Netzwerkanforderungen für die Azure Arc-Ressourcenbrücke
Dieser Artikel beschreibt die Netzwerkanforderungen für den Einsatz der Azure Arc-Ressourcenbrücke in Ihrem Unternehmen.
Allgemeine Netzwerkanforderungen
Die ausgehende Kommunikation der Arc-Ressourcenbrücke erfolgt sicher mit Azure Arc über TCP-Port 443. Wenn die Appliance eine Verbindung über eine Firewall oder einen Proxyserver herstellen muss, um über das Internet zu kommunizieren, erfolgt die ausgehende Kommunikation über das HTTP-Protokoll.
Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:
- Alle Verbindungen sind TCP, sofern nicht anders angegeben.
- Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
- Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.
Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.
Anforderungen für ausgehende Konnektivität
Die unten aufgeführten Firewall- und Proxy-URLs müssen in die Positivliste aufgenommen werden, um die Kommunikation vom steuernden Computer, der Appliance-VM und der Steuerungsebenen-IP zu den erforderlichen Arc-Ressourcenbrücken-URLs zu ermöglichen.
Firewall/Proxy-URL-Positivliste
Dienst | Port | URL | Richtung | Hinweise |
---|---|---|---|---|
SFS-API-Endpunkt | 443 | msk8s.api.cdp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie den Produktkatalog, Produktbits und Betriebssystemimages von SFS herunter. |
Ressourcenbrücke (Appliance): Image-Download | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Herunterladen der Betriebssystemimages für die Arc-Ressourcenbrücke. |
Microsoft Container Registry | 443 | mcr.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Entdecken Sie Containerimages für Arc Resource Bridge. |
Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie Containerimages für Arc Resource Bridge herunter. |
Windows NTP Server | 123 | time.windows.com |
Die IP-Adressen von Verwaltungscomputern und Appliance-VMs (bei der Hyper-V-Standardeinstellung Windows NTP) benötigen eine ausgehende Verbindung für UDP | Synchronisierung der Betriebssystemzeit auf Appliance-VM und Verwaltungscomputer (Windows NTP). |
Azure Resource Manager | 443 | management.azure.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Verwalten von Ressourcen in Azure. |
Microsoft Graph | 443 | graph.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure RBAC. |
Azure Resource Manager | 443 | login.microsoftonline.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
Azure Resource Manager | 443 | *.login.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
Azure Resource Manager | 443 | login.windows.net |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
Ressourcenbrücke (Appliance): Datenebenendienst | 443 | *.dp.prod.appliances.azure.com |
Appliance VMs IP benötigen eine ausgehende Verbindung. | Kommunizieren mit dem Ressourcenanbieter in Azure. |
Ressourcenbrücke (Appliance): Download des Containerimages | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen von Containerimages. |
Verwaltete Identität | 443 | *.his.arc.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten. |
Download des Containerimages für Azure Arc für Kubernetes | 443 | azurearcfork8s.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullen von Containerimages. |
Azure Arc-Agent | 443 | k8connecthelm.azureedge.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Bereitstellen eines Azure Arc-Agents. |
ADHS-Telemetriedienst | 443 | adhs.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten von der VM der Appliance an Microsoft. |
Microsoft-Ereignisdatendienst | 443 | v20.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Senden von Diagnosedaten aus Windows. |
Protokollsammlung für Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pushprotokolle für von der Appliance verwaltete Komponenten. |
Ressourcenbrückenkomponenten herunterladen | 443 | kvamanagementoperator.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullartefakte für von der Appliance verwaltete Komponenten. |
Microsoft Open Source-Paketmanager | 443 | packages.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Laden Sie das Linux-Installationspaket herunter. |
Benutzerdefinierter Speicherort | 443 | sts.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für benutzerdefinierten Speicherort. |
Azure Arc | 443 | guestnotificationservice.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure Arc. |
Benutzerdefinierter Speicherort | 443 | k8sconnectcsp.azureedge.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für benutzerdefinierten Speicherort. |
Diagnosedaten | 443 | gcs.prod.monitoring.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
Diagnosedaten | 443 | *.prod.microsoftmetrics.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
Diagnosedaten | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
Diagnosedaten | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
Azure-Portal | 443 | *.arc.azure.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Verwalten eines Clusters im Azure-Portal. |
Azure CLI und Erweiterung | 443 | *.blob.core.windows.net |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Laden Sie den Azure CLI Installer und die Erweiterung herunter. |
Azure Arc-Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Für Arc-Agent verwendete Datenplane. |
Python-Paket | 443 | pypi.org , *.pypi.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Validieren Sie Kubernetes- und Python-Versionen. |
Azure CLI | 443 | pythonhosted.org , *.pythonhosted.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Python-Pakete für die Azure CLI-Installation. |
Anforderungen für eingehende Konnektivität
Die Kommunikation zwischen den folgenden Ports muss vom Verwaltungscomputer, VM-IPs der Appliance und Steuerebenen-IPs zulässig sein. Stellen Sie sicher, dass diese Ports geöffnet sind und der Datenverkehr nicht über einen Proxy weitergeleitet wird, um die Bereitstellung und Wartung der Arc-Ressourcenbrücke zu erleichtern.
Dienst | Port | IP/Computer | Richtung | Hinweise |
---|---|---|---|---|
SSH | 22 | appliance VM IPs und Management machine |
Bidirektional | Wird zum Bereitstellen und Warten der Appliance-VM verwendet |
Kubernetes-API-Server | 6443 | appliance VM IPs und Management machine |
Bidirektional | Verwaltung der Appliance-VM |
SSH | 22 | control plane IP und Management machine |
Bidirektional | Wird zum Bereitstellen und Warten der Appliance-VM verwendet |
Kubernetes-API-Server | 6443 | control plane IP und Management machine |
Bidirektional | Verwaltung der Appliance-VM |
HTTPS | 443 | private cloud control plane address und Management machine |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Kommunikation mit Steuerebene (z. B. VMware vCenter-Adresse). |
Hinweis
Die hier aufgeführten URLs sind nur für die Arc-Ressourcenbrücke erforderlich. Für andere Arc-Produkte (z. B. VMware vSphere mit Arc-Unterstützung) sind möglicherweise zusätzliche URLs erforderlich. Ausführliche Informationen finden Sie unter Azure Arc-Netzwerkanforderungen.
Designierte IP-Bereiche für die Arc-Ressourcenbrücke
Bei der Bereitstellung der Arc-Ressourcenbrücke sind bestimmte IP-Bereiche ausschließlich für die Kubernetes-Pods und -Dienste auf der Appliance-VM reserviert. Diese internen IP-Bereiche dürfen sich nicht mit Konfigurationseingaben für die Ressourcenbrücke überschneiden, z. B. IP-Adresspräfix, IP-Adresse der Steuerungsebene, VM-IP--Adressen der Appliance, DNS-Server, Proxyserver oder vSphere ESXi-Hosts. Ausführliche Informationen zur Konfiguration der Arc-Ressourcenbrücke finden Sie in den Systemanforderungen.
Hinweis
Diese designierten IP-Bereiche werden nur intern innerhalb der Arc-Ressourcenbrücke verwendet. Sie wirken sich nicht auf Azure-Ressourcen oder -Netzwerke aus.
Dienst | Designierter IP-Bereich |
---|---|
Kubernetes-Pods der Arc-Ressourcenbrücke | 10.244.0.0/16 |
Kubernetes-Dienste der Arc-Ressourcenbrücke | 10.96.0.0/12 |
Konfiguration des SSL-Proxys
Wichtig
Arc Resource Bridge unterstützt nur direkte (explizite) Proxys, einschließlich nicht authentifizierter Proxys, Proxys mit Standardauthentifizierung, SSL-Endproxys und SSL-Passthroughproxys.
Bei Verwendung eines Proxys muss Azure Resource Bridge so konfiguriert werden, dass der Proxy verwendet wird, um eine Verbindung mit Azure-Diensten herzustellen.
Um die Arc-Ressourcenbrücke mit Proxy zu konfigurieren, geben Sie bei der Erstellung der Konfigurationsdateien den Dateipfad für das Proxyzertifikat an.
Das Format der Zertifikatdatei ist Base-64-codiert X.509 (.CER).
Übergeben Sie nur das einzige Proxyzertifikat. Wenn ein Zertifikatsbündel übergeben wird, schlägt die Bereitstellung fehl.
Der Proxyserverendpunkt kann keine
.local
-Domäne sein.Der Proxyserver muss von allen IPs innerhalb des IP-Adresspräfixes erreichbar sein, einschließlich der IPs der Steuerungsebene und der VM der Appliance.
Es gibt nur zwei Zertifikate, die beim Einsatz der Arc-Ressourcenbrücke hinter einem SSL-Proxy relevant sein sollten:
SSL-Zertifikat für Ihren SSL-Proxy (damit der Verwaltungscomputer und die Appliance-VM Ihrem Proxy-FQDN vertrauen und eine SSL-Verbindung zu ihm herstellen können)
SSL-Zertifikat der Microsoft-Downloadserver. Dieses Zertifikat muss für Ihren Proxyserver selbst vertrauenswürdig sein, da der Proxy die endgültige Verbindung festlegt und dem Endpunkt vertrauen muss. Nicht-Windows-Computer vertrauen möglicherweise nicht standardmäßig diesem zweiten Zertifikat, sodass Sie sicherstellen müssen, dass es vertrauenswürdig ist.
Für die Bereitstellung der Arc-Ressourcenbrücke müssen die Images auf den Verwaltungscomputer heruntergeladen und anschließend in die lokale private Cloudgalerie hochgeladen werden. Wenn Ihr Proxyserver die Downloadgeschwindigkeit drosselt, können Sie die erforderlichen Bilder (~3,5 GB) möglicherweise nicht in der vorgegebenen Zeit (90 Minuten) herunterladen.
Ausschlussliste für keine Vollmacht
Wenn ein Proxyserver verwendet wird, enthält die folgende Tabelle die Liste der Adressen, die durch Konfiguration der noProxy
nstellungen vom Proxy ausgeschlossen werden sollten.
IP-Adresse | Ausschlussgrund |
---|---|
Localhost, 127.0.0.1 | Localhost-Datenverkehr |
SVC | Interner Datenverkehr des Kubernetes-Diensts (.svc), wobei .svc einen Platzhalternamen darstellt. Dies ist vergleichbar mit „*.svc“, aber dies wird in diesem Schema nicht verwendet. |
10.0.0.0/8 | Adressraum des privaten Netzwerks |
172.16.0.0/12 | Adressraum des privaten Netzwerks: CIDR für Kubernetes-Dienst |
192.168.0.0/16 | Adressraum des privaten Netzwerks: CIDR für Kubernetes-Pod |
contoso.com. | Sie können Ihren Unternehmensnamespace (.contoso.com) davon ausschließen, durch den Proxy geleitet zu werden. Um alle Adressen in einer Domäne auszuschließen, müssen Sie die Domäne der Liste noProxy hinzufügen. Verwenden Sie anstelle eines Platzhalterzeichens (*) einen führenden Punkt. Im Beispiel schließen die Adressen .contoso.com die Adressen prefix1.contoso.com , prefix2.contoso.com und so weiter aus. |
Der Standardwert für noProxy
ist localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
. Wenngleich diese Standardwerte für viele Netzwerke funktionieren, müssen Sie möglicherweise weitere Subnetzbereiche und/oder Namen zur Ausschlussliste hinzufügen. Sie können z. B. Ihren Unternehmensnamespace (.contoso.com) davon ausschließen, durch den Proxy geleitet zu werden. Dies können Sie erreichen, indem Sie die Werte in der noProxy
-Liste angeben.
Wichtig
Wenn Sie mehrere Adressen für die noProxy
nstellungen auflisten, fügen Sie nicht nach jedem Komma ein Leerzeichen ein, um die Adressen zu trennen. Die Adressen müssen unmittelbar nach den Kommata stehen.
Interne Portüberwachung
Beachten Sie, dass die Appliance-VM so konfiguriert ist, dass sie an den folgenden Ports lauscht. Diese Ports werden ausschließlich für interne Prozesse verwendet und erfordern keinen externen Zugriff:
- 8443 – Endpunkt für Microsoft Entra-Authentifizierungswebhook
- 10257: Endpunkt für Arc-Ressourcenbrückenmetriken
- 10250: Endpunkt für Arc-Ressourcenbrückenmetriken
- 2382: Endpunkt für Arc-Ressourcenbrückenmetriken
Nächste Schritte
- Lesen Sie die Übersicht über die Azure Arc-Ressourcenbrücke, um weitere Informationen zu Anforderungen und technischen Details zu erhalten.
- Erfahren Sie mehr über die Sicherheitskonfiguration und Überlegungen zur Azure Arc-Ressourcenbrücke.
- Tipps zur Fehlerbehebung bei Netzwerkproblemen anzeigen.