Share via


Azure Arc 網路需求

本文列出已啟用 Azure Arc 的服務與功能所需的端點、埠和通訊協定。

一般而言,連線需求包括下列準則:

  • 所有連線皆為 TCP,除非另有指定。
  • 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
  • 所有連線皆為輸出,除非另有指定。

若要使用 Proxy,請確認執行上線程序的代理程式和機器符合本文中的網路需求。

已啟用 Azure Arc 的 Kubernetes 端點

所有 Kubernetes 型 Arc 供應專案都需要對 Arc Kubernetes 型端點 連線,包括:

  • 已啟用 Azure Arc 的 Kubernetes
  • 已啟用 Azure Arc 的應用程式服務
  • 已啟用 Azure Arc 的 Machine Learning
  • 已啟用 Azure Arc 的數據服務(僅限直接連線模式)

重要

下列輸出 URL 必須透過 https://:443,Azure Arc 代理程式才能運作。 若是 *.servicebus.windows.net,必須在防火牆和 Proxy 上啟用 websocket 才能進行輸出存取。

端點 (DNS) 描述
https://management.azure.com 代理程式連線到 Azure 並註冊叢集時所需。
https://<region>.dp.kubernetesconfiguration.azure.com 代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
擷取和更新 Azure Resource Manager 權杖的必要項目。
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
提取 Azure Arc 代理程式的容器映像時所需。
https://gbl.his.arc.azure.com 取得區域端點以提取系統指派受控識別憑證的必要項目。
https://*.his.arc.azure.com 提取系統指派受控識別憑證的必要項目。
https://k8connecthelm.azureedge.net az connectedk8s connect 使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點來輔助部署代理程式的 Helm 圖表。
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
適用於叢集連線自訂位置類型的案例。
*.servicebus.windows.net 適用於叢集連線自訂位置類型的案例。
https://graph.microsoft.com/ 設定 Azure RBAC 的必要項目。
*.arc.azure.net 在 Azure 入口網站中管理已連線的叢集時,為必要項目。
https://<region>.obo.arc.azure.com:8084/ 設定叢集連線時,為必要項目。
dl.k8s.io 啟用自動代理程式升級時,為必要項目。

若要將 *.servicebus.windows.net 萬用字元轉譯為特定端點,請使用命令:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2

例如:在美國東部 2 區域中,*.<region>.arcdataservices.com 應為 *.eastus2.arcdataservices.com

若要查看所有區域的清單,請執行此命令:

az account list-locations -o table
Get-AzLocation | Format-Table

如需詳細資訊,請參閱 已啟用 Azure Arc 的 Kubernetes 網路需求

已啟用 Azure Arc 的資料服務

本節說明已啟用 Azure Arc 之數據服務的特定需求,除了上述已啟用 Arc 的 Kubernetes 端點之外。

服務 通訊埠 URL 方向 注意事項
Helm 圖表 (僅限直接連線模式) 443 arcdataservicesrow1.azurecr.io 輸出 從 Azure Container Registry 提取而來,以佈建 Azure Arc 資料控制器啟動載入器和叢集等級物件,例如自訂資源定義、叢集角色和叢集角色繫結。
Azure 監視 API * 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
輸出 Azure Data Studio 和 Azure CLI 會連線至 Azure Resource Manager API,以針對某些功能向 Azure 傳送資料和從 Azure 擷取資料。 請參閱 Azure 監視器 API
Azure Arc 資料處理服務 * 443 *.<region>.arcdataservices.com2 輸出

1 需求取決於部署模式:

  • 針對直接模式,Kubernetes 叢集上的控制器 Pod 必須具有端點的輸出連線能力,才能將記錄、計量、清查和計費資訊傳送至 Azure 監視器/資料處理服務。
  • 針對間接模式,執行 az arcdata dc upload 的機器必須具有 Azure 監視器和資料處理服務的輸出連線能力。

2 針對 2024 年 2 月 13 日和包含的擴充功能版本,請使用 san-af-<region>-prod.azurewebsites.net

Azure 監視器 API

從 Azure Data Studio 到 Kube API 伺服器的連線能力會使用您已建立的 Kube 驗證和加密。 使用 Azure Data Studio 或 CLI 的每個使用者都必須具有 Kube API 的已驗證連線,才能執行與已啟用 Azure Arc 資料服務相關的各種動作。

如需詳細資訊,請參閱連線模式和需求

已啟用 Azure Arc 的伺服器 (英文)

需要 連線 已啟用 Arc 的伺服器端點:

  • 已啟用 Azure Arc 的 SQL Server

  • 已啟用 Azure Arc 的 VMware vSphere *

  • 已啟用 Azure Arc 的 System Center Virtual Machine Manager *

  • 已啟用 Azure Arc 的 Azure Stack (HCI) *

    *只有啟用來賓管理才需要。

所有伺服器型 Arc 供應項目都需要已啟用 Azure Arc 的伺服器端點。

網路設定

適用於 Linux 和 Windows 的 Azure Connected Machine 代理程式會透過 TCP 連接埠 443,安全地將訊息輸出到 Azure Arc。 根據預設,代理程式會使用網際網路的預設路由來連線到 Azure 服務。 如果您的網路需要,您可以選擇性地設定代理程式使用 Proxy 伺服器。 Proxy 伺服器不會讓 Connected Machine 代理程式變得更安全,因為流量已經加密。

若要進一步保護您的 Azure Arc 網路連線,而不是使用公用網路和 Proxy 伺服器,您可以實作 Azure Arc 私人連結範圍

注意

已啟用 Azure Arc 的伺服器不支援使用 Log Analytics 閘道作為 Connected Machine 代理程式的 Proxy。 同時,Azure 監視器代理程序支援 Log Analytics 閘道。

如果您的防火牆或 Proxy 伺服器已限制輸出連線,請確定下面所列的 URL 和服務標籤未遭到封鎖。

服務標籤

請確定允許存取下列服務標籤:

如需每個服務標籤/區域的 IP 位址清單,請參閱 JSON 檔案:Azure IP 範圍和服務標籤 – 公用雲端。 Microsoft 會發佈每週更新,其中包含每個 Azure 服務和其使用的 IP 範圍。 JSON 檔案中的這項資訊是與每個服務標籤相對應之 IP 範圍的目前時間點清單。 IP 位址可能會變更。 如果您的防火牆設定需要 IP 位址範圍,則應該使用 AzureCloud 服務標籤來允許存取所有 Azure 服務。 請勿停用這些 URL 的安全性監視或檢查,但允許這些 URL,如同其他網際網路流量。

如果您篩選 AzureArcInfrastructure 服務標籤的流量,則必須允許流量進入完整的服務卷標範圍。 針對個別區域公告的範圍,例如 AzureArcInfrastructure.AustraliaEast,不包含服務全域元件所使用的 IP 範圍。 針對這些端點解析的特定IP位址可能會隨著時間在記載範圍內變更,因此只要使用查閱工具來識別指定端點的目前IP位址,並允許存取該位址並不足以確保可靠的存取。

如需詳細資訊,請參閱虛擬網路服務標籤

URL

下表列出為了安裝和使用 Connected Machine 代理程式,必須可供使用的 URL。

注意

設定 Azure 連線機器代理程式以透過私人連結與 Azure 通訊時,某些端點仍必須透過網際網路存取。 下表中的「搭配私人連結使用的端點」資料行顯示了哪些端點可以設定私人端點。 如果該資料行針對端點顯示公用,您仍必須允許透過組織的防火牆和/或 Proxy 伺服器存取該端點,代理程式才能正常運作。

代理程式資源 描述 需要時 搭配私人連結使用的端點
aka.ms 用來在安裝期間解析下載指令碼 僅限安裝期間 公開
download.microsoft.com 用來下載 Windows 安裝套件 僅限安裝期間 公開
packages.microsoft.com 用來下載 Linux 安裝套件 僅限安裝期間 公開
login.windows.net Microsoft Entra ID 永遠 公開
login.microsoftonline.com Microsoft Entra ID 永遠 公開
pas.windows.net Microsoft Entra ID 永遠 公開
management.azure.com Azure Resource Manager - 建立或刪除 Arc 伺服器資源 僅限連線或中斷伺服器連線時 公用,除非同時設定了資源管理私人連結
*.his.arc.azure.com 中繼資料和混合式識別服務 永遠 私人
*.guestconfiguration.azure.com 延伸模組管理和客體設定服務 永遠 私人
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com 延伸模組和連線案例的通知服務 永遠 公開
azgn*.servicebus.windows.net 延伸模組和連線案例的通知服務 永遠 公開
*.servicebus.windows.net 用於 Windows Admin Center 和 SSH 案例 如果從 Azure 使用 SSH 或 Windows Admin Center 公開
*.waconazure.com 適用於 Windows Admin Center 連線 如果使用 Windows Admin Center 公開
*.blob.core.windows.net 已啟用 Azure Arc 的伺服器延伸模組的下載來源 一律,使用私人端點時除外 設定私人連結時不使用
dc.services.visualstudio.com 代理程式遙測 選用性,在代理程式 1.24+ 版中不使用 公開
*.<region>.arcdataservices.com1 針對 Arc SQL Server。 將數據處理服務、服務遙測和效能監視傳送至 Azure。 允許 TLS 1.3。 永遠 公開
www.microsoft.com/pkiops/certs 進行 ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) 如果使用 Azure Arc 所啟用的 ESU。自動更新一律需要,如果手動下載憑證則暫時需要。 公開

1 針對 2024 年 2 月 13 日和包含的擴充功能版本,請使用 san-af-<region>-prod.azurewebsites.net從 2024 年 3 月 12 日開始,Azure Arc 數據處理和 Azure Arc 數據遙測都會使用 *.<region>.arcdataservices.com

注意

若要將 *.servicebus.windows.net 萬用字元轉譯為特定端點,請使用命令 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>。 在此命令內,必須指定 <region> 預留位置的區域。

若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2

例如:在美國東部 2 區域中,*.<region>.arcdataservices.com 應為 *.eastus2.arcdataservices.com

若要查看所有區域的清單,請執行此命令:

az account list-locations -o table
Get-AzLocation | Format-Table

傳輸層安全性 1.2 通訊協定

為了確保資料傳送至 Azure 時的安全性,我們強烈建議您將機器設定為使用傳輸層安全性 (TLS) 1.2。 我們已發現較舊版本的 TLS/安全通訊端層 (SSL) 較易受到攻擊,而且在其目前的運作中仍允許回溯相容性,因此並不建議使用這些版本。

平台/語言 支援 相關資訊
Linux Linux 發行版本通常會依賴 OpenSSL 來取得 TLS 1.2 支援。 請檢查 OpenSSL 變更記錄來確認支援的 OpenSSL 版本。
Windows Server 2012 R2 及更高版本 支援且預設會啟用。 請確認您仍在使用預設設定

僅限進行 ESU 的端點子集

如果您只針對下列其中一項或兩項產品使用已啟用 Azure Arc 的伺服器來進行延伸安全性更新:

  • Windows Server 2012
  • SQL Server 2012

您可以啟用下列端點子集:

代理程式資源 描述 需要時 搭配私人連結使用的端點
aka.ms 用來在安裝期間解析下載指令碼 僅限安裝期間 公開
download.microsoft.com 用來下載 Windows 安裝套件 僅限安裝期間 公開
login.windows.net Microsoft Entra ID 永遠 公開
login.microsoftonline.com Microsoft Entra ID 永遠 公開
management.azure.com Azure Resource Manager - 建立或刪除 Arc 伺服器資源 僅限連線或中斷伺服器連線時 公用,除非同時設定了資源管理私人連結
*.his.arc.azure.com 中繼資料和混合式識別服務 永遠 私人
*.guestconfiguration.azure.com 延伸模組管理和客體設定服務 永遠 私人
www.microsoft.com/pkiops/certs 進行 ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) 自動更新時一律採用,或手動下載憑證時暫時採用。 公開
*.<region>.arcdataservices.com Azure Arc 數據處理服務和服務遙測。 SQL Server ESU 公開

如需詳細資訊,請參閱 連線 計算機代理程序網路需求

Azure Arc 資源橋接器

本節說明在企業中部署 Azure Arc 資源網橋的特定其他網路需求。 這些需求也適用於已啟用 Azure Arc 的 VMware vSphere 和已啟用 Azure Arc 的 System Center Virtual Machine Manager。

輸出連線需求

以下防火牆和 Proxy URL 必須列入允許清單中,才能啟用從管理機器、設備 VM 及控制平面 IP 到必要 Arc 資源橋接器 URL 的通訊。

防火牆/Proxy URL 允許清單

服務 通訊埠 URL 方向 注意事項
SFS API 端點 443 msk8s.api.cdp.microsoft.com 管理機器與設備 VM IP 需要輸出連線。 從 SFS 下載產品目錄、產品位元和 OS 映像。
資源橋接器 (設備) 映像下載 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com 管理機器與設備 VM IP 需要輸出連線。 下載 Arc Resource Bridge OS 映射。
Microsoft Container Registry 443 mcr.microsoft.com 管理機器與設備 VM IP 需要輸出連線。 下載 Arc 資源橋接器的容器映像。
Windows NTP 伺服器 123 time.windows.com 管理機器和設備 VM IP(如果 Hyper-V 預設值為 Windows NTP),需要在 UDP 上進行輸出連線 設備 VM 與管理機器 (Windows NTP) 中的 OS 時間同步。
Azure Resource Manager 443 management.azure.com 管理機器與設備 VM IP 需要輸出連線。 管理 Azure 中的資源。
Microsoft Graph 443 graph.microsoft.com 管理機器與設備 VM IP 需要輸出連線。 Azure RBAC 的必要專案。
Azure Resource Manager 443 login.microsoftonline.com 管理機器與設備 VM IP 需要輸出連線。 需要更新 ARM 令牌。
Azure Resource Manager 443 *.login.microsoft.com 管理機器與設備 VM IP 需要輸出連線。 需要更新 ARM 令牌。
Azure Resource Manager 443 login.windows.net 管理機器與設備 VM IP 需要輸出連線。 需要更新 ARM 令牌。
資源橋接器 (設備) 資料平面服務 443 *.dp.prod.appliances.azure.com 設備 VM IP 需要輸出連線。 與 Azure 中的資源提供者通訊。
資源橋接器 (設備) 容器映像下載 443 *.blob.core.windows.net, ecpacr.azurecr.io 設備 VM IP 需要輸出連線。 提取容器映像的必要項目。
受控識別 443 *.his.arc.azure.com 設備 VM IP 需要輸出連線。 提取系統指派受控識別憑證的必要項目。
適用於 Kubernetes 的 Azure Arc 容器映像下載 443 azurearcfork8s.azurecr.io 設備 VM IP 需要輸出連線。 提取容器映像。
Azure Arc 代理程式 443 k8connecthelm.azureedge.net 設備 VM IP 需要輸出連線。 部署 Azure Arc 代理程式。
ADHS 遙測服務 443 adhs.events.data.microsoft.com 設備 VM IP 需要輸出連線。 定期從設備 VM 傳送 Microsoft 所需的診斷資料。
Microsoft 事件資料服務 443 v20.events.data.microsoft.com 設備 VM IP 需要輸出連線。 從 Windows 傳送診斷數據。
Arc 資源橋接器的記錄集合 443 linuxgeneva-microsoft.azurecr.io 設備 VM IP 需要輸出連線。 推送設備受控元件的記錄。
資源橋接器元件下載 443 kvamanagementoperator.azurecr.io 設備 VM IP 需要輸出連線。 提取設備受控元件的成品。
Microsoft 開放原始碼套件管理員 443 packages.microsoft.com 設備 VM IP 需要輸出連線。 下載 Linux 安裝套件。
自訂位置 443 sts.windows.net 設備 VM IP 需要輸出連線。 自定義位置的必要專案。
Azure Arc 443 guestnotificationservice.azure.com 設備 VM IP 需要輸出連線。 Azure Arc 的必要專案。
自訂位置 443 k8sconnectcsp.azureedge.net 設備 VM IP 需要輸出連線。 自定義位置的必要專案。
診斷資料 443 gcs.prod.monitoring.core.windows.net 設備 VM IP 需要輸出連線。 定期傳送 Microsoft 所需的診斷資料。
診斷資料 443 *.prod.microsoftmetrics.com 設備 VM IP 需要輸出連線。 定期傳送 Microsoft 所需的診斷資料。
診斷資料 443 *.prod.hot.ingest.monitor.core.windows.net 設備 VM IP 需要輸出連線。 定期傳送 Microsoft 所需的診斷資料。
診斷資料 443 *.prod.warm.ingest.monitor.core.windows.net 設備 VM IP 需要輸出連線。 定期傳送 Microsoft 所需的診斷資料。
Azure 入口網站 443 *.arc.azure.net 設備 VM IP 需要輸出連線。 從 Azure 入口網站 管理叢集。
Azure CLI 和擴充功能 443 *.blob.core.windows.net 管理機器需要輸出連線。 下載 Azure CLI 安裝程式和擴充功能。
Azure Arc 代理程式 443 *.dp.kubernetesconfiguration.azure.com 管理機器需要輸出連線。 用於 Arc 代理程式的數據平面。
Python 套件 443 pypi.org, *.pypi.org 管理機器需要輸出連線。 驗證 Kubernetes 和 Python 版本。
Azure CLI 443 pythonhosted.org, *.pythonhosted.org 管理機器需要輸出連線。  適用於 Azure CLI 安裝的 Python 套件。

輸入連線需求

您必須在防火牆/Proxy 中列出下列埠,才能啟用管理計算機、設備 VM IP 和控制平面 IP 之間的通訊。 請確定這些埠已開啟,以利Arc資源網橋的部署和維護。

服務 通訊埠 URL 方向 注意事項
SSH 22 appliance VM IPsManagement machine 雙向 用於部署和維護設備 VM。
Kubernetes API 伺服器 6443 appliance VM IPsManagement machine 雙向 設備 VM 的管理。
HTTPS 443 private cloud management console 管理機器需要輸出連線。  與管理控制台通訊(例如 VMware vCenter Server)。

如需詳細資訊,請參閱 Azure Arc 資源橋接器網路需求

已啟用 Azure Arc 的 System Center Virtual Machine Manager

已啟用 Azure Arc 的 System Center Virtual Machine Manager (SCVMM) 也需要:

服務 通訊埠 URL 方向 注意事項
SCVMM 管理伺服器 443 SCVMM 管理伺服器的 URL 設備 VM IP 和控制平面端點都需要輸出連線。 供 SCVMM 伺服器用來與設備 VM 和控制平面通訊。

如需詳細資訊,請參閱 已啟用Arc的 System Center Virtual Machine Manager 概觀。

已啟用 Azure Arc 的 VMware vSphere

已啟用 Azure Arc 的 VMware vSphere 也需要:

服務 通訊埠 URL 方向 注意事項
vCenter Server 443 vCenter Server 的 URL 設備 VM IP 和控制平面端點都需要輸出連線。 供 vCenter Server 用來與設備 VM 和控制平面通訊。

如需詳細資訊,請參閱 已啟用 Azure Arc 的 VMware vSphere 支援矩陣。

額外端點

視您的案例而定,您可能需要連線到其他 URL,例如 Azure 入口網站、管理工具或其他 Azure 服務所使用的 URL。 特別是,請檢閱這些清單,確保您允許連線到任何必要的端點: