Azure Arc のネットワーク要件
この記事では、Azure Arc 対応のサービスと機能に必要なエンドポイント、ポート、プロトコルのリストを示します。
一般に、接続要件には次の原則が含まれます。
- 特に指定がない限り、すべての接続は TCP です。
- すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
- 特に指定がない限り、すべての接続はアウトバウンドです。
プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。
ヒント
Azure パブリック クラウドの場合は、Arc 対応サーバーまたは Arc 対応 Kubernetes 用の Azure Arc ゲートウェイを使用して、必要なエンドポイントの数を減らすことができます。
Azure Arc 対応 Kubernetes エンドポイント
Kubernetes ベースのすべての Arc オファリングに、次のような Arc Kubernetes ベースのエンドポイントへの接続が必要です。
- Azure Arc 対応 Kubernetes
- Azure Arc 対応アプリ サービス
- Azure Arc 対応機械学習
- Azure Arc 対応データ サービス (直接接続モードのみ)
重要
Azure Arc エージェントが機能するには、https://:443
に次の送信 URL が必要です。
*.servicebus.windows.net
の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。
エンドポイント (DNS) | 説明 |
---|---|
https://management.azure.com |
エージェントが Azure に接続し、クラスターを登録するために必要です。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
エージェントが状態をプッシュして構成情報をフェッチするためのデータ プレーン エンドポイント。 |
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net |
Azure Resource Manager トークンをフェッチし、更新するために必要です。 |
https://mcr.microsoft.com https://*.data.mcr.microsoft.com |
Azure Arc エージェント用のコンテナー イメージをプルするために必要です。 |
https://gbl.his.arc.azure.com |
システム割り当て管理 ID 証明書をプルするためリージョン エンドポイントを取得するために必要です。 |
https://*.his.arc.azure.com |
システム割り当てマネージド ID 証明書をプルするために必須。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect では、Helm 3 を使用して、Kubernetes クラスターに Azure Arc エージェントをデプロイします。 このエンドポイントは、エージェント Helm chart のデプロイを容易にするために、Helm クライアントのダウンロードに必要です。 |
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
*.servicebus.windows.net |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
https://graph.microsoft.com/ |
Azure RBAC が構成されている場合は必須です。 |
*.arc.azure.net |
Azure portal 内の接続されているクラスターを管理する場合は必須です。 |
https://<region>.obo.arc.azure.com:8084/ |
クラスター接続が構成されている場合は必須です。 |
https://linuxgeneva-microsoft.azurecr.io |
Azure Arc 対応 Kubernetes 拡張機能を使っている場合に必要。 |
*.servicebus.windows.net
ワイルドカードを特定のエンドポイントに変換するには、このコマンドを使用します。
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2
となります。
たとえば、*.<region>.arcdataservices.com
は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com
となります。
すべてのリージョンの一覧を表示するには、このコマンドを実行します。
az account list-locations -o table
Get-AzLocation | Format-Table
詳細については、Azure Arc 対応 Kubernetes ネットワークの要件に関する記事を参照してください。
Azure Arc 対応データ サービス
このセクションでは、上記の Arc 対応 Kubernetes エンドポイントに加えて、Azure Arc 対応データ サービスに固有の要件について説明します。
サービス | [ポート] | URL | 方向 | メモ |
---|---|---|---|---|
Helm chart (直接接続モードのみ) | 443 | arcdataservicesrow1.azurecr.io |
送信 | Azure Arc データ コントローラーのブートストラッパーとクラスター レベルのオブジェクト (カスタム リソース定義、クラスター ロール、クラスター ロール バインディングなど) をプロビジョニングし、Azure Container Registry からプルされます。 |
Azure monitor API 1 | 443 | *.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com |
送信 | 一部の機能では、Azure との間でデータを送受信するために、Azure Data Studio および Azure CLI が Azure Resource Manager API に接続します。 「Azure Monitor API」をご覧ください。 |
Azure Arc データ処理サービス 1 | 443 | *.<region>.arcdataservices.com 2 |
発信 |
1 要件は、デプロイ モードによって異なります。
- 直接モードの場合、Kubernetes クラスター上のコントローラー ポッドには、ログ、メトリック、インベントリ、課金情報を Azure Monitor とデータ処理サービスに送信するために、エンドポイントへのアウトバウンド接続が必要です。
- 間接モードの場合、
az arcdata dc upload
を実行するマシンには、Azure Monitor とデータ処理サービスへのアウトバウンド接続が必要です。
2 2024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net
を使用してください。
Azure Monitor API
Azure Data Studio から Kubernetes API サーバーへの接続には、確立した Kubernetes 認証および暗号化が使用されます。 Azure Data Studio または CLI を使用している各ユーザーは、Azure Arc 対応データ サービスに関連した多くのアクションを実行するために、Kubernetes API への認証された接続を持っている必要があります。
詳細については、「接続モードと要件」を参照してください。
Azure Arc 対応サーバー
次の場合、Arc 対応サーバー エンドポイントへの接続が必要です。
Azure Arcによって有効化された SQL Server
Azure Arc 対応 VMware vSphere *
Azure Arc 対応 System Center Virtual Machine Manager *
Azure Arc 対応 Azure Stack (HCI) *
*ゲスト管理が有効になっている場合にのみ必須です。
サーバー ベースのすべての Arc オファリングには、Azure Arc 対応サーバー エンドポイントが必要です。
ネットワークの構成
Linux および Windows 用の Azure Connected Machine エージェントは、TCP ポート 443 を介して Azure Arc へのアウトバウンド通信を安全に行います。 既定では、エージェントはインターネットへの既定のルートを使用して Azure サービスに接続します。 ネットワークで必要とされる場合に、プロキシ サーバーを使用するようにエージェントを構成することもできます。 トラフィックは既に暗号化されているため、プロキシ サーバーによって Connected Machine Agent のセキュリティが強化されることはありません。
Azure Arc へのネットワーク接続をさらにセキュリティで保護するために、パブリック ネットワークとプロキシ サーバーを使用する代わりに、Azure Arc プライベート リンク スコープを実装できます。
Note
Azure Arc 対応サーバーでは、Connected Machine エージェントのプロキシとして Log Analytics ゲートウェイを使用することはサポートされていません。 同時に、Azure Monitor エージェントは Log Analytics ゲートウェイをサポートします。
アウトバウンド接続がファイアウォールやプロキシ サーバーによって制限されている場合は、以下に示す URL とサービス タグがブロックされていないことを確認してください。
サービス タグ
次のサービス タグへのアクセスを許可してください。
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 記憶域
- WindowsAdminCenter (Windows Admin Center を使用して Arc 対応サーバーを管理する場合)
各サービス タグ/リージョンの IP アドレスの一覧については、「Azure IP 範囲とサービス タグ – パブリック クラウド」という JSON ファイルを参照してください。 Microsoft では、各 Azure サービスとそれが使用する IP 範囲を含む更新プログラムを毎週発行しています。 JSON ファイル内のこの情報は、各サービス タグに対応する現在の特定時点の IP 範囲の一覧です。 IP アドレスは変更される可能性があります。 ファイアウォール構成に IP アドレス範囲が必要な場合は、AzureCloud サービス タグを使用して、すべての Azure サービスへのアクセスを許可してください。 これらの URL のセキュリティ監視または検査を無効にせず、他のインターネット トラフィックと同様に許可してください。
AzureArcInfrastructure サービス タグへのトラフィックをフィルター処理する場合は、完全なサービス タグ範囲へのトラフィックを許可する必要があります。 AzureArcInfrastructure.AustraliaEast など、個々のリージョンに対して公開された範囲には、サービスのグローバル コンポーネントで使用される IP 範囲は含まれません。 これらのエンドポイントに対して解決される特定の IP アドレスは、文書化された範囲内で時間の経過とともに変化する可能性があるため、検索ツールを使用して特定のエンドポイントの現在の IP アドレスを識別して、そのアドレスへのアクセスを許可するだけでは、信頼性の高いアクセスを保証するのに十分ではありません。
詳細については、「仮想ネットワーク サービス タグ」を参照してください。
URL
次の表は、Connected Machine エージェントをインストールして使用するために、利用可能にする必要がある URL を示したものです。
Note
プライベート リンクを介して Azure と通信するように Azure 接続マシン エージェントを構成する場合、一部のエンドポイントにはインターネット経由で引き続きアクセスする必要があります。 次の表のプライベート リンク対応列には、プライベート エンドポイントを使用して構成できるエンドポイントが示されています。 この列にエンドポイントとしてパブリックが表示されている場合でも、エージェントが機能するためには、組織のファイアウォールやプロキシ サーバーを介してそのエンドポイントへのアクセスを許可する必要があります。 プライベート リンク スコープが割り当てられている場合、ネットワーク トラフィックはプライベート エンドポイント経由でルーティングされます。
エージェントのリソース | 説明 | 必要な場合 | プライベート リンク対応 |
---|---|---|---|
aka.ms |
インストール中にダウンロード スクリプトを解決するために使用されます | インストール時のみ | パブリック |
download.microsoft.com |
Windows のインストール パッケージをダウンロードするために使用されます | インストール時のみ | パブリック |
packages.microsoft.com |
Linux インストール パッケージをダウンロードするために使用されます | インストール時のみ | パブリック |
login.microsoftonline.com |
Microsoft Entra ID | Always (常に) | パブリック |
*login.microsoft.com |
Microsoft Entra ID | Always (常に) | パブリック |
pas.windows.net |
Microsoft Entra ID | Always (常に) | パブリック |
management.azure.com |
Azure Resource Manager - Arc サーバー リソースを作成または削除します | サーバーを接続または切断する場合のみ | リソース管理のプライベート リンクも構成されてない限り、パブリック |
*.his.arc.azure.com |
メタデータとハイブリッド ID サービス | Always (常に) | プライベート |
*.guestconfiguration.azure.com |
拡張機能管理とゲスト構成サービス | Always (常に) | プライベート |
guestnotificationservice.azure.com , *.guestnotificationservice.azure.com |
拡張機能と接続のシナリオ用の通知サービス | Always (常に) | パブリック |
azgn*.servicebus.windows.net |
拡張機能と接続のシナリオ用の通知サービス | Always (常に) | パブリック |
*.servicebus.windows.net |
Windows Admin Center と SSH のシナリオの場合 | Azure から SSH または Windows Admin Center を使用する場合 | パブリック |
*.waconazure.com |
Windows Admin Center接続の場合 | Windows Admin Center を使用している場合 | パブリック |
*.blob.core.windows.net |
Azure Arc 対応サーバー拡張機能のダウンロード元 | プライベート エンドポイントを使用する場合を除き、常に | プライベート リンクが構成されている場合は使用されません |
dc.services.visualstudio.com |
エージェント テレメトリ | オプション。エージェント バージョン 1.24 以降では使用されません | パブリック |
*.<region>.arcdataservices.com 1 |
Arc SQL Server の場合。 データ処理サービス、サービス テレメトリ、およびパフォーマンスの監視を Azure に送信します。 TLS 1.3 を許可します。 | 常時 | 公開 |
www.microsoft.com/pkiops/certs |
ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します) | Azure Arc によって有効にされる ESU を使用している場合。自動更新には常に必要です。証明書を手動でダウンロードする場合は一時的に必要です。 | パブリック |
1 収集されて送信される情報について詳しくは、「Azure Arc によって有効化された SQL Server のデータ コレクションとレポート」をご覧ください。
2024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net
をお使いください。 2024 年 3 月 12 日以降、Azure Arc データ処理と Azure Arc データ テレメトリの両方で *.<region>.arcdataservices.com
を使用します。
Note
*.servicebus.windows.net
ワイルドカードを特定のエンドポイントに変換するには、コマンド \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
を使用します。 このコマンド内で、<region>
プレースホルダーにリージョンを指定する必要があります。 これらのエンドポイントは定期的に変更される可能性があります。
リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2
となります。
たとえば、*.<region>.arcdataservices.com
は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com
となります。
すべてのリージョンの一覧を表示するには、このコマンドを実行します。
az account list-locations -o table
Get-AzLocation | Format-Table
トランスポート層セキュリティ 1.2 プロトコル
Azure に転送中のデータのセキュリティを確保するには、トランスポート層セキュリティ (TLS) 1.2 を使用するようにマシンを構成することを強くお勧めします。 以前のバージョンの TLS/SSL (Secure Sockets Layer) は脆弱であることが確認されています。現在、これらは下位互換性を維持するために使用可能ですが、推奨されていません。
プラットフォーム/言語 | サポート | 詳細情報 |
---|---|---|
Linux | Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。 | OpenSSL の Changelog を参照して、使用している OpenSSL のバージョンがサポートされていることを確認してください。 |
Windows Server 2012 R2 以降 | サポートされていて、既定で有効。 | 既定の設定を使用していることを確認するには。 |
ESU のみ用のエンドポイントのサブセット
次の製品のいずれかまたは両方で拡張セキュリティ更新プログラムにのみ Azure Arc 対応サーバーを使用している場合:
- Windows Server 2012
- SQL Server 2012
エンドポイントの次のサブセットを有効にすることができます:
エージェントのリソース | 説明 | 必要な場合 | プライベート リンクで使用されるエンドポイント |
---|---|---|---|
aka.ms |
インストール中にダウンロード スクリプトを解決するために使用されます | インストール時のみ | パブリック |
download.microsoft.com |
Windows のインストール パッケージをダウンロードするために使用されます | インストール時のみ | パブリック |
login.windows.net |
Microsoft Entra ID | Always (常に) | パブリック |
login.microsoftonline.com |
Microsoft Entra ID | Always (常に) | パブリック |
*login.microsoft.com |
Microsoft Entra ID | Always (常に) | パブリック |
management.azure.com |
Azure Resource Manager - Arc サーバー リソースを作成または削除します | サーバーを接続または切断する場合のみ | リソース管理のプライベート リンクも構成されてない限り、パブリック |
*.his.arc.azure.com |
メタデータとハイブリッド ID サービス | Always (常に) | プライベート |
*.guestconfiguration.azure.com |
拡張機能管理とゲスト構成サービス | Always (常に) | プライベート |
www.microsoft.com/pkiops/certs |
ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します) | 自動更新の場合は常時、または証明書を手動でダウンロードする場合は一時的。 | 公開 |
*.<region>.arcdataservices.com |
Azure Arc データ処理サービスとサービス テレメトリ。 | SQL Server ESU | パブリック |
*.blob.core.windows.net |
SQL Server 拡張機能パッケージをダウンロードします | SQL Server ESU | Private Link を使っている場合は不要 |
詳細については、「Connected Machine エージェントのネットワーク要件」を参照してください。
Azure Arc リソース ブリッジ
このセクションでは、企業での Azure Arc リソース ブリッジのデプロイに固有の追加のネットワーク要件について説明します。 これらの要件は、Azure Arc 対応 VMware vSphere と Azure Arc 対応 System Center Virtual Machine Manager にも適用されます。
送信接続の要件
以下のファイアウォールとプロキシ URL は、管理マシン、アプライアンス VM、コントロール プレーン IP から必要な Arc リソース ブリッジ URL への通信を有効にするために、許可リストに載せる必要があります。
ファイアウォール/プロキシ URL 許可リスト
サービス | [ポート] | URL | 方向 | メモ |
---|---|---|---|---|
SFS API エンドポイント | 443 | msk8s.api.cdp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | SFS から製品カタログ、製品ビット、OS イメージをダウンロードします。 |
リソース ブリッジ (アプライアンス) イメージのダウンロード | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc Resource Bridge OS イメージをダウンロードします。 |
Microsoft Container Registry | 443 | mcr.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc リソース ブリッジのコンテナー イメージを検出します。 |
Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc リソース ブリッジのコンテナー イメージをダウンロードします。 |
Windows NTP サーバー | 123 | time.windows.com |
管理マシンとアプライアンス VM IP (Hyper-V の既定値が Windows NTP の場合) には UDP での送信接続が必要です | アプライアンス VM と管理マシン (Windows NTP) での OS 時刻同期。 |
Azure Resource Manager | 443 | management.azure.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure でのリソースの管理。 |
Microsoft Graph | 443 | graph.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure RBAC に必要です。 |
Azure Resource Manager | 443 | login.microsoftonline.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
Azure Resource Manager | 443 | *.login.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
Azure Resource Manager | 443 | login.windows.net |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
リソース ブリッジ (アプライアンス) データプレーン サービス | 443 | *.dp.prod.appliances.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure 内でリソース プロバイダーと通信します。 |
リソース ブリッジ (アプライアンス) コンテナー イメージのダウンロード | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージをプルするために必要です。 |
マネージド ID | 443 | *.his.arc.azure.com |
アプライアンス VM IP には送信接続が必要です。 | システム割り当てマネージド ID 証明書をプルするために必須。 |
Azure Arc for Kubernetes コンテナー イメージのダウンロード | 443 | azurearcfork8s.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージのプル。 |
Azure Arc エージェント | 443 | k8connecthelm.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc エージェントをデプロイします。 |
ADHS テレメトリ サービス | 443 | adhs.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データをアプライアンス VM から Microsoft に定期的に送信します。 |
Microsoft イベント データ サービス | 443 | v20.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Windows から診断データを送信します。 |
Arc リソース ブリッジのログ収集 | 443 | linuxgeneva-microsoft.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンス管理コンポーネントのログをプッシュします。 |
リソース ブリッジ コンポーネントのダウンロード | 443 | kvamanagementoperator.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンスのマネージド コンポーネントの成果物をプルします。 |
Microsoft オープン ソース パッケージ マネージャー | 443 | packages.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Linux インストール パッケージをダウンロードします。 |
カスタムの場所 | 443 | sts.windows.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
Azure Arc | 443 | guestnotificationservice.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc に必要です。 |
カスタムの場所 | 443 | k8sconnectcsp.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
診断データ | 443 | gcs.prod.monitoring.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
診断データ | 443 | *.prod.microsoftmetrics.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
診断データ | 443 | *.prod.hot.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
診断データ | 443 | *.prod.warm.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
Azure portal | 443 | *.arc.azure.net |
アプライアンス VM IP には送信接続が必要です。 | Azure portal からクラスターを管理します。 |
Azure CLI と拡張機能 | 443 | *.blob.core.windows.net |
管理マシンには送信接続が必要です。 | Azure CLI インストーラーと拡張機能をダウンロードします。 |
Azure Arc エージェント | 443 | *.dp.kubernetesconfiguration.azure.com |
管理マシンには送信接続が必要です。 | Arc エージェントで使用されるデータプレーン。 |
Python パッケージ | 443 | pypi.org , *.pypi.org |
管理マシンには送信接続が必要です。 | Kubernetes と Python のバージョンを検証します。 |
Azure CLI | 443 | pythonhosted.org , *.pythonhosted.org |
管理マシンには送信接続が必要です。 | Azure CLI インストール用の Python パッケージ。 |
受信接続の要件
管理マシン、アプライアンス VM の IP、コントロール プレーンの IP から、次のポート間の通信を許可する必要があります。 Arc リソース ブリッジのデプロイとメンテナンスを容易にするために、これらのポートが開いていることと、トラフィックがプロキシ経由でルーティングされていないことを確認します。
サービス | ポート | IP/マシン | 方向 | ノート |
---|---|---|---|---|
SSH | 22 | appliance VM IPs および Management machine |
双方向 | アプライアンス VM のデプロイと保守に使用されます。 |
Kubernetes API サーバー | 6443 | appliance VM IPs および Management machine |
双方向 | アプライアンス VM の管理。 |
SSH | 22 | control plane IP および Management machine |
双方向 | アプライアンス VM のデプロイと保守に使用されます。 |
Kubernetes API サーバー | 6443 | control plane IP および Management machine |
双方向 | アプライアンス VM の管理。 |
HTTPS | 443 | private cloud control plane address および Management machine |
管理マシンには送信接続が必要です。 | コントロール プレーンとの通信 (例: VMware vCenter アドレス)。 |
詳細については、「Azure Arc リソース ブリッジのネットワーク要件」を参照してください。
Azure Arc 対応 VMware vSphere
Azure Arc 対応 VMware vSphere には以下も必要です。
サービス | [ポート] | URL | 方向 | メモ |
---|---|---|---|---|
vCenter Server | 443 | vCenter Server の URL | アプライアンス VM IP とコントロール プレーン エンドポイントには送信接続が必要です。 | アプライアンス VM とコントロール プレーンとの通信に vCenter サーバーによって使用されます。 |
VMware クラスターの拡張機能 | 443 | azureprivatecloud.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | Microsoft.VMWare および Microsoft.AVS クラスター拡張機能のコンテナー イメージをプルします。 |
Azure CLI および Azure CLI 拡張機能 | 443 | *.blob.core.windows.net |
管理マシンには送信接続が必要です。 | Azure CLI インストーラーと Azure CLI の拡張機能をダウンロードします。 |
Azure Resource Manager | 443 | management.azure.com |
管理マシンには送信接続が必要です。 | ARM を使用して Azure でリソースを作成または更新するために必要です。 |
Azure Arc エージェントの Helm Chart | 443 | *.dp.kubernetesconfiguration.azure.com |
管理マシンには送信接続が必要です。 | Arc エージェントの構成情報をダウンロードするためのデータ プレーン エンドポイント。 |
Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
管理マシンには送信接続が必要です。 | Azure Resource Manager トークンをフェッチし、更新するために必要です。 |
詳細については、「 Azure Arc 対応 VMware vSphere のサポート マトリックスを参照してください。
Azure Arc 対応 System Center Virtual Machine Manager
Azure Arc 対応 System Center Virtual Machine Manager (SCVMM) には以下も必要です。
サービス | [ポート] | URL | 方向 | メモ |
---|---|---|---|---|
SCVMM 管理サーバー | 443 | SCVMM 管理サーバーの URL | アプライアンス VM IP とコントロール プレーン エンドポイントには送信接続が必要です。 | アプライアンス VM およびコントロール プレーンと通信するために SCVMM サーバーによって使用されます。 |
詳細については、「 Arc 対応 System Center Virtual Machine Manager の概要を参照してください。
エンドポイントの追加
シナリオによっては、Azure portal、管理ツール、その他の Azure サービスで使用される URL など、他の URL への接続が必要になる場合があります。 特に、次のリストを確認して、必要なエンドポイントへの接続が許可されていることを確認してください。