Azure Arc 网络要求
本文列出了已启用 Azure Arc 的服务和功能所需的终结点、端口和协议。
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
已启用 Azure Arc 的 Kubernetes 终结点
所有基于 Kubernetes 的 Arc 产品/服务都需要连接到基于 Arc Kubernetes 的终结点,包括:
- 已启用 Azure Arc 的 Kubernetes
重要
Azure Arc 代理需要 https://:443 上的以下出站 URL 才能运行。
对于 *.servicebus.chinacloudapi.cn,需要为防火墙和代理上的出站访问启用 websocket。
| 终结点 (DNS) | 说明 |
|---|---|
https://management.chinacloudapi.cn |
代理需要该终结点才能连接到由世纪互联运营的 Azure 并注册群集。 |
https://<region>.dp.kubernetesconfiguration.azure.cn |
代理的数据平面终结点,用于推送状态和提取配置信息。 |
https://login.chinacloudapi.cnhttps://<region>.login.chinacloudapi.cnlogin.partner.microsoftonline.cn |
提取和更新 Azure 资源管理器令牌所需的终结点。 |
mcr.azk8s.cn |
拉取 Azure Arc 代理的容器映像所需的终结点。 |
https://gbl.his.arc.azure.cn |
需要用于获取区域终结点,以便拉取系统分配的托管标识证书。 |
https://*.his.arc.azure.cn |
拉取系统分配的托管标识证书时必需。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 使用 Helm 3 在 Kubernetes 群集上部署 Azure Arc 代理。 Helm 客户端下载需要此终结点来帮助部署代理 helm 图表。 |
guestnotificationservice.azure.cn*.guestnotificationservice.azure.cnsts.chinacloudapi.cnhttps://k8sconnectcsp.azureedge.net |
针对基于连接和位置的场景。 |
*.servicebus.chinacloudapi.cn |
针对基于连接和位置的场景。 |
https://graph.chinacloudapi.cn/ |
在配置 Azure RBAC 时是必需的。 |
*.arc.azure.cn |
在 Azure 门户中管理连接的群集时是必需的。 |
https://<region>.obo.arc.azure.cn:8084/ |
在配置群集连接功能时是必需的。 |
dl.k8s.io |
在启用自动代理升级时是必需的。 |
quay.azk8s.cnregistryk8s.azk8s.cnk8sgcr.azk8s.cnusgcr.azk8s.cndockerhub.azk8s.cn/<repo-name>/<image-name>:<version> |
中国区 Azure VM 的容器注册表代理服务器。 |
有关详细信息,请参阅已启用 Azure Arc 的 Kubernetes 的网络要求。
已启用 Azure Arc 的服务器
需要连接到已启用 Arc 的服务器终结点才能使用以下组件:
已启用 Azure Arc 的 SQL Server
已启用 Azure Arc 的 VMware vSphere *
已启用 Azure Arc 的 System Center Virtual Machine Manager *
已启用 Azure Arc 的 Azure Stack (HCI) *
*仅当启用了来宾管理时才需要。
所有基于服务器的 Arc 产品/服务都需要已启用 Azure Arc 的服务器终结点。
网络配置
适用于 Linux 和 Windows 的 Azure Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 默认情况下,代理使用到 Internet 的默认路由来访问 Azure 服务。 如果网络需要代理服务器,可以选择将代理配置为使用代理服务器。 由于流量已加密,代理服务器使 Connected Machine 代理更安全。
若要进一步确保你的网络连接到 Azure Arc,而不是使用公共网络和代理服务器,可以实现 Azure Arc 专用链接范围。
注意
已启用 Azure Arc 的服务器不支持使用 Log Analytics 网关作为 Connected Machine 代理的代理。 在此期间,Azure Monitor 代理支持 Log Analytics 网关。
如果防火墙或代理服务器限制了出站连接,请确保不要阻止下面列出的 URL 和服务标记。
服务标记
确保允许对以下服务标记进行访问:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 存储
- WindowsAdminCenter(如果使用 Windows Admin Center 来管理启用了 Arc 的服务器)
有关每个服务标记/区域的 IP 地址列表,请参阅 JSON 文件 - Azure IP 范围和服务标记 - 中国云。 Azure 每周将发布包含每个 Azure 服务及其使用的 IP 范围的更新。 JSON 文件中的这个信息是与每个服务标记对应的 IP 地址的当前实时列表。 IP 地址可能会变化。 如果防火墙配置需要 IP 地址范围,则应使用 AzureCloud 服务标记允许对所有 Azure 服务的访问。 请勿禁用对这些 URL 的安全监视或检查,但就像允许其他 Internet 流量一样允许这些 URL。
有关详细信息,请参阅虚拟网络服务标记。
URL
下表列出了安装和使用 Connected Machine Agent 时必须可用的 URL。
| 代理资源 | 说明 | 需要时 |
|---|---|---|
aka.ms |
用于在安装过程中解析下载脚本 | 仅用于安装时 |
download.microsoft.com |
用于下载 Windows 安装包 | 仅用于安装时 |
packages.microsoft.com |
用于下载 Linux 安装包 | 仅用于安装时 |
login.chinacloudapi.cn |
Microsoft Entra ID | 始终 |
login.partner.microsoftonline.cn |
Microsoft Entra ID | 始终 |
pas.chinacloudapi.cn |
Microsoft Entra ID | Always |
management.chinacloudapi.cn |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 | 仅连接或断开服务器时 |
*.his.arc.azure.cn |
元数据和混合标识服务 | 始终 |
*.guestconfiguration.azure.cn |
扩展管理和来宾配置服务 | 始终 |
guestnotificationservice.azure.cn、*.guestnotificationservice.azure.cn |
扩展和连接方案的通知服务 | 始终 |
azgn*.servicebus.chinacloudapi.cn |
扩展和连接方案的通知服务 | 始终 |
*.servicebus.chinacloudapi.cn |
对于 Windows Admin Center 和 SSH 方案 | 如果从 Azure 中使用 SSH 或 Windows Admin Center |
*.blob.core.chinacloudapi.cn |
下载启用了 Azure Arc 的服务器扩展的源 | 始终,使用专用终结点时除外 |
dc.applicationinsights.azure.cn |
代理遥测 | 可选,不用于代理版本 1.24+ |
传输层安全性 1.2 协议
为了确保传输到 Azure 的数据的安全性,我们强烈建议你将计算机配置为使用传输层安全性 (TLS) 1.2。 我们发现旧版 TLS/安全套接字层 (SSL) 容易受到攻击,尽管目前出于向后兼容,这些协议仍可正常工作,但我们不建议使用。
| 平台/语言 | 支持 | 更多信息 |
|---|---|---|
| Linux | Linux 分发版往往依赖于 OpenSSL 来提供 TLS 1.2 支持。 | 请检查 OpenSSL 变更日志,确认你的 OpenSSL 版本是否受支持。 |
| Windows Server 2012 R2 和更高版本 | 受支持,并且默认已启用。 | 确认是否仍在使用默认设置。 |
仅限 ESU 的终结点子集
对于下面一种或全部两种产品,如果仅对扩展安全更新使用已启用 Azure Arc 的服务器,请执行以下操作:
- Windows Server 2012
- SQL Server 2012
可启用以下终结点子集:
| 代理资源 | 说明 | 需要时 | 与专用链接一起使用的终结点 |
|---|---|---|---|
aka.ms |
用于在安装过程中解析下载脚本 | 仅用于安装时 | 公共 |
download.microsoft.com |
用于下载 Windows 安装包 | 仅用于安装时 | 公共 |
login.chinacloudapi.cn |
Microsoft Entra ID | 始终 | 公共 |
login.partner.microsoftonline.cn |
Microsoft Entra ID | 始终 | 公用 |
management.chinacloudapi.cn |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 | 仅连接或断开服务器时 | 公共,除非还配置了资源管理专用链接 |
*.his.arc.azure.cn |
元数据和混合标识服务 | Always | 专用 |
*.guestconfiguration.azure.cn |
扩展管理和来宾配置服务 | Always | Private |
www.microsoft.com/pkiops/certs |
ESU 的中间证书更新(注意:请使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 如果是自动更新,则始终使用;如果手动下载证书,则临时使用。 | 公用 |
注意
目前,适用于 Windows Server 2012 的扩展安全更新所用的已启用 Azure Arc 的服务器在世纪互联运营的 Azure 区域中不可用。
有关详细信息,请参阅 Connected Machine 代理网络要求。
额外终结点
根据你的方案,可能需要连接到其他 URL,例如 Azure 门户、管理工具或其他 Azure 服务使用的 URL。 具体而言,请查看这些列表,以确保允许连接到任何必要的终结点: