你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文列出了已启用 Azure Arc 的服务和功能所需的终结点、端口和协议。
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
提示
对于 Azure 公有云,可以使用已启用 Arc 的服务器或已启用 Arc 的 Kubernetes 的 Azure Arc 网关减少所需的终结点数。
已启用 Azure Arc 的 Kubernetes 终结点
所有基于 Kubernetes 的 Arc 产品/服务都需要连接到基于 Arc Kubernetes 的终结点,包括:
- 已启用 Azure Arc 的 Kubernetes
- Azure Arc 上的 Azure 容器应用
- 已启用 Azure Arc 的机器学习
- 已启用 Azure Arc 的数据服务(仅限直接连接模式)
重要
Azure Arc 代理需要 https://:443 上的以下出站 URL 才能运行。
对于 *.servicebus.windows.net,需要为防火墙和代理上的出站访问启用 websocket。
| 终结点 (DNS) | 说明 |
|---|---|
https://management.azure.com |
代理需要该终结点才可连接到 Azure 并注册群集。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
代理的数据平面终结点,用于推送状态和提取配置信息。 |
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.net |
提取和更新 Azure 资源管理器令牌所需的终结点。 |
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.com |
拉取 Azure Arc 代理的容器映像所需的终结点。 |
dl.k8s.io |
在 Azure CLI connectedk8s 扩展的 Azure Arc 载入过程中下载 kubectl 二进制文件是必需的。 |
https://gbl.his.arc.azure.com |
需要用于获取区域终结点,以便拉取系统分配的托管标识证书。 |
https://*.his.arc.azure.com |
拉取系统分配的托管标识证书时必需。 |
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.net |
针对基于连接和位置的场景。 |
*.servicebus.windows.net |
针对基于连接和位置的场景。 |
https://graph.microsoft.com/ |
在配置 Azure RBAC 时是必需的。 |
*.arc.azure.net |
在 Azure 门户中管理连接的群集时是必需的。 |
https://<region>.obo.arc.azure.com:8084/ |
配置群集连接和 Azure RBAC 时是必需的。 |
https://linuxgeneva-microsoft.azurecr.io |
如果使用已启用 Azure Arc 的 Kubernetes 扩展,则必需。 |
若要将 *.servicebus.windows.net 通配符转换为特定终结点,请使用以下命令:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
要获取区域终结点的区域段,请从 Azure 区域名称中删除所有空格。 例如,“美国东部 2”区域,区域名称为 。
例如:*.<region>.arcdataservices.com 应位于“美国东部 2”区域中的 *.eastus2.arcdataservices.com。
要查看所有区域的列表,请运行以下命令:
az account list-locations -o table
Get-AzLocation | Format-Table
有关详细信息,请参阅已启用 Azure Arc 的 Kubernetes 的网络要求。
已启用 Azure Arc 的数据服务
本部分介绍特定于已启用 Azure Arc 的数据服务的要求,以及上面列出的已启用 Arc 的 Kubernetes 终结点。
| 服务 | 端口 | URL | 方向 | 说明 |
|---|---|---|---|---|
| Helm 图表(仅限直接连接模式) | 443 | arcdataservicesrow1.azurecr.ioarcdataservicesrow2.azurecr.io*.blob.core.windows.net |
出站 | 预配 Azure Arc 数据控制器引导程序和群集级别对象(例如,自定义资源定义、群集角色和群集角色绑定),从 Azure 容器注册表中拉取。 |
| Azure monitor API1 | 443 | *.ods.opinsights.azure.com*.oms.opinsights.azure.com*.monitoring.azure.com |
出站 | Azure Data Studio 和 Azure CLI 连接到 Azure 资源管理器 API,以在 Azure 中传输和检索数据,从而获取某些功能。 请参阅Azure Monitor API。 |
| Azure Arc 数据处理服务1 | 443 |
*.<region>.arcdataservices.com
2 |
出站 |
1 要求取决于部署模式:
- 对于直接模式,Kubernetes 群集上的控制器 Pod 需要与终结点建立出站连接,以将日志、指标、清单和计费信息发送到 Azure Monitor/数据处理服务。
- 对于间接模式,运行
az arcdata dc upload的计算机需要与 Azure Monitor 和数据处理服务建立出站连接。
2 对于 2024 年 2 月 13 日及包括 2024 年 2 月 13 日在内的扩展版本,请使用 san-af-<region>-prod.azurewebsites.net。
Azure Monitor API
从 Azure Data Studio 到 Kubernetes API 服务器的连接使用你已建立的 Kubernetes 身份验证和加密。 使用 Azure Data Studio 或 CLI 的每个用户必须与 Kubernetes API 建立经过身份验证的连接,才能执行与已启用 Azure Arc 的数据服务相关的许多作。
有关详细信息,请参阅连接模式和要求。
已启用 Azure Arc 的服务器
需要连接到已启用 Arc 的服务器终结点才能使用以下组件:
已启用 Azure Arc 的 SQL Server
已启用 Azure Arc 的 VMware vSphere *
已启用 Azure Arc 的 System Center Virtual Machine Manager *
已启用 Azure Arc 的 Azure Stack (HCI) *
*仅当启用了来宾管理时才需要。
所有基于服务器的 Azure Arc 产品/服务都需要已启用 Azure Arc 的服务器终结点。
网络配置
适用于 Linux 和 Windows 的 Azure Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 默认情况下,代理使用到 Internet 的默认路由来访问 Azure 服务。 如果网络需要代理服务器,可以选择将代理配置为使用代理服务器。 由于流量已加密,代理服务器使 Connected Machine 代理更安全。
若要进一步保护与 Azure Arc 的网络连接,而不是使用公用网络和代理服务器,可以实现 Azure Arc 专用链接范围。
注意
已启用 Azure Arc 的服务器不支持将 Log Analytics 网关 用作 Connected Machine 代理的代理。 同时,Azure Monitor 代理支持 Log Analytics 网关。
如果防火墙或代理服务器限制出站连接,请确保不会阻止此处列出的 URL 和服务标记。
服务标记
请务必允许访问以下服务标记:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter( 如果使用 Windows Admin Center 管理已启用 Azure Arc 的服务器)
有关每个服务标记/区域的 IP 地址列表,请参阅 JSON 文件 Azure IP 范围和服务标记 - 公有云。 Microsoft发布包含每个 Azure 服务的每周更新及其使用的 IP 范围。 JSON 文件中的信息是对应于每个服务标记的 IP 范围的当前时间点列表。 IP 地址可能会变化。 如果防火墙配置需要 IP 地址范围,请使用 AzureCloud 服务标记允许访问所有 Azure 服务。 不要禁用这些 URL 的安全监视或检查。 允许它们,就像其他 Internet 流量一样。
如果筛选到服务标记的 AzureArcInfrastructure 流量,则必须允许流量流向整个服务标记范围。 例如, AzureArcInfrastructure.AustraliaEast为各个区域播发的区域不包括服务全局组件使用的 IP 范围。 为这些终结点解析的特定 IP 地址可能会在记录范围内随时间而变化。 因此,使用查找工具识别特定终结点的当前 IP 地址,并允许仅访问该 IP 地址不足以确保可靠的访问。
有关详细信息,请参阅虚拟网络服务标记。
重要
若要按 Azure 政府或世纪互联运营的 Azure 中的 IP 地址筛选流量,除了使用AzureArcInfrastructure云的服务标记外,还要从 AzureArcInfrastructure Azure 公有云的服务标记中添加 IP 地址。 2025 年 10 月 28 日之后,需要为 Azure 公有云添加 AzureArcInfrastructure 服务标记,并且不再支持由世纪互联运营的 Azure 政府和 Azure 的服务标记。
URL
下表列出了必须可用于安装和使用 Connected Machine 代理的 URL。
注意
将 Connected Machine 代理配置为通过专用链接与 Azure 通信时,仍必须通过 Internet 访问某些终结点。 下表中 支持专用链接 的列显示了可以使用专用终结点配置的终结点。 如果某个终结点的列显示“公共”,则仍必须允许通过组织的防火墙和/或代理服务器访问该终结点,以便代理正常运行。 如果分配了专用链接范围,则通过专用终结点路由网络流量。
| 代理资源 | 说明 | 需要时 | 支持专用链接 |
|---|---|---|---|
download.microsoft.com |
用于下载 Windows 安装包。 | 仅在安装时。1 | 公共。 |
packages.microsoft.com |
用于下载 Linux 安装包。 | 仅在安装时。1 | 公共。 |
login.microsoftonline.com |
Microsoft Entra ID。 | 总是。 | 公共。 |
*.login.microsoft.com |
Microsoft Entra ID。 | 总是。 | 公共。 |
pas.windows.net |
Microsoft Entra ID。 | 总是。 | 公共。 |
management.azure.com |
Azure 资源管理器用于创建或删除 Azure Arc 服务器资源。 | 仅当连接或断开服务器时。 | 公共,除非还配置 了资源管理专用链接 。 |
*.his.arc.azure.com |
元数据和混合标识服务。 | 总是。 | 私人。 |
*.guestconfiguration.azure.com |
扩展管理和来宾配置服务。 | 总是。 | 私人。 |
guestnotificationservice.azure.com、*.guestnotificationservice.azure.com |
扩展和连接方案的通知服务。 | 总是。 | 公共。 |
azgn*.servicebus.windows.net 或 *.servicebus.windows.net |
扩展和连接方案的通知服务。 | 总是。 | 公共。 |
*.servicebus.windows.net |
对于 Windows Admin Center 和安全外壳(SSH)方案。 | 如果使用来自 Azure 的 SSH 或 Windows Admin Center。 | 公共。 |
*.waconazure.com |
对于 Windows Admin Center 连接。 | 如果使用 Windows Admin Center。 | 公共。 |
*.blob.core.windows.net |
下载已启用 Azure Arc 的服务器扩展的源。 | 始终,除非使用专用终结点。 | 配置专用链接时不使用。 |
dc.services.visualstudio.com |
代理遥测。 | 可选。 代理版本 1.24+ 中未使用。 | 公共。 |
*.<region>.arcdataservices.com
2 |
对于已启用 Azure Arc 的 SQL Server。 将数据处理服务、服务遥测和性能监视发送到 Azure。 仅允许传输层安全性 (TLS) 1.2 或 1.3。 | 如果使用已启用 Azure Arc 的 SQL Server。 | 公共。 |
https://<azure-keyvault-name>.vault.azure.net/、 https://graph.microsoft.com/2 |
对于Microsoft已启用 Azure Arc 的 SQL Server 的 Entra 身份验证。 | 如果使用已启用 Azure Arc 的 SQL Server。 | 公共。 |
www.microsoft.com/pkiops/certs |
扩展安全更新的中间证书更新(使用 HTTP/TCP 80 和 HTTPS/TCP 443)。 | 如果使用由 Azure Arc 启用的扩展安全更新。自动更新或手动下载证书时,始终需要临时更新。 | 公共。 |
dls.microsoft.com |
由 Azure Arc 计算机用来执行许可证验证。 | 在已启用 Azure Arc 的计算机上使用热修补、Windows Server Azure 权益或 Windows Server 即用即付计费时是必需的。 | 公共。 |
自动 执行更新时,还需要访问此 URL。
2 有关收集和发送的信息的详细信息,请查看 Azure Arc 启用的 SQL Server 的数据收集和报告。
对于 2024 年 2 月 13 日及包括 2024 年 2 月 13 日在内的扩展版本,请使用 san-af-<region>-prod.azurewebsites.net。 从 2024 年 3 月 12 日开始,Azure Arc 数据处理和 Azure Arc 数据遥测都使用 *.<region>.arcdataservices.com。
注意
若要将 *.servicebus.windows.net 通配符转换为特定终结点,请使用命令 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>。 在这个命令中,必须为 <region> 占位符指定区域。 这些终结点可能会定期更改。
要获取区域终结点的区域段,请从 Azure 区域名称中删除所有空格。 例如,“美国东部 2”区域,区域名称为 。
例如:*.<region>.arcdataservices.com 应位于“美国东部 2”区域中的 *.eastus2.arcdataservices.com。
要查看所有区域的列表,请运行以下命令:
az account list-locations -o table
Get-AzLocation | Format-Table
加密协议
为了确保传输到 Azure 的数据的安全性,强烈建议将计算机配置为使用 TLS 1.2 和 1.3。 发现较旧版本的 TLS/安全套接字层(SSL)易受攻击。 尽管它们目前仍可用于允许向后兼容性,但 不建议这样做。
从连接计算机代理版本 1.56(仅限 Windows)开始,必须至少为建议的 TLS 版本之一配置以下密码套件:
TLS 1.3 (按服务器首选顺序排列的套件):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 位 RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 位 RSA) FS
TLS 1.2 (按服务器首选顺序排列的套件):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15360 位 RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 位 RSA) FS
有关详细信息,请参阅 Windows TLS 配置问题。
Azure Arc 终结点 *.\<region\>.arcdataservices.com 启用的 SQL Server 仅支持 TLS 1.2 和 1.3。 只有 Windows Server 2012 R2 及更高版本才支持 TLS 1.2。 Windows Server 2012 或 Windows Server 2012 R2 不支持由 Azure Arc 遥测终结点启用的 SQL Server。
| 平台/语言 | 支持 | 详细信息 |
|---|---|---|
| Linux | Linux 分发版往往依赖于 OpenSSL 来提供 TLS 1.2 支持。 | 检查 OpenSSL 更改日志 ,确认是否支持 OpenSSL 版本。 |
| Windows Server 2012 R2 和更高版本 | 默认情况下支持和启用。 | 确认你仍在使用 默认设置。 |
| Windows Server 2012 | 部分支持。 不推荐。 | 某些终结点仍然有效,但其他终结点需要 TLS 1.2 或更高版本,这在 Windows Server 2012 上不可用。 |
仅限 ESU 的终结点子集
如果将已启用 Azure Arc 的服务器仅用于以下任一产品或两种产品的扩展安全更新:
- Windows Server 2012
- SQL Server 2012
可以启用以下终结点子集。
| 代理资源 | 说明 | 需要时 | 与专用链接一起使用的终结点 |
|---|---|---|---|
download.microsoft.com |
用于下载 Windows 安装包。 | 仅在安装时。1 | 公共。 |
login.windows.net |
Microsoft Entra ID。 | 总是。 | 公共。 |
login.microsoftonline.com |
Microsoft Entra ID。 | 总是。 | 公共。 |
*.login.microsoft.com |
Microsoft Entra ID。 | 总是。 | 公共。 |
management.azure.com |
Azure 资源管理器用于创建或删除 Azure Arc 服务器资源。 | 仅当连接或断开服务器时。 | 公共,除非还配置 了资源管理专用链接 。 |
*.his.arc.azure.com |
元数据和混合标识服务。 | 总是。 | 私人。 |
*.guestconfiguration.azure.com |
扩展管理和来宾配置服务。 | 总是。 | 私人。 |
www.microsoft.com/pkiops/certs |
扩展安全更新的中间证书更新(使用 HTTP/TCP 80 和 HTTPS/TCP 443)。 | 始终为自动更新,或者手动下载证书时暂时执行。 | 公共。 |
*.<region>.arcdataservices.com |
Azure Arc 数据处理服务和服务遥测。 | SQL Server 扩展安全更新。 | 公共。 |
*.blob.core.windows.net |
下载 SQL Server 扩展包。 | SQL Server 扩展安全更新。 | 如果使用 Azure 专用链接,则不需要。 |
1 自动执行更新时,还需要访问此 URL。
有关详细信息,请参阅 Connected Machine 代理网络要求。
Azure Arc 资源网桥
本部分介绍特定于在企业中部署 Azure Arc 资源网桥的其他网络要求。 这些要求也适用于已启用 Azure Arc 的 VMware vSphere 和已启用 Azure Arc 的 System Center Virtual Machine Manager。
出站连接性要求
必须允许以下防火墙和代理 URL,才能启用从管理计算机、Arc 资源网桥 VM(最初部署)、Arc 资源桥 VM 2(升级使用其他 VM IP 创建新 VM)以及控制平面 IP 到所需的 Arc 资源网桥 URL 的通信。
重要
载入 Arc 资源桥时,必须为设备 VM 提供两个 IP 地址。 这些指定为以下任一项:
- IP 范围
- 两个单独的 IP(每个 VM 一个)
若要确保升级成功,所有设备 VM IP 必须具有对所需 URL 的出站访问权限。 请确保这些 URL 已列入网络允许列表。
防火墙/代理 URL 允许列表
| 服务 | 端口 | URL | 方向 | 说明 |
|---|---|---|---|---|
| SFS API 终结点 | 443 | msk8s.api.cdp.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 从 SFS 下载产品目录、产品位和 OS 映像。 |
| 资源网桥(设备)映像下载 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 下载 Arc 资源网桥 OS 映像。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 发现 Arc 资源网桥的容器映像。 |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 下载 Arc 资源网桥的容器映像。 |
| Windows NTP 服务器 | 123 | time.windows.com |
管理计算机和设备 VM IP(如果 Hyper-V 默认值为 Windows NTP)需要在 UDP 上建立出站连接 | 设备 VM 和管理计算机 (Windows NTP) 中的 OS 时间同步。 |
| Azure Resource Manager | 443 | management.azure.com |
管理计算机和设备 VM IP 需要出站连接。 | 管理 Azure 中的资源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | Azure RBAC 所需。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
| Azure Resource Manager | 443 | login.windows.net |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
| 资源网桥(设备)数据平面服务 | 443 | *.dp.prod.appliances.azure.com |
设备 VM IP 需要出站连接。 | 与 Azure 中的资源提供程序通信。 |
| 资源网桥(设备)容器映像下载 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
设备 VM IP 需要出站连接。 | 需拉取容器映像。 |
| 托管标识 | 443 | *.his.arc.azure.com |
设备 VM IP 需要出站连接。 | 拉取系统分配的托管标识证书时必需。 |
| Azure Arc for Kubernetes 容器映像下载 | 443 | azurearcfork8s.azurecr.io |
设备 VM IP 需要出站连接。 | 拉取容器映像。 |
| ADHS 遥测服务 | 443 | adhs.events.data.microsoft.com |
设备 VM IP 需要出站连接。 | 定期从设备 VM 发送 Microsoft 所需的诊断数据。 |
| Microsoft 事件数据服务 | 443 | v20.events.data.microsoft.com |
设备 VM IP 需要出站连接。 | 从 Windows 发送诊断数据。 |
| Arc 资源网桥的日志收集 | 443 | linuxgeneva-microsoft.azurecr.io |
设备 VM IP 需要出站连接。 | 为设备托管组件推送日志。 |
| 资源网桥组件下载 | 443 | kvamanagementoperator.azurecr.io |
设备 VM IP 需要出站连接。 | 为设备托管组件拉取项目。 |
| Microsoft 开放源代码包管理器 | 443 | packages.microsoft.com |
设备 VM IP 需要出站连接。 | 下载 Linux 安装包。 |
| 自定义位置 | 443 | sts.windows.net |
设备 VM IP 需要出站连接。 | 自定义位置时必需。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
设备 VM IP 需要出站连接。 | 使用 Azure Arc 时必需。 |
| 诊断数据 | 443 | gcs.prod.monitoring.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
| 诊断数据 | 443 | *.prod.microsoftmetrics.com |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
| 诊断数据 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
| 诊断数据 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
| Azure 门户 | 443 | *.arc.azure.net |
设备 VM IP 需要出站连接。 | 从 Azure 门户管理群集。 |
| Azure 服务总线 | 443 | *.servicebus.windows.net |
设备 VM IP 需要出站连接。 必须允许出站 WebSocket (wss://) 连接。 | 启用安全控制通道。 |
| Azure CLI | 443 | *.blob.core.windows.net |
管理计算机需要出站连接。 | 下载 Azure CLI 安装程序。 |
| Arc 扩展 | 443 | *.web.core.windows.net |
管理计算机需要出站连接。 | 下载 Arc 资源桥扩展。 |
| Azure Arc 代理 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理计算机需要出站连接。 | 用于 Arc 代理的数据平面。 |
| Python 包 | 443 |
pypi.org、*.pypi.org |
管理计算机需要出站连接。 | 验证 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 |
pythonhosted.org、*.pythonhosted.org |
管理计算机需要出站连接。 | 用于 Azure CLI 安装的 Python 包。 |
入站连接性要求
必须在管理计算机、设备 VM IP 和控制平面 IP 中允许以下端口之间的通信。 确保这些端口已打开,并且流量不会通过代理路由,以便于部署和维护 Arc 资源网桥。
重要
在载入期间,必须为 Arc Resource Bridge 设备 VM 提供两个 IP 地址,无论是范围还是两个单个 IP。 若要成功部署、作和升级,请执行以下作:
- 确保允许在管理计算机、设备 VM IP 和控制平面 IP 之间通过下面列出的所需端口进行通信。
- 不要通过这些连接的代理路由流量。
| 服务 | 端口 | IP/计算机 | 方向 | 说明 |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs 和 Management machine |
双向 | 管理计算机将出站连接到设备 VM IP。 设备 VM IP 必须允许入站连接。 |
| Kubernetes API 服务器 | 6443 |
appliance VM IPs 和 Management machine |
双向 | 管理计算机将出站连接到设备 VM IP。 设备 VM IP 必须允许入站连接。 |
| SSH | 22 |
control plane IP 和 Management machine |
双向 | 用于部署和维护设备 VM。 |
| Kubernetes API 服务器 | 6443 |
control plane IP 和 Management machine |
双向 | 设备 VM 的管理。 |
| HTTPS | 443 |
private cloud control plane address 和 Management machine |
管理计算机需要出站连接。 | 与私有云(例如 VMware vCenter 地址和 vSphere 数据存储)通信。 |
| Kubernetes API 服务器 | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (彼此) |
双向 | 设备 VM 升级需要。 确保所有设备 VM IP 都通过这些端口相互建立出站连接。 |
| HTTPS | 443 |
private cloud control plane address 和 appliance VM IPs |
设备 VM IP 需要出站连接。 | 与私有云(例如 VMware vCenter 地址和 vSphere 数据存储)通信。 |
有关详细信息,请参阅 Azure Arc 资源网桥的网络要求。
已启用 Azure Arc 的 VMware vSphere
已启用 Azure Arc 的 VMware vSphere 还需要:
| 服务 | 端口 | URL | 方向 | 说明 |
|---|---|---|---|---|
| vCenter Server | 443 | vCenter 服务器的 URL | 设备 VM IP 和控制平面终结点需要出站连接。 | 由 vCenter 服务器用来与设备 VM 和控制平面通信。 |
| VMware 群集扩展 | 443 | azureprivatecloud.azurecr.io |
设备 VM IP 需要出站连接。 | 拉取 Microsoft.VMWare 和 Microsoft.AVS 群集扩展的容器映像。 |
| Azure CLI 和 Azure CLI 扩展 | 443 | *.blob.core.windows.net |
管理计算机需要出站连接。 | 下载 Azure CLI 安装程序和 Azure CLI 扩展。 |
| Azure Resource Manager | 443 | management.azure.com |
管理计算机需要出站连接。 | 在 Azure 中使用 ARM 创建/更新资源时需要。 |
| Azure Arc 代理的 Helm 图表 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理计算机需要出站连接。 | 用于下载 Arc 代理配置信息的数据平面终结点。 |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
管理计算机需要出站连接。 | 提取和更新 Azure 资源管理器令牌所需的终结点。 |
有关详细信息,请参阅 已启用 Azure Arc 的 VMware vSphere 的支持矩阵。
已启用 Azure Arc 的 System Center Virtual Machine Manager
已启用 Azure Arc 的 System Center Virtual Machine Manager(SCVMM)还需要:
| 服务 | 端口 | URL | 方向 | 说明 |
|---|---|---|---|---|
| SCVMM 管理服务器 | 443 | SCVMM 管理服务器的 URL | 设备 VM IP 和控制平面终结点需要出站连接。 | 由 SCVMM 服务器用来与设备 VM 和控制平面通信。 |
有关详细信息,请参阅 已启用 Arc 的 System Center Virtual Machine Manager 概述。
额外终结点
根据你的方案,可能需要连接到其他 URL,例如 Azure 门户、管理工具或其他 Azure 服务使用的 URL。 具体而言,请查看这些列表,以确保允许连接到任何必要的终结点: