你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Arc 资源网桥网络要求

本文介绍在企业中部署 Azure Arc 资源网桥的网络要求。

一般网络要求

Arc 资源网桥通过 TCP 端口 443 安全地与 Azure Arc 出站通信。 如果你的设备需要通过防火墙或代理服务器进行连接来使用 Internet 通信,它将使用 HTTP 协议进行出站通信。

通常,连接要求包括以下原则:

  • 除非另有说明,否则所有连接都是 TCP 连接。
  • 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
  • 除非另有说明,否则所有连接都是出站连接。

若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。

出站连接性要求

必须将下面的防火墙和代理 URL 加入允许列表中,以便启用从管理计算机、设备 VM 和控制平面 IP 到所需 ARC 资源桥 URL 的通信。

防火墙/代理 URL 允许列表

服务 端口 URL 方向 说明
SFS API 终结点 443 msk8s.api.cdp.microsoft.com 管理计算机和设备 VM IP 需要出站连接。 从 SFS 下载产品目录、产品位和 OS 映像。
资源网桥(设备)映像下载 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com 管理计算机和设备 VM IP 需要出站连接。 下载 Arc 资源网桥 OS 映像。
Microsoft 容器注册表 443 mcr.microsoft.com 管理计算机和设备 VM IP 需要出站连接。 发现 Arc 资源网桥的容器映像。
Microsoft 容器注册表 443 *.data.mcr.microsoft.com 管理计算机和设备 VM IP 需要出站连接。 下载 Arc 资源网桥的容器映像。
Windows NTP 服务器 123 time.windows.com 管理计算机和设备 VM IP(如果 Hyper-V 默认值为 Windows NTP)需要在 UDP 上建立出站连接 设备 VM 和管理计算机 (Windows NTP) 中的 OS 时间同步。
Azure Resource Manager 443 management.azure.com 管理计算机和设备 VM IP 需要出站连接。 管理 Azure 中的资源。
Microsoft Graph 443 graph.microsoft.com 管理计算机和设备 VM IP 需要出站连接。 Azure RBAC 所需。
Azure Resource Manager 443 login.microsoftonline.com 管理计算机和设备 VM IP 需要出站连接。 更新 ARM 令牌所需。
Azure Resource Manager 443 *.login.microsoft.com 管理计算机和设备 VM IP 需要出站连接。 更新 ARM 令牌所需。
Azure Resource Manager 443 login.windows.net 管理计算机和设备 VM IP 需要出站连接。 更新 ARM 令牌所需。
资源网桥(设备)数据平面服务 443 *.dp.prod.appliances.azure.com 设备 VM IP 需要出站连接。 与 Azure 中的资源提供程序通信。
资源网桥(设备)容器映像下载 443 *.blob.core.windows.net, ecpacr.azurecr.io 设备 VM IP 需要出站连接。 需拉取容器映像。
托管标识 443 *.his.arc.azure.com 设备 VM IP 需要出站连接。 拉取系统分配的托管标识证书时必需。
Azure Arc for Kubernetes 容器映像下载 443 azurearcfork8s.azurecr.io 设备 VM IP 需要出站连接。 拉取容器映像。
Azure Arc 代理 443 k8connecthelm.azureedge.net 设备 VM IP 需要出站连接。 部署 Azure Arc 代理。
ADHS 遥测服务 443 adhs.events.data.microsoft.com 设备 VM IP 需要出站连接。 定期从设备 VM 发送 Microsoft 所需的诊断数据。
Microsoft 事件数据服务 443 v20.events.data.microsoft.com 设备 VM IP 需要出站连接。 从 Windows 发送诊断数据。
Arc 资源网桥的日志收集 443 linuxgeneva-microsoft.azurecr.io 设备 VM IP 需要出站连接。 为设备托管组件推送日志。
资源网桥组件下载 443 kvamanagementoperator.azurecr.io 设备 VM IP 需要出站连接。 为设备托管组件拉取项目。
Microsoft 开放源代码包管理器 443 packages.microsoft.com 设备 VM IP 需要出站连接。 下载 Linux 安装包。
自定义位置 443 sts.windows.net 设备 VM IP 需要出站连接。 自定义位置时必需。
Azure Arc 443 guestnotificationservice.azure.com 设备 VM IP 需要出站连接。 使用 Azure Arc 时必需。
自定义位置 443 k8sconnectcsp.azureedge.net 设备 VM IP 需要出站连接。 自定义位置时必需。
诊断数据 443 gcs.prod.monitoring.core.windows.net 设备 VM IP 需要出站连接。 定期发送 Microsoft 所需的诊断数据。
诊断数据 443 *.prod.microsoftmetrics.com 设备 VM IP 需要出站连接。 定期发送 Microsoft 所需的诊断数据。
诊断数据 443 *.prod.hot.ingest.monitor.core.windows.net 设备 VM IP 需要出站连接。 定期发送 Microsoft 所需的诊断数据。
诊断数据 443 *.prod.warm.ingest.monitor.core.windows.net 设备 VM IP 需要出站连接。 定期发送 Microsoft 所需的诊断数据。
Azure 门户 443 *.arc.azure.net 设备 VM IP 需要出站连接。 从 Azure 门户管理群集。
Azure CLI 和扩展 443 *.blob.core.windows.net 管理计算机需要出站连接。 下载 Azure CLI 安装程序和扩展。
Azure Arc 代理 443 *.dp.kubernetesconfiguration.azure.com 管理计算机需要出站连接。 用于 Arc 代理的数据平面。
Python 包 443 pypi.org*.pypi.org 管理计算机需要出站连接。 验证 Kubernetes 和 Python 版本。
Azure CLI 443 pythonhosted.org*.pythonhosted.org 管理计算机需要出站连接。  用于 Azure CLI 安装的 Python 包。

入站连接性要求

必须在管理计算机、设备 VM IP 和控制平面 IP 中允许以下端口之间的通信。 确保这些端口已打开,并且流量不会通过代理路由,以便于部署和维护 Arc 资源网桥。

服务 端口 IP/计算机 方向 说明
SSH 22 appliance VM IPsManagement machine 双向 用于部署和维护设备 VM。
Kubernetes API 服务器 6443 appliance VM IPsManagement machine 双向 设备 VM 的管理。
SSH 22 control plane IPManagement machine 双向 用于部署和维护设备 VM。
Kubernetes API 服务器 6443 control plane IPManagement machine 双向 设备 VM 的管理。
HTTPS 443 private cloud control plane addressManagement machine 管理计算机需要出站连接。  与控制平面(例如 VMware vCenter 地址)通信。

注意

仅 Arc 资源网桥需要此处列出的 URL。 其他 Arc 产品(例如由 Arc 启用的 VMware vSphere)可能有其他必需的 URL。 有关详细信息,请参阅 Azure Arc 网络要求

Arc 资源桥的指定 IP 范围

部署 Arc 资源网桥时,将专门为设备 VM 中的 Kubernetes Pod 和服务保留特定的 IP 范围。 这些内部 IP 范围不得与资源网桥的任何配置输入重叠,例如 IP 地址前缀、控制平面 IP、设备 VM IP、DNS 服务器、代理服务器或 vSphere ESXi 主机。 有关 Arc 资源网桥配置的详细信息,请参阅系统要求

注意

这些指定的 IP 范围仅在 Arc 资源网桥内部使用。 它们不会影响 Azure 资源或网络。

服务 指定的 IP 范围
Arc 资源网桥 Kubernetes Pod 10.244.0.0/16
Arc 资源网桥 Kubernetes 服务 10.96.0.0/12

SSL 代理配置

重要

Arc 资源网桥仅支持直接(显式)代理,包括未经身份验证的代理、具有基本身份验证的代理、SSL 终止代理和 SSL 直通代理。

如果使用某个代理,则必须将 Arc 资源网桥配置为使用该代理才能连接到 Azure 服务。

  • 若要使用代理配置 Arc 资源网桥,请在创建配置文件期间提供代理证书文件路径。

  • 证书文件的格式为 Base-64 编码的 X .509 (.CER)

  • 仅传递单代理证书。 如果传递证书捆绑包,则部署会失败。

  • 代理服务器终结点不能是 .local 域。

  • 代理服务器必须可从 IP 地址前缀内的所有 IP(包括控制平面和设备 VM IP)访问。

在 SSL 代理后面部署 Arc 资源网桥时,只有以下两个证书适用:

  • SSL 代理的 SSL 证书(使管理计算机和设备 VM 信任代理 FQDN 并且可以与其建立 SSL 连接)

  • Microsoft 下载服务器的 SSL 证书。 此证书必须由代理服务器本身信任,因为是该代理建立最终连接,并且它需要信任终结点。 默认情况下,非 Windows 计算机可能不信任这第二个证书,因此你可能需要确保它受信任。

为了部署 Arc 资源网桥,需要将图像下载到管理计算机,然后将其上传到本地私有云库。 如果代理服务器限制下载速度,则可能无法在指定的时间(90 分钟)内下载所需的图像(约 3.5 GB)。

无代理的排除列表

如果在使用代理服务器,则下表包含应通过配置 noProxy 设置从代理中排除的地址的列表。

IP 地址 进行排除的原因
localhost,127.0.0.1 Localhost 流量
.svc 内部 Kubernetes 服务流量 (.svc),其中,.svc 表示通配符名称。 这类似于所说的 *.svc,但此架构中未使用它们。
10.0.0.0/8 专用网络地址空间
172.16.0.0/12 专用网络地址空间 - Kubernetes 服务 CIDR
192.168.0.0/16 专用网络地址空间 - Kubernetes Pod CIDR
.contoso.com 你可能需要将你的企业命名空间 (.contoso.com) 从通过代理定向到的目标中排除。 若要排除域中的所有地址,必须将域添加到 noProxy 列表中。 使用前导句点而不是通配符 (*) 字符。 在示例中,地址 .contoso.com 不包括地址 prefix1.contoso.comprefix2.contoso.com 等。

noProxy 的默认值为 localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。 尽管这些默认值适用于许多网络,但你可能需要将更多子网范围和/或名称添加到免除列表中。 例如,你可能需要将你的企业命名空间 (.contoso.com) 从通过代理定向到的目标中排除。 可以通过在 noProxy 列表中指定相应的值来实现此目的。

重要

列出 noProxy 设置的多个地址时,请勿在每个逗号后添加空格来分隔地址。 地址必须紧跟在逗号后面。

内部端口侦听

注意,设备 VM 配置为侦听以下端口。 这些端口专用于内部进程,不需要外部访问:

  • 8443 - 用于 Microsoft Entra 身份验证 Webhook 的终结点
  • 10257 – Arc 资源网桥指标的终结点
  • 10250 – Arc 资源网桥指标的终结点
  • 2382 – Arc 资源网桥指标的终结点

后续步骤