Nätverkskrav för Azure Arc-resursbryggan
I den här artikeln beskrivs nätverkskrav för distribution av Azure Arc-resursbryggor i företaget.
Allmänna nätverkskrav
Arc-resursbryggan kommunicerar utgående på ett säkert sätt till Azure Arc via TCP-port 443. Om installationen behöver anslutas via en brandvägg eller proxyserver för att kommunicera via Internet används HTTPS-protokollet för utgående kommunikation.
I allmänhet omfattar anslutningskrav följande principer:
- Alla anslutningar är TCP om inget annat anges.
- Alla HTTP-anslutningar använder HTTPS- och SSL/TLS med officiellt signerade och verifierbara certifikat.
- Alla anslutningar är utgående om inget annat anges.
Om du vill använda en proxy kontrollerar du att agenterna och datorn som utför registreringsprocessen uppfyller nätverkskraven i den här artikeln.
Krav för utgående anslutning
Brandväggs- och proxy-URL:erna nedan måste tillåtas för att kunna aktivera kommunikation från hanteringsdatorn, den virtuella enhetens virtuella dator och kontrollplanets IP-adress till de arcresursbryggor-URL:er som krävs.
Tillåtlista för brandväggs-/proxy-URL
| Tjänst | Port | URL | Riktning | Anteckningar |
|---|---|---|---|---|
| SFS API-slutpunkt | 443 | msk8s.api.cdp.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Ladda ned produktkatalog, produktbitar och OS-avbildningar från SFS. |
| Nedladdning av resursbryggor (installation) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Ladda ned Arc Resource Bridge OS-avbildningarna. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Identifiera containeravbildningar för Arc Resource Bridge. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Ladda ned containeravbildningar för Arc Resource Bridge. |
| Windows NTP Server | 123 | time.windows.com |
Hanteringsdator och VM-IP-adresser för installation (om Hyper-V-standardvärdet är Windows NTP) behöver utgående anslutning på UDP | Tidssynkronisering av operativsystem i den virtuella datorn och hanteringsdatorn (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Hantera resurser i Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Krävs för Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Krävs för att uppdatera ARM-token. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Krävs för att uppdatera ARM-token. |
| Azure Resource Manager | 443 | login.windows.net |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Krävs för att uppdatera ARM-token. |
| Dataplanstjänst för resursbrygga (installation) | 443 | *.dp.prod.appliances.azure.com |
De virtuella datorernas IP-adress för installationen behöver utgående anslutning. | Kommunicera med resursprovidern i Azure. |
| Nedladdning av resursbrygga (installation) containeravbildning | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för att hämta containeravbildningar. |
| Hanterad identitet | 443 | *.his.arc.azure.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för att hämta systemtilldelade hanterade identitetscertifikat. |
| Nedladdning av Azure Arc för Kubernetes-containeravbildningar | 443 | azurearcfork8s.azurecr.io |
Vm-IP-adresser för installation behöver utgående anslutning. | Hämta containeravbildningar. |
| Azure Arc-agent | 443 | k8connecthelm.azureedge.net |
Vm-IP-adresser för installation behöver utgående anslutning. | distribuera Azure Arc-agenten. |
| ADHS-telemetritjänst | 443 | adhs.events.data.microsoft.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet microsofts obligatoriska diagnostikdata från den virtuella datorn för installationen. |
| Datatjänst för Microsoft-händelser | 443 | v20.events.data.microsoft.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Skicka diagnostikdata från Windows. |
| Loggsamling för Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Vm-IP-adresser för installation behöver utgående anslutning. | Push-loggar för installationshanterade komponenter. |
| Ladda ned resursbryggningskomponenter | 443 | kvamanagementoperator.azurecr.io |
Vm-IP-adresser för installation behöver utgående anslutning. | Hämta artefakter för installationshanterade komponenter. |
| Microsoft öppen källkod packages manager | 443 | packages.microsoft.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Ladda ned Linux-installationspaketet. |
| Anpassad plats | 443 | sts.windows.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för anpassad plats. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för Azure Arc. |
| Anpassad plats | 443 | k8sconnectcsp.azureedge.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för anpassad plats. |
| Diagnostikdata | 443 | gcs.prod.monitoring.core.windows.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet diagnostikdata som krävs av Microsoft. |
| Diagnostikdata | 443 | *.prod.microsoftmetrics.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet diagnostikdata som krävs av Microsoft. |
| Diagnostikdata | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet diagnostikdata som krävs av Microsoft. |
| Diagnostikdata | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet diagnostikdata som krävs av Microsoft. |
| Azure Portal | 443 | *.arc.azure.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Hantera kluster från Azure Portal. |
| Azure CLI &-tillägg | 443 | *.blob.core.windows.net |
Hanteringsdatorn behöver utgående anslutning. | Ladda ned Installationsprogrammet och tillägget för Azure CLI. |
| Azure Arc-agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Hanteringsdatorn behöver utgående anslutning. | Dataplan som används för Arc-agenten. |
| Python-paket | 443 | pypi.org, *.pypi.org |
Hanteringsdatorn behöver utgående anslutning. | Verifiera Kubernetes- och Python-versioner. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Hanteringsdatorn behöver utgående anslutning. | Python-paket för Azure CLI-installation. |
Krav för inkommande anslutning
Kommunikation mellan följande portar måste tillåtas från hanteringsdatorn, VM-IP-adresser för installation och kontrollplans-IP-adresser. Se till att dessa portar är öppna och att trafiken inte dirigeras via en proxy för att underlätta distribution och underhåll av Arc-resursbryggan.
| Tjänst | Port | IP/dator | Riktning | Anteckningar |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs och Management machine |
Dubbelriktad | Används för att distribuera och underhålla den virtuella datorn. |
| Kubernetes API-server | 6443 | appliance VM IPs och Management machine |
Dubbelriktad | Hantering av den virtuella datorn för installationen. |
| SSH | 22 | control plane IP och Management machine |
Dubbelriktad | Används för att distribuera och underhålla den virtuella datorn. |
| Kubernetes API-server | 6443 | control plane IP och Management machine |
Dubbelriktad | Hantering av den virtuella datorn för installationen. |
| HTTPS | 443 | private cloud control plane address och Management machine |
Hanteringsdatorn behöver utgående anslutning. | Kommunikation med kontrollplanet (till ex: VMware vCenter-adress). |
Kommentar
Url:erna som anges här krävs endast för Arc-resursbryggan. Andra Arc-produkter (till exempel Arc-aktiverade VMware vSphere) kan ha ytterligare nödvändiga URL:er. Mer information finns i Nätverkskraven för Azure Arc.
Angivna IP-intervall för Arc-resursbrygga
När du distribuerar Arc-resursbryggan är specifika IP-intervall endast reserverade för Kubernetes-poddar och -tjänster på den virtuella datorn. Dessa interna IP-intervall får inte överlappa med några konfigurationsindata för resursbryggan, till exempel IP-adressprefix, kontrollplanets IP-adress, vm-IP-adresser för installation, DNS-servrar, proxyservrar eller vSphere ESXi-värdar. Mer information om konfigurationen av Arc-resursbryggan finns i systemkraven.
Kommentar
Dessa avsedda IP-intervall används endast internt i Arc-resursbryggan. De påverkar inte Azure-resurser eller nätverk.
| Tjänst | Angivet IP-intervall |
|---|---|
| Kubernetes-poddar för Arc-resursbryggan | 10.244.0.0/16 |
| Kubernetes-tjänster för Arc-resursbryggan | 10.96.0.0/12 |
SSL-proxykonfiguration
Viktigt!
Arc Resource Bridge stöder endast direkta (explicita) proxyservrar, inklusive oautentiserade proxyservrar, proxyservrar med grundläggande autentisering, SSL-avslutande proxyservrar och SSL-proxyservrar för genomströmning.
Om du använder en proxy måste Arc Resource Bridge konfigureras att använda proxyn för att ansluta till Azure-tjänster.
Om du vill konfigurera Arc-resursbryggan med proxy anger du sökvägen till proxycertifikatfilen när konfigurationsfilerna skapas.
Certifikatfilens format är Base-64-kodad X.509 (. CER).
Skicka endast det enskilda proxycertifikatet. Om ett certifikatpaket skickas misslyckas distributionen.
Proxyserverns slutpunkt kan inte vara en
.localdomän.Proxyservern måste kunna nås från alla IP-adresser inom IP-adressprefixet, inklusive kontrollplanet och VM-IP-adresser för installationen.
Det finns bara två certifikat som ska vara relevanta när du distribuerar Arc-resursbryggan bakom en SSL-proxy:
SSL-certifikat för din SSL-proxy (så att hanteringsdatorn och den virtuella datorn för installationen litar på ditt proxy-FQDN och kan upprätta en SSL-anslutning till den)
SSL-certifikat för Microsofts nedladdningsservrar. Det här certifikatet måste vara betrott av själva proxyservern, eftersom proxyn är den som upprättar den slutliga anslutningen och måste lita på slutpunkten. Icke-Windows-datorer kanske inte litar på det här andra certifikatet som standard, så du kan behöva se till att det är betrott.
För att kunna distribuera Arc-resursbryggan måste avbildningar laddas ned till hanteringsdatorn och sedan laddas upp till det lokala privata molngalleriet. Om din proxyserver begränsar nedladdningshastigheten kanske du inte kan ladda ned de bilder som krävs (~3,5 GB) inom den tilldelade tiden (90 min).
Undantagslista för ingen proxy
Om en proxyserver används innehåller följande tabell listan över adresser som ska undantas från proxy genom att noProxy konfigurera inställningarna.
| IP-adress | Orsak till exkludering |
|---|---|
| localhost, 127.0.0.1 | Localhost-trafik |
| .Svc | Intern Kubernetes-tjänsttrafik (.svc) där .svc representerar ett jokerteckennamn. Det här liknar att säga *.svc, men ingen används i det här schemat. |
| 10.0.0.0/8 | adressutrymme för privata nätverk |
| 172.16.0.0/12 | Adressutrymme för privat nätverk – Kubernetes Service CIDR |
| 192.168.0.0/16 | Adressutrymme för privat nätverk – Kubernetes Pod CIDR |
| contoso.com. | Du kanske vill undanta företagets namnområde (.contoso.com) från att dirigeras via proxyn. Om du vill exkludera alla adresser i en domän måste du lägga till domänen i noProxy listan. Använd en inledande punkt i stället för ett jokertecken (*). I exemplet exkluderar adresserna .contoso.com adresser prefix1.contoso.com, prefix2.contoso.comoch så vidare. |
Standardvärdet för noProxy är localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Även om dessa standardvärden fungerar för många nätverk kan du behöva lägga till fler undernätsintervall och/eller namn i undantagslistan. Du kanske till exempel vill undanta företagets namnområde (.contoso.com) från att dirigeras via proxyn. Du kan uppnå det genom att ange värdena i noProxy listan.
Viktigt!
När du listar flera adresser för noProxy inställningarna ska du inte lägga till ett blanksteg efter varje kommatecken för att avgränsa adresserna. Adresserna måste omedelbart följa kommatecken.
Intern portlyssning
Tänk på att den virtuella datorn är konfigurerad för att lyssna på följande portar. Dessa portar används uteslutande för interna processer och kräver inte extern åtkomst:
- 8443 – Slutpunkt för Webhook för Microsoft Entra-autentisering
- 10257 – Slutpunkt för Arc-resursbryggningsmått
- 10250 – Slutpunkt för Arc-resursbryggningsmått
- 2382 – Slutpunkt för Arc-resursbryggningsmått
Nästa steg
- Läs översikten över Azure Arc-resursbryggan för att förstå mer om krav och teknisk information.
- Lär dig mer om säkerhetskonfiguration och överväganden för Azure Arc-resursbryggan.
- Visa felsökningstips för nätverksproblem.