Requisitos de rede da ponte de recursos do Azure Arc
Este artigo descreve os requisitos de rede para implantar a ponte de recursos do Azure Arc em sua empresa.
Requisitos gerais da rede
A menor largura de banda de rede validada para a implantação da ponte de recursos Arc é de 100 mbps. Se a largura de banda da rede for mais lenta, você poderá ter problemas com a implantação.
A ponte de recursos do Arc comunica a saída com segurança para o Azure Arc pela porta TCP 443. Se a aplicação precisar de se ligar através de uma firewall ou o servidor proxy de comunicar através da Internet, a comunicação de saída utilizará o protocolo HTTPS.
Geralmente, os requisitos de conectividade incluem estes princípios:
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e a máquina que executa o processo de integração atendem aos requisitos de rede neste artigo.
Requisitos de conectividade de saída
As URLs de firewall e proxy abaixo devem ser permitidas para permitir a comunicação da máquina de gerenciamento, VM do Appliance e IP do Plano de Controle para as URLs de ponte de recursos Arc necessárias.
Lista de permissões de URL de firewall/proxy
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| Ponto de extremidade da API SFS | 443 | msk8s.api.cdp.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Transfira o catálogo de produtos, bits de produtos e imagens do SO a partir do SFS. |
| Download de imagens da ponte de recursos (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Faça o download das imagens do sistema operacional Arc Resource Bridge. |
| Registro de contêiner da Microsoft | 443 | mcr.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Descubra imagens de contêiner para o Arc Resource Bridge. |
| Registro de contêiner da Microsoft | 443 | *.data.mcr.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Faça o download de imagens de contêiner para o Arc Resource Bridge. |
| Servidor Windows NTP | 123 | time.windows.com |
Máquina de gerenciamento & IPs de VM do dispositivo (se o padrão do Hyper-V for Windows NTP) precisam de conexão de saída no UDP | Sincronização de tempo do SO na VM do dispositivo & Máquina de gestão (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Gerencie recursos no Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para o Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Serviço de plano de dados de ponte de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
O IP das VMs do dispositivo precisa de conexão de saída. | Comunique-se com o provedor de recursos no Azure. |
| Download de imagem de contêiner de ponte de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para extrair imagens de contêiner. |
| Identidade Gerida | 443 | *.his.arc.azure.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema. |
| Download de imagem de contêiner do Azure Arc for Kubernetes | 443 | azurearcfork8s.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Puxe imagens de contêiner. |
| Serviço de telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft da VM do dispositivo. |
| Serviço de dados de eventos da Microsoft | 443 | v20.events.data.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envie dados de diagnóstico do Windows. |
| Coleta de logs para o Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Push logs para componentes gerenciados pelo Appliance. |
| Download de componentes da ponte de recursos | 443 | kvamanagementoperator.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Extraia artefatos para componentes gerenciados pelo Appliance. |
| Gerenciador de pacotes de código aberto da Microsoft | 443 | packages.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Faça o download do pacote de instalação do Linux. |
| Localização personalizada | 443 | sts.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para localização personalizada. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para o Azure Arc. |
| Dados de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Portal do Azure | 443 | *.arc.azure.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Gerencie o cluster a partir do portal do Azure. |
| Azure CLI & Extensão | 443 | *.blob.core.windows.net |
A máquina de gerenciamento precisa de conexão de saída. | Baixe o instalador e a extensão da CLI do Azure. |
| Azure Arc Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
A máquina de gerenciamento precisa de conexão de saída. | Dataplane usado para o agente Arc. |
| Pacote Python | 443 | pypi.org, *.pypi.org |
A máquina de gerenciamento precisa de conexão de saída. | Valide as versões Kubernetes e Python. |
| CLI do Azure | 443 | pythonhosted.org, *.pythonhosted.org |
A máquina de gerenciamento precisa de conexão de saída. | Pacotes Python para instalação da CLI do Azure. |
Requisitos de conectividade de entrada
A comunicação entre as seguintes portas deve ser permitida a partir da máquina de gerenciamento, dos IPs da VM do Appliance e dos IPs do Plano de Controle. Certifique-se de que essas portas estejam abertas e que o tráfego não esteja sendo roteado por meio de um proxy para facilitar a implantação e a manutenção da ponte de recursos Arc.
| Serviço | Porta | IP/máquina | Direção | Notas |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor da API do Kubernetes | 6443 | appliance VM IPs e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| SSH | 22 | control plane IP e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor da API do Kubernetes | 6443 | control plane IP e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| HTTPS | 443 | private cloud control plane address e Management machine |
A máquina de gerenciamento precisa de conexão de saída. | Comunicação com o plano de controle (ex: endereço VMware vCenter). |
Nota
As URLs listadas aqui são necessárias apenas para a ponte de recursos do Arc. Outros produtos Arc (como o VMware vSphere habilitado para Arc) podem ter URLs adicionais necessárias. Para obter detalhes, consulte Requisitos de rede do Azure Arc.
Intervalos de IP designados para a ponte de recursos Arc
Ao implantar a ponte de recursos Arc, intervalos de IP específicos são reservados exclusivamente para os pods e serviços do Kubernetes dentro da VM do dispositivo. Esses intervalos de IP internos não devem se sobrepor a nenhuma entrada de configuração para a ponte de recursos, como prefixo de endereço IP, IP do plano de controle, IPs de VM do dispositivo, servidores DNS, servidores proxy ou hosts vSphere ESXi. Para obter detalhes sobre a configuração da ponte de recursos Arc, consulte os requisitos do sistema.
Nota
Esses intervalos de IP designados são usados apenas internamente dentro da ponte de recursos Arc. Eles não afetam os recursos ou redes do Azure.
| Serviço | Intervalo de IP designado |
|---|---|
| Pods Kubernetes da ponte de recursos Arc | 10.244.0.0/16 |
| Serviços Kubernetes da ponte de recursos Arc | 10.96.0.0/12 |
Configuração de proxy SSL
Importante
O Arc Resource Bridge suporta apenas proxies diretos (explícitos), incluindo proxies não autenticados, proxies com autenticação básica, proxies de terminação SSL e proxies de passagem SSL.
Se estiver usando um proxy, o Arc Resource Bridge deve ser configurado para usar o proxy para se conectar aos serviços do Azure.
Para configurar a ponte de recursos Arc com proxy, forneça o caminho do arquivo de certificado de proxy durante a criação dos arquivos de configuração.
O formato do arquivo de certificado é X.509 codificado em Base-64 (. CER).
Passe apenas o certificado de proxy único. Se um pacote de certificados for aprovado, a implantação falhará.
O ponto de extremidade do servidor proxy não pode ser um
.localdomínio.O servidor proxy deve ser acessível a partir de todos os IPs dentro do prefixo de endereço IP, incluindo o plano de controle e os IPs da VM do dispositivo.
Há apenas dois certificados que devem ser relevantes ao implantar a ponte de recursos Arc atrás de um proxy SSL:
Certificado SSL para seu proxy SSL (para que a máquina de gerenciamento e a VM do dispositivo confiem no FQDN do proxy e possam estabelecer uma conexão SSL com ele)
Certificado SSL dos servidores de download da Microsoft. Esse certificado deve ser confiável pelo próprio servidor proxy, pois o proxy é quem estabelece a conexão final e precisa confiar no ponto de extremidade. Máquinas que não sejam Windows podem não confiar nesse segundo certificado por padrão, portanto, talvez seja necessário garantir que ele seja confiável.
Para implantar a ponte de recursos Arc, as imagens precisam ser baixadas para a máquina de gerenciamento e, em seguida, carregadas na galeria de nuvem privada local. Se o seu servidor proxy limitar a velocidade de download, talvez você não consiga baixar as imagens necessárias (~3,5 GB) dentro do tempo alocado (90 min).
Lista de exclusão sem proxy
Se um servidor proxy estiver sendo usado, a tabela a seguir conterá a lista de endereços que devem ser excluídos do proxy definindo as noProxy configurações.
| Endereço IP | Motivo da exclusão |
|---|---|
| localhost, 127.0.0.1 | Tráfego Localhost |
| .svc | Tráfego interno do serviço Kubernetes (.svc) onde .svc representa um nome curinga. Isso é semelhante a dizer *.svc, mas nenhum é usado neste esquema. |
| 10.0.0.0/8 | espaço de endereçamento de rede privada |
| 172.16.0.0/12 | Espaço de endereçamento de rede privada - Kubernetes Service CIDR |
| 192.168.0.0/16 | Espaço de endereço de rede privada - Kubernetes Pod CIDR |
| contoso.com. | Você pode querer isentar seu namespace enterprise (.contoso.com) de ser direcionado através do proxy. Para excluir todos os endereços de um domínio, você deve adicionar o domínio à noProxy lista. Use um ponto à esquerda em vez de um caractere curinga (*). No exemplo, os endereços .contoso.com excluem endereços prefix1.contoso.com, prefix2.contoso.come assim por diante. |
O valor padrão para noProxy é localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Embora esses valores padrão funcionem para muitas redes, talvez seja necessário adicionar mais intervalos de sub-redes e/ou nomes à lista de isenções. Por exemplo, você pode querer isentar seu namespace enterprise (.contoso.com) de ser direcionado através do proxy. Você pode conseguir isso especificando os valores na noProxy lista.
Importante
Ao listar vários endereços para as noProxy configurações, não adicione um espaço após cada vírgula para separar os endereços. Os endereços devem seguir imediatamente as vírgulas.
Escuta de porta interna
Lembre-se de que a VM do dispositivo está configurada para escutar nas seguintes portas. Estas portas são utilizadas exclusivamente para processos internos e não requerem acesso externo:
- 8443 – Webhook de autenticação do Endpoint for Microsoft Entra
- 10257 – Métricas de ponte de recursos do Endpoint for Arc
- 10250 – Métricas de ponte de recursos do Endpoint for Arc
- 2382 – Métricas de ponte de recursos do Endpoint for Arc
Próximos passos
- Analise a visão geral da ponte de recursos do Azure Arc para entender mais sobre requisitos e detalhes técnicos.
- Saiba mais sobre a configuração de segurança e as considerações para a ponte de recursos do Azure Arc.
- Veja dicas de solução de problemas para problemas de rede.