Azure Arc 網路需求
本文列出已啟用 Azure Arc 的服務與功能所需的端點、埠和通訊協定。
一般而言,連線需求包括下列準則:
- 所有連線皆為 TCP,除非另有指定。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 所有連線皆為輸出,除非另有指定。
若要使用 Proxy,請確認執行上線程序的代理程式和機器符合本文中的網路需求。
已啟用 Azure Arc 的 Kubernetes 端點
所有以 Kubernetes 為基礎的 Arc 供應專案都需要 Arc Kubernetes 型端點的連線能力,包括:
- 已啟用 Azure Arc 的 Kubernetes
- 已啟用 Azure Arc 的應用程式服務
- 已啟用 Azure Arc 的 Machine Learning
- 已啟用 Azure Arc 的數據服務(僅限直接連線模式)
重要
下列輸出 URL 必須透過 https://:443
,Azure Arc 代理程式才能運作。
若是 *.servicebus.windows.net
,必須在防火牆和 Proxy 上啟用 websocket 才能進行輸出存取。
端點 (DNS) | 描述 |
---|---|
https://management.azure.com |
代理程式連線到 Azure 並註冊叢集時所需。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。 |
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net |
擷取和更新 Azure Resource Manager 權杖的必要項目。 |
https://mcr.microsoft.com https://*.data.mcr.microsoft.com |
提取 Azure Arc 代理程式的容器映像時所需。 |
https://gbl.his.arc.azure.com |
取得區域端點以提取系統指派受控識別憑證的必要項目。 |
https://*.his.arc.azure.com |
提取系統指派受控識別憑證的必要項目。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點來輔助部署代理程式的 Helm 圖表。 |
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net |
適用於叢集連線和自訂位置類型的案例。 |
*.servicebus.windows.net |
適用於叢集連線和自訂位置類型的案例。 |
https://graph.microsoft.com/ |
設定 Azure RBAC 的必要項目。 |
*.arc.azure.net |
在 Azure 入口網站中管理已連線的叢集時,為必要項目。 |
https://<region>.obo.arc.azure.com:8084/ |
設定叢集連線時,為必要項目。 |
https://linuxgeneva-microsoft.azurecr.io |
如果使用已啟用 Azure Arc 的 Kubernetes 延伸模組,則為必要項目。 |
若要將 *.servicebus.windows.net
萬用字元轉譯為特定端點,請使用命令:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2
。
例如:在美國東部 2 區域中,*.<region>.arcdataservices.com
應為 *.eastus2.arcdataservices.com
。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
如需詳細資訊,請參閱 已啟用 Azure Arc 的 Kubernetes 網路需求。
已啟用 Azure Arc 的資料服務
本節說明已啟用 Azure Arc 之數據服務的特定需求,除了上述已啟用 Arc 的 Kubernetes 端點之外。
服務 | 通訊埠 | URL | 方向 | 注意事項 |
---|---|---|---|---|
Helm 圖表 (僅限直接連線模式) | 443 | arcdataservicesrow1.azurecr.io |
輸出 | 從 Azure Container Registry 提取而來,以佈建 Azure Arc 資料控制器啟動載入器和叢集等級物件,例如自訂資源定義、叢集角色和叢集角色繫結。 |
Azure 監視 API 1 | 443 | *.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com |
輸出 | Azure Data Studio 和 Azure CLI 會連線至 Azure Resource Manager API,以針對某些功能向 Azure 傳送資料和從 Azure 擷取資料。 請參閱 Azure 監視器 API。 |
Azure Arc 資料處理服務 1 | 443 | *.<region>.arcdataservices.com 2 |
輸出 |
1 需求取決於部署模式:
- 針對直接模式,Kubernetes 叢集上的控制器 Pod 必須具有端點的輸出連線能力,才能將記錄、計量、清查和計費資訊傳送至 Azure 監視器/資料處理服務。
- 針對間接模式,執行
az arcdata dc upload
的機器必須具有 Azure 監視器和資料處理服務的輸出連線能力。
1 對於 2024 年 2 月 13 日 (含) 之前的延伸模組,請使用 san-af-<region>-prod.azurewebsites.net
。
Azure 監視器 API
從 Azure Data Studio 到 Kube API 伺服器的連線能力會使用您已建立的 Kube 驗證和加密。 使用 Azure Data Studio 或 CLI 的每個使用者都必須具有 Kube API 的已驗證連線,才能執行與已啟用 Azure Arc 資料服務相關的各種動作。
如需詳細資訊,請參閱連線模式和需求。
已啟用 Azure Arc 的伺服器 (英文)
需要連線到已啟用 Arc 的伺服器端點:
透過 Azure Arc 啟用的 SQL Server
已啟用 Azure Arc 的 VMware vSphere *
已啟用 Azure Arc 的 System Center Virtual Machine Manager *
已啟用 Azure Arc 的 Azure Stack (HCI) *
*只有啟用來賓管理才需要。
所有伺服器型 Arc 供應項目都需要已啟用 Azure Arc 的伺服器端點。
網路設定
適用於 Linux 和 Windows 的 Azure Connected Machine 代理程式會透過 TCP 連接埠 443,安全地將訊息輸出到 Azure Arc。 根據預設,代理程式會使用網際網路的預設路由來連線到 Azure 服務。 如果您的網路需要,您可以選擇性地設定代理程式使用 Proxy 伺服器。 Proxy 伺服器不會讓 Connected Machine 代理程式變得更安全,因為流量已經加密。
若要進一步保護您的 Azure Arc 網路連線,而不是使用公用網路和 Proxy 伺服器,您可以實作 Azure Arc 私人連結範圍。
注意
已啟用 Azure Arc 的伺服器不支援使用 Log Analytics 閘道作為 Connected Machine 代理程式的 Proxy。 同時,Azure 監視器代理程序支援 Log Analytics 閘道。
如果您的防火牆或 Proxy 伺服器已限制輸出連線,請確定下面所列的 URL 和服務標籤未遭到封鎖。
服務標籤
請確定允許存取下列服務標籤:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 儲存體
- WindowsAdminCenter (如果使用 Windows Admin Center 管理已啟用 Arc 的伺服器)
如需每個服務標籤/區域的 IP 位址清單,請參閱 JSON 檔案:Azure IP 範圍和服務標籤 – 公用雲端。 Microsoft 會發佈每週更新,其中包含每個 Azure 服務和其使用的 IP 範圍。 JSON 檔案中的這項資訊是與每個服務標籤相對應之 IP 範圍的目前時間點清單。 IP 位址可能會變更。 如果您的防火牆設定需要 IP 位址範圍,則應該使用 AzureCloud 服務標籤來允許存取所有 Azure 服務。 請勿停用這些 URL 的安全性監視或檢查,但允許這些 URL,如同其他網際網路流量。
如果您篩選流向 AzureArcInfrastruct 服務標籤的流量,則必須允許流向完整服務標籤範圍的流量。 針對為各個區域公告的範圍 (例如 AzureArcInfrastruct.AustraliaEast),請勿包括服務的全域元件所使用的 IP 範圍。 為這些端點解析的特定 IP 位址可能會隨著時間在記錄的範圍內變更,因此僅使用查詢工具來識別指定端點的目前 IP 位址並允許存取該位址並不足以確保可靠的存取。
如需詳細資訊,請參閱虛擬網路服務標籤。
URL
下表列出為了安裝和使用 Connected Machine 代理程式,必須可供使用的 URL。
注意
設定 Azure 連線機器代理程式以透過私人連結與 Azure 通訊時,某些端點仍必須透過網際網路存取。 下表中的 [可用私人連結] 資料行顯示了哪些端點可以設定私人端點。 如果該資料行針對端點顯示公用,您仍必須允許透過組織的防火牆和/或 Proxy 伺服器存取該端點,代理程式才能正常運作。 如果已指派私人連結範圍,就會透過私人端點路由傳送網路流量。
代理程式資源 | 描述 | 需要時 | 可用私人連結 |
---|---|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 | 僅限安裝期間 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 僅限安裝期間 | 公開 |
packages.microsoft.com |
用來下載 Linux 安裝套件 | 僅限安裝期間 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
*login.microsoft.com |
Microsoft Entra ID | 永遠 | 公開 |
pas.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 僅限連線或中斷伺服器連線時 | 公用,除非同時設定了資源管理私人連結 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 | 永遠 | 私人 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 | 永遠 | 私人 |
guestnotificationservice.azure.com , *.guestnotificationservice.azure.com |
延伸模組和連線案例的通知服務 | 永遠 | 公開 |
azgn*.servicebus.windows.net |
延伸模組和連線案例的通知服務 | 永遠 | 公開 |
*.servicebus.windows.net |
