Netwerkvereisten voor Azure Arc-resourcebrug
In dit artikel worden de netwerkvereisten beschreven voor het implementeren van Azure Arc-resourcebrug in uw onderneming.
Algemene netwerkvereisten
Arc-resourcebrug communiceert veilig uitgaand naar Azure Arc via TCP-poort 443. Als het apparaat verbinding moet maken via een firewall of proxyserver om via internet te communiceren, communiceert het uitgaande verkeer via het HTTPS-protocol.
Over het algemeen omvatten de connectiviteitsvereisten de volgende principes:
- Alle verbindingen zijn TCP, tenzij anders opgegeven.
- Alle HTTP-verbindingen gebruiken HTTPS en SSL/TLS met officieel ondertekende en verifieerbare certificaten.
- Alle verbindingen zijn uitgaand, tenzij anders is opgegeven.
Als u een proxy wilt gebruiken, controleert u of de agents en de computer die het onboardingproces uitvoeren, voldoen aan de netwerkvereisten in dit artikel.
Uitgaande connectiviteit
De onderstaande firewall- en proxy-URL's moeten worden toegestaan om communicatie mogelijk te maken vanaf de beheercomputer, de VM van het apparaat en het IP-adres van het besturingsvlak naar de vereiste ARC-resourcebrug-URL's.
Acceptatielijst voor firewall/proxy-URL
| Onderhoud | Poort | URL | Richting | Notes |
|---|---|---|---|---|
| SFS API-eindpunt | 443 | msk8s.api.cdp.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Download productcatalogus, product bits en os-installatiekopieën van SFS. |
| Resourcebrug (apparaat) installatiekopieën downloaden | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Download de installatiekopieën van het besturingssysteem van Arc Resource Bridge. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Download containerinstallatiekopieën voor Arc Resource Bridge. |
| Windows NTP-server | 123 | time.windows.com |
IP-adressen van vm's voor beheercomputers en apparaten (als Hyper-V-standaard Windows NTP is) uitgaande verbinding op UDP nodig | Tijdsynchronisatie van het besturingssysteem in de VM en beheermachine van het apparaat (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Resources beheren in Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Vereist voor Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Vereist om ARM-tokens bij te werken. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Vereist om ARM-tokens bij te werken. |
| Azure Resource Manager | 443 | login.windows.net |
IP-adressen van VM's van beheercomputers en apparaten hebben uitgaande verbinding nodig. | Vereist om ARM-tokens bij te werken. |
| Resourcebrug (apparaat) Dataplane-service | 443 | *.dp.prod.appliances.azure.com |
Het IP-adres van het apparaat heeft een uitgaande verbinding nodig. | Communiceren met de resourceprovider in Azure. |
| Download van containerinstallatiekopieën van resourcebrug (apparaat) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor het ophalen van containerinstallatiekopieën. |
| Beheerde identiteit | 443 | *.his.arc.azure.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten. |
| Azure Arc voor Kubernetes-containerinstallatiekopieën downloaden | 443 | azurearcfork8s.azurecr.io |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Containerinstallatiekopieën ophalen. |
| Azure Arc-agents | 443 | k8connecthelm.azureedge.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Azure Arc-agent implementeren. |
| ADHS-telemetrieservice | 443 | adhs.events.data.microsoft.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft vanaf de VM van het apparaat. |
| Gegevensservice voor Microsoft-gebeurtenissen | 443 | v20.events.data.microsoft.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Diagnostische gegevens verzenden vanuit Windows. |
| Logboekverzameling voor Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Pushlogboeken voor door het apparaat beheerde onderdelen. |
| Resourcebrugonderdelen downloaden | 443 | kvamanagementoperator.azurecr.io |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Pull-artefacten voor door het apparaat beheerde onderdelen. |
| Microsoft open source packages manager | 443 | packages.microsoft.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Download het Linux-installatiepakket. |
| Aangepaste locatie | 443 | sts.windows.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor aangepaste locatie. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor Azure Arc. |
| Aangepaste locatie | 443 | k8sconnectcsp.azureedge.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Vereist voor aangepaste locatie. |
| Diagnostische gegevens | 443 | gcs.prod.monitoring.core.windows.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft. |
| Diagnostische gegevens | 443 | *.prod.microsoftmetrics.com |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft. |
| Diagnostische gegevens | 443 | *.prod.hot.ingest.monitor.core.windows.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft. |
| Diagnostische gegevens | 443 | *.prod.warm.ingest.monitor.core.windows.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Verzendt periodiek vereiste diagnostische gegevens van Microsoft. |
| Azure Portal | 443 | *.arc.azure.net |
VM-IP-adressen van apparaten hebben een uitgaande verbinding nodig. | Cluster beheren vanuit Azure Portal. |
| Azure CLI en extensie | 443 | *.blob.core.windows.net |
Voor de beheercomputer is een uitgaande verbinding vereist. | Download het Azure CLI-installatieprogramma en de extensie. |
| Azure Arc-agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Voor de beheercomputer is een uitgaande verbinding vereist. | Dataplane gebruikt voor Arc-agent. |
| Python-pakket | 443 | pypi.org, *.pypi.org |
Voor de beheercomputer is een uitgaande verbinding vereist. | Valideer Kubernetes- en Python-versies. |
| Azure-CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Voor de beheercomputer is een uitgaande verbinding vereist. | Python-pakketten voor azure CLI-installatie. |
| SSH | 22 | Arc resource bridge appliance VM IPs |
Voor de beheercomputer is een uitgaande verbinding vereist. | Wordt gebruikt voor het oplossen van problemen met de VM van het apparaat. |
| Kubernetes API-server | 6443 | Arc resource bridge appliance VM IPs |
Voor de beheercomputer is een uitgaande verbinding vereist. | Beheer van de VM van het apparaat. |
Notitie
De HIER vermelde URL's zijn alleen vereist voor Arc-resourcebrug. Andere Arc-producten (zoals VMware vSphere met Arc) hebben mogelijk extra vereiste URL's. Zie Azure Arc-netwerkvereisten voor meer informatie.
SSL-proxyconfiguratie
Als u een proxy gebruikt, moet Arc-resourcebrug worden geconfigureerd voor de proxy, zodat deze verbinding kan maken met de Azure-services.
Als u de Arc-resourcebrug met proxy wilt configureren, geeft u het pad naar het proxycertificaatbestand op tijdens het maken van de configuratiebestanden.
De indeling van het certificaatbestand is Base-64 gecodeerd X.509 (. CER).
Geef alleen het certificaat voor één proxy door. Als een certificaatbundel wordt doorgegeven, mislukt de implementatie.
Het eindpunt van de proxyserver kan geen domein zijn
.local.De proxyserver moet bereikbaar zijn vanaf alle IP-adressen binnen het IP-adresvoorvoegsel, inclusief het besturingsvlak en vm-IP-adressen van apparaten.
Er zijn slechts twee certificaten die relevant moeten zijn bij het implementeren van de Arc-resourcebrug achter een SSL-proxy:
SSL-certificaat voor uw SSL-proxy (zodat de beheercomputer en apparaat-VM uw proxy-FQDN vertrouwen en er een SSL-verbinding mee tot stand kan brengen)
SSL-certificaat van de Microsoft-downloadservers. Dit certificaat moet worden vertrouwd door uw proxyserver zelf, omdat de proxy de proxy is die de uiteindelijke verbinding tot stand heeft gebracht en het eindpunt moet vertrouwen. Niet-Windows-computers vertrouwen dit tweede certificaat mogelijk niet standaard, dus mogelijk moet u ervoor zorgen dat het wordt vertrouwd.
Als u Arc-resourcebrug wilt implementeren, moeten installatiekopieën worden gedownload naar de beheercomputer en vervolgens worden geüpload naar de on-premises privécloudgalerie. Als de downloadsnelheid van uw proxyserver wordt beperkt, kunt u mogelijk niet de vereiste installatiekopieën (~3,5 GB) downloaden binnen de toegewezen tijd (90 min).
Uitsluitingslijst voor geen proxy
Als een proxyserver wordt gebruikt, bevat de volgende tabel de lijst met adressen die moeten worden uitgesloten van de proxy door de noProxy instellingen te configureren.
| IP-adres | Reden voor uitsluiting |
|---|---|
| localhost, 127.0.0.1 | Localhost-verkeer |
| .Svc | Intern Kubernetes-serviceverkeer (.svc) waarbij .svc een jokertekennaam vertegenwoordigt. Dit is vergelijkbaar met het zeggen van *.svc, maar er wordt geen gebruikt in dit schema. |
| 10.0.0.0/8 | privénetwerkadresruimte |
| 172.16.0.0/12 | Privénetwerkadresruimte - Kubernetes Service CIDR |
| 192.168.0.0/16 | Privénetwerkadresruimte - Kubernetes Pod CIDR |
| contoso.com. | Mogelijk wilt u uw bedrijfsnaamruimte (.contoso.com) uitsluiten van omgeleid te worden via de proxy. Als u alle adressen in een domein wilt uitsluiten, moet u het domein toevoegen aan de noProxy lijst. Gebruik een voorloopperiode in plaats van een jokerteken (*) teken. In het voorbeeld worden adressen .contoso.comprefix1.contoso.comuitgesloten, prefix2.contoso.comenzovoort. |
De standaardwaarde is noProxylocalhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Hoewel deze standaardwaarden voor veel netwerken werken, moet u mogelijk meer subnetbereiken en/of namen toevoegen aan de lijst met uitzonderingen. U kunt bijvoorbeeld uw bedrijfsnaamruimte (.contoso.com) uitsluiten van omgeleid te worden via de proxy. U kunt dit bereiken door de waarden in de noProxy lijst op te geven.
Belangrijk
Wanneer u meerdere adressen voor de noProxy instellingen vermeldt, voegt u na elke komma geen spatie toe om de adressen te scheiden. De adressen moeten onmiddellijk de komma's volgen.
Interne poort luisteren
Houd er rekening mee dat de VM van het apparaat is geconfigureerd om te luisteren op de volgende poorten. Deze poorten worden uitsluitend gebruikt voor interne processen en vereisen geen externe toegang:
8443 - Eindpunt voor AAD-verificatiewebhook
10257 – Eindpunt voor metrische gegevens van Arc-resourcebrug
10250 – Eindpunt voor metrische gegevens van arc-resourcebrug
2382 – Eindpunt voor metrische gegevens van arc-resourcebrug
Volgende stappen
- Bekijk het overzicht van de Azure Arc-resourcebrug voor meer informatie over vereisten en technische details.
- Meer informatie over beveiligingsconfiguratie en overwegingen voor Azure Arc-resourcebrug.
- Bekijk tips voor het oplossen van problemen met netwerken.