Netwerkvereisten voor Azure Arc

Dit artikel bevat de eindpunten, poorten en protocollen die vereist zijn voor services en functies met Azure Arc.

Over het algemeen omvatten de connectiviteitsvereisten de volgende principes:

• Alle verbindingen zijn TCP, tenzij anders opgegeven.
• Alle HTTP-verbindingen gebruiken HTTPS en SSL/TLS met officieel ondertekende en verifieerbare certificaten.
• Alle verbindingen zijn uitgaand, tenzij anders is opgegeven.

Als u een proxy wilt gebruiken, controleert u of de agents en de computer die het onboardingproces uitvoeren, voldoen aan de netwerkvereisten in dit artikel.

Tip

Voor de openbare Azure-cloud kunt u het aantal vereiste eindpunten verminderen met behulp van de Azure Arc-gateway voor servers met Arc of Kubernetes met Arc.

Kubernetes-eindpunten met Azure Arc

Connectiviteit met de op Arc Kubernetes gebaseerde eindpunten is vereist voor alle Op Kubernetes gebaseerde Arc-aanbiedingen, waaronder:

• Kubernetes met Azure Arc
• App-services met Azure Arc
• Machine Learning met Azure Arc
• Gegevensservices met Azure Arc (alleen directe connectiviteitsmodus)

Azure Cloud

Belangrijk

Voor Azure Arc-agents zijn de volgende uitgaande URL's https://:443 vereist om te kunnen functioneren. Websockets *.servicebus.windows.netmoeten zijn ingeschakeld voor uitgaande toegang op de firewall en proxy.

Eindpunt (DNS)	Beschrijving
https://management.azure.com	Vereist dat de agent verbinding maakt met Azure en het cluster registreert.
https://<region>.dp.kubernetesconfiguration.azure.com	Eindpunt van het gegevensvlak voor deze agent om de status te pushen en configuratiegegevens op te halen.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	Vereist om de Azure Resource Manager-tokens op te halen en bij te werken.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Vereist voor het ophalen van containerinstallatiekopieën voor Azure Arc-agents.
https://gbl.his.arc.azure.com	Vereist om het regionale eindpunt op te halen voor het ophalen van door het systeem toegewezen beheerde identiteitscertificaten.
https://*.his.arc.azure.com	Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
https://k8connecthelm.azureedge.net	az connectedk8s connect gebruikt Helm 3 om Azure Arc-agents in het Kubernetes-cluster te implementeren. Dit eindpunt is nodig voor het downloaden van de Helm-client om de implementatie van de Helm-agentgrafiek te vergemakkelijken.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	Voor clusterverbinding en voor scenario's op basis van aangepaste locaties .
*.servicebus.windows.net	Voor clusterverbinding en voor scenario's op basis van aangepaste locaties .
https://graph.microsoft.com/	Vereist wanneer Azure RBAC is geconfigureerd.
*.arc.azure.net	Vereist voor het beheren van verbonden clusters in Azure Portal.
https://<region>.obo.arc.azure.com:8084/	Vereist wanneer Cluster Connect is geconfigureerd.
https://linuxgeneva-microsoft.azurecr.io	Vereist als u Kubernetes-extensies met Azure Arc gebruikt.

Gebruik de opdracht om het *.servicebus.windows.net jokerteken om te zetten in specifieke eindpunten:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Als u het regiosegment van een regionaal eindpunt wilt ophalen, verwijdert u alle spaties uit de naam van de Azure-regio. Bijvoorbeeld, regio VS - oost 2 , de regionaam is eastus2.

Bijvoorbeeld: *.<region>.arcdataservices.com moet zich in de regio VS - oost 2 bevinden *.eastus2.arcdataservices.com .

Voer deze opdracht uit om een lijst met alle regio's weer te geven:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Belangrijk

Voor Azure Arc-agents zijn de volgende uitgaande URL's https://:443 vereist om te kunnen functioneren. Websockets *.servicebus.usgovcloudapi.netmoeten zijn ingeschakeld voor uitgaande toegang op de firewall en proxy.

Eindpunt (DNS)	Beschrijving
https://management.usgovcloudapi.net	Vereist dat de agent verbinding maakt met Azure en het cluster registreert.
https://<region>.dp.kubernetesconfiguration.azure.us	Eindpunt van het gegevensvlak voor deze agent om de status te pushen en configuratiegegevens op te halen.
https://login.microsoftonline.us <region>.login.microsoftonline.us	Vereist om de Azure Resource Manager-tokens op te halen en bij te werken.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Vereist voor het ophalen van containerinstallatiekopieën voor Azure Arc-agents.
https://gbl.his.arc.azure.us	Vereist om het regionale eindpunt op te halen voor het ophalen van door het systeem toegewezen beheerde identiteitscertificaten.
https://usgv.his.arc.azure.us	Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
https://k8connecthelm.azureedge.net	az connectedk8s connect gebruikt Helm 3 om Azure Arc-agents in het Kubernetes-cluster te implementeren. Dit eindpunt is nodig voor het downloaden van de Helm-client om de implementatie van de Helm-agentgrafiek te vergemakkelijken.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	Voor clusterverbinding en voor scenario's op basis van aangepaste locaties .
*.servicebus.usgovcloudapi.net	Voor clusterverbinding en voor scenario's op basis van aangepaste locaties .
https://graph.microsoft.com/	Vereist wanneer Azure RBAC is geconfigureerd.
https://usgovvirginia.obo.arc.azure.us:8084/	Vereist wanneer Cluster Connect is geconfigureerd.

Gebruik de opdracht om het *.servicebus.usgovcloudapi.net jokerteken om te zetten in specifieke eindpunten:

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

Als u het regiosegment van een regionaal eindpunt wilt ophalen, verwijdert u alle spaties uit de naam van de Azure-regio. Bijvoorbeeld, regio VS - oost 2 , de regionaam is eastus2.

Bijvoorbeeld: *.<region>.arcdataservices.com moet zich in de regio VS - oost 2 bevinden *.eastus2.arcdataservices.com .

Voer deze opdracht uit om een lijst met alle regio's weer te geven:

az account list-locations -o table

Get-AzLocation | Format-Table

Microsoft Azure beheerd door 21Vianet

Belangrijk

Voor Azure Arc-agents zijn de volgende uitgaande URL's https://:443 vereist om te kunnen functioneren. Websockets *.servicebus.chinacloudapi.cnmoeten zijn ingeschakeld voor uitgaande toegang op de firewall en proxy.

Eindpunt (DNS)	Beschrijving
https://management.chinacloudapi.cn	Vereist dat de agent verbinding maakt met Azure en het cluster registreert.
https://<region>.dp.kubernetesconfiguration.azure.cn	Eindpunt van het gegevensvlak voor deze agent om de status te pushen en configuratiegegevens op te halen.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	Vereist om de Azure Resource Manager-tokens op te halen en bij te werken.
mcr.azk8s.cn	Vereist voor het ophalen van containerinstallatiekopieën voor Azure Arc-agents.
https://gbl.his.arc.azure.cn	Vereist om het regionale eindpunt op te halen voor het ophalen van door het systeem toegewezen beheerde identiteitscertificaten.
https://*.his.arc.azure.cn	Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
https://k8connecthelm.azureedge.net	az connectedk8s connect gebruikt Helm 3 om Azure Arc-agents in het Kubernetes-cluster te implementeren. Dit eindpunt is nodig voor het downloaden van de Helm-client om de implementatie van de Helm-agentgrafiek te vergemakkelijken.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	Voor clusterverbinding en voor scenario's op basis van aangepaste locaties .
*.servicebus.chinacloudapi.cn	Voor clusterverbinding en voor scenario's op basis van aangepaste locaties .
https://graph.chinacloudapi.cn/	Vereist wanneer Azure RBAC is geconfigureerd.
*.arc.azure.cn	Vereist voor het beheren van verbonden clusters in Azure Portal.
https://<region>.obo.arc.azure.cn:8084/	Vereist wanneer Cluster Connect is geconfigureerd.
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Containerregisterproxyservers voor Azure China-VM's.

Zie Kubernetes-netwerkvereisten met Azure Arc voor meer informatie.

Gegevensservices met Azure Arc

In deze sectie worden vereisten beschreven die specifiek zijn voor gegevensservices met Azure Arc, naast de hierboven vermelde Kubernetes-eindpunten met Arc.

Onderhoud	Poort	URL	Richting	Notes
Helm-grafiek (alleen directe verbonden modus)	443	arcdataservicesrow1.azurecr.io	Uitgaand	De azure Arc-gegevenscontroller bootstrapper- en clusterniveauobjecten, zoals aangepaste resourcedefinities, clusterrollen en clusterrolbindingen, worden opgehaald uit een Azure Container Registry.
Azure Monitor-API's 1	443	*.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com	Uitgaand	Azure Data Studio en Azure CLI maken verbinding met de Azure Resource Manager-API's om gegevens naar en van Azure te verzenden en op te halen voor sommige functies. Zie Azure Monitor-API's.
Azure Arc-gegevensverwerkingsservice 1	443	*.<region>.arcdataservices.com 2	Uitgaand

¹ Vereiste is afhankelijk van de implementatiemodus:

• Voor de directe modus moet de controllerpod op het Kubernetes-cluster uitgaande connectiviteit hebben met de eindpunten om de logboeken, metrische gegevens, inventaris en factureringsgegevens te verzenden naar Azure Monitor/Gegevensverwerkingsservice.
• Voor de indirecte modus moet de computer die wordt uitgevoerd az arcdata dc upload de uitgaande connectiviteit met Azure Monitor en Data Processing Service hebben.

² Voor uitbreidingsversies tot en met 13 februari 2024 gebruikt san-af-<region>-prod.azurewebsites.netu .

Azure Monitor-API's

Connectiviteit van Azure Data Studio met de Kubernetes-API-server maakt gebruik van de Kubernetes-verificatie en -versleuteling die u hebt ingesteld. Elke gebruiker die Azure Data Studio of CLI gebruikt, moet een geverifieerde verbinding hebben met de Kubernetes-API om veel acties uit te voeren die betrekking hebben op gegevensservices met Azure Arc.

Zie Connectiviteitsmodi en -vereisten voor meer informatie.

Servers met Azure Arc

Connectiviteit met servereindpunten met Arc is vereist voor:

• SQL Server ingeschakeld door Azure Arc

• VMware vSphere met Azure Arc ^*

• System Center Virtual Machine Manager met Azure Arc ^*

• Met Azure Arc ingeschakelde Azure Stack (HCI) ^*

  ^*Alleen vereist voor gastbeheer ingeschakeld.

Servereindpunten met Azure Arc zijn vereist voor alle Arc-aanbiedingen op basis van servers.

Netwerkconfiguratie

De Azure Connected Machine-agent voor Linux en Windows communiceert veilig naar Azure Arc via TCP-poort 443. De agent gebruikt standaard de standaardroute naar internet om Azure-services te bereiken. U kunt de agent desgewenst configureren voor het gebruik van een proxyserver als dit vereist is voor uw netwerk. Proxyservers maken de Connected Machine-agent niet veiliger omdat het verkeer al is versleuteld.

Als u uw netwerkconnectiviteit met Azure Arc verder wilt beveiligen in plaats van openbare netwerken en proxyservers te gebruiken, kunt u een Azure Arc Private Link-bereik implementeren.

Notitie

Servers met Azure Arc bieden geen ondersteuning voor het gebruik van een Log Analytics-gateway als proxy voor de connected machine-agent. Tegelijkertijd ondersteunt De Azure Monitor-agent Log Analytics-gateway.

Als uitgaande connectiviteit wordt beperkt door uw firewall of proxyserver, controleert u of de onderstaande URL's en servicetags niet worden geblokkeerd.

Servicetags

Zorg ervoor dat u toegang tot de volgende servicetags toestaat:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Storage
• WindowsAdminCenter (als u Windows Admin Center gebruikt om servers met Arc te beheren)

Zie het JSON-bestand Azure IP Ranges and Service Tags – Public Cloud voor een lijst met IP-adressen voor elke servicetag/regio. Microsoft publiceert wekelijkse updates met elke Azure-service en de IP-bereiken die worden gebruikt. Deze informatie in het JSON-bestand is de huidige lijst met tijdstippen van de IP-bereiken die overeenkomen met elke servicetag. De IP-adressen kunnen worden gewijzigd. Als IP-adresbereiken vereist zijn voor uw firewallconfiguratie, moet de AzureCloud-servicetag worden gebruikt om toegang tot alle Azure-services toe te staan. Schakel beveiligingsbewaking of -inspectie van deze URL's niet uit, sta ze toe zoals u dat zou doen met ander internetverkeer.

Als u verkeer filtert op de servicetag AzureArcInfrastructure, moet u verkeer naar het volledige servicetagbereik toestaan. De bereiken die worden geadverteerd voor afzonderlijke regio's, bijvoorbeeld AzureArcInfrastructure.AustraliaEast, bevatten niet de IP-bereiken die worden gebruikt door globale onderdelen van de service. Het specifieke IP-adres dat voor deze eindpunten is opgelost, kan in de loop van de tijd veranderen binnen de gedocumenteerde bereiken. Gebruik dus alleen een zoekprogramma om het huidige IP-adres voor een bepaald eindpunt te identificeren en toegang tot dat eindpunt toe te staan, is niet voldoende om betrouwbare toegang te garanderen.

Zie Servicetags voor virtuele netwerken voor meer informatie.

URL's

De onderstaande tabel bevat de URL's die beschikbaar moeten zijn om de Connected Machine-agent te kunnen installeren en gebruiken.

Azure Cloud

Notitie

Wanneer u de met Azure verbonden machineagent configureert om met Azure te communiceren via een privékoppeling, moeten sommige eindpunten nog steeds worden geopend via internet. In de kolom Private Link in de volgende tabel ziet u welke eindpunten kunnen worden geconfigureerd met een privé-eindpunt. Als in de kolom Openbaar voor een eindpunt wordt weergegeven, moet u nog steeds toegang tot dat eindpunt toestaan via de firewall en/of proxyserver van uw organisatie om de agent te laten functioneren. Netwerkverkeer wordt gerouteerd via een privé-eindpunt als een privékoppelingsbereik is toegewezen.

Agentresource	Beschrijving	Indien nodig	Private Link geschikt
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden	Tijdens de installatie slechts 1	Openbaar
packages.microsoft.com	Wordt gebruikt om het Linux-installatiepakket te downloaden	Tijdens de installatie slechts 1	Openbaar
login.microsoftonline.com	Microsoft Entra ID	Altijd	Openbaar
*login.microsoft.com	Microsoft Entra ID	Altijd	Openbaar
pas.windows.net	Microsoft Entra ID	Altijd	Openbaar
management.azure.com	Azure Resource Manager: de Arc-serverresource maken of verwijderen	Alleen bij het verbinden of verbreken van een server	Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd
*.his.arc.azure.com	Services voor metagegevens en hybride identiteiten	Altijd	Privé
*.guestconfiguration.azure.com	Extensiebeheer- en gastconfiguratieservices	Altijd	Privé
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Meldingsservice voor extensie- en connectiviteitsscenario's	Altijd	Openbaar
azgn*.servicebus.windows.net	Meldingsservice voor extensie- en connectiviteitsscenario's	Altijd	Openbaar
*.servicebus.windows.net	Voor Windows-beheercentrum- en SSH-scenario's	Als u SSH of Windows Admin Center gebruikt vanuit Azure	Openbaar
*.waconazure.com	Voor Windows Admin Center-connectiviteit	Als u Windows Admin Center gebruikt	Openbaar
*.blob.core.windows.net	Bron voor serversextensies met Azure Arc downloaden	Altijd, behalve wanneer u privé-eindpunten gebruikt	Niet gebruikt wanneer private link is geconfigureerd
dc.services.visualstudio.com	Agenttelemetrie	Optioneel, niet gebruikt in agentversie 1.24+	Openbaar
*.<region>.arcdataservices.com 2	Voor Arc SQL Server. Verzendt gegevensverwerkingsservice, servicetelemetrie en prestatiebewaking naar Azure. Hiermee staat u TLS 1.3 toe.	Altijd	Openbaar
www.microsoft.com/pkiops/certs	Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443)	Als u ESU's gebruikt die zijn ingeschakeld door Azure Arc. Altijd vereist voor automatische updates of tijdelijk als u certificaten handmatig downloadt.	Openbaar

¹ Toegang tot deze URL is ook nodig bij het automatisch uitvoeren van updates.

² Voor meer informatie over welke gegevens worden verzameld en verzonden, bekijkt u het verzamelen en rapporteren van gegevens voor SQL Server die is ingeschakeld door Azure Arc.

Gebruik voor uitbreidingsversies tot en met 13 februari 2024san-af-<region>-prod.azurewebsites.net . Vanaf 12 maart 2024 worden zowel Azure Arc-gegevensverwerking als telemetriegegevens van Azure Arc gebruikt*.<region>.arcdataservices.com.

Notitie

Gebruik de opdracht \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>om het *.servicebus.windows.net jokerteken om te zetten in specifieke eindpunten. Binnen deze opdracht moet de regio worden opgegeven voor de <region> tijdelijke aanduiding. Deze eindpunten kunnen periodiek worden gewijzigd.

Als u het regiosegment van een regionaal eindpunt wilt ophalen, verwijdert u alle spaties uit de naam van de Azure-regio. Bijvoorbeeld, regio VS - oost 2 , de regionaam is eastus2.

Bijvoorbeeld: *.<region>.arcdataservices.com moet zich in de regio VS - oost 2 bevinden *.eastus2.arcdataservices.com .

Voer deze opdracht uit om een lijst met alle regio's weer te geven:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Notitie

Wanneer u de met Azure verbonden machineagent configureert om met Azure te communiceren via een privékoppeling, moeten sommige eindpunten nog steeds worden geopend via internet. Het eindpunt dat wordt gebruikt met de kolom Private Link in de volgende tabel laat zien welke eindpunten kunnen worden geconfigureerd met een privé-eindpunt. Als in de kolom Openbaar voor een eindpunt wordt weergegeven, moet u nog steeds toegang tot dat eindpunt toestaan via de firewall en/of proxyserver van uw organisatie om de agent te laten functioneren.

Agentresource	Beschrijving	Indien nodig	Eindpunt dat wordt gebruikt met private link
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden	Tijdens de installatie slechts 1	Openbaar
packages.microsoft.com	Wordt gebruikt om het Linux-installatiepakket te downloaden	Tijdens de installatie slechts 1	Openbaar
login.microsoftonline.us	Microsoft Entra ID	Altijd	Openbaar
pasff.usgovcloudapi.net	Microsoft Entra ID	Altijd	Openbaar
management.usgovcloudapi.net	Azure Resource Manager: de Arc-serverresource maken of verwijderen	Alleen bij het verbinden of verbreken van een server	Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd
*.his.arc.azure.us	Services voor metagegevens en hybride identiteiten	Altijd	Privé
*.guestconfiguration.azure.us	Extensiebeheer- en gastconfiguratieservices	Altijd	Privé
*.blob.core.usgovcloudapi.net	Bron voor serversextensies met Azure Arc downloaden	Altijd, behalve wanneer u privé-eindpunten gebruikt	Niet gebruikt wanneer private link is geconfigureerd
dc.applicationinsights.us	Agenttelemetrie	Optioneel, niet gebruikt in agentversie 1.24+	Openbaar
www.microsoft.com/pkiops/certs	Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443)	Als u ESU's gebruikt die zijn ingeschakeld door Azure Arc. Altijd vereist voor automatische updates of tijdelijk als u certificaten handmatig downloadt.	Openbaar

¹ Toegang tot deze URL is ook nodig bij het automatisch uitvoeren van updates.

Microsoft Azure beheerd door 21Vianet

Agentresource	Beschrijving	Indien nodig
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden	Tijdens de installatie slechts 1
packages.microsoft.com	Wordt gebruikt om het Linux-installatiepakket te downloaden	Tijdens de installatie slechts 1
login.chinacloudapi.cn	Microsoft Entra ID	Altijd
login.partner.chinacloudapi.cn	Microsoft Entra ID	Altijd
pas.chinacloudapi.cn	Microsoft Entra ID	Altijd
management.chinacloudapi.cn	Azure Resource Manager: de Arc-serverresource maken of verwijderen	Alleen bij het verbinden of verbreken van een server
*.his.arc.azure.cn	Services voor metagegevens en hybride identiteiten	Altijd
*.guestconfiguration.azure.cn	Extensiebeheer- en gastconfiguratieservices	Altijd
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Meldingsservice voor extensie- en connectiviteitsscenario's	Altijd
azgn*.servicebus.chinacloudapi.cn	Meldingsservice voor extensie- en connectiviteitsscenario's	Altijd
*.servicebus.chinacloudapi.cn	Voor Windows-beheercentrum- en SSH-scenario's	Als u SSH of Windows Admin Center gebruikt vanuit Azure
*.blob.core.chinacloudapi.cn	Bron voor serversextensies met Azure Arc downloaden	Altijd, behalve wanneer u privé-eindpunten gebruikt
dc.applicationinsights.azure.cn	Agenttelemetrie	Optioneel, niet gebruikt in agentversie 1.24+

¹ Toegang tot deze URL is ook nodig bij het automatisch uitvoeren van updates.

Transport Layer Security 1.2-protocol

Om de beveiliging van gegevens in transit naar Azure te waarborgen, raden we u ten zeere aan om de machine te configureren voor het gebruik van TLS (Transport Layer Security) 1.2. Oudere versies van TLS/Secure Sockets Layer (SSL) zijn kwetsbaar gebleken en hoewel ze momenteel nog steeds werken om compatibiliteit met eerdere versies mogelijk te maken, worden ze niet aanbevolen.

Platform/taal	Ondersteuning	Meer informatie
Linux	Linux-distributies zijn meestal afhankelijk van OpenSSL voor TLS 1.2-ondersteuning.	Controleer het Changelog van OpenSSL om te bevestigen dat uw versie van OpenSSL wordt ondersteund.
Windows Server 2012 R2 en hoger	Ondersteund en standaard ingeschakeld.	Controleer of u nog steeds de standaardinstellingen gebruikt.

Subset van eindpunten voor alleen ESU

Als u alleen servers met Azure Arc gebruikt voor uitgebreide beveiligingsupdates voor een van de volgende of beide producten:

• Windows Server 2012
• SQL Server 2012

U kunt de volgende subset eindpunten inschakelen:

Azure Cloud

Agentresource	Beschrijving	Indien nodig	Eindpunt dat wordt gebruikt met private link
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden	Tijdens de installatie slechts 1	Openbaar
login.windows.net	Microsoft Entra ID	Altijd	Openbaar
login.microsoftonline.com	Microsoft Entra ID	Altijd	Openbaar
*login.microsoft.com	Microsoft Entra ID	Altijd	Openbaar
management.azure.com	Azure Resource Manager: de Arc-serverresource maken of verwijderen	Alleen bij het verbinden of verbreken van een server	Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd
*.his.arc.azure.com	Services voor metagegevens en hybride identiteiten	Altijd	Privé
*.guestconfiguration.azure.com	Extensiebeheer- en gastconfiguratieservices	Altijd	Privé
www.microsoft.com/pkiops/certs	Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443)	Altijd voor automatische updates of tijdelijk als u certificaten handmatig downloadt.	Openbaar
*.<region>.arcdataservices.com	Azure Arc-gegevensverwerkingsservice en -servicetelemetrie.	SQL Server-ESU's	Openbaar
*.blob.core.windows.net	Sql Server-extensiepakket downloaden	SQL Server-ESU's	Niet vereist als u Private Link gebruikt

¹ Toegang tot deze URL is ook nodig bij het automatisch uitvoeren van updates.

Azure Government

Agentresource	Beschrijving	Indien nodig	Eindpunt dat wordt gebruikt met private link
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden	Tijdens de installatie slechts 1	Openbaar
login.microsoftonline.us	Microsoft Entra ID	Altijd	Openbaar
management.usgovcloudapi.net	Azure Resource Manager: de Arc-serverresource maken of verwijderen	Alleen bij het verbinden of verbreken van een server	Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd
*.his.arc.azure.us	Services voor metagegevens en hybride identiteiten	Altijd	Privé
*.guestconfiguration.azure.us	Extensiebeheer- en gastconfiguratieservices	Altijd	Privé
www.microsoft.com/pkiops/certs	Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443)	Altijd voor automatische updates of tijdelijk als u certificaten handmatig downloadt.	Openbaar
*.blob.core.usgovcloudapi.net	Sql Server-extensiepakket downloaden	SQL Server-ESU's	Niet vereist als u Private Link gebruikt

¹ Toegang tot deze URL is ook nodig bij het automatisch uitvoeren van updates.

Microsoft Azure beheerd door 21Vianet

Notitie

Servers met Azure Arc die worden gebruikt voor uitgebreide beveiligingsupdates voor Windows Server 2012, zijn momenteel niet beschikbaar in Microsoft Azure beheerd door 21Vianet-regio's.

Zie De netwerkvereisten voor de connected machine-agent voor meer informatie.

Azure Arc-resourcebridge

In deze sectie worden aanvullende netwerkvereisten beschreven die specifiek zijn voor het implementeren van Azure Arc-resourcebrug in uw onderneming. Deze vereisten zijn ook van toepassing op VMware vSphere met Azure Arc en System Center Virtual Machine Manager met Azure Arc.

Vereisten voor uitgaande connectiviteit

De onderstaande firewall- en proxy-URL's moeten worden toegestaan om communicatie mogelijk te maken vanaf de beheercomputer, de VM van het apparaat en het IP-adres van het besturingsvlak naar de vereiste ARC-resourcebrug-URL's.

Acceptatielijst voor firewall/proxy-URL

Onderhoud	Poort	URL	Richting	Notes
SFS API-eindpunt	443	msk8s.api.cdp.microsoft.com	IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig.	Download productcatalogus, product bits en os-installatiekopieën van SFS.
Resourcebrug (apparaat) installatiekopieën downloaden	443	msk8s.sb.tlu.dl.delivery.mp.microsoft.com	IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig.	Download de installatiekopieën van het besturingssysteem van Arc Resource Bridge.
Microsoft Container Registry	443	mcr.microsoft.com	IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig.	Ontdek containerinstallatiekopieën voor Arc Resource Bridge.
Microsoft Container Registry	443	*.data.mcr.microsoft.com	IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig.	Download containerinstallatiekopieën voor Arc Resource Bridge.
Windows NTP-server	123	time.windows.com	IP-adressen van vm's voor beheercomputers en apparaten (als Hyper-V-standaard Windows NTP is) uitgaande verbinding op UDP nodig	Tijdsynchronisatie van het besturingssysteem in de VM en beheermachine van het apparaat (Windows NTP).
Azure Resource Manager	443	management.azure.com	IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig.	Resources beheren in Azure.
Microsoft Graph	443	graph.microsoft.com	IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig.	Vereist voor Azure RBAC.
Azure Resource Manager	443	login.microsoftonline.com	IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig.	Vereist om ARM-tokens bij te werken.
Azure Resource Manager	443	*.login.microsoft.com	IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig.	Vereist om ARM-tokens bij te werken.
Azure Resource Manager	443	login.windows.net	IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig.	Vereist om ARM-tokens bij te werken.
Resourcebrug (apparaat) Dataplane-service	443	*.dp.prod.appliances.azure.com	Het IP-adres van het apparaat heeft een uitgaande verbinding nodig.	Communiceren met de resourceprovider in Azure.
Download van containerinstallatiekopieën van resourcebrug (apparaat)	443	*.blob.core.windows.net, ecpacr.azurecr.io	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Vereist voor het ophalen van containerinstallatiekopieën.
Beheerde identiteit	443	*.his.arc.azure.com	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
Azure Arc voor Kubernetes-containerinstallatiekopieën downloaden	443	azurearcfork8s.azurecr.io	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Containerinstallatiekopieën ophalen.
ADHS-telemetrieservice	443	adhs.events.data.microsoft.com	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Verzendt periodiek vereiste diagnostische gegevens van Microsoft vanaf de VM van het apparaat.
Gegevensservice voor Microsoft-gebeurtenissen	443	v20.events.data.microsoft.com	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Diagnostische gegevens verzenden vanuit Windows.
Logboekverzameling voor Arc Resource Bridge	443	linuxgeneva-microsoft.azurecr.io	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Pushlogboeken voor door het apparaat beheerde onderdelen.
Resourcebrugonderdelen downloaden	443	kvamanagementoperator.azurecr.io	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Pull-artefacten voor door het apparaat beheerde onderdelen.
Microsoft open source packages manager	443	packages.microsoft.com	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Download het Linux-installatiepakket.
Aangepaste locatie	443	sts.windows.net	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Vereist voor aangepaste locatie.
Azure Arc	443	guestnotificationservice.azure.com	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Vereist voor Azure Arc.
Diagnostische gegevens	443	gcs.prod.monitoring.core.windows.net	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Verzendt periodiek vereiste diagnostische gegevens van Microsoft.
Diagnostische gegevens	443	*.prod.microsoftmetrics.com	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Verzendt periodiek vereiste diagnostische gegevens van Microsoft.
Diagnostische gegevens	443	*.prod.hot.ingest.monitor.core.windows.net	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Verzendt periodiek vereiste diagnostische gegevens van Microsoft.
Diagnostische gegevens	443	*.prod.warm.ingest.monitor.core.windows.net	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Verzendt periodiek vereiste diagnostische gegevens van Microsoft.
Azure Portal	443	*.arc.azure.net	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Cluster beheren vanuit Azure Portal.
Azure CLI en extensie	443	*.blob.core.windows.net	Voor de beheercomputer is een uitgaande verbinding vereist.	Download het Azure CLI-installatieprogramma en de extensie.
Azure Arc-agent	443	*.dp.kubernetesconfiguration.azure.com	Voor de beheercomputer is een uitgaande verbinding vereist.	Dataplane gebruikt voor Arc-agent.
Python-pakket	443	pypi.org, *.pypi.org	Voor de beheercomputer is een uitgaande verbinding vereist.	Valideer Kubernetes- en Python-versies.
Azure-CLI	443	pythonhosted.org, *.pythonhosted.org	Voor de beheercomputer is een uitgaande verbinding vereist.	Python-pakketten voor azure CLI-installatie.

Vereisten voor binnenkomende connectiviteit

Communicatie tussen de volgende poorten moet zijn toegestaan vanaf de beheercomputer, IP-adressen van vm's van apparaten en IP-adressen van besturingsvlak. Zorg ervoor dat deze poorten open zijn en dat verkeer niet wordt gerouteerd via een proxy om de implementatie en het onderhoud van de Arc-resourcebrug te vergemakkelijken.

Onderhoud	Poort	IP/machine	Richting	Notes
SSH	22	appliance VM IPs en Management machine	In twee richtingen	Wordt gebruikt voor het implementeren en onderhouden van de VM van het apparaat.
Kubernetes API-server	6443	appliance VM IPs en Management machine	Bidirectioneel	Beheer van de VM van het apparaat.
SSH	22	control plane IP en Management machine	In twee richtingen	Wordt gebruikt voor het implementeren en onderhouden van de VM van het apparaat.
Kubernetes API-server	6443	control plane IP en Management machine	Bidirectioneel	Beheer van de VM van het apparaat.
HTTPS	443	private cloud control plane address en Management machine	Voor de beheercomputer is een uitgaande verbinding vereist.	Communicatie met besturingsvlak (bijvoorbeeld VMware vCenter-adres).

Zie de netwerkvereisten voor Azure Arc-resourcebrug voor meer informatie.

VMware vSphere met Azure Arc

Voor VMware vSphere met Azure Arc is ook het volgende vereist:

Onderhoud	Poort	URL	Richting	Notes
vCenter Server	443	URL van de vCenter-server	Het IP- en besturingsvlakeindpunt van het apparaat hebben uitgaande verbinding nodig.	Wordt gebruikt door de vCenter-server om te communiceren met de VM van het apparaat en het besturingsvlak.
VMware-clusterextensie	443	azureprivatecloud.azurecr.io	VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig.	Containerinstallatiekopieën ophalen voor Microsoft.VMWare en Microsoft.AVS-clusterextensie.
Azure CLI- en Azure CLI-extensies	443	*.blob.core.windows.net	Voor de beheercomputer is een uitgaande verbinding vereist.	Download azure CLI Installer en Azure CLI-extensies.
Azure Resource Manager	443	management.azure.com	Voor de beheercomputer is een uitgaande verbinding vereist.	Vereist voor het maken/bijwerken van resources in Azure met behulp van ARM.
Helm-grafiek voor Azure Arc-agents	443	*.dp.kubernetesconfiguration.azure.com	Voor de beheercomputer is een uitgaande verbinding vereist.	Eindpunt voor gegevensvlak voor het downloaden van de configuratiegegevens van Arc-agents.
Azure-CLI	443	- login.microsoftonline.com - aka.ms	Voor de beheercomputer is een uitgaande verbinding vereist.	Vereist om de Azure Resource Manager-tokens op te halen en bij te werken.

Zie Ondersteuningsmatrix voor VMware vSphere met Azure Arc voor meer informatie.

System Center Virtual Machine Manager met Azure Arc

Voor System Center Virtual Machine Manager (SCVMM) met Azure Arc is ook het volgende vereist:

Onderhoud	Poort	URL	Richting	Notes
SCVMM-beheerserver	443	URL van de SCVMM-beheerserver	Het IP- en besturingsvlakeindpunt van het apparaat hebben uitgaande verbinding nodig.	Wordt gebruikt door de SCVMM-server om te communiceren met de vm van het apparaat en het besturingsvlak.

Zie Overzicht van System Center Virtual Machine Manager met Arc voor meer informatie.

Aanvullende eindpunten

Afhankelijk van uw scenario hebt u mogelijk verbinding nodig met andere URL's, zoals de URL's die worden gebruikt door Azure Portal, beheerhulpprogramma's of andere Azure-services. Bekijk deze lijsten met name om ervoor te zorgen dat u connectiviteit met alle benodigde eindpunten toestaat:

• URL's van Azure Portal
• Azure CLI-eindpunten voor proxy-bypass