用於 Windows Admin Center 和 SSH 案例 | 如果從 Azure 使用 SSH 或 Windows Admin Center | 公開 |
*.waconazure.com |
適用於 Windows Admin Center 連線 | 如果使用 Windows Admin Center | 公開 |
*.blob.core.windows.net |
已啟用 Azure Arc 的伺服器延伸模組的下載來源 | 一律,使用私人端點時除外 | 設定私人連結時不使用 |
dc.services.visualstudio.com |
代理程式遙測 | 選用性,在代理程式 1.24+ 版中不使用 | 公開 |
*.<region>.arcdataservices.com 1 |
針對 Arc SQL Server。 將資料處理服務、服務遙測和效能監視傳送到 Azure。 允許 TLS 1.3。 | 永遠 | 公開 |
www.microsoft.com/pkiops/certs |
進行 ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 如果使用 Azure Arc 所啟用的 ESU。自動更新一律需要,如果手動下載憑證則暫時需要。 | 公開 |
1 如需收集及傳送哪些資訊的詳細資訊,請參閱 Azure Arc 所啟用 SQL Server 的資料收集和報告。
對於 2024 年 2 月 13 日 (含) 之前的延伸模組,請使用 san-af-<region>-prod.azurewebsites.net
。 從 2024 年 3 月 12 日開始,Azure Arc 資料處理和 Azure Arc 資料遙測都使用 *.<region>.arcdataservices.com
。
注意
若要將 *.servicebus.windows.net
萬用字元轉譯為特定端點,請使用命令 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
。 在此命令內,必須指定 <region>
預留位置的區域。 這些端點可能會定期變更。
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2
。
例如:在美國東部 2 區域中,*.<region>.arcdataservices.com
應為 *.eastus2.arcdataservices.com
。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
傳輸層安全性 1.2 通訊協定
為了確保資料傳送至 Azure 時的安全性,我們強烈建議您將機器設定為使用傳輸層安全性 (TLS) 1.2。 我們已發現較舊版本的 TLS/安全通訊端層 (SSL) 較易受到攻擊,而且在其目前的運作中仍允許回溯相容性,因此並不建議使用這些版本。
平台/語言 | 支援 | 相關資訊 |
---|---|---|
Linux | Linux 發行版本通常會依賴 OpenSSL 來取得 TLS 1.2 支援。 | 請檢查 OpenSSL 變更記錄來確認支援的 OpenSSL 版本。 |
Windows Server 2012 R2 及更高版本 | 支援且預設會啟用。 | 請確認您仍在使用預設設定。 |
僅限進行 ESU 的端點子集
如果您只針對下列其中一項或兩項產品使用已啟用 Azure Arc 的伺服器來進行延伸安全性更新:
- Windows Server 2012
- SQL Server 2012
您可以啟用下列端點子集:
代理程式資源 | 描述 | 需要時 | 搭配私人連結使用的端點 |
---|---|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 | 僅限安裝期間 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 僅限安裝期間 | 公開 |
login.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
*login.microsoft.com |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 僅限連線或中斷伺服器連線時 | 公用,除非同時設定了資源管理私人連結 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 | 永遠 | 私人 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 | 永遠 | 私人 |
www.microsoft.com/pkiops/certs |
進行 ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 自動更新時一律採用,或手動下載憑證時暫時採用。 | 公開 |
*.<region>.arcdataservices.com |
Azure Arc 資料處理服務和服務遙測。 | SQL Server ESU | 公開 |
*.blob.core.windows.net |
下載 Sql Server 擴充功能套件 | SQL Server ESU | 如果使用 Private Link 則不需要 |
如需詳細資訊,請參閱連線的電腦代理程式網路需求。
Azure Arc 資源橋接器
本節說明在企業中部署 Azure Arc 資源網橋的特定其他網路需求。 這些需求也適用於已啟用 Azure Arc 的 VMware vSphere 和已啟用 Azure Arc 的 System Center Virtual Machine Manager。
輸出連線能力需求
以下防火牆和 Proxy URL 必須列入允許清單中,才能啟用從管理機器、設備 VM 及控制平面 IP 到必要 Arc 資源橋接器 URL 的通訊。
防火牆/Proxy URL 允許清單
服務 | 通訊埠 | URL | 方向 | 注意事項 |
---|---|---|---|---|
SFS API 端點 | 443 | msk8s.api.cdp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 從 SFS 下載產品目錄、產品位元和 OS 映像。 |
資源橋接器 (設備) 映像下載 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc Resource Bridge OS 映射。 |
Microsoft Container Registry | 443 | mcr.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 探索 Arc 資源橋接器的容器映像。 |
Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc 資源橋接器的容器映像。 |
Windows NTP 伺服器 | 123 | time.windows.com |
管理機器與設備 VM IP (如果 Hyper-V 預設值為 Windows NTP) 需要透過 UDP 的輸出連線 | 設備 VM 與管理機器 (Windows NTP) 中的 OS 時間同步。 |
Azure Resource Manager | 443 | management.azure.com |
管理機器與設備 VM IP 需要輸出連線。 | 管理 Azure 中的資源。 |
Microsoft Graph | 443 | graph.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | Azure RBAC 的必要項目。 |
Azure Resource Manager | 443 | login.microsoftonline.com |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
Azure Resource Manager | 443 | *.login.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
Azure Resource Manager | 443 | login.windows.net |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
資源橋接器 (設備) 資料平面服務 | 443 | *.dp.prod.appliances.azure.com |
設備 VM IP 需要輸出連線。 | 與 Azure 中的資源提供者通訊。 |
資源橋接器 (設備) 容器映像下載 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像的必要項目。 |
受控識別 | 443 | *.his.arc.azure.com |
設備 VM IP 需要輸出連線。 | 提取系統指派受控識別憑證的必要項目。 |
適用於 Kubernetes 的 Azure Arc 容器映像下載 | 443 | azurearcfork8s.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像。 |
Azure Arc 代理程式 | 443 | k8connecthelm.azureedge.net |
設備 VM IP 需要輸出連線。 | 部署 Azure Arc 代理程式。 |
ADHS 遙測服務 | 443 | adhs.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 定期從設備 VM 傳送 Microsoft 所需的診斷資料。 |
Microsoft 事件資料服務 | 443 | v20.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 從 Windows 傳送診斷資料。 |
Arc 資源橋接器的記錄集合 | 443 | linuxgeneva-microsoft.azurecr.io |
設備 VM IP 需要輸出連線。 | 推送設備受控元件的記錄。 |
資源橋接器元件下載 | 443 | kvamanagementoperator.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取設備受控元件的成品。 |
Microsoft 開放原始碼套件管理員 | 443 | packages.microsoft.com |
設備 VM IP 需要輸出連線。 | 下載 Linux 安裝套件。 |
自訂位置 | 443 | sts.windows.net |
設備 VM IP 需要輸出連線。 | 自訂位置的必要項目。 |
Azure Arc | 443 | guestnotificationservice.azure.com |
設備 VM IP 需要輸出連線。 | Azure Arc 的必要項目。 |
自訂位置 | 443 | k8sconnectcsp.azureedge.net |
設備 VM IP 需要輸出連線。 | 自訂位置的必要項目。 |
診斷資料 | 443 | gcs.prod.monitoring.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
診斷資料 | 443 | *.prod.microsoftmetrics.com |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
診斷資料 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
診斷資料 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
Azure 入口網站 | 443 | *.arc.azure.net |
設備 VM IP 需要輸出連線。 | 從 Azure 入口網站管理叢集。 |
Azure CLI 與延伸模組 | 443 | *.blob.core.windows.net |
管理機器需要輸出連線。 | 下載 Azure CLI 安裝程式和延伸模組。 |
Azure Arc 代理程式 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理機器需要輸出連線。 | 用於 Arc 代理程式的資料平面。 |
Python 套件 | 443 | pypi.org , *.pypi.org |
管理機器需要輸出連線。 | 驗證 Kubernetes 和 Python 版本。 |
Azure CLI | 443 | pythonhosted.org , *.pythonhosted.org |
管理機器需要輸出連線。 | 適用於 Azure CLI 安裝的 Python 套件。 |
輸入連線能力需求
必須允許從管理機器、設備 VM IP 和控制平面 IP 進行下列連接埠之間的通訊。 請確定這些連接埠已開啟,且流量不會透過 Proxy 路由傳送,以利 Arc 資源橋接器的部署和維護。
服務 | 通訊埠 | IP/機器 | 方向 | 注意事項 |
---|---|---|---|---|
SSH | 22 | appliance VM IPs 和 Management machine |
雙向 | 用於部署及維護設備 VM。 |
Kubernetes API 伺服器 | 6443 | appliance VM IPs 和 Management machine |
雙向 | 管理設備 VM。 |
SSH | 22 | control plane IP 和 Management machine |
雙向 | 用於部署及維護設備 VM。 |
Kubernetes API 伺服器 | 6443 | control plane IP 和 Management machine |
雙向 | 管理設備 VM。 |
HTTPS | 443 | private cloud control plane address 和 Management machine |
管理機器需要輸出連線。 | 與控制平面通訊 (例如:VMware vCenter 位址)。 |
如需詳細資訊,請參閱 Azure Arc 資源橋接器網路需求。
已啟用 Azure Arc 的 VMware vSphere
已啟用 Azure Arc 的 VMware vSphere 也需要:
服務 | 通訊埠 | URL | 方向 | 注意事項 |
---|---|---|---|---|
vCenter Server | 443 | vCenter Server 的 URL | 設備 VM IP 和控制平面端點都需要輸出連線。 | 供 vCenter Server 用來與設備 VM 和控制平面通訊。 |
VMWare 叢集延伸模組 | 443 | azureprivatecloud.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取 Microsoft.VMWare 和 Microsoft.AVS 叢集延伸模組的容器影像。 |
Azure CLI 和 Azure CLI 延伸模組 | 443 | *.blob.core.windows.net |
管理機器需要輸出連線。 | 下載 Azure CLI 安裝程式和 Azure CLI 延伸模組。 |
Azure Resource Manager | 443 | management.azure.com |
管理機器需要輸出連線。 | 需要使用 ARM 在 Azure 中建立/更新資源。 |
適用於 Azure Arc 代理程式的 Helm 圖表 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理機器需要輸出連線。 | 用來下載 Arc 代理程式設定資訊的資料平面端點。 |
Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
管理機器需要輸出連線。 | 擷取和更新 Azure Resource Manager 權杖的必要項目。 |
如需詳細資訊,請參閱 已啟用 Azure Arc 的 VMware vSphere 支援矩陣。
已啟用 Azure Arc 的 System Center Virtual Machine Manager
已啟用 Azure Arc 的 System Center Virtual Machine Manager (SCVMM) 也需要:
服務 | 通訊埠 | URL | 方向 | 注意事項 |
---|---|---|---|---|
SCVMM 管理伺服器 | 443 | SCVMM 管理伺服器的 URL | 設備 VM IP 和控制平面端點都需要輸出連線。 | 供 SCVMM 伺服器用來與設備 VM 和控制平面通訊。 |
如需詳細資訊,請參閱 已啟用Arc的 System Center Virtual Machine Manager 概觀。
額外端點
視您的案例而定,您可能需要連線到其他 URL,例如 Azure 入口網站、管理工具或其他 Azure 服務所使用的 URL。 特別是,請檢閱這些清單,確保您允許連線到任何必要的端點: