Azure Arc 資源橋接器的網路需求
本文說明在您企業中部署 Azure Arc 資源橋接器的網路需求。
一般網路需求
Arc 資源橋接器透過 TCP 連接埠 443,安全地將訊息輸出到 Azure Arc。 如果設備需要透過防火牆或 Proxy 伺服器連線以透過網際網路通訊,則會使用 HTTPS 通訊協定來通訊輸出。
一般而言,連線需求包括下列準則:
- 所有連線皆為 TCP,除非另有指定。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 所有連線皆為輸出,除非另有指定。
若要使用 Proxy,請確認執行上線程序的代理程式和機器符合本文中的網路需求。
輸出連線能力需求
以下防火牆和 Proxy URL 必須列入允許清單中,才能啟用從管理機器、設備 VM 及控制平面 IP 到必要 Arc 資源橋接器 URL 的通訊。
防火牆/Proxy URL 允許清單
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SFS API 端點 | 443 | msk8s.api.cdp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 從 SFS 下載產品目錄、產品位元和 OS 映像。 |
| 資源橋接器 (設備) 映像下載 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc Resource Bridge OS 映射。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 探索 Arc 資源橋接器的容器映像。 |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc 資源橋接器的容器映像。 |
| Windows NTP 伺服器 | 123 | time.windows.com |
管理機器與設備 VM IP (如果 Hyper-V 預設值為 Windows NTP) 需要透過 UDP 的輸出連線 | 設備 VM 與管理機器 (Windows NTP) 中的 OS 時間同步。 |
| Azure Resource Manager | 443 | management.azure.com |
管理機器與設備 VM IP 需要輸出連線。 | 管理 Azure 中的資源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | Azure RBAC 的必要項目。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
| Azure Resource Manager | 443 | login.windows.net |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
| 資源橋接器 (設備) 資料平面服務 | 443 | *.dp.prod.appliances.azure.com |
設備 VM IP 需要輸出連線。 | 與 Azure 中的資源提供者通訊。 |
| 資源橋接器 (設備) 容器映像下載 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像的必要項目。 |
| 受控識別 | 443 | *.his.arc.azure.com |
設備 VM IP 需要輸出連線。 | 提取系統指派受控識別憑證的必要項目。 |
| 適用於 Kubernetes 的 Azure Arc 容器映像下載 | 443 | azurearcfork8s.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像。 |
| Azure Arc 代理程式 | 443 | k8connecthelm.azureedge.net |
設備 VM IP 需要輸出連線。 | 部署 Azure Arc 代理程式。 |
| ADHS 遙測服務 | 443 | adhs.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 定期從設備 VM 傳送 Microsoft 所需的診斷資料。 |
| Microsoft 事件資料服務 | 443 | v20.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 從 Windows 傳送診斷資料。 |
| Arc 資源橋接器的記錄集合 | 443 | linuxgeneva-microsoft.azurecr.io |
設備 VM IP 需要輸出連線。 | 推送設備受控元件的記錄。 |
| 資源橋接器元件下載 | 443 | kvamanagementoperator.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取設備受控元件的成品。 |
| Microsoft 開放原始碼套件管理員 | 443 | packages.microsoft.com |
設備 VM IP 需要輸出連線。 | 下載 Linux 安裝套件。 |
| 自訂位置 | 443 | sts.windows.net |
設備 VM IP 需要輸出連線。 | 自訂位置的必要項目。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
設備 VM IP 需要輸出連線。 | Azure Arc 的必要項目。 |
| 自訂位置 | 443 | k8sconnectcsp.azureedge.net |
設備 VM IP 需要輸出連線。 | 自訂位置的必要項目。 |
| 診斷資料 | 443 | gcs.prod.monitoring.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.microsoftmetrics.com |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| Azure 入口網站 | 443 | *.arc.azure.net |
設備 VM IP 需要輸出連線。 | 從 Azure 入口網站管理叢集。 |
| Azure CLI 與延伸模組 | 443 | *.blob.core.windows.net |
管理機器需要輸出連線。 | 下載 Azure CLI 安裝程式和延伸模組。 |
| Azure Arc 代理程式 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理機器需要輸出連線。 | 用於 Arc 代理程式的資料平面。 |
| Python 套件 | 443 | pypi.org, *.pypi.org |
管理機器需要輸出連線。 | 驗證 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
管理機器需要輸出連線。 | 適用於 Azure CLI 安裝的 Python 套件。 |
輸入連線能力需求
必須允許從管理機器、設備 VM IP 和控制平面 IP 進行下列連接埠之間的通訊。 請確定這些連接埠已開啟,且流量不會透過 Proxy 路由傳送,以利 Arc 資源橋接器的部署和維護。
| 服務 | 通訊埠 | IP/機器 | 方向 | 注意事項 |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs 和 Management machine |
雙向 | 用於部署及維護設備 VM。 |
| Kubernetes API 伺服器 | 6443 | appliance VM IPs 和 Management machine |
雙向 | 管理設備 VM。 |
| SSH | 22 | control plane IP 和 Management machine |
雙向 | 用於部署及維護設備 VM。 |
| Kubernetes API 伺服器 | 6443 | control plane IP 和 Management machine |
雙向 | 管理設備 VM。 |
| HTTPS | 443 | private cloud control plane address 和 Management machine |
管理機器需要輸出連線。 | 與控制平面通訊 (例如:VMware vCenter 位址)。 |
注意
此處僅列出 Arc 資源橋接器的必要 URL。 其他 Arc 產品 (例如已啟用 Arc 的 VMware vSphere) 可能會有其他的必要 URL。 如需詳細資訊,請參閱 Azure Arc 網路需求。
Arc 資源橋接器的指定 IP 範圍
在部署 Arc 資源橋接器時,會專門保留特定 IP 範圍給設備 VM 內的 Kubernetes Pod 和服務使用。 這些內部 IP 範圍不得與資源橋接器的任何設定輸入重疊,例如 IP 位址前置詞、控制平面 IP、設備 VM IP、DNS 伺服器、Proxy 伺服器或 vSphere ESXi 主機。 如需 Arc 資源橋接器設定的詳細資訊,請參閱系統需求 (英文)。
注意
這些指定的 IP 範圍只會在 Arc 資源橋接器內部使用。 其不會影響 Azure 資源或網路。
| 服務 | 指定的 IP 範圍 |
|---|---|
| ARC 資源橋接器 Kubernetes Pod | 10.244.0.0/16 |
| ARC 資源橋接器 Kubernetes 服務 | 10.96.0.0/12 |
SSL Proxy 設定
重要
Arc 資源橋接器僅支援直接 (明確) Proxy,包括未經驗證的 Proxy、具有基本驗證的 Proxy、SSL 終止 Proxy 和 SSL 傳遞 Proxy。
若使用 Proxy,必須將 Arc 資源橋接器設定為使用 Proxy,才能連線至 Azure 服務。
若要設定 Arc 資源橋接器的 Proxy,請在建立設定檔期間提供 Proxy 憑證檔案路徑。
憑證檔案的格式是「Base-64 編碼的 X.509」。
請只傳遞單一 Proxy 憑證。 如果傳遞憑證套件組合,部署會失敗。
Proxy 伺服器端點不能是
.local網域。必須可以從 IP 位址前置詞內的所有 IP 連線至 Proxy 伺服器,包括從控制平面和設備 VM IP。
在 SSL Proxy 後方部署 Arc 資源橋接器時,應會相關的憑證只有兩個:
SSL Proxy 的 SSL 憑證 (因此管理機器和設備 VM 會信任您的 Proxy FQDN,然後可以與其建立 SSL 連線)
Microsoft 下載伺服器的 SSL 憑證。 Proxy 伺服器本身必須信任此憑證,因為該 Proxy 會建立最終連線,且必須信任端點。 根據預設,非 Windows 電腦可能不會信任此第二個憑證,因此您可能需要確保該憑證能獲得信任。
為部署 Arc 資源橋接器,必須將映像下載至管理機器,然後再上傳至內部部署私人雲端資源庫。 如果您的 Proxy 伺服器對下載速度進行節流處理,您可能無法在分配時間內 (90 分鐘) 下載所需的映像 (~3.5 GB)。
無 Proxy 的排除清單
如果使用 Proxy 伺服器,下表包含透過設定 noProxy 設定而應從 Proxy 排除的位址清單。
| IP 位址 | 排除原因 |
|---|---|
| localhost, 127.0.0.1 | Localhost 流量 |
| .svc | 內部 Kubernetes 服務流量 (.svc),其中 .svc 代表萬用字元名稱。 這與 *.svc 相似,但後者不會用於此結構描述中。 |
| 10.0.0.0/8 | 私人網路位址空間 |
| 172.16.0.0/12 | 私人網路位址空間 - Kubernetes Service CIDR |
| 192.168.0.0/16 | 私人網路位址空間 - Kubernetes Pod CIDR |
| .contoso.com | 您可能會想要豁免企業的命名空間 (.contoso.com),避免其透過 Proxy 進行導向。 若要排除網域中的所有位址,您必須網域新增至 noProxy 清單。 使用前置句號,而不是 ( * ) 萬用字元。 在此範例中,位址 .contoso.com 會排除 prefix1.contoso.com、prefix2.contoso.com 等位址。 |
noProxy 的預設值為 localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。 雖然這些預設值適用於許多網路,但您可能需要在豁免清單中新增更多子網路的範圍和/或名稱。 例如,您可能會想要豁免企業的命名空間 (.contoso.com),避免其透過 Proxy 進行導向。 您可以在 noProxy 清單中指定值來達成此目的。
重要
列出 noProxy 設定的多個位址時,請勿在每個逗號之後新增空格以分隔位址。 位址必須緊接在逗號後面。
內部連接埠接聽
請注意,設備 VM 已設定為接聽下列連接埠。 這些連接埠專門用於內部程序,且不需要外部存取:
- 8443 – Microsoft Entra 驗證 Webhook 的端點
- 10257 – Arc 資源橋接器計量的端點
- 10250 – Arc 資源橋接器計量的端點
- 2382 – Arc 資源橋接器計量的端點
下一步
- 請檢閱 Azure Arc 資源橋接器概觀以深入了解需求和技術詳細資料。
- 了解 Azure Arc 資源橋接器的安全性設定和考量。
- 檢視網路問題的疑難排解秘訣。