Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Endpunkte, Ports und Protokolle aufgeführt, die für Azure Arc-fähige Dienste und Features erforderlich sind.
Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:
- Alle Verbindungen sind TCP, sofern nicht anders angegeben.
- Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
- Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.
Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.
Tipp
Für die öffentliche Azure-Cloud können Sie die Anzahl der erforderlichen Endpunkte reduzieren, indem Sie das Azure Arc-Gateway für Arc-fähige Server oder Arc-fähige Kubernetes verwenden.
Azure Arc-fähige Kubernetes-Endpunkte
Für alle Kubernetes-basierten Arc-Angebote ist eine Verbindung mit den Arc Kubernetes-basierten Endpunkten erforderlich, einschließlich:
- Azure Arc-fähiges Kubernetes
- Azure-Container-Apps in Azure Arc
- Machine Learning mit Azure Arc-Unterstützung
- Azure Arc-fähige Datendienste (nur direkter Verbindungsmodus)
Wichtig
Azure Arc-Agents müssen über die folgenden ausgehenden URLs unter https://:443 verfügen, um zu funktionieren:
Für *.servicebus.windows.net müssen Websockets für den ausgehenden Zugriff auf die Firewall und den Proxy aktiviert werden.
| Endpunkt (DNS) | BESCHREIBUNG |
|---|---|
https://management.azure.com |
Erforderlich, damit der Agent eine Verbindung mit Azure herstellen und den Cluster registrieren kann. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Endpunkt auf Datenebene, über den der Agent Statusinformationen mithilfe von Push übermitteln und Konfigurationsinformationen abrufen kann |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Erforderlich zum Abrufen und Aktualisieren von Azure Resource Manager-Token. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Erforderlich zum Pullen von Containerimages für Azure Arc-Agents. |
dl.k8s.io |
Erforderlich zum Herunterladen von Kubectl-Binärdateien während des Azure Arc-Onboardings durch die Azure CLI connectedk8s-Erweiterung. |
https://gbl.his.arc.azure.com |
Erforderlich, um den regionalen Endpunkt zum Abrufen von Zertifikaten systemseitig zugewiesener verwalteter Identitäten per Pull zu erhalten. |
https://*.his.arc.azure.com |
Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.net |
Für Szenarien, die auf Cluster Connect und benutzerdefinierten Speicherorten basieren. |
*.servicebus.windows.net |
Für Szenarien, die auf Cluster Connect und benutzerdefinierten Speicherorten basieren. |
https://graph.microsoft.com/ |
Erforderlich, wenn Azure RBAC konfiguriert ist. |
*.arc.azure.net |
Erforderlich zum Verwalten verbundener Cluster in Azure-Portal. |
https://<region>.obo.arc.azure.com:8084/ |
Erforderlich, wenn Cluster Connect und Azure RBAC konfiguriert sind. |
https://linuxgeneva-microsoft.azurecr.io |
Erforderlich, wenn Azure Arc-fähige Kubernetes-Erweiterungen verwendet werden. |
Um den Platzhalter *.servicebus.windows.net in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&___location=<region>
Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.
Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com*.eastus2.arcdataservices.com sein.
Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:
az account list-locations -o table
Get-AzLocation | Format-Table
Weitere Informationen finden Sie unter Azure Arc-fähige Kubernetes-Netzwerkanforderungen.
Datendienste mit Azure Arc-Unterstützung
In diesem Abschnitt werden die Anforderungen beschrieben, die speziell für Azure Arc-fähige Datendienste gelten, zusätzlich zu den oben aufgeführten Arc-fähigen Kubernetes-Endpunkten.
| Dienst | Port | URL | Richtung | Hinweise |
|---|---|---|---|---|
| Helm-Chart (nur direkt verbundener Modus) | 443 | arcdataservicesrow1.azurecr.io |
Ausgehend | Stellt den Azure Arc-Datencontroller-Bootstrapper und der Objekte auf Clusterebene bereit, z. B. benutzerdefinierte Ressourcendefinitionen, Clusterrollen und Clusterrollenbindungen, abgerufen per Pull aus einer Azure Container Registry. |
| Azure Monitor-APIs 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Ausgehend | Azure Data Studio und die Azure CLI stellen eine Verbindung mit den Azure Resource Manager-APIs her, um für einige Funktionen Daten an Azure zu und aus Azure abzurufen. Siehe Azure Monitor APIs. |
| Azure Arc-Datenverarbeitungsdienst 1 | 443 |
*.<region>.arcdataservices.com
2 |
Ausgehend |
1 Die Anforderung hängt vom Bereitstellungsmodus ab:
- Für den direkten Modus muss der Controller-Pod im Kubernetes-Cluster über ausgehende Verbindungen mit den Endpunkten verfügen, um die Protokolle, Metriken, Bestands- und Abrechnungsinformationen an Azure Monitor/Data Processing Service zu senden.
