你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Arc 网络要求
本文列出了已启用 Azure Arc 的服务和功能所需的终结点、端口和协议。
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
已启用 Azure Arc 的 Kubernetes 终结点
所有基于 Kubernetes 的 Arc 产品/服务都需要连接到基于 Arc Kubernetes 的终结点,包括:
- 已启用 Azure Arc 的 Kubernetes
- 已启用 Azure Arc 的应用服务
- 已启用 Azure Arc 的机器学习
- 已启用 Azure Arc 的数据服务(仅限直接连接模式)
重要
Azure Arc 代理需要 https://:443
上的以下出站 URL 才能运行。
对于 *.servicebus.windows.net
,需要为防火墙和代理上的出站访问启用 websocket。
终结点 (DNS) | 说明 |
---|---|
https://management.azure.com |
代理需要该终结点才可连接到 Azure 并注册群集。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
代理的数据平面终结点,用于推送状态和提取配置信息。 |
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net |
提取和更新 Azure 资源管理器令牌所需的终结点。 |
https://mcr.microsoft.com https://*.data.mcr.microsoft.com |
拉取 Azure Arc 代理的容器映像所需的终结点。 |
https://gbl.his.arc.azure.com |
需要用于获取区域终结点,以便拉取系统分配的托管标识证书。 |
https://*.his.arc.azure.com |
拉取系统分配的托管标识证书时必需。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 使用 Helm 3 在 Kubernetes 群集上部署 Azure Arc 代理。 Helm 客户端下载需要此终结点来帮助部署代理 helm 图表。 |
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net |
针对基于连接和位置的场景。 |
*.servicebus.windows.net |
针对基于连接和位置的场景。 |
https://graph.microsoft.com/ |
在配置 Azure RBAC 时是必需的。 |
*.arc.azure.net |
在 Azure 门户中管理连接的群集时是必需的。 |
https://<region>.obo.arc.azure.com:8084/ |
在配置群集连接功能时是必需的。 |
https://linuxgeneva-microsoft.azurecr.io |
如果使用已启用 Azure Arc 的 Kubernetes 扩展,则必需。 |
若要将 *.servicebus.windows.net
通配符转换为特定终结点,请使用以下命令:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
要获取区域终结点的区域段,请从 Azure 区域名称中删除所有空格。 例如,“美国东部 2”区域,区域名称为 eastus2
。
例如:*.<region>.arcdataservices.com
应位于“美国东部 2”区域中的 *.eastus2.arcdataservices.com
。
要查看所有区域的列表,请运行以下命令:
az account list-locations -o table
Get-AzLocation | Format-Table
有关详细信息,请参阅已启用 Azure Arc 的 Kubernetes 的网络要求。
已启用 Azure Arc 的数据服务
本部分介绍特定于已启用 Azure Arc 的数据服务的要求,以及上面列出的已启用 Arc 的 Kubernetes 终结点。
服务 | 端口 | URL | 方向 | 说明 |
---|---|---|---|---|
Helm 图表(仅限直接连接模式) | 443 | arcdataservicesrow1.azurecr.io |
出站 | 预配 Azure Arc 数据控制器引导程序和群集级别对象(例如,自定义资源定义、群集角色和群集角色绑定),从 Azure 容器注册表中拉取。 |
Azure monitor API1 | 443 | *.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com |
出站 | Azure Data Studio 和 Azure CLI 连接到 Azure 资源管理器 API,以在 Azure 中传输和检索数据,从而获取某些功能。 请参阅Azure Monitor API。 |
Azure Arc 数据处理服务1 | 443 | *.<region>.arcdataservices.com 2 |
Outbound |
1 要求取决于部署模式:
- 对于直接模式,Kubernetes 群集上的控制器 Pod 需要与终结点建立出站连接,以将日志、指标、清单和计费信息发送到 Azure Monitor/数据处理服务。
- 对于间接模式,运行
az arcdata dc upload
的计算机需要与 Azure Monitor 和数据处理服务建立出站连接。
2 对于 2024 年 2 月 13 日及之前发布的扩展版本,请使用 san-af-<region>-prod.azurewebsites.net
。
Azure Monitor API
从 Azure Data Studio 到 Kubernetes API 服务器的连接使用你已建立的 Kubernetes 身份验证和加密。 使用 Azure Data Studio 或 CLI 的每个用户都必须拥有到 Kubernetes API 的已经过身份验证的连接,才能执行与已启用 Azure Arc 的数据服务相关的许多操作。
有关详细信息,请参阅连接模式和要求。
已启用 Azure Arc 的服务器
需要连接到已启用 Arc 的服务器终结点才能使用以下组件:
已启用 Azure Arc 的 SQL Server
已启用 Azure Arc 的 VMware vSphere *
已启用 Azure Arc 的 System Center Virtual Machine Manager *
已启用 Azure Arc 的 Azure Stack (HCI) *
*仅当启用了来宾管理时才需要。
所有基于服务器的 Arc 产品/服务都需要已启用 Azure Arc 的服务器终结点。
网络配置
适用于 Linux 和 Windows 的 Azure Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 默认情况下,代理使用到 Internet 的默认路由来访问 Azure 服务。 如果网络需要代理服务器,可以选择将代理配置为使用代理服务器。 由于流量已加密,代理服务器使 Connected Machine 代理更安全。
若要进一步确保你的网络连接到 Azure Arc,而不是使用公共网络和代理服务器,可以实现 Azure Arc 专用链接范围。
注意
已启用 Azure Arc 的服务器不支持使用 Log Analytics 网关作为 Connected Machine 代理的代理。 在此期间,Azure Monitor 代理支持 Log Analytics 网关。
如果防火墙或代理服务器限制了出站连接,请确保不要阻止下面列出的 URL 和服务标记。
服务标记
确保允许对以下服务标记进行访问:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 存储
- WindowsAdminCenter(如果使用 Windows Admin Center 来管理启用了 Arc 的服务器)
有关每个服务标记/区域的 IP 地址列表,请参阅 JSON 文件 Azure IP 范围和服务标记 - 公有云。 Microsoft 每周将发布包含每个 Azure 服务及其使用的 IP 范围的更新。 JSON 文件中的这个信息是与每个服务标记对应的 IP 地址的当前实时列表。 IP 地址可能会变化。 如果防火墙配置需要 IP 地址范围,则应使用 AzureCloud 服务标记允许对所有 Azure 服务的访问。 请勿禁用对这些 URL 的安全监视或检查,但就像允许其他 Internet 流量一样允许这些 URL。
如果你筛选发往 AzureArcInfrastruct 服务标记的流量,必须允许流量发往完整的服务标记范围。 为单个区域播发的范围(例如 AzureArcInfrastruct.AustraliaEast)不包括服务的全局组件使用的 IP 范围。 为这些终结点解析的特定 IP 地址可能会随着时间在记录的范围内发生变化,因此仅使用查找工具来识别给定终结点的当前 IP 地址并允许访问该地址并不足以确保访问可靠。
有关详细信息,请参阅虚拟网络服务标记。
URL
下表列出了安装和使用 Connected Machine Agent 时必须可用的 URL。
注意
将 Azure 连接的计算机代理配置为通过专用链接与 Azure 通信时,某些终结点仍必须通过 Internet 访问。 下表中的“支持专用链接”列显示了可以配置专用终结点的终结点。 如果某个终结点的列显示“公共”,则仍必须允许通过组织的防火墙和/或代理服务器访问该终结点,以便代理正常运行。 如果分配了专用链接范围,则通过专用终结点路由网络流量。
代理资源 | 说明 | 需要时 | 支持专用链接 |
---|---|---|---|
aka.ms |
用于在安装过程中解析下载脚本 | 仅用于安装时 | 公共 |
download.microsoft.com |
用于下载 Windows 安装包 | 仅用于安装时 | 公用 |
packages.microsoft.com |
用于下载 Linux 安装包 | 仅用于安装时 | 公共 |
login.microsoftonline.com |
Microsoft Entra ID | 始终 | 公共 |
*login.microsoft.com |
Microsoft Entra ID | 始终 | 公共 |
pas.windows.net |
Microsoft Entra ID | 始终 | 公用 |
management.azure.com |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 | 仅连接或断开服务器时 | 公共,除非还配置了资源管理专用链接 |
*.his.arc.azure.com |
元数据和混合标识服务 | Always | 专用 |
*.guestconfiguration.azure.com |
扩展管理和来宾配置服务 | Always | 专用 |
guestnotificationservice.azure.com , *.guestnotificationservice.azure.com |
扩展和连接方案的通知服务 | Always | 公用 |
azgn*.servicebus.windows.net |
扩展和连接方案的通知服务 | Always | 公用 |
*.servicebus.windows.net |
对于 Windows Admin Center 和 SSH 方案 | 如果从 Azure 中使用 SSH 或 Windows Admin Center | 开放 |
*.waconazure.com |
对于 Windows Admin Center 连接 | 如果使用 Windows Admin Center | 开放 |
*.blob.core.windows.net |
下载启用了 Azure Arc 的服务器扩展的源 | 始终,使用专用终结点时除外 | 配置专用链接时不使用 |
dc.services.visualstudio.com |
代理遥测 | 可选,不用于代理版本 1.24+ | 公开 |
*.<region>.arcdataservices.com 1 |
对于 Arc SQL Server。 将数据处理服务、服务遥测和性能监视发送到 Azure。 允许 TLS 1.3。 | 始终 | 公开 |
www.microsoft.com/pkiops/certs |
ESU 的中间证书更新(注意:请使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 使用 Azure Arc 启用的 ESU 的情况下。如果是自动更新,则需要始终使用;如果手动下载证书,则需要临时使用。 | 公用 |
1 有关收集和发送信息的详细信息,请查看 Azure Arc 启用的 SQL Server 的数据收集和报告。
对于 2024 年 2 月 13 日及之前发布的扩展版本,请使用 san-af-<region>-prod.azurewebsites.net
。 从 2024 年 3 月 12 日开始,Azure Arc 数据处理和 Azure Arc 数据遥测都使用 *.<region>.arcdataservices.com
。
注意
若要将 *.servicebus.windows.net
通配符转换为特定终结点,请使用命令 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
。 在这个命令中,必须为 <region>
占位符指定区域。 这些终结点可能会定期更改。
要获取区域终结点的区域段,请从 Azure 区域名称中删除所有空格。 例如,“美国东部 2”区域,区域名称为 eastus2
。
例如:*.<region>.arcdataservices.com
应位于“美国东部 2”区域中的 *.eastus2.arcdataservices.com
。
要查看所有区域的列表,请运行以下命令:
az account list-locations -o table
Get-AzLocation | Format-Table
传输层安全性 1.2 协议
为了确保传输到 Azure 的数据的安全性,我们强烈建议你将计算机配置为使用传输层安全性 (TLS) 1.2。 我们发现旧版 TLS/安全套接字层 (SSL) 容易受到攻击,尽管目前出于向后兼容,这些协议仍可正常工作,但我们不建议使用。
平台/语言 | 支持 | 更多信息 |
---|---|---|
Linux | Linux 分发版往往依赖于 OpenSSL 来提供 TLS 1.2 支持。 | 请检查 OpenSSL 变更日志,确认你的 OpenSSL 版本是否受支持。 |
Windows Server 2012 R2 和更高版本 | 受支持,并且默认已启用。 | 确认是否仍在使用默认设置。 |
仅限 ESU 的终结点子集
对于下面一种或全部两种产品,如果仅对扩展安全更新使用已启用 Azure Arc 的服务器,请执行以下操作:
- Windows Server 2012
- SQL Server 2012
可启用以下终结点子集:
代理资源 | 说明 | 需要时 | 与专用链接一起使用的终结点 |
---|---|---|---|
aka.ms |
用于在安装过程中解析下载脚本 | 仅用于安装时 | 公共 |
download.microsoft.com |
用于下载 Windows 安装包 | 仅用于安装时 | 公共 |
login.windows.net |
Microsoft Entra ID | 始终 | 公共 |
login.microsoftonline.com |
Microsoft Entra ID | 始终 | 公共 |
*login.microsoft.com |
Microsoft Entra ID | 始终 | 公用 |
management.azure.com |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 | 仅连接或断开服务器时 | 公共,除非还配置了资源管理专用链接 |
*.his.arc.azure.com |
元数据和混合标识服务 | Always | 专用 |
*.guestconfiguration.azure.com |
扩展管理和来宾配置服务 | Always | Private |
www.microsoft.com/pkiops/certs |
ESU 的中间证书更新(注意:请使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 如果是自动更新,则始终使用;如果手动下载证书,则临时使用。 | 公开 |
*.<region>.arcdataservices.com |
Azure Arc 数据处理服务和服务遥测。 | SQL Server ESU | 公开 |
*.blob.core.windows.net |
下载 Sql Server 扩展包 | SQL Server ESU | 如果使用专用链接,则不需要 |
有关详细信息,请参阅 Connected Machine 代理网络要求。
Azure Arc 资源网桥
本部分介绍特定于在企业中部署 Azure Arc 资源网桥的其他网络要求。 这些要求也适用于已启用 Azure Arc 的 VMware vSphere 和已启用 Azure Arc 的 System Center Virtual Machine Manager。
出站连接性要求
必须将下面的防火墙和代理 URL 加入允许列表中,以便启用从管理计算机、设备 VM 和控制平面 IP 到所需 ARC 资源桥 URL 的通信。
防火墙/代理 URL 允许列表
服务 | 端口 | URL | 方向 | 说明 |
---|---|---|---|---|
SFS API 终结点 | 443 | msk8s.api.cdp.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 从 SFS 下载产品目录、产品位和 OS 映像。 |
资源网桥(设备)映像下载 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 下载 Arc 资源网桥 OS 映像。 |
Microsoft 容器注册表 | 443 | mcr.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 发现 Arc 资源网桥的容器映像。 |
Microsoft 容器注册表 | 443 | *.data.mcr.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 下载 Arc 资源网桥的容器映像。 |
Windows NTP 服务器 | 123 | time.windows.com |
管理计算机和设备 VM IP(如果 Hyper-V 默认值为 Windows NTP)需要在 UDP 上建立出站连接 | 设备 VM 和管理计算机 (Windows NTP) 中的 OS 时间同步。 |
Azure Resource Manager | 443 | management.azure.com |
管理计算机和设备 VM IP 需要出站连接。 | 管理 Azure 中的资源。 |
Microsoft Graph | 443 | graph.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | Azure RBAC 所需。 |
Azure Resource Manager | 443 | login.microsoftonline.com |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
Azure Resource Manager | 443 | *.login.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
Azure Resource Manager | 443 | login.windows.net |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
资源网桥(设备)数据平面服务 | 443 | *.dp.prod.appliances.azure.com |
设备 VM IP 需要出站连接。 | 与 Azure 中的资源提供程序通信。 |
资源网桥(设备)容器映像下载 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
设备 VM IP 需要出站连接。 | 需拉取容器映像。 |
托管标识 | 443 | *.his.arc.azure.com |
设备 VM IP 需要出站连接。 | 拉取系统分配的托管标识证书时必需。 |
Azure Arc for Kubernetes 容器映像下载 | 443 | azurearcfork8s.azurecr.io |
设备 VM IP 需要出站连接。 | 拉取容器映像。 |
Azure Arc 代理 | 443 | k8connecthelm.azureedge.net |
设备 VM IP 需要出站连接。 | 部署 Azure Arc 代理。 |
ADHS 遥测服务 | 443 | adhs.events.data.microsoft.com |
设备 VM IP 需要出站连接。 | 定期从设备 VM 发送 Microsoft 所需的诊断数据。 |
Microsoft 事件数据服务 | 443 | v20.events.data.microsoft.com |
设备 VM IP 需要出站连接。 | 从 Windows 发送诊断数据。 |
Arc 资源网桥的日志收集 | 443 | linuxgeneva-microsoft.azurecr.io |
设备 VM IP 需要出站连接。 | 为设备托管组件推送日志。 |
资源网桥组件下载 | 443 | kvamanagementoperator.azurecr.io |
设备 VM IP 需要出站连接。 | 为设备托管组件拉取项目。 |
Microsoft 开放源代码包管理器 | 443 | packages.microsoft.com |
设备 VM IP 需要出站连接。 | 下载 Linux 安装包。 |
自定义位置 | 443 | sts.windows.net |
设备 VM IP 需要出站连接。 | 自定义位置时必需。 |
Azure Arc | 443 | guestnotificationservice.azure.com |
设备 VM IP 需要出站连接。 | 使用 Azure Arc 时必需。 |
自定义位置 | 443 | k8sconnectcsp.azureedge.net |
设备 VM IP 需要出站连接。 | 自定义位置时必需。 |
诊断数据 | 443 | gcs.prod.monitoring.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
诊断数据 | 443 | *.prod.microsoftmetrics.com |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
诊断数据 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
诊断数据 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
Azure 门户 | 443 | *.arc.azure.net |
设备 VM IP 需要出站连接。 | 从 Azure 门户管理群集。 |
Azure CLI 和扩展 | 443 | *.blob.core.windows.net |
管理计算机需要出站连接。 | 下载 Azure CLI 安装程序和扩展。 |
Azure Arc 代理 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理计算机需要出站连接。 | 用于 Arc 代理的数据平面。 |
Python 包 | 443 | pypi.org , *.pypi.org |
管理计算机需要出站连接。 | 验证 Kubernetes 和 Python 版本。 |
Azure CLI | 443 | pythonhosted.org , *.pythonhosted.org |
管理计算机需要出站连接。 | 用于 Azure CLI 安装的 Python 包。 |
入站连接性要求
必须在管理计算机、设备 VM IP 和控制平面 IP 中允许以下端口之间的通信。 确保这些端口已打开,并且流量不会通过代理路由,以便于部署和维护 Arc 资源网桥。
服务 | 端口 | IP/计算机 | 方向 | 说明 |
---|---|---|---|---|
SSH | 22 | appliance VM IPs 和 Management machine |
双向 | 用于部署和维护设备 VM。 |
Kubernetes API 服务器 | 6443 | appliance VM IPs 和 Management machine |
双向 | 设备 VM 的管理。 |
SSH | 22 | control plane IP 和 Management machine |
双向 | 用于部署和维护设备 VM。 |
Kubernetes API 服务器 | 6443 | control plane IP 和 Management machine |
双向 | 设备 VM 的管理。 |
HTTPS | 443 | private cloud control plane address 和 Management machine |
管理计算机需要出站连接。 | 与控制平面(例如 VMware vCenter 地址)通信。 |
有关详细信息,请参阅 Azure Arc 资源网桥的网络要求。
已启用 Azure Arc 的 VMware vSphere
已启用 Azure Arc 的 VMware vSphere 还需要:
服务 | 端口 | URL | 方向 | 说明 |
---|---|---|---|---|
vCenter Server | 443 | vCenter 服务器的 URL | 设备 VM IP 和控制平面终结点需要出站连接。 | 由 vCenter 服务器用来与设备 VM 和控制平面通信。 |
VMware 群集扩展 | 443 | azureprivatecloud.azurecr.io |
设备 VM IP 需要出站连接。 | 拉取 Microsoft.VMWare 和 Microsoft.AVS 群集扩展的容器映像。 |
Azure CLI 和 Azure CLI 扩展 | 443 | *.blob.core.windows.net |
管理计算机需要出站连接。 | 下载 Azure CLI 安装程序和 Azure CLI 扩展。 |
Azure Resource Manager | 443 | management.azure.com |
管理计算机需要出站连接。 | 在 Azure 中使用 ARM 创建/更新资源时需要。 |
Azure Arc 代理的 Helm 图表 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理计算机需要出站连接。 | 用于下载 Arc 代理配置信息的数据平面终结点。 |
Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
管理计算机需要出站连接。 | 提取和更新 Azure 资源管理器令牌所需的终结点。 |
有关详细信息,请参阅 已启用 Azure Arc 的 VMware vSphere 的支持矩阵。
已启用 Azure Arc 的 System Center Virtual Machine Manager
已启用 Azure Arc 的 System Center Virtual Machine Manager(SCVMM)还需要:
服务 | 端口 | URL | 方向 | 说明 |
---|---|---|---|---|
SCVMM 管理服务器 | 443 | SCVMM 管理服务器的 URL | 设备 VM IP 和控制平面终结点需要出站连接。 | 由 SCVMM 服务器用来与设备 VM 和控制平面通信。 |
有关详细信息,请参阅 已启用 Arc 的 System Center Virtual Machine Manager 概述。
额外终结点
根据你的方案,可能需要连接到其他 URL,例如 Azure 门户、管理工具或其他 Azure 服务使用的 URL。 具体而言,请查看这些列表,以确保允许连接到任何必要的终结点: