Requisitos de red de Azure Arc
En este artículo se enumeran los puntos de conexión, los puertos y los protocolos necesarios para los servicios y características habilitados para Azure Arc.
Por lo general, los requisitos de conectividad incluyen estos principios:
- Todas las conexiones son TCP a menos que se especifique lo contrario.
- Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
- Todas las conexiones son salientes a menos que se especifique lo contrario.
Para utilizar un proxy, compruebe que los agentes y la máquina que realiza el proceso de incorporación cumplan los requisitos de red indicados en este artículo.
Sugerencia
Para la nube pública de Azure, puede reducir el número de puntos de conexión necesarios mediante la puerta de enlace de Azure Arc para servidores habilitados para Arc o Kubernetes habilitado para Arc.
Puntos de conexión de Kubernetes habilitados para Azure Arc
Se requiere conectividad con los puntos de conexión basados en Kubernetes de Arc para todas las ofertas de Arc basadas en Kubernetes, entre las que se incluyen:
- Kubernetes habilitado para Azure Arc
- Servicios de aplicaciones habilitados para Azure Arc
- Machine Learning habilitado para Azure Arc
- Servicios de datos habilitados para Azure Arc (solo modo de conectividad directa)
Importante
Los agentes de Azure Arc necesitan las siguientes direcciones URL de salida en https://:443 para funcionar:
Para *.servicebus.windows.net, los websockets deben estar habilitados para el acceso saliente en el firewall y el proxy.
| Punto de conexión (DNS) | Descripción |
|---|---|
https://management.azure.com |
Necesario para que el agente se conecte a Azure y registre el clúster. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Punto de conexión de plano de datos para que el agente inserte información de la configuración de estado y recuperación de cambios. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Necesario para capturar y actualizar tokens de Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Necesario para extraer imágenes de contenedor para agentes de Azure Arc. |
https://gbl.his.arc.azure.com |
Necesario para obtener el punto de conexión regional para extraer los certificados de la identidad administrada asignada por el sistema. |
https://*.his.arc.azure.com |
Necesario para extraer certificados de identidad administrados que haya asignado el sistema. |
https://k8connecthelm.azureedge.net |
az connectedk8s connect usa Helm 3 para implementar agentes de Azure Arc en el clúster de Kubernetes. Este punto de conexión es necesario para que el cliente de Helm descargue para facilitar la implementación del gráfico de Helm del agente. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.nethttps://k8sconnectcsp.azureedge.net |
Para escenarios basados en la conexión de clúster y la ubicación personalizada. |
*.servicebus.windows.net |
Para escenarios basados en la conexión de clúster y la ubicación personalizada. |
https://graph.microsoft.com/ |
Obligatorio cuando se configura el RBAC de Azure. |
*.arc.azure.net |
Obligatorio para administrar clústeres conectados en Azure Portal. |
https://<region>.obo.arc.azure.com:8084/ |
Obligatorio cuando se configura Conexión de clúster. |
https://linuxgeneva-microsoft.azurecr.io |
Obligatorio si usa extensiones de Kubernetes habilitadas para Azure Arc. |
Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.
Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.
Para ver una lista de todas las regiones, ejecute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Para más información, consulte Requisitos de red de Kubernetes habilitados para Azure Arc.
Servicios de datos habilitados para Azure Arc
En esta sección se describen los requisitos específicos de los servicios de datos habilitados para Azure Arc, además de los puntos de conexión de Kubernetes habilitados para Arc enumerados anteriormente.
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| Gráfico de Helm (solo modo conectado directo) | 443 | arcdataservicesrow1.azurecr.io |
Salida | Aprovisiona el programa previo del controlador de datos de Azure Arc y los objetos de nivel de clúster, como definiciones de recursos personalizados, roles de clúster y enlaces de rol de clúster, se extrae de una instancia de Azure Container Registry. |
| API de Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Salida | Azure Data Studio y la CLI de Azure se conectan a las API de Azure Resource Manager para enviar y recuperar datos de Azure para algunas características. Consulte API de Azure Monitor. |
| Servicio de procesamiento de datos de Azure Arc 1 | 443 | *.<region>.arcdataservices.com 2 |
Salida |
1 Requisito depende del modo de implementación:
- Para el modo directo, el pod del controlador en el clúster de Kubernetes debe tener conectividad saliente a los puntos de conexión para enviar los registros, las métricas, el inventario y la información de facturación a Azure Monitor/Data Processing Service.
- Para el modo indirecto, la máquina que se ejecuta
az arcdata dc uploaddebe tener la conectividad saliente con Azure Monitor y el servicio de procesamiento de datos.
2 Para las versiones de extensión hasta el 13 de febrero de 2024 (incluido ese día), use san-af-<region>-prod.azurewebsites.net.
API de Azure Monitor
La conectividad desde Azure Data Studio al servidor de API de Kubernetes usa el cifrado y la autenticación de Kubernetes que haya establecido. Cada usuario que usa Azure Data Studio o la CLI debe tener una conexión autenticada a la API de Kubernetes para realizar muchas de las acciones relacionadas con los servicios de datos habilitados para Azure Arc.
Para más información, consulte los modos y requisitos de conectividad.
Servidores habilitados para Azure Arc
Se requiere conectividad con puntos de conexión de servidor habilitados para Arc para:
SQL Server habilitado por Azure Arc
VMware vSphere habilitado para Azure Arc *
System Center Virtual Machine Manager habilitado para Azure Arc *
Azure Stack habilitado para Azure Arc (HCI) *
*Solo es necesario para la administración de invitados habilitada.
Los puntos de conexión de servidor habilitados para Azure Arc son necesarios para todas las ofertas de Arc basadas en servidor.
Configuración de red
El agente de Azure Connected Machine para Linux y Windows se comunica de forma segura con la salida de Azure Arc mediante el puerto TCP 443. De manera predeterminada, el agente usa la ruta predeterminada a Internet para acceder a los servicios de Azure. Opcionalmente, puede configurar el agente para que use un servidor proxy si la red lo requiere. Los servidores proxy no hacen que el agente de Connected Machine sea más seguro, ya que el tráfico ya está cifrado.
Para proteger aún más la conectividad de red con Azure Arc, en lugar de usar redes públicas y servidores proxy, puede implementar un ámbito de Private Link de Azure Arc.
Nota:
Los servidores habilitados para Arc no admiten el uso de una puerta de enlace de Log Analytics como proxy para el agente de Connected Machine. Al mismo tiempo, el agente de Azure Monitor admite la puerta de enlace de Log Analytics.
Si la conectividad saliente está restringida por el firewall o el servidor proxy, asegúrese de que las direcciones URL y etiquetas de servicio que se muestran a continuación no estén bloqueadas.
Etiquetas de servicio
Asegúrese de permitir el acceso a las siguientes etiquetas de servicio:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (si usa Windows Admin Center a fin de administrar servidores habilitados para Arc)
Para obtener una lista de direcciones IP para cada etiqueta o región del servicio, consulte el archivo JSON Rangos de direcciones IP y etiquetas de servicio de Azure: nube pública. Microsoft publica actualizaciones semanales que incluyen cada uno de los servicios de Azure y los intervalos IP que usan. Esta información en el archivo JSON es la lista actual en un momento dado de los intervalos de direcciones IP que corresponden a cada etiqueta de servicio. Las direcciones IP están sujetas a cambios. Si se necesitan intervalos de direcciones IP para la configuración del firewall, se debe usar la etiqueta de servicio AzureCloud para permitir el acceso a todos los servicios de Azure. No deshabilite la supervisión de seguridad ni la inspección de estas direcciones URL, pero permítalas como haría con otro tráfico de Internet.
Si filtra el tráfico a la etiqueta de servicio AzureArcInfrastructure, debe permitir el tráfico al intervalo de etiquetas de servicio completo. Los intervalos anunciados para regiones individuales, por ejemplo AzureArcInfrastructure.AustraliaEast, no incluyen los intervalos IP usados por los componentes globales del servicio. La dirección IP específica resuelta para estos puntos de conexión puede cambiar con el tiempo dentro de los intervalos documentados, por lo que simplemente usar una herramienta de búsqueda para identificar la dirección IP actual de un punto de conexión determinado y permitir el acceso a que no será suficiente para garantizar un acceso confiable.
Para más información, consulte Etiquetas de servicio de red virtual.
URLs
En la tabla siguiente se enumeran las direcciones URL que deben estar disponibles para instalar y usar el agente de Connected Machine.
Nota:
Al configurar el agente de máquina conectada de Azure para comunicarse con Azure a través de un vínculo privado, se debe acceder a algunos puntos de conexión a través de Internet. La columna Compatible con vínculo privado en la tabla siguiente muestra qué puntos de conexión se pueden configurar con un punto de conexión privado. Si la columna muestra Público para un punto de conexión, aún debe permitir el acceso a ese punto de conexión a través del firewall o servidor proxy de la organización para que funcione el agente. El tráfico de red se enruta a través del punto de conexión privado si se asigna un ámbito de vínculo privado.
| Recurso del agente | Descripción | Cuándo es necesario | Compatible con vínculo privado |
|---|---|---|---|
aka.ms |
Se usa para resolver el script de descarga durante la instalación | Solo en el momento de la instalación | Public |
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | Solo en el momento de la instalación | Public |
packages.microsoft.com |
Se usa para descargar el paquete de instalación de Linux | Solo en el momento de la instalación | Public |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Public |
*login.microsoft.com |
Microsoft Entra ID | Siempre | Public |
pas.windows.net |
Microsoft Entra ID | Siempre | Public |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que se configure también un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servicio de notificaciones para escenarios de extensión y conectividad | Siempre | Public |
azgn*.servicebus.windows.net |
Servicio de notificaciones para escenarios de extensión y conectividad | Siempre | Public |
*.servicebus.windows.net |
Para escenarios de Windows Admin Center y SSH | Si usa SSH o Windows Admin Center desde Azure | Public |
*.waconazure.com |
Para conectividad de Windows Admin Center | Si usa Windows Admin Center: | Public |
*.blob.core.windows.net |
Origen de descarga para las extensiones de servidores habilitados para Azure Arc | Siempre, excepto cuando se usan puntos de conexión privados | No se usa cuando se configura un vínculo privado |
dc.services.visualstudio.com |
Telemetría del agente | Opcional, no se usa en las versiones del agente 1.24+ | Público |
*.<region>.arcdataservices.com 1 |
Para Arc SQL Server. Envía el servicio de procesamiento de datos, la telemetría del servicio y la supervisión del rendimiento a Azure. Permite TLS 1.3. | Siempre | Public |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para ESU (nota: usa HTTP/TCP 80 y HTTPS/TCP 443) | Si se usan ESU habilitadas por Azure Arc. Se requiere siempre para las actualizaciones automáticas, o temporalmente, si se descargan los certificados manualmente. | Público |
1 Para más información sobre qué información se recopila y envía, revise Recopilación de datos e informes de SQL Server habilitados por Azure Arc.
Para las versiones de extensión hasta e incluyendo el 13 de febrero de 2024 use san-af-<region>-prod.azurewebsites.net. A partir del 12 de marzo de 2024, tanto el procesamiento de datos de Azure Arc como la telemetría de datos de Azure Arc usan *.<region>.arcdataservices.com.
Nota:
Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. En este comando se debe especificar la región del marcador de posición <region>. Estos puntos de conexión pueden cambiar periódicamente.
Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.
Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.
Para ver una lista de todas las regiones, ejecute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolo Seguridad de la capa de transporte 1.2
Para garantizar la seguridad de los datos en tránsito hacia Azure, se recomienda encarecidamente configurar la máquina para que use Seguridad de la capa de transporte (TLS) 1.2. Las versiones anteriores de TLS/Capa de sockets seguros (SSL) han demostrado ser vulnerables y, si bien todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomiendan.
| Plataforma/lenguaje | Soporte técnico | Más información |
|---|---|---|
| Linux | Las distribuciones de Linux tienden a basarse en OpenSSL para la compatibilidad con TLS 1.2. | Compruebe el registro de cambios de OpenSSL para confirmar si su versión de OpenSSL es compatible. |
| Windows Server 2012 R2 y versiones posteriores | Compatible, y habilitado de manera predeterminada. | Para confirmar que aún usa la configuración predeterminada. |
Subconjunto de puntos de conexión solo para ESU
Si usa servidores habilitados para Azure Arc solo para actualizaciones de seguridad extendidas para cualquiera de los siguientes productos:
- Windows Server 2012
- SQL Server 2012
Puede habilitar el siguiente subconjunto de puntos de conexión:
| Recurso del agente | Descripción | Cuándo es necesario | Punto de conexión que se usa con un vínculo privado |
|---|---|---|---|
aka.ms |
Se usa para resolver el script de descarga durante la instalación | Solo en el momento de la instalación | Public |
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | Solo en el momento de la instalación | Public |
login.windows.net |
Microsoft Entra ID | Siempre | Public |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Public |
*login.microsoft.com |
Microsoft Entra ID | Siempre | Public |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que se configure también un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para ESU (nota: usa HTTP/TCP 80 y HTTPS/TCP 443) | Siempre para las actualizaciones automáticas, o temporalmente, si se descargan los certificados manualmente. | Público |
*.<region>.arcdataservices.com |
Telemetría de servicio y servicio de procesamiento de datos de Azure Arc. | ESU de SQL Server | Público |
*.blob.core.windows.net |
Descarga del paquete de extensión de Sql Server | ESU de SQL Server | No es necesario si se usa Private Link |
Para más información, consulte Requisitos de red del agente de la máquina conectada.
Puente de recursos de Azure Arc
En esta sección se describen los requisitos de red adicionales específicos para implementar el puente de recursos de Azure Arc en su empresa. Estos requisitos también se aplican a VMware vSphere habilitado para Azure Arc y System Center Virtual Machine Manager habilitado para Azure Arc.
Requisitos de conectividad de salida
El firewall y las URL de proxy que se indican a continuación deben incluirse en la lista de permitidos para permitir la comunicación desde el equipo de administración, la máquina virtual del dispositivo y la dirección IP del plano de control a las URL necesarias del puente de recursos de Arc.
Lista de permitidos del firewall/dirección URL del proxy
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| Punto de conexión de la API de SFS | 443 | msk8s.api.cdp.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargue el catálogo de productos, los bits de producto y las imágenes del sistema operativo de SFS. |
| Descarga de la imagen del puente de recursos (dispositivo) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargue las imágenes de sistema operativo del puente de recursos de Arc. |
| Registro de contenedor de Microsoft | 443 | mcr.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descubrir imágenes de contenedores para el puente de recursos de Arc. |
| Registro de contenedor de Microsoft | 443 | *.data.mcr.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargar imágenes de contenedores para el puente de recursos de Arc. |
| Windows NTP Server | 123 | time.windows.com |
Las direcciones IP de máquina de administración y máquina virtual del dispositivo (si el valor predeterminado de Hyper-V es Windows NTP) necesita conexión saliente en UDP | Sincronización de tiempo del sistema operativo en la máquina virtual y administración del dispositivo (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Administración de recursos en Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Se necesita para RBAC de Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Servicio de DataPlane del puente de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
La dirección IP de las máquinas virtuales del dispositivo necesita una conexión de salida. | Comuníquese con el proveedor de recursos en Azure. |
| Descarga de la imagen de contenedor del puente de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Necesario para extraer imágenes de contenedor. |
| Identidad administrada | 443 | *.his.arc.azure.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Necesario para extraer certificados de identidad administrados que haya asignado el sistema. |
| Descarga de imágenes de contenedor de Azure Arc para Kubernetes | 443 | azurearcfork8s.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraer imágenes de contenedores. |
| Agente de Azure Arc | 443 | k8connecthelm.azureedge.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | implementar agente de Azure Arc. |
| Servicio de telemetría de ADHS | 443 | adhs.events.data.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft desde la máquina virtual del dispositivo. |
| Servicio de datos de eventos de Microsoft | 443 | v20.events.data.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Enviar datos de diagnóstico desde Windows. |
| Recopilación de registros para el puente de recursos de Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Registros de inserción para componentes administrados por el dispositivo. |
| Descarga de los componentes del puente de recursos | 443 | kvamanagementoperator.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraer artefactos para los componentes administrados por el dispositivo. |
| Administrador de paquetes de código abierto de Microsoft | 443 | packages.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Descargue el paquete de instalación de Linux. |
| Ubicación personalizada | 443 | sts.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para la ubicación personalizada. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para Azure Arc. |
| Ubicación personalizada | 443 | k8sconnectcsp.azureedge.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para la ubicación personalizada. |
| Datos de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Azure portal | 443 | *.arc.azure.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Administrar clúster de Azure Portal. |
| Extensión de la CLI de Azure | 443 | *.blob.core.windows.net |
La máquina de administración necesita una conexión de salida. | Descargue el instalador y la extensión de la CLI de Azure. |
| Agente de Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La máquina de administración necesita una conexión de salida. | Plano de datos usado para el agente de Arc. |
| Paquete de Python | 443 | pypi.org, *.pypi.org |
La máquina de administración necesita una conexión de salida. | Valide las versiones de Kubernetes y Python. |
| CLI de Azure | 443 | pythonhosted.org, *.pythonhosted.org |
La máquina de administración necesita una conexión de salida. | Paquetes de Python para la instalación de la CLI de Azure. |
Requisitos de conectividad de entrada
Se debe permitir la comunicación entre los puertos siguientes desde la máquina de administración, las direcciones IP de máquina virtual del dispositivo y las direcciones IP del plano de control. Asegúrese de que estos puertos están abiertos y que el tráfico no se enruta a través de un proxy para facilitar la implementación y el mantenimiento del puente de recursos de Arc.
| Servicio | Puerto | IP/machine | Dirección | Notas |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs y Management machine |
Bidireccional | Se usa para implementar y mantener la máquina virtual del dispositivo. |
| Servidor de la API de Kubernetes | 6443 | appliance VM IPs y Management machine |
Bidireccional | Administración de la máquina virtual del dispositivo. |
| SSH | 22 | control plane IP y Management machine |
Bidireccional | Se usa para implementar y mantener la máquina virtual del dispositivo. |
| Servidor de la API de Kubernetes | 6443 | control plane IP y Management machine |
Bidireccional | Administración de la máquina virtual del dispositivo. |
| HTTPS | 443 | private cloud control plane address y Management machine |
La máquina de administración necesita una conexión de salida. | Comunicación con el plano de control (por ejemplo: dirección VMware vCenter). |
Para obtener más información, consulte Requisitos de red del puente de recursos de Azure Arc.
VMware vSphere habilitado para Azure Arc
VMware vSphere habilitado para Azure Arc también requiere:
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| vCenter Server | 443 | URL de vCenter Server | La IP de la máquina virtual del dispositivo y el punto de conexión del plano de control necesitan conexión de salida. | Lo usa el servidor vCenter para comunicarse con la máquina virtual del dispositivo y el plano de control. |
| Extensión de clúster de VMware | 443 | azureprivatecloud.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraiga imágenes de contenedor para la extensión de clúster Microsoft.VMWare y Microsoft.AVS. |
| CLI de Azure y extensiones de CLI de Azure | 443 | *.blob.core.windows.net |
La máquina de administración necesita una conexión de salida. | Descargue el instalador de CLI de Azure y las extensiones de CLI de Azure. |
| Azure Resource Manager | 443 | management.azure.com |
La máquina de administración necesita una conexión de salida. | Necesario para crear o actualizar recursos en Azure mediante ARM. |
| Gráfico de Helm para agentes de Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La máquina de administración necesita una conexión de salida. | Punto de conexión del plano de datos para descargar la información de configuración de los agentes de Arc. |
| CLI de Azure | 443 | - login.microsoftonline.com - aka.ms |
La máquina de administración necesita una conexión de salida. | Necesario para capturar y actualizar tokens de Azure Resource Manager. |
Para más información, consulte Matriz de compatibilidad para VMware vSphere habilitado para Azure Arc.
System Center Virtual Machine Manager habilitado para Azure Arc
System Center Virtual Machine Manager (SCVMM) habilitado para Azure Arc también requiere:
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| Servidor de administración de SCVMM | 443 | Dirección URL del servidor de administración de SCVMM | La IP de la máquina virtual del dispositivo y el punto de conexión del plano de control necesitan conexión de salida. | Lo usa el servidor de SCVMM para comunicarse con la máquina virtual del dispositivo y el plano de control. |
Para obtener más información, consulte Introducción a System Center Virtual Machine Manager habilitado para Arc.
Puntos de conexión adicionales
En función de su escenario, es posible que necesite conectividad con otras direcciones URL, como las que usa Azure Portal, las herramientas de administración u otros servicios de Azure. En concreto, revise estas listas para asegurarse de que permite la conectividad a los puntos de conexión necesarios: