Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista os pontos de extremidade, as portas e os protocolos necessários para serviços e recursos habilitados para Azure Arc.
Geralmente os requisitos de conectividade incluem esses princípios.
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e o computador que executam o processo de integração atendem aos requisitos de rede neste artigo.
Dica
Para a nuvem pública do Azure, você pode reduzir o número de pontos de extremidade necessários usando o gateway do Azure Arc para servidores habilitados para Arc ou o Kubernetes habilitado para Arc.
Pontos de extremidade do Kubernetes habilitados para Azure Arc
A conectividade com os endpoints baseados no Arc Kubernetes é necessária para todas as ofertas do Arc baseadas no Kubernetes, incluindo:
- Kubernetes habilitado para Azure Arc
- Aplicativos de Contêiner do Azure no Azure Arc
- Machine Learning habilitado para Azure Arc
- Serviços de dados habilitados para Azure Arc (somente modo de conectividade direta)
Importante
Para funcionar, os agentes do Azure Arc exigem as URLs de saída a seguir em https://:443.
Para *.servicebus.windows.net, os websockets precisam ser habilitados para acesso de saída no firewall e no proxy.
| Ponto de extremidade (DNS) | Descrição |
|---|---|
https://management.azure.com |
Necessário para que o agente se conecte ao Azure e registre o cluster. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Ponto de extremidade do plano de dados para o agente enviar o status por push e buscar informações de configuração. |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
Necessário para buscar e atualizar tokens do Azure Resource Manager. |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
Necessário para efetuar pull de imagens de contêiner para agentes do Azure Arc. |
dl.k8s.io |
Necessário para baixar binários kubectl durante a integração do Azure Arc pela extensão connectedk8s da CLI do Azure. |
https://gbl.his.arc.azure.com |
Necessário para obter o ponto de extremidade regional para extrair certificados da Identidade Gerenciada atribuída pelo sistema. |
https://*.his.arc.azure.com |
Necessário para efetuar pull dos certificados de Identidade Gerenciada atribuída pelo sistema. |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.net |
Para cenários baseados em Conexão de Cluster e Localização Personalizada. |
*.servicebus.windows.net |
Para cenários baseados em Conexão de Cluster e Localização Personalizada. |
https://graph.microsoft.com/ |
Necessário quando o RBAC do Azure está configurado. |
*.arc.azure.net |
Necessário para gerenciar clusters conectados em portal do Azure. |
https://<region>.obo.arc.azure.com:8084/ |
Necessário quando o Cluster Connect e o RBAC do Azure são configurados. |
https://linuxgeneva-microsoft.azurecr.io |
Obrigatório se estiver usando extensões Kubernetes habilitadas para Azure Arc. |
Para traduzir o *.servicebus.windows.net caractere curinga em pontos de extremidade específicos, use o comando:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&___location=<region>
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2, o nome da região é eastus2.
Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Para obter mais informações, consulte Requisitos de rede do Kubernetes habilitado para Azure Arc.
Serviços de dados habilitados para Azure Arc
Esta seção descreve os requisitos específicos dos serviços de dados habilitados para Azure Arc, além dos pontos de extremidade do Kubernetes habilitados para Arc listados acima.
| Serviço | Porta | URL | Direção | Observações |
|---|---|---|---|---|
| Gráfico do Helm ( somente modo de conexão direta) | 443 | arcdataservicesrow1.azurecr.io |
Saída | Provisiona o bootstrapper do controlador de dados do Azure Arc e os objetos de nível de cluster, como definições de recursos personalizadas, funções de cluster e vinculações de função de cluster, e é retirado de um Registro de Contêiner do Azure. |
| APIs do Azure Monitor 1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
Saída | O Azure Data Studio, e a CLI do Azure se conectam às APIs do Azure Resource Manager para enviar e recuperar dados de e para o Azure de alguns recursos. Consulte APIs do Azure Monitor. |
| Serviço de processamento de dados do Azure Arc 1 | 443 |
*.<region>.arcdataservices.com
2 |
Saída |
1 O requisito depende do modo de implantação:
- Para o modo direto, o pod do controlador no cluster do Kubernetes precisa ter conectividade de saída com os pontos de extremidade para enviar os logs, as métricas, o inventário e as informações de cobrança para o Azure Monitor/Serviço de Processamento de Dados.
