Azure Arc 네트워크 요구 사항
이 문서에서는 Azure Arc 지원 서비스 및 기능에 필요한 엔드포인트, 포트 및 프로토콜을 나열합니다.
일반적으로 연결 요구 사항에는 다음 원칙이 포함됩니다.
- 달리 지정하지 않는 한 모든 연결은 TCP입니다.
- 모든 HTTP 연결은 공식적으로 서명되고 확인 가능한 인증서와 함께 HTTPS 및 SSL/TLS를 사용합니다.
- 달리 지정하지 않는 한 모든 연결은 아웃바운드입니다.
프록시를 사용하려면 온보딩 프로세스를 수행하는 에이전트와 컴퓨터가 이 문서의 네트워크 요구 사항을 충족하는지 확인합니다.
Azure Arc 지원 Kubernetes 엔드포인트
Arc Kubernetes 기반 엔드포인트에 대한 연결은 다음을 비롯한 모든 Kubernetes 기반 Arc 제품에 필요합니다.
- Azure Arc 지원 Kubernetes
- Azure Arc 지원 App Services
- Azure Arc 지원 기계 학습
- Azure Arc 지원 데이터 서비스(직접 연결 모드에만 해당)
Important
Azure Arc 에이전트가 작동하려면 함수에 대한 https://:443에서 다음 아웃바운드 URL이 필요합니다.
*.servicebus.windows.net의 경우 방화벽 및 프록시에 대한 아웃바운드 액세스에 대해 websocket을 사용하도록 설정해야 합니다.
| 엔드포인트(DNS) | 설명 |
|---|---|
https://management.azure.com |
에이전트가 Azure에 연결하고 클러스터를 등록하는 데 필요합니다. |
https://<region>.dp.kubernetesconfiguration.azure.com |
에이전트가 상태를 푸시하고 구성 정보를 가져오기 위한 데이터 평면 엔드포인트. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Azure Resource Manager 토큰을 가져오고 업데이트하는 데 필요합니다. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Azure Arc 에이전트의 컨테이너 이미지를 끌어오는 데 필요합니다. |
https://gbl.his.arc.azure.com |
시스템 할당 MSI(Managed Identity 증명서) 인증서를 끌어오기 위한 지역 엔드포인트를 가져오는 데 필요합니다. |
https://*.his.arc.azure.com |
시스템이 할당한 관리 ID 인증서를 가져오는 데 필요합니다. |
https://k8connecthelm.azureedge.net |
az connectedk8s connect는 Helm 3를 사용하여 Kubernetes 클러스터에 Azure Arc 에이전트를 배포합니다. 이 엔드포인트는 에이전트 Helm 차트의 배포를 용이하게 하기 위해 Helm 클라이언트 다운로드에 필요합니다. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.nethttps://k8sconnectcsp.azureedge.net |
클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우. |
*.servicebus.windows.net |
클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우. |
https://graph.microsoft.com/ |
Azure RBAC가 구성될 때 필요합니다. |
*.arc.azure.net |
Azure Portal에서 연결된 클러스터를 관리하는 데 필요합니다. |
https://<region>.obo.arc.azure.com:8084/ |
클러스터 연결을 구성할 때 필요합니다. |
https://linuxgeneva-microsoft.azurecr.io |
Azure Arc 지원 Kubernetes 확장을 사용하는 경우 필요합니다. |
*.servicebus.windows.net 와일드카드를 특정 엔드포인트로 변환하려면 다음 명령을 사용합니다.
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
지역 엔드포인트의 지역 세그먼트를 가져오려면 Azure 지역 이름에서 모든 공백을 제거합니다. 예를 들어, 미국 동부 2 지역의 경우 지역 이름은 eastus2입니다.
예: *.<region>.arcdataservices.com은 미국 동부 2 지역에서 *.eastus2.arcdataservices.com여야 합니다.
모든 지역 목록을 보려면 다음 명령을 실행합니다.
az account list-locations -o table
Get-AzLocation | Format-Table
자세한 내용은 Azure Arc 지원 Kubernetes 네트워크 요구 사항을 참조 하세요.
Azure Arc 지원 데이터 서비스
이 섹션에서는 위에 나열된 Arc 지원 Kubernetes 엔드포인트 외에도 Azure Arc 지원 데이터 서비스와 관련된 요구 사항을 설명합니다.
| 서비스 | 포트 | URL | 방향 | 참고 |
|---|---|---|---|---|
| Helm 차트(직접 연결 모드만 해당) | 443 | arcdataservicesrow1.azurecr.io |
아웃바운드 | 사용자 지정 리소스 정의, 클러스터 역할 및 클러스터 역할 바인딩과 같은 Azure Arc 데이터 컨트롤러 부트스트래퍼 및 클러스터 수준 개체를 프로비전합니다. 이는 Azure Container Registry에서 풀됩니다. |
| Azure Monitor API 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
아웃바운드 | Azure Data Studio 및 Azure CLI는 Azure Resource Manager API에 연결하여 일부 기능에 필요한 데이터를 Azure에 보내고 Azure에서 검색합니다. Azure Monitor API를 참조하세요. |
| Azure Arc 데이터 처리 서비스 1 | 443 | *.<region>.arcdataservices.com 2 |
아웃바운드 |
1 요구 사항은 배포 모드에 따라 다릅니다.
- 직접 모드의 경우 Kubernetes 클러스터의 컨트롤러 Pod는 로그, 메트릭, 인벤토리 및 청구 정보를 Azure Monitor/Data Processing Service로 보내려면 엔드포인트에 대한 아웃바운드 연결이 있어야 합니다.
- 간접 모드의 경우
az arcdata dc upload를 실행하는 컴퓨터는 Azure Monitor 및 Data Processing Service에 대한 아웃바운드 연결이 있어야 합니다.
2 2024년 2월 13일까지의 확장 버전의 경우 san-af-<region>-prod.azurewebsites.net을 사용합니다.
Azure Monitor API
Azure Data Studio에서 Kubernetes API 서버로의 연결은 사용자가 설정한 Kubernetes 인증과 암호화를 사용합니다. Azure Data Studio 또는 CLI의 각 사용자는 Kubernetes API에 대한 인증된 연결이 있어야 Azure Arc 지원 데이터 서비스와 관련된 여러 작업을 수행할 수 있습니다.
자세한 내용은 연결 모드 및 요구 사항을 참조하세요.
Azure Arc 지원 서버
다음을 위해 Arc 지원 서버 엔드포인트에 연결해야 합니다.
Azure Arc 지원 SQL Server
Azure Arc 지원 VMware vSphere *
Azure Arc 지원 System Center Virtual Machine Manager *
Azure Arc 지원 Azure Stack(HCI) *
*게스트 관리에만 필요합니다.
Azure Arc 지원 서버 엔드포인트는 모든 서버 기반 Arc 제품에 필요합니다.
네트워킹 구성
Linux 및 Windows용 Azure Connected Machine 에이전트는 TCP 포트 443을 통해 안전하게 Azure Arc로 아웃바운드 통신을 수행합니다. 기본적으로 에이전트는 인터넷에 대한 기본 경로를 사용하여 Azure 서비스에 연결합니다. 선택적으로 네트워크에 필요한 경우 프록시 서버를 사용하도록 에이전트를 구성할 수 있습니다. 트래픽이 이미 암호화되어 있기 때문에 프록시 서버를 사용해도 Connected Machine 에이전트가 더 안전해지지 않습니다.
공용 네트워크 및 프록시 서버를 사용하는 대신 Azure Arc에 대한 네트워크 연결을 더욱 안전하게 보호하려면 Azure Arc Private Link 범위를 구현할 수 있습니다.
참고 항목
Azure Arc 지원 서버는 Connected Machine 에이전트에 대한 프록시로 Log Analytics 게이트웨이를 사용하는 것을 지원하지 않습니다. 동시에 Azure Monitor 에이전트는 Log Analytics 게이트웨이를 지원합니다.
방화벽 또는 프록시 서버가 아웃바운드 연결을 제한하는 경우 아래에 나열된 URL 및 서비스 태그가 차단되지 않았는지 확인합니다.
서비스 태그
다음 서비스 태그에 대한 액세스를 허용합니다.
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 스토리지
- WindowsAdminCenter(Windows Admin Center를 사용하여 Arc 지원 서버를 관리하는 경우)
각 서비스 태그/지역의 IP 주소 목록은 JSON 파일 Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드를 참조하세요. Microsoft는 각 Azure 서비스 및 여기에 사용되는 IP 범위를 포함하는 주간 업데이트를 게시합니다. JSON 파일의 이 정보는 각 서비스 태그에 해당하는 IP 범위의 현재 지정 시간 목록입니다. IP 주소는 변경될 수 있습니다. 방화벽 구성에 IP 주소 범위가 필요한 경우 모든 Azure 서비스에 대한 액세스를 허용하기 위해 AzureCloud 서비스 태그를 사용해야 합니다. 이러한 URL의 보안 모니터링 또는 검사를 해제하지 말고, 다른 인터넷 트래픽처럼 허용합니다.
AzureArcInfrastructure 서비스 태그에 대한 트래픽을 필터링하는 경우 전체 서비스 태그 범위에 대한 트래픽을 허용해야 합니다. AzureArcInfrastructure.AustraliaEast와 같은 개별 지역에 대해 보급된 범위에는 서비스의 전역 구성 요소에서 사용하는 IP 범위가 포함되지 않습니다. 이러한 엔드포인트에 대해 확인된 특정 IP 주소는 문서화된 범위 내에서 시간이 지남에 따라 변경될 수 있으므로 조회 도구를 사용하여 지정된 엔드포인트의 현재 IP 주소를 식별하고 이에 대한 액세스를 허용하는 것만으로는 신뢰할 수 있는 액세스를 보장하기에 충분하지 않습니다.
자세한 내용은 가상 네트워크 서비스 태그를 참조하세요.
URL
아래 표에는 Connected Machine 에이전트를 설치하고 사용하기 위해 사용 가능해야 하는 URL이 나와 있습니다.
참고 항목
프라이빗 링크를 통해 Azure와 통신하도록 Azure 연결된 컴퓨터 에이전트를 구성할 때 일부 엔드포인트는 여전히 인터넷을 통해 액세스해야 합니다. 다음 표의 프라이빗 링크 가능 열은 프라이빗 엔드포인트로 구성할 수 있는 엔드포인트를 보여 줍니다. 열에 엔드포인트에 대한 공용이 표시되는 경우 에이전트가 작동하려면 조직의 방화벽 및/또는 프록시 서버를 통해 해당 엔드포인트에 대한 액세스를 계속 허용해야 합니다. 프라이빗 링크 범위가 할당된 경우 네트워크 트래픽은 프라이빗 엔드포인트를 통해 라우트됩니다.
| 에이전트 리소스 | 설명 | 필요한 경우 | 프라이빗 링크 사용 가능 |
|---|---|---|---|
aka.ms |
설치 중 다운로드 스크립트를 해결하는 데 사용됨 | 설치 시에만 | 공공 사업 |
download.microsoft.com |
Windows 설치 패키지를 다운로드하는 데 사용됨 | 설치 시에만 | 공공 사업 |
packages.microsoft.com |
Linux 설치 패키지를 다운로드하는 데 사용됨 | 설치 시에만 | 공공 사업 |
login.windows.net |
Microsoft Entra ID | 항상 | 공공 사업 |
login.microsoftonline.com |
Microsoft Entra ID | 항상 | 공공 사업 |
*login.microsoft.com |
Microsoft Entra ID | 항상 | 공공 사업 |
pas.windows.net |
Microsoft Entra ID | 항상 | 공공 사업 |
management.azure.com |
Azure Resource Manager - Arc 서버 리소스 만들기 또는 삭제 | 서버를 연결하거나 연결을 끊을 때만 | 리소스 관리 프라이빗 링크도 구성되지 않는 한 공용 |
*.his.arc.azure.com |
메타데이터 및 하이브리드 ID 서비스 | 항상 | 프라이빗 |
*.guestconfiguration.azure.com |
확장 관리 및 게스트 구성 서비스 | 항상 | 프라이빗 |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
확장 및 연결 시나리오에 대한 알림 서비스 | 항상 | 공공 사업 |
azgn*.servicebus.windows.net |
확장 및 연결 시나리오에 대한 알림 서비스 | 항상 | 공공 사업 |
*.servicebus.windows.net |
Windows Admin Center 및 SSH 시나리오의 경우 | Azure에서 SSH 또는 Windows Admin Center 사용하는 경우 | 공공 사업 |
*.waconazure.com |
Windows Admin Center 연결의 경우 | Windows Admin Center 사용하는 경우 | 공공 사업 |
*.blob.core.windows.net |
Azure Arc 지원 서버 확장에 대한 원본 다운로드 | 프라이빗 엔드포인트를 사용하는 경우를 제외하고 항상 | 프라이빗 링크가 구성된 경우 사용되지 않음 |
dc.services.visualstudio.com |
에이전트 원격 분석 | 선택 사항, 에이전트 버전 1.24 이상에서는 사용되지 않음 | 공공 사업 |
*.<region>.arcdataservices.com 1 |
Arc SQL Server의 경우 데이터 처리 서비스, 서비스 원격 분석 및 성능 모니터링을 Azure로 보냅니다. TLS 1.3을 허용합니다. | 항상 | 공공 사업 |
www.microsoft.com/pkiops/certs |
ESU에 대한 중간 인증서 업데이트(참고: HTTP/TCP 80 및 HTTPS/TCP 443 사용) | Azure Arc에서 사용하도록 설정된 ESU를 사용하는 경우 자동 업데이트에 항상 필요하거나 인증서를 수동으로 다운로드하는 경우 일시적으로 필요합니다. | 공공 사업 |
1 수집 및 전송되는 정보에 대한 자세한 내용은 Azure Arc를 통해 지원되는 SQL Server에 대한 데이터 수집 및 보고를 검토하세요.
2024년 2월 13일을 포함한 확장 버전의 경우 san-af-<region>-prod.azurewebsites.net을 사용합니다. 2024년 3월 12일부터 Azure Arc 데이터 처리와 Azure Arc 데이터 원격 분석 모두 *.<region>.arcdataservices.com(을)를 사용합니다.
참고 항목
*.servicebus.windows.net 와일드카드를 특정 엔드포인트로 변환하려면 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region> 명령을 사용합니다. 이 명령 내에서 <region> 자리 표시자에 대한 지역을 지정해야 합니다. 이러한 엔드포인트는 주기적으로 변경될 수 있습니다.
지역 엔드포인트의 지역 세그먼트를 가져오려면 Azure 지역 이름에서 모든 공백을 제거합니다. 예를 들어, 미국 동부 2 지역의 경우 지역 이름은 eastus2입니다.
예: *.<region>.arcdataservices.com은 미국 동부 2 지역에서 *.eastus2.arcdataservices.com여야 합니다.
모든 지역 목록을 보려면 다음 명령을 실행합니다.
az account list-locations -o table
Get-AzLocation | Format-Table
전송 계층 보안 1.2 프로토콜
Azure로 전송되는 데이터의 보안을 보장하려면 TLS(전송 계층 보안) 1.2를 사용하도록 머신을 구성하는 것이 좋습니다. 이전 버전의 TLS/SSL(Secure Sockets Layer)은 취약한 것으로 나타났으며, 여전히 이전 버전과 호환되지만 사용하지 않는 것이 좋습니다.
| 플랫폼/언어 | 지원 | 추가 정보 |
|---|---|---|
| Linux | Linux 배포판은 TLS 1.2 지원에 대해 OpenSSL을 사용하는 경향이 있습니다. | OpenSSL Changelog를 확인하여 OpenSSL 버전이 지원되는지 확인합니다. |
| Windows Server 2012 R2 이상 | 지원되며 기본적으로 사용하도록 설정됩니다. | 기본 설정을 여전히 사용하는지 확인하려면 |
ESU 전용 엔드포인트의 하위 집합
다음 제품 중 하나 또는 둘 다에 대해 확장 보안 업데이트에만 Azure Arc 지원 서버를 사용하는 경우:
- Windows Server 2012
- SQL Server 2012
엔드포인트의 다음 하위 집합을 사용하도록 설정할 수 있습니다.
| 에이전트 리소스 | 설명 | 필요한 경우 | 프라이빗 링크와 함께 사용되는 엔드포인트 |
|---|---|---|---|
aka.ms |
설치 중 다운로드 스크립트를 해결하는 데 사용됨 | 설치 시에만 | 공공 사업 |
download.microsoft.com |
Windows 설치 패키지를 다운로드하는 데 사용됨 | 설치 시에만 | 공공 사업 |
login.windows.net |
Microsoft Entra ID | 항상 | 공공 사업 |
login.microsoftonline.com |
Microsoft Entra ID | 항상 | 공공 사업 |
*login.microsoft.com |
Microsoft Entra ID | 항상 | 공공 사업 |
management.azure.com |
Azure Resource Manager - Arc 서버 리소스 만들기 또는 삭제 | 서버를 연결하거나 연결을 끊을 때만 | 리소스 관리 프라이빗 링크도 구성되지 않는 한 공용 |
*.his.arc.azure.com |
메타데이터 및 하이브리드 ID 서비스 | 항상 | 프라이빗 |
*.guestconfiguration.azure.com |
확장 관리 및 게스트 구성 서비스 | 항상 | 프라이빗 |
www.microsoft.com/pkiops/certs |
ESU에 대한 중간 인증서 업데이트(참고: HTTP/TCP 80 및 HTTPS/TCP 443 사용) | 자동 업데이트의 경우 항상, 인증서를 수동으로 다운로드하는 경우 일시적입니다. | 공공 사업 |
*.<region>.arcdataservices.com |
Azure Arc 데이터 처리 서비스 및 서비스 원격 분석. | SQL Server ESU | 공공 사업 |
*.blob.core.windows.net |
SQL Server 확장 패키지 다운로드 | SQL Server ESU | Private Link를 사용하는 경우에는 필요하지 않음 |
자세한 내용은 Connected Machine 에이전트 네트워크 요구 사항을 참조하세요.
Azure Arc 리소스 브리지
이 섹션에서는 엔터프라이즈에서 Azure Arc 리소스 브리지 배포와 관련된 추가 네트워킹 요구 사항에 대해 설명합니다. 이러한 요구 사항은 Azure Arc 지원 VMware vSphere 및 Azure Arc 지원 System Center Virtual Machine Manager에도 적용됩니다.
아웃바운드 연결 요구 사항
아래의 방화벽 및 프록시 URL은 관리 컴퓨터, 어플라이언스 VM 및 컨트롤 플레인 IP에서 필요한 Arc 리소스 브리지 URL로의 통신을 사용하도록 설정하기 위해 허용 목록에 있어야 합니다.
방화벽/프록시 URL 허용 목록
| 서비스 | 포트 | URL | 방향 | 참고 |
|---|---|---|---|---|
| SFS API 엔드포인트 | 443 | msk8s.api.cdp.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | SFS에서 제품 카탈로그, 제품 비트, OS 이미지를 다운로드합니다. |
| 리소스 브리지(어플라이언스) 이미지 다운로드 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Arc 리소스 브리지 OS 이미지를 다운로드합니다. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Arc Resource Bridge에 대한 컨테이너 이미지를 검색합니다. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Arc 리소스 브리지용 컨테이너 이미지를 다운로드합니다. |
| Windows NTP 서버 | 123 | time.windows.com |
관리 컴퓨터 및 어플라이언스 VM IP(Hyper-V 기본값이 Windows NTP인 경우)는 UDP에서 아웃바운드 연결이 필요합니다. | 어플라이언스 VM 및 관리 컴퓨터(Windows NTP)에서 OS 시간 동기화. |
| Azure Resource Manager | 443 | management.azure.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure의 리소스 관리 |
| Microsoft Graph | 443 | graph.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure RBAC에 필요합니다. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | ARM 토큰을 업데이트하는 데 필요합니다. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | ARM 토큰을 업데이트하는 데 필요합니다. |
| Azure Resource Manager | 443 | login.windows.net |
관리 컴퓨터 및 어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | ARM 토큰을 업데이트하는 데 필요합니다. |
| 리소스 브리지(어플라이언스) 데이터 평면 서비스 | 443 | *.dp.prod.appliances.azure.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure에서 리소스 공급자와 통신합니다. |
| 리소스 브리지(어플라이언스) 컨테이너 이미지 다운로드 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 컨테이너 이미지를 끌어오는 데 필요합니다. |
| 관리 ID | 443 | *.his.arc.azure.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 시스템이 할당한 관리 ID 인증서를 가져오는 데 필요합니다. |
| Kubernetes용 Azure Arc 컨테이너 이미지 다운로드 | 443 | azurearcfork8s.azurecr.io |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 컨테이너 이미지를 끌어옵니다. |
| Azure Arc 에이전트 | 443 | k8connecthelm.azureedge.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure Arc 에이전트를 배포합니다. |
| ADHS 원격 분석 서비스 | 443 | adhs.events.data.microsoft.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 어플라이언스 VM에서 Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| Microsoft 이벤트 데이터 서비스 | 443 | v20.events.data.microsoft.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Windows에서 진단 데이터를 보냅니다. |
| Arc 리소스 브리지에 대한 로그 컬렉션 | 443 | linuxgeneva-microsoft.azurecr.io |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 어플라이언스 관리 구성 요소에 대한 푸시 로그. |
| 리소스 브리지 구성 요소 다운로드 | 443 | kvamanagementoperator.azurecr.io |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 어플라이언스 관리 구성 요소에 대한 아티팩트를 끌어옵니다. |
| Microsoft 오픈 소스 패키지 관리자 | 443 | packages.microsoft.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Linux 설치 패키지를 다운로드합니다. |
| 사용자 지정 위치 | 443 | sts.windows.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 사용자 지정 위치에 필요합니다. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure Arc에 필요합니다. |
| 사용자 지정 위치 | 443 | k8sconnectcsp.azureedge.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | 사용자 지정 위치에 필요합니다. |
| 진단 데이터 | 443 | gcs.prod.monitoring.core.windows.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| 진단 데이터 | 443 | *.prod.microsoftmetrics.com |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| 진단 데이터 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| 진단 데이터 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Microsoft에 필수 진단 데이터를 정기적으로 보냅니다. |
| Azure Portal | 443 | *.arc.azure.net |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Azure Portal에서 클러스터를 관리합니다. |
| Azure CLI 및 확장 | 443 | *.blob.core.windows.net |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Azure CLI 설치 프로그램 및 확장을 다운로드합니다. |
| Azure Arc 에이전트 | 443 | *.dp.kubernetesconfiguration.azure.com |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Arc 에이전트에 사용되는 데이터 평면입니다. |
| Python 패키지 | 443 | pypi.org, *.pypi.org |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Kubernetes 및 Python 버전의 유효성을 검사합니다. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Azure CLI 설치용 Python 패키지입니다. |
인바운드 연결 요구 사항
관리 컴퓨터, 어플라이언스 VM IP 및 컨트롤 플레인 IP에서 다음 포트 간의 통신을 허용해야 합니다. Arc 리소스 브리지의 배포 및 유지 관리를 용이하게 하기 위해 이러한 포트가 열려 있고 트래픽이 프록시를 통해 라우팅되지 않는지 확인합니다.
| 서비스 | 포트 | IP/컴퓨터 | 방향 | 참고 |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs 및 Management machine |
양방향 | 어플라이언스 VM을 배포하고 유지 관리하는 데 사용됩니다. |
| Kubernetes API 서버 | 6443 | appliance VM IPs 및 Management machine |
양방향 | 어플라이언스 VM 관리. |
| SSH | 22 | control plane IP 및 Management machine |
양방향 | 어플라이언스 VM을 배포하고 유지 관리하는 데 사용됩니다. |
| Kubernetes API 서버 | 6443 | control plane IP 및 Management machine |
양방향 | 어플라이언스 VM 관리. |
| HTTPS | 443 | private cloud control plane address 및 Management machine |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | 컨트롤 플레인과의 통신(예: VMware vCenter 주소). |
자세한 내용은 Azure Arc 리소스 브리지 네트워크 요구 사항을 참조하세요.
Azure Arc 지원 VMware vSphere
Azure Arc 지원 VMware vSphere에도 다음이 필요합니다.
| 서비스 | 포트 | URL | 방향 | 참고 |
|---|---|---|---|---|
| vCenter Server | 443 | vCenter Server의 URL | 어플라이언스 VM IP 및 컨트롤 플레인 엔드포인트에는 아웃바운드 연결이 필요합니다. | 어플라이언스 VM 및 컨트롤 플레인과 통신하기 위해 vCenter Server에서 사용됩니다. |
| VMware 클러스터 확장 | 443 | azureprivatecloud.azurecr.io |
어플라이언스 VM IP에는 아웃바운드 연결이 필요합니다. | Microsoft.VMWare 및 Microsoft.AVS 클러스터 확장에 대한 컨테이너 이미지를 끌어옵니다. |
| Azure CLI 및 Azure CLI 확장 | 443 | *.blob.core.windows.net |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Azure CLI 설치 프로그램 및 Azure CLI 확장을 다운로드합니다. |
| Azure Resource Manager | 443 | management.azure.com |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | ARM을 사용하여 Azure에서 리소스를 만들거나 업데이트하는 데 필요합니다. |
| Azure Arc 에이전트에 대한 Helm 차트 | 443 | *.dp.kubernetesconfiguration.azure.com |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Arc 에이전트의 구성 정보를 다운로드하기 위한 데이터 평면 엔드포인트입니다. |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
관리 컴퓨터에는 아웃바운드 연결이 필요합니다. | Azure Resource Manager 토큰을 가져오고 업데이트하는 데 필요합니다. |
자세한 내용은 Azure Arc 지원 VMware vSphere에 대한 지원 매트릭스를 참조 하세요.
Azure Arc 지원 System Center Virtual Machine Manager
Azure Arc 지원 SYSTEM Center SCVMM(Virtual Machine Manager)에도 다음이 필요합니다.
| 서비스 | 포트 | URL | 방향 | 참고 |
|---|---|---|---|---|
| SCVMM 관리 서버 | 443 | SCVMM 관리 서버의 URL | 어플라이언스 VM IP 및 컨트롤 플레인 엔드포인트에는 아웃바운드 연결이 필요합니다. | 어플라이언스 VM 및 컨트롤 플레인과 통신하기 위해 SCVMM 서버에서 사용됩니다. |
자세한 내용은 Arc 지원 System Center Virtual Machine Manager 개요를 참조 하세요.
추가 엔드포인트
시나리오에 따라 Azure Portal, 관리 도구 또는 기타 Azure 서비스에서 사용하는 URL과 같은 다른 URL에 연결해야 할 수 있습니다. 특히 다음 목록을 검토하여 필요한 모든 엔드포인트에 대한 연결을 허용하는지 확인합니다.