевести *.servicebus.windows.net подстановочный знак в определенные конечные точки, используйте команду:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Чтобы получить сегмент региона региональной конечной точки, удалите все пробелы из имени региона Azure. Например, регион "Восточная часть США 2 " — eastus2имя региона.
Например, *.<region>.arcdataservices.com должно находиться *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".
Чтобы просмотреть список всех регионов, выполните следующую команду:
az account list-locations -o table
Get-AzLocation | Format-Table
Дополнительные сведения см. в статье о требованиях к сети Kubernetes с поддержкой Azure Arc.
Службы данных с поддержкой Azure Arc
В этом разделе описываются требования, относящиеся к службам данных с поддержкой Azure Arc, в дополнение к конечным точкам Kubernetes с поддержкой Arc, перечисленным выше.
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| Диаграмма Helm (только для прямого подключенного режима) | 443 | arcdataservicesrow1.azurecr.ioarcdataservicesrow2.azurecr.io*.blob.core.windows.net |
Исходящие | Подготавливает загрузчик контроллера данных Azure Arc и объекты уровня кластера, такие как пользовательские определения ресурсов, роли кластера и привязки ролей кластера, извлекается из Реестр контейнеров Azure. |
| API Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Исходящие | Azure CLI подключается к API Azure Resource Manager для отправки и извлечения данных в Azure и из Azure для некоторых функций. См . API Azure Monitor. |
| Служба обработки данных Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
Исходящие |
1 Требование зависит от режима развертывания:
- Для прямого режима модуль pod контроллера в кластере Kubernetes должен иметь исходящее подключение к конечным точкам для отправки журналов, метрик, инвентаризации и выставления счетов в службу Azure Monitor/Data Processing Service.
- Для косвенного режима компьютер, на котором выполняется
az arcdata dc upload, должен иметь исходящее подключение к Службе обработки данных и Azure Monitor.
2 Для версий расширений до 13 февраля 2024 г. используйте san-af-<region>-prod.azurewebsites.net.
API Azure Monitor
Подключение к серверу API Kubernetes использует установленную проверку подлинности и шифрование Kubernetes. Каждый пользователь, использующий Azure CLI, должен иметь прошедшее проверку подлинности подключение к API Kubernetes для выполнения многих действий, связанных со службами данных с поддержкой Azure Arc.
Дополнительные сведения см. в режимах подключения и требованиях.
Серверы с поддержкой Azure Arc
Для подключения к конечным точкам сервера с поддержкой Arc требуется:
SQL Server, включенный Azure Arc
VMware vSphere с поддержкой Azure Arc *
Диспетчер виртуальных машин System Center с поддержкой Azure Arc *
Azure Arc с поддержкой Azure Stack (HCI) *
*Требуется только для гостевого управления.
Конечные точки сервера с поддержкой Azure Arc необходимы для всех серверных предложений Azure Arc.
Конфигурации сети
Агент подключенного компьютера Azure для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. По умолчанию агент использует маршрут по умолчанию к Интернету для доступа к службам Azure. При необходимости агент можно настроить для использования прокси-сервера , если сеть требует его. Прокси-серверы не делают агент Connected Machine более безопасным, поскольку трафик уже зашифрован.
Для дальнейшего обеспечения безопасности сетевого подключения к Azure Arc вместо использования общедоступных сетей и прокси-серверов можно реализовать область приватного канала Azure Arc.
Примечание.
Серверы с поддержкой Azure Arc не поддерживают использование шлюза Log Analytics в качестве прокси-сервера для агента подключенного компьютера. В то же время агент Azure Monitor поддерживает шлюзы Log Analytics.
Если брандмауэр или прокси-сервер ограничивает исходящее подключение, убедитесь, что URL-адреса и теги служб, перечисленные здесь, не блокируются.
Теги служб
Обязательно разрешите доступ к следующим тегам службы:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
AzureFrontDoor.Frontend(требуется по состоянию на апрель 2026 г.) -
WindowsAdminCenter(если вы используете Windows Admin Center для управления серверами с поддержкой Azure Arc)
Список IP-адресов для каждого тега службы или региона см. в файле JSON для диапазонов IP-адресов Azure и тегов службы — общедоступное облако. Корпорация Майкрософт публикует еженедельные обновления, содержащие каждую службу Azure и диапазоны IP-адресов, которые он использует. Сведения в JSON-файле — это текущий список диапазонов IP-адресов, соответствующих каждому тегу службы. IP-адреса могут изменяться. Если диапазоны IP-адресов необходимы для конфигурации брандмауэра, используйте AzureCloud тег службы, чтобы разрешить доступ ко всем службам Azure. Не отключайте контроль безопасности и проверку этих URL-адресов. Разрешите им, как и другие интернет-трафик.
Если вы фильтруете трафик к тегу службы, необходимо разрешить трафик в полный AzureArcInfrastructure диапазон тегов службы. Диапазоны, объявленные для отдельных регионов, например, AzureArcInfrastructure.AustraliaEastне включают диапазоны IP-адресов, используемые глобальными компонентами службы. Определенный IP-адрес, разрешенный для этих конечных точек, может измениться со временем в документированных диапазонах. По этой причине, используя средство подстановки, чтобы определить текущий IP-адрес для определенной конечной точки и разрешить доступ только к этому IP-адресу недостаточно, чтобы обеспечить надежный доступ.
Дополнительные сведения см. в разделе тегов службы виртуальной сети.
Внимание
Чтобы отфильтровать трафик по IP-адресам в Azure для государственных организаций или Azure, управляемых 21Vianet, обязательно добавьте IP-адреса из AzureArcInfrastructure тега службы для общедоступного облака Azure, а также с помощью AzureArcInfrastructure тега службы для облака. После 28 октября 2025 г. потребуется добавить AzureArcInfrastructure тег службы для общедоступного облака Azure, а теги служб для Azure для государственных организаций и Azure, управляемые 21Vianet, больше не будут поддерживаться.
URL-адреса
В этой таблице перечислены URL-адреса, которые должны быть доступны для установки и использования агента подключенного компьютера.
Примечание.
При настройке агента подключенного компьютера для взаимодействия с Azure через приватный канал некоторые конечные точки по-прежнему должны быть доступны через Интернет. Столбец с поддержкой приватного канала в следующей таблице отображает конечные точки, которые можно настроить с помощью частной конечной точки. Если в столбце отображается общедоступная конечная точка, необходимо по-прежнему разрешить доступ к этой конечной точке через брандмауэр вашей организации и (или) прокси-сервер для работы агента. Сетевой трафик направляется через частные конечные точки, если назначена область приватного канала.
| Ресурс агента | Description | При необходимости | Возможность приватного канала |
|---|---|---|---|
download.microsoft.com |
Используется для скачивания пакета установки Windows. | Только во время установки. 1 | Общественный. |
packages.microsoft.com |
Используется для скачивания пакета установки Linux. | Только во время установки. 1 | Общественный. |
login.microsoftonline.com |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
*.login.microsoft.com |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
pas.windows.net |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
management.azure.com |
Azure Resource Manager используется для создания или удаления ресурса сервера Azure Arc. | Только при подключении или отключении сервера. | Общедоступная, если не настроена приватная ссылка на управление ресурсами . |
*.his.arc.azure.com |
Метаданные и службы гибридных удостоверений. | Всегда. | Частный. |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации. | Всегда. | Частный. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Служба уведомлений для сценариев расширения и подключения. | Всегда. | Общественный. |
azgn*.servicebus.windows.net или *.servicebus.windows.net |
Служба уведомлений для сценариев расширения и подключения. | Всегда. | Общественный. |
*.servicebus.windows.net |
Для сценариев Windows Admin Center и Secure Shell (SSH). | Если вы используете SSH или Windows Admin Center из Azure. | Общественный. |
*.waconazure.com |
Для подключения к Windows Admin Center. | Если вы используете Windows Admin Center. | Общественный. |
dc.services.visualstudio.com |
Данные телеметрии агента. | Необязательно. Не используется в версиях агента 1.24+. | Общественный. |
*.<region>.arcdataservices.com
2 |
Для SQL Server с поддержкой Azure Arc. Отправляет службу обработки данных, телеметрию служб и мониторинг производительности в Azure. Разрешает только протокол TLS 1.2 или 1.3. | Если вы используете SQL Server с поддержкой Azure Arc. | Общественный. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Для проверки подлинности Microsoft Entra с помощью SQL Server с поддержкой Azure Arc. | Если вы используете SQL Server с поддержкой Azure Arc. | Общественный. |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для расширенных обновлений системы безопасности (использует http/TCP 80 и HTTPS/TCP 443). | Если вы используете расширенные обновления безопасности, включенные Azure Arc. Всегда требуется для автоматического обновления или временно при загрузке сертификатов вручную. | Общественный. |
dls.microsoft.com |
Используется компьютерами Azure Arc для проверки лицензий. | Требуется при использовании горячей поддержки, преимуществ Windows Server Azure или выставления счетов по мере использования на компьютерах с поддержкой Azure Arc. | Общественный. |
1 Доступ к этому URL-адресу также необходим при автоматическом выполнении обновлений.
2 Дополнительные сведения о том, какие сведения собираются и отправляются, просмотрите сбор данных и отчеты для SQL Server, включенные Azure Arc.
Для версий расширений до 13 февраля 2024 г. используйте .san-af-<region>-prod.azurewebsites.net Начиная с 12 марта 2024 г. обработка данных Azure Arc и использование *.<region>.arcdataservices.comтелеметрии данных Azure Arc.
Примечание.
Чтобы перевести *.servicebus.windows.net подстановочный знак в определенные конечные точки, используйте команду \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. В рамках этой команды регион должен быть указан для <region> заполнителя. Эти конечные точки могут периодически изменяться.
Чтобы получить сегмент региона региональной конечной точки, удалите все пробелы из имени региона Azure. Например, регион "Восточная часть США 2 " — eastus2имя региона.
Например, *.<region>.arcdataservices.com должно находиться *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".
Чтобы просмотреть список всех регионов, выполните следующую команду:
az account list-locations -o table
Get-AzLocation | Format-Table
Криптографические протоколы
Чтобы обеспечить безопасность передаваемых данных в Azure, настоятельно рекомендуется настроить компьютеры для использования TLS 1.2 и 1.3. Более старые версии ПРОТОКОЛА TLS/Secure Sockets Layer (SSL) оказались уязвимыми. Хотя они по-прежнему работают, чтобы обеспечить обратную совместимость, они не рекомендуется.
Начиная с версии 1.56 агента подключенного компьютера (только для Windows), следующие наборы шифров должны быть настроены по крайней мере для одной из рекомендуемых версий TLS:
TLS 1.3 (наборы в предпочтительном порядке сервера):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 бит RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (экв. 3072 бит RSA) FS
TLS 1.2 (наборы в предпочтительном порядке сервера):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (экв. 15360 бит RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (экв. 3072 бит RSA) FS – это набор шифров, используемый для защиты данных в сетевых соединениях.
Дополнительные сведения см. в статье о проблемах с конфигурацией TLS Для Windows.
SQL Server, включенный конечными точками Azure Arc, *.\<region\>.arcdataservices.com которые поддерживают только TLS 1.2 и 1.3. Только Windows Server 2012 R2 и более поздних версий поддерживают TLS 1.2. SQL Server, включенная конечной точкой телеметрии Azure Arc, не поддерживается для Windows Server 2012 или Windows Server 2012 R2.
| Платформа или язык | Поддержка | Дополнительные сведения |
|---|---|---|
| Linux | Как правило, дистрибутивы Linux для поддержки протокола TLS 1.2 используют OpenSSL. | Проверьте журнал изменений OpenSSL , чтобы убедиться, что поддерживается версия OpenSSL. |
| Windows Server 2012 R2 и более поздние версии | Поддерживается и включена по умолчанию. | Убедитесь, что вы по-прежнему используете параметры по умолчанию. |
| Windows Server 2012 | Частично поддерживается. Не рекомендуется. | Некоторые конечные точки по-прежнему работают, но другие конечные точки требуют TLS 1.2 или более поздней версии, которые недоступны в Windows Server 2012. |
Подмножество конечных точек только для ESU
Если вы используете серверы с поддержкой Azure Arc только для расширенных обновлений системы безопасности для любого из следующих продуктов:
- Windows Server 2012
- SQL Server 2012 г.
Можно включить следующее подмножество конечных точек.
| Ресурс агента | Description | При необходимости | Конечная точка, используемая с приватным каналом |
|---|---|---|---|
download.microsoft.com |
Используется для скачивания пакета установки Windows. | Только во время установки. 1 | Общественный. |
login.windows.net |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
login.microsoftonline.com |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
*.login.microsoft.com |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
management.azure.com |
Azure Resource Manager используется для создания или удаления ресурса сервера Azure Arc. | Только при подключении или отключении сервера. | Общедоступная, если не настроена приватная ссылка на управление ресурсами . |
*.his.arc.azure.com |
Метаданные и службы гибридных удостоверений. | Всегда. | Частный. |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации. | Всегда. | Частный. |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для расширенных обновлений системы безопасности (использует http/TCP 80 и HTTPS/TCP 443). | Всегда для автоматических обновлений или временно при загрузке сертификатов вручную. | Общественный. |
*.<region>.arcdataservices.com |
Служба обработки данных Azure Arc и данные телеметрии служб. | Расширенные обновления безопасности SQL Server. | Общественный. |
1 Доступ к этому URL-адресу также необходим при автоматическом выполнении обновлений.
Дополнительные сведения см. в разделе "Требования к сети агента подключенного компьютера".
Ресурсный мост Azure Arc
В этом разделе описаны дополнительные требования к сети, относящиеся к развертыванию моста ресурсов Azure Arc в вашей организации. Эти требования также применяются к диспетчер виртуальных машин System Center с поддержкой VMware vSphere с поддержкой Azure Arc и Azure Arc.
Требования к исходящему подключению
Указанные ниже URL-адреса брандмауэра и прокси-сервера должны быть разрешены для включения связи с компьютера управления, виртуальной машины моста ресурсов Arc (первоначально развернутой), виртуальной машины моста arc (обновление создает новую виртуальную машину с помощью другого IP-адреса виртуальной машины) и IP-адреса уровня управления до требуемых URL-адресов моста ресурсов Arc.
Внимание
При подключении к мосту ресурсов Arc необходимо указать два IP-адреса для виртуальных машин устройства. Они указаны следующим образом:
- Диапазон IP-адресов
- Два отдельных IP-адреса (по одному для каждой виртуальной машины)
Чтобы обеспечить успешное обновление, все IP-адреса виртуальных машин устройства должны иметь исходящий доступ к необходимым URL-адресам. Убедитесь, что эти URL-адреса разрешены в сети.
Список разрешенных URL-адресов брандмауэра или прокси-сервера
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| DNS-серверы | 53 | IP-адреса DNS-сервера | Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Сетевое подключение к DNS-серверам, указанным во время развертывания для разрешения необходимых конечных точек службы. |
| Конечная точка API SFS | 443 | msk8s.api.cdp.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Скачайте каталог продуктов, биты продуктов и образы ОС из SFS. |
| Скачивание образа моста ресурсов (устройства) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Скачайте образы ОС Arc Resource Bridge. |
| Реестр контейнеров Майкрософт | 443 | mcr.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Обнаружение образов контейнеров для Arc Resource Bridge. |
| Реестр контейнеров Майкрософт | 443 | *.data.mcr.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Скачайте образы контейнеров для Arc Resource Bridge. |
| Сервер NTP Windows | 123 | time.windows.com |
Ip-адреса виртуальных машин управления и устройства (если для Hyper-V по умолчанию используется Windows NTP) требуется исходящее подключение к UDP | Синхронизация времени ОС на виртуальной машине устройства и компьютере управления (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Управление ресурсами в Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для обновления маркеров ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для обновления маркеров ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Для ip-адресов виртуальных машин управления и устройства требуется исходящее подключение. | Требуется для обновления маркеров ARM. |
| Служба "Мост ресурсов" (устройство) Dataplane | 443 | *.dp.prod.appliances.azure.com |
ДЛЯ IP-адреса виртуальных машин устройства требуется исходящее подключение. | Обмен данными с поставщиком ресурсов в Azure. |
| Скачивание образа контейнера моста ресурсов (устройство) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для извлечения образов контейнеров. |
| Управляемое удостоверение | 443 | *.his.arc.azure.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для получения сертификатов управляемого удостоверения, назначаемого системой. |
| Скачивание образа контейнера Azure Arc для Kubernetes | 443 | azurearcfork8s.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Извлечение образов контейнеров. |
| Служба телеметрии ADHS | 443 | adhs.events.data.microsoft.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные майкрософт из виртуальной машины устройства. |
| Служба данных событий Майкрософт | 443 | v20.events.data.microsoft.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Отправка диагностических данных из Windows. |
| Коллекция журналов для Моста ресурсов Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Отправка журналов для управляемых компонентов устройства. |
| Скачивание компонентов моста ресурсов | 443 | kvamanagementoperator.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Извлечение артефактов для управляемых компонентов устройства. |
| Диспетчер пакетов Microsoft открытый код | 443 | packages.microsoft.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Скачайте пакет установки Linux. |
| Пользовательское расположение | 443 | sts.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для пользовательского расположения. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Требуется для Azure Arc. |
| Диагностические данные | 443 | gcs.prod.monitoring.core.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Диагностические данные | 443 | *.prod.microsoftmetrics.com |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Диагностические данные | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Диагностические данные | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Периодически отправляет необходимые диагностические данные Майкрософт. |
| Портал Azure | 443 | *.arc.azure.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Управление кластером из портал Azure. |
| Служебная шина Azure | 443 | *.servicebus.windows.net |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. Исходящие подключения WebSocket (wss://) должны быть разрешены. | Включает безопасный канал управления. |
| Azure CLI | 443 | *.blob.core.windows.net |
Компьютер управления нуждается в исходящем подключении. | Скачайте установщик Azure CLI. |
| Расширение Arc | 443 | *.web.core.windows.net |
Компьютер управления нуждается в исходящем подключении. | Скачайте расширение моста ресурсов Arc. |
| Агент Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Компьютер управления нуждается в исходящем подключении. | План данных, используемый для агента Arc. |
| Пакет Python | 443 |
pypi.org, *.pypi.org |
Компьютер управления нуждается в исходящем подключении. | Проверьте версии Kubernetes и Python. |
| Azure CLI | 443 |
pythonhosted.org, *.pythonhosted.org |
Компьютер управления нуждается в исходящем подключении. | Пакеты Python для установки Azure CLI. |
Требования к входящего подключения
Связь между следующими портами должна быть разрешена с компьютера управления, IP-адресов виртуальных машин устройства и IP-адресов плоскости управления. Убедитесь, что эти порты открыты и что трафик не направляется через прокси-сервер, чтобы упростить развертывание и обслуживание моста ресурсов Arc.
Внимание
Во время подключения необходимо указать два IP-адреса для виртуальных машин устройства Arc Resource Bridge — в виде диапазона или двух отдельных IP-адресов. Для успешного развертывания, операций и обновлений:
- Убедитесь, что связь разрешена между компьютером управления, IP-адресами виртуальных машин устройства и IP-адресами плоскости управления по необходимым портам, как показано ниже.
- Не маршрутизировать трафик через прокси-сервер для этих подключений.
| Служба | порт. | IP/machine | Направление | Примечания |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs и Management machine. |
Двунаправленная репликация | Компьютер управления подключает исходящий трафик к IP-адресам виртуальной машины устройства. IP-адреса виртуальных машин устройства должны разрешать входящий трафик. |
| Сервер API Kubernetes | 6443 |
appliance VM IPs и Management machine. |
Двунаправленный | Компьютер управления подключает исходящий трафик к IP-адресам виртуальной машины устройства. IP-адреса виртуальных машин устройства должны разрешать входящий трафик. |
| SSH | 22 |
control plane IP и Management machine. |
Двунаправленная репликация | Используется для развертывания и обслуживания виртуальной машины устройства. |
| Сервер API Kubernetes | 6443 |
control plane IP и Management machine. |
Двунаправленный | Управление виртуальной машиной устройства. |
| HTTPS | 443 |
private cloud control plane address и Management machine. |
Компьютер управления нуждается в исходящем подключении. | Обмен данными с частным облаком (например, адрес VMware vCenter и хранилище данных vSphere). |
| Сервер API Kubernetes | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (друг другу) |
Двунаправленный | Требуется для обновления виртуальной машины устройства. Убедитесь, что все IP-адреса виртуальных машин устройства имеют исходящее подключение друг к другу через эти порты. |
| HTTPS | 443 |
private cloud control plane address и appliance VM IPs. |
IP-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Обмен данными с частным облаком (например, адрес VMware vCenter и хранилище данных vSphere). |
Дополнительные сведения см. в статье о требованиях к сети моста ресурсов Azure Arc.
VMware vSphere с поддержкой Azure Arc
Для VMware vSphere с поддержкой Azure Arc также требуется:
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| vCenter Server | 443 | URL-адрес сервера vCenter | Ip-адрес виртуальной машины устройства и конечная точка плоскости управления требуют исходящего подключения. | Используется сервером vCenter для взаимодействия с виртуальной машиной устройства и плоскости управления. |
| Расширение кластера VMware | 443 | azureprivatecloud.azurecr.io |
Ip-адреса виртуальных машин устройства нуждаются в исходящем подключении. | Извлечение образов контейнеров для расширения кластера Microsoft.VMWare и Microsoft.AVS. |
| Расширения Azure CLI и Azure CLI | 443 | *.blob.core.windows.net |
Компьютер управления нуждается в исходящем подключении. | Скачайте установщик Azure CLI и расширения Azure CLI. |
| Azure Resource Manager | 443 | management.azure.com |
Компьютер управления нуждается в исходящем подключении. | Требуется для создания и обновления ресурсов в Azure с помощью ARM. |
| Диаграмма Helm для агентов Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Компьютер управления нуждается в исходящем подключении. | Конечная точка плоскости данных для скачивания сведений о конфигурации агентов Arc. |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
Компьютер управления нуждается в исходящем подключении. | Требуется для извлечения и обновления маркеров Azure Resource Manager. |
Дополнительные сведения см . в таблице поддержки VMware vSphere с поддержкой Azure Arc.
Диспетчер виртуальных машин System Center с поддержкой Azure Arc
Для диспетчер виртуальных машин System Center с поддержкой Azure Arc (SCVMM) также требуется:
| Служба | порт. | URL-адрес | Направление | Примечания |
|---|---|---|---|---|
| Сервер управления SCVMM | 443 | URL-адрес сервера управления SCVMM | Ip-адрес виртуальной машины устройства и конечная точка плоскости управления требуют исходящего подключения. | Используется сервером SCVMM для взаимодействия с виртуальной машиной устройства и плоскости управления. |
Дополнительные сведения см. в разделе "Общие сведения о диспетчер виртуальных машин с поддержкой Arc".
Дополнительные конечные точки
В зависимости от вашего сценария может потребоваться подключение к другим URL-адресам, таким как те, которые используются портал Azure, средствами управления или другими службами Azure. В частности, просмотрите эти списки, чтобы обеспечить подключение к любым необходимым конечным точкам: