Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
本文列出了启用Azure Arc服务和功能的终结点、端口和协议。
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
已启用Azure Arc的 Kubernetes 终结点
所有基于 Kubernetes 的 Arc 产品/服务都需要连接到基于 Arc Kubernetes 的终结点,包括:
- 已启用Azure Arc的 Kubernetes
- 由世纪互联运营的 Azure
重要
Azure Arc代理需要在 https://:443 上运行以下出站 URL。
对于 *.servicebus.chinacloudapi.cn,需要为防火墙和代理上的出站访问启用 websocket。
| 端点 (DNS) | DESCRIPTION |
|---|---|
https://management.chinacloudapi.cn |
代理连接到由世纪互联运营的Azure并注册群集所必需的。 |
https://<region>.dp.kubernetesconfiguration.azure.cn |
代理的数据平面终结点,用于推送状态和提取配置信息。 |
https://login.chinacloudapi.cnhttps://<region>.login.chinacloudapi.cnlogin.partner.microsoftonline.cn |
提取和更新Azure 资源管理器令牌所必需的。 |
mcr.azk8s.cn |
拉取Azure Arc代理的容器映像所必需的。 |
https://gbl.his.arc.azure.cn |
需要用于获取区域终结点,以便拉取系统分配的托管标识证书。 |
https://*.his.arc.azure.cn |
拉取系统分配的托管标识证书时必需。 |
guestnotificationservice.azure.cn*.guestnotificationservice.azure.cnsts.chinacloudapi.cn |
针对基于群集连接和自定义位置的场景。 |
*.servicebus.chinacloudapi.cn |
针对基于群集连接和自定义位置的场景。 |
https://graph.chinacloudapi.cn/ |
配置 Azure RBAC 时是必需的。 |
*.arc.azure.cn |
在 Azure 门户中管理连接的群集所必需的。 |
https://<region>.obo.arc.azure.cn:8084/ |
在配置群集连接功能时是必需的。 |
quay.azk8s.cnregistryk8s.azk8s.cnk8sgcr.azk8s.cnusgcr.azk8s.cndockerhub.azk8s.cn/<repo-name>/<image-name>:<version> |
由世纪互联 VM 运营Azure的容器注册表代理服务器。 |
有关详细信息,请参阅已启用 Azure Arc 的 Kubernetes 网络要求。
已启用Azure Arc的服务器
需要连接到已启用 Arc 的服务器终结点才能使用以下组件:
已启用 Azure Arc Azure Stack (HCI) *
*仅当启用了来宾管理时才需要。
所有基于服务器的Azure Arc产品/服务都需要启用Azure Arc的服务器终结点。
网络配置
适用于 Linux 的 Azure Connected Machine 代理,Windows通过 TCP 端口 443 安全地与Azure Arc通信。 默认情况下,代理使用到 Internet 的默认路由来访问Azure服务。 如果网络需要代理服务器,可以选择将代理配置为使用代理服务器。 代理服务器不会使 Connected Machine 代理更安全,因为流量已经加密。
若要进一步保护与Azure Arc的网络连接,而不是使用公用网络和代理服务器,可以实现Azure Arc专用链接范围。
注释
启用Azure Arc的服务器不支持将 Log Analytics 网关用作 Connected Machine 代理的代理。 同时,Azure Monitor代理支持Log Analytics网关。
如果防火墙或代理服务器限制出站连接,请确保不会阻止此处列出的 URL 和服务标记。
服务标记
请确保允许访问以下服务标记:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
AzureFrontDoor.Frontend(自2026年4月起要求) -
WindowsAdminCenter(如果使用Windows Admin Center来管理启用Azure Arc的服务器)
有关每个服务标记/区域的 IP 地址列表,请参阅 JSON 文件Azure IP 范围和服务标记 - 中国云。 Microsoft发布每周更新,其中包含每个Azure服务及其使用的 IP 范围。 JSON 文件中的信息是对应于每个服务标记的 IP 范围的当前时间点列表。 IP 地址可能会变化。 如果防火墙配置需要 IP 地址范围,请使用 AzureCloud 服务标记允许访问所有Azure服务。 不要禁用这些 URL 的安全监视或检查。 允许它们,就像其他 Internet 流量一样。
如果将流量筛选到 AzureArcInfrastructure 服务标记,则必须允许访问整个服务标记范围。 为这些终结点解析的特定 IP 地址可能会在记录范围内随时间而变化。 因此,使用查找工具识别特定终结点的当前 IP 地址,并允许仅访问该 IP 地址不足以确保可靠的访问。
有关详细信息,请参阅虚拟网络服务标记。
重要
若要根据世纪互联运营的Azure 政府或Microsoft Azure中的 IP 地址筛选流量,除了为云使用 AzureArcInfrastructure 服务标记外,还要从 Azure 公有云的 AzureArcInfrastructure 服务标记中添加 IP 地址。 2025 年 10 月 28 日之后,将不再需要为 Azure 公有云添加 AzureArcInfrastructure 服务标记,并且世纪互联运营的 Azure 政府 和 Microsoft Azure 的服务标记将不再受支持。
网址
下表列出了必须可用于安装和使用 Connected Machine 代理的 URL。
- 由世纪互联运营的 Azure
| 代理资源 | DESCRIPTION | 需要时 |
|---|---|---|
download.microsoft.com |
用于下载Windows安装包。 | 仅在安装时。1 |
packages.microsoft.com |
用于下载 Linux 安装包。 | 仅在安装时。1 |
login.chinacloudapi.cn |
Microsoft Entra ID。 | 总是。 |
login.partner.microsoftonline.cn |
Microsoft Entra ID。 | 总是。 |
pas.chinacloudapi.cn |
Microsoft Entra ID。 | 总是。 |
management.chinacloudapi.cn |
Azure 资源管理器用于创建或删除Azure Arc服务器资源。 | 仅当连接或断开服务器时。 |
*.his.arc.azure.cn |
元数据和混合标识服务。 | 总是。 |
*.guestconfiguration.azure.cn |
扩展管理和来宾配置服务。 | 总是。 |
guestnotificationservice.azure.cn、*.guestnotificationservice.azure.cn |
提供用于扩展功能和连接场景的通知服务。 | 总是。 |
azgn*.servicebus.chinacloudapi.cn |
提供用于扩展功能和连接场景的通知服务。 | 总是。 |
*.servicebus.chinacloudapi.cn |
对于Windows Admin Center和 SSH 方案。 | 如果使用 SSH 或从Azure Windows Admin Center。 |
*.blob.core.chinacloudapi.cn |
下载已启用Azure Arc的服务器扩展的源。 | 始终如此,除非您使用专用终结点。 |
dc.applicationinsights.azure.cn |
代理遥测。 | 可选。 代理版本 1.24+ 中未使用。 |
1 自动更新时也需要访问此 URL。
加密协议
为了确保传输到Azure的数据的安全性,强烈建议将计算机配置为使用 TLS 1.2 和 1.3。 发现较旧版本的 TLS/安全套接字层(SSL)易受攻击。 尽管它们目前仍可用于允许向后兼容性,但 不建议这样做。
从连接计算机代理版本 1.56 开始(仅Windows),必须至少为其中一个建议的 TLS 版本配置以下密码套件:
TLS 1.3 (按服务器首选顺序排列的套件):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (等同于 15360 位 RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 位 RSA) FS
TLS 1.2 (按服务器首选顺序排列的套件):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1(相当于15360 位 RSA)FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 位 RSA) FS
有关详细信息,请参阅 Windows TLS 配置问题。
| 平台/语言 | 支持 | 详细信息 |
|---|---|---|
| Linux | Linux 分发版往往依赖于 OpenSSL 来提供 TLS 1.2 支持。 | 检查 OpenSSL 更改日志 ,确认是否支持 OpenSSL 版本。 |
| Windows Server 2012 R2 及更高版本 | 默认情况下已支持且已启用。 | 确认你仍在使用 默认设置。 |
| Windows Server 2012 | 部分支持。 不推荐。 | 某些终结点仍然有效,但其他终结点需要 TLS 1.2 或更高版本,Windows Server 2012上不可用。 |
仅限适用于 ESU 的终结点子集
如果将Azure Arc启用的服务器仅用于以下任一产品或两种产品的扩展安全更新:
- Windows Server 2012
- SQL Server 2012
- 由世纪互联运营的 Microsoft Azure
注释
Azure Arc为Windows Server 2012扩展安全更新使用的已启用Azure Arc的服务器目前在世纪互联区域运营的Azure不可用。
有关详细信息,请参阅 Connected Machine 代理网络要求。
额外端点
根据你的方案,可能需要连接到其他 URL,例如Azure门户、管理工具或其他Azure服务所使用的 URL。 具体而言,请查看这些列表,以确保允许连接到任何必要的终结点: