Freigeben über


Azure Arc-Netzwerkanforderungen

In diesem Artikel werden die Endpunkte, Ports und Protokolle aufgeführt, die für Azure Arc-fähige Dienste und Features erforderlich sind.

Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:

  • Alle Verbindungen sind TCP, sofern nicht anders angegeben.
  • Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
  • Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.

Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.

Tipp

Für die öffentliche Azure-Cloud können Sie die Anzahl der erforderlichen Endpunkte reduzieren, indem Sie das Azure Arc-Gateway für Arc-fähige Server oder Arc-fähige Kubernetes verwenden.

Azure Arc-fähige Kubernetes-Endpunkte

Für alle Kubernetes-basierten Arc-Angebote ist eine Verbindung mit den Arc Kubernetes-basierten Endpunkten erforderlich, einschließlich:

  • Azure Arc-fähiges Kubernetes
  • Azure Arc-fähige App-Dienste
  • Machine Learning mit Azure Arc-Unterstützung
  • Azure Arc-fähige Datendienste (nur direkter Verbindungsmodus)

Wichtig

Azure Arc-Agents müssen über die folgenden ausgehenden URLs unter https://:443 verfügen, um zu funktionieren: Für *.servicebus.windows.net müssen Websockets für den ausgehenden Zugriff auf die Firewall und den Proxy aktiviert werden.

Endpunkt (DNS) BESCHREIBUNG
https://management.azure.com Erforderlich, damit der Agent eine Verbindung mit Azure herstellen und den Cluster registrieren kann.
https://<region>.dp.kubernetesconfiguration.azure.com Endpunkt auf Datenebene, über den der Agent Statusinformationen mithilfe von Push übermitteln und Konfigurationsinformationen abrufen kann
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
Erforderlich zum Abrufen und Aktualisieren von Azure Resource Manager-Token.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
Erforderlich zum Pullen von Containerimages für Azure Arc-Agents.
https://gbl.his.arc.azure.com Erforderlich, um den regionalen Endpunkt zum Abrufen von Zertifikaten systemseitig zugewiesener verwalteter Identitäten per Pull zu erhalten.
https://*.his.arc.azure.com Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten.
https://k8connecthelm.azureedge.net az connectedk8s connect verwendet Helm 3 zum Bereitstellen von Azure Arc-Agents im Kubernetes-Cluster. Dieser Endpunkt wird für den Helm-Clientdownload benötigt, um die Bereitstellung des Helm-Charts für den Agent zu vereinfachen.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
Für Szenarien, die auf Cluster Connect und benutzerdefinierten Speicherorten basieren.
*.servicebus.windows.net Für Szenarien, die auf Cluster Connect und benutzerdefinierten Speicherorten basieren.
https://graph.microsoft.com/ Erforderlich, wenn Azure RBAC konfiguriert ist.
*.arc.azure.net Erforderlich zum Verwalten verbundener Cluster in Azure-Portal.
https://<region>.obo.arc.azure.com:8084/ Erforderlich, wenn Cluster Connect konfiguriert ist.
https://linuxgeneva-microsoft.azurecr.io Erforderlich, wenn Azure Arc-fähige Kubernetes-Erweiterungen verwendet werden.

Um den Platzhalter *.servicebus.windows.net in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.

Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com*.eastus2.arcdataservices.com sein.

Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:

az account list-locations -o table
Get-AzLocation | Format-Table

Weitere Informationen finden Sie unter Azure Arc-fähige Kubernetes-Netzwerkanforderungen.

Datendienste mit Azure Arc-Unterstützung

In diesem Abschnitt werden die Anforderungen beschrieben, die speziell für Azure Arc-fähige Datendienste gelten, zusätzlich zu den oben aufgeführten Arc-fähigen Kubernetes-Endpunkten.

Dienst Port URL Richtung Hinweise
Helm-Chart (nur direkt verbundener Modus) 443 arcdataservicesrow1.azurecr.io Ausgehend Stellt den Azure Arc-Datencontroller-Bootstrapper und der Objekte auf Clusterebene bereit, z. B. benutzerdefinierte Ressourcendefinitionen, Clusterrollen und Clusterrollenbindungen, abgerufen per Pull aus einer Azure Container Registry.
Azure Monitor-APIs 1 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Ausgehend Azure Data Studio und die Azure CLI stellen eine Verbindung mit den Azure Resource Manager-APIs her, um für einige Funktionen Daten an Azure zu und aus Azure abzurufen. Siehe Azure Monitor APIs.
Azure Arc-Datenverarbeitungsdienst 1 443 *.<region>.arcdataservices.com 2 Ausgehend

1 Die Anforderung hängt vom Bereitstellungsmodus ab:

  • Für den direkten Modus muss der Controller-Pod im Kubernetes-Cluster über ausgehende Verbindungen mit den Endpunkten verfügen, um die Protokolle, Metriken, Bestands- und Abrechnungsinformationen an Azure Monitor/Data Processing Service zu senden.
  • Für den indirekten Modus muss der Computer, wo az arcdata dc upload ausgeführt wird, über die ausgehende Verbindung zum Azure Monitor- und Datenverarbeitungsdienst verfügen.

2 Für Erweiterungsversionen bis einschließlich 13. Februar 2024 verwenden Sie san-af-<region>-prod.azurewebsites.net.

Azure Monitor-APIs

Verbindungen aus Azure Data Studio mit dem Kubernetes-API-Server verwenden die von Ihnen eingerichtete Kubernetes-Authentifizierung und -Verschlüsselung. Jeder Benutzer, der Azure Data Studio oder die CLI verwendet, muss über eine authentifizierte Verbindung mit der Kubernetes-API verfügen, um viele der Aktionen im Zusammenhang mit Azure Arc-fähigen Datendiensten ausführen zu können.

Weitere Informationen finden Sie unter Konnektivitätsmodi und -anforderungen.

Server mit Azure Arc-Unterstützung

Konnektivität zu Arc-fähigen Serverendpunkten ist erforderlich für:

  • SQL Server mit Azure Arc-Unterstützung

  • Azure Arc-fähige VMware vSphere *

  • Azure Arc-fähiges System Center Virtual Machine Manager *

  • Azure Arc-fähiges Azure Stack (HCI) *

    *Nur für die aktivierte Gastverwaltung erforderlich.

Für alle serverbasierten Arc-Angebote sind Serverendpunkte mit Azure Arc-Unterstützung erforderlich.

Netzwerkkonfiguration

Der Azure Connected Machine-Agent für Linux und Windows kommuniziert ausgehend auf sichere Weise mit Azure Arc über TCP-Port 443. Standardmäßig verwendet der Agent die Standardroute zum Internet, um Azure-Dienste zu erreichen. Optional können Sie den Agent so konfigurieren, dass er einen Proxyserver verwendet, wenn Ihr Netzwerk dies erfordert. Proxyserver machen den Connected Machine-Agent nicht sicherer, da der Datenverkehr bereits verschlüsselt ist.

Um Ihre Netzwerkkonnektivität mit Azure Arc zu schützen, können Sie anstelle von öffentlichen Netzwerken und Proxyservern einen Azure Arc Private Link implementieren.

Hinweis

Azure Arc-fähige Server unterstützen nicht die Verwendung eines Log Analytics-Gateways als Proxy für den Connected Machine-Agent. Gleichzeitig unterstützt der Azure Monitor-Agent das Log Analytics-Gateway.

Sollte die ausgehende Konnektivität durch Ihre Firewall oder Ihren Proxyserver eingeschränkt sein, stellen Sie sicher, dass die unten aufgeführten URLs und Diensttags nicht blockiert werden.

Diensttags

Erlauben Sie unbedingt Zugriff auf die folgenden Diensttags:

Eine Liste der IP-Adressen für die einzelnen Diensttags/Regionen finden Sie in der JSON-Datei unter Azure-IP-Adressbereiche und -Diensttags – Öffentliche Cloud. Microsoft veröffentlicht wöchentliche Updates zu den einzelnen Azure-Diensten und den dafür genutzten IP-Adressbereichen. Bei diesen Informationen in der JSON-Datei handelt es sich um die zum jetzigen Zeitpunkt gültige Liste der IP-Adressbereiche, die den einzelnen Diensttags entsprechen. Die IP-Adressen können sich ändern. Falls IP-Adressbereiche für Ihre Firewallkonfiguration erforderlich sind, sollte das Diensttag AzureCloud verwendet werden, um den Zugriff auf alle Azure-Dienste zuzulassen. Deaktivieren Sie weder die Sicherheitsüberwachung noch die Überprüfung dieser URLs. Lassen Sie sie wie anderen Internetdatenverkehr zu.

Wenn Sie Den Datenverkehr auf das AzureArcInfrastructure-Diensttag filtern, müssen Sie den Datenverkehr für den gesamten Diensttagbereich zulassen. Die für einzelne Regionen angekündigten Bereiche, z. B. AzureArcInfrastructure.AustraliaEast, enthalten nicht die IP-Bereiche, die von globalen Komponenten des Diensts verwendet werden. Die für diese Endpunkte aufgelöste spezifische IP-Adresse kann sich im Laufe der Zeit innerhalb der dokumentierten Bereiche ändern. Verwenden Sie daher einfach ein Nachschlagetool, um die aktuelle IP-Adresse für einen bestimmten Endpunkt zu identifizieren und den Zugriff darauf zu ermöglichen, um einen zuverlässigen Zugriff zu gewährleisten.

Weitere Informationen finden Sie unter Diensttags für virtuelle Netzwerke.

URLs

In der folgenden Tabelle sind die URLs aufgeführt, die verfügbar sein müssen, um den Connected Machine-Agent zu installieren und zu verwenden.

Hinweis

Beim Konfigurieren des mit Azure verbundenen Computer-Agents für die Kommunikation mit Azure über Private Link müssen einige Endpunkte weiterhin über das Internet aufgerufen werden. Die Spalte Für privaten Link geeignet in der folgenden Tabelle zeigt, welche Endpunkte mit einem privaten Endpunkt konfiguriert werden können. Wenn in der Spalte Öffentlich für einen Endpunkt angezeigt wird, müssen Sie dennoch den Zugriff auf diesen Endpunkt über die Firewall und/oder den Proxyserver Ihrer Organisation zulassen, damit der Agent funktioniert. Der Netzwerkdatenverkehr wird über den privaten Endpunkt geleitet, wenn ein Bereich für private Links zugewiesen ist.

Agent-Ressource Beschreibung Wenn erforderlich Für privaten Link geeignet
aka.ms Wird verwendet, um das Downloadskript während der Installation aufzulösen. Nur zur Installationszeit Öffentlich
download.microsoft.com Wird zum Herunterladen des Windows-Installationspakets verwendet. Nur zur Installationszeit Öffentlich
packages.microsoft.com Wird zum Herunterladen des Linux-Installationspakets verwendet. Nur zur Installationszeit Öffentlich
login.microsoftonline.com Microsoft Entra ID Always Öffentlich
*login.microsoft.com Microsoft Entra ID Always Öffentlich
pas.windows.net Microsoft Entra ID Always Öffentlich
management.azure.com Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource Nur beim Verbinden oder Trennen eines Servers Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert.
*.his.arc.azure.com Metadaten- und Hybrididentitätsdienste Always Privat
*.guestconfiguration.azure.com Erweiterungs- und Gastkonfigurationsdienste Always Privat
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien Always Öffentlich
azgn*.servicebus.windows.net Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien Always Öffentlich
*.servicebus.windows.net Für Windows Admin Center- und SSH-Szenarien Wenn SSH oder Windows Admin Center aus Azure verwendet wird Öffentlich
*.waconazure.com Für Windows Admin Center-Konnektivität Bei Verwendung von Windows Admin Center Öffentlich
*.blob.core.windows.net Herunterladen der Quelle für die Erweiterungen für Azure Arc-fähige Server Immer, außer bei Verwendung privater Endpunkte Wird nicht verwendet, wenn ein private Verbindung konfiguriert ist.
dc.services.visualstudio.com Agent-Telemetrie Optional, nicht in Agent-Versionen 1.24 und höher verwendet Öffentlich
*.<region>.arcdataservices.com 1 Für Arc SQL Server. Sendet Datenverarbeitungsdienst, Diensttelemetrie und Leistungsüberwachung an Azure. TLS 1.3 zulässig Always Öffentlich
www.microsoft.com/pkiops/certs Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) Bei Verwendung der von Azure Arc aktivierten ESUs. Immer für automatische Updates oder vorübergehend erforderlich, wenn Zertifikate manuell heruntergeladen werden. Öffentlich

1 Einzelheiten dazu, welche Informationen gesammelt und gesendet werden, finden Sie unter Datensammlung und Berichterstellung für SQL Server über Azure Arc.

Für Erweiterungsversionen bis einschließlich 13. Februar 2024 verwenden Sie san-af-<region>-prod.azurewebsites.net. Ab dem 12. März 2024 verwenden sowohl die Azure Arc-Datenverarbeitung als auch die Azure Arc-Datentelemetrie *.<region>.arcdataservices.com.

Hinweis

Um den Platzhalter *.servicebus.windows.net in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. In diesem Befehl muss die Region für den Platzhalter <region> angegeben werden. Diese Endpunkte können sich regelmäßig ändern.

Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.

Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com*.eastus2.arcdataservices.com sein.

Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:

az account list-locations -o table
Get-AzLocation | Format-Table

Transport Layer Security 1.2-Protokoll (TLS)

Um die Sicherheit von Daten bei der Übertragung an Azure zu gewährleisten, wird dringend empfohlen, den Computer so zu konfigurieren, dass er TLS 1.2 (Transport Layer Security) verwendet. Bei älteren Versionen von TLS/Secure Sockets Layer (SSL) wurde ein Sicherheitsrisiko festgestellt. Sie funktionieren aus Gründen der Abwärtskompatibilität zwar noch, werden jedoch nicht empfohlen.

Plattform/Sprache Support Weitere Informationen
Linux Linux-Distributionen greifen zur Unterstützung von TLS 1.2 tendenziell auf OpenSSL zurück. Überprüfen Sie anhand des OpenSSL-Änderungsprotokolls, ob Ihre Version von OpenSSL unterstützt wird.
Windows Server 2012 R2 und höhere Versionen Unterstützt und standardmäßig aktiviert. Zur Bestätigung, dass Sie weiterhin die Standardeinstellungen verwenden.

Nur Teilmenge der Endpunkte für ESU

Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für eins oder beide der folgenden Produkte verwenden:

  • Windows Server 2012
  • SQL Server 2012

Sie können die folgende Teilmenge von Endpunkten aktivieren:

Agent-Ressource Beschreibung Wenn erforderlich Mit privatem Link verwendeter Endpunkt
aka.ms Wird verwendet, um das Downloadskript während der Installation aufzulösen. Nur zur Installationszeit Öffentlich
download.microsoft.com Wird zum Herunterladen des Windows-Installationspakets verwendet. Nur zur Installationszeit Öffentlich
login.windows.net Microsoft Entra ID Always Öffentlich
login.microsoftonline.com Microsoft Entra ID Always Öffentlich
*login.microsoft.com Microsoft Entra ID Always Öffentlich
management.azure.com Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource Nur beim Verbinden oder Trennen eines Servers Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert.
*.his.arc.azure.com Metadaten- und Hybrididentitätsdienste Always Privat
*.guestconfiguration.azure.com Erweiterungs- und Gastkonfigurationsdienste Always Privat
www.microsoft.com/pkiops/certs Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) Immer für automatische Updates oder vorübergehend, wenn Zertifikate manuell heruntergeladen werden. Öffentlich
*.<region>.arcdataservices.com Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie. SQL Server-ESUs Öffentlich
*.blob.core.windows.net Sql Server-Erweiterungspaket herunterladen SQL Server-ESUs Bei Verwendung einer privaten Verbindung nicht erforderlich

Weitere Informationen finden Sie unter Netzwerkanforderungen für verbundene Computer-Agents.

Ressourcenbrücke für Azure Arc

In diesem Abschnitt werden zusätzliche Netzwerkanforderungen beschrieben, die speziell für die Bereitstellung der Azure Arc-Ressourcenbrücke in Ihrem Unternehmen gelten. Diese Anforderungen gelten auch für Azure Arc-fähige VMware vSphere und Azure Arc-fähige System Center Virtual Machine Manager.

Anforderungen für ausgehende Konnektivität

Die unten aufgeführten Firewall- und Proxy-URLs müssen in die Positivliste aufgenommen werden, um die Kommunikation vom steuernden Computer, der Appliance-VM und der Steuerungsebenen-IP zu den erforderlichen Arc-Ressourcenbrücken-URLs zu ermöglichen.

Firewall/Proxy-URL-Positivliste

Dienst Port URL Richtung Hinweise
SFS-API-Endpunkt 443 msk8s.api.cdp.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Laden Sie den Produktkatalog, Produktbits und Betriebssystemimages von SFS herunter.
Ressourcenbrücke (Appliance): Image-Download 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Herunterladen der Betriebssystemimages für die Arc-Ressourcenbrücke.
Microsoft Container Registry 443 mcr.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Entdecken Sie Containerimages für Arc Resource Bridge.
Microsoft Container Registry 443 *.data.mcr.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Laden Sie Containerimages für Arc Resource Bridge herunter.
Windows NTP Server 123 time.windows.com Die IP-Adressen von Verwaltungscomputern und Appliance-VMs (bei der Hyper-V-Standardeinstellung Windows NTP) benötigen eine ausgehende Verbindung für UDP Synchronisierung der Betriebssystemzeit auf Appliance-VM und Verwaltungscomputer (Windows NTP).
Azure Resource Manager 443 management.azure.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Verwalten von Ressourcen in Azure.
Microsoft Graph 443 graph.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Erforderlich für Azure RBAC.
Azure Resource Manager 443 login.microsoftonline.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Erforderlich zum Aktualisieren von ARM-Token.
Azure Resource Manager 443 *.login.microsoft.com Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Erforderlich zum Aktualisieren von ARM-Token.
Azure Resource Manager 443 login.windows.net Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. Erforderlich zum Aktualisieren von ARM-Token.
Ressourcenbrücke (Appliance): Datenebenendienst 443 *.dp.prod.appliances.azure.com Appliance VMs IP benötigen eine ausgehende Verbindung. Kommunizieren mit dem Ressourcenanbieter in Azure.
Ressourcenbrücke (Appliance): Download des Containerimages 443 *.blob.core.windows.net, ecpacr.azurecr.io Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich zum Pullen von Containerimages.
Verwaltete Identität 443 *.his.arc.azure.com Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten.
Download des Containerimages für Azure Arc für Kubernetes 443 azurearcfork8s.azurecr.io Appliance VM IPs benötigen eine ausgehende Verbindung. Pullen von Containerimages.
Azure Arc-Agent 443 k8connecthelm.azureedge.net Appliance VM IPs benötigen eine ausgehende Verbindung. Bereitstellen eines Azure Arc-Agents.
ADHS-Telemetriedienst 443 adhs.events.data.microsoft.com Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten von der VM der Appliance an Microsoft.
Microsoft-Ereignisdatendienst 443 v20.events.data.microsoft.com Appliance VM IPs benötigen eine ausgehende Verbindung. Senden von Diagnosedaten aus Windows.
Protokollsammlung für Arc Resource Bridge 443 linuxgeneva-microsoft.azurecr.io Appliance VM IPs benötigen eine ausgehende Verbindung. Pushprotokolle für von der Appliance verwaltete Komponenten.
Ressourcenbrückenkomponenten herunterladen 443 kvamanagementoperator.azurecr.io Appliance VM IPs benötigen eine ausgehende Verbindung. Pullartefakte für von der Appliance verwaltete Komponenten.
Microsoft Open Source-Paketmanager 443 packages.microsoft.com Appliance VM IPs benötigen eine ausgehende Verbindung. Laden Sie das Linux-Installationspaket herunter.
Benutzerdefinierter Speicherort 443 sts.windows.net Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich für benutzerdefinierten Speicherort.
Azure Arc 443 guestnotificationservice.azure.com Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich für Azure Arc.
Benutzerdefinierter Speicherort 443 k8sconnectcsp.azureedge.net Appliance VM IPs benötigen eine ausgehende Verbindung. Erforderlich für benutzerdefinierten Speicherort.
Diagnosedaten 443 gcs.prod.monitoring.core.windows.net Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft.
Diagnosedaten 443 *.prod.microsoftmetrics.com Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft.
Diagnosedaten 443 *.prod.hot.ingest.monitor.core.windows.net Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft.
Diagnosedaten 443 *.prod.warm.ingest.monitor.core.windows.net Appliance VM IPs benötigen eine ausgehende Verbindung. Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft.
Azure-Portal 443 *.arc.azure.net Appliance VM IPs benötigen eine ausgehende Verbindung. Verwalten eines Clusters im Azure-Portal.
Azure CLI und Erweiterung 443 *.blob.core.windows.net Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Laden Sie den Azure CLI Installer und die Erweiterung herunter.
Azure Arc-Agent 443 *.dp.kubernetesconfiguration.azure.com Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Für Arc-Agent verwendete Datenplane.
Python-Paket 443 pypi.org, *.pypi.org Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Validieren Sie Kubernetes- und Python-Versionen.
Azure CLI 443 pythonhosted.org, *.pythonhosted.org Der Verwaltungscomputer benötigt eine ausgehende Verbindung.  Python-Pakete für die Azure CLI-Installation.

Anforderungen für eingehende Konnektivität

Die Kommunikation zwischen den folgenden Ports muss vom Verwaltungscomputer, VM-IPs der Appliance und Steuerebenen-IPs zulässig sein. Stellen Sie sicher, dass diese Ports geöffnet sind und der Datenverkehr nicht über einen Proxy weitergeleitet wird, um die Bereitstellung und Wartung der Arc-Ressourcenbrücke zu erleichtern.

Dienst Port IP/Computer Richtung Hinweise
SSH 22 appliance VM IPs und Management machine Bidirektional Wird zum Bereitstellen und Warten der Appliance-VM verwendet
Kubernetes-API-Server 6443 appliance VM IPs und Management machine Bidirektional Verwaltung der Appliance-VM
SSH 22 control plane IP und Management machine Bidirektional Wird zum Bereitstellen und Warten der Appliance-VM verwendet
Kubernetes-API-Server 6443 control plane IP und Management machine Bidirektional Verwaltung der Appliance-VM
HTTPS 443 private cloud control plane address und Management machine Der Verwaltungscomputer benötigt eine ausgehende Verbindung.  Kommunikation mit Steuerebene (z. B. VMware vCenter-Adresse).

Weitere Informationen finden Sie unter Netzwerkanforderungen der Azure Arc-Ressourcenbrücke.

VMware vSphere mit Azure Arc-Unterstützung

Azure Arc-fähige VMware vSphere erfordert außerdem Folgendes:

Dienst Port URL Richtung Hinweise
vCenter Server 443 URL des vCenter-Servers Die IP-Adresse der Appliance-VM und der Endpunkt der Steuerungsebene benötigen eine ausgehende Verbindung. Wird vom vCenter-Server verwendet, um mit der Appliance-VM und der Steuerungsebene zu kommunizieren.
VMware-Clustererweiterung 443 azureprivatecloud.azurecr.io Appliance VM IPs benötigen eine ausgehende Verbindung. Pullen Sie Containerimages für die Clustererweiterungen „Microsoft.VMWare“ und „Microsoft.AVS“.
Azure-Befehlszeilenschnittstelle und Azure CLI-Erweiterungen 443 *.blob.core.windows.net Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Laden Sie das Installationsprogramm für die Azure-Befehlszeilenschnittstelle und die Azure CLI-Erweiterungen herunter.
Azure Resource Manager 443 management.azure.com Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Diese sind für das Erstellen und Aktualisieren von Ressourcen in Azure mit ARM erforderlich.
Helm-Chart für Azure Arc-Agents 443 *.dp.kubernetesconfiguration.azure.com Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Endpunkt auf Datenebene zum Herunterladen der Konfigurationsinformationen von Arc-Agents.
Azure CLI 443 - login.microsoftonline.com

- aka.ms
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. Erforderlich zum Abrufen und Aktualisieren von Azure Resource Manager-Token.

Weitere Informationen finden Sie unter Supportmatrix für Azure Arc-fähige VMware vSphere.

System Center Virtual Machine Manager mit Azure Arc-Unterstützung

Azure Arc-fähiges System Center Virtual Machine Manager (SCVMM) erfordert außerdem Folgendes:

Dienst Port URL Richtung Hinweise
SCVMM-Verwaltungsserver 443 URL des SCVMM-Verwaltungsservers Die IP-Adresse der Appliance-VM und der Endpunkt der Steuerungsebene benötigen eine ausgehende Verbindung. Wird vom SCVMM-Server verwendet, um mit der Appliance-VM und der Steuerungsebene zu kommunizieren.

Weitere Informationen finden Sie unter Übersicht über arc-fähige System Center Virtual Machine Manager.

Zusätzliche Endpunkte

Je nach Szenario benötigen Sie möglicherweise eine Verbindung mit anderen URLs, z. B. von den Azure-Portal, Verwaltungstools oder anderen Azure-Diensten. Überprüfen Sie insbesondere diese Listen, um sicherzustellen, dass Sie die Verbindung zu allen erforderlichen Endpunkten zulassen: