本文列出了已启用 Azure Arc 的服务和功能所需的终结点、端口和协议。
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
已启用 Azure Arc 的 Kubernetes 终结点
所有基于 Kubernetes 的 Arc 产品/服务都需要连接到基于 Arc Kubernetes 的终结点,包括:
- 已启用 Azure Arc 的 Kubernetes
重要
Azure Arc 代理需要 https://:443 上的以下出站 URL 才能运行。
对于 *.servicebus.chinacloudapi.cn,需要为防火墙和代理上的出站访问启用 websocket。
| 端点 (DNS) | DESCRIPTION |
|---|---|
https://management.chinacloudapi.cn |
代理连接到由世纪互联运营的 Azure 并注册群集所必需的。 |
https://<region>.dp.kubernetesconfiguration.azure.cn |
代理的数据平面终结点,用于推送状态和提取配置信息。 |
https://login.chinacloudapi.cnhttps://<region>.login.chinacloudapi.cnlogin.partner.microsoftonline.cn |
必须获取和更新 Azure 资源管理器的令牌。 |
mcr.azk8s.cn |
拉取 Azure Arc 代理的容器映像所需的终结点。 |
https://gbl.his.arc.azure.cn |
需要用于获取区域终结点,以便拉取系统分配的托管标识证书。 |
https://*.his.arc.azure.cn |
拉取系统分配的托管标识证书时必需。 |
guestnotificationservice.azure.cn*.guestnotificationservice.azure.cnsts.chinacloudapi.cn |
针对基于群集连接和自定义位置的场景。 |
*.servicebus.chinacloudapi.cn |
针对基于群集连接和自定义位置的场景。 |
https://graph.chinacloudapi.cn/ |
在配置 Azure RBAC 时是必需的。 |
*.arc.azure.cn |
在 Azure 门户中管理连接的群集所需的终结点。 |
https://<region>.obo.arc.azure.cn:8084/ |
在配置群集连接功能时是必需的。 |
quay.azk8s.cnregistryk8s.azk8s.cnk8sgcr.azk8s.cnusgcr.azk8s.cndockerhub.azk8s.cn/<repo-name>/<image-name>:<version> |
由世纪互联 VM 运营的 Azure 的容器注册表代理服务器。 |
有关详细信息,请参阅已启用 Azure Arc 的 Kubernetes 的网络要求。
已启用 Azure Arc 的服务器
需要连接到已启用 Arc 的服务器终结点才能使用以下组件:
已启用 Azure Arc 的 Azure Stack (HCI) *
*仅当启用了来宾管理时才需要。
所有基于服务器的 Azure Arc 产品/服务都需要已启用 Azure Arc 的服务器终结点。
网络配置
适用于 Linux 和 Windows 的 Azure Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 默认情况下,代理使用到 Internet 的默认路由来访问 Azure 服务。 如果网络需要代理服务器,可以选择将代理配置为使用代理服务器。 代理服务器不会使 Connected Machine 代理更安全,因为流量已经加密。
若要进一步保护与 Azure Arc 的网络连接,而不是使用公用网络和代理服务器,可以实现 Azure Arc 专用链接范围。
注释
已启用 Azure Arc 的服务器不支持使用 Log Analytics 网关 作为 Connected Machine 代理程序的代理服务器。 同时,Azure Monitor 代理支持 Log Analytics 网关。
如果防火墙或代理服务器限制出站连接,请确保不会阻止此处列出的 URL 和服务标记。
服务标记
请确保允许访问以下服务标记:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter( 如果使用 Windows Admin Center 管理已启用 Azure Arc 的服务器)
有关每个服务标记/区域的 IP 地址列表,请参阅 JSON 文件 - Azure IP 范围和服务标记 - 中国云。 Microsoft发布包含每个 Azure 服务的每周更新及其使用的 IP 范围。 JSON 文件中的信息是对应于每个服务标记的 IP 范围的当前时间点列表。 IP 地址可能会变化。 如果防火墙配置需要 IP 地址范围,请使用 AzureCloud 服务标记允许访问所有 Azure 服务。 不要禁用这些 URL 的安全监视或检查。 允许它们,就像其他 Internet 流量一样。
如果将流量筛选到 AzureArcInfrastructure 服务标记,则必须允许访问整个服务标记范围。 为这些终结点解析的特定 IP 地址可能会在记录范围内随时间而变化。 因此,使用查找工具识别特定终结点的当前 IP 地址,并允许仅访问该 IP 地址不足以确保可靠的访问。
有关详细信息,请参阅虚拟网络服务标记。
重要
若要按 Azure 政府或由世纪互联运营的 Azure Microsoft IP 地址筛选流量,除了使用AzureArcInfrastructure云的服务标记外,还要从 AzureArcInfrastructure Azure 公有云的服务标记中添加 IP 地址。 2025 年 10 月 28 日之后,需要为 Azure 公有云添加 AzureArcInfrastructure 服务标记,并且不再支持由世纪互联运营的 Azure 政府和 Microsoft Azure 的服务标记。
网址
下表列出了必须可用于安装和使用 Connected Machine 代理的 URL。
| 代理资源 | DESCRIPTION | 需要时 |
|---|---|---|
download.microsoft.com |
用于下载 Windows 安装包。 | 仅在安装时。1 |
packages.microsoft.com |
用于下载 Linux 安装包。 | 仅在安装时。1 |
login.chinacloudapi.cn |
Microsoft Entra ID。 | 总是。 |
login.partner.microsoftonline.cn |
Microsoft Entra ID。 | 总是。 |
pas.chinacloudapi.cn |
Microsoft Entra ID。 | 总是。 |
management.chinacloudapi.cn |
Azure 资源管理器用于创建或删除 Azure Arc 服务器资源。 | 仅当连接或断开服务器时。 |
*.his.arc.azure.cn |
元数据和混合标识服务。 | 总是。 |
*.guestconfiguration.azure.cn |
扩展管理和来宾配置服务。 | 总是。 |
guestnotificationservice.azure.cn、*.guestnotificationservice.azure.cn |
提供用于扩展功能和连接场景的通知服务。 | 总是。 |
azgn*.servicebus.chinacloudapi.cn |
提供用于扩展功能和连接场景的通知服务。 | 总是。 |
*.servicebus.chinacloudapi.cn |
对于 Windows Admin Center 和 SSH 场景。 | 如果使用来自 Azure 的 SSH 或 Windows Admin Center。 |
*.blob.core.chinacloudapi.cn |
下载 Azure Arc 启用的服务器扩展的源文件。 | 始终如此,除非您使用专用终结点。 |
dc.applicationinsights.azure.cn |
代理遥测。 | 可选。 代理版本 1.24+ 中未使用。 |
1 自动更新时也需要访问此 URL。
加密协议
为了确保传输到 Azure 的数据的安全性,强烈建议将计算机配置为使用 TLS 1.2 和 1.3。 发现较旧版本的 TLS/安全套接字层(SSL)易受攻击。 尽管它们目前仍可用于允许向后兼容性,但 不建议这样做。
从连接计算机代理版本 1.56(仅限 Windows)开始,必须至少为建议的 TLS 版本之一配置以下密码套件:
TLS 1.3 (按服务器首选顺序排列的套件):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (等同于 15360 位 RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 位 RSA) FS
TLS 1.2 (按服务器首选顺序排列的套件):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1(相当于15360 位 RSA)FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 位 RSA) FS
有关详细信息,请参阅 Windows TLS 配置问题。
| 平台/语言 | 支持 | 详细信息 |
|---|---|---|
| Linux | Linux 分发版往往依赖于 OpenSSL 来提供 TLS 1.2 支持。 | 检查 OpenSSL 更改日志 ,确认是否支持 OpenSSL 版本。 |
| Windows Server 2012 R2 和更高版本 | 默认情况下已支持且已启用。 | 确认你仍在使用 默认设置。 |
| Windows Server 2012 | 部分支持。 不推荐。 | 某些终结点仍然有效,但其他终结点需要 TLS 1.2 或更高版本,这在 Windows Server 2012 上不可用。 |
仅限适用于 ESU 的终结点子集
如果将已启用 Azure Arc 的服务器仅用于以下任一产品或两种产品的扩展安全更新:
- Windows Server 2012
- SQL Server 2012
注释
目前,适用于 Windows Server 2012 扩展安全更新的已启用 Azure Arc 的服务器目前在世纪互联区域运营的 Azure 中不可用。
有关详细信息,请参阅 Connected Machine 代理网络要求。
额外端点
根据你的方案,可能需要连接到其他 URL,例如 Azure 门户、管理工具或其他 Azure 服务使用的 URL。 具体而言,请查看这些列表,以确保允许连接到任何必要的终结点: