Azure Arc-Netzwerkanforderungen
In diesem Artikel werden die Endpunkte, Ports und Protokolle aufgeführt, die für Azure Arc-fähige Dienste und Features erforderlich sind.
Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:
- Alle Verbindungen sind TCP, sofern nicht anders angegeben.
- Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
- Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.
Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.
Tipp
Für die öffentliche Azure-Cloud können Sie die Anzahl der erforderlichen Endpunkte reduzieren, indem Sie das Azure Arc-Gateway für Arc-fähige Server oder Arc-fähige Kubernetes verwenden.
Azure Arc-fähige Kubernetes-Endpunkte
Für alle Kubernetes-basierten Arc-Angebote ist eine Verbindung mit den Arc Kubernetes-basierten Endpunkten erforderlich, einschließlich:
- Azure Arc-fähiges Kubernetes
- Azure Arc-fähige App-Dienste
- Machine Learning mit Azure Arc-Unterstützung
- Azure Arc-fähige Datendienste (nur direkter Verbindungsmodus)
Wichtig
Azure Arc-Agents müssen über die folgenden ausgehenden URLs unter https://:443
verfügen, um zu funktionieren:
Für *.servicebus.windows.net
müssen Websockets für den ausgehenden Zugriff auf die Firewall und den Proxy aktiviert werden.
Endpunkt (DNS) | BESCHREIBUNG |
---|---|
https://management.azure.com |
Erforderlich, damit der Agent eine Verbindung mit Azure herstellen und den Cluster registrieren kann. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Endpunkt auf Datenebene, über den der Agent Statusinformationen mithilfe von Push übermitteln und Konfigurationsinformationen abrufen kann |
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net |
Erforderlich zum Abrufen und Aktualisieren von Azure Resource Manager-Token. |
https://mcr.microsoft.com https://*.data.mcr.microsoft.com |
Erforderlich zum Pullen von Containerimages für Azure Arc-Agents. |
https://gbl.his.arc.azure.com |
Erforderlich, um den regionalen Endpunkt zum Abrufen von Zertifikaten systemseitig zugewiesener verwalteter Identitäten per Pull zu erhalten. |
https://*.his.arc.azure.com |
Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten. |
https://k8connecthelm.azureedge.net |
az connectedk8s connect verwendet Helm 3 zum Bereitstellen von Azure Arc-Agents im Kubernetes-Cluster. Dieser Endpunkt wird für den Helm-Clientdownload benötigt, um die Bereitstellung des Helm-Charts für den Agent zu vereinfachen. |
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net |
Für Szenarien, die auf Cluster Connect und benutzerdefinierten Speicherorten basieren. |
*.servicebus.windows.net |
Für Szenarien, die auf Cluster Connect und benutzerdefinierten Speicherorten basieren. |
https://graph.microsoft.com/ |
Erforderlich, wenn Azure RBAC konfiguriert ist. |
*.arc.azure.net |
Erforderlich zum Verwalten verbundener Cluster in Azure-Portal. |
https://<region>.obo.arc.azure.com:8084/ |
Erforderlich, wenn Cluster Connect konfiguriert ist. |
https://linuxgeneva-microsoft.azurecr.io |
Erforderlich, wenn Azure Arc-fähige Kubernetes-Erweiterungen verwendet werden. |
Um den Platzhalter *.servicebus.windows.net
in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2
.
Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com
*.eastus2.arcdataservices.com
sein.
Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:
az account list-locations -o table
Get-AzLocation | Format-Table
Weitere Informationen finden Sie unter Azure Arc-fähige Kubernetes-Netzwerkanforderungen.
Datendienste mit Azure Arc-Unterstützung
In diesem Abschnitt werden die Anforderungen beschrieben, die speziell für Azure Arc-fähige Datendienste gelten, zusätzlich zu den oben aufgeführten Arc-fähigen Kubernetes-Endpunkten.
Dienst | Port | URL | Richtung | Hinweise |
---|---|---|---|---|
Helm-Chart (nur direkt verbundener Modus) | 443 | arcdataservicesrow1.azurecr.io |
Ausgehend | Stellt den Azure Arc-Datencontroller-Bootstrapper und der Objekte auf Clusterebene bereit, z. B. benutzerdefinierte Ressourcendefinitionen, Clusterrollen und Clusterrollenbindungen, abgerufen per Pull aus einer Azure Container Registry. |
Azure Monitor-APIs 1 | 443 | *.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com |
Ausgehend | Azure Data Studio und die Azure CLI stellen eine Verbindung mit den Azure Resource Manager-APIs her, um für einige Funktionen Daten an Azure zu und aus Azure abzurufen. Siehe Azure Monitor APIs. |
Azure Arc-Datenverarbeitungsdienst 1 | 443 | *.<region>.arcdataservices.com 2 |
Ausgehend |
1 Die Anforderung hängt vom Bereitstellungsmodus ab:
- Für den direkten Modus muss der Controller-Pod im Kubernetes-Cluster über ausgehende Verbindungen mit den Endpunkten verfügen, um die Protokolle, Metriken, Bestands- und Abrechnungsinformationen an Azure Monitor/Data Processing Service zu senden.
- Für den indirekten Modus muss der Computer, wo
az arcdata dc upload
ausgeführt wird, über die ausgehende Verbindung zum Azure Monitor- und Datenverarbeitungsdienst verfügen.
2 Für Erweiterungsversionen bis einschließlich 13. Februar 2024 verwenden Sie san-af-<region>-prod.azurewebsites.net
.
Azure Monitor-APIs
Verbindungen aus Azure Data Studio mit dem Kubernetes-API-Server verwenden die von Ihnen eingerichtete Kubernetes-Authentifizierung und -Verschlüsselung. Jeder Benutzer, der Azure Data Studio oder die CLI verwendet, muss über eine authentifizierte Verbindung mit der Kubernetes-API verfügen, um viele der Aktionen im Zusammenhang mit Azure Arc-fähigen Datendiensten ausführen zu können.
Weitere Informationen finden Sie unter Konnektivitätsmodi und -anforderungen.
Server mit Azure Arc-Unterstützung
Konnektivität zu Arc-fähigen Serverendpunkten ist erforderlich für:
SQL Server mit Azure Arc-Unterstützung
Azure Arc-fähige VMware vSphere *
Azure Arc-fähiges System Center Virtual Machine Manager *
Azure Arc-fähiges Azure Stack (HCI) *
*Nur für die aktivierte Gastverwaltung erforderlich.
Für alle serverbasierten Arc-Angebote sind Serverendpunkte mit Azure Arc-Unterstützung erforderlich.
Netzwerkkonfiguration
Der Azure Connected Machine-Agent für Linux und Windows kommuniziert ausgehend auf sichere Weise mit Azure Arc über TCP-Port 443. Standardmäßig verwendet der Agent die Standardroute zum Internet, um Azure-Dienste zu erreichen. Optional können Sie den Agent so konfigurieren, dass er einen Proxyserver verwendet, wenn Ihr Netzwerk dies erfordert. Proxyserver machen den Connected Machine-Agent nicht sicherer, da der Datenverkehr bereits verschlüsselt ist.
Um Ihre Netzwerkkonnektivität mit Azure Arc zu schützen, können Sie anstelle von öffentlichen Netzwerken und Proxyservern einen Azure Arc Private Link implementieren.
Hinweis
Azure Arc-fähige Server unterstützen nicht die Verwendung eines Log Analytics-Gateways als Proxy für den Connected Machine-Agent. Gleichzeitig unterstützt der Azure Monitor-Agent das Log Analytics-Gateway.
Sollte die ausgehende Konnektivität durch Ihre Firewall oder Ihren Proxyserver eingeschränkt sein, stellen Sie sicher, dass die unten aufgeführten URLs und Diensttags nicht blockiert werden.
Diensttags
Erlauben Sie unbedingt Zugriff auf die folgenden Diensttags:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (wenn Windows Admin Center zum Verwalten von Servern mit Arc-Unterstützung verwendet wird)
Eine Liste der IP-Adressen für die einzelnen Diensttags/Regionen finden Sie in der JSON-Datei unter Azure-IP-Adressbereiche und -Diensttags – Öffentliche Cloud. Microsoft veröffentlicht wöchentliche Updates zu den einzelnen Azure-Diensten und den dafür genutzten IP-Adressbereichen. Bei diesen Informationen in der JSON-Datei handelt es sich um die zum jetzigen Zeitpunkt gültige Liste der IP-Adressbereiche, die den einzelnen Diensttags entsprechen. Die IP-Adressen können sich ändern. Falls IP-Adressbereiche für Ihre Firewallkonfiguration erforderlich sind, sollte das Diensttag AzureCloud verwendet werden, um den Zugriff auf alle Azure-Dienste zuzulassen. Deaktivieren Sie weder die Sicherheitsüberwachung noch die Überprüfung dieser URLs. Lassen Sie sie wie anderen Internetdatenverkehr zu.
Wenn Sie Den Datenverkehr auf das AzureArcInfrastructure-Diensttag filtern, müssen Sie den Datenverkehr für den gesamten Diensttagbereich zulassen. Die für einzelne Regionen angekündigten Bereiche, z. B. AzureArcInfrastructure.AustraliaEast, enthalten nicht die IP-Bereiche, die von globalen Komponenten des Diensts verwendet werden. Die für diese Endpunkte aufgelöste spezifische IP-Adresse kann sich im Laufe der Zeit innerhalb der dokumentierten Bereiche ändern. Verwenden Sie daher einfach ein Nachschlagetool, um die aktuelle IP-Adresse für einen bestimmten Endpunkt zu identifizieren und den Zugriff darauf zu ermöglichen, um einen zuverlässigen Zugriff zu gewährleisten.
Weitere Informationen finden Sie unter Diensttags für virtuelle Netzwerke.
URLs
In der folgenden Tabelle sind die URLs aufgeführt, die verfügbar sein müssen, um den Connected Machine-Agent zu installieren und zu verwenden.
Hinweis
Beim Konfigurieren des mit Azure verbundenen Computer-Agents für die Kommunikation mit Azure über Private Link müssen einige Endpunkte weiterhin über das Internet aufgerufen werden. Die Spalte Für privaten Link geeignet in der folgenden Tabelle zeigt, welche Endpunkte mit einem privaten Endpunkt konfiguriert werden können. Wenn in der Spalte Öffentlich für einen Endpunkt angezeigt wird, müssen Sie dennoch den Zugriff auf diesen Endpunkt über die Firewall und/oder den Proxyserver Ihrer Organisation zulassen, damit der Agent funktioniert. Der Netzwerkdatenverkehr wird über den privaten Endpunkt geleitet, wenn ein Bereich für private Links zugewiesen ist.
Agent-Ressource | Beschreibung | Wenn erforderlich | Für privaten Link geeignet |
---|---|---|---|
aka.ms |
Wird verwendet, um das Downloadskript während der Installation aufzulösen. | Nur zur Installationszeit | Öffentlich |
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. | Nur zur Installationszeit | Öffentlich |
packages.microsoft.com |
Wird zum Herunterladen des Linux-Installationspakets verwendet. | Nur zur Installationszeit | Öffentlich |
login.microsoftonline.com |
Microsoft Entra ID | Always | Öffentlich |
*login.microsoft.com |
Microsoft Entra ID | Always | Öffentlich |
pas.windows.net |
Microsoft Entra ID | Always | Öffentlich |
management.azure.com |
Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource | Nur beim Verbinden oder Trennen eines Servers | Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert. |
*.his.arc.azure.com |
Metadaten- und Hybrididentitätsdienste | Always | Privat |
*.guestconfiguration.azure.com |
Erweiterungs- und Gastkonfigurationsdienste | Always | Privat |
guestnotificationservice.azure.com , *.guestnotificationservice.azure.com |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien | Always | Öffentlich |
azgn*.servicebus.windows.net |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien | Always | Öffentlich |
*.servicebus.windows.net |
Für Windows Admin Center- und SSH-Szenarien | Wenn SSH oder Windows Admin Center aus Azure verwendet wird | Öffentlich |
*.waconazure.com |
Für Windows Admin Center-Konnektivität | Bei Verwendung von Windows Admin Center | Öffentlich |
*.blob.core.windows.net |
Herunterladen der Quelle für die Erweiterungen für Azure Arc-fähige Server | Immer, außer bei Verwendung privater Endpunkte | Wird nicht verwendet, wenn ein private Verbindung konfiguriert ist. |
dc.services.visualstudio.com |
Agent-Telemetrie | Optional, nicht in Agent-Versionen 1.24 und höher verwendet | Öffentlich |
*.<region>.arcdataservices.com 1 |
Für Arc SQL Server. Sendet Datenverarbeitungsdienst, Diensttelemetrie und Leistungsüberwachung an Azure. TLS 1.3 zulässig | Always | Öffentlich |
www.microsoft.com/pkiops/certs |
Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) | Bei Verwendung der von Azure Arc aktivierten ESUs. Immer für automatische Updates oder vorübergehend erforderlich, wenn Zertifikate manuell heruntergeladen werden. | Öffentlich |
1 Einzelheiten dazu, welche Informationen gesammelt und gesendet werden, finden Sie unter Datensammlung und Berichterstellung für SQL Server über Azure Arc.
Für Erweiterungsversionen bis einschließlich 13. Februar 2024 verwenden Sie san-af-<region>-prod.azurewebsites.net
. Ab dem 12. März 2024 verwenden sowohl die Azure Arc-Datenverarbeitung als auch die Azure Arc-Datentelemetrie *.<region>.arcdataservices.com
.
Hinweis
Um den Platzhalter *.servicebus.windows.net
in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
. In diesem Befehl muss die Region für den Platzhalter <region>
angegeben werden. Diese Endpunkte können sich regelmäßig ändern.
Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2
.
Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com
*.eastus2.arcdataservices.com
sein.
Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:
az account list-locations -o table
Get-AzLocation | Format-Table
Transport Layer Security 1.2-Protokoll (TLS)
Um die Sicherheit von Daten bei der Übertragung an Azure zu gewährleisten, wird dringend empfohlen, den Computer so zu konfigurieren, dass er TLS 1.2 (Transport Layer Security) verwendet. Bei älteren Versionen von TLS/Secure Sockets Layer (SSL) wurde ein Sicherheitsrisiko festgestellt. Sie funktionieren aus Gründen der Abwärtskompatibilität zwar noch, werden jedoch nicht empfohlen.
Plattform/Sprache | Support | Weitere Informationen |
---|---|---|
Linux | Linux-Distributionen greifen zur Unterstützung von TLS 1.2 tendenziell auf OpenSSL zurück. | Überprüfen Sie anhand des OpenSSL-Änderungsprotokolls, ob Ihre Version von OpenSSL unterstützt wird. |
Windows Server 2012 R2 und höhere Versionen | Unterstützt und standardmäßig aktiviert. | Zur Bestätigung, dass Sie weiterhin die Standardeinstellungen verwenden. |
Nur Teilmenge der Endpunkte für ESU
Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für eins oder beide der folgenden Produkte verwenden:
- Windows Server 2012
- SQL Server 2012
Sie können die folgende Teilmenge von Endpunkten aktivieren:
Agent-Ressource | Beschreibung | Wenn erforderlich | Mit privatem Link verwendeter Endpunkt |
---|---|---|---|
aka.ms |
Wird verwendet, um das Downloadskript während der Installation aufzulösen. | Nur zur Installationszeit | Öffentlich |
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. | Nur zur Installationszeit | Öffentlich |
login.windows.net |
Microsoft Entra ID | Always | Öffentlich |
login.microsoftonline.com |
Microsoft Entra ID | Always | Öffentlich |
*login.microsoft.com |
Microsoft Entra ID | Always | Öffentlich |
management.azure.com |
Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource | Nur beim Verbinden oder Trennen eines Servers | Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert. |
*.his.arc.azure.com |
Metadaten- und Hybrididentitätsdienste | Always | Privat |
*.guestconfiguration.azure.com |
Erweiterungs- und Gastkonfigurationsdienste | Always | Privat |
www.microsoft.com/pkiops/certs |
Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) | Immer für automatische Updates oder vorübergehend, wenn Zertifikate manuell heruntergeladen werden. | Öffentlich |
*.<region>.arcdataservices.com |
Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie. | SQL Server-ESUs | Öffentlich |
*.blob.core.windows.net |
Sql Server-Erweiterungspaket herunterladen | SQL Server-ESUs | Bei Verwendung einer privaten Verbindung nicht erforderlich |
Weitere Informationen finden Sie unter Netzwerkanforderungen für verbundene Computer-Agents.
Ressourcenbrücke für Azure Arc
In diesem Abschnitt werden zusätzliche Netzwerkanforderungen beschrieben, die speziell für die Bereitstellung der Azure Arc-Ressourcenbrücke in Ihrem Unternehmen gelten. Diese Anforderungen gelten auch für Azure Arc-fähige VMware vSphere und Azure Arc-fähige System Center Virtual Machine Manager.
Anforderungen für ausgehende Konnektivität
Die unten aufgeführten Firewall- und Proxy-URLs müssen in die Positivliste aufgenommen werden, um die Kommunikation vom steuernden Computer, der Appliance-VM und der Steuerungsebenen-IP zu den erforderlichen Arc-Ressourcenbrücken-URLs zu ermöglichen.
Firewall/Proxy-URL-Positivliste
Dienst | Port | URL | Richtung | Hinweise |
---|---|---|---|---|
SFS-API-Endpunkt | 443 | msk8s.api.cdp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie den Produktkatalog, Produktbits und Betriebssystemimages von SFS herunter. |
Ressourcenbrücke (Appliance): Image-Download | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Herunterladen der Betriebssystemimages für die Arc-Ressourcenbrücke. |
Microsoft Container Registry | 443 | mcr.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Entdecken Sie Containerimages für Arc Resource Bridge. |
Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie Containerimages für Arc Resource Bridge herunter. |
Windows NTP Server | 123 | time.windows.com |
Die IP-Adressen von Verwaltungscomputern und Appliance-VMs (bei der Hyper-V-Standardeinstellung Windows NTP) benötigen eine ausgehende Verbindung für UDP | Synchronisierung der Betriebssystemzeit auf Appliance-VM und Verwaltungscomputer (Windows NTP). |
Azure Resource Manager | 443 | management.azure.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Verwalten von Ressourcen in Azure. |
Microsoft Graph | 443 | graph.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure RBAC. |
Azure Resource Manager | 443 | login.microsoftonline.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
Azure Resource Manager | 443 | *.login.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
Azure Resource Manager | 443 | login.windows.net |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
Ressourcenbrücke (Appliance): Datenebenendienst | 443 | *.dp.prod.appliances.azure.com |
Appliance VMs IP benötigen eine ausgehende Verbindung. | Kommunizieren mit dem Ressourcenanbieter in Azure. |
Ressourcenbrücke (Appliance): Download des Containerimages | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen von Containerimages. |
Verwaltete Identität | 443 | *.his.arc.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten. |
Download des Containerimages für Azure Arc für Kubernetes | 443 | azurearcfork8s.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullen von Containerimages. |
Azure Arc-Agent | 443 | k8connecthelm.azureedge.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Bereitstellen eines Azure Arc-Agents. |
ADHS-Telemetriedienst | 443 | adhs.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten von der VM der Appliance an Microsoft. |
Microsoft-Ereignisdatendienst | 443 | v20.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Senden von Diagnosedaten aus Windows. |
Protokollsammlung für Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pushprotokolle für von der Appliance verwaltete Komponenten. |
Ressourcenbrückenkomponenten herunterladen | 443 | kvamanagementoperator.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullartefakte für von der Appliance verwaltete Komponenten. |
Microsoft Open Source-Paketmanager | 443 | packages.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Laden Sie das Linux-Installationspaket herunter. |
Benutzerdefinierter Speicherort | 443 | sts.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für benutzerdefinierten Speicherort. |
Azure Arc | 443 | guestnotificationservice.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure Arc. |
Benutzerdefinierter Speicherort | 443 | k8sconnectcsp.azureedge.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für benutzerdefinierten Speicherort. |
Diagnosedaten | 443 | gcs.prod.monitoring.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
Diagnosedaten | 443 | *.prod.microsoftmetrics.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
Diagnosedaten | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
Diagnosedaten | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
Azure-Portal | 443 | *.arc.azure.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Verwalten eines Clusters im Azure-Portal. |
Azure CLI und Erweiterung | 443 | *.blob.core.windows.net |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Laden Sie den Azure CLI Installer und die Erweiterung herunter. |
Azure Arc-Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Für Arc-Agent verwendete Datenplane. |
Python-Paket | 443 | pypi.org , *.pypi.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Validieren Sie Kubernetes- und Python-Versionen. |
Azure CLI | 443 | pythonhosted.org , *.pythonhosted.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Python-Pakete für die Azure CLI-Installation. |
Anforderungen für eingehende Konnektivität
Die Kommunikation zwischen den folgenden Ports muss vom Verwaltungscomputer, VM-IPs der Appliance und Steuerebenen-IPs zulässig sein. Stellen Sie sicher, dass diese Ports geöffnet sind und der Datenverkehr nicht über einen Proxy weitergeleitet wird, um die Bereitstellung und Wartung der Arc-Ressourcenbrücke zu erleichtern.
Dienst | Port | IP/Computer | Richtung | Hinweise |
---|---|---|---|---|
SSH | 22 | appliance VM IPs und Management machine |
Bidirektional | Wird zum Bereitstellen und Warten der Appliance-VM verwendet |
Kubernetes-API-Server | 6443 | appliance VM IPs und Management machine |
Bidirektional | Verwaltung der Appliance-VM |
SSH | 22 | control plane IP und Management machine |
Bidirektional | Wird zum Bereitstellen und Warten der Appliance-VM verwendet |
Kubernetes-API-Server | 6443 | control plane IP und Management machine |
Bidirektional | Verwaltung der Appliance-VM |
HTTPS | 443 | private cloud control plane address und Management machine |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Kommunikation mit Steuerebene (z. B. VMware vCenter-Adresse). |
Weitere Informationen finden Sie unter Netzwerkanforderungen der Azure Arc-Ressourcenbrücke.
VMware vSphere mit Azure Arc-Unterstützung
Azure Arc-fähige VMware vSphere erfordert außerdem Folgendes:
Dienst | Port | URL | Richtung | Hinweise |
---|---|---|---|---|
vCenter Server | 443 | URL des vCenter-Servers | Die IP-Adresse der Appliance-VM und der Endpunkt der Steuerungsebene benötigen eine ausgehende Verbindung. | Wird vom vCenter-Server verwendet, um mit der Appliance-VM und der Steuerungsebene zu kommunizieren. |
VMware-Clustererweiterung | 443 | azureprivatecloud.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullen Sie Containerimages für die Clustererweiterungen „Microsoft.VMWare“ und „Microsoft.AVS“. |
Azure-Befehlszeilenschnittstelle und Azure CLI-Erweiterungen | 443 | *.blob.core.windows.net |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Laden Sie das Installationsprogramm für die Azure-Befehlszeilenschnittstelle und die Azure CLI-Erweiterungen herunter. |
Azure Resource Manager | 443 | management.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Diese sind für das Erstellen und Aktualisieren von Ressourcen in Azure mit ARM erforderlich. |
Helm-Chart für Azure Arc-Agents | 443 | *.dp.kubernetesconfiguration.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Endpunkt auf Datenebene zum Herunterladen der Konfigurationsinformationen von Arc-Agents. |
Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Erforderlich zum Abrufen und Aktualisieren von Azure Resource Manager-Token. |
Weitere Informationen finden Sie unter Supportmatrix für Azure Arc-fähige VMware vSphere.
System Center Virtual Machine Manager mit Azure Arc-Unterstützung
Azure Arc-fähiges System Center Virtual Machine Manager (SCVMM) erfordert außerdem Folgendes:
Dienst | Port | URL | Richtung | Hinweise |
---|---|---|---|---|
SCVMM-Verwaltungsserver | 443 | URL des SCVMM-Verwaltungsservers | Die IP-Adresse der Appliance-VM und der Endpunkt der Steuerungsebene benötigen eine ausgehende Verbindung. | Wird vom SCVMM-Server verwendet, um mit der Appliance-VM und der Steuerungsebene zu kommunizieren. |
Weitere Informationen finden Sie unter Übersicht über arc-fähige System Center Virtual Machine Manager.
Zusätzliche Endpunkte
Je nach Szenario benötigen Sie möglicherweise eine Verbindung mit anderen URLs, z. B. von den Azure-Portal, Verwaltungstools oder anderen Azure-Diensten. Überprüfen Sie insbesondere diese Listen, um sicherzustellen, dass Sie die Verbindung zu allen erforderlichen Endpunkten zulassen: