Partager via


Configuration réseau requise pour Azure Arc

Cet article répertorie les points de terminaison, les ports et les protocoles requis pour les services et fonctionnalités avec Azure Arc.

En règle générale, les exigences de connectivité incluent les principes suivants :

  • Toutes les connexions sont TCP, sauf indication contraire.
  • Toutes les connexions HTTP utilisent HTTPS et SSL/TLS avec des certificats officiellement signés et vérifiables.
  • Toutes les connexions sont sortantes, sauf indication contraire.

Pour utiliser un proxy, vérifiez que les agents et l’ordinateur effectuant le processus d’intégration répondent aux exigences réseau requises dans cet article.

Conseil

Pour le cloud public Azure, vous pouvez réduire le nombre de points de terminaison requis à l’aide de la passerelle Azure Arc pour les serveurs avec Arc ou kubernetes avec Arc.

Points de terminaison Kubernetes avec Azure Arc

La connectivité aux points de terminaison Kubernetes Arc est requise pour toutes les offres Arc basées sur Kubernetes, notamment :

  • Kubernetes compatible avec Azure Arc
  • Services d’application avec Azure Arc
  • Machine Learning avec Azure Arc
  • Services de données avec Azure Arc (mode de connectivité directe uniquement)

Important

Les agents Azure Arc nécessitent les URL sortantes suivantes sur https://:443 pour fonctionner. En ce qui concerne *.servicebus.windows.net, les WebSockets doivent être activés pour l’accès sortant sur le pare-feu et le proxy.

Point de terminaison (DNS) Description
https://management.azure.com Requis pour que l’agent se connecte à Azure et inscrive le cluster.
https://<region>.dp.kubernetesconfiguration.azure.com Point de terminaison du plan de données permettant à l’agent d’envoyer (push) le statut et de récupérer (fetch) les informations de configuration.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
Requis pour extraire et mettre à jour des jetons Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
Requis pour extraire des images conteneurs pour les agents Azure Arc.
https://gbl.his.arc.azure.com Requis pour obtenir le point de terminaison régional pour l’extraction des certificats d’identité managée affectée par le système.
https://*.his.arc.azure.com Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système.
https://k8connecthelm.azureedge.net az connectedk8s connect utilise Helm 3 pour déployer des agents Azure Arc sur le cluster Kubernetes. Ce point de terminaison est nécessaire pour le téléchargement du client Helm afin de faciliter le déploiement du graphique Helm de l’agent.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées.
*.servicebus.windows.net Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées.
https://graph.microsoft.com/ Obligatoire lorsque le contrôle d’accès en fonction du rôle (RBAC) Azure est configuré.
*.arc.azure.net Requis pour gérer les clusters connectés dans le Portail Azure.
https://<region>.obo.arc.azure.com:8084/ Requis lorsque cluster Connect est configuré.
https://linuxgeneva-microsoft.azurecr.io Obligatoire si vous utilisez des extensions Kubernetes compatibles avec Azure Arc.

Pour traduire le caractère générique *.servicebus.windows.net dans des points de terminaison spécifiques, utilisez la commande :

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.

Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.

Pour afficher la liste de toutes les régions, exécutez cette commande :

az account list-locations -o table
Get-AzLocation | Format-Table

Pour plus d’informations, consultez la configuration réseau Kubernetes compatible avec Azure Arc.

Services de données avec Azure Arc

Cette section décrit les exigences spécifiques aux services de données avec Azure Arc, en plus des points de terminaison Kubernetes avec Arc répertoriés ci-dessus.

service Port URL Direction Notes
Graphique Helm (mode de connexion directe uniquement) 443 arcdataservicesrow1.azurecr.io Règle de trafic sortant Approvisionne les objets de programme d’amorçage et de niveau de cluster du contrôleur de données Azure Arc, tels que les définitions de ressources personnalisées, les rôles de cluster et les liaisons de rôle de cluster. Extrait d’Azure Container Registry.
API Azure Monitor 1 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
Règle de trafic sortant Azure Data Studio et Azure CLI se connectent aux API Azure Resource Manager pour envoyer et récupérer des données vers et depuis Azure pour certaines fonctionnalités. Consultez la section API Azure Monitor.
Service de traitement des données Azure Arc 1 443 *.<region>.arcdataservices.com 2 Règle de trafic sortant

1 Condition requise dépend du mode de déploiement :

  • Pour le mode direct, le pod de contrôleur sur le cluster Kubernetes doit disposer d’une connectivité sortante aux points de terminaison pour envoyer les journaux, les métriques, l’inventaire et les informations de facturation à Azure Monitor/service de traitement des données.
  • Pour le mode indirect, la machine qui exécute az arcdata dc upload doit disposer de la connectivité sortante à Azure Monitor et au service de traitement des données.

2 Pour les versions d’extension jusqu’au 13 février 2024, utilisez san-af-<region>-prod.azurewebsites.net.

API Azure Monitor

La connectivité d’Azure Data Studio au serveur d’API Kubernetes utilise l’authentification et le chiffrement Kubernetes que vous avez établis. Chaque utilisateur qui utilise Azure Data Studio ou l’interface CLI doit disposer d’une connexion authentifiée à l’API Kubernetes pour effectuer un grand nombre des actions associées aux services de données avec Azure Arc.

Pour plus d’informations, consultez Exigences et modes de connectivité réseau.

Serveurs avec Azure Arc

La connectivité aux points de terminaison de serveur avec Arc est requise pour :

  • SQL Server activé par Azure Arc

  • VMware vSphere avec Azure Arc *

  • System Center Virtual Machine Manager avec Azure Arc *

  • Azure Stack avec Azure Arc (HCI) *

    *Obligatoire uniquement pour la gestion des invités activée.

Les points de terminaison de serveur compatibles avec Azure Arc sont requis pour toutes les offres Arc basées sur le serveur.

Configuration du réseau

L’agent Azure Connected Machine pour Linux et Windows communique de manière sécurisée vers Azure Arc sur le port TCP 443. Par défaut, l’agent utilise l’itinéraire par défaut vers Internet pour atteindre les services Azure. Vous pouvez éventuellement configurer l’agent pour qu’il utilise un serveur proxy si votre réseau en a besoin. Les serveurs proxy ne sécurisent pas davantage l’agent Connected Machine, car le trafic est déjà chiffré.

Pour sécuriser davantage votre connectivité réseau à Azure Arc, au lieu d’utiliser des réseaux publics et des serveurs proxy, vous pouvez implémenter une étendue de liaison privée Azure Arc.

Remarque

Les serveurs avec Azure Arc ne prennent pas en charge l’utilisation d’une passerelle Log Analytics comme proxy pour l’agent Connected Machine. Parallèlement, l’agent Azure Monitor prend en charge la passerelle Log Analytics.

Si la connectivité sortante est restreinte par votre pare-feu ou votre serveur proxy, vérifiez que les URL et les étiquettes de service listées ci-dessous ne sont pas bloquées.

Balises de service

Veillez à autoriser l’accès aux étiquettes de service suivantes :

Pour obtenir la liste d’adresses IP de chaque étiquette de service/région, consultez le fichier JSON Plages d’adresses IP Azure et étiquettes de service – Cloud public. Microsoft publie chaque semaine une mise à jour contenant chacun des services Azure et les plages d’adresses IP qu’il utilise. Ces informations dans le fichier JSON constituent la liste actuelle des plages d’adresses IP qui correspondent à chaque balise de service. Les adresses IP sont sujettes à modification. Si des plages d’adresses IP sont requises par la configuration de votre pare-feu, utilisez l’étiquette de service AzureCloud pour autoriser l’accès à tous les services Azure. Ne désactivez pas la supervision ou l’inspection de la sécurité de ces URL ; autorisez-les comme vous le feriez pour tout autre trafic Internet.

Si vous filtrez le trafic vers la balise de service AzureArcInfrastructure, vous devez autoriser le trafic vers la plage d’étiquettes de service complète. Les plages publiées pour des régions individuelles, par exemple AzureArcInfrastructure.AustraliaEast, n’incluent pas les plages d’adresses IP utilisées par les composants globaux du service. L’adresse IP spécifique résolue pour ces points de terminaison peut changer au fil du temps dans les plages documentées. Par conséquent, il suffit d’utiliser un outil de recherche pour identifier l’adresse IP actuelle d’un point de terminaison donné et d’autoriser l’accès à celui-ci ne sera pas suffisant pour garantir un accès fiable.

Pour plus d’informations, consultez Étiquettes de service du réseau virtuel.

URLs

Le tableau ci-dessous liste les URL qui doivent être disponibles pour installer et utiliser l’agent Connected Machine.

Remarque

Lors de la configuration de l’agent de machine connectée Azure pour communiquer avec Azure via une liaison privée, certains points de terminaison doivent toujours être accessibles via Internet. La colonne Liaison privée compatible du tableau suivant indique les points d’extrémité qui peuvent être configurés avec un point de terminaison privé. Si la colonne affiche public pour un point de terminaison, vous devez toujours autoriser l’accès à ce point de terminaison via le pare-feu et/ou le serveur proxy de votre organisation pour que l’agent fonctionne. Le trafic réseau est acheminé par le point de terminaison privé si une étendue de liaison privée est attribuée.

Ressource de l’agent Description Requise quand ? Liaison privée compatible
aka.ms Utilisée pour résoudre le script de téléchargement lors de l’installation Au moment de l’installation uniquement Public
download.microsoft.com Utilisée pour télécharger le package d’installation Windows Au moment de l’installation uniquement Public
packages.microsoft.com Utilisée pour télécharger le package d’installation Linux Au moment de l’installation uniquement Public
login.microsoftonline.com Microsoft Entra ID Toujours Public
*login.microsoft.com Microsoft Entra ID Toujours Public
pas.windows.net Microsoft Entra ID Toujours Public
management.azure.com Azure Resource Manager - pour créer ou supprimer la ressource du serveur Arc Lors de la connexion ou de la déconnexion d’un serveur uniquement Public, sauf si une liaison privée de gestion des ressources est également configurée
*.his.arc.azure.com Services de métadonnées et d’identité hybride Toujours Privée
*.guestconfiguration.azure.com Services de gestion d’extensions et de configuration Invité Toujours Privée
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Service de notification pour les scénarios d’extension et de connectivité Toujours Public
azgn*.servicebus.windows.net Service de notification pour les scénarios d’extension et de connectivité Toujours Public
*.servicebus.windows.net Pour les scénarios Windows Admin Center et SSH Si vous utilisez SSH ou Windows Admin Center à partir d’Azure Public
*.waconazure.com Pour une connectivité Windows Admin Center Si vous utilisez Windows Admin Center Public
*.blob.core.windows.net Source de téléchargement pour les extensions de serveurs avec Azure Arc Toujours, sauf en cas d’utilisation de points de terminaison privés Non utilisé lorsque la liaison privée est configurée
dc.services.visualstudio.com Télémétrie de l’agent Facultatif, non utilisé dans les versions de l’agent 1.24+ Publique
*.<region>.arcdataservices.com 1 Pour Arc SQL Server. Envoie le service de traitement des données, la télémétrie de service et la surveillance des performances à Azure. Autorise TLS 1.3. Toujours Public
www.microsoft.com/pkiops/certs Mise à jour des certificats intermédiaires pour les ESU ( remarque : utilise HTTP/TCP 80 et HTTPS/TCP 443) En cas d’utilisation des ESU activées par Azure Arc. Toujours requis pour les mises à jour automatiques, ou temporairement si les certificats sont téléchargés manuellement. Publique

1 Pour plus d’informations sur les informations collectées et envoyées, consultez Collecte et création de rapports de données pour SQL Server activés par Azure Arc.

Pour les versions d’extension jusqu’au et incluant le 13 février 2024, utilisez san-af-<region>-prod.azurewebsites.net. Depuis le 12 mars 2024 le traitement des données Azure Arc et la télémétrie des données Azure Arc utilisent *.<region>.arcdataservices.com.

Remarque

Pour translater le caractère générique *.servicebus.windows.net en points de terminaison spécifiques, utilisez la commande \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dans cette commande, la région doit être spécifiée pour l’espace réservé <region>. Ces points de terminaison peuvent périodiquement changer.

Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.

Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.

Pour afficher la liste de toutes les régions, exécutez cette commande :

az account list-locations -o table
Get-AzLocation | Format-Table

Protocole Transport Layer Security 1.2

Pour garantir la sécurité des données en transit vers Azure, nous vous encourageons vivement à configurer la machine de manière à utiliser le protocole TLS (Transport Layer Security) 1.2. Les versions antérieures de TLS/SSL (Secure Sockets Layer) se sont avérées vulnérables et bien qu’elles fonctionnent encore pour assurer la compatibilité descendante, elles sont déconseillées.

Plateforme/Langage Support Informations complémentaires
Linux Les distributions de Linux s’appuient généralement sur OpenSSL pour la prise en charge de TLS 1.2. Vérifiez OpenSSL Changelog pour vous assurer que votre version d’OpenSSL est prise en charge.
Windows Server 2012 R2 et versions ultérieures Pris en charge, activé par défaut. Pour confirmer que vous utilisez toujours les paramètres par défaut.

Sous-ensemble de points de terminaison pour l’ESU uniquement

Si vous utilisez des serveurs Azure Arc uniquement pour des mises à jour de sécurité étendues pour l’un ou l’autre des produits suivants, ou pour les deux :

  • Windows Server 2012
  • SQL Server 2012

Vous pouvez activer le sous-ensemble de points de terminaison suivant :

Ressource de l’agent Description Requise quand ? Point de terminaison utilisé avec une liaison privée
aka.ms Utilisée pour résoudre le script de téléchargement lors de l’installation Au moment de l’installation uniquement Public
download.microsoft.com Utilisée pour télécharger le package d’installation Windows Au moment de l’installation uniquement Public
login.windows.net Microsoft Entra ID Toujours Public
login.microsoftonline.com Microsoft Entra ID Toujours Public
*login.microsoft.com Microsoft Entra ID Toujours Public
management.azure.com Azure Resource Manager - pour créer ou supprimer la ressource du serveur Arc Lors de la connexion ou de la déconnexion d’un serveur uniquement Public, sauf si une liaison privée de gestion des ressources est également configurée
*.his.arc.azure.com Services de métadonnées et d’identité hybride Toujours Privée
*.guestconfiguration.azure.com Services de gestion d’extensions et de configuration Invité Toujours Privée
www.microsoft.com/pkiops/certs Mise à jour des certificats intermédiaires pour les ESU ( remarque : utilise HTTP/TCP 80 et HTTPS/TCP 443) Toujours pour les mises à jour automatiques, ou temporairement si vous téléchargez les certificats manuellement. Publique
*.<region>.arcdataservices.com Service de traitement de données Azure Arc et télémétrie du service. ESU SQL Server Publique
*.blob.core.windows.net Télécharger le package de l’extension Sql Server ESU SQL Server Non obligatoire si vous utilisez Private Link

Pour plus d’informations, consultez Exigences de réseau de l’agent Azure Connected Machine.

Pont de ressources Azure Arc

Cette section décrit les exigences de mise en réseau supplémentaires spécifiques au déploiement d’Azure Arc Resource Bridge dans votre entreprise. Ces exigences s’appliquent également à VMware vSphere avec Azure Arc et à System Center Virtual Machine Manager avec Azure Arc.

Exigences de connectivité sortante

Les URL de pare-feu et de proxy ci-dessous doivent être autorisées afin d’activer la communication à partir de l’ordinateur de gestion, de la machine virtuelle appliance et de l’adresse IP du plan de contrôle vers les URL de pont de ressources Arc requises.

Liste d’autorisation d’URL de pare-feu/proxy

service Port URL Direction Notes
Point de terminaison d’API SFS 443 msk8s.api.cdp.microsoft.com Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. Télécharger le catalogue de produits, les bits de produits et les images du système d’exploitation de SFS.
Téléchargement de l’image (appliance) du pont de ressources 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. Téléchargez les images du système d’exploitation du pont de ressources Arc.
Registre de conteneurs Microsoft 443 mcr.microsoft.com Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. Découvrez les images conteneur pour le pont de ressources Arc.
Registre de conteneurs Microsoft 443 *.data.mcr.microsoft.com Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. Téléchargez des images conteneur pour Arc Resource Bridge.
Serveur Windows NTP 123 time.windows.com Les IP de machine virtuelle d'appliance et de machine de gestion (si la valeur par défaut d'Hyper-V est Windows NTP) ont besoin d'une connexion sortante sur UDP Synchronisation de l’heure du système d’exploitation dans la machine virtuelle de l’appliance et la machine de gestion (Windows NTP).
Azure Resource Manager 443 management.azure.com Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. Gestion des ressources dans Azure.
Microsoft Graph 443 graph.microsoft.com Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. Requis pour le contrôle d'accès en fonction du rôle (RBAC) Azure.
Azure Resource Manager 443 login.microsoftonline.com Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. Nécessaire pour mettre à jour les jetons ARM.
Azure Resource Manager 443 *.login.microsoft.com Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. Nécessaire pour mettre à jour les jetons ARM.
Azure Resource Manager 443 login.windows.net Les adresses IP de la machine de gestion et de la machine virtuelle de l’appliance ont besoin d’une connexion sortante. Nécessaire pour mettre à jour les jetons ARM.
Service de plan de données (appliance) du pont de ressources 443 *.dp.prod.appliances.azure.com L’adresse IP des machines virtuelles de l’appliance a besoin d’une connexion sortante. Communiquez avec le fournisseur de ressources dans Azure.
Téléchargement de l’image conteneur (appliance) du pont de ressources 443 *.blob.core.windows.net, ecpacr.azurecr.io Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Requis pour extraire des images conteneurs.
Identité managée 443 *.his.arc.azure.com Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système.
Téléchargement de l’image conteneur Azure Arc pour Kubernetes 443 azurearcfork8s.azurecr.io Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Extraire des images conteneur.
Agent Azure Arc 443 k8connecthelm.azureedge.net Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Déployez l'agent Azure Arc.
Service de télémétrie ADHS 443 adhs.events.data.microsoft.com Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Envoie régulièrement les données de diagnostic requises par Microsoft à partir de la machine virtuelle de l’appliance.
Service de données d’événements Microsoft 443 v20.events.data.microsoft.com Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Envoyer des données de diagnostic à partir de Windows.
Collection de journaux pour Arc Resource Bridge 443 linuxgeneva-microsoft.azurecr.io Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Envoyer (push) des journaux pour les composants managés de l’appliance.
Téléchargement des composants de pont de ressources 443 kvamanagementoperator.azurecr.io Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Artefacts d’extraction pour les composants managés de l’appliance.
Gestionnaire de packages open source Microsoft 443 packages.microsoft.com Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Téléchargez le package d’installation Linux.
Emplacement personnalisé 443 sts.windows.net Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Requis pour l'emplacement personnalisé.
Azure Arc 443 guestnotificationservice.azure.com Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Requis pour Azure Arc.
Emplacement personnalisé 443 k8sconnectcsp.azureedge.net Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Requis pour l'emplacement personnalisé.
Données de diagnostic 443 gcs.prod.monitoring.core.windows.net Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Envoie périodiquement les données de diagnostic requises par Microsoft.
Données de diagnostic 443 *.prod.microsoftmetrics.com Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Envoie périodiquement les données de diagnostic requises par Microsoft.
Données de diagnostic 443 *.prod.hot.ingest.monitor.core.windows.net Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Envoie périodiquement les données de diagnostic requises par Microsoft.
Données de diagnostic 443 *.prod.warm.ingest.monitor.core.windows.net Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Envoie périodiquement les données de diagnostic requises par Microsoft.
Portail Azure 443 *.arc.azure.net Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Gérez un cluster dans le Portail Azure.
Azure CLI et extension 443 *.blob.core.windows.net La machine de gestion a besoin d’une connexion sortante. Télécharger l’installateur Azure CLI et l’extension.
Agent Azure Arc 443 *.dp.kubernetesconfiguration.azure.com La machine de gestion a besoin d’une connexion sortante. Plan de données utilisé pour l’agent Arc.
Paquet Python 443 pypi.org, *.pypi.org La machine de gestion a besoin d’une connexion sortante. Validez les versions de Kubernetes et Python.
Azure CLI 443 pythonhosted.org, *.pythonhosted.org La machine de gestion a besoin d’une connexion sortante.  Packages Python pour l’installation d’Azure CLI.

Exigences de connectivité entrante

La communication entre les ports suivants doit être autorisée à partir de la machine de gestion, des adresses IPs de la VM de l'appliance et des adresses IPs du plan de contrôle. Vérifiez que ces ports sont ouverts et que le trafic n’est pas routé via un proxy pour faciliter le déploiement et la maintenance du pont de ressources Arc.

service Port IP/machine Direction Notes
SSH 22 appliance VM IPs et Management machine Bidirectionnel Utilisés pour déployer et maintenir la machine virtuelle d’appliance.
Serveur d’API Kubernetes 6443 appliance VM IPs et Management machine Bidirectionnel Gestion de la machine virtuelle d’appliance.
SSH 22 control plane IP et Management machine Bidirectionnel Utilisés pour déployer et maintenir la machine virtuelle d’appliance.
Serveur d’API Kubernetes 6443 control plane IP et Management machine Bidirectionnel Gestion de la machine virtuelle d’appliance.
HTTPS 443 private cloud control plane address et Management machine La machine de gestion a besoin d’une connexion sortante.  Communication avec le plan de contrôle (par exemple, adresse VMware vCenter).

Pour plus d’informations, consultez configuration réseau requise pour le pont des ressources Azure Arc.

VMware vSphere avec Azure Arc

VMware vSphere avec Azure Arc nécessite également les éléments suivants :

service Port URL Direction Notes
Serveur vCenter 443 URL du serveur vCenter L’IP VM de l’appliance et le point de terminaison du plan de contrôle ont besoin d’une connexion sortante. Utilisé par le serveur vCenter pour communiquer avec la machine virtuelle de l’appliance et le plan de contrôle.
Extension de cluster VMware 443 azureprivatecloud.azurecr.io Les adresses IP de machine virtuelle de l’appliance ont besoin d’une connexion sortante. Extrayez des images conteneur pour l’extension de cluster Microsoft.AVS et Microsoft.VMWare.
Extensions Azure CLI et Azure CLI 443 *.blob.core.windows.net La machine de gestion a besoin d’une connexion sortante. Téléchargez le programme d’installation Azure CLI et les extensions Azure CLI.
Azure Resource Manager 443 management.azure.com La machine de gestion a besoin d’une connexion sortante. Requis pour créer/mise à jour des ressources dans Azure en utilisant ARM.
Graphique Helm pour l’agent Azure Arc 443 *.dp.kubernetesconfiguration.azure.com La machine de gestion a besoin d’une connexion sortante. Point de terminaison de plan de données pour le téléchargement des informations de configuration des agents Arc.
Azure CLI 443 - login.microsoftonline.com

- aka.ms
La machine de gestion a besoin d’une connexion sortante. Requis pour extraire et mettre à jour des jetons Azure Resource Manager.

Pour plus d’informations, consultez la matrice de prise en charge pour VMware vSphere avec Azure Arc.

System Center Virtual Machine Manager avec Azure Arc

System Center Virtual Machine Manager (SCVMM) avec Azure Arc nécessite également les éléments suivants :

service Port URL Direction Notes
Serveur d’administration SCVMM 443 URL du serveur d’administration SCVMM L’IP VM de l’appliance et le point de terminaison du plan de contrôle ont besoin d’une connexion sortante. Utilisé par le serveur SCVMM pour communiquer avec la machine virtuelle de l’appliance et le plan de contrôle.

Pour plus d’informations, consultez Vue d’ensemble de System Center Virtual Machine Manager avec Arc.

Points de terminaison supplémentaires

Selon votre scénario, vous devrez peut-être vous connecter à d’autres URL, telles que celles utilisées par les Portail Azure, les outils de gestion ou d’autres services Azure. En particulier, passez en revue ces listes pour vous assurer que vous autorisez la connectivité à tous les points de terminaison nécessaires :