- Para o modo indireto, o computador que executa
az arcdata dc uploadprecisa ter conectividade de saída com o Azure Monitor e o Serviço de Processamento de Dados.
2 Para versões de extensão até e incluindo 13 de fevereiro de 2024, use san-af-<region>-prod.azurewebsites.net.
APIs do Azure Monitor
A conectividade do Azure Data Studio com o servidor de API do Kubernetes usa a criptografia e a autenticação do Kubernetes que você estabeleceu. Cada usuário que está usando o Azure Data Studio ou a CLI precisa ter uma conexão autenticada com a API do Kubernetes para executar muitas das ações relacionadas aos serviços de dados habilitados para Azure Arc.
Para obter mais informações, confira Requisitos e modos de conectividade.
Servidores habilitados para Azure Arc
A conectividade com pontos de extremidade de servidor habilitados para Arc é necessária para:
SQL Server habilitado pelo Azure Arc
VMware vSphere habilitado para Azure Arc *
Gerenciador de máquinas virtuais do System Center habilitado para Azure Arc *
Azure Arc habilitado para Azure Stack (HCI) *
*Necessário apenas para o gerenciamento de convidados ativado.
Os pontos de extremidade de servidor habilitados para Azure Arc são necessários para todas as ofertas do Azure Arc baseadas em servidor.
Configuração de rede
O agente do Azure Connected Machine para Linux e Windows comunica a saída com segurança ao Azure Arc pela porta TCP 443. Por padrão, o agente usa a rota padrão para a Internet para acessar os serviços do Azure. Opcionalmente, você pode Configurar o agente para usar um servidor proxy se sua rede exigir. Os servidores proxy não tornam o Connected Machine Agent mais seguro porque o tráfego já está criptografado.
Para proteger ainda mais a conectividade de rede com o Azure Arc, em vez de usar redes públicas e servidores proxy, você pode implementar um escopo de link privado do Azure Arc.
Observação
Os servidores habilitados para Azure Arc não dão suporte ao uso de um gateway do Log Analytics como um proxy para o agente do Computador Conectado. Ao mesmo tempo, o Agente do Azure Monitor dá suporte a gateways do Log Analytics.
Se o firewall ou o servidor proxy restringir a conectividade de saída, verifique se as URLs e as marcas de serviço listadas aqui não estão bloqueadas.
Marcas de serviço
Certifique-se de permitir o acesso às seguintes marcas de serviço:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(se você usar o Windows Admin Center para gerenciar servidores habilitados para Azure Arc)
Para obter uma lista de endereços IP para cada marca/região de serviço, consulte o arquivo JSON Intervalos de IP do Azure e Marcas de Serviço – Nuvem Pública. A Microsoft publica atualizações semanais que contêm cada serviço do Azure e os intervalos de IP que usa. As informações no arquivo JSON são a lista pontual atual dos intervalos de IP que correspondem a cada marca de serviço. Os endereços IP estão sujeitos a alterações. Se os intervalos de endereços IP forem necessários para sua configuração de firewall, use a AzureCloud marca de serviço para permitir o acesso a todos os serviços do Azure. Não desabilite o monitoramento de segurança ou a inspeção dessas URLs. Permita-os como faria com outro tráfego de Internet.
Se você filtrar o tráfego para a AzureArcInfrastructure marca de serviço, deverá permitir o tráfego para o intervalo de marcas de serviço completo. Os intervalos anunciados para regiões individuais, por exemplo, AzureArcInfrastructure.AustraliaEastnão incluem os intervalos de IP usados pelos componentes globais do serviço. O endereço IP específico resolvido para esses pontos de extremidade pode mudar ao longo do tempo dentro dos intervalos documentados. Por esse motivo, usar uma ferramenta de pesquisa para identificar o endereço IP atual para um ponto de extremidade específico e permitir o acesso somente a esse endereço IP não é suficiente para garantir o acesso confiável.
Para obter mais informações, confira Marcas de serviço de rede virtual.
Importante
Para filtrar o tráfego por endereços IP no Azure Governamental ou no Azure operado pela 21Vianet, adicione os endereços IP da marca de AzureArcInfrastructure serviço para a nuvem pública do Azure, além de usar a AzureArcInfrastructure marca de serviço para sua nuvem. Após 28 de outubro de 2025, a adição da AzureArcInfrastructure marca de serviço para a nuvem pública do Azure será necessária e as marcas de serviço do Azure Governamental e do Azure operadas pela 21Vianet não terão mais suporte.
URLs
Esta tabela lista as URLs que devem estar disponíveis para instalar e usar o agente do Computador Conectado.
Observação
Quando você configura o agente do Connected Machine para se comunicar com o Azure por meio de um link privado, alguns pontos de extremidade ainda devem ser acessados pela Internet. A coluna compatível com link privado na tabela a seguir mostra os pontos de extremidade que você pode configurar com um ponto de extremidade privado. Se a coluna mostrar Público para um ponto de extremidade, você ainda deverá permitir o acesso a esse ponto de extremidade por meio do firewall da sua organização e/ou servidor proxy para que o agente funcione. O tráfego de rede será roteado por meio de pontos de extremidade privados se um escopo de link privado for atribuído.
| recurso de agente | Descrição | Quando necessário | Compatibilidade com link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Somente no momento da instalação. 1 | Público. |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux. | Somente no momento da instalação. 1 | Público. |
login.microsoftonline.com |
ID do Microsoft Entra. | Sempre. | Público. |
*.login.microsoft.com |
ID do Microsoft Entra. | Sempre. | Público. |
pas.windows.net |
ID do Microsoft Entra. | Sempre. | Público. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso de servidor do Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Metadados e serviços de identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Gerenciamento de extensão e serviços de configuração de convidado. | Sempre. | Privado. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade. | Sempre. | Público. |
azgn*.servicebus.windows.net ou *.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade. | Sempre. | Público. |
*.servicebus.windows.net |
Para cenários SSH (Windows Admin Center e Secure Shell). | Se você usar o SSH ou o Windows Admin Center do Azure. | Público. |
*.waconazure.com |
Para conectividade do Windows Admin Center. | Se você usar o Windows Admin Center. | Público. |
*.blob.core.windows.net |
Baixe a origem das extensões de servidor habilitadas para Azure Arc. | Sempre, exceto quando você usa pontos de extremidade privados. | Não usado quando um link privado é configurado. |
dc.services.visualstudio.com |
Telemetria do agente. | Optional. Não usado nas versões do agente 1.24+. | Público. |
*.<region>.arcdataservices.com
2 |
Para o SQL Server habilitado para Azure Arc. Envia o serviço de processamento de dados, a telemetria de serviço e o monitoramento de desempenho para o Azure. Permite somente o TLS (Transport Layer Security) 1.2 ou 1.3. | Se você usar o SQL Server habilitado para Azure Arc. | Público. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Para autenticação do Microsoft Entra com o SQL Server habilitado para Azure Arc. | Se você usar o SQL Server habilitado para Azure Arc. | Público. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para atualizações de segurança estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Se você usar atualizações de segurança estendidas habilitadas pelo Azure Arc. Sempre necessário para atualizações automáticas ou temporariamente se você baixar certificados manualmente. | Público. |
dls.microsoft.com |
Usado por computadores do Azure Arc para executar a validação de licença. | Necessário ao usar o hotpatching, os Benefícios do Azure do Windows Server ou a cobrança paga conforme o uso do Windows Server em computadores habilitados para Azure Arc. | Público. |
1 O acesso a essa URL também é necessário quando as atualizações são executadas automaticamente.
2 Para obter detalhes sobre quais informações são coletadas e enviadas, examine a Coleta de dados e os relatórios do SQL Server habilitados pelo Azure Arc.
Para versões de extensão até e incluindo 13 de fevereiro de 2024, use san-af-<region>-prod.azurewebsites.net. A partir de 12 de março de 2024, o processamento de dados do Azure Arc e a telemetria de dados do Azure Arc usam *.<region>.arcdataservices.com.
Observação
Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&___location=<region>. Dentro desse comando, a região precisa ser especificada para o espaço reservado <region>. Esses pontos de extremidade podem mudar periodicamente.
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2, o nome da região é eastus2.
Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolos criptográficos
Para garantir a segurança dos dados em trânsito para o Azure, recomendamos que você configure computadores para usar o TLS 1.2 e 1.3. Versões mais antigas do TLS/SSL (Secure Sockets Layer) foram consideradas vulneráveis. Embora ainda funcionem para permitir compatibilidade com versões anteriores, eles não são recomendados.
A partir da versão 1.56 do agente do Connected Machine (somente Windows), os seguintes conjuntos de criptografia devem ser configurados para pelo menos uma das versões recomendadas do TLS:
TLS 1.3 (pacotes em ordem preferencial do servidor):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bits RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 bits RSA) FS
TLS 1.2 (pacotes em ordem preferencial do servidor):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15360 bits RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS
Para obter mais informações, consulte problemas de configuração do TLS do Windows.
O SQL Server habilitado pelos pontos de extremidade do Azure Arc localizados com suporte apenas para *.\<region\>.arcdataservices.com TLS 1.2 e 1.3. Somente o Windows Server 2012 R2 e posterior têm suporte para TLS 1.2. O SQL Server ativado pelo ponto de extremidade de telemetria do Azure Arc não é compatível com o Windows Server 2012 ou o Windows Server 2012 R2.
| Plataforma/linguagem | Suporte | Mais informações |
|---|---|---|
| Linux | Distribuições do Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique o OpenSSL Changelog para confirmar se sua versão do OpenSSL tem suporte. |
| Windows Server 2012 R2 e mais recentes | Com suporte e habilitado por padrão. | Confirme se você ainda está usando as configurações padrão. |
| Windows Server 2012 | Parcialmente suportado. Não recomendado. | Alguns pontos de extremidade ainda funcionam, mas outros pontos de extremidade exigem TLS 1.2 ou posterior, que não está disponível no Windows Server 2012. |
Subconjunto de pontos de extremidade somente para ESU
Se você usar servidores habilitados para Azure Arc apenas para atualizações de segurança estendidas para ambos os produtos a seguir:
- Windows Server 2012
- SQL Server 2012
Você pode habilitar o seguinte subconjunto de pontos de extremidade.
| recurso de agente | Descrição | Quando necessário | Ponto de extremidade usado com o link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Somente no momento da instalação. 1 | Público. |
login.windows.net |
ID do Microsoft Entra. | Sempre. | Público. |
login.microsoftonline.com |
ID do Microsoft Entra. | Sempre. | Público. |
*.login.microsoft.com |
ID do Microsoft Entra. | Sempre. | Público. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso de servidor do Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Metadados e serviços de identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Gerenciamento de extensão e serviços de configuração de convidado. | Sempre. | Privado. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para atualizações de segurança estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Sempre para atualizações automáticas ou temporariamente se você baixar certificados manualmente. | Público. |
*.<region>.arcdataservices.com |
Serviço de processamento de dados do Azure Arc e telemetria de serviço. | Atualizações de segurança estendidas do SQL Server. | Público. |
*.blob.core.windows.net |
Baixe o pacote de extensão do SQL Server. | Atualizações de segurança estendidas do SQL Server. | Não é necessário se você usar o Link Privado do Azure. |
1 O acesso a essa URL também é necessário quando você executa atualizações automaticamente.
Para obter mais informações, confira Requisitos de rede do agente de computador conectado.
Ponte de recursos do Azure Arc
Esta seção descreve os requisitos de rede adicionais específicos para implantar a ponte de recursos do Azure Arc em sua empresa. Esses requisitos também se aplicam ao VMware vSphere habilitado para Azure Arc e ao System Center Virtual Machine Manager habilitado para Azure Arc.
Requisitos de conectividade de saída
As URLs de firewall e proxy abaixo devem estar na lista de permissões para habilitar a comunicação do computador de gerenciamento, da VM da ponte de recursos arc (inicialmente implantada), da VM da ponte de recursos do Arc 2 (a atualização cria uma nova VM usando um IP de VM diferente) e do IP do Plano de Controle para as URLs de ponte de recursos do Arc necessárias.
Importante
Ao integrar o Arc Resource Bridge, você deve fornecer dois endereços IP para as VMs do dispositivo. Eles são especificados como:
- Um intervalo de IPs
- Dois IPs individuais (um para cada VM)
Para garantir atualizações bem-sucedidas, todos os IPs de VM do dispositivo devem ter acesso de saída às URLs necessárias. Verifique se essas URLs estão na lista de permissões em sua rede.
Lista de permitidos de URL de Firewall/Proxy
| Serviço | Porta | URL | Direção | Observações |
|---|---|---|---|---|
| Ponto de extremidade da API SFS | 443 | msk8s.api.cdp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe o catálogo de produtos, os bits do produto e as imagens do sistema operacional do SFS. |
| Download de imagem de ponte de recursos (dispositivo) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe as imagens do sistema operacional de ponte de recursos do Arc. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Descubra imagens de contêiner para o Arc Resource Bridge. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Faça o download de imagens de contêineres para a Ponte de Recursos do Arc. |
| Servidor NTP do Windows | 123 | time.windows.com |
Os IPs da VM do dispositivo e do computador de gerenciamento (se o padrão do Hyper-V for o NTP do Windows) precisam de uma conexão de saída UDP | Sincronização de tempo do sistema operacional no computador VM e Gerenciamento do dispositivo (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Gerenciar recursos no Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Obrigatório para o RBAC do Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Serviço de Plano de dados de ponte de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
O IP das VMs do dispositivo precisa da conexão de saída. | Comunique-se com o provedor de recursos no Azure. |
| Download de imagem de contêiner de ponte de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull de imagens de contêiner. |
| Identidade Gerenciada | 443 | *.his.arc.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull dos certificados de Identidade Gerenciada atribuída pelo sistema. |
| Download da imagem de contêiner do Azure Arc para Kubernetes | 443 | azurearcfork8s.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de imagens de contêineres. |
| Serviço de telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft da VM do dispositivo. |
| Serviço de dados de eventos da Microsoft | 443 | v20.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envie dados de diagnóstico do Windows. |
| Coleta de registros para a Ponte de Recursos do Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Registros de envio para componentes gerenciados pelo Dispositivo. |
| Download dos componentes da ponte de recursos | 443 | kvamanagementoperator.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de artefatos para os componentes gerenciados do Dispositivo. |
| Gerenciador de pacotes de código aberto da Microsoft | 443 | packages.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Faça o download do pacote de instalação do Linux. |
| Local Personalizado | 443 | sts.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Local Personalizado. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Azure Arc. |
| Dados de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| portal do Azure | 443 | *.arc.azure.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Gerencia clusters a partir do portal do Azure. |
| Barramento de serviço do Azure | 443 | *.servicebus.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. Conexões WebSocket de saída (wss://) devem ser permitidas. | Habilita o canal de controle seguro. |
| CLI do Azure | 443 | *.blob.core.windows.net |
O computador de gerenciamento precisa de uma conexão de saída. | Baixe o Instalador da CLI do Azure. |
| Extensão de arco | 443 | *.web.core.windows.net |
O computador de gerenciamento precisa de uma conexão de saída. | Baixe a extensão da ponte de recursos do Arc. |
| Agente do Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
O computador de gerenciamento precisa de uma conexão de saída. | Plano de dados usado para o agente do Arc. |
| Pacote do Python | 443 |
pypi.org, *.pypi.org |
O computador de gerenciamento precisa de uma conexão de saída. | Validar as versões do Kubernetes e do Python. |
| CLI do Azure | 443 |
pythonhosted.org, *.pythonhosted.org |
O computador de gerenciamento precisa de uma conexão de saída. | Pacotes Python para instalação da CLI do Azure. |
Requisitos de conectividade de entrada
A comunicação entre as seguintes portas deve ser permitida a partir da máquina de gerenciamento, dos IPs da VM do Dispositivo e dos IPs do painel de controle. Verifique se essas portas estão abertas e se o tráfego não está sendo roteado por meio de um proxy para facilitar a implantação e a manutenção da ponte de recursos Arc.
Importante
Durante a integração, você deve fornecer dois endereços IP para as VMs do dispositivo Arc Resource Bridge, seja como um intervalo ou como dois IPs individuais. Para implantação, operações e atualizações bem-sucedidas:
- Verifique se a comunicação é permitida entre o computador de gerenciamento, os IPs de VM do dispositivo e os IPs do painel de controle nas portas necessárias, conforme listado abaixo.
- Não rotear o tráfego por meio de um proxy para essas conexões.
| Serviço | Porta | IP/computador | Direção | Observações |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs e Management machine |
Bidirecional | O computador de gerenciamento conecta a saída aos IPs de VM do dispositivo. Os IPs de VM do dispositivo devem permitir conexões de entrada. |
| Servidor de API do Kubernetes | 6443 |
appliance VM IPs e Management machine |
Bidirecional | O computador de gerenciamento conecta a saída aos IPs de VM do dispositivo. Os IPs de VM do dispositivo devem permitir conexões de entrada. |
| SSH | 22 |
control plane IP e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor de API do Kubernetes | 6443 |
control plane IP e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| HTTPS | 443 |
private cloud control plane address e Management machine |
O computador de gerenciamento precisa de uma conexão de saída. | Comunicação com a nuvem privada (por exemplo: endereço vCenter VMware e armazenamento de dados vSphere). |
| Servidor de API do Kubernetes | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (um para o outro) |
Bidirecional | Necessário para a atualização da VM do dispositivo. Verifique se todos os IPs de VM do dispositivo têm conectividade de saída entre si nessas portas. |
| HTTPS | 443 |
private cloud control plane address e appliance VM IPs |
Os IPs de VM do dispositivo precisam de conexão de saída. | Comunicação com a nuvem privada (por exemplo: endereço vCenter VMware e armazenamento de dados vSphere). |
Para obter mais informações, consulte requisitos de rede da ponte de recursos do Azure Arc.
VMware vSphere habilitado para Azure Arc
O VMware vSphere habilitado para Azure Arc também exige:
| Serviço | Porta | URL | Direção | Observações |
|---|---|---|---|---|
| vCenter Server | 443 | URL do vCenter Server | O IP da VM do dispositivo e o ponto de extremidade do painel de controle precisam ter uma conexão de saída. | Usado pelo vCenter Server para se comunicar com a VM do dispositivo e o painel de controle. |
| Extensão de Cluster do VMware | 443 | azureprivatecloud.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de imagens de contêiner para Microsoft.VMWare e Extensão de Cluster Microsoft.AVS. |
| CLI do Azure e Extensões da CLI do Azure | 443 | *.blob.core.windows.net |
O computador de gerenciamento precisa de uma conexão de saída. | Baixe o instalador e a extensões da CLI do Azure. |
| Azure Resource Manager | 443 | management.azure.com |
O computador de gerenciamento precisa de uma conexão de saída. | Necessário para criar/atualizar recursos no Azure usando o ARM. |
| Gráfico do Helm para agentes do Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
O computador de gerenciamento precisa de uma conexão de saída. | Ponto de extremidade do plano de dados para baixar as informações de configuração dos agentes do Arc. |
| CLI do Azure | 443 | - login.microsoftonline.com - aka.ms |
O computador de gerenciamento precisa de uma conexão de saída. | Necessário para buscar e atualizar tokens do Azure Resource Manager. |
Para obter mais informações, consulte Matriz de suporte para VMware vSphere habilitado para Azure Arc.
System Center Virtual Machine Manager habilitado para Azure Arc
O SCVMM (System Center Virtual Machine Manager) habilitado para Azure Arc também exige:
| Serviço | Porta | URL | Direção | Observações |
|---|---|---|---|---|
| Servidor de gerenciamento SCVMM | 443 | URL do servidor de gerenciamento SCVMM | O IP da VM do dispositivo e o ponto de extremidade do painel de controle precisam ter uma conexão de saída. | Usado pelo servidor SCVMM para se comunicar com a VM do dispositivo e o plano de controle. |
Para obter mais informações, consulte Visão geral do System Center Virtual Machine Manager habilitado para Arc.
Pontos de extremidade adicionais
Dependendo do cenário, talvez você precise de conectividade com outras URLs, como as usadas pelo portal do Azure, ferramentas de gerenciamento ou outros serviços do Azure. Em particular, examine estas listas para garantir que haja conectividade com todos os pontos de extremidade necessários: