Azure Arc 網路需求
本文列出已啟用 Azure Arc 的服務與功能所需的端點、埠和通訊協定。
一般而言,連線需求包括下列原則:
- 除非另有指定,否則所有連線都是 TCP。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 除非另有指定,否則所有連線都會輸出。
若要使用 Proxy,請確認執行上線程式的代理程式和電腦符合本文中的網路需求。
已啟用 Azure Arc 的 Kubernetes 端點
所有 Kubernetes 型 Arc 供應專案都需要對 Arc Kubernetes 型端點 連線,包括:
- 已啟用 Azure Arc 的 Kubernetes
- 已啟用 Azure Arc 的應用程式服務
- 已啟用 Azure Arc 的 Machine Learning
- 已啟用 Azure Arc 的數據服務(僅限直接連線模式)
重要
Azure Arc 代理程式需要下列輸出 URL https://:443 才能運作。
針對 *.servicebus.windows.net,必須在防火牆和 Proxy 上啟用 websocket 以進行輸出存取。
| 端點 (DNS) | 描述 |
|---|---|
https://management.azure.com |
代理程式連線到 Azure 並註冊叢集的必要專案。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。 |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
擷取和更新 Azure Resource Manager 權杖的必要項目。 |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
需要提取 Azure Arc 代理程式的容器映像。 |
https://gbl.his.arc.azure.com |
需要取得區域端點,才能提取系統指派的受控識別憑證。 |
https://*.his.arc.azure.com |
需要提取系統指派的受控識別憑證。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 會使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點,以利部署代理程式 Helm 圖表。 |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.nethttps://k8sconnectcsp.azureedge.net |
針對叢集 連線和自定義位置型案例。 |
*.servicebus.windows.net |
針對叢集 連線和自定義位置型案例。 |
https://graph.microsoft.com/ |
設定 Azure RBAC 時為必要專案。 |
*.arc.azure.net |
在 Azure 入口網站 中管理已連線叢集的必要專案。 |
https://<region>.obo.arc.azure.com:8084/ |
設定叢集 連線 時為必要專案。 |
dl.k8s.io |
啟用自動代理程序升級時的必要專案。 |
若要將 *.servicebus.windows.net 通配符轉譯為特定端點,請使用 命令:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2。
例如:*.<region>.arcdataservices.com 在美國東部 2 區域中應為 *.eastus2.arcdataservices.com。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
如需詳細資訊,請參閱 已啟用 Azure Arc 的 Kubernetes 網路需求。
已啟用 Azure Arc 的資料服務
本節說明已啟用 Azure Arc 之數據服務的特定需求,除了上述已啟用 Arc 的 Kubernetes 端點之外。
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| Helm 圖表 (僅限直接連線模式) | 443 | arcdataservicesrow1.azurecr.io |
輸出 | 從 Azure Container Registry 提取而來,以佈建 Azure Arc 資料控制器啟動載入器和叢集等級物件,例如自訂資源定義、叢集角色和叢集角色繫結。 |
| Azure 監視 API * | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
輸出 | Azure Data Studio 和 Azure CLI 會連線至 Azure Resource Manager API,以針對某些功能向 Azure 傳送資料和從 Azure 擷取資料。 請參閱 Azure 監視器 API。 |
| Azure Arc 資料處理服務 * | 443 | *.<region>.arcdataservices.com2 |
輸出 |
1 需求取決於部署模式:
- 針對直接模式,Kubernetes 叢集上的控制器 Pod 必須具有端點的輸出連線能力,才能將記錄、計量、清查和計費資訊傳送至 Azure 監視器/資料處理服務。
- 針對間接模式,執行
az arcdata dc upload的機器必須具有 Azure 監視器和資料處理服務的輸出連線能力。
2 針對 2024 年 2 月 13 日和包含的擴充功能版本,請使用 san-af-<region>-prod.azurewebsites.net。
Azure 監視器 API
從 Azure Data Studio 到 Kube API 伺服器的連線能力會使用您已建立的 Kube 驗證和加密。 使用 Azure Data Studio 或 CLI 的每個使用者都必須具有 Kube API 的已驗證連線,才能執行與已啟用 Azure Arc 資料服務相關的各種動作。
如需詳細資訊,請參閱連線模式和需求。
已啟用 Azure Arc 的伺服器 (英文)
需要具備 Arc 功能的伺服器端點 連線:
已啟用 Azure Arc 的 SQL Server
已啟用 Azure Arc 的 VMware vSphere *
已啟用 Azure Arc 的 System Center Virtual Machine Manager *
已啟用 Azure Arc 的 Azure Stack (HCI) *
*只有啟用來賓管理才需要。
所有伺服器型 Arc 供應專案都需要已啟用 Azure Arc 的伺服器端點。
網路設定
適用於 Linux 和 Windows 的 Azure 連線 Machine 代理程式會透過 TCP 連接埠 443 安全地向 Azure Arc 通訊。 根據預設,代理程式會使用因特網的預設路由來連線到 Azure 服務。 如果您的網路需要 Proxy 伺服器,您可以選擇性地 將代理程式設定為使用 Proxy 伺服器 。 Proxy 伺服器不會讓 連線 機器代理程式更安全,因為流量已經加密。
若要進一步保護您的 Azure Arc 網路連線,而不是使用公用網路和 Proxy 伺服器,您可以實 作 Azure Arc Private Link 範圍 。
注意
已啟用 Azure Arc 的伺服器不支援使用 Log Analytics 閘道作為 連線 電腦代理程式的 Proxy。 同時,Azure 監視器代理程序支援 Log Analytics 閘道。
如果您的防火牆或 Proxy 伺服器限制輸出連線,請確定下列 URL 和服務卷標不會遭到封鎖。
服務標籤
請務必允許存取下列服務標籤:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 儲存體
- Windows 管理員 Center (如果使用 Windows 管理員 Center 來管理已啟用 Arc 的伺服器)
如需每個服務標籤/區域的IP位址清單,請參閱 JSON 檔案 Azure IP 範圍和服務標籤 – 公用雲端。 Microsoft 會每周發佈包含每個 Azure 服務及其使用的IP範圍更新。 JSON 檔案中的資訊是對應至每個服務標籤之 IP 範圍的目前時間點清單。 IP 位址可能會變更。 如果您的防火牆設定需要IP位址範圍,則 應該使用 AzureCloud 服務標籤來允許存取所有 Azure 服務。 請勿停用這些 URL 的安全性監視或檢查,請允許它們,就像您其他因特網流量一樣。
如果您篩選 AzureArcInfrastructure 服務標籤的流量,則必須允許流量進入完整的服務卷標範圍。 針對個別區域公告的範圍,例如 AzureArcInfrastructure.AustraliaEast,不包含服務全域元件所使用的 IP 範圍。 針對這些端點解析的特定IP位址可能會隨著時間在記載範圍內變更,因此只要使用查閱工具來識別指定端點的目前IP位址,並允許存取該位址並不足以確保可靠的存取。
如需詳細資訊,請參閱 虛擬網路服務標籤。
URL
下表列出必須可用的 URL,才能安裝和使用 連線 計算機代理程式。
注意
設定 Azure 連線機器代理程式以透過私人連結與 Azure 通訊時,某些端點仍必須透過因特網存取。 下表中搭配私人鏈接數據行使用的端點會顯示哪些端點可以使用私人端點來設定。 如果數據行顯示 端點的公用 ,您仍然必須允許透過組織的防火牆和/或 Proxy 伺服器存取該端點,讓代理程式能夠運作。
| 代理程式資源 | 描述 | 需要時 | 搭配私人連結使用的端點 |
|---|---|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 | 僅限安裝期間 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 僅限安裝期間 | 公開 |
packages.microsoft.com |
用來下載Linux安裝套件 | 僅限安裝期間 | 公開 |
login.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
pas.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 僅限連線或中斷伺服器連線時 | 公用,除非同時設定了資源管理私人連結 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 | 永遠 | 私人 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 | 永遠 | 私用 |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
擴充功能和連線案例的通知服務 | 永遠 | 公開 |
azgn*.servicebus.windows.net |
擴充功能和連線案例的通知服務 | 永遠 | 公開 |
*.servicebus.windows.net |
針對 Windows 管理員 中心和 SSH 案例 | 如果從 Azure 使用 SSH 或 Windows 管理員 中心 | 公開 |
*.waconazure.com |
針對 Windows 管理員 中心連線 | 如果使用 Windows 管理員 Center | 公開 |
*.blob.core.windows.net |
下載已啟用 Azure Arc 的伺服器擴充功能來源 | 一律,除非使用私人端點 | 設定私人連結時未使用 |
dc.services.visualstudio.com |
代理程序遙測 | 選擇性,不適用於代理程式 1.24+ 版 | 公開 |
*.<region>.arcdataservices.com1 |
針對 Arc SQL Server。 將數據處理服務、服務遙測和效能監視傳送至 Azure。 允許 TLS 1.3。 | 永遠 | 公開 |
www.microsoft.com/pkiops/certs |
ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 如果使用 Azure Arc 所啟用的 ESU。自動更新一律為必要專案,或手動下載憑證時暫時需要。 | 公開 |
1 針對 2024 年 2 月 13 日和包含的擴充功能版本,請使用 san-af-<region>-prod.azurewebsites.net。 從 2024 年 3 月 12 日開始,Azure Arc 數據處理和 Azure Arc 數據遙測都會使用 *.<region>.arcdataservices.com。
注意
若要將 *.servicebus.windows.net 通配符轉譯為特定端點,請使用 命令 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>。 在此命令中,必須為佔位元指定 <region> 區域。
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2。
例如:*.<region>.arcdataservices.com 在美國東部 2 區域中應為 *.eastus2.arcdataservices.com。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
傳輸層安全性 1.2 通訊協定
為了確保傳輸至 Azure 的數據安全性,強烈建議您將電腦設定為使用傳輸層安全性 (TLS) 1.2。 我們已發現較舊版本的 TLS/安全通訊端層 (SSL) 較易受到攻擊,而且在其目前的運作中仍允許回溯相容性,因此並不建議使用這些版本。
| 平台/語言 | 支援 | 相關資訊 |
|---|---|---|
| Linux | Linux 發行版本通常會依賴 OpenSSL 來取得 TLS 1.2 支援。 | 請檢查 OpenSSL 變更記錄來確認支援的 OpenSSL 版本。 |
| Windows Server 2012 R2 和更新版本 | 支援且預設會啟用。 | 請確認您仍在使用預設設定。 |
僅限 ESU 的端點子集
如果您只針對下列其中一項或兩項產品使用已啟用 Azure Arc 的伺服器來進行延伸安全性更新:
- Windows Server 2012
- SQL Server 2012
您可以啟用下列端點子集:
| 代理程式資源 | 描述 | 需要時 | 搭配私人連結使用的端點 |
|---|---|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 | 僅限安裝期間 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 僅限安裝期間 | 公開 |
login.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 僅限連線或中斷伺服器連線時 | 公用,除非同時設定了資源管理私人連結 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 | 永遠 | 私人 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 | 永遠 | 私人 |
www.microsoft.com/pkiops/certs |
ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 自動更新時一律採用,或手動下載憑證時暫時採用。 | 公開 |
*.<region>.arcdataservices.com |
Azure Arc 數據處理服務和服務遙測。 | SQL Server ESU | 公開 |
如需詳細資訊,請參閱 連線 計算機代理程序網路需求。
Azure Arc 資源橋接器
本節說明在企業中部署 Azure Arc 資源網橋的特定其他網路需求。 這些需求也適用於已啟用 Azure Arc 的 VMware vSphere 和已啟用 Azure Arc 的 System Center Virtual Machine Manager。
輸出連線
下列防火牆和 Proxy URL 必須列入允許清單,才能啟用從管理計算機、設備 VM 及控制平面 IP 到所需 Arc 資源網橋 URL 的通訊。
防火牆/Proxy URL 允許清單
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SFS API 端點 | 443 | msk8s.api.cdp.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 從 SFS 下載產品目錄、產品位和 OS 映像。 |
| 資源網橋 (設備) 映射下載 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 下載 Arc Resource Bridge OS 映像。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 下載 Arc 資源網橋的容器映像。 |
| Windows NTP Server | 123 | time.windows.com |
管理機器和設備 VM IP(如果 Hyper-V 預設值為 Windows NTP),需要在 UDP 上進行輸出連線 | 設備 VM 和管理電腦中的 OS 時間同步處理(Windows NTP)。 |
| Azure Resource Manager | 443 | management.azure.com |
管理機器和設備 VM IP 需要輸出連線。 | 管理 Azure 中的資源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | Azure RBAC 的必要專案。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | login.windows.net |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| 資源網橋 (設備) 數據平面服務 | 443 | *.dp.prod.appliances.azure.com |
設備 VM IP 需要輸出連線。 | 與 Azure 中的資源提供者通訊。 |
| 資源網橋 (設備) 容器映射下載 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像的必要專案。 |
| 受控識別 | 443 | *.his.arc.azure.com |
設備 VM IP 需要輸出連線。 | 需要提取系統指派的受控識別憑證。 |
| 適用於 Kubernetes 的 Azure Arc 容器映像下載 | 443 | azurearcfork8s.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像。 |
| Azure Arc 代理程式 | 443 | k8connecthelm.azureedge.net |
設備 VM IP 需要輸出連線。 | 部署 Azure Arc 代理程式。 |
| ADHS 遙測服務 | 443 | adhs.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 定期從設備 VM 傳送 Microsoft 必要的診斷數據。 |
| Microsoft 事件數據服務 | 443 | v20.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 從 Windows 傳送診斷數據。 |
| Arc Resource Bridge 的記錄收集 | 443 | linuxgeneva-microsoft.azurecr.io |
設備 VM IP 需要輸出連線。 | 設備受控元件的推播記錄。 |
| 資源網橋元件下載 | 443 | kvamanagementoperator.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取設備受控元件的成品。 |
| Microsoft 開放原始碼 套件管理員 | 443 | packages.microsoft.com |
設備 VM IP 需要輸出連線。 | 下載 Linux 安裝套件。 |
| 自訂位置 | 443 | sts.windows.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
設備 VM IP 需要輸出連線。 | Azure Arc 的必要專案。 |
| 自訂位置 | 443 | k8sconnectcsp.azureedge.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| 診斷資料 | 443 | gcs.prod.monitoring.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.microsoftmetrics.com |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| Azure 入口網站 | 443 | *.arc.azure.net |
設備 VM IP 需要輸出連線。 | 從 Azure 入口網站 管理叢集。 |
| Azure CLI 和擴充功能 | 443 | *.blob.core.windows.net |
管理計算機需要輸出連線。 | 下載 Azure CLI 安裝程式和擴充功能。 |
| Azure Arc 代理程式 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理計算機需要輸出連線。 | 用於 Arc 代理程式的數據平面。 |
| Python 套件 | 443 | pypi.org, *.pypi.org |
管理計算機需要輸出連線。 | 驗證 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
管理計算機需要輸出連線。 | 適用於 Azure CLI 安裝的 Python 套件。 |
| SSH | 22 | Arc resource bridge appliance VM IPs |
管理計算機需要輸出連線。 | 用於針對設備 VM 進行疑難解答。 |
| Kubernetes API 伺服器 | 6443 | Arc resource bridge appliance VM IPs |
管理計算機需要輸出連線。 | 設備 VM 的管理。 |
如需詳細資訊,請參閱 Azure Arc 資源橋接器網路需求。
已啟用 Azure Arc 的 System Center Virtual Machine Manager
已啟用 Azure Arc 的 System Center Virtual Machine Manager (SCVMM) 也需要:
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SCVMM 管理伺服器 | 443 | SCVMM 管理伺服器的 URL | 設備 VM IP 和控制平面端點需要輸出連線。 | SCVMM 伺服器用來與設備 VM 和控制平面通訊。 |
如需詳細資訊,請參閱 已啟用Arc的 System Center Virtual Machine Manager 概觀。
已啟用 Azure Arc 的 VMware vSphere
已啟用 Azure Arc 的 VMware vSphere 也需要:
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| vCenter Server | 443 | vCenter 伺服器的 URL | 設備 VM IP 和控制平面端點需要輸出連線。 | vCenter 伺服器用來與設備 VM 和控制平面通訊。 |
如需詳細資訊,請參閱 已啟用 Azure Arc 的 VMware vSphere 支援矩陣。
額外端點
視您的案例而定,您可能需要連線到其他 URL,例如 Azure 入口網站、管理工具或其他 Azure 服務所使用的 URL。 特別是,請檢閱這些清單,以確保您可以允許連線到任何必要的端點: