Wymagania dotyczące sieci mostka zasobów usługi Azure Arc
W tym artykule opisano wymagania sieciowe dotyczące wdrażania mostka zasobów usługi Azure Arc w przedsiębiorstwie.
Ogólne wymagania dotyczące sieci
Mostek zasobów usługi Arc komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Jeśli urządzenie musi nawiązać połączenie za pośrednictwem zapory lub serwera proxy w celu komunikowania się przez Internet, ruch wychodzący komunikacji używa protokołu HTTPS.
Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:
- Wszystkie połączenia są tcp, chyba że określono inaczej.
- Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
- Wszystkie połączenia są wychodzące, chyba że określono inaczej.
Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.
Łączność wychodząca
Poniższe adresy URL zapory i serwera proxy muszą być dozwolone, aby umożliwić komunikację z maszyny zarządzania, maszyny wirtualnej urządzenia i adresu IP płaszczyzny sterowania do wymaganych adresów URL mostka zasobów usługi Arc.
Lista dozwolonych adresów URL zapory/serwera proxy
| Usługa | Port | Adres URL | Kierunek | Uwagi |
|---|---|---|---|---|
| Punkt końcowy interfejsu API usługi SFS | 443 | msk8s.api.cdp.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Pobierz katalog produktów, bity produktów i obrazy systemu operacyjnego z usługi SFS. |
| Pobieranie obrazu mostka zasobów (urządzenia) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Pobierz obrazy systemu operacyjnego mostka zasobów usługi Arc. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Pobierz obrazy kontenerów dla mostka zasobów usługi Arc. |
| Windows NTP Server | 123 | time.windows.com |
Adresy IP maszyny zarządzania i urządzenia (jeśli domyślna funkcja Hyper-V to Windows NTP) wymagają połączenia wychodzącego na UDP | Synchronizacja czasu systemu operacyjnego na maszynie wirtualnej i maszynie zarządzania urządzenia (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Zarządzanie zasobami na platformie Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagana dla kontroli dostępu opartej na rolach platformy Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagane do zaktualizowania tokenów usługi ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagane do zaktualizowania tokenów usługi ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Adresy IP maszyny zarządzania i urządzenia wymagają połączenia wychodzącego. | Wymagane do zaktualizowania tokenów usługi ARM. |
| Usługa Dataplane mostka zasobów (urządzenie) | 443 | *.dp.prod.appliances.azure.com |
Adres IP maszyn wirtualnych urządzeń wymaga połączenia wychodzącego. | Komunikacja z dostawcą zasobów na platformie Azure. |
| Pobieranie obrazu kontenera mostka zasobów (urządzenia) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagane do ściągania obrazów kontenerów. |
| Tożsamość zarządzana | 443 | *.his.arc.azure.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system. |
| Pobieranie obrazu kontenera usługi Azure Arc for Kubernetes | 443 | azurearcfork8s.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Ściąganie obrazów kontenerów. |
| Agent usługi Azure Arc | 443 | k8connecthelm.azureedge.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | wdrażanie agenta usługi Azure Arc. |
| Usługa telemetrii ADHS | 443 | adhs.events.data.microsoft.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła dane diagnostyczne firmy Microsoft z maszyny wirtualnej urządzenia. |
| Usługa danych zdarzeń firmy Microsoft | 443 | v20.events.data.microsoft.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wysyłanie danych diagnostycznych z systemu Windows. |
| Zbieranie dzienników dla mostka zasobów usługi Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wypychanie dzienników dla składników zarządzanych przez urządzenie. |
| Pobieranie składników mostka zasobów | 443 | kvamanagementoperator.azurecr.io |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Artefakty ściągania dla składników zarządzanych przez urządzenie. |
| Menedżer pakietów open source firmy Microsoft | 443 | packages.microsoft.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Pobierz pakiet instalacyjny systemu Linux. |
| Lokalizacja niestandardowa | 443 | sts.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagana dla lokalizacji niestandardowej. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagane dla usługi Azure Arc. |
| Lokalizacja niestandardowa | 443 | k8sconnectcsp.azureedge.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Wymagana dla lokalizacji niestandardowej. |
| Dane diagnostyczne | 443 | gcs.prod.monitoring.core.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
| Dane diagnostyczne | 443 | *.prod.microsoftmetrics.com |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
| Dane diagnostyczne | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
| Dane diagnostyczne | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Okresowo wysyła wymagane dane diagnostyczne firmy Microsoft. |
| Azure Portal | 443 | *.arc.azure.net |
Adresy IP maszyn wirtualnych urządzenia wymagają połączenia wychodzącego. | Zarządzanie klastrem w witrynie Azure Portal. |
| Interfejs wiersza polecenia i rozszerzenie platformy Azure | 443 | *.blob.core.windows.net |
Maszyna zarządzania wymaga połączenia wychodzącego. | Pobierz Instalator i rozszerzenie interfejsu wiersza polecenia platformy Azure. |
| Azure Arc Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Maszyna zarządzania wymaga połączenia wychodzącego. | Plan danych używany dla agenta usługi Arc. |
| Pakiet języka Python | 443 | pypi.org, *.pypi.org |
Maszyna zarządzania wymaga połączenia wychodzącego. | Zweryfikuj wersje platformy Kubernetes i języka Python. |
| Interfejs wiersza polecenia platformy Azure | 443 | pythonhosted.org, *.pythonhosted.org |
Maszyna zarządzania wymaga połączenia wychodzącego. | Pakiety języka Python na potrzeby instalacji interfejsu wiersza polecenia platformy Azure. |
| SSH | 22 | Arc resource bridge appliance VM IPs |
Maszyna zarządzania wymaga połączenia wychodzącego. | Służy do rozwiązywania problemów z maszyną wirtualną urządzenia. |
| Serwer interfejsu API usługi Kubernetes | 6443 | Arc resource bridge appliance VM IPs |
Maszyna zarządzania wymaga połączenia wychodzącego. | Zarządzanie maszyną wirtualną urządzenia. |
Uwaga
Adresy URL wymienione tutaj są wymagane tylko dla mostka zasobów usługi Arc. Inne produkty Arc (takie jak oprogramowanie VMware vSphere z obsługą usługi Arc) mogą mieć dodatkowe wymagane adresy URL. Aby uzyskać szczegółowe informacje, zobacz Wymagania dotyczące sieci usługi Azure Arc.
Konfiguracja serwera proxy SSL
Jeśli korzystasz z serwera proxy, mostek zasobów usługi Arc musi być skonfigurowany dla serwera proxy, aby można było nawiązać połączenie z usługami platformy Azure.
Aby skonfigurować mostek zasobów usługi Arc z serwerem proxy, podaj ścieżkę pliku certyfikatu serwera proxy podczas tworzenia plików konfiguracji.
Format pliku certyfikatu to X.509 zakodowany w formacie Base-64 (. CER).
Przekaż tylko pojedynczy certyfikat serwera proxy. Jeśli pakiet certyfikatów zostanie przekazany, wdrożenie zakończy się niepowodzeniem.
Punkt końcowy serwera proxy nie może być domeną
.local.Serwer proxy musi być dostępny ze wszystkich adresów IP w prefiksie adresu IP, w tym adresów IP płaszczyzny sterowania i adresów IP maszyn wirtualnych urządzenia.
Istnieją tylko dwa certyfikaty, które powinny być istotne podczas wdrażania mostka zasobów usługi Arc za serwerem proxy SSL:
Certyfikat SSL dla serwera proxy SSL (dzięki czemu maszyna zarządzana i maszyna wirtualna urządzenia ufają nazwie FQDN serwera proxy i może nawiązać z nim połączenie SSL)
Certyfikat SSL serwerów pobierania firmy Microsoft. Ten certyfikat musi być zaufany przez sam serwer proxy, ponieważ jest to ten, który ustanawia końcowe połączenie i musi ufać punktowi końcowemu. Maszyny spoza systemu Windows mogą nie ufać temu drugiemu certyfikatowi domyślnie, dlatego może być konieczne upewnienie się, że jest zaufany.
Aby wdrożyć mostek zasobów usługi Arc, obrazy należy pobrać na maszynę zarządzania, a następnie przekazać je do lokalnej galerii chmury prywatnej. Jeśli serwer proxy ogranicza szybkość pobierania, może nie być możliwe pobranie wymaganych obrazów (~3,5 GB) w czasie przydzielonym (90 minut).
Lista wykluczeń dla braku serwera proxy
Jeśli używany jest serwer proxy, poniższa tabela zawiera listę adresów, które powinny zostać wykluczone z serwera proxy przez skonfigurowanie noProxy ustawień.
| IP Address | Przyczyna wykluczenia |
|---|---|
| localhost, 127.0.0.1 | Ruch hosta lokalnego |
| .Svc | Wewnętrzny ruch usługi Kubernetes (.svc), w którym plik svc reprezentuje nazwę symbolu wieloznakowego. Jest to podobne do następującego: *.svc, ale żaden z nich nie jest używany w tym schemacie. |
| 10.0.0.0/8 | przestrzeń adresowa sieci prywatnej |
| 172.16.0.0/12 | Przestrzeń adresowa sieci prywatnej — CIDR usługi Kubernetes Service |
| 192.168.0.0/16 | Przestrzeń adresowa sieci prywatnej — CIDR zasobnika Kubernetes |
| contoso.com. | Możesz wykluczyć przestrzeń nazw przedsiębiorstwa (.contoso.com) z przekierowania przez serwer proxy. Aby wykluczyć wszystkie adresy w domenie, należy dodać domenę noProxy do listy. Użyj kropki wiodącej, a nie symbolu wieloznakowego (*). W przykładzie adresy wykluczają adresy .contoso.comprefix1.contoso.com, prefix2.contoso.comi tak dalej. |
Wartość domyślna parametru noProxy to localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Chociaż te wartości domyślne będą działać dla wielu sieci, może być konieczne dodanie większej liczby zakresów podsieci i/lub nazw do listy wykluczeń. Możesz na przykład wykluczyć przestrzeń nazw przedsiębiorstwa (.contoso.com) z przekierowania przez serwer proxy. Można to osiągnąć, określając wartości na noProxy liście.
Ważne
Podczas wyświetlania listy wielu adresów ustawień noProxy nie należy dodawać spacji po każdym przecince, aby oddzielić adresy. Adresy muszą natychmiast podążać za przecinkami.
Nasłuchiwanie portów wewnętrznych
Należy pamiętać, że maszyna wirtualna urządzenia jest skonfigurowana do nasłuchiwania na następujących portach. Te porty są używane wyłącznie dla procesów wewnętrznych i nie wymagają dostępu zewnętrznego:
8443 — punkt końcowy dla elementu webhook uwierzytelniania usługi AAD
10257 — Metryki mostka zasobów usługi Arc dla punktu końcowego
10250 — Metryki mostka zasobów usługi Arc dla punktu końcowego
2382 — Metryki mostka zasobów usługi Arc dla punktu końcowego
Następne kroki
- Zapoznaj się z omówieniem mostka zasobów usługi Azure Arc, aby dowiedzieć się więcej o wymaganiach i szczegółach technicznych.
- Dowiedz się więcej o konfiguracji zabezpieczeń i zagadnieniach dotyczących mostka zasobów usługi Azure Arc.
- Zapoznaj się z poradami dotyczącymi rozwiązywania problemów z siecią.