Krav för Azure Arc-nätverk
Den här artikeln innehåller de slutpunkter, portar och protokoll som krävs för Azure Arc-aktiverade tjänster och funktioner.
I allmänhet omfattar anslutningskrav följande principer:
- Alla anslutningar är TCP om inget annat anges.
- Alla HTTP-anslutningar använder HTTPS- och SSL/TLS med officiellt signerade och verifierbara certifikat.
- Alla anslutningar är utgående om inget annat anges.
Om du vill använda en proxy kontrollerar du att agenterna och datorn som utför registreringsprocessen uppfyller nätverkskraven i den här artikeln.
Dricks
För det offentliga Azure-molnet kan du minska antalet nödvändiga slutpunkter med hjälp av Azure Arc-gatewayen för Arc-aktiverade servrar eller Arc-aktiverade Kubernetes.
Azure Arc-aktiverade Kubernetes-slutpunkter
Anslutning till Arc Kubernetes-baserade slutpunkter krävs för alla Kubernetes-baserade Arc-erbjudanden, inklusive:
- Azure Arc-aktiverade Kubernetes
- Azure Arc-aktiverade apptjänster
- Azure Arc-aktiverad Machine Learning
- Azure Arc-aktiverade datatjänster (endast direktanslutningsläge)
Viktigt!
Azure Arc-agenter kräver följande utgående URL:er https://:443 för att fungera.
För *.servicebus.windows.netmåste websockets aktiveras för utgående åtkomst i brandväggen och proxyn.
| Slutpunkt (DNS) | beskrivning |
|---|---|
https://management.azure.com |
Krävs för att agenten ska kunna ansluta till Azure och registrera klustret. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Dataplanets slutpunkt för agenten för att push-överföra status och hämta konfigurationsinformation. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Krävs för att hämta och uppdatera Azure Resource Manager-token. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Krävs för att hämta containeravbildningar för Azure Arc-agenter. |
https://gbl.his.arc.azure.com |
Krävs för att hämta den regionala slutpunkten för att hämta systemtilldelade hanterade identitetscertifikat. |
https://*.his.arc.azure.com |
Krävs för att hämta systemtilldelade hanterade identitetscertifikat. |
https://k8connecthelm.azureedge.net |
az connectedk8s connect använder Helm 3 för att distribuera Azure Arc-agenter i Kubernetes-klustret. Den här slutpunkten behövs för nedladdning av Helm-klienten för att underlätta distributionen av agentens helm-diagram. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.nethttps://k8sconnectcsp.azureedge.net |
För Klusteranslutning och för scenarier baserade på anpassad plats . |
*.servicebus.windows.net |
För Klusteranslutning och för scenarier baserade på anpassad plats . |
https://graph.microsoft.com/ |
Krävs när Azure RBAC har konfigurerats. |
*.arc.azure.net |
Krävs för att hantera anslutna kluster i Azure Portal. |
https://<region>.obo.arc.azure.com:8084/ |
Krävs när Cluster Connect har konfigurerats. |
https://linuxgeneva-microsoft.azurecr.io |
Krävs om du använder Azure Arc-aktiverade Kubernetes-tillägg. |
Om du vill översätta *.servicebus.windows.net jokertecknet till specifika slutpunkter använder du kommandot:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Om du vill hämta regionsegmentet för en regional slutpunkt tar du bort alla blanksteg från Namnet på Azure-regionen. Till exempel regionen USA, östra 2 , är eastus2regionnamnet .
Till exempel: *.<region>.arcdataservices.com bör finnas *.eastus2.arcdataservices.com i regionen USA, östra 2.
Om du vill se en lista över alla regioner kör du det här kommandot:
az account list-locations -o table
Get-AzLocation | Format-Table
Mer information finns i Azure Arc-aktiverade Kubernetes-nätverkskrav.
Azure Arc-aktiverade datatjänster
I det här avsnittet beskrivs krav som är specifika för Azure Arc-aktiverade datatjänster, utöver de Arc-aktiverade Kubernetes-slutpunkterna som anges ovan.
| Tjänst | Port | URL | Riktning | Anteckningar |
|---|---|---|---|---|
| Helm-diagram (endast direktanslutet läge) | 443 | arcdataservicesrow1.azurecr.io |
Utgående | Etablerar Azure Arc-datastyrenhetens bootstrapper- och klusternivåobjekt, till exempel anpassade resursdefinitioner, klusterroller och klusterrollbindningar, hämtas från ett Azure Container Registry. |
| Api:er för Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Utgående | Azure Data Studio och Azure CLI ansluter till Azure Resource Manager-API:erna för att skicka och hämta data till och från Azure för vissa funktioner. Se Azure Monitor-API:er. |
| Azure Arc-databehandlingstjänst 1 | 443 | *.<region>.arcdataservices.com 2 |
Utgående |
1 Krav beror på distributionsläge:
- För direktläge måste kontrollantpodden i Kubernetes-klustret ha utgående anslutning till slutpunkterna för att skicka loggar, mått, inventering och faktureringsinformation till Azure Monitor/Data Processing Service.
- För indirekt läge måste den dator som körs
az arcdata dc uploadha den utgående anslutningen till Azure Monitor och Data Processing Service.
2 För tilläggsversioner fram till och med den 13 februari 2024 använder du san-af-<region>-prod.azurewebsites.net.
Azure Monitor-API:er
Anslutning från Azure Data Studio till Kubernetes API-servern använder Kubernetes-autentiseringen och krypteringen som du har upprättat. Varje användare som använder Azure Data Studio eller CLI måste ha en autentiserad anslutning till Kubernetes-API:et för att utföra många av de åtgärder som rör Azure Arc-aktiverade datatjänster.
Mer information finns i Anslutningslägen och krav.
Azure Arc-aktiverade servrar
Anslutning till Arc-aktiverade serverslutpunkter krävs för:
SQL Server aktiverat av Azure Arc
Azure Arc-aktiverad VMware vSphere *
Azure Arc-aktiverad System Center Virtual Machine Manager *
Azure Arc-aktiverad Azure Stack (HCI) *
*Krävs endast för gästhantering aktiverat.
Azure Arc-aktiverade serverslutpunkter krävs för alla serverbaserade Arc-erbjudanden.
Nätverkskonfiguration
Azure Connected Machine-agenten för Linux och Windows kommunicerar utgående på ett säkert sätt till Azure Arc via TCP-port 443. Som standard använder agenten standardvägen till Internet för att nå Azure-tjänster. Du kan också konfigurera agenten så att den använder en proxyserver om nätverket kräver det. Proxyservrar gör inte den anslutna datoragenten säkrare eftersom trafiken redan är krypterad.
För att ytterligare skydda nätverksanslutningen till Azure Arc, i stället för att använda offentliga nätverk och proxyservrar, kan du implementera ett Azure Arc Private Link-omfång .
Kommentar
Azure Arc-aktiverade servrar stöder inte användning av en Log Analytics-gateway som proxy för connected machine-agenten. Samtidigt har Azure Monitor-agenten stöd för Log Analytics-gateway.
Om utgående anslutning begränsas av brandväggen eller proxyservern kontrollerar du att URL:er och tjänsttaggar som anges nedan inte är blockerade.
Tjänsttaggar
Se till att tillåta åtkomst till följande tjänsttaggar:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (om du använder Windows Admin Center för att hantera Arc-aktiverade servrar)
En lista över IP-adresser för varje tjänsttagg/region finns i JSON-filen Azure IP-intervall och tjänsttaggar – offentligt moln. Microsoft publicerar veckovisa uppdateringar som innehåller varje Azure-tjänst och de IP-intervall som används. Den här informationen i JSON-filen är den aktuella punkt-i-tid-listan över IP-intervall som motsvarar varje tjänsttagg. IP-adresserna kan komma att ändras. Om IP-adressintervall krävs för brandväggskonfigurationen ska AzureCloud Service-taggen användas för att tillåta åtkomst till alla Azure-tjänster. Inaktivera inte säkerhetsövervakning eller inspektion av dessa URL:er, tillåt dem på samma sätt som med annan Internettrafik.
Om du filtrerar trafik till tjänsttaggen AzureArcInfrastructure måste du tillåta trafik till hela tjänsttaggintervallet. De intervall som annonseras för enskilda regioner, till exempel AzureArcInfrastructure.AustraliaEast, inkluderar inte de IP-intervall som används av globala komponenter i tjänsten. Den specifika IP-adress som matchas för dessa slutpunkter kan ändras över tid inom de dokumenterade intervallen, så att bara använda ett uppslagsverktyg för att identifiera den aktuella IP-adressen för en viss slutpunkt och tillåta åtkomst till den räcker inte för att säkerställa tillförlitlig åtkomst.
Mer information finns i Tjänsttaggar för virtuellt nätverk.
URL:er
Tabellen nedan visar de URL:er som måste vara tillgängliga för att kunna installera och använda agenten Ansluten dator.
Kommentar
När du konfigurerar den Azure-anslutna datoragenten för att kommunicera med Azure via en privat länk måste vissa slutpunkter fortfarande nås via Internet. Kolumnen Privat länkkompatibel i följande tabell visar vilka slutpunkter som kan konfigureras med en privat slutpunkt. Om kolumnen visar Offentlig för en slutpunkt måste du fortfarande tillåta åtkomst till slutpunkten via organisationens brandvägg och/eller proxyserver för att agenten ska fungera. Nätverkstrafik dirigeras via en privat slutpunkt om ett privat länkomfång har tilldelats.
| Agentresurs | beskrivning | Vid behov | Privat länkkompatibel |
|---|---|---|---|
aka.ms |
Används för att lösa nedladdningsskriptet under installationen | Vid installationstillfället är det bara | Offentliga |
download.microsoft.com |
Används för att ladda ned Windows-installationspaketet | Vid installationstillfället är det bara | Offentliga |
packages.microsoft.com |
Används för att ladda ned Linux-installationspaketet | Vid installationstillfället är det bara | Offentliga |
login.microsoftonline.com |
Microsoft Entra ID | Alltid | Offentliga |
*login.microsoft.com |
Microsoft Entra ID | Alltid | Offentliga |
pas.windows.net |
Microsoft Entra ID | Alltid | Offentliga |
management.azure.com |
Azure Resource Manager – för att skapa eller ta bort Arc-serverresursen | När du ansluter eller kopplar från en server är det bara | Offentlig, såvida inte en privat länk för resurshantering också har konfigurerats |
*.his.arc.azure.com |
Metadata och hybrididentitetstjänster | Alltid | Privat |
*.guestconfiguration.azure.com |
Tilläggshantering och gästkonfigurationstjänster | Alltid | Privat |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Meddelandetjänst för tilläggs- och anslutningsscenarier | Alltid | Offentliga |
azgn*.servicebus.windows.net |
Meddelandetjänst för tilläggs- och anslutningsscenarier | Alltid | Offentliga |
*.servicebus.windows.net |
För Windows Admin Center och SSH-scenarier | Om du använder SSH eller Windows Admin Center från Azure | Offentliga |
*.waconazure.com |
För Anslutning till Windows Admin Center | Om du använder Windows Admin Center | Offentliga |
*.blob.core.windows.net |
Ladda ned källa för Azure Arc-aktiverade servertillägg | Alltid, förutom när du använder privata slutpunkter | Används inte när privat länk har konfigurerats |
dc.services.visualstudio.com |
Agenttelemetri | Valfritt, används inte i agentversion 1.24+ | Offentliga |
*.<region>.arcdataservices.com1 |
För Arc SQL Server. Skickar databehandlingstjänst, tjänsttelemetri och prestandaövervakning till Azure. Tillåter TLS 1.3. | Alltid | Offentliga |
www.microsoft.com/pkiops/certs |
Mellanliggande certifikatuppdateringar för ESUs (obs! använder HTTP/TCP 80 och HTTPS/TCP 443) | Om du använder ESU:er som är aktiverade av Azure Arc. Krävs alltid för automatiska uppdateringar, eller tillfälligt om du laddar ned certifikat manuellt. | Offentliga |
1 Mer information om vilken information som samlas in och skickas finns i Datainsamling och rapportering för SQL Server som aktiveras av Azure Arc.
För tilläggsversioner fram till och med den 13 februari 2024 använder du san-af-<region>-prod.azurewebsites.net. Från och med 12 mars 2024 används *.<region>.arcdataservices.combåde Azure Arc-databearbetning och Azure Arc-datatelemetri.
Kommentar
Om du vill översätta *.servicebus.windows.net jokertecknet till specifika slutpunkter använder du kommandot \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. I det här kommandot måste regionen anges för <region> platshållaren. Dessa slutpunkter kan ändras med jämna mellanrum.
Om du vill hämta regionsegmentet för en regional slutpunkt tar du bort alla blanksteg från Namnet på Azure-regionen. Till exempel regionen USA, östra 2 , är eastus2regionnamnet .
Till exempel: *.<region>.arcdataservices.com bör finnas *.eastus2.arcdataservices.com i regionen USA, östra 2.
Om du vill se en lista över alla regioner kör du det här kommandot:
az account list-locations -o table
Get-AzLocation | Format-Table
Transport Layer Security 1.2-protokoll
För att säkerställa säkerheten för data under överföring till Azure rekommenderar vi starkt att du konfigurerar datorn att använda TLS (Transport Layer Security) 1.2. Äldre versioner av TLS/Secure Sockets Layer (SSL) har visat sig vara sårbara och även om de fortfarande arbetar för att tillåta bakåtkompatibilitet rekommenderas de inte.
| Plattform/språk | Support | Mer information |
|---|---|---|
| Linux | Linux-distributioner tenderar att förlita sig på Stöd för OpenSSL för TLS 1.2. | Kontrollera OpenSSL-ändringsloggen för att bekräfta att din version av OpenSSL stöds. |
| Windows Server 2012 R2 och senare | Stöds och aktiveras som standard. | Bekräfta att du fortfarande använder standardinställningarna. |
Delmängd av slutpunkter endast för ESU
Om du endast använder Azure Arc-aktiverade servrar för utökade säkerhetsuppdateringar för någon av eller båda av följande produkter:
- Windows Server 2012
- SQL Server 2012
Du kan aktivera följande delmängd av slutpunkter:
| Agentresurs | beskrivning | Vid behov | Slutpunkt som används med privat länk |
|---|---|---|---|
aka.ms |
Används för att lösa nedladdningsskriptet under installationen | Vid installationstillfället är det bara | Offentliga |
download.microsoft.com |
Används för att ladda ned Windows-installationspaketet | Vid installationstillfället är det bara | Offentliga |
login.windows.net |
Microsoft Entra ID | Alltid | Offentliga |
login.microsoftonline.com |
Microsoft Entra ID | Alltid | Offentliga |
*login.microsoft.com |
Microsoft Entra ID | Alltid | Offentliga |
management.azure.com |
Azure Resource Manager – för att skapa eller ta bort Arc-serverresursen | När du ansluter eller kopplar från en server är det bara | Offentlig, såvida inte en privat länk för resurshantering också har konfigurerats |
*.his.arc.azure.com |
Metadata och hybrididentitetstjänster | Alltid | Privat |
*.guestconfiguration.azure.com |
Tilläggshantering och gästkonfigurationstjänster | Alltid | Privat |
www.microsoft.com/pkiops/certs |
Mellanliggande certifikatuppdateringar för ESUs (obs! använder HTTP/TCP 80 och HTTPS/TCP 443) | Alltid för automatiska uppdateringar, eller tillfälligt om du laddar ned certifikat manuellt. | Offentliga |
*.<region>.arcdataservices.com |
Azure Arc-databehandlingstjänst och tjänsttelemetri. | SQL Server-ESUs | Offentliga |
*.blob.core.windows.net |
Ladda ned Sql Server-tilläggspaket | SQL Server-ESUs | Krävs inte om du använder Private Link |
Mer information finns i Nätverkskrav för ansluten datoragent.
Azure Arc-resursbrygga
I det här avsnittet beskrivs ytterligare nätverkskrav som är specifika för distribution av Azure Arc-resursbryggor i företaget. Dessa krav gäller även för Azure Arc-aktiverade VMware vSphere och Azure Arc-aktiverade System Center Virtual Machine Manager.
Krav för utgående anslutning
Brandväggs- och proxy-URL:erna nedan måste tillåtas för att kunna aktivera kommunikation från hanteringsdatorn, den virtuella enhetens virtuella dator och kontrollplanets IP-adress till de arcresursbryggor-URL:er som krävs.
Tillåtlista för brandväggs-/proxy-URL
| Tjänst | Port | URL | Riktning | Anteckningar |
|---|---|---|---|---|
| SFS API-slutpunkt | 443 | msk8s.api.cdp.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Ladda ned produktkatalog, produktbitar och OS-avbildningar från SFS. |
| Nedladdning av resursbryggor (installation) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Ladda ned Arc Resource Bridge OS-avbildningarna. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Identifiera containeravbildningar för Arc Resource Bridge. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Ladda ned containeravbildningar för Arc Resource Bridge. |
| Windows NTP Server | 123 | time.windows.com |
Hanteringsdator och VM-IP-adresser för installation (om Hyper-V-standardvärdet är Windows NTP) behöver utgående anslutning på UDP | Tidssynkronisering av operativsystem i den virtuella datorn och hanteringsdatorn (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Hantera resurser i Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Krävs för Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Krävs för att uppdatera ARM-token. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Krävs för att uppdatera ARM-token. |
| Azure Resource Manager | 443 | login.windows.net |
Hanteringsdator och VM-IP-adresser för installation behöver utgående anslutning. | Krävs för att uppdatera ARM-token. |
| Dataplanstjänst för resursbrygga (installation) | 443 | *.dp.prod.appliances.azure.com |
De virtuella datorernas IP-adress för installationen behöver utgående anslutning. | Kommunicera med resursprovidern i Azure. |
| Nedladdning av resursbrygga (installation) containeravbildning | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för att hämta containeravbildningar. |
| Hanterad identitet | 443 | *.his.arc.azure.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för att hämta systemtilldelade hanterade identitetscertifikat. |
| Nedladdning av Azure Arc för Kubernetes-containeravbildningar | 443 | azurearcfork8s.azurecr.io |
Vm-IP-adresser för installation behöver utgående anslutning. | Hämta containeravbildningar. |
| Azure Arc-agent | 443 | k8connecthelm.azureedge.net |
Vm-IP-adresser för installation behöver utgående anslutning. | distribuera Azure Arc-agenten. |
| ADHS-telemetritjänst | 443 | adhs.events.data.microsoft.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet microsofts obligatoriska diagnostikdata från den virtuella datorn för installationen. |
| Datatjänst för Microsoft-händelser | 443 | v20.events.data.microsoft.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Skicka diagnostikdata från Windows. |
| Loggsamling för Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Vm-IP-adresser för installation behöver utgående anslutning. | Push-loggar för installationshanterade komponenter. |
| Ladda ned resursbryggningskomponenter | 443 | kvamanagementoperator.azurecr.io |
Vm-IP-adresser för installation behöver utgående anslutning. | Hämta artefakter för installationshanterade komponenter. |
| Microsoft öppen källkod packages manager | 443 | packages.microsoft.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Ladda ned Linux-installationspaketet. |
| Anpassad plats | 443 | sts.windows.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för anpassad plats. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för Azure Arc. |
| Anpassad plats | 443 | k8sconnectcsp.azureedge.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Krävs för anpassad plats. |
| Diagnostikdata | 443 | gcs.prod.monitoring.core.windows.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet diagnostikdata som krävs av Microsoft. |
| Diagnostikdata | 443 | *.prod.microsoftmetrics.com |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet diagnostikdata som krävs av Microsoft. |
| Diagnostikdata | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet diagnostikdata som krävs av Microsoft. |
| Diagnostikdata | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Skickar regelbundet diagnostikdata som krävs av Microsoft. |
| Azure Portal | 443 | *.arc.azure.net |
Vm-IP-adresser för installation behöver utgående anslutning. | Hantera kluster från Azure Portal. |
| Azure CLI &-tillägg | 443 | *.blob.core.windows.net |
Hanteringsdatorn behöver utgående anslutning. | Ladda ned Installationsprogrammet och tillägget för Azure CLI. |
| Azure Arc-agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Hanteringsdatorn behöver utgående anslutning. | Dataplan som används för Arc-agenten. |
| Python-paket | 443 | pypi.org, *.pypi.org |
Hanteringsdatorn behöver utgående anslutning. | Verifiera Kubernetes- och Python-versioner. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Hanteringsdatorn behöver utgående anslutning. | Python-paket för Azure CLI-installation. |
Krav för inkommande anslutning
Kommunikation mellan följande portar måste tillåtas från hanteringsdatorn, VM-IP-adresser för installation och kontrollplans-IP-adresser. Se till att dessa portar är öppna och att trafiken inte dirigeras via en proxy för att underlätta distribution och underhåll av Arc-resursbryggan.
| Tjänst | Port | IP/dator | Riktning | Anteckningar |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs och Management machine |
Dubbelriktad | Används för att distribuera och underhålla den virtuella datorn. |
| Kubernetes API-server | 6443 | appliance VM IPs och Management machine |
Dubbelriktad | Hantering av den virtuella datorn för installationen. |
| SSH | 22 | control plane IP och Management machine |
Dubbelriktad | Används för att distribuera och underhålla den virtuella datorn. |
| Kubernetes API-server | 6443 | control plane IP och Management machine |
Dubbelriktad | Hantering av den virtuella datorn för installationen. |
| HTTPS | 443 | private cloud control plane address och Management machine |
Hanteringsdatorn behöver utgående anslutning. | Kommunikation med kontrollplanet (till ex: VMware vCenter-adress). |
Mer information finns i Nätverkskraven för Azure Arc-resursbryggan.
Azure Arc-aktiverad VMware vSphere
Azure Arc-aktiverad VMware vSphere kräver också:
| Tjänst | Port | URL | Riktning | Anteckningar |
|---|---|---|---|---|
| vCenter Server | 443 | URL för vCenter-servern | Den virtuella datorns IP- och kontrollplansslutpunkt behöver utgående anslutning. | Används av vCenter-servern för att kommunicera med den virtuella enhetens virtuella dator och kontrollplanet. |
| VMware-klustertillägg | 443 | azureprivatecloud.azurecr.io |
Vm-IP-adresser för installation behöver utgående anslutning. | Hämta containeravbildningar för Microsoft.VMWare och Microsoft.AVS-klustertillägget. |
| Azure CLI- och Azure CLI-tillägg | 443 | *.blob.core.windows.net |
Hanteringsdatorn behöver utgående anslutning. | Ladda ned Azure CLI Installer- och Azure CLI-tillägg. |
| Azure Resource Manager | 443 | management.azure.com |
Hanteringsdatorn behöver utgående anslutning. | Krävs för att skapa/uppdatera resurser i Azure med hjälp av ARM. |
| Helm-diagram för Azure Arc-agenter | 443 | *.dp.kubernetesconfiguration.azure.com |
Hanteringsdatorn behöver utgående anslutning. | Dataplansslutpunkt för nedladdning av konfigurationsinformation för Arc-agenter. |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
Hanteringsdatorn behöver utgående anslutning. | Krävs för att hämta och uppdatera Azure Resource Manager-token. |
Mer information finns i Supportmatris för Azure Arc-aktiverad VMware vSphere.
Azure Arc-aktiverad System Center Virtual Machine Manager
Azure Arc-aktiverad System Center Virtual Machine Manager (SCVMM) kräver också:
| Tjänst | Port | URL | Riktning | Anteckningar |
|---|---|---|---|---|
| SCVMM-hanteringsserver | 443 | URL för SCVMM-hanteringsservern | Den virtuella datorns IP- och kontrollplansslutpunkt behöver utgående anslutning. | Används av SCVMM-servern för att kommunicera med den virtuella enhetens virtuella dator och kontrollplanet. |
Mer information finns i Översikt över Arc-aktiverad System Center Virtual Machine Manager.
Ytterligare slutpunkter
Beroende på ditt scenario kan du behöva anslutning till andra URL:er, till exempel de som används av Azure Portal, hanteringsverktyg eller andra Azure-tjänster. Granska särskilt de här listorna för att se till att du tillåter anslutning till nödvändiga slutpunkter: