Azure Arc リソース ブリッジのネットワーク要件
この記事では、企業に Azure Arc リソース ブリッジをデプロイするためのネットワーク要件について説明します。
一般的なネットワークの要件
Arc リソース ブリッジでは、TCP ポート 443 を介して Azure Arc への送信通信を安全に行います。 アプライアンスは、インターネット経由で通信するためにファイアウォールまたはプロキシ サーバーを介して接続する必要がある場合、HTTPS プロトコルを使用して送信通信を行います。
一般に、接続要件には次の原則が含まれます。
- 特に指定がない限り、すべての接続は TCP です。
- すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
- 特に指定がない限り、すべての接続はアウトバウンドです。
プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。
送信接続
以下のファイアウォールとプロキシ URL は、管理マシン、アプライアンス VM、コントロール プレーン IP から必要な Arc リソース ブリッジ URL への通信を有効にするために、許可リストに載せる必要があります。
ファイアウォール/プロキシ URL 許可リスト
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| SFS API エンドポイント | 443 | msk8s.api.cdp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | SFS から製品カタログ、製品ビット、OS イメージをダウンロードします。 |
| リソース ブリッジ (アプライアンス) イメージのダウンロード | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc Resource Bridge OS イメージをダウンロードします。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc リソース ブリッジのコンテナー イメージをダウンロードします。 |
| Windows NTP サーバー | 123 | time.windows.com |
管理マシンとアプライアンス VM IP (Hyper-V の既定値が Windows NTP の場合) には UDP での送信接続が必要です | アプライアンス VM と管理マシン (Windows NTP) での OS 時刻同期。 |
| Azure Resource Manager | 443 | management.azure.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure でのリソースの管理。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure RBAC に必要です。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | login.windows.net |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| リソース ブリッジ (アプライアンス) データプレーン サービス | 443 | *.dp.prod.appliances.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure 内でリソース プロバイダーと通信します。 |
| リソース ブリッジ (アプライアンス) コンテナー イメージのダウンロード | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージをプルするために必要です。 |
| マネージド ID | 443 | *.his.arc.azure.com |
アプライアンス VM IP には送信接続が必要です。 | システム割り当てマネージド ID 証明書をプルするために必須。 |
| Azure Arc for Kubernetes コンテナー イメージのダウンロード | 443 | azurearcfork8s.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージのプル。 |
| Azure Arc エージェント | 443 | k8connecthelm.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc エージェントをデプロイします。 |
| ADHS テレメトリ サービス | 443 | adhs.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データをアプライアンス VM から Microsoft に定期的に送信します。 |
| Microsoft イベント データ サービス | 443 | v20.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Windows から診断データを送信します。 |
| Arc リソース ブリッジのログ収集 | 443 | linuxgeneva-microsoft.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンス管理コンポーネントのログをプッシュします。 |
| リソース ブリッジ コンポーネントのダウンロード | 443 | kvamanagementoperator.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンスのマネージド コンポーネントの成果物をプルします。 |
| Microsoft オープン ソース パッケージ マネージャー | 443 | packages.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Linux インストール パッケージをダウンロードします。 |
| カスタムの場所 | 443 | sts.windows.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc に必要です。 |
| カスタムの場所 | 443 | k8sconnectcsp.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
| 診断データ | 443 | gcs.prod.monitoring.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.microsoftmetrics.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.hot.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.warm.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| Azure portal | 443 | *.arc.azure.net |
アプライアンス VM IP には送信接続が必要です。 | Azure portal からクラスターを管理します。 |
| Azure CLI と拡張機能 | 443 | *.blob.core.windows.net |
管理マシンには送信接続が必要です。 | Azure CLI インストーラーと拡張機能をダウンロードします。 |
| Azure Arc エージェント | 443 | *.dp.kubernetesconfiguration.azure.com |
管理マシンには送信接続が必要です。 | Arc エージェントで使用されるデータプレーン。 |
| Python パッケージ | 443 | pypi.org, *.pypi.org |
管理マシンには送信接続が必要です。 | Kubernetes と Python のバージョンを検証します。 |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
管理マシンには送信接続が必要です。 | Azure CLI インストール用の Python パッケージ。 |
| SSH | 22 | Arc resource bridge appliance VM IPs |
管理マシンには送信接続が必要です。 | アプライアンス VM のトラブルシューティングに使用します。 |
| Kubernetes API サーバー | 6443 | Arc resource bridge appliance VM IPs |
管理マシンには送信接続が必要です。 | アプライアンス VM の管理。 |
Note
ここに一覧表示されている URL は、Arc リソース ブリッジでのみ必要です。 その他の Arc 製品 (Arc 対応 VMware vSphere など) には、さらに必要な URL が含まれる場合があります。 詳細については、Azure Arc ネットワークの要件に関するページを参照してください。
SSL プロキシの構成
プロキシを使用する場合は、Azure サービスに接続できるように、プロキシ用に Arc リソース ブリッジを構成する必要があります。
プロキシを使用して Arc リソース ブリッジを構成するには、構成ファイルの作成時にプロキシ証明書ファイルのパスを指定します。
証明書ファイルの形式は、''Base-64 でエンコードされた X.509 (.CER)'' です。
単一のプロキシ証明書のみを渡します。 証明書バンドルが渡されると、デプロイは失敗します。
プロキシ サーバー エンドポイントを
.localドメインにすることはできません。プロキシ サーバーは、コントロール プレーンとアプライアンス VM IP を含め、IP アドレス プレフィックス内のすべての IP から到達可能である必要があります。
SSL プロキシの背後に Arc リソース ブリッジをデプロイするときに関連する必要がある証明書は 2 つだけです。
SSL プロキシの SSL 証明書 (管理マシンとアプライアンス VM がプロキシ FQDN を信頼し、それに対する SSL 接続を確立できるようにする)
Microsoft ダウンロード サーバーの SSL 証明書。 この証明書がプロキシ サーバー自体によって信頼されなければならないのは、プロキシは最終的な接続を確立するものであり、エンドポイントを信頼する必要があるからです。 Windows 以外のマシンではこの 2 つ目の証明書が既定では信頼されない可能性があるため、信頼されていることの確認が必要になる場合があります。
Arc リソース ブリッジをデプロイするには、イメージを管理マシンにダウンロードし、オンプレミスのプライベート クラウド ギャラリーにアップロードする必要があります。 プロキシ サーバーによってダウンロード速度が調整されると、割り当てられた時間 (90 分) 内に必要なイメージ (最大 3.5 GB) をダウンロードできない場合があります。
プロキシがない場合の除外リスト
プロキシ サーバーが使用されている場合は、次の表に、noProxy 設定を構成してプロキシから除外する必要があるアドレスのリストが含まれます。
| IP アドレス | 除外の理由 |
|---|---|
| localhost, 127.0.0.1 | Localhost トラフィック |
| .svc | 内部 Kubernetes サービス トラフィック (.svc)。ここで、.svc はワイルドカード名を表します。 これは saying *.svc と似ていますが、このスキーマ内では使用されません。 |
| 10.0.0.0/8 | プライベート ネットワーク アドレス空間 |
| 172.16.0.0/12 | プライベート ネットワーク アドレス空間 - Kubernetes Service CIDR |
| 192.168.0.0/16 | プライベート ネットワーク アドレス空間 - Kubernetes ポッド CIDR |
| contoso.com: | エンタープライズ名前空間 (.contoso.com) が、プロキシ経由で転送されないようにすることができます。 ドメイン内のすべてのアドレスを除外するには、ドメインを noProxy リストに追加する必要があります。 ワイルドカード (*) 文字ではなく、先頭のピリオドを使用します。 このサンプルでは、.contoso.com アドレスによって、prefix1.contoso.com、prefix2.contoso.com などのアドレスが除外されます。 |
noProxy の既定値は localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 です。 これらの既定値は多くのネットワークで機能しますが、除外リストへのサブネットの範囲や名前の追加が必要になる場合があります。 たとえば、エンタープライズ名前空間 (.contoso.com) が、プロキシ経由で転送されないようにすることができます。 それには、noProxy リスト内で値を指定します。
重要
noProxy 設定の複数のアドレスを一覧表示する場合は、各コンマの後にスペースを追加してアドレスを区切らないでください。 アドレスは、コンマの直後に配置する必要があります。
内部ポート リッスン
注意点として、アプライアンス VM が次のポートでリッスンするように構成されていることにご留意ください。 これらのポートは内部処理でのみ使用され、外部アクセスは必要ありません。
8443 – AAD 認証 Webhook のエンドポイント
10257 – Arc リソース ブリッジ メトリックのエンドポイント
10250 – Arc リソース ブリッジ メトリックのエンドポイント
2382 – Arc リソース ブリッジ メトリックのエンドポイント
次のステップ
- 詳しい要件と技術情報については、Azure Arc リソース ブリッジの概要に関する記事を参照してください。
- Azure Arc リソース ブリッジのセキュリティ構成と考慮事項について学習します。
- ネットワークの問題に関するトラブルシューティングのヒントを表示します。