Azure Arc kaynak köprüsü ağ gereksinimleri
Bu makalede, kuruluşunuzda Azure Arc kaynak köprüsü dağıtmaya yönelik ağ gereksinimleri açıklanmaktadır.
Genel ağ gereksinimleri
Arc kaynak köprüsü, 443 numaralı TCP bağlantı noktası üzerinden Azure Arc'a gidenleri güvenli bir şekilde iletir. Gerecin internet üzerinden iletişim kurmak için bir güvenlik duvarı veya ara sunucu üzerinden bağlanması gerekiyorsa, giden iletişimler için HTTPS protokolünü kullanır.
Genel olarak, bağlantı gereksinimleri şu ilkeleri içerir:
- Aksi belirtilmediği sürece tüm bağlantılar TCP'tir.
- Tüm HTTP bağlantıları resmi olarak imzalanmış ve doğrulanabilir sertifikalarla HTTPS ve SSL/TLS kullanır.
- Aksi belirtilmedikçe tüm bağlantılar giden bağlantılardır.
Ara sunucu kullanmak için, aracıların ve ekleme işlemini gerçekleştiren makinenin bu makaledeki ağ gereksinimlerini karşıladığını doğrulayın.
Giden bağlantı gereksinimleri
Yönetim makinesinden, Alet VM'sinden ve Denetim Düzlemi IP'sinden gerekli Arc kaynak köprüsü URL'lerine iletişimi etkinleştirmek için aşağıdaki güvenlik duvarı ve ara sunucu URL'lerinin izin verilenler listesine alınması gerekir.
Güvenlik Duvarı/Ara Sunucu URL'si izin verilenler listesi
| Hizmet | Bağlantı noktası | URL | Yön | Notlar |
|---|---|---|---|---|
| SFS API uç noktası | 443 | msk8s.api.cdp.microsoft.com |
Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | SFS'den ürün kataloğunu, ürün bitlerini ve işletim sistemi görüntülerini indirin. |
| Kaynak köprüsü (alet) görüntüsü indirme | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Arc Resource Bridge işletim sistemi görüntülerini indirin. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Arc Kaynak Köprüsü için kapsayıcı görüntülerini keşfedin. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Arc Kaynak Köprüsü için kapsayıcı görüntülerini indirin. |
| Windows NTP Server | 123 | time.windows.com |
Yönetim makinesi ve Alet VM IP'leri (Hyper-V varsayılanı Windows NTP ise), UDP'de giden bağlantıya ihtiyaç duyar | Alet VM ve Yönetim makinesinde (Windows NTP) işletim sistemi zaman eşitlemesi. |
| Azure Resource Manager | 443 | management.azure.com |
Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Azure'da kaynakları yönetme. |
| Microsoft Graph | 443 | graph.microsoft.com |
Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Azure RBAC için gereklidir. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | ARM belirteçlerini güncelleştirmek için gereklidir. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | ARM belirteçlerini güncelleştirmek için gereklidir. |
| Azure Resource Manager | 443 | login.windows.net |
Yönetim makinesi ve Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | ARM belirteçlerini güncelleştirmek için gereklidir. |
| Kaynak köprüsü (alet) Veri düzlemi hizmeti | 443 | *.dp.prod.appliances.azure.com |
Alet VM'leri IP'leri giden bağlantıya ihtiyaç duyar. | Azure'da kaynak sağlayıcısıyla iletişim kurun. |
| Kaynak köprüsü (alet) kapsayıcı görüntüsü indirme | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Kapsayıcı görüntülerini çekmek için gereklidir. |
| Yönetilen Kimlik | 443 | *.his.arc.azure.com |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Sistem tarafından atanan Yönetilen Kimlik sertifikalarını çekmek için gereklidir. |
| Kubernetes için Azure Arc kapsayıcı görüntüsü indirme | 443 | azurearcfork8s.azurecr.io |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Kapsayıcı görüntülerini çekme. |
| Azure Arc aracısı | 443 | k8connecthelm.azureedge.net |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Azure Arc aracısının dağıtımını yapın. |
| ADHS telemetri hizmeti | 443 | adhs.events.data.microsoft.com |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Microsoft gerekli tanılama verilerini alet VM'sinden düzenli aralıklarla gönderir. |
| Microsoft olay veri hizmeti | 443 | v20.events.data.microsoft.com |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Windows'tan tanılama verileri gönderme. |
| Arc Kaynak Köprüsü için günlük koleksiyonu | 443 | linuxgeneva-microsoft.azurecr.io |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Alet tarafından yönetilen bileşenler için gönderme günlükleri. |
| Kaynak köprüsü bileşenlerini indirme | 443 | kvamanagementoperator.azurecr.io |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Alet tarafından yönetilen bileşenler için çekme yapıtları. |
| Microsoft açık kaynak paket yöneticisi | 443 | packages.microsoft.com |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Linux yükleme paketini indirin. |
| Özel Konum | 443 | sts.windows.net |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Özel Konum için gereklidir. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Azure Arc için gereklidir. |
| Özel Konum | 443 | k8sconnectcsp.azureedge.net |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Özel Konum için gereklidir. |
| Tanılama verileri | 443 | gcs.prod.monitoring.core.windows.net |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Microsoft gerekli tanılama verilerini düzenli aralıklarla gönderir. |
| Tanılama verileri | 443 | *.prod.microsoftmetrics.com |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Microsoft gerekli tanılama verilerini düzenli aralıklarla gönderir. |
| Tanılama verileri | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Microsoft gerekli tanılama verilerini düzenli aralıklarla gönderir. |
| Tanılama verileri | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Microsoft gerekli tanılama verilerini düzenli aralıklarla gönderir. |
| Azure portal | 443 | *.arc.azure.net |
Alet VM IP'lerinin giden bağlantıya ihtiyacı vardır. | Azure portalından kümeyi yönetme. |
| Azure CLI ve Uzantı | 443 | *.blob.core.windows.net |
Yönetim makinesinin giden bağlantıya ihtiyacı var. | Azure CLI Yükleyicisi ve uzantısını indirin. |
| Azure Arc Aracısı | 443 | *.dp.kubernetesconfiguration.azure.com |
Yönetim makinesinin giden bağlantıya ihtiyacı var. | Arc aracısı için kullanılan veri düzlemi. |
| Python paketi | 443 | pypi.org, *.pypi.org |
Yönetim makinesinin giden bağlantıya ihtiyacı var. | Kubernetes ve Python sürümlerini doğrulayın. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Yönetim makinesinin giden bağlantıya ihtiyacı var. | Azure CLI yüklemesi için Python paketleri. |
Gelen bağlantı gereksinimleri
Yönetim makinesinden, Alet VM IP'lerinden ve Denetim Düzlemi IP'lerinden aşağıdaki bağlantı noktaları arasındaki iletişime izin verilmelidir. Arc kaynak köprüsünün dağıtımını ve bakımını kolaylaştırmak için bu bağlantı noktalarının açık olduğundan ve trafiğin bir ara sunucu üzerinden yönlendirilmediğinden emin olun.
| Hizmet | Bağlantı noktası | IP/makine | Yön | Notlar |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs ve Management machine |
İki Yönlü | Alet VM'sini dağıtmak ve bakımını sağlamak için kullanılır. |
| Kubernetes API sunucusu | 6443 | appliance VM IPs ve Management machine |
Çift yönlü | Alet VM'sinin yönetimi. |
| SSH | 22 | control plane IP ve Management machine |
İki Yönlü | Alet VM'sini dağıtmak ve bakımını sağlamak için kullanılır. |
| Kubernetes API sunucusu | 6443 | control plane IP ve Management machine |
Çift yönlü | Alet VM'sinin yönetimi. |
| HTTPS | 443 | private cloud control plane address ve Management machine |
Yönetim makinesinin giden bağlantıya ihtiyacı var. | Kontrol düzlemi ile iletişim (ör. VMware vCenter adresi). |
Not
Burada listelenen URL'ler yalnızca Arc kaynak köprüsü için gereklidir. Diğer Arc ürünleri (Arc özellikli VMware vSphere gibi) ek gerekli URL'lere sahip olabilir. Ayrıntılar için bkz . Azure Arc ağ gereksinimleri.
Arc kaynak köprüsü için belirlenmiş IP aralıkları
Arc kaynak köprüsü dağıtılırken, belirli IP aralıkları yalnızca alet VM'sinin içindeki Kubernetes podları ve hizmetleri için ayrılır. Bu iç IP aralıkları IP adresi ön eki, denetim düzlemi IP'si, alet VM IP'leri, DNS sunucuları, proxy sunucuları veya vSphere ESXi konakları gibi kaynak köprüsü yapılandırma girişleri ile çakışmamalıdır. Arc kaynak köprüsü yapılandırmasıyla ilgili ayrıntılar için sistem gereksinimlerine bakın.
Not
Belirlenen bu IP aralıkları yalnızca Arc kaynak köprüsü içinde dahili olarak kullanılır. Bunlar Azure kaynaklarını veya ağlarını etkilemez.
| Hizmet | Belirlenen IP aralığı |
|---|---|
| Arc kaynak köprüsü Kubernetes podları | 10.244.0.0/16 |
| Arc kaynak köprüsü Kubernetes hizmetleri | 10.96.0.0/12 |
SSL proxy yapılandırması
Önemli
Arc Kaynak Köprüsü, kimliği doğrulanmamış proxy'ler, temel kimlik doğrulamasına sahip proxy'ler, SSL sonlandırıcı proxy'ler ve SSL geçiş proxy'leri dahil olmak üzere yalnızca doğrudan (açık) proxy'leri destekler.
Ara sunucu kullanılıyorsa Arc Kaynak Köprüsü, Azure hizmetlerine bağlanmak için ara sunucuyu kullanacak şekilde yapılandırılmalıdır.
Arc kaynak köprüsünü ara sunucuyla yapılandırmak için, yapılandırma dosyalarını oluştururken ara sunucu sertifikası dosya yolunu sağlayın.
Sertifika dosyasının biçimi Base-64 ile kodlanmış X.509 ( şeklindedir . CER).
Yalnızca tek ara sunucu sertifikasını geçirin. Bir sertifika paketi geçirilirse dağıtım başarısız olur.
Ara sunucu uç noktası bir
.localetki alanı olamaz.Proxy sunucusuna, denetim düzlemi ve alet VM IP'leri de dahil olmak üzere IP adresi ön eki içindeki tüm IP'lerden ulaşılabilir olması gerekir.
Bir SSL ara sunucusunun arkasında Arc kaynak köprüsü dağıtılırken ilgili olması gereken yalnızca iki sertifika vardır:
SSL proxy'niz için SSL sertifikası (yönetim makinesi ve alet VM'sinin proxy FQDN'nize güvenmesi ve buna ssl bağlantısı kurabilmesi için)
Microsoft indirme sunucularının SSL sertifikası. Son bağlantıyı kuran proxy olduğundan ve uç noktaya güvenmesi gerektiğinden, bu sertifikaya proxy sunucunuzun kendisi güvenmelidir. Windows olmayan makineler varsayılan olarak bu ikinci sertifikaya güvenmeyebilir, bu nedenle güvenilir olduğundan emin olmanız gerekebilir.
Arc kaynak köprüsünü dağıtmak için görüntülerin yönetim makinesine indirilmesi ve ardından şirket içi özel bulut galerisine yüklenmesi gerekir. Proxy sunucunuz indirme hızını kısıtlarsa, ayrılan süre (90 dk) içinde gerekli görüntüleri (yaklaşık 3,5 GB) indiremeyebilirsiniz.
Ara sunucu olmayan dışlama listesi
Bir ara sunucu kullanılıyorsa, aşağıdaki tabloda ayarları yapılandırarak ara sunucunun dışında tutulması gereken adreslerin noProxy listesi yer alır.
| IP Address | Dışlama nedeni |
|---|---|
| localhost, 127.0.0.1 | Localhost trafiği |
| .Svc | .svc'nin joker karakter adını temsil ettiği iç Kubernetes hizmet trafiği (.svc ). Bu, *.svc deyişine benzer, ancak bu şemada hiçbiri kullanılmaz. |
| 10.0.0.0/8 | özel ağ adres alanı |
| 172.16.0.0/12 | Özel ağ adres alanı - Kubernetes Service CIDR |
| 192.168.0.0/16 | Özel ağ adres alanı - Kubernetes Pod CIDR |
| contoso.com. | Kurumsal ad alanınızın (.contoso.com) proxy üzerinden yönlendirilmesinden muaf tutulmasını isteyebilirsiniz. Bir etki alanındaki tüm adresleri dışlamak için, etki alanını noProxy listeye eklemeniz gerekir. Joker karakter (*) karakteri yerine baştaki bir nokta kullanın. Örnekte, adresler .contoso.com , prefix2.contoso.comve gibi adresleri prefix1.contoso.comdışlar. |
için noProxy varsayılan değerdir localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Bu varsayılan değerler birçok ağda çalışacak olsa da, muafiyet listesine daha fazla alt ağ aralığı ve/veya ad eklemeniz gerekebilir. Örneğin, kurumsal ad alanınızın (.contoso.com) proxy üzerinden yönlendirilmesinden muaf tutulmasını isteyebilirsiniz. Listedeki değerleri noProxy belirterek bunu yapabilirsiniz.
Önemli
Ayarlar için birden çok adresi listelerken, adresleri ayırmak için noProxy her virgülden sonra boşluk eklemeyin. Adreslerin virgülleri hemen takip etmesi gerekir.
İç bağlantı noktası dinleme
Alet VM'sinin aşağıdaki bağlantı noktalarını dinleyecek şekilde yapılandırıldığını unutmayın. Bu bağlantı noktaları yalnızca iç işlemler için kullanılır ve dış erişim gerektirmez:
- 8443 – Microsoft Entra Authentication Web Kancası uç noktası
- 10257 – Arc kaynak köprüsü ölçümleri için uç nokta
- 10250 – Arc kaynak köprüsü ölçümleri için uç nokta
- 2382 – Arc kaynak köprüsü ölçümleri için uç nokta
Sonraki adımlar
- Gereksinimler ve teknik ayrıntılar hakkında daha fazla bilgi edinmek için Azure Arc kaynak köprüsüne genel bakış bölümünü gözden geçirin.
- Azure Arc kaynak köprüsü için güvenlik yapılandırması ve dikkat edilmesi gerekenler hakkında bilgi edinin.
- Ağ sorunları için sorun giderme ipuçlarını görüntüleyin.