- Für den indirekten Modus muss der Computer, wo
az arcdata dc uploadausgeführt wird, über die ausgehende Verbindung zum Azure Monitor- und Datenverarbeitungsdienst verfügen.
2 Für Erweiterungsversionen bis einschließlich 13. Februar 2024 verwenden Sie san-af-<region>-prod.azurewebsites.net.
Azure Monitor-APIs
Verbindungen aus Azure Data Studio mit dem Kubernetes-API-Server verwenden die von Ihnen eingerichtete Kubernetes-Authentifizierung und -Verschlüsselung. Jeder Benutzer, der Azure Data Studio oder die CLI verwendet, muss über eine authentifizierte Verbindung mit der Kubernetes-API verfügen, um viele der Aktionen im Zusammenhang mit Azure Arc-fähigen Datendiensten ausführen zu können.
Weitere Informationen finden Sie unter Konnektivitätsmodi und -anforderungen.
Server mit Azure Arc-Unterstützung
Konnektivität zu Arc-fähigen Serverendpunkten ist erforderlich für:
SQL Server mit Azure Arc-Unterstützung
Azure Arc-fähige VMware vSphere *
Azure Arc-fähiges System Center Virtual Machine Manager *
Azure Arc-fähiges Azure Stack (HCI) *
*Nur für die aktivierte Gastverwaltung erforderlich.
Azure Arc-fähige Serverendpunkte sind für alle serverbasierten Azure Arc-Angebote erforderlich.
Netzwerkkonfiguration
Der Azure Connected Machine-Agent für Linux und Windows kommuniziert ausgehend auf sichere Weise mit Azure Arc über TCP-Port 443. Standardmäßig verwendet der Agent die Standardroute zum Internet, um Azure-Dienste zu erreichen. Optional können Sie den Agent so konfigurieren, dass er einen Proxyserver verwendet, wenn Ihr Netzwerk dies erfordert. Proxyserver machen den Connected Machine-Agent nicht sicherer, da der Datenverkehr bereits verschlüsselt ist.
Um Ihre Netzwerkkonnektivität mit Azure Arc weiter zu sichern, können Sie anstelle öffentlicher Netzwerke und Proxyserver einen privaten Azure Arc-Linkbereich implementieren.
Hinweis
Azure Arc-fähige Server unterstützen nicht die Verwendung eines Log Analytics-Gateways als Proxy für den Verbundenen Computer-Agent. Gleichzeitig unterstützt der Azure Monitor-Agent Log Analytics-Gateways.
Wenn Ihre Firewall oder Ihr Proxyserver die ausgehende Konnektivität einschränkt, stellen Sie sicher, dass die hier aufgeführten URLs und Diensttags nicht blockiert sind.
Diensttags
Achten Sie darauf, den Zugriff auf die folgenden Diensttags zuzulassen:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(wenn Sie Windows Admin Center zum Verwalten von Azure Arc-fähigen Servern verwenden)
Eine Liste der IP-Adressen für jedes Diensttag/jede Region finden Sie in der JSON-Datei Azure IP Ranges and Service Tags – Public Cloud. Microsoft veröffentlicht wöchentliche Updates, die jeden Azure-Dienst und die von ihr verwendeten IP-Bereiche enthalten. Die Informationen in der JSON-Datei sind die aktuelle Punkt-in-Time-Liste der IP-Bereiche, die den einzelnen Diensttags entsprechen. Die IP-Adressen können sich ändern. Wenn IP-Adressbereiche für Ihre Firewallkonfiguration erforderlich sind, verwenden Sie das AzureCloud Diensttag, um den Zugriff auf alle Azure-Dienste zu ermöglichen. Deaktivieren Sie nicht die Sicherheitsüberwachung oder die Überprüfung dieser URLs. Lassen Sie sie wie andere Internetdatenverkehr zu.
Wenn Sie den Datenverkehr zum AzureArcInfrastructure Diensttag filtern, müssen Sie den Datenverkehr in den Bereich des vollständigen Diensttags zulassen. Die für einzelne Regionen angekündigten Bereiche enthalten beispielsweise nicht die IP-Bereiche, AzureArcInfrastructure.AustraliaEastdie von globalen Komponenten des Diensts verwendet werden. Die für diese Endpunkte aufgelöste spezifische IP-Adresse kann sich im Laufe der Zeit innerhalb der dokumentierten Bereiche ändern. Aus diesem Grund reicht die Verwendung eines Nachschlagetools zum Identifizieren der aktuellen IP-Adresse für einen bestimmten Endpunkt und der Zugriff auf diese IP-Adresse nicht aus, um einen zuverlässigen Zugriff sicherzustellen.
Weitere Informationen finden Sie unter Diensttags für virtuelle Netzwerke.
Wichtig
Zum Filtern des Datenverkehrs nach IP-Adressen in Azure Government oder Azure, betrieben von 21Vianet, müssen Sie zusätzlich zur Verwendung des AzureArcInfrastructure Diensttags für Ihre Cloud die IP-Adressen aus dem AzureArcInfrastructure Diensttag für die öffentliche Azure-Cloud hinzufügen. Nach dem 28. Oktober 2025 ist das Hinzufügen des AzureArcInfrastructure Diensttags für die öffentliche Azure-Cloud erforderlich, und die Diensttags für Azure Government und Azure, betrieben von 21Vianet, werden nicht mehr unterstützt.
URLs
In dieser Tabelle sind die URLs aufgeführt, die zum Installieren und Verwenden des Verbundenen Computer-Agents verfügbar sein müssen.
Hinweis
Wenn Sie den Verbundenen Computer-Agent für die Kommunikation mit Azure über einen privaten Link konfigurieren, müssen einige Endpunkte weiterhin über das Internet aufgerufen werden. Die Spalte "Private Verknüpfungsfähig " in der folgenden Tabelle zeigt die Endpunkte, die Sie mit einem privaten Endpunkt konfigurieren können. Wenn in der Spalte Öffentlich für einen Endpunkt angezeigt wird, müssen Sie dennoch den Zugriff auf diesen Endpunkt über die Firewall und/oder den Proxyserver Ihrer Organisation zulassen, damit der Agent funktioniert. Der Netzwerkdatenverkehr wird über private Endpunkte weitergeleitet, wenn ein Bereich für private Verbindungen zugewiesen ist.
| Agent-Ressource | BESCHREIBUNG | Wenn erforderlich | Für privaten Link geeignet |
|---|---|---|---|
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. | Nur zur Installationszeit. 1 | Öffentlich. |
packages.microsoft.com |
Wird zum Herunterladen des Linux-Installationspakets verwendet. | Nur zur Installationszeit. 1 | Öffentlich. |
login.microsoftonline.com |
Microsoft Entra-ID. | Immer. | Öffentlich. |
*.login.microsoft.com |
Microsoft Entra-ID. | Immer. | Öffentlich. |
pas.windows.net |
Microsoft Entra-ID. | Immer. | Öffentlich. |
management.azure.com |
Azure Resource Manager wird verwendet, um die Azure Arc-Serverressource zu erstellen oder zu löschen. | Nur wenn Sie eine Verbindung herstellen oder einen Server trennen. | Öffentlich, es sei denn, eine private Verknüpfung zur Ressourcenverwaltung ist ebenfalls konfiguriert. |
*.his.arc.azure.com |
Metadaten und Hybrididentitätsdienste. | Immer. | Privat. |
*.guestconfiguration.azure.com |
Erweiterungsverwaltung und Gastkonfigurationsdienste. | Immer. | Privat. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien. | Immer. | Öffentlich. |
azgn*.servicebus.windows.net oder *.servicebus.windows.net |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien. | Immer. | Öffentlich. |
*.servicebus.windows.net |
Für Szenarien mit Windows Admin Center und Secure Shell (SSH) | Wenn Sie SSH oder Windows Admin Center aus Azure verwenden. | Öffentlich. |
*.waconazure.com |
Für Windows Admin Center-Konnektivität. | Wenn Sie Windows Admin Center verwenden. | Öffentlich. |
*.blob.core.windows.net |
Downloadquelle für Azure Arc-fähige Servererweiterungen. | Immer, außer wenn Sie private Endpunkte verwenden. | Wird nicht verwendet, wenn ein privater Link konfiguriert ist. |
dc.services.visualstudio.com |
Agent-Telemetrie. | Wahlfrei. Wird in Agentversionen 1.24+ nicht verwendet. | Öffentlich. |
*.<region>.arcdataservices.com
2 |
Für Azure Arc-fähige SQL Server. Sendet Datenverarbeitungsdienst, Diensttelemetrie und Leistungsüberwachung an Azure. Ermöglicht nur TLS (Transport Layer Security) 1.2 oder 1.3. | Wenn Sie Azure Arc-fähige SQL Server verwenden. | Öffentlich. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Für die Microsoft Entra-Authentifizierung mit Azure Arc-fähigen SQL Server. | Wenn Sie Azure Arc-fähige SQL Server verwenden. | Öffentlich. |
www.microsoft.com/pkiops/certs |
Zwischenzertifikatsupdates für erweiterte Sicherheitsupdates (verwendet HTTP/TCP 80 und HTTPS/TCP 443). | Wenn Sie erweiterte Sicherheitsupdates verwenden, die von Azure Arc aktiviert sind. Für automatische Updates oder vorübergehend immer erforderlich, wenn Sie Zertifikate manuell herunterladen. | Öffentlich. |
dls.microsoft.com |
Wird von Azure Arc-Computern zum Durchführen der Lizenzüberprüfung verwendet. | Erforderlich, wenn Sie hotpatching, Windows Server Azure Benefits oder Windows Server pay-as-you-go Abrechnung auf Azure Arc-fähigen Computern verwenden. | Öffentlich. |
1 Der Zugriff auf diese URL ist auch erforderlich, wenn Updates automatisch ausgeführt werden.
2 Weitere Informationen dazu, welche Informationen gesammelt und gesendet werden, finden Sie unter Datensammlung und Berichterstellung für Azure Arc-fähiges SQL Server.
Verwenden Sie san-af-<region>-prod.azurewebsites.netfür Erweiterungsversionen bis zum 13. Februar 2024 . Ab dem 12. März 2024 werden sowohl Azure Arc-Datenverarbeitung als auch Azure Arc-Datentelemetrie verwendet *.<region>.arcdataservices.com.
Hinweis
Um den Platzhalter *.servicebus.windows.net in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&___location=<region>. In diesem Befehl muss die Region für den Platzhalter <region> angegeben werden. Diese Endpunkte können sich in regelmäßigen Abständen ändern.
Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.
Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com*.eastus2.arcdataservices.com sein.
Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:
az account list-locations -o table
Get-AzLocation | Format-Table
Kryptografische Protokolle
Um die Sicherheit von Daten bei der Übertragung nach Azure sicherzustellen, empfehlen wir Ihnen dringend, Computer für die Verwendung von TLS 1.2 und 1.3 zu konfigurieren. Ältere Versionen von TLS/Secure Sockets Layer (SSL) wurden als anfällig erkannt. Obwohl sie derzeit noch funktionieren, um Abwärtskompatibilität zu ermöglichen, werden sie nicht empfohlen.
Ab Version 1.56 des Verbundenen Computer-Agents (nur Windows) müssen die folgenden Verschlüsselungssammlungen für mindestens eine der empfohlenen TLS-Versionen konfiguriert werden:
TLS 1.3 (Suites in server bevorzugter Reihenfolge):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 Bit RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 Bit RSA) FS
TLS 1.2 (Suites in server bevorzugter Reihenfolge):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15360 Bit RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 Bit RSA) FS
Weitere Informationen finden Sie unter Windows TLS-Konfigurationsprobleme.
Der von Azure Arc-Endpunkten aktivierte *.\<region\>.arcdataservices.com SQL Server unterstützt nur TLS 1.2 und 1.3. Nur Windows Server 2012 R2 und höher unterstützen TLS 1.2. SQL Server, der vom Azure Arc-Telemetrieendpunkt aktiviert ist, wird für Windows Server 2012 oder Windows Server 2012 R2 nicht unterstützt.
| Plattform/Sprache | Support | Mehr Informationen |
|---|---|---|
| Linux | Linux-Distributionen greifen zur Unterstützung von TLS 1.2 tendenziell auf OpenSSL zurück. | Überprüfen Sie den OpenSSL-Änderungsprotokoll , um zu bestätigen, dass Ihre Version von OpenSSL unterstützt wird. |
| Windows Server 2012 R2 oder neuer | Unterstützt und standardmäßig aktiviert. | Vergewissern Sie sich, dass Sie weiterhin die Standardeinstellungen verwenden. |
| Windows Server 2012 | Teilweise unterstützt. Nicht empfohlen. | Einige Endpunkte funktionieren weiterhin, aber andere Endpunkte erfordern TLS 1.2 oder höher, was unter Windows Server 2012 nicht verfügbar ist. |
Nur Teilmenge der Endpunkte für ESU
Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für beide oder beide der folgenden Produkte verwenden:
- Windows Server 2012
- SQL Server 2012
Sie können die folgende Teilmenge von Endpunkten aktivieren.
| Agent-Ressource | BESCHREIBUNG | Wenn erforderlich | Mit privatem Link verwendeter Endpunkt |
|---|---|---|---|
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. | Nur zur Installationszeit. 1 | Öffentlich. |
login.windows.net |
Microsoft Entra-ID. | Immer. | Öffentlich. |
login.microsoftonline.com |
Microsoft Entra-ID. | Immer. | Öffentlich. |
*.login.microsoft.com |
Microsoft Entra-ID. | Immer. | Öffentlich. |
management.azure.com |
Azure Resource Manager wird verwendet, um die Azure Arc-Serverressource zu erstellen oder zu löschen. | Nur wenn Sie eine Verbindung herstellen oder einen Server trennen. | Öffentlich, es sei denn, eine private Verknüpfung zur Ressourcenverwaltung ist ebenfalls konfiguriert. |
*.his.arc.azure.com |
Metadaten und Hybrididentitätsdienste. | Immer. | Privat. |
*.guestconfiguration.azure.com |
Erweiterungsverwaltung und Gastkonfigurationsdienste. | Immer. | Privat. |
www.microsoft.com/pkiops/certs |
Zwischenzertifikatsupdates für erweiterte Sicherheitsupdates (verwendet HTTP/TCP 80 und HTTPS/TCP 443). | Immer für automatische Updates oder vorübergehend, wenn Sie Zertifikate manuell herunterladen. | Öffentlich. |
*.<region>.arcdataservices.com |
Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie. | Erweiterte Sicherheitsupdates für SQL Server. | Öffentlich. |
*.blob.core.windows.net |
Laden Sie das SQL Server-Erweiterungspaket herunter. | Erweiterte Sicherheitsupdates für SQL Server. | Ist nicht erforderlich, wenn Sie Azure Private Link verwenden. |
1 Der Zugriff auf diese URL ist auch erforderlich, wenn Sie Updates automatisch ausführen.
Weitere Informationen finden Sie unter Netzwerkanforderungen für verbundene Computer-Agents.
Ressourcenbrücke für Azure Arc
In diesem Abschnitt werden zusätzliche Netzwerkanforderungen beschrieben, die speziell für die Bereitstellung der Azure Arc-Ressourcenbrücke in Ihrem Unternehmen gelten. Diese Anforderungen gelten auch für Azure Arc-fähige VMware vSphere und Azure Arc-fähige System Center Virtual Machine Manager.
Anforderungen für ausgehende Konnektivität
Die nachstehenden Firewall- und Proxy-URLs müssen zugelassen werden, um die Kommunikation vom Verwaltungscomputer, der Arc-Ressourcenbrücke-VM (anfänglich bereitgestellt), der Arc-Ressourcenbrücke VM 2 (Upgrade erstellt eine neue VM mit einer anderen VM-IP) und die Steuerungsebene-IP mit den erforderlichen ARC-Ressourcenbrücken-URLs zu aktivieren.
Wichtig
Beim Onboarding von Arc Resource Bridge müssen Sie zwei IP-Adressen für die Appliance-VMs bereitstellen. Diese werden wie folgt angegeben:
- Eine Reihe von IPs
- Zwei einzelne IPs (eine für jeden virtuellen Computer)
Um erfolgreiche Upgrades sicherzustellen, müssen alle VM-IPs der Appliance über ausgehenden Zugriff auf die erforderlichen URLs verfügen. Stellen Sie sicher, dass diese URLs in Ihrem Netzwerk zugelassen sind.
Firewall/Proxy-URL-Positivliste
| Dienst | Port | URL | Richtung | Hinweise |
|---|---|---|---|---|
| SFS-API-Endpunkt | 443 | msk8s.api.cdp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie den Produktkatalog, Produktbits und Betriebssystemimages von SFS herunter. |
| Ressourcenbrücke (Appliance): Image-Download | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Herunterladen der Betriebssystemimages für die Arc-Ressourcenbrücke. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Entdecken Sie Containerimages für Arc Resource Bridge. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie Containerimages für Arc Resource Bridge herunter. |
| Windows NTP Server | 123 | time.windows.com |
Die IP-Adressen von Verwaltungscomputern und Appliance-VMs (bei der Hyper-V-Standardeinstellung Windows NTP) benötigen eine ausgehende Verbindung für UDP | Synchronisierung der Betriebssystemzeit auf Appliance-VM und Verwaltungscomputer (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Verwalten von Ressourcen in Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
| Azure Resource Manager | 443 | login.windows.net |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
| Ressourcenbrücke (Appliance): Datenebenendienst | 443 | *.dp.prod.appliances.azure.com |
Appliance VMs IP benötigen eine ausgehende Verbindung. | Kommunizieren mit dem Ressourcenanbieter in Azure. |
| Ressourcenbrücke (Appliance): Download des Containerimages | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen von Containerimages. |
| Verwaltete Identität | 443 | *.his.arc.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten. |
| Download des Containerimages für Azure Arc für Kubernetes | 443 | azurearcfork8s.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullen von Containerimages. |
| ADHS-Telemetriedienst | 443 | adhs.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten von der VM der Appliance an Microsoft. |
| Microsoft-Ereignisdatendienst | 443 | v20.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Senden von Diagnosedaten aus Windows. |
| Protokollsammlung für Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pushprotokolle für von der Appliance verwaltete Komponenten. |
| Ressourcenbrückenkomponenten herunterladen | 443 | kvamanagementoperator.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullartefakte für von der Appliance verwaltete Komponenten. |
| Microsoft Open Source-Paketmanager | 443 | packages.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Laden Sie das Linux-Installationspaket herunter. |
| Benutzerdefinierter Speicherort | 443 | sts.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für benutzerdefinierten Speicherort. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure Arc. |
| Diagnosedaten | 443 | gcs.prod.monitoring.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Diagnosedaten | 443 | *.prod.microsoftmetrics.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Diagnosedaten | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Diagnosedaten | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Azure-Portal | 443 | *.arc.azure.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Verwalten eines Clusters im Azure-Portal. |
| Azure-Servicebus | 443 | *.servicebus.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. Ausgehende WebSocket-Verbindungen (wss://) müssen zulässig sein. | Aktiviert den sicheren Steuerkanal. |
| Azure CLI | 443 | *.blob.core.windows.net |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Laden Sie azure CLI Installer herunter. |
| Bogenerweiterung | 443 | *.web.core.windows.net |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Laden Sie die Erweiterung der Arc-Ressourcenbrücke herunter. |
| Azure Arc-Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Für Arc-Agent verwendete Datenplane. |
| Python-Paket | 443 |
pypi.org, *.pypi.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Validieren Sie Kubernetes- und Python-Versionen. |
| Azure CLI | 443 |
pythonhosted.org, *.pythonhosted.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Python-Pakete für die Azure CLI-Installation. |
Anforderungen für eingehende Konnektivität
Die Kommunikation zwischen den folgenden Ports muss vom Verwaltungscomputer, VM-IPs der Appliance und Steuerebenen-IPs zulässig sein. Stellen Sie sicher, dass diese Ports geöffnet sind und der Datenverkehr nicht über einen Proxy weitergeleitet wird, um die Bereitstellung und Wartung der Arc-Ressourcenbrücke zu erleichtern.
Wichtig
Während des Onboardings müssen Sie zwei IP-Adressen für die VMs der Arc Resource Bridge-Appliance bereitstellen – entweder als Bereich oder als zwei einzelne IPs. Für erfolgreiche Bereitstellung, Vorgänge und Upgrades:
- Stellen Sie sicher, dass die Kommunikation zwischen Verwaltungscomputern, VM-IPs der Appliance und Steuerungsebenen-IPs über die erforderlichen Ports zulässig ist, wie unten aufgeführt.
- Leiten Sie den Datenverkehr nicht über einen Proxy für diese Verbindungen weiter.
| Dienst | Port | IP/Computer | Richtung | Hinweise |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs und Management machine |
Bidirektional | Der Verwaltungscomputer stellt ausgehende Verbindungen mit den VM-IPs der Appliance her. VM-IPs der Appliance müssen eingehende Verbindungen zulassen. |
| Kubernetes-API-Server | 6443 |
appliance VM IPs und Management machine |
Bidirektional | Der Verwaltungscomputer stellt ausgehende Verbindungen mit den VM-IPs der Appliance her. VM-IPs der Appliance müssen eingehende Verbindungen zulassen. |
| SSH | 22 |
control plane IP und Management machine |
Bidirektional | Wird zum Bereitstellen und Warten der Appliance-VM verwendet |
| Kubernetes-API-Server | 6443 |
control plane IP und Management machine |
Bidirektional | Verwaltung der Appliance-VM |
| HTTPS | 443 |
private cloud control plane address und Management machine |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Kommunikation mit privater Cloud (z. B. VMware vCenter-Adresse und vSphere-Datenspeicher). |
| Kubernetes-API-Server | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (füreinander) |
Bidirektional | Erforderlich für das VM-Upgrade der Appliance. Stellen Sie sicher, dass alle VM-IPs der Appliance über eine ausgehende Verbindung zueinander über diese Ports verfügen. |
| HTTPS | 443 |
private cloud control plane address und appliance VM IPs |
VM-IPs der Appliance benötigen ausgehende Verbindungen. | Kommunikation mit privater Cloud (z. B. VMware vCenter-Adresse und vSphere-Datenspeicher). |
Weitere Informationen finden Sie unter Netzwerkanforderungen der Azure Arc-Ressourcenbrücke.
VMware vSphere mit Azure Arc-Unterstützung
Azure Arc-fähige VMware vSphere erfordert außerdem Folgendes:
| Dienst | Port | URL | Richtung | Hinweise |
|---|---|---|---|---|
| vCenter Server | 443 | URL des vCenter-Servers | Die IP-Adresse der Appliance-VM und der Endpunkt der Steuerungsebene benötigen eine ausgehende Verbindung. | Wird vom vCenter-Server verwendet, um mit der Appliance-VM und der Steuerungsebene zu kommunizieren. |
| VMware-Clustererweiterung | 443 | azureprivatecloud.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullen Sie Containerimages für die Clustererweiterungen „Microsoft.VMWare“ und „Microsoft.AVS“. |
| Azure-Befehlszeilenschnittstelle und Azure CLI-Erweiterungen | 443 | *.blob.core.windows.net |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Laden Sie das Installationsprogramm für die Azure-Befehlszeilenschnittstelle und die Azure CLI-Erweiterungen herunter. |
| Azure Resource Manager | 443 | management.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Diese sind für das Erstellen und Aktualisieren von Ressourcen in Azure mit ARM erforderlich. |
| Helm-Chart für Azure Arc-Agents | 443 | *.dp.kubernetesconfiguration.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Endpunkt auf Datenebene zum Herunterladen der Konfigurationsinformationen von Arc-Agents. |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Erforderlich zum Abrufen und Aktualisieren von Azure Resource Manager-Token. |
Weitere Informationen finden Sie unter Supportmatrix für Azure Arc-fähige VMware vSphere.
System Center Virtual Machine Manager mit Azure Arc-Unterstützung
Azure Arc-fähiges System Center Virtual Machine Manager (SCVMM) erfordert außerdem Folgendes:
| Dienst | Port | URL | Richtung | Hinweise |
|---|---|---|---|---|
| SCVMM-Verwaltungsserver | 443 | URL des SCVMM-Verwaltungsservers | Die IP-Adresse der Appliance-VM und der Endpunkt der Steuerungsebene benötigen eine ausgehende Verbindung. | Wird vom SCVMM-Server verwendet, um mit der Appliance-VM und der Steuerungsebene zu kommunizieren. |
Weitere Informationen finden Sie unter Übersicht über arc-fähige System Center Virtual Machine Manager.
Zusätzliche Endpunkte
Je nach Szenario benötigen Sie möglicherweise eine Verbindung mit anderen URLs, z. B. von den Azure-Portal, Verwaltungstools oder anderen Azure-Diensten. Überprüfen Sie insbesondere diese Listen, um sicherzustellen, dass Sie die Verbindung zu allen erforderlichen Endpunkten zulassen: