Requisiti di rete del bridge di risorse di Azure Arc
Questo articolo descrive i requisiti di rete per la distribuzione del bridge di risorse di Azure Arc nella propria azienda.
Requisiti di rete generali
Il bridge di risorse di Arc comunica in sicurezza in uscita ad Azure Arc sulla porta TCP 443. Se l'appliance deve connettersi tramite un firewall o un server proxy per comunicare tramite Internet, comunica in uscita usando il protocollo HTTPS.
In genere, i requisiti di connettività includono i principi seguenti:
- Tutte le connessioni sono TCP, se non diversamente specificato.
- Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
- Tutte le connessioni sono in uscita, se non diversamente specificato.
Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.
Requisiti di connettività in uscita
Gli URL del firewall e del proxy seguenti devono essere compresi nell'elenco elementi consentiti per abilitare la comunicazione dal computer di gestione, dalla macchina virtuale dell'appliance e dall'IP del piano di controllo agli URL necessari del bridge di risorse di Arc.
Elenco di indirizzi consentiti dell'URL del firewall/proxy
| Servizio | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Endpoint API SFS | 443 | msk8s.api.cdp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare il catalogo dei prodotti, i bit di prodotto e le immagini del sistema operativo da SFS. |
| Download dell'immagine del bridge di risorse (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del sistema operativo del bridge di risorse di Arc. |
| Registro Container Microsoft | 443 | mcr.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Individuare le immagini del contenitore per il bridge di risorse Arc. |
| Registro Container Microsoft | 443 | *.data.mcr.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del contenitore per il bridge di risorse di Arc. |
| Server NTP Windows | 123 | time.windows.com |
Gli IP della macchina di gestione e della macchina virtuale dell’appliance (se l'impostazione predefinita di Hyper-V è NTP Windows) richiedono una connessione in uscita in UDP | Sincronizzazione dell'ora del sistema operativo nella macchina virtuale dell'appliance e nel computer di gestione (NTP Windows). |
| Azure Resource Manager | 443 | management.azure.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Gestire le risorse in Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per il controllo degli accessi in base al ruolo di Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Servizio Dataplane del bridge di risorse (appliance) | 443 | *.dp.prod.appliances.azure.com |
L'IP delle macchine virtuali dell'appliance richiede una connessione in uscita. | Comunicare con il provider di risorse in Azure. |
| Download dell'immagine del contenitore del bridge di risorse (appliance) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull delle immagini del contenitore. |
| Identità gestita | 443 | *.his.arc.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema. |
| Download dell'immagine del contenitore di Azure Arc per Kubernetes | 443 | azurearcfork8s.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull delle immagini del contenitore. |
| Agente Azure Arc | 443 | k8connecthelm.azureedge.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | distribuire l'agente di Azure Arc. |
| Servizio di telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft dalla macchina virtuale dell'appliance. |
| Servizio dati degli eventi Microsoft | 443 | v20.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Inviare dati di diagnostica da Windows. |
| Raccolta di log per il bridge di risorse di Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il push dei log per i componenti gestiti dell'appliance. |
| Download dei componenti del bridge di risorse | 443 | kvamanagementoperator.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull degli artefatti per i componenti gestiti dell'appliance. |
| Gestione pacchetti open source di Microsoft | 443 | packages.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Scaricare il pacchetto di installazione di Linux. |
| Posizione personalizzata | 443 | sts.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per la posizione personalizzata. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per Azure Arc. |
| Posizione personalizzata | 443 | k8sconnectcsp.azureedge.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per la posizione personalizzata. |
| Dati di diagnostica | 443 | gcs.prod.monitoring.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.microsoftmetrics.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Azure portal | 443 | *.arc.azure.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Gestire il cluster dal portale di Azure. |
| Estensione e interfaccia della riga di comando di Azure | 443 | *.blob.core.windows.net |
Il computer di gestione richiede la connessione in uscita. | Scaricare il programma di installazione e l'estensione dell'interfaccia della riga di comando di Azure. |
| Agente Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Il computer di gestione richiede la connessione in uscita. | Dataplane usato per l'agente Arc. |
| Pacchetto Python | 443 | pypi.org, *.pypi.org |
Il computer di gestione richiede la connessione in uscita. | Convalidare le versioni di Kubernetes e Python. |
| Interfaccia della riga di comando di Azure | 443 | pythonhosted.org, *.pythonhosted.org |
Il computer di gestione richiede la connessione in uscita. | Installazione dei pacchetti Python per l'interfaccia della riga di comando di Azure. |
Requisiti di connettività in entrata
Le comunicazioni tra le porte seguenti devono essere consentite dal computer di gestione, dagli IP della macchina virtuale dell'appliance e dagli IP del piano di controllo. Assicurarsi che queste porte siano aperte e che il traffico non venga instradato tramite un proxy per facilitare la distribuzione e la manutenzione del bridge di risorse Arc.
| Servizio | Porta | IP/computer | Direzione | Note |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs e Management machine |
Bidirezionale | Usato per la distribuzione e la gestione della macchina virtuale dell'appliance. |
| Server API Kubernetes | 6443 | appliance VM IPs e Management machine |
Bidirezionale | Gestione della macchina virtuale dell'appliance. |
| SSH | 22 | control plane IP e Management machine |
Bidirezionale | Usato per la distribuzione e la gestione della macchina virtuale dell'appliance. |
| Server API Kubernetes | 6443 | control plane IP e Management machine |
Bidirezionale | Gestione della macchina virtuale dell'appliance. |
| HTTPS | 443 | private cloud control plane address e Management machine |
Il computer di gestione richiede la connessione in uscita. | Comunicazione con il piano di controllo (ad esempio, indirizzo VMware vCenter). |
Nota
Gli URL elencati di seguito sono necessari solo per il bridge di risorse Arc. Altri prodotti Arc, ad esempio VMware vSphere abilitato per Arc, possono avere URL aggiuntivi obbligatori. Per informazioni dettagliate, vedere Requisiti di rete di Azure Arc.
Intervalli IP designati per il bridge di risorse Arc
Quando si distribuisce il bridge di risorse Arc, gli intervalli IP specifici sono riservati esclusivamente ai pod e ai servizi Kubernetes all'interno della macchina virtuale dell'appliance. Questi intervalli IP interni non devono sovrapporsi ad alcun input di configurazione per il bridge di risorse, ad esempio il prefisso dell'indirizzo IP, l'IP del piano di controllo, gli indirizzi IP delle macchine virtuali dell'appliance, i server DNS, i server proxy o gli host VSphere ESXi. Per informazioni dettagliate sulla configurazione del bridge di risorse Arc, vedere i requisitidi sistema.
Nota
Questi intervalli IP designati vengono usati solo internamente all'interno del bridge di risorse Arc. Non influiscono sulle risorse o sulle reti di Azure.
| Servizio | Intervallo IP designato |
|---|---|
| Pod Kubernetes del bridge di risorse Arc | 10.244.0.0/16 |
| Servizi Kubernetes del bridge di risorse Arc | 10.96.0.0/12 |
Configurazione proxy SSL
Importante
Arc Resource Bridge supporta solo proxy diretti (espliciti), inclusi proxy non autenticati, proxy con autenticazione di base, proxy di terminazione SSL e proxy pass-through SSL.
Se si usa un proxy, Arc Resource Bridge deve essere configurato per l’uso del proxy al fine di connettersi ai servizi di Azure.
Per configurare il bridge di risorse Arc con proxy, durante la creazione dei file di configurazione specificare il percorso del file del certificato proxy.
Il formato del file di certificato è X.509 con codifica Base64 (.CER).
Passare solo il certificato proxy singolo. Se viene passato un bundle di certificati, la distribuzione avrà esito negativo.
L'endpoint del server proxy non può essere un dominio
.local.Il server proxy deve essere raggiungibile da tutti gli IP all'interno del prefisso dell'indirizzo IP, inclusi gli IP della VM del piano di controllo e dell'appliance.
Quando si distribuisce il bridge di risorse Arc dietro un proxy SSL, sono necessari solo due certificati:
il certificato SSL per il proxy SSL (in modo che il computer di gestione e la macchina virtuale dell'appliance considerino attendibile il nome di dominio completo del proxy e possano stabilire una connessione SSL)
il certificato SSL dei server di download Microsoft. Questo certificato deve essere considerato attendibile dal server proxy stesso, perché il proxy è quello che stabilisce la connessione finale e che deve considerare attendibile l'endpoint. I computer non Windows per impostazione predefinita potrebbero non considerare attendibile questo secondo certificato, pertanto potrebbe essere necessario assicurarsi che sia attendibile.
Per distribuire Il bridge di risorse Arc, le immagini devono essere scaricate nel computer di gestione e poi caricate nella raccolta del cloud privato locale. Se il server proxy limita la velocità di download, potrebbe non essere possibile scaricare le immagini richieste (~3,5 GB) entro il tempo assegnato (90 minuti).
Elenco di esclusione per nessun proxy
Se viene usato un server proxy, la tabella seguente contiene l'elenco di indirizzi che devono essere esclusi dal proxy configurando le impostazioni noProxy.
| Indirizzo IP | Motivo dell'esclusione |
|---|---|
| localhost, 127.0.0.1 | Traffico localhost |
| .svc | Traffico interno del servizio Kubernetes (.svc) dove .svc rappresenta un nome con caratteri jolly. È simile a *.svc, ma non ne viene usato nessuno in questo schema. |
| 10.0.0.0/8 | spazio indirizzi della rete privata |
| 172.16.0.0/12 | Spazio indirizzi della rete privata - CIDR del servizio Kubernetes |
| 192.168.0.0/16 | Spazio indirizzi della rete privata - CIDR del pod Kubernetes |
| .contoso.com | Si potrebbe voler esentare lo spazio dei nomi dell'organizzazione (.contoso.com) dall'essere indirizzato tramite il proxy. Per escludere tutti gli indirizzi di un dominio, è necessario aggiungere il dominio all'elenco noProxy. Usare un punto iniziale anziché un carattere jolly (*) . Nell'esempio, gli indirizzi .contoso.com escludono gli indirizzi prefix1.contoso.com, prefix2.contoso.com e così via. |
Il valore predefinito per noProxy è localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Anche se questi valori predefiniti funzioneranno per molte reti, potrebbe essere necessario aggiungere altri intervalli di subnet e/o nomi all'elenco delle esenzioni. Ad esempio, si potrebbe voler esentare lo spazio dei nomi dell'organizzazione (.contoso.com) dall'essere indirizzato tramite il proxy. A tale scopo, è possibile specificare i valori nell'elenco noProxy.
Importante
Quando si elencano più indirizzi per le impostazioni noProxy, non aggiungere lo spazio dopo ogni virgola per separare gli indirizzi. Gli indirizzi devono seguire immediatamente le virgole.
Ascolto delle porte interne
Si noti che la macchina virtuale dell'appliance è configurata per l'ascolto sulle porte seguenti. Queste porte vengono usate esclusivamente per i processi interni e non richiedono l'accesso esterno:
- 8443 - Endpoint per il webhook di autenticazione Microsoft Entra
- 10257 - Endpoint per le metriche del bridge di risorse Arc
- 10250 - Endpoint per le metriche del bridge di risorse Arc
- 2382 - Endpoint per le metriche del bridge di risorse Arc
Passaggi successivi
- Per altre informazioni sui requisiti e i dettagli tecnici, vedere le Informazioni generali sul bridge di risorse di Azure Arc.
- Informazioni su configurazione e considerazioni sulla sicurezza per il bridge di risorse di Azure Arc.
- Visualizzare i suggerimenti per la risoluzione dei problemi di rete.