Azure Arc ağ gereksinimleri

Bu makalede Azure Arc özellikli hizmetler ve özellikler için gereken uç noktalar, bağlantı noktaları ve protokoller listelenir.

Genel olarak, bağlantı gereksinimleri şu ilkeleri içerir:

• Aksi belirtilmediği sürece tüm bağlantılar TCP'tir.
• Tüm HTTP bağlantıları resmi olarak imzalanmış ve doğrulanabilir sertifikalarla HTTPS ve SSL/TLS kullanır.
• Aksi belirtilmedikçe tüm bağlantılar giden bağlantılardır.

Ara sunucu kullanmak için, aracıların ve ekleme işlemini gerçekleştiren makinenin bu makaledeki ağ gereksinimlerini karşıladığını doğrulayın.

Azure Arc özellikli Kubernetes uç noktaları

Arc Kubernetes tabanlı uç noktalara bağlantı, aşağıdakiler dahil olmak üzere tüm Kubernetes tabanlı Arc teklifleri için gereklidir:

• Azure Arc özellikli Kubernetes
• Azure Arc özellikli Uygulama hizmetleri
• Azure Arc özellikli Machine Learning
• Azure Arc özellikli veri hizmetleri (yalnızca doğrudan bağlantı modu)

Azure Bulut

Önemli

Azure Arc aracılarının çalışması için aşağıdaki giden URL'lerin açık https://:443 olması gerekir. için *.servicebus.windows.net, websockets'in güvenlik duvarı ve ara sunucuda giden erişim için etkinleştirilmesi gerekir.

Uç nokta (DNS)	Açıklama
https://management.azure.com	Aracının Azure'a bağlanması ve kümeyi kaydetmesi için gereklidir.
https://<region>.dp.kubernetesconfiguration.azure.com	Aracının durumu göndermesi ve yapılandırma bilgilerini getirmesi için veri düzlemi uç noktası.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	Azure Resource Manager belirteçlerini getirmek ve güncelleştirmek için gereklidir.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Azure Arc aracıları için kapsayıcı görüntülerini çekmek için gereklidir.
https://gbl.his.arc.azure.com	Sistem tarafından atanan Yönetilen Kimlik sertifikalarını çekmek için bölgesel uç noktayı almak için gereklidir.
https://*.his.arc.azure.com	Sistem tarafından atanan Yönetilen Kimlik sertifikalarını çekmek için gereklidir.
https://k8connecthelm.azureedge.net	az connectedk8s connect Azure Arc aracılarını Kubernetes kümesine dağıtmak için Helm 3 kullanır. Bu uç nokta, aracı helm grafiğinin dağıtımını kolaylaştırmak için Helm istemcisinin indirilmesi için gereklidir.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	Küme Bağlantısı ve Özel Konum tabanlı senaryolar için.
*.servicebus.windows.net	Küme Bağlantısı ve Özel Konum tabanlı senaryolar için.
https://graph.microsoft.com/	Azure RBAC yapılandırıldığında gereklidir.
*.arc.azure.net	Azure portalında bağlı kümeleri yönetmek için gereklidir.
https://<region>.obo.arc.azure.com:8084/	Küme Bağlantısı yapılandırıldığında gereklidir.
https://linuxgeneva-microsoft.azurecr.io	Azure Arc özellikli Kubernetes uzantıları kullanılıyorsa gereklidir.

Joker karakteri *.servicebus.windows.net belirli uç noktalara çevirmek için komutunu kullanın:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Bölgesel uç noktanın bölge kesimini almak için Azure bölge adından tüm alanları kaldırın. Örneğin, Doğu ABD 2 bölgesi, bölge adı şeklindedir eastus2.

Örneğin: *.<region>.arcdataservices.com Doğu ABD 2 bölgesinde olmalıdır *.eastus2.arcdataservices.com .

Tüm bölgelerin listesini görmek için şu komutu çalıştırın:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Devlet Kurumları

Önemli

Azure Arc aracılarının çalışması için aşağıdaki giden URL'lerin açık https://:443 olması gerekir. için *.servicebus.usgovcloudapi.net, websockets'in güvenlik duvarı ve ara sunucuda giden erişim için etkinleştirilmesi gerekir.

Uç nokta (DNS)	Açıklama
https://management.usgovcloudapi.net	Aracının Azure'a bağlanması ve kümeyi kaydetmesi için gereklidir.
https://<region>.dp.kubernetesconfiguration.azure.us	Aracının durumu göndermesi ve yapılandırma bilgilerini getirmesi için veri düzlemi uç noktası.
https://login.microsoftonline.us <region>.login.microsoftonline.us	Azure Resource Manager belirteçlerini getirmek ve güncelleştirmek için gereklidir.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Azure Arc aracıları için kapsayıcı görüntülerini çekmek için gereklidir.
https://gbl.his.arc.azure.us	Sistem tarafından atanan Yönetilen Kimlik sertifikalarını çekmek için bölgesel uç noktayı almak için gereklidir.
https://usgv.his.arc.azure.us	Sistem tarafından atanan Yönetilen Kimlik sertifikalarını çekmek için gereklidir.
https://k8connecthelm.azureedge.net	az connectedk8s connect Azure Arc aracılarını Kubernetes kümesine dağıtmak için Helm 3 kullanır. Bu uç nokta, aracı helm grafiğinin dağıtımını kolaylaştırmak için Helm istemcisinin indirilmesi için gereklidir.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	Küme Bağlantısı ve Özel Konum tabanlı senaryolar için.
*.servicebus.usgovcloudapi.net	Küme Bağlantısı ve Özel Konum tabanlı senaryolar için.
https://graph.microsoft.com/	Azure RBAC yapılandırıldığında gereklidir.
https://usgovvirginia.obo.arc.azure.us:8084/	Küme Bağlantısı yapılandırıldığında gereklidir.

Joker karakteri *.servicebus.usgovcloudapi.net belirli uç noktalara çevirmek için komutunu kullanın:

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

Bölgesel uç noktanın bölge kesimini almak için Azure bölge adından tüm alanları kaldırın. Örneğin, Doğu ABD 2 bölgesi, bölge adı şeklindedir eastus2.

Örneğin: *.<region>.arcdataservices.com Doğu ABD 2 bölgesinde olmalıdır *.eastus2.arcdataservices.com .

Tüm bölgelerin listesini görmek için şu komutu çalıştırın:

az account list-locations -o table

Get-AzLocation | Format-Table

21Vianet tarafından sağlanan Microsoft Azure

Önemli

Azure Arc aracılarının çalışması için aşağıdaki giden URL'lerin açık https://:443 olması gerekir. için *.servicebus.chinacloudapi.cn, websockets'in güvenlik duvarı ve ara sunucuda giden erişim için etkinleştirilmesi gerekir.

Uç nokta (DNS)	Açıklama
https://management.chinacloudapi.cn	Aracının Azure'a bağlanması ve kümeyi kaydetmesi için gereklidir.
https://<region>.dp.kubernetesconfiguration.azure.cn	Aracının durumu göndermesi ve yapılandırma bilgilerini getirmesi için veri düzlemi uç noktası.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	Azure Resource Manager belirteçlerini getirmek ve güncelleştirmek için gereklidir.
mcr.azk8s.cn	Azure Arc aracıları için kapsayıcı görüntülerini çekmek için gereklidir.
https://gbl.his.arc.azure.cn	Sistem tarafından atanan Yönetilen Kimlik sertifikalarını çekmek için bölgesel uç noktayı almak için gereklidir.
https://*.his.arc.azure.cn	Sistem tarafından atanan Yönetilen Kimlik sertifikalarını çekmek için gereklidir.
https://k8connecthelm.azureedge.net	az connectedk8s connect Azure Arc aracılarını Kubernetes kümesine dağıtmak için Helm 3 kullanır. Bu uç nokta, aracı helm grafiğinin dağıtımını kolaylaştırmak için Helm istemcisinin indirilmesi için gereklidir.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	Küme Bağlantısı ve Özel Konum tabanlı senaryolar için.
*.servicebus.chinacloudapi.cn	Küme Bağlantısı ve Özel Konum tabanlı senaryolar için.
https://graph.chinacloudapi.cn/	Azure RBAC yapılandırıldığında gereklidir.
*.arc.azure.cn	Azure portalında bağlı kümeleri yönetmek için gereklidir.
https://<region>.obo.arc.azure.cn:8084/	Küme Bağlantısı yapılandırıldığında gereklidir.
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Azure Çin VM'leri için kapsayıcı kayıt defteri proxy sunucuları.

Daha fazla bilgi için bkz . Azure Arc özellikli Kubernetes ağ gereksinimleri.

Azure Arc özellikli veri hizmetleri

Bu bölümde, yukarıda listelenen Arc özellikli Kubernetes uç noktalarına ek olarak Azure Arc özellikli veri hizmetlerine özgü gereksinimler açıklanmaktadır.

Hizmet	Bağlantı noktası	URL	Yön	Notlar
Helm grafiği (yalnızca doğrudan bağlı mod)	443	arcdataservicesrow1.azurecr.io	Giden	Azure Arc veri denetleyicisi önyükleyicisini sağlar ve özel kaynak tanımları, küme rolleri ve küme rolü bağlamaları gibi küme düzeyi nesneleri bir Azure Container Registry'den çekilir.
Azure İzleyici API'leri 1	443	*.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com	Giden	Azure Data Studio ve Azure CLI, bazı özellikler için Azure'a veri gönderip almak için Azure Resource Manager API'lerine bağlanır. Bkz. Azure İzleyici API'leri.
Azure Arc veri işleme hizmeti 1	443	*.<region>.arcdataservices.com 2	Giden

¹ Gereksinim dağıtım moduna bağlıdır:

• Doğrudan mod için Kubernetes kümesindeki denetleyici podunun günlükleri, ölçümleri, envanteri ve faturalama bilgilerini Azure İzleyici/Veri İşleme Hizmeti'ne göndermek için uç noktalara giden bağlantısı olmalıdır.
• Dolaylı mod için, çalıştıran az arcdata dc upload makinenin Azure İzleyici ve Veri İşleme Hizmeti'ne giden bağlantısı olması gerekir.

² 13 Şubat 2024'e kadar olan ve dahil olmak üzere uzantı sürümleri için kullanınsan-af-<region>-prod.azurewebsites.net.

Azure İzleyici API'leri

Azure Data Studio'dan Kubernetes API sunucusuna bağlantı, oluşturduğunuz Kubernetes kimlik doğrulamasını ve şifrelemesini kullanır. Azure Arc özellikli veri hizmetleriyle ilgili eylemlerin çoğunu gerçekleştirmek için Azure Data Studio veya CLI kullanan her kullanıcının Kubernetes API'sine kimliği doğrulanmış bir bağlantısı olmalıdır.

Daha fazla bilgi için bkz . Bağlantı modları ve gereksinimleri.

Azure Arc özellikli sunucular

Arc özellikli sunucu uç noktalarına bağlantı şu durumlarda gereklidir:

• Azure Arc tarafından etkinleştirilen SQL Server

• Azure Arc özellikli VMware vSphere ^*

• Azure Arc özellikli System Center Virtual Machine Manager ^*

• Azure Arc özellikli Azure Stack (HCI) ^*

  ^*Yalnızca konuk yönetimi etkin için gereklidir.

Azure Arc özellikli sunucu uç noktaları tüm sunucu tabanlı Arc teklifleri için gereklidir.

Ağ yapılandırması

Linux ve Windows için Azure Connected Machine aracısı, 443 numaralı TCP bağlantı noktası üzerinden Azure Arc'a güvenli bir şekilde giden iletişim kurar. Varsayılan olarak aracı, Azure hizmetlerine ulaşmak için varsayılan İnternet yolunu kullanır. İsteğe bağlı olarak , ağınız gerektiriyorsa aracıyı ara sunucu kullanacak şekilde yapılandırabilirsiniz. Ara sunucu, trafik zaten şifrelenmiş olduğundan Bağlı Makine aracısını daha güvenli hale getirmez.

Azure Arc'a ağ bağlantınızın güvenliğini sağlamak için, genel ağları ve ara sunucuları kullanmak yerine azure arc Özel Bağlantı kapsamı uygulayabilirsiniz.

Not

Azure Arc özellikli sunucular, Log Analytics ağ geçidinin Bağlı Makine aracısı için ara sunucu olarak kullanılmasını desteklemez. Azure İzleyici Aracısı aynı zamanda Log Analytics ağ geçidini de destekler.

Giden bağlantı güvenlik duvarınız veya ara sunucunuz tarafından kısıtlanmışsa, aşağıda listelenen URL'lerin ve Hizmet Etiketlerinin engellenmediğinden emin olun.

Hizmet etiketleri

Aşağıdaki Hizmet Etiketlerine erişime izin verileceğinden emin olun:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Depolama
• WindowsAdminCenter (Arc özellikli sunucuları yönetmek için Windows Yönetim Merkezi kullanılıyorsa)

Her hizmet etiketi/bölgesi için IP adreslerinin listesi için Bkz. Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut JSON dosyası. Microsoft, her Azure Hizmetini ve kullandığı IP aralıklarını içeren haftalık güncelleştirmeler yayımlar. JSON dosyasındaki bu bilgiler, her hizmet etiketine karşılık gelen IP aralıklarının geçerli belirli bir noktaya listesidir. IP adresleri değiştirilebilir. Güvenlik duvarı yapılandırmanız için IP adresi aralıkları gerekiyorsa, tüm Azure hizmetlerine erişime izin vermek için AzureCloud Hizmet Etiketi kullanılmalıdır. Bu URL'lerin güvenlik izlemesini veya denetimini devre dışı bırakmayın, diğer İnternet trafiğinde olduğu gibi izin verin.

AzureArcInfrastructure hizmet etiketine giden trafiği filtrelerseniz, tam hizmet etiketi aralığına giden trafiğe izin vermelisiniz. AzureArcInfrastructure.AustraliaEast gibi tek tek bölgeler için tanıtılan aralıklar, hizmetin genel bileşenleri tarafından kullanılan IP aralıklarını içermez. Bu uç noktalar için çözümlenen belirli IP adresi, belgelenen aralıklar içinde zaman içinde değişebilir, bu nedenle yalnızca belirli bir uç noktanın geçerli IP adresini tanımlamak için bir arama aracı kullanmak ve güvenilir erişim sağlamak için buna erişime izin vermek yeterli olmaz.

Daha fazla bilgi için bkz . Sanal ağ hizmet etiketleri.

URL'ler

Aşağıdaki tabloda Bağlı Makine aracısını yüklemek ve kullanmak için kullanılabilir olması gereken URL'ler listelenmiştir.

Azure Bulut

Not

Azure bağlı makine aracısını özel bir bağlantı üzerinden Azure ile iletişim kuracak şekilde yapılandırırken, bazı uç noktalara İnternet üzerinden erişmeye devam edilmelidir. Aşağıdaki tabloda yer alan Özel bağlantı özellikli sütun, özel uç nokta ile hangi uç noktaların yapılandırılabildiğini gösterir. Sütunda bir uç nokta için Genel görünüyorsa, aracının çalışması için kuruluşunuzun güvenlik duvarı ve/veya ara sunucu üzerinden bu uç noktaya erişime izin vermelisiniz. Özel bağlantı kapsamı atanmışsa ağ trafiği özel uç nokta üzerinden yönlendirilir.

Aracı kaynağı	Açıklama	Gerektiğinde	Özel bağlantı özellikli
aka.ms	Yükleme sırasında indirme betiğini çözümlemek için kullanılır	Yükleme zamanında, yalnızca	Genel
download.microsoft.com	Windows yükleme paketini indirmek için kullanılır	Yükleme zamanında, yalnızca	Genel
packages.microsoft.com	Linux yükleme paketini indirmek için kullanılır	Yükleme zamanında, yalnızca	Genel
login.microsoftonline.com	Microsoft Entra Kimlik	Her zaman	Genel
*login.microsoft.com	Microsoft Entra Kimlik	Her zaman	Genel
pas.windows.net	Microsoft Entra Kimlik	Her zaman	Genel
management.azure.com	Azure Resource Manager - Arc sunucusu kaynağını oluşturmak veya silmek için	Bir sunucuya bağlanırken veya bağlantıyı keserken, yalnızca	Kaynak yönetimi özel bağlantısı da yapılandırılmadığı sürece Genel
*.his.arc.azure.com	Meta veriler ve karma kimlik hizmetleri	Her zaman	Özel
*.guestconfiguration.azure.com	Uzantı yönetimi ve konuk yapılandırma hizmetleri	Her zaman	Özel
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Uzantı ve bağlantı senaryoları için bildirim hizmeti	Her zaman	Genel
azgn*.servicebus.windows.net	Uzantı ve bağlantı senaryoları için bildirim hizmeti	Her zaman	Genel
*.servicebus.windows.net	Windows Admin Center ve SSH senaryoları için	Azure'dan SSH veya Windows Yönetim Merkezi kullanılıyorsa	Genel
*.waconazure.com	Windows Admin Center bağlantısı için	Windows Admin Center kullanılıyorsa	Genel
*.blob.core.windows.net	Azure Arc özellikli sunucu uzantıları için indirme kaynağı	Özel uç noktaların kullanılması dışında her zaman	Özel bağlantı yapılandırıldığında kullanılmaz
dc.services.visualstudio.com	Aracı telemetrisi	İsteğe bağlı, aracı 1.24+ sürümlerinde kullanılmaz	Genel
*.<region>.arcdataservices.com1	Arc SQL Server için. Azure'a veri işleme hizmeti, hizmet telemetrisi ve performans izleme gönderir. TLS 1.3'e izin verir.	Her zaman	Genel
www.microsoft.com/pkiops/certs	ESU'lar için ara sertifika güncelleştirmeleri (not: HTTP/TCP 80 ve HTTPS/TCP 443 kullanır)	Azure Arc tarafından etkinleştirilen ESU'lar kullanılıyorsa. Otomatik güncelleştirmeler için veya sertifikaları el ile indiriyorsanız geçici olarak gereklidir.	Genel

¹ Hangi bilgilerin toplandığı ve gönderildiği hakkında ayrıntılı bilgi için Azure Arc tarafından etkinleştirilen SQL Server için veri toplama ve raporlama makalesini gözden geçirin.

13 Şubat 2024'e kadar olan ve dahil olmak üzere uzantı sürümleri için kullanınsan-af-<region>-prod.azurewebsites.net. 12 Mart 2024'le başlayarak hem Azure Arc veri işleme hem de Azure Arc veri telemetrisi kullanılır*.<region>.arcdataservices.com.

Not

Joker karakteri *.servicebus.windows.net belirli uç noktalara çevirmek için komutunu \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>kullanın. Bu komut içinde, yer tutucu için <region> bölge belirtilmelidir. Bu uç noktalar düzenli aralıklarla değişebilir.

Bölgesel uç noktanın bölge kesimini almak için Azure bölge adından tüm alanları kaldırın. Örneğin, Doğu ABD 2 bölgesi, bölge adı şeklindedir eastus2.

Örneğin: *.<region>.arcdataservices.com Doğu ABD 2 bölgesinde olmalıdır *.eastus2.arcdataservices.com .

Tüm bölgelerin listesini görmek için şu komutu çalıştırın:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Devlet Kurumları

Not

Azure bağlı makine aracısını özel bir bağlantı üzerinden Azure ile iletişim kuracak şekilde yapılandırırken, bazı uç noktalara İnternet üzerinden erişmeye devam edilmelidir. Aşağıdaki tabloda özel bağlantı sütunuyla kullanılan Uç nokta, hangi uç noktaların özel uç noktayla yapılandırılabileceğini gösterir. Sütunda bir uç nokta için Genel görünüyorsa, aracının çalışması için kuruluşunuzun güvenlik duvarı ve/veya ara sunucu üzerinden bu uç noktaya erişime izin vermelisiniz.

Aracı kaynağı	Açıklama	Gerektiğinde	Özel bağlantıyla kullanılan uç nokta
aka.ms	Yükleme sırasında indirme betiğini çözümlemek için kullanılır	Yükleme zamanında, yalnızca	Genel
download.microsoft.com	Windows yükleme paketini indirmek için kullanılır	Yükleme zamanında, yalnızca	Genel
packages.microsoft.com	Linux yükleme paketini indirmek için kullanılır	Yükleme zamanında, yalnızca	Genel
login.microsoftonline.us	Microsoft Entra Kimlik	Her zaman	Genel
pasff.usgovcloudapi.net	Microsoft Entra Kimlik	Her zaman	Genel
management.usgovcloudapi.net	Azure Resource Manager - Arc sunucusu kaynağını oluşturmak veya silmek için	Bir sunucuya bağlanırken veya bağlantıyı keserken, yalnızca	Kaynak yönetimi özel bağlantısı da yapılandırılmadığı sürece Genel
*.his.arc.azure.us	Meta veriler ve karma kimlik hizmetleri	Her zaman	Özel
*.guestconfiguration.azure.us	Uzantı yönetimi ve konuk yapılandırma hizmetleri	Her zaman	Özel
*.blob.core.usgovcloudapi.net	Azure Arc özellikli sunucu uzantıları için indirme kaynağı	Özel uç noktaların kullanılması dışında her zaman	Özel bağlantı yapılandırıldığında kullanılmaz
dc.applicationinsights.us	Aracı telemetrisi	İsteğe bağlı, aracı 1.24+ sürümlerinde kullanılmaz	Genel
www.microsoft.com/pkiops/certs	ESU'lar için ara sertifika güncelleştirmeleri (not: HTTP/TCP 80 ve HTTPS/TCP 443 kullanır)	Azure Arc tarafından etkinleştirilen ESU'lar kullanılıyorsa. Otomatik güncelleştirmeler için veya sertifikaları el ile indiriyorsanız geçici olarak gereklidir.	Genel

21Vianet tarafından sağlanan Microsoft Azure

Aracı kaynağı	Açıklama	Gerektiğinde
aka.ms	Yükleme sırasında indirme betiğini çözümlemek için kullanılır	Yükleme zamanında, yalnızca
download.microsoft.com	Windows yükleme paketini indirmek için kullanılır	Yükleme zamanında, yalnızca
packages.microsoft.com	Linux yükleme paketini indirmek için kullanılır	Yükleme zamanında, yalnızca
login.chinacloudapi.cn	Microsoft Entra Kimlik	Her zaman
login.partner.chinacloudapi.cn	Microsoft Entra Kimlik	Her zaman
pas.chinacloudapi.cn	Microsoft Entra Kimlik	Her zaman
management.chinacloudapi.cn	Azure Resource Manager - Arc sunucusu kaynağını oluşturmak veya silmek için	Bir sunucuya bağlanırken veya bağlantıyı keserken, yalnızca
*.his.arc.azure.cn	Meta veriler ve karma kimlik hizmetleri	Her zaman
*.guestconfiguration.azure.cn	Uzantı yönetimi ve konuk yapılandırma hizmetleri	Her zaman
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Uzantı ve bağlantı senaryoları için bildirim hizmeti	Her zaman
azgn*.servicebus.chinacloudapi.cn	Uzantı ve bağlantı senaryoları için bildirim hizmeti	Her zaman
*.servicebus.chinacloudapi.cn	Windows Admin Center ve SSH senaryoları için	Azure'dan SSH veya Windows Yönetim Merkezi kullanılıyorsa
*.blob.core.chinacloudapi.cn	Azure Arc özellikli sunucu uzantıları için indirme kaynağı	Özel uç noktaların kullanılması dışında her zaman
dc.applicationinsights.azure.cn	Aracı telemetrisi	İsteğe bağlı, aracı 1.24+ sürümlerinde kullanılmaz

Aktarım Katmanı Güvenliği 1.2 protokolü

Azure'a taşınan verilerin güvenliğini sağlamak için, makineyi Aktarım Katmanı Güvenliği (TLS) 1.2 kullanacak şekilde yapılandırmanızı kesinlikle öneririz. TLS/Güvenli Yuva Katmanı'nın (SSL) eski sürümlerinin güvenlik açığı olduğu tespit edilmiştir ve geriye dönük uyumluluk sağlamak için çalışmaya devam ederken, bunlar önerilmez.

Platform/Dil	Destek	Daha Fazla Bilgi
Linux	Linux dağıtımları TLS 1.2 desteği için OpenSSL'ye bağımlı olma eğilimindedir.	OpenSSL sürümünüzün desteklendiğinden emin olmak için OpenSSL Değişiklik Günlüğü'ne bakın.
Windows Server 2012 R2 ve üzeri	Desteklenir ve varsayılan olarak etkinleştirilir.	Hala varsayılan ayarları kullandığınızı onaylamak için.

Yalnızca ESU için uç noktaların alt kümesi

Azure Arc özellikli sunucuları yalnızca aşağıdaki ürünlerden biri veya her ikisi için Genişletilmiş Güvenlik Güncelleştirmeleri için kullanıyorsanız:

• Windows Server 2012
• SQL Server 2012

Aşağıdaki uç nokta alt kümesini etkinleştirebilirsiniz:

Azure Bulut

Aracı kaynağı	Açıklama	Gerektiğinde	Özel bağlantıyla kullanılan uç nokta
aka.ms	Yükleme sırasında indirme betiğini çözümlemek için kullanılır	Yükleme zamanında, yalnızca	Genel
download.microsoft.com	Windows yükleme paketini indirmek için kullanılır	Yükleme zamanında, yalnızca	Genel
login.windows.net	Microsoft Entra Kimlik	Her zaman	Genel
login.microsoftonline.com	Microsoft Entra Kimlik	Her zaman	Genel
*login.microsoft.com	Microsoft Entra Kimlik	Her zaman	Genel
management.azure.com	Azure Resource Manager - Arc sunucusu kaynağını oluşturmak veya silmek için	Bir sunucuya bağlanırken veya bağlantıyı keserken, yalnızca	Kaynak yönetimi özel bağlantısı da yapılandırılmadığı sürece Genel
*.his.arc.azure.com	Meta veriler ve karma kimlik hizmetleri	Her zaman	Özel
*.guestconfiguration.azure.com	Uzantı yönetimi ve konuk yapılandırma hizmetleri	Her zaman	Özel
www.microsoft.com/pkiops/certs	ESU'lar için ara sertifika güncelleştirmeleri (not: HTTP/TCP 80 ve HTTPS/TCP 443 kullanır)	Otomatik güncelleştirmeler için her zaman veya sertifikaları el ile indiriyorsanız geçici olarak.	Genel
*.<region>.arcdataservices.com	Azure Arc veri işleme hizmeti ve hizmet telemetrisi.	SQL Server ESU'ları	Genel
*.blob.core.windows.net	Sql Server Uzantı paketini indirme	SQL Server ESU'ları	Özel Bağlantı kullanılıyorsa gerekli değildir

Azure Devlet Kurumları

Aracı kaynağı	Açıklama	Gerektiğinde	Özel bağlantıyla kullanılan uç nokta
aka.ms	Yükleme sırasında indirme betiğini çözümlemek için kullanılır	Yükleme zamanında, yalnızca	Genel
download.microsoft.com	Windows yükleme paketini indirmek için kullanılır	Yükleme zamanında, yalnızca	Genel
login.microsoftonline.us	Microsoft Entra Kimlik	Her zaman	Genel
management.usgovcloudapi.net	Azure Resource Manager - Arc sunucusu kaynağını oluşturmak veya silmek için	Bir sunucuya bağlanırken veya bağlantıyı keserken, yalnızca	Kaynak yönetimi özel bağlantısı da yapılandırılmadığı sürece Genel
*.his.arc.azure.us	Meta veriler ve karma kimlik hizmetleri	Her zaman	Özel
*.guestconfiguration.azure.us	Uzantı yönetimi ve konuk yapılandırma hizmetleri	Her zaman	Özel
www.microsoft.com/pkiops/certs	ESU'lar için ara sertifika güncelleştirmeleri (not: HTTP/TCP 80 ve HTTPS/TCP 443 kullanır)	Otomatik güncelleştirmeler için her zaman veya sertifikaları el ile indiriyorsanız geçici olarak.	Genel
*.blob.core.usgovcloudapi.net	Sql Server Uzantı paketini indirme	SQL Server ESU'ları	Özel Bağlantı kullanılıyorsa gerekli değildir

21Vianet tarafından sağlanan Microsoft Azure

Not

Windows Server 2012 için Genişletilmiş Güvenlik Güncelleştirmeleri için kullanılan Azure Arc özellikli sunucular şu anda 21Vianet bölgeleri tarafından sağlanan Microsoft Azure'da kullanılamaz.

Daha fazla bilgi için bkz . Bağlı Makine aracısı ağ gereksinimleri.

Azure Arc kaynak köprüsü

Bu bölümde, kuruluşunuzda Azure Arc kaynak köprüsü dağıtmaya özgü ek ağ gereksinimleri açıklanmaktadır. Bu gereksinimler Azure Arc özellikli VMware vSphere ve Azure Arc özellikli System Center Virtual Machine Manager için de geçerlidir.

Giden bağlantı gereksinimleri

Yönetim makinesinden, Alet VM'sinden ve Denetim Düzlemi IP'sinden gerekli Arc kaynak köprüsü URL'lerine iletişimi etkinleştirmek için aşağıdaki güvenlik duvarı ve ara sunucu URL'lerinin izin verilenler listesine alınması gerekir.

Güvenlik Duvarı/Ara Sunucu URL'si izin verilenler listesi

Hizmet	Bağlantı noktası	URL	Yön	Notlar
SFS API uç noktası	443	msk8s.api.cdp.microsoft.com	Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	SFS'den ürün kataloğunu, ürün bitlerini ve işletim sistemi görüntülerini indirin.
Kaynak köprüsü (alet) görüntüsü indirme	443	msk8s.sb.tlu.dl.delivery.mp.microsoft.com	Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Arc Resource Bridge işletim sistemi görüntülerini indirin.
Microsoft Container Registry	443	mcr.microsoft.com	Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Arc Kaynak Köprüsü için kapsayıcı görüntülerini keşfedin.
Microsoft Container Registry	443	*.data.mcr.microsoft.com	Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Arc Kaynak Köprüsü için kapsayıcı görüntülerini indirin.
Windows NTP Server	123	time.windows.com	Yönetim makinesi ve Alet VM IP'leri (Hyper-V varsayılanı Windows NTP ise), UDP'de giden bağlantıya ihtiyaç duyar	Alet VM ve Yönetim makinesinde (Windows NTP) işletim sistemi zaman eşitlemesi.
Azure Resource Manager	443	management.azure.com	Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Azure'da kaynakları yönetme.
Microsoft Graph	443	graph.microsoft.com	Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Azure RBAC için gereklidir.
Azure Resource Manager	443	login.microsoftonline.com	Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	ARM belirteçlerini güncelleştirmek için gereklidir.
Azure Resource Manager	443	*.login.microsoft.com	Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	ARM belirteçlerini güncelleştirmek için gereklidir.
Azure Resource Manager	443	login.windows.net	Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	ARM belirteçlerini güncelleştirmek için gereklidir.
Kaynak köprüsü (alet) Veri düzlemi hizmeti	443	*.dp.prod.appliances.azure.com	Alet VM'leri IP'leri giden bağlantıya ihtiyaç duyar.	Azure'da kaynak sağlayıcısıyla iletişim kurun.
Kaynak köprüsü (alet) kapsayıcı görüntüsü indirme	443	*.blob.core.windows.net, ecpacr.azurecr.io	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Kapsayıcı görüntülerini çekmek için gereklidir.
Yönetilen Kimlik	443	*.his.arc.azure.com	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Sistem tarafından atanan Yönetilen Kimlik sertifikalarını çekmek için gereklidir.
Kubernetes için Azure Arc kapsayıcı görüntüsü indirme	443	azurearcfork8s.azurecr.io	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Kapsayıcı görüntülerini çekme.
Azure Arc aracısı	443	k8connecthelm.azureedge.net	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Azure Arc aracısının dağıtımını yapın.
ADHS telemetri hizmeti	443	adhs.events.data.microsoft.com	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Microsoft gerekli tanılama verilerini alet VM'sinden düzenli aralıklarla gönderir.
Microsoft olay veri hizmeti	443	v20.events.data.microsoft.com	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Windows'tan tanılama verileri gönderme.
Arc Kaynak Köprüsü için günlük koleksiyonu	443	linuxgeneva-microsoft.azurecr.io	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Alet tarafından yönetilen bileşenler için gönderme günlükleri.
Kaynak köprüsü bileşenlerini indirme	443	kvamanagementoperator.azurecr.io	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Alet tarafından yönetilen bileşenler için çekme yapıtları.
Microsoft açık kaynak paket yöneticisi	443	packages.microsoft.com	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Linux yükleme paketini indirin.
Özel Konum	443	sts.windows.net	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Özel Konum için gereklidir.
Azure Arc	443	guestnotificationservice.azure.com	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Azure Arc için gereklidir.
Özel Konum	443	k8sconnectcsp.azureedge.net	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Özel Konum için gereklidir.
Tanılama verileri	443	gcs.prod.monitoring.core.windows.net	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Microsoft gerekli tanılama verilerini düzenli aralıklarla gönderir.
Tanılama verileri	443	*.prod.microsoftmetrics.com	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Microsoft gerekli tanılama verilerini düzenli aralıklarla gönderir.
Tanılama verileri	443	*.prod.hot.ingest.monitor.core.windows.net	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Microsoft gerekli tanılama verilerini düzenli aralıklarla gönderir.
Tanılama verileri	443	*.prod.warm.ingest.monitor.core.windows.net	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Microsoft gerekli tanılama verilerini düzenli aralıklarla gönderir.
Azure portal	443	*.arc.azure.net	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Azure portalından kümeyi yönetme.
Azure CLI ve Uzantı	443	*.blob.core.windows.net	Yönetim makinesinin giden bağlantıya ihtiyacı var.	Azure CLI Yükleyicisi ve uzantısını indirin.
Azure Arc Aracısı	443	*.dp.kubernetesconfiguration.azure.com	Yönetim makinesinin giden bağlantıya ihtiyacı var.	Arc aracısı için kullanılan veri düzlemi.
Python paketi	443	pypi.org, *.pypi.org	Yönetim makinesinin giden bağlantıya ihtiyacı var.	Kubernetes ve Python sürümlerini doğrulayın.
Azure CLI	443	pythonhosted.org, *.pythonhosted.org	Yönetim makinesinin giden bağlantıya ihtiyacı var.	Azure CLI yüklemesi için Python paketleri.

Gelen bağlantı gereksinimleri

Yönetim makinesinden, Alet VM IP'lerinden ve Denetim Düzlemi IP'lerinden aşağıdaki bağlantı noktaları arasındaki iletişime izin verilmelidir. Arc kaynak köprüsünün dağıtımını ve bakımını kolaylaştırmak için bu bağlantı noktalarının açık olduğundan ve trafiğin bir ara sunucu üzerinden yönlendirilmediğinden emin olun.

Hizmet	Bağlantı noktası	IP/makine	Yön	Notlar
SSH	22	appliance VM IPs ve Management machine	İki Yönlü	Alet VM'sini dağıtmak ve bakımını sağlamak için kullanılır.
Kubernetes API sunucusu	6443	appliance VM IPs ve Management machine	Çift yönlü	Alet VM'sinin yönetimi.
SSH	22	control plane IP ve Management machine	İki Yönlü	Alet VM'sini dağıtmak ve bakımını sağlamak için kullanılır.
Kubernetes API sunucusu	6443	control plane IP ve Management machine	Çift yönlü	Alet VM'sinin yönetimi.
HTTPS	443	private cloud control plane address ve Management machine	Yönetim makinesinin giden bağlantıya ihtiyacı var.	Kontrol düzlemi ile iletişim (ör. VMware vCenter adresi).

Daha fazla bilgi için bkz . Azure Arc kaynak köprüsü ağ gereksinimleri.

Azure Arc özellikli VMware vSphere

Azure Arc özellikli VMware vSphere için de şunlar gerekir:

Hizmet	Bağlantı noktası	URL	Yön	Notlar
vCenter Server	443	vCenter sunucusunun URL'si	Alet VM IP'si ve denetim düzlemi uç noktası giden bağlantıya ihtiyaç duyar.	Alet VM'siyle ve denetim düzlemiyle iletişim kurmak için vCenter sunucusu tarafından kullanılır.
VMware Küme Uzantısı	443	azureprivatecloud.azurecr.io	Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır.	Microsoft.VMWare ve Microsoft.AVS Küme Uzantısı için kapsayıcı görüntülerini çekin.
Azure CLI ve Azure CLI Uzantıları	443	*.blob.core.windows.net	Yönetim makinesinin giden bağlantıya ihtiyacı var.	Azure CLI Yükleyicisi ve Azure CLI uzantılarını indirin.
Azure Resource Manager	443	management.azure.com	Yönetim makinesinin giden bağlantıya ihtiyacı var.	ARM kullanarak Azure'da kaynak oluşturmak/güncelleştirmek için gereklidir.
Azure Arc Aracıları için Helm Grafiği	443	*.dp.kubernetesconfiguration.azure.com	Yönetim makinesinin giden bağlantıya ihtiyacı var.	Arc aracılarının yapılandırma bilgilerini indirmek için veri düzlemi uç noktası.
Azure CLI	443	- login.microsoftonline.com - aka.ms	Yönetim makinesinin giden bağlantıya ihtiyacı var.	Azure Resource Manager belirteçlerini getirmek ve güncelleştirmek için gereklidir.

Daha fazla bilgi için bkz . Azure Arc özellikli VMware vSphere için destek matrisi.

Azure Arc özellikli System Center Virtual Machine Manager

Azure Arc özellikli System Center Virtual Machine Manager (SCVMM) için de şunlar gerekir:

Hizmet	Bağlantı noktası	URL	Yön	Notlar
SCVMM yönetim sunucusu	443	SCVMM yönetim sunucusunun URL'si	Alet VM IP'si ve denetim düzlemi uç noktası giden bağlantıya ihtiyaç duyar.	Alet VM'siyle ve kontrol düzlemiyle iletişim kurmak için SCVMM sunucusu tarafından kullanılır.

Daha fazla bilgi için bkz . Arc özellikli System Center Virtual Machine Manager'a genel bakış.

Ek uç noktalar

Senaryonuza bağlı olarak, Azure portalı, yönetim araçları veya diğer Azure hizmetleri tarafından kullanılanlar gibi diğer URL'lere bağlanmanız gerekebilir. Özellikle, gerekli uç noktalara bağlantıya izin vermek için bu listeleri gözden geçirin:

• Azure portalı URL'leri
• Ara sunucu atlama için Azure CLI uç noktaları