Persyaratan jaringan Azure Arc

Artikel ini mencantumkan titik akhir, port, dan protokol yang diperlukan untuk layanan dan fitur dengan dukungan Azure Arc.

Umumnya, persyaratan konektivitas mencakup prinsip-prinsip ini:

• Semua koneksi adalah TCP kecuali ditentukan lain.
• Semua koneksi HTTP menggunakan HTTPS dan SSL/TLS dengan sertifikat yang ditandatangani dan dapat diverifikasi secara resmi.
• Semua koneksi keluar kecuali ditentukan lain.

Untuk menggunakan proksi, verifikasi bahwa agen dan mesin yang melakukan proses onboarding memenuhi persyaratan jaringan dalam artikel ini.

Titik akhir Kubernetes dengan dukungan Azure Arc

Koneksi ke titik akhir berbasis Arc Kubernetes diperlukan untuk semua penawaran Arc berbasis Kubernetes, termasuk:

• Kubernetes yang mendukung Azure Arc
• Layanan Aplikasi dengan dukungan Azure Arc
• Pembelajaran mesin yang didukung Azure Arc
• Layanan data dengan dukungan Azure Arc (hanya mode konektivitas langsung)

Azure Cloud

Penting

Agen Azure Arc memerlukan URL keluar berikut pada https://:443 agar berfungsi. Untuk *.servicebus.windows.net, websocket perlu diaktifkan untuk akses keluar pada firewall dan proksi.

Titik akhir (DNS)	Deskripsi
https://management.azure.com	Diperlukan bagi agen untuk terhubung ke Azure dan mendaftarkan kluster.
https://<region>.dp.kubernetesconfiguration.azure.com	Titik akhir sarana data bagi agen untuk mendorong status dan mengambil informasi konfigurasi.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	Diperlukan untuk mengambil dan memperbarui token Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Diperlukan untuk penarikan gambar kontainer untuk agen Azure Arc.
https://gbl.his.arc.azure.com	Diperlukan untuk mendapatkan titik akhir regional guna menarik sertifikat Identitas Layanan Terkelola yang ditetapkan sistem.
https://*.his.arc.azure.com	Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem.
https://k8connecthelm.azureedge.net	az connectedk8s connect menggunakan Helm 3 untuk menyebarkan agen Azure Arc pada kluster Kubernetes. Titik akhir ini diperlukan bagi unduhan klien Helm untuk memfasilitasi penyebaran bagan helm agen.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	Untuk Kluster Tersambung dan untuk Lokasi Kustom berdasarkan skenario.
*.servicebus.windows.net	Untuk Kluster Tersambung dan untuk Lokasi Kustom berdasarkan skenario.
https://graph.microsoft.com/	Diperlukan saat Azure RBAC dikonfigurasi.
*.arc.azure.net	Diperlukan untuk mengelola kluster yang terhubung di portal Azure.
https://<region>.obo.arc.azure.com:8084/	Diperlukan saat Cluster Koneksi dikonfigurasi.
dl.k8s.io	Diperlukan saat peningkatan agen otomatis diaktifkan.

Untuk menerjemahkan *.servicebus.windows.net kartubebas ke titik akhir tertentu, gunakan perintah :

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Untuk mendapatkan segmen wilayah titik akhir regional, hapus semua spasi dari nama wilayah Azure. Misalnya, wilayah US Timur 2 , nama wilayahnya adalah eastus2.

Misalnya: *.<region>.arcdataservices.com harus berada *.eastus2.arcdataservices.com di wilayah US Timur 2.

Untuk melihat daftar semua wilayah, jalankan perintah ini:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Penting

Agen Azure Arc memerlukan URL keluar berikut pada https://:443 agar berfungsi. Untuk *.servicebus.usgovcloudapi.net, websocket perlu diaktifkan untuk akses keluar pada firewall dan proksi.

Titik akhir (DNS)	Deskripsi
https://management.usgovcloudapi.net	Diperlukan bagi agen untuk terhubung ke Azure dan mendaftarkan kluster.
https://<region>.dp.kubernetesconfiguration.azure.us	Titik akhir sarana data bagi agen untuk mendorong status dan mengambil informasi konfigurasi.
https://login.microsoftonline.us <region>.login.microsoftonline.us	Diperlukan untuk mengambil dan memperbarui token Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Diperlukan untuk penarikan gambar kontainer untuk agen Azure Arc.
https://gbl.his.arc.azure.us	Diperlukan untuk mendapatkan titik akhir regional guna menarik sertifikat Identitas Layanan Terkelola yang ditetapkan sistem.
https://usgv.his.arc.azure.us	Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem.
https://k8connecthelm.azureedge.net	az connectedk8s connect menggunakan Helm 3 untuk menyebarkan agen Azure Arc pada kluster Kubernetes. Titik akhir ini diperlukan bagi unduhan klien Helm untuk memfasilitasi penyebaran bagan helm agen.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	Untuk Kluster Tersambung dan untuk Lokasi Kustom berdasarkan skenario.
*.servicebus.usgovcloudapi.net	Untuk Kluster Tersambung dan untuk Lokasi Kustom berdasarkan skenario.
https://graph.microsoft.com/	Diperlukan saat Azure RBAC dikonfigurasi.
https://usgovvirginia.obo.arc.azure.us:8084/	Diperlukan saat Cluster Koneksi dikonfigurasi.
dl.k8s.io	Diperlukan saat peningkatan agen otomatis diaktifkan.

Untuk menerjemahkan *.servicebus.usgovcloudapi.net kartubebas ke titik akhir tertentu, gunakan perintah :

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

Untuk mendapatkan segmen wilayah titik akhir regional, hapus semua spasi dari nama wilayah Azure. Misalnya, wilayah US Timur 2 , nama wilayahnya adalah eastus2.

Misalnya: *.<region>.arcdataservices.com harus berada *.eastus2.arcdataservices.com di wilayah US Timur 2.

Untuk melihat daftar semua wilayah, jalankan perintah ini:

az account list-locations -o table

Get-AzLocation | Format-Table

Microsoft Azure dioperasikan oleh 21Vianet

Penting

Agen Azure Arc memerlukan URL keluar berikut pada https://:443 agar berfungsi. Untuk *.servicebus.chinacloudapi.cn, websocket perlu diaktifkan untuk akses keluar pada firewall dan proksi.

Titik akhir (DNS)	Deskripsi
https://management.chinacloudapi.cn	Diperlukan bagi agen untuk terhubung ke Azure dan mendaftarkan kluster.
https://<region>.dp.kubernetesconfiguration.azure.cn	Titik akhir sarana data bagi agen untuk mendorong status dan mengambil informasi konfigurasi.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	Diperlukan untuk mengambil dan memperbarui token Azure Resource Manager.
mcr.azk8s.cn	Diperlukan untuk penarikan gambar kontainer untuk agen Azure Arc.
https://gbl.his.arc.azure.cn	Diperlukan untuk mendapatkan titik akhir regional guna menarik sertifikat Identitas Layanan Terkelola yang ditetapkan sistem.
https://*.his.arc.azure.cn	Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem.
https://k8connecthelm.azureedge.net	az connectedk8s connect menggunakan Helm 3 untuk menyebarkan agen Azure Arc pada kluster Kubernetes. Titik akhir ini diperlukan bagi unduhan klien Helm untuk memfasilitasi penyebaran bagan helm agen.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	Untuk Kluster Tersambung dan untuk Lokasi Kustom berdasarkan skenario.
*.servicebus.chinacloudapi.cn	Untuk Kluster Tersambung dan untuk Lokasi Kustom berdasarkan skenario.
https://graph.chinacloudapi.cn/	Diperlukan saat Azure RBAC dikonfigurasi.
*.arc.azure.cn	Diperlukan untuk mengelola kluster yang terhubung di portal Azure.
https://<region>.obo.arc.azure.cn:8084/	Diperlukan saat Cluster Koneksi dikonfigurasi.
dl.k8s.io	Diperlukan saat peningkatan agen otomatis diaktifkan.
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Server proksi registri kontainer untuk VM Azure Tiongkok.

Untuk informasi selengkapnya, lihat Persyaratan jaringan Kubernetes dengan dukungan Azure Arc.

Data Services yang didukung Azure Arc

Bagian ini menjelaskan persyaratan khusus untuk layanan data dengan dukungan Azure Arc, selain titik akhir Kubernetes dengan dukungan Arc yang tercantum di atas.

Layanan	Port	URL	Arah	Catatan
Bagan helm (mode terhubung langsung saja)	443	arcdataservicesrow1.azurecr.io	Keluar	Menyediakan bootstrapper pengontrol data Azure Arc dan objek tingkat kluster, seperti definisi sumber daya kustom, peran kluster, dan pengikatan peran kluster, ditarik dari Azure Container Registry.
API azure monitor *	443	*.ods.opinsights.azure.com *.oms.opinsights.azure.com *.monitoring.azure.com	Keluar	Azure Data Studio, dan Azure CLI terhubung ke API Azure Resource Manager untuk mengirim dan mengambil data ke dan dari Azure untuk beberapa fitur. Lihat API Azure Monitor.
Layanan pemrosesan data Azure Arc *	443	*.<region>.arcdataservices.com2	Keluar

¹ Persyaratan tergantung pada mode penyebaran:

• Untuk mode langsung, pod pengontrol pada kluster Kubernetes harus memiliki konektivitas keluar ke titik akhir untuk mengirim log, metrik, inventori, dan informasi penagihan ke Azure Monitor/Data Processing Service.
• Untuk mode tidak langsung, komputer yang berjalan az arcdata dc upload harus memiliki konektivitas keluar ke Azure Monitor dan Layanan Pemrosesan Data.

² Untuk versi ekstensi hingga dan termasuk 13 Februari 2024, gunakan san-af-<region>-prod.azurewebsites.net.

API Azure Monitor

Konektivitas dari Azure Data Studio ke server API Kubernetes menggunakan autentikasi dan enkripsi Kubernetes yang telah Anda buat. Setiap pengguna yang menggunakan Azure Data Studio atau CLI harus memiliki koneksi yang diautentikasi ke API Kubernetes untuk melakukan banyak tindakan yang terkait dengan layanan data dengan dukungan Azure Arc.

Untuk informasi selengkapnya, lihat Persyaratan dan mode konektivitas.

Server dengan Azure Arc yang diaktifkan

Koneksi ke titik akhir server dengan dukungan Arc diperlukan untuk:

• SQL Server diaktifkan oleh Azure Arc

• VMware vSphere dengan dukungan Azure Arc ^*

• Manajer Komputer Virtual Pusat Sistem dengan dukungan Azure Arc ^*

• Azure Stack (HCI) dengan dukungan Azure Arc ^*

  ^*Hanya diperlukan untuk manajemen tamu yang diaktifkan.

Titik akhir server dengan dukungan Azure Arc diperlukan untuk semua penawaran Arc berbasis server.

Konfigurasi Jaringan

Agen Azure Koneksi ed Machine untuk Linux dan Windows berkomunikasi keluar dengan aman ke Azure Arc melalui port TCP 443. Secara default, agen menggunakan rute default ke internet untuk menjangkau layanan Azure. Anda dapat secara opsional mengonfigurasi agen untuk menggunakan server proksi jika jaringan Anda memerlukannya. Server proxy tidak membuat agen Connected Machine lebih aman karena lalu lintas sudah dienkripsi.

Untuk lebih mengamankan konektivitas jaringan Anda ke Azure Arc, alih-alih menggunakan jaringan publik dan server proksi, Anda dapat menerapkan Cakupan Azure Arc Private Link .

Catatan

Server berkemampuan Azure Arc tidak mendukung penggunaan gateway Log Analytics sebagai proksi untuk agen Connected Machine. Pada saat yang sama, Agen Azure Monitor mendukung gateway Analitik Log.

Jika konektivitas keluar dibatasi oleh firewall atau server proksi Anda, pastikan URL dan Tag Layanan yang tercantum di bawah ini tidak diblokir.

Tag layanan

Pastikan untuk mengizinkan akses ke Tag Layanan berikut:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Penyimpanan
• WindowsAdminCenter (jika menggunakan Pusat Admin Windows untuk mengelola server yang diaktifkan Arc)

Untuk daftar alamat IP untuk setiap tag/wilayah layanan, lihat file JSON Rentang IP Azure dan Tag Layanan – Cloud Publik. Microsoft menerbitkan pembaruan mingguan yang berisi setiap Layanan Azure dan rentang IP yang digunakannya. Informasi dalam file JSON ini adalah daftar titik waktu saat ini dari rentang IP yang sesuai dengan setiap tag layanan. Alamat IP dapat berubah. Jika rentang alamat IP diperlukan untuk konfigurasi firewall Anda, maka Tag Layanan AzureCloud harus digunakan untuk mengizinkan akses ke semua layanan Azure. Jangan nonaktifkan pemantauan keamanan atau pemeriksaan URL ini, izinkan seperti yang Anda lakukan pada lalu lintas Internet lainnya.

Jika Anda memfilter lalu lintas ke tag layanan AzureArcInfrastructure, Anda harus mengizinkan lalu lintas ke rentang tag layanan lengkap. Rentang yang diiklankan untuk wilayah individual, misalnya AzureArcInfrastructure.AustraliaEast, tidak menyertakan rentang IP yang digunakan oleh komponen global layanan. Alamat IP tertentu yang diselesaikan untuk titik akhir ini dapat berubah dari waktu ke waktu dalam rentang yang didokumenkan, jadi hanya menggunakan alat pencarian untuk mengidentifikasi alamat IP saat ini untuk titik akhir tertentu dan memungkinkan akses ke titik akhir tersebut tidak akan cukup untuk memastikan akses yang andal.

Untuk informasi selengkapnya, lihat Tag layanan jaringan virtual.

URL

Tabel di bawah ini mencantumkan URL yang harus tersedia untuk menginstal dan menggunakan agen Koneksi Ed Machine.

Azure Cloud

Catatan

Saat mengonfigurasi agen mesin yang terhubung dengan Azure untuk berkomunikasi dengan Azure melalui tautan privat, beberapa titik akhir masih harus diakses melalui internet. Titik Akhir yang digunakan dengan kolom tautan privat dalam tabel berikut menunjukkan titik akhir mana yang dapat dikonfigurasi dengan titik akhir privat. Jika kolom memperlihatkan Publik untuk titik akhir, Anda masih harus mengizinkan akses ke titik akhir tersebut melalui firewall organisasi dan/atau server proksi agar agen berfungsi.

Sumber daya agen	Deskripsi	Jika diperlukan	Titik akhir yang digunakan dengan tautan privat
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya	Publik
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya	Publik
packages.microsoft.com	Digunakan untuk mengunduh paket penginstalan Linux	Pada waktu penginstalan, hanya	Publik
login.windows.net	Microsoft Entra ID	Selalu	Publik
login.microsoftonline.com	Microsoft Entra ID	Selalu	Publik
pas.windows.net	Microsoft Entra ID	Selalu	Publik
management.azure.com	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya	Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi
*.his.arc.azure.com	Layanan identitas hibrid dan metadata	Selalu	Privat
*.guestconfiguration.azure.com	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu	Privat
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Layanan pemberitahuan untuk skenario ekstensi dan konektivitas	Selalu	Publik
azgn*.servicebus.windows.net	Layanan pemberitahuan untuk skenario ekstensi dan konektivitas	Selalu	Publik
*.servicebus.windows.net	Untuk skenario Pusat Admin Windows dan SSH	Jika menggunakan SSH atau Pusat Admin Windows dari Azure	Publik
*.waconazure.com	Untuk konektivitas Pusat Admin Windows	Jika menggunakan Pusat Admin Windows	Publik
*.blob.core.windows.net	Unduh sumber untuk ekstensi server berkemampuan Azure Arc	Selalu, kecuali saat menggunakan titik akhir privat	Tidak digunakan saat tautan privat dikonfigurasi
dc.services.visualstudio.com	Telemetri agen	Opsional, tidak digunakan dalam versi agen 1.24+	Publik
*.<region>.arcdataservices.com1	Untuk Arc SQL Server. Mengirim layanan pemrosesan data, telemetri layanan, dan pemantauan performa ke Azure. Memungkinkan TLS 1.3.	Selalu	Publik
www.microsoft.com/pkiops/certs	Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443)	Jika menggunakan ESU yang diaktifkan oleh Azure Arc. Diperlukan selalu untuk pembaruan otomatis, atau untuk sementara jika mengunduh sertifikat secara manual.	Publik

¹ Untuk versi ekstensi hingga dan termasuk 13 Februari 2024, gunakan san-af-<region>-prod.azurewebsites.net. Dimulai dengan 12 Maret 2024 pemrosesan data Azure Arc, dan penggunaan *.<region>.arcdataservices.comtelemetri data Azure Arc .

Catatan

Untuk menerjemahkan *.servicebus.windows.net kartubebas ke titik akhir tertentu, gunakan perintah \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dalam perintah ini, wilayah harus ditentukan untuk <region> tempat penampung.

Untuk mendapatkan segmen wilayah titik akhir regional, hapus semua spasi dari nama wilayah Azure. Misalnya, wilayah US Timur 2 , nama wilayahnya adalah eastus2.

Misalnya: *.<region>.arcdataservices.com harus berada *.eastus2.arcdataservices.com di wilayah US Timur 2.

Untuk melihat daftar semua wilayah, jalankan perintah ini:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Catatan

Saat mengonfigurasi agen mesin yang terhubung dengan Azure untuk berkomunikasi dengan Azure melalui tautan privat, beberapa titik akhir masih harus diakses melalui internet. Titik Akhir yang digunakan dengan kolom tautan privat dalam tabel berikut menunjukkan titik akhir mana yang dapat dikonfigurasi dengan titik akhir privat. Jika kolom memperlihatkan Publik untuk titik akhir, Anda masih harus mengizinkan akses ke titik akhir tersebut melalui firewall organisasi dan/atau server proksi agar agen berfungsi.

Sumber daya agen	Deskripsi	Jika diperlukan	Titik akhir yang digunakan dengan tautan privat
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya	Publik
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya	Publik
packages.microsoft.com	Digunakan untuk mengunduh paket penginstalan Linux	Pada waktu penginstalan, hanya	Publik
login.microsoftonline.us	Microsoft Entra ID	Selalu	Publik
pasff.usgovcloudapi.net	Microsoft Entra ID	Selalu	Publik
management.usgovcloudapi.net	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya	Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi
*.his.arc.azure.us	Layanan identitas hibrid dan metadata	Selalu	Privat
*.guestconfiguration.azure.us	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu	Privat
*.blob.core.usgovcloudapi.net	Unduh sumber untuk ekstensi server berkemampuan Azure Arc	Selalu, kecuali saat menggunakan titik akhir privat	Tidak digunakan saat tautan privat dikonfigurasi
dc.applicationinsights.us	Telemetri agen	Opsional, tidak digunakan dalam versi agen 1.24+	Publik
www.microsoft.com/pkiops/certs	Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443)	Jika menggunakan ESU yang diaktifkan oleh Azure Arc. Diperlukan selalu untuk pembaruan otomatis, atau untuk sementara jika mengunduh sertifikat secara manual.	Publik

Microsoft Azure dioperasikan oleh 21Vianet

Sumber daya agen	Deskripsi	Jika diperlukan
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya
packages.microsoft.com	Digunakan untuk mengunduh paket penginstalan Linux	Pada waktu penginstalan, hanya
login.chinacloudapi.cn	Microsoft Entra ID	Selalu
login.partner.chinacloudapi.cn	Microsoft Entra ID	Selalu
pas.chinacloudapi.cn	Microsoft Entra ID	Selalu
management.chinacloudapi.cn	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya
*.his.arc.azure.cn	Layanan identitas hibrid dan metadata	Selalu
*.guestconfiguration.azure.cn	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Layanan pemberitahuan untuk skenario ekstensi dan konektivitas	Selalu
azgn*.servicebus.chinacloudapi.cn	Layanan pemberitahuan untuk skenario ekstensi dan konektivitas	Selalu
*.servicebus.chinacloudapi.cn	Untuk skenario Pusat Admin Windows dan SSH	Jika menggunakan SSH atau Pusat Admin Windows dari Azure
*.blob.core.chinacloudapi.cn	Unduh sumber untuk ekstensi server berkemampuan Azure Arc	Selalu, kecuali saat menggunakan titik akhir privat
dc.applicationinsights.azure.cn	Telemetri agen	Opsional, tidak digunakan dalam versi agen 1.24+

Protokol Transport Layer Security 1.2

Untuk memastikan keamanan data saat transit ke Azure, kami sangat menganjurkan Anda untuk mengonfigurasi komputer untuk menggunakan Transport Layer Security (TLS) 1.2. Versi TLS/Keamanan Lapisan Transportasi (SSL) yang lebih lama diketahui rentan dan meskipun saat ini masih berfungsi untuk memungkinkan kompatibilitas mundur, versi tersebut tidak disarankan.

Platform/Bahasa	Dukungan	Informasi Selengkapnya
Linux	Distribusi Linux cenderung mengandalkan OpenSSL untuk dukungan TLS 1.2.	Periksa OpenSSL Changelog untuk mengonfirmasi bahwa versi OpenSSL Anda didukung.
Windows Server 2012 R2 dan lebih tinggi	Didukung, dan diaktifkan secara default.	Untuk mengonfirmasi bahwa Anda masih menggunakan pengaturan default.

Subset titik akhir hanya untuk ESU

Jika Anda menggunakan server berkemampuan Azure Arc hanya untuk Pembaruan Keamanan Diperpanjang untuk salah satu atau kedua produk berikut:

• Windows Server 2012
• SQL Server 2012

Anda dapat mengaktifkan subset titik akhir berikut:

Azure Cloud

Sumber daya agen	Deskripsi	Jika diperlukan	Titik akhir yang digunakan dengan tautan privat
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya	Publik
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya	Publik
login.windows.net	Microsoft Entra ID	Selalu	Publik
login.microsoftonline.com	Microsoft Entra ID	Selalu	Publik
management.azure.com	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya	Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi
*.his.arc.azure.com	Layanan identitas hibrid dan metadata	Selalu	Privat
*.guestconfiguration.azure.com	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu	Privat
www.microsoft.com/pkiops/certs	Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443)	Selalu untuk pembaruan otomatis, atau sementara jika mengunduh sertifikat secara manual.	Publik
*.<region>.arcdataservices.com	Layanan pemrosesan data Azure Arc dan telemetri layanan.	SQL Server ESUs	Publik

Azure Government

Sumber daya agen	Deskripsi	Jika diperlukan	Titik akhir yang digunakan dengan tautan privat
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya	Publik
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya	Publik
login.microsoftonline.us	Microsoft Entra ID	Selalu	Publik
management.usgovcloudapi.net	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya	Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi
*.his.arc.azure.us	Layanan identitas hibrid dan metadata	Selalu	Privat
*.guestconfiguration.azure.us	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu	Privat
www.microsoft.com/pkiops/certs	Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443)	Selalu untuk pembaruan otomatis, atau sementara jika mengunduh sertifikat secara manual.	Publik

Microsoft Azure dioperasikan oleh 21Vianet

Catatan

Server berkemampuan Azure Arc yang digunakan untuk Pembaruan Keamanan Diperpanjang untuk Windows Server 2012 tidak tersedia di Microsoft Azure yang dioperasikan oleh wilayah 21Vianet saat ini.

Untuk informasi selengkapnya, lihat persyaratan jaringan agen Mesin yang Koneksi.

Penghubung sumber daya Azure Arc

Bagian ini menjelaskan persyaratan jaringan tambahan khusus untuk menyebarkan jembatan sumber daya Azure Arc di perusahaan Anda. Persyaratan ini juga berlaku untuk VMware vSphere dengan dukungan Azure Arc dan System Center Virtual Machine Manager dengan dukungan Azure Arc.

Konektivitas keluar

URL firewall dan proksi di bawah ini harus diizinkan untuk mengaktifkan komunikasi dari komputer manajemen, VM Appliance, dan IP Sarana Kontrol ke URL jembatan sumber daya Arc yang diperlukan.

Daftar izin FIREWALL/URL Proksi

Layanan	Port	URL	Arah	Catatan
Titik akhir API SFS	443	msk8s.api.cdp.microsoft.com	Mesin manajemen & IP VM Appliance memerlukan koneksi keluar.	Unduh katalog produk, bit produk, dan gambar OS dari SFS.
Pengunduhan gambar jembatan sumber daya (appliance)	443	msk8s.sb.tlu.dl.delivery.mp.microsoft.com	Mesin manajemen & IP VM Appliance memerlukan koneksi keluar.	Unduh gambar OS Arc Resource Bridge.
Microsoft Container Registry	443	mcr.microsoft.com	Mesin manajemen & IP VM Appliance memerlukan koneksi keluar.	Unduh gambar kontainer untuk Arc Resource Bridge.
Windows NTP Server	123	time.windows.com	Komputer manajemen & IP VM appliance (jika default Hyper-V adalah Windows NTP) memerlukan koneksi keluar pada UDP	Sinkronisasi waktu OS di komputer virtual & Manajemen appliance (Windows NTP).
Azure Resource Manager	443	management.azure.com	Mesin manajemen & IP VM Appliance memerlukan koneksi keluar.	Mengelola sumber daya di Azure.
Microsoft Graph	443	graph.microsoft.com	Mesin manajemen & IP VM Appliance memerlukan koneksi keluar.	Diperlukan untuk Azure RBAC.
Azure Resource Manager	443	login.microsoftonline.com	Mesin manajemen & IP VM Appliance memerlukan koneksi keluar.	Diperlukan untuk memperbarui token ARM.
Azure Resource Manager	443	*.login.microsoft.com	Mesin manajemen & IP VM Appliance memerlukan koneksi keluar.	Diperlukan untuk memperbarui token ARM.
Azure Resource Manager	443	login.windows.net	Mesin manajemen & IP VM Appliance memerlukan koneksi keluar.	Diperlukan untuk memperbarui token ARM.
Layanan Dataplane jembatan sumber daya (appliance)	443	*.dp.prod.appliances.azure.com	IP VM appliance memerlukan koneksi keluar.	Berkomunikasi dengan penyedia sumber daya di Azure.
Unduhan gambar kontainer penghubung sumber daya (appliance)	443	*.blob.core.windows.net, ecpacr.azurecr.io	IP VM appliance memerlukan koneksi keluar.	Diperlukan untuk menarik gambar kontainer.
Identitas Terkelola	443	*.his.arc.azure.com	IP VM appliance memerlukan koneksi keluar.	Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem.
Unduhan gambar kontainer Azure Arc untuk Kubernetes	443	azurearcfork8s.azurecr.io	IP VM appliance memerlukan koneksi keluar.	Tarik gambar kontainer.
Agen Azure Arc	443	k8connecthelm.azureedge.net	IP VM appliance memerlukan koneksi keluar.	menyebarkan agen Azure Arc.
Layanan telemetri ADHS	443	adhs.events.data.microsoft.com	IP VM appliance memerlukan koneksi keluar.	Secara berkala mengirim data diagnostik yang diperlukan Microsoft dari VM appliance.
Layanan data peristiwa Microsoft	443	v20.events.data.microsoft.com	IP VM appliance memerlukan koneksi keluar.	Kirim data diagnostik dari Windows.
Pengumpulan log untuk Arc Resource Bridge	443	linuxgeneva-microsoft.azurecr.io	IP VM appliance memerlukan koneksi keluar.	Mendorong log untuk komponen terkelola Appliance.
Unduhan komponen jembatan sumber daya	443	kvamanagementoperator.azurecr.io	IP VM appliance memerlukan koneksi keluar.	Tarik artefak untuk komponen yang dikelola Appliance.
Manajer paket Microsoft sumber terbuka	443	packages.microsoft.com	IP VM appliance memerlukan koneksi keluar.	Unduh paket penginstalan Linux.
Lokasi Kustom	443	sts.windows.net	IP VM appliance memerlukan koneksi keluar.	Diperlukan untuk Lokasi Kustom.
Azure Arc	443	guestnotificationservice.azure.com	IP VM appliance memerlukan koneksi keluar.	Diperlukan untuk Azure Arc.
Lokasi Kustom	443	k8sconnectcsp.azureedge.net	IP VM appliance memerlukan koneksi keluar.	Diperlukan untuk Lokasi Kustom.
Data diagnosis	443	gcs.prod.monitoring.core.windows.net	IP VM appliance memerlukan koneksi keluar.	Secara berkala mengirim data diagnostik yang diperlukan Microsoft.
Data diagnosis	443	*.prod.microsoftmetrics.com	IP VM appliance memerlukan koneksi keluar.	Secara berkala mengirim data diagnostik yang diperlukan Microsoft.
Data diagnosis	443	*.prod.hot.ingest.monitor.core.windows.net	IP VM appliance memerlukan koneksi keluar.	Secara berkala mengirim data diagnostik yang diperlukan Microsoft.
Data diagnosis	443	*.prod.warm.ingest.monitor.core.windows.net	IP VM appliance memerlukan koneksi keluar.	Secara berkala mengirim data diagnostik yang diperlukan Microsoft.
Portal Azure	443	*.arc.azure.net	IP VM appliance memerlukan koneksi keluar.	Mengelola kluster dari portal Azure.
Azure CLI & Ekstensi	443	*.blob.core.windows.net	Mesin manajemen membutuhkan koneksi keluar.	Unduh Penginstal dan ekstensi Azure CLI.
Agen Azure Arc	443	*.dp.kubernetesconfiguration.azure.com	Mesin manajemen membutuhkan koneksi keluar.	Dataplane yang digunakan untuk agen Arc.
Paket Python	443	pypi.org, *.pypi.org	Mesin manajemen membutuhkan koneksi keluar.	Validasi versi Kubernetes dan Python.
Azure CLI	443	pythonhosted.org, *.pythonhosted.org	Mesin manajemen membutuhkan koneksi keluar.	Paket Python untuk penginstalan Azure CLI.
SSH	22	Arc resource bridge appliance VM IPs	Mesin manajemen membutuhkan koneksi keluar.	Digunakan untuk memecahkan masalah VM appliance.
Server API Kubernetes	6443	Arc resource bridge appliance VM IPs	Mesin manajemen membutuhkan koneksi keluar.	Manajemen VM appliance.

Untuk informasi selengkapnya, lihat Persyaratan jaringan jembatan sumber daya Azure Arc.

Manajer Komputer Virtual Pusat Sistem dengan dukungan Azure Arc

System Center Virtual Machine Manager (SCVMM) dengan dukungan Azure Arc juga memerlukan:

Layanan	Port	URL	Arah	Catatan
Server manajemen SCVMM	443	URL server manajemen SCVMM	IP VM appliance dan titik akhir sarana kontrol memerlukan koneksi keluar.	Digunakan oleh server SCVMM untuk berkomunikasi dengan VM Appliance dan sarana kontrol.

Untuk informasi selengkapnya, lihat Gambaran Umum Manajer Komputer Virtual Pusat Sistem dengan dukungan Arc.

VMware vSphere dengan dukungan Azure Arc

VMware vSphere dengan dukungan Azure Arc juga memerlukan:

Layanan	Port	URL	Arah	Catatan
vCenter Server	443	URL server vCenter Server	IP VM appliance dan titik akhir sarana kontrol memerlukan koneksi keluar.	Digunakan oleh server vCenter Server untuk berkomunikasi dengan VM Appliance dan sarana kontrol.

Untuk informasi selengkapnya, lihat Matriks dukungan untuk VMware vSphere dengan dukungan Azure Arc.

Titik akhir tambahan

Bergantung pada skenario Anda, Anda mungkin memerlukan konektivitas ke URL lain, seperti yang digunakan oleh portal Azure, alat manajemen, atau layanan Azure lainnya. Secara khusus, tinjau daftar ini untuk memastikan bahwa Anda mengizinkan konektivitas ke titik akhir yang diperlukan:

• URL portal Azure
• Titik akhir Azure CLI untuk bypass proksi