Netzwerkanforderungen für die Azure Arc-Ressourcenbrücke

Dieser Artikel beschreibt die Netzwerkanforderungen für den Einsatz der Azure Arc-Ressourcenbrücke in Ihrem Unternehmen.

Allgemeine Netzwerkanforderungen

Die ausgehende Kommunikation der Arc-Ressourcenbrücke erfolgt sicher mit Azure Arc über TCP-Port 443. Wenn die Appliance eine Verbindung über eine Firewall oder einen Proxyserver herstellen muss, um über das Internet zu kommunizieren, erfolgt die ausgehende Kommunikation über das HTTP-Protokoll.

Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:

  • Alle Verbindungen sind TCP, sofern nicht anders angegeben.
  • Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
  • Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.

Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.

Anforderungen für ausgehende Konnektivität

Die unten aufgeführten Firewall- und Proxy-URLs müssen in die Positivliste aufgenommen werden, um die Kommunikation vom steuernden Computer, der Appliance-VM und der Steuerungsebenen-IP zu den erforderlichen Arc-Ressourcenbrücken-URLs zu ermöglichen.

Firewall/Proxy-URL-Positivliste

Dienst Port URL Richtung Hinweise
SFS-API-Endpunkt 443 msk8s.api.cdp.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Laden Sie den Produktkatalog, Produktbits und Betriebssystemimages von SFS herunter.
Ressourcenbrücke (Appliance): Image-Download 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Herunterladen der Betriebssystemimages für die Arc-Ressourcenbrücke.
Microsoft Container Registry 443 mcr.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Entdecken Sie Containerimages für Arc Resource Bridge.
Microsoft Container Registry 443 *.data.mcr.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Laden Sie Containerimages für Arc Resource Bridge herunter.
Windows NTP Server 123 time.windows.com Die IP-Adressen von Verwaltungscomputern und Appliance-VMs (bei der Hyper-V-Standardeinstellung Windows NTP) benötigen eine ausgehende Verbindung für UDP Synchronisierung der Betriebssystemzeit auf Appliance-VM und Verwaltungscomputer (Windows NTP).
Azure Resource Manager 443 management.azure.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Verwalten von Ressourcen in Azure.
Microsoft Graph 443 graph.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Erforderlich für Azure RBAC.
Azure Resource Manager 443 login.microsoftonline.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Erforderlich zum Aktualisieren von ARM-Token.
Azure Resource Manager 443 *.login.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Erforderlich zum Aktualisieren von ARM-Token.
Azure Resource Manager 443 login.windows.net Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Erforderlich zum Aktualisieren von ARM-Token.
Ressourcenbrücke (Appliance): Datenebenendienst 443 *.dp.prod.appliances.azure.com Appliance VMs IP benötigen eine ausgehende Verbindung. Kommunizieren mit dem Ressourcenanbieter in Azure.
Ressourcenbrücke (Appliance): Download des Containerimages 443 *.blob.core.windows.net, ecpacr.azurecr.io Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich zum Pullen von Containerimages.
Verwaltete Identität 443 *.his.arc.azure.com Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten.
Download des Containerimages für Azure Arc für Kubernetes 443 azurearcfork8s.azurecr.io Appliance VM IPs benötigen eine ausgehende Verbindung. Pullen von Containerimages.
Azure Arc-Agent 443 k8connecthelm.azureedge.net Appliance VM IPs benötigen eine ausgehende Verbindung. Bereitstellen eines Azure Arc-Agents.
ADHS-Telemetriedienst 443 adhs.events.data.microsoft.com Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten von der VM der Appliance an Microsoft.
Microsoft-Ereignisdatendienst 443 v20.events.data.microsoft.com Appliance VM IPs benötigen eine ausgehende Verbindung. Senden von Diagnosedaten aus Windows.
Protokollsammlung für Arc Resource Bridge 443 linuxgeneva-microsoft.azurecr.io Appliance VM IPs benötigen eine ausgehende Verbindung. Pushprotokolle für von der Appliance verwaltete Komponenten.
Ressourcenbrückenkomponenten herunterladen 443 kvamanagementoperator.azurecr.io Appliance VM IPs benötigen eine ausgehende Verbindung. Pullartefakte für von der Appliance verwaltete Komponenten.
Microsoft Open Source-Paketmanager 443 packages.microsoft.com Appliance VM IPs benötigen eine ausgehende Verbindung. Laden Sie das Linux-Installationspaket herunter.
Benutzerdefinierter Speicherort 443 sts.windows.net Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich für benutzerdefinierten Speicherort.
Azure Arc 443 guestnotificationservice.azure.com Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich für Azure Arc.
Benutzerdefinierter Speicherort 443 k8sconnectcsp.azureedge.net Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich für benutzerdefinierten Speicherort.
Diagnosedaten 443 gcs.prod.monitoring.core.windows.net Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft.
Diagnosedaten 443 *.prod.microsoftmetrics.com Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft.
Diagnosedaten 443 *.prod.hot.ingest.monitor.core.windows.net Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft.
Diagnosedaten 443 *.prod.warm.ingest.monitor.core.windows.net Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft.
Azure-Portal 443 *.arc.azure.net Appliance VM IPs benötigen eine ausgehende Verbindung. Verwalten eines Clusters im Azure-Portal.
Azure CLI und Erweiterung 443 *.blob.core.windows.net Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Laden Sie den Azure CLI Installer und die Erweiterung herunter.
Azure Arc-Agent 443 *.dp.kubernetesconfiguration.azure.com Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Für Arc-Agent verwendete Datenplane.
Python-Paket 443 pypi.org, *.pypi.org Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Validieren Sie Kubernetes- und Python-Versionen.
Azure CLI 443 pythonhosted.org, *.pythonhosted.org Der Verwaltungscomputer benötigt eine ausgehende Verbindung.  Python-Pakete für die Azure CLI-Installation.

Anforderungen für eingehende Konnektivität

Die Kommunikation zwischen den folgenden Ports muss vom Verwaltungscomputer, VM-IPs der Appliance und Steuerebenen-IPs zulässig sein. Stellen Sie sicher, dass diese Ports geöffnet sind und der Datenverkehr nicht über einen Proxy weitergeleitet wird, um die Bereitstellung und Wartung der Arc-Ressourcenbrücke zu erleichtern.

Dienst Port IP/Computer Richtung Hinweise
SSH 22 appliance VM IPs und Management machine Bidirektional Wird zum Bereitstellen und Warten der Appliance-VM verwendet
Kubernetes-API-Server 6443 appliance VM IPs und Management machine Bidirektional Verwaltung der Appliance-VM
SSH 22 control plane IP und Management machine Bidirektional Wird zum Bereitstellen und Warten der Appliance-VM verwendet
Kubernetes-API-Server 6443 control plane IP und Management machine Bidirektional Verwaltung der Appliance-VM
HTTPS 443 private cloud control plane address und Management machine Der Verwaltungscomputer benötigt eine ausgehende Verbindung.  Kommunikation mit Steuerebene (z. B. VMware vCenter-Adresse).

Hinweis

Die hier aufgeführten URLs sind nur für die Arc-Ressourcenbrücke erforderlich. Für andere Arc-Produkte (z. B. VMware vSphere mit Arc-Unterstützung) sind möglicherweise zusätzliche URLs erforderlich. Ausführliche Informationen finden Sie unter Azure Arc-Netzwerkanforderungen.

Designierte IP-Bereiche für die Arc-Ressourcenbrücke

Bei der Bereitstellung der Arc-Ressourcenbrücke sind bestimmte IP-Bereiche ausschließlich für die Kubernetes-Pods und -Dienste auf der Appliance-VM reserviert. Diese internen IP-Bereiche dürfen sich nicht mit Konfigurationseingaben für die Ressourcenbrücke überschneiden, z. B. IP-Adresspräfix, IP-Adresse der Steuerungsebene, VM-IP--Adressen der Appliance, DNS-Server, Proxyserver oder vSphere ESXi-Hosts. Ausführliche Informationen zur Konfiguration der Arc-Ressourcenbrücke finden Sie in den Systemanforderungen.

Hinweis

Diese designierten IP-Bereiche werden nur intern innerhalb der Arc-Ressourcenbrücke verwendet. Sie wirken sich nicht auf Azure-Ressourcen oder -Netzwerke aus.

Dienst Designierter IP-Bereich
Kubernetes-Pods der Arc-Ressourcenbrücke 10.244.0.0/16
Kubernetes-Dienste der Arc-Ressourcenbrücke 10.96.0.0/12

Konfiguration des SSL-Proxys

Wichtig

Arc Resource Bridge unterstützt nur direkte (explizite) Proxys, einschließlich nicht authentifizierter Proxys, Proxys mit Standardauthentifizierung, SSL-Endproxys und SSL-Passthroughproxys.

Bei Verwendung eines Proxys muss Azure Resource Bridge so konfiguriert werden, dass der Proxy verwendet wird, um eine Verbindung mit Azure-Diensten herzustellen.

  • Um die Arc-Ressourcenbrücke mit Proxy zu konfigurieren, geben Sie bei der Erstellung der Konfigurationsdateien den Dateipfad für das Proxyzertifikat an.

  • Das Format der Zertifikatdatei ist Base-64-codiert X.509 (.CER).

  • Übergeben Sie nur das einzige Proxyzertifikat. Wenn ein Zertifikatsbündel übergeben wird, schlägt die Bereitstellung fehl.

  • Der Proxyserverendpunkt kann keine .local-Domäne sein.

  • Der Proxyserver muss von allen IPs innerhalb des IP-Adresspräfixes erreichbar sein, einschließlich der IPs der Steuerungsebene und der VM der Appliance.

Es gibt nur zwei Zertifikate, die beim Einsatz der Arc-Ressourcenbrücke hinter einem SSL-Proxy relevant sein sollten:

  • SSL-Zertifikat für Ihren SSL-Proxy (damit der Verwaltungscomputer und die Appliance-VM Ihrem Proxy-FQDN vertrauen und eine SSL-Verbindung zu ihm herstellen können)

  • SSL-Zertifikat der Microsoft-Downloadserver. Dieses Zertifikat muss für Ihren Proxyserver selbst vertrauenswürdig sein, da der Proxy die endgültige Verbindung festlegt und dem Endpunkt vertrauen muss. Nicht-Windows-Computer vertrauen möglicherweise nicht standardmäßig diesem zweiten Zertifikat, sodass Sie sicherstellen müssen, dass es vertrauenswürdig ist.

Für die Bereitstellung der Arc-Ressourcenbrücke müssen die Images auf den Verwaltungscomputer heruntergeladen und anschließend in die lokale private Cloudgalerie hochgeladen werden. Wenn Ihr Proxyserver die Downloadgeschwindigkeit drosselt, können Sie die erforderlichen Bilder (~3,5 GB) möglicherweise nicht in der vorgegebenen Zeit (90 Minuten) herunterladen.

Ausschlussliste für keine Vollmacht

Wenn ein Proxyserver verwendet wird, enthält die folgende Tabelle die Liste der Adressen, die durch Konfiguration der noProxynstellungen vom Proxy ausgeschlossen werden sollten.

IP-Adresse Ausschlussgrund
Localhost, 127.0.0.1 Localhost-Datenverkehr
SVC Interner Datenverkehr des Kubernetes-Diensts (.svc), wobei .svc einen Platzhalternamen darstellt. Dies ist vergleichbar mit „*.svc“, aber dies wird in diesem Schema nicht verwendet.
10.0.0.0/8 Adressraum des privaten Netzwerks
172.16.0.0/12 Adressraum des privaten Netzwerks: CIDR für Kubernetes-Dienst
192.168.0.0/16 Adressraum des privaten Netzwerks: CIDR für Kubernetes-Pod
contoso.com. Sie können Ihren Unternehmensnamespace (.contoso.com) davon ausschließen, durch den Proxy geleitet zu werden. Um alle Adressen in einer Domäne auszuschließen, müssen Sie die Domäne der Liste noProxy hinzufügen. Verwenden Sie anstelle eines Platzhalterzeichens (*) einen führenden Punkt. Im Beispiel schließen die Adressen .contoso.com die Adressen prefix1.contoso.com, prefix2.contoso.com und so weiter aus.

Der Standardwert für noProxy ist localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Wenngleich diese Standardwerte für viele Netzwerke funktionieren, müssen Sie möglicherweise weitere Subnetzbereiche und/oder Namen zur Ausschlussliste hinzufügen. Sie können z. B. Ihren Unternehmensnamespace (.contoso.com) davon ausschließen, durch den Proxy geleitet zu werden. Dies können Sie erreichen, indem Sie die Werte in der noProxy-Liste angeben.

Wichtig

Wenn Sie mehrere Adressen für die noProxynstellungen auflisten, fügen Sie nicht nach jedem Komma ein Leerzeichen ein, um die Adressen zu trennen. Die Adressen müssen unmittelbar nach den Kommata stehen.

Interne Portüberwachung

Beachten Sie, dass die Appliance-VM so konfiguriert ist, dass sie an den folgenden Ports lauscht. Diese Ports werden ausschließlich für interne Prozesse verwendet und erfordern keinen externen Zugriff:

  • 8443 – Endpunkt für Microsoft Entra-Authentifizierungswebhook
  • 10257: Endpunkt für Arc-Ressourcenbrückenmetriken
  • 10250: Endpunkt für Arc-Ressourcenbrückenmetriken
  • 2382: Endpunkt für Arc-Ressourcenbrückenmetriken

Nächste Schritte