この記事では、Azure Arc 対応のサービスと機能に必要なエンドポイント、ポート、プロトコルのリストを示します。
一般に、接続要件には次の原則が含まれます。
- 特に指定がない限り、すべての接続は TCP です。
- すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
- 特に指定がない限り、すべての接続はアウトバウンドです。
プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。
ヒント
Azure パブリック クラウドの場合は、Arc 対応サーバーまたは Arc 対応 Kubernetes 用の Azure Arc ゲートウェイを使用して、必要なエンドポイントの数を減らすことができます。
Azure Arc 対応 Kubernetes エンドポイント
Kubernetes ベースのすべての Arc オファリングに、次のような Arc Kubernetes ベースのエンドポイントへの接続が必要です。
- Azure Arc 対応 Kubernetes
- Azure Arc 上の Azure Container Apps
- Azure Arc 対応機械学習
- Azure Arc 対応データ サービス (直接接続モードのみ)
重要
Azure Arc エージェントが機能するには、https://:443 に次の送信 URL が必要です。
*.servicebus.windows.net の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。
| エンドポイント (DNS) | 説明 |
|---|---|
https://management.azure.com |
エージェントが Azure に接続し、クラスターを登録するために必要です。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
エージェントが状態をプッシュして構成情報をフェッチするためのデータ プレーン エンドポイント。 |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Azure Resource Manager トークンをフェッチし、更新するために必要です。 |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Azure Arc エージェント用のコンテナー イメージをプルするために必要です。 |
dl.k8s.io |
Azure CLI connectedk8s 拡張機能による Azure Arc オンボード中に kubectl バイナリをダウンロードするために必要です。 |
https://gbl.his.arc.azure.com |
システム割り当て管理 ID 証明書をプルするためリージョン エンドポイントを取得するために必要です。 |
https://*.his.arc.azure.com |
システム割り当てマネージド ID 証明書をプルするために必須。 |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.net |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
*.servicebus.windows.net |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
https://graph.microsoft.com/ |
Azure RBAC が構成されている場合は必須です。 |
*.arc.azure.net |
Azure portal 内の接続されているクラスターを管理する場合は必須です。 |
https://<region>.obo.arc.azure.com:8084/ |
クラスター接続と Azure RBAC が構成されている場合に必要です。 |
https://linuxgeneva-microsoft.azurecr.io |
Azure Arc 対応 Kubernetes 拡張機能を使っている場合に必要。 |
*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、このコマンドを使用します。
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&___location=<region>
リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。
たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。
すべてのリージョンの一覧を表示するには、このコマンドを実行します。
az account list-locations -o table
Get-AzLocation | Format-Table
詳細については、Azure Arc 対応 Kubernetes ネットワークの要件に関する記事を参照してください。
Azure Arc 対応データ サービス
このセクションでは、上記の Arc 対応 Kubernetes エンドポイントに加えて、Azure Arc 対応データ サービスに固有の要件について説明します。
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| Helm chart (直接接続モードのみ) | 443 | arcdataservicesrow1.azurecr.io |
送信 | Azure Arc データ コントローラーのブートストラッパーとクラスター レベルのオブジェクト (カスタム リソース定義、クラスター ロール、クラスター ロール バインディングなど) をプロビジョニングし、Azure Container Registry からプルされます。 |
| Azure monitor API 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
送信 | 一部の機能では、Azure との間でデータを送受信するために、Azure Data Studio および Azure CLI が Azure Resource Manager API に接続します。 「Azure Monitor API」をご覧ください。 |
| Azure Arc データ処理サービス 1 | 443 |
*.<region>.arcdataservices.com
2 |
送信 |
1 要件は、デプロイ モードによって異なります。
- 直接モードの場合、Kubernetes クラスター上のコントローラー ポッドには、ログ、メトリック、インベントリ、課金情報を Azure Monitor とデータ処理サービスに送信するために、エンドポイントへのアウトバウンド接続が必要です。
- 間接モードの場合、
az arcdata dc uploadを実行するマシンには、Azure Monitor とデータ処理サービスへのアウトバウンド接続が必要です。
2 2024 年 2 月 13 日までの拡張機能バージョンについては、 san-af-<region>-prod.azurewebsites.netを使用します。
Azure Monitor API
Azure Data Studio から Kubernetes API サーバーへの接続には、確立した Kubernetes 認証および暗号化が使用されます。 Azure Data Studio または CLI を使用している各ユーザーは、Azure Arc 対応データ サービスに関連した多くのアクションを実行するために、Kubernetes API への認証された接続を持っている必要があります。
詳細については、「接続モードと要件」を参照してください。
Azure Arc 対応サーバー
次の場合、Arc 対応サーバー エンドポイントへの接続が必要です。
Azure Arcによって有効化された SQL Server
Azure Arc 対応 VMware vSphere *
Azure Arc 対応 System Center Virtual Machine Manager *
Azure Arc 対応 Azure Stack (HCI) *
*ゲスト管理が有効になっている場合にのみ必須です。
すべてのサーバー ベースの Azure Arc オファリングには、Azure Arc 対応サーバー エンドポイントが必要です。
ネットワークの構成
Linux および Windows 用の Azure Connected Machine エージェントは、TCP ポート 443 を介して Azure Arc へのアウトバウンド通信を安全に行います。 既定では、エージェントはインターネットへの既定のルートを使用して Azure サービスに接続します。 ネットワークで必要とされる場合に、プロキシ サーバーを使用するようにエージェントを構成することもできます。 トラフィックは既に暗号化されているため、プロキシ サーバーによって Connected Machine Agent のセキュリティが強化されることはありません。
パブリック ネットワークとプロキシ サーバーを使用する代わりに、Azure Arc へのネットワーク接続をさらにセキュリティで保護するために、 Azure Arc プライベート リンク スコープを実装できます。
Note
Azure Arc 対応サーバーでは、接続されたマシン エージェントのプロキシとして Log Analytics ゲートウェイ を使用することはできません。 同時に、Azure Monitor エージェントは Log Analytics ゲートウェイをサポートします。
ファイアウォールまたはプロキシ サーバーで送信接続が制限されている場合は、ここに記載されている URL とサービス タグがブロックされていないことを確認してください。
サービス タグ
次のサービス タグへのアクセスを許可してください。
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter( Windows Admin Center を使用して Azure Arc 対応サーバーを管理する場合)
各サービス タグ/リージョンの IP アドレスの一覧については、 JSON ファイルの Azure IP 範囲とサービス タグ - パブリック クラウドを参照してください。 Microsoft は、各 Azure サービスと、それが使用する IP 範囲を含む毎週の更新プログラムを発行します。 JSON ファイル内の情報は、各サービス タグに対応する IP 範囲の現在のポイントインタイム リストです。 IP アドレスは変更される可能性があります。 ファイアウォール構成に IP アドレス範囲が必要な場合は、 AzureCloud サービス タグを使用して、すべての Azure サービスへのアクセスを許可します。 これらの URL のセキュリティの監視や検査は無効にしないでください。 他のインターネット トラフィックと同様に許可します。
AzureArcInfrastructure サービス タグへのトラフィックをフィルター処理する場合は、完全なサービス タグ範囲へのトラフィックを許可する必要があります。 個々のリージョンに対してアドバタイズされた範囲 (たとえば、 AzureArcInfrastructure.AustraliaEast) には、サービスのグローバル コンポーネントによって使用される IP 範囲は含まれません。 これらのエンドポイントで解決される特定の IP アドレスは、文書化された範囲内で時間の経過と同時に変化する可能性があります。 このため、ルックアップ ツールを使用して特定のエンドポイントの現在の IP アドレスを識別し、その IP アドレスへのアクセスのみを許可するだけでは、信頼性の高いアクセスを確保するには不十分です。
詳細については、「仮想ネットワーク サービス タグ」を参照してください。
重要
21Vianet が運用する Azure Government または Azure の IP アドレスでトラフィックをフィルター処理するには、クラウドの AzureArcInfrastructure サービス タグを使用するだけでなく、Azure パブリック クラウドの AzureArcInfrastructure サービス タグから IP アドレスを追加してください。 2025 年 10 月 28 日以降、Azure パブリック クラウドの AzureArcInfrastructure サービス タグの追加が必要になり、21Vianet によって運用される Azure Government と Azure のサービス タグはサポートされなくなります。
URL
次の表に、Connected Machine エージェントをインストールして使用するために使用できる必要がある URL を示します。
Note
プライベート リンクを介して Azure と通信するように Connected Machine エージェントを構成する場合、一部のエンドポイントにはインターネット経由で引き続きアクセスする必要があります。 次の表の [プライベート リンク対応 ] 列には、プライベート エンドポイントで構成できるエンドポイントが示されています。 この列にエンドポイントとしてパブリックが表示されている場合でも、エージェントが機能するためには、組織のファイアウォールやプロキシ サーバーを介してそのエンドポイントへのアクセスを許可する必要があります。 プライベート リンク スコープが割り当てられている場合、ネットワーク トラフィックはプライベート エンドポイント経由でルーティングされます。
| エージェントのリソース | 説明 | 必要な場合 | プライベート リンク対応 |
|---|---|---|---|
download.microsoft.com |
Windows インストール パッケージをダウンロードするために使用します。 | インストール時のみ。1 | 公共。 |
packages.microsoft.com |
Linux インストール パッケージをダウンロードするために使用します。 | インストール時のみ。1 | 公共。 |
login.microsoftonline.com |
Microsoft Entra ID。 | いつも。 | 公共。 |
*.login.microsoft.com |
Microsoft Entra ID。 | いつも。 | 公共。 |
pas.windows.net |
Microsoft Entra ID。 | いつも。 | 公共。 |
management.azure.com |
Azure Resource Manager は、Azure Arc サーバー リソースを作成または削除するために使用されます。 | サーバーに接続または切断する場合のみ。 | リソース管理プライベート リンクも構成されていない限り、パブリック。 |
*.his.arc.azure.com |
メタデータとハイブリッド ID サービス。 | いつも。 | プライベート。 |
*.guestconfiguration.azure.com |
拡張機能の管理とゲスト構成サービス。 | いつも。 | プライベート。 |
guestnotificationservice.azure.com、*.guestnotificationservice.azure.com |
拡張機能と接続のシナリオの通知サービス。 | いつも。 | 公共。 |
azgn*.servicebus.windows.net または *.servicebus.windows.net |
拡張機能と接続のシナリオの通知サービス。 | いつも。 | 公共。 |
*.servicebus.windows.net |
Windows Admin Center と Secure Shell (SSH) のシナリオの場合。 | Azure から SSH または Windows Admin Center を使用する場合。 | 公共。 |
*.waconazure.com |
Windows Admin Center 接続の場合。 | Windows Admin Center を使用する場合。 | 公共。 |
*.blob.core.windows.net |
Azure Arc 対応サーバー拡張機能のソースをダウンロードします。 | プライベート エンドポイントを使用する場合を除き、常に。 | プライベート リンクが構成されている場合は使用されません。 |
dc.services.visualstudio.com |
エージェント テレメトリ。 | Optional. エージェント バージョン 1.24 以降では使用されません。 | 公共。 |
*.<region>.arcdataservices.com
2 |
Azure Arc 対応 SQL Server の場合。 データ処理サービス、サービス テレメトリ、およびパフォーマンスの監視を Azure に送信します。 トランスポート層セキュリティ (TLS) 1.2 または 1.3 のみを許可します。 | Azure Arc 対応 SQL Server を使用する場合。 | 公共。 |
https://<azure-keyvault-name>.vault.azure.net/、 https://graph.microsoft.com/2 |
Azure Arc 対応 SQL Server を使用した Microsoft Entra 認証の場合。 | Azure Arc 対応 SQL Server を使用する場合。 | 公共。 |
www.microsoft.com/pkiops/certs |
拡張セキュリティ更新プログラムの中間証明書更新プログラム (HTTP/TCP 80 と HTTPS/TCP 443 を使用)。 | Azure Arc で有効になっている拡張セキュリティ更新プログラムを使用する場合。自動更新では常に必要です。証明書を手動でダウンロードする場合は一時的に必要です。 | 公共。 |
dls.microsoft.com |
ライセンス検証を実行するために Azure Arc マシンによって使用されます。 | Azure Arc 対応マシンでホットパッチ、Windows Server Azure 特典、または Windows Server 従量課金制を使用する場合に必要です。 | 公共。 |
1 更新が自動的に実行される場合は、この URL へのアクセスも必要です。
2 収集されて送信される情報について詳しくは、「Azure Arc によって有効化された SQL Server のデータ コレクションとレポート」をご覧ください。
2024 年 2 月 13 日までの拡張機能バージョンについては、 san-af-<region>-prod.azurewebsites.netを使用します。 2024 年 3 月 12 日以降、Azure Arc データ処理と Azure Arc データ テレメトリの両方で *.<region>.arcdataservices.comが使用されます。
Note
*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、コマンド \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&___location=<region> を使用します。 このコマンド内で、<region> プレースホルダーにリージョンを指定する必要があります。 これらのエンドポイントは定期的に変更される可能性があります。
リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。
たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。
すべてのリージョンの一覧を表示するには、このコマンドを実行します。
az account list-locations -o table
Get-AzLocation | Format-Table
暗号化プロトコル
Azure に転送中のデータのセキュリティを確保するために、TLS 1.2 と 1.3 を使用するようにマシンを構成することを強くお勧めします。 以前のバージョンの TLS/Secure Sockets Layer (SSL) は脆弱であることが判明しました。 現在も下位互換性を確保するために動作していますが、 推奨されません。
Connected Machine エージェントのバージョン 1.56 以降 (Windows のみ) では、推奨される TLS バージョンの少なくとも 1 つに対して次の暗号スイートを構成する必要があります。
TLS 1.3 (サーバー優先順のスイート):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bits RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 ビット RSA) FS
TLS 1.2 (サーバー優先順のスイート):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (RSA 15360ビット相当) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (3072ビットRSA相当) FS
詳細については、「 Windows TLS 構成の問題」を参照してください。
*.\<region\>.arcdataservices.comにある Azure Arc エンドポイントによって有効になっている SQL Server では、TLS 1.2 と 1.3 のみがサポートされます。 TLS 1.2 は、Windows Server 2012 R2 以降でのみサポートされています。 Azure Arc テレメトリ エンドポイントによって有効になっている SQL Server は、Windows Server 2012 または Windows Server 2012 R2 ではサポートされていません。
| プラットフォーム/言語 | サポート | 詳細情報 |
|---|---|---|
| Linux | Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。 | OpenSSL の変更ログを調べて、OpenSSL のバージョンがサポートされていることを確認します。 |
| Windows Server 2012 R2 以降 | 既定でサポートされ、有効になっています。 | まだ既定の設定を使用していることを確認します。 |
| Windows Server 2012 | 部分的にサポートされます。 推奨されません。 | 一部のエンドポイントは引き続き機能しますが、他のエンドポイントには TLS 1.2 以降が必要です。これは Windows Server 2012 では使用できません。 |
ESU のみ用のエンドポイントのサブセット
次のいずれかの製品または両方の拡張セキュリティ更新プログラムにのみ Azure Arc 対応サーバーを使用する場合:
- Windows Server 2012
- SQL Server 2012
エンドポイントの次のサブセットを有効にすることができます。
| エージェントのリソース | 説明 | 必要な場合 | プライベート リンクで使用されるエンドポイント |
|---|---|---|---|
download.microsoft.com |
Windows インストール パッケージをダウンロードするために使用します。 | インストール時のみ。1 | 公共。 |
login.windows.net |
Microsoft Entra ID。 | いつも。 | 公共。 |
login.microsoftonline.com |
Microsoft Entra ID。 | いつも。 | 公共。 |
*.login.microsoft.com |
Microsoft Entra ID。 | いつも。 | 公共。 |
management.azure.com |
Azure Resource Manager は、Azure Arc サーバー リソースを作成または削除するために使用されます。 | サーバーに接続または切断する場合のみ。 | リソース管理プライベート リンクも構成されていない限り、パブリック。 |
*.his.arc.azure.com |
メタデータとハイブリッド ID サービス。 | いつも。 | プライベート。 |
*.guestconfiguration.azure.com |
拡張機能の管理とゲスト構成サービス。 | いつも。 | プライベート。 |
www.microsoft.com/pkiops/certs |
拡張セキュリティ更新プログラムの中間証明書更新プログラム (HTTP/TCP 80 と HTTPS/TCP 443 を使用)。 | 自動更新の場合は常に、または証明書を手動でダウンロードする場合は一時的に行います。 | 公共。 |
*.<region>.arcdataservices.com |
Azure Arc データ処理サービスとサービス テレメトリ。 | SQL Server 拡張セキュリティ更新プログラム。 | 公共。 |
*.blob.core.windows.net |
SQL Server 拡張機能パッケージをダウンロードします。 | SQL Server 拡張セキュリティ更新プログラム。 | Azure Private Link を使用する場合は必要ありません。 |
1 更新を自動的に実行する場合は、この URL へのアクセスも必要です。
詳細については、「Connected Machine エージェントのネットワーク要件」を参照してください。
Azure Arc リソース ブリッジ
このセクションでは、企業での Azure Arc リソース ブリッジのデプロイに固有の追加のネットワーク要件について説明します。 これらの要件は、Azure Arc 対応 VMware vSphere と Azure Arc 対応 System Center Virtual Machine Manager にも適用されます。
送信接続の要件
管理マシン、Arc リソース ブリッジ VM (最初にデプロイ)、Arc リソース ブリッジ VM 2 (アップグレードによって別の VM IP を使用して新しい VM が作成されます)、コントロール プレーン IP から必要な Arc リソース ブリッジ URL への通信を有効にするには、以下のファイアウォールとプロキシ URL を許可リストに登録する必要があります。
重要
Arc Resource Bridge をオンボードするときは、アプライアンス VM に 2 つの IP アドレスを指定する必要があります。 これらは次のいずれかとして指定されます。
- IP の範囲
- 2 つの個々の IP (VM ごとに 1 つ)
アップグレードを確実に成功させるには、すべてのアプライアンス VM IP に必要な URL への送信アクセス権が必要です。 これらの URL がネットワークで許可リストに含まれていることを確認します。
ファイアウォール/プロキシ URL 許可リスト
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| SFS API エンドポイント | 443 | msk8s.api.cdp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | SFS から製品カタログ、製品ビット、OS イメージをダウンロードします。 |
| リソース ブリッジ (アプライアンス) イメージのダウンロード | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc Resource Bridge OS イメージをダウンロードします。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc リソース ブリッジのコンテナー イメージを検出します。 |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc リソース ブリッジのコンテナー イメージをダウンロードします。 |
| Windows NTP サーバー | 123 | time.windows.com |
管理マシンとアプライアンス VM IP (Hyper-V の既定値が Windows NTP の場合) には UDP での送信接続が必要です | アプライアンス VM と管理マシン (Windows NTP) での OS 時刻同期。 |
| Azure Resource Manager | 443 | management.azure.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure でのリソースの管理。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure RBAC に必要です。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | login.windows.net |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| リソース ブリッジ (アプライアンス) データプレーン サービス | 443 | *.dp.prod.appliances.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure 内でリソース プロバイダーと通信します。 |
| リソース ブリッジ (アプライアンス) コンテナー イメージのダウンロード | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージをプルするために必要です。 |
| マネージド ID | 443 | *.his.arc.azure.com |
アプライアンス VM IP には送信接続が必要です。 | システム割り当てマネージド ID 証明書をプルするために必須。 |
| Azure Arc for Kubernetes コンテナー イメージのダウンロード | 443 | azurearcfork8s.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージのプル。 |
| ADHS テレメトリ サービス | 443 | adhs.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データをアプライアンス VM から Microsoft に定期的に送信します。 |
| Microsoft イベント データ サービス | 443 | v20.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Windows から診断データを送信します。 |
| Arc リソース ブリッジのログ収集 | 443 | linuxgeneva-microsoft.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンス管理コンポーネントのログをプッシュします。 |
| リソース ブリッジ コンポーネントのダウンロード | 443 | kvamanagementoperator.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンスのマネージド コンポーネントの成果物をプルします。 |
| Microsoft オープン ソース パッケージ マネージャー | 443 | packages.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Linux インストール パッケージをダウンロードします。 |
| カスタムの場所 | 443 | sts.windows.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc に必要です。 |
| 診断データ | 443 | gcs.prod.monitoring.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.microsoftmetrics.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.hot.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.warm.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| Azure portal | 443 | *.arc.azure.net |
アプライアンス VM IP には送信接続が必要です。 | Azure portal からクラスターを管理します。 |
| Azure Service Bus | 443 | *.servicebus.windows.net |
アプライアンス VM IP には送信接続が必要です。 送信 WebSocket (wss://) 接続を許可する必要があります。 | セキュリティで保護された制御チャネルを有効にします。 |
| Azure CLI | 443 | *.blob.core.windows.net |
管理マシンには送信接続が必要です。 | Azure CLI インストーラーをダウンロードします。 |
| 円弧の拡張子 | 443 | *.web.core.windows.net |
管理マシンには送信接続が必要です。 | Arc リソース ブリッジ拡張機能をダウンロードします。 |
| Azure Arc エージェント | 443 | *.dp.kubernetesconfiguration.azure.com |
管理マシンには送信接続が必要です。 | Arc エージェントで使用されるデータプレーン。 |
| Python パッケージ | 443 |
pypi.org、*.pypi.org |
管理マシンには送信接続が必要です。 | Kubernetes と Python のバージョンを検証します。 |
| Azure CLI | 443 |
pythonhosted.org、*.pythonhosted.org |
管理マシンには送信接続が必要です。 | Azure CLI インストール用の Python パッケージ。 |
受信接続の要件
管理マシン、アプライアンス VM の IP、コントロール プレーンの IP から、次のポート間の通信を許可する必要があります。 Arc リソース ブリッジのデプロイとメンテナンスを容易にするために、これらのポートが開いていることと、トラフィックがプロキシ経由でルーティングされていないことを確認します。
重要
オンボーディング中は、Arc Resource Bridge アプライアンス VM に 2 つの IP アドレスを指定する必要があります。範囲として、または 2 つの個別 IP として指定します。 デプロイ、操作、およびアップグレードを正常に行う場合:
- 次に示すように、管理マシン、アプライアンス VM IP、コントロール プレーン IP の間で、必要なポートを介した通信が許可されていることを確認します。
- これらの接続のプロキシ経由でトラフィックをルーティングしないでください。
| サービス | [ポート] | IP/マシン | 方向 | メモ |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs および Management machine |
双方向 | 管理マシンは、アプライアンス VM IP に送信接続します。 アプライアンス VM IP は受信接続を許可する必要があります。 |
| Kubernetes API サーバー | 6443 |
appliance VM IPs および Management machine |
双方向 | 管理マシンは、アプライアンス VM IP に送信接続します。 アプライアンス VM IP は受信接続を許可する必要があります。 |
| SSH | 22 |
control plane IP および Management machine |
双方向 | アプライアンス VM のデプロイと保守に使用されます。 |
| Kubernetes API サーバー | 6443 |
control plane IP および Management machine |
双方向 | アプライアンス VM の管理。 |
| HTTPS | 443 |
private cloud control plane address および Management machine |
管理マシンには送信接続が必要です。 | プライベート クラウドとの通信 (例: VMware vCenter アドレスと vSphere データストア)。 |
| Kubernetes API サーバー | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (互いに) |
双方向 | アプライアンス VM のアップグレードに必要です。 すべてのアプライアンス VM IP が、これらのポート経由で相互に送信接続されていることを確認します。 |
| HTTPS | 443 |
private cloud control plane address および appliance VM IPs |
アプライアンス VM IP には送信接続が必要です。 | プライベート クラウドとの通信 (例: VMware vCenter アドレスと vSphere データストア)。 |
詳細については、「Azure Arc リソース ブリッジのネットワーク要件」を参照してください。
Azure Arc 対応 VMware vSphere
Azure Arc 対応 VMware vSphere には以下も必要です。
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| vCenter Server | 443 | vCenter Server の URL | アプライアンス VM IP とコントロール プレーン エンドポイントには送信接続が必要です。 | アプライアンス VM とコントロール プレーンとの通信に vCenter サーバーによって使用されます。 |
| VMware クラスターの拡張機能 | 443 | azureprivatecloud.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | Microsoft.VMWare および Microsoft.AVS クラスター拡張機能のコンテナー イメージをプルします。 |
| Azure CLI および Azure CLI 拡張機能 | 443 | *.blob.core.windows.net |
管理マシンには送信接続が必要です。 | Azure CLI インストーラーと Azure CLI の拡張機能をダウンロードします。 |
| Azure Resource Manager | 443 | management.azure.com |
管理マシンには送信接続が必要です。 | ARM を使用して Azure でリソースを作成または更新するために必要です。 |
| Azure Arc エージェントの Helm Chart | 443 | *.dp.kubernetesconfiguration.azure.com |
管理マシンには送信接続が必要です。 | Arc エージェントの構成情報をダウンロードするためのデータ プレーン エンドポイント。 |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
管理マシンには送信接続が必要です。 | Azure Resource Manager トークンをフェッチし、更新するために必要です。 |
詳細については、「 Azure Arc 対応 VMware vSphere のサポート マトリックスを参照してください。
Azure Arc 対応 System Center Virtual Machine Manager
Azure Arc 対応 System Center Virtual Machine Manager (SCVMM) には以下も必要です。
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| SCVMM 管理サーバー | 443 | SCVMM 管理サーバーの URL | アプライアンス VM IP とコントロール プレーン エンドポイントには送信接続が必要です。 | アプライアンス VM およびコントロール プレーンと通信するために SCVMM サーバーによって使用されます。 |
詳細については、「 Arc 対応 System Center Virtual Machine Manager の概要を参照してください。
エンドポイントの追加
シナリオによっては、Azure portal、管理ツール、その他の Azure サービスで使用される URL など、他の URL への接続が必要になる場合があります。 特に、次のリストを確認して、必要なエンドポイントへの接続が許可されていることを確認してください。