Azure Arc 資源網橋網路需求
本文說明在企業中部署 Azure Arc 資源網橋的網路需求。
一般網路需求
Arc 資源網橋會透過 TCP 連接埠 443 安全地將輸出通訊至 Azure Arc。 如果設備需要透過防火牆或 Proxy 伺服器連線以透過網際網路通訊,則會使用 HTTPS 通訊協定來通訊輸出。
一般而言,連線需求包括下列原則:
- 除非另有指定,否則所有連線都是 TCP。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 除非另有指定,否則所有連線都會輸出。
若要使用 Proxy,請確認執行上線程式的代理程式和電腦符合本文中的網路需求。
輸出連線
下列防火牆和 Proxy URL 必須列入允許清單,才能啟用從管理計算機、設備 VM 及控制平面 IP 到所需 Arc 資源網橋 URL 的通訊。
防火牆/Proxy URL 允許清單
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SFS API 端點 | 443 | msk8s.api.cdp.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 從 SFS 下載產品目錄、產品位和 OS 映像。 |
| 資源網橋 (設備) 映射下載 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 下載 Arc Resource Bridge OS 映像。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 下載 Arc 資源網橋的容器映像。 |
| Windows NTP Server | 123 | time.windows.com |
管理機器和設備 VM IP(如果 Hyper-V 預設值為 Windows NTP),需要在 UDP 上進行輸出連線 | 設備 VM 和管理電腦中的 OS 時間同步處理(Windows NTP)。 |
| Azure Resource Manager | 443 | management.azure.com |
管理機器和設備 VM IP 需要輸出連線。 | 管理 Azure 中的資源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | Azure RBAC 的必要專案。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | login.windows.net |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| 資源網橋 (設備) 數據平面服務 | 443 | *.dp.prod.appliances.azure.com |
設備 VM IP 需要輸出連線。 | 與 Azure 中的資源提供者通訊。 |
| 資源網橋 (設備) 容器映射下載 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像的必要專案。 |
| 受控識別 | 443 | *.his.arc.azure.com |
設備 VM IP 需要輸出連線。 | 需要提取系統指派的受控識別憑證。 |
| 適用於 Kubernetes 的 Azure Arc 容器映像下載 | 443 | azurearcfork8s.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像。 |
| Azure Arc 代理程式 | 443 | k8connecthelm.azureedge.net |
設備 VM IP 需要輸出連線。 | 部署 Azure Arc 代理程式。 |
| ADHS 遙測服務 | 443 | adhs.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 定期從設備 VM 傳送 Microsoft 必要的診斷數據。 |
| Microsoft 事件數據服務 | 443 | v20.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 從 Windows 傳送診斷數據。 |
| Arc Resource Bridge 的記錄收集 | 443 | linuxgeneva-microsoft.azurecr.io |
設備 VM IP 需要輸出連線。 | 設備受控元件的推播記錄。 |
| 資源網橋元件下載 | 443 | kvamanagementoperator.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取設備受控元件的成品。 |
| Microsoft 開放原始碼 套件管理員 | 443 | packages.microsoft.com |
設備 VM IP 需要輸出連線。 | 下載 Linux 安裝套件。 |
| 自訂位置 | 443 | sts.windows.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
設備 VM IP 需要輸出連線。 | Azure Arc 的必要專案。 |
| 自訂位置 | 443 | k8sconnectcsp.azureedge.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| 診斷資料 | 443 | gcs.prod.monitoring.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.microsoftmetrics.com |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| Azure 入口網站 | 443 | *.arc.azure.net |
設備 VM IP 需要輸出連線。 | 從 Azure 入口網站 管理叢集。 |
| Azure CLI 和擴充功能 | 443 | *.blob.core.windows.net |
管理計算機需要輸出連線。 | 下載 Azure CLI 安裝程式和擴充功能。 |
| Azure Arc 代理程式 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理計算機需要輸出連線。 | 用於 Arc 代理程式的數據平面。 |
| Python 套件 | 443 | pypi.org, *.pypi.org |
管理計算機需要輸出連線。 | 驗證 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
管理計算機需要輸出連線。 | 適用於 Azure CLI 安裝的 Python 套件。 |
| SSH | 22 | Arc resource bridge appliance VM IPs |
管理計算機需要輸出連線。 | 用於針對設備 VM 進行疑難解答。 |
| Kubernetes API 伺服器 | 6443 | Arc resource bridge appliance VM IPs |
管理計算機需要輸出連線。 | 設備 VM 的管理。 |
注意
此處所列的 URL 僅適用於 Arc 資源網橋。 其他 Arc 產品(例如已啟用 Arc 的 VMware vSphere)可能會有額外的必要 URL。 如需詳細資訊,請參閱 Azure Arc 網路需求。
SSL Proxy 設定
如果使用 Proxy,則必須針對 Proxy 設定 Arc 資源網橋,才能連線到 Azure 服務。
若要使用 Proxy 設定 Arc 資源網橋,請在建立組態檔期間提供 Proxy 憑證檔案路徑。
憑證檔案的格式為 Base-64編碼的 X.509 (。CER).
只傳遞單一 Proxy 憑證。 如果傳遞憑證套件組合,部署將會失敗。
Proxy 伺服器端點不能是
.local網域。Proxy 伺服器必須可從IP位址前綴內的所有IP連線,包括控制平面和設備 VM IP。
在 SSL Proxy 後方部署 Arc 資源網橋時,只有兩個憑證應該相關:
SSL Proxy 的 SSL 憑證(讓管理機器和設備 VM 信任您的 Proxy FQDN,並可建立與其建立 SSL 連線)
Microsoft 下載伺服器的 SSL 憑證。 您的 Proxy 伺服器本身必須信任此憑證,因為 Proxy 是建立最終連線且需要信任端點的憑證。 根據預設,非 Windows 計算機可能不會信任此第二個憑證,因此您可能需要確定其受信任。
若要部署 Arc 資源網橋,必須將映像下載到管理計算機,然後上傳至內部部署私人雲端資源庫。 如果您的 Proxy 伺服器節流下載速度,您可能無法在分配時間 (90 分鐘) 內下載所需的映射 (~3.5 GB)。
無 Proxy 的排除清單
如果使用 Proxy 伺服器,下表會透過 noProxy 設定設定,包含應該從 Proxy 排除的位址清單。
| IP 位址 | 排除的原因 |
|---|---|
| localhost,127.0.0.1 | Localhost 流量 |
| 。Svc | 內部 Kubernetes 服務流量 (.svc),其中 .svc 代表通配符名稱。 這類似於說 *.svc,但此架構中不會使用任何專案。 |
| 10.0.0.0/8 | 專用網位址空間 |
| 172.16.0.0/12 | 專用網位址空間 - Kubernetes Service CIDR |
| 192.168.0.0/16 | 專用網位址空間 - Kubernetes Pod CIDR |
| .contoso.com | 您可能想要豁免企業命名空間 (.contoso.com) 無法透過 Proxy 導向。 若要排除網域中的所有位址,您必須將網域新增至 noProxy 清單。 使用前置句點,而不是通配符 。 在範例中,位址 .contoso.com 會排除位址 prefix1.contoso.com、 prefix2.contoso.com等。 |
noProxy 的預設值為 localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。 雖然這些預設值適用於許多網路,但您可能需要將更多子網範圍和/或名稱新增至豁免清單。 例如,您可能想要豁免企業命名空間 (.contoso.com) 無法透過 Proxy 導向。 您可以藉由在清單中指定值 noProxy 來達成此目的。
重要
列出設定的 noProxy 多個位址時,請勿在每個逗號後面新增空格來分隔位址。 地址必須緊接在逗號後面。
內部埠接聽
請注意,您應該注意設備 VM 已設定為接聽下列埠。 這些埠專門用於內部進程,而且不需要外部存取:
8443 – AAD 驗證 Webhook 的端點
10257 – Arc 資源網橋計量的端點
10250 – Arc 資源網橋計量的端點
2382 – Arc 資源網橋計量的端點
下一步
- 請參閱 Azure Arc 資源橋接器 (預覽),深入瞭解相關需求和技術詳細資料。
- 瞭解 Azure Arc 資源網橋的安全性設定和考慮。
- 檢視 網路問題的疑難解答秘訣。