Condividi tramite


Requisiti di rete di Azure Arc

Questo articolo elenca gli endpoint, le porte e i protocolli necessari per i servizi e le funzionalità abilitati per Azure Arc.

In genere, i requisiti di connettività includono i principi seguenti:

  • Tutte le connessioni sono TCP, se non diversamente specificato.
  • Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
  • Tutte le connessioni sono in uscita, se non diversamente specificato.

Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.

Suggerimento

Per il cloud pubblico di Azure, è possibile ridurre il numero di endpoint necessari usando il gateway Azure Arc per i server abilitati per Arc o Kubernetes abilitato per Arc.

Endpoint Kubernetes abilitati per Azure Arc

La connettività agli endpoint basati su Arc Kubernetes è necessaria per tutte le offerte Arc basate su Kubernetes, tra cui:

  • Kubernetes con abilitazione di Azure Arc
  • Servizi app abilitati per Azure Arc
  • Machine Learning abilitato per Azure Arc
  • Servizi dati abilitati per Azure Arc (solo modalità di connettività diretta)

Importante

Per il funzionamento degli agenti di Azure Arc sono necessari gli URL in uscita seguenti su https://:443. Per *.servicebus.windows.net, i web socket devono essere abilitati per l'accesso in uscita nel firewall e nel proxy.

Endpoint (DNS) Descrizione
https://management.azure.com Necessario per consentire all'agente di connettersi ad Azure e registrare il cluster.
https://<region>.dp.kubernetesconfiguration.azure.com Endpoint del piano dati che consente all'agente di eseguire il push dello stato e recuperare le informazioni di configurazione.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
Obbligatorio per recuperare e aggiornare i token di Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
Obbligatorio per il pull delle immagini del contenitore per gli agenti di Azure Arc
https://gbl.his.arc.azure.com Obbligatorio per ottenere l'endpoint a livello di area per il pull dei certificati di identità gestita assegnata dal sistema.
https://*.his.arc.azure.com Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema.
https://k8connecthelm.azureedge.net az connectedk8s connect usa Helm 3 per distribuire gli agenti Di Azure Arc nel cluster Kubernetes. Questo endpoint è necessario per il download del client Helm per facilitare la distribuzione del grafico helm dell'agente.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
Per Cluster Connect e per scenari basati sulla posizione personalizzata.
*.servicebus.windows.net Per Cluster Connect e per scenari basati sulla posizione personalizzata.
https://graph.microsoft.com/ Obbligatorio quando è configurato il controllo degli accessi in base al ruolo di Azure.
*.arc.azure.net Obbligatorio per gestire i cluster connessi nel portale di Azure.
https://<region>.obo.arc.azure.com:8084/ Obbligatorio quando Cluster Connect è configurato.
https://linuxgeneva-microsoft.azurecr.io Obbligatorio se si usano le estensioni Kubernetes abilitate per Azure Arc.

Per convertire il carattere jolly *.servicebus.windows.net in endpoint specifici, usare il comando:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.

Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.

Per visualizzare un elenco di tutte le aree, eseguire questo comando:

az account list-locations -o table
Get-AzLocation | Format-Table

Per altre informazioni, vedere Requisiti di rete Kubernetes abilitati per Azure Arc.

Servizi dati abilitati per Azure Arc

Questa sezione descrive i requisiti specifici per i servizi dati abilitati per Azure Arc, oltre agli endpoint Kubernetes abilitati per Arc elencati in precedenza.

Servizio Porta URL Direzione Note
Grafico Helm (solo modalità connessa diretta) 443 arcdataservicesrow1.azurecr.io In uscita Esegue il provisioning del programma di avvio automatico del controller dei dati di Azure Arc e degli oggetti a livello di cluster, ad esempio definizioni di risorse personalizzate, ruoli del cluster e associazioni di ruoli del cluster, viene eseguito il pull da un Registro Azure Container.
API di monitoraggio di Azure 1 443 *.ods.opinsights.azure.com
*.oms.opinsights.azure.com
*.monitoring.azure.com
In uscita Azure Data Studio e l'interfaccia della riga di comando di Azure si connettono alle API di Azure Resource Manager per inviare e recuperare dati da e verso Azure per alcune funzionalità. Vedere API di Monitoraggio di Azure.
Servizio di elaborazione dati di Azure Arc 1 443 *.<region>.arcdataservices.com 2 In uscita

1 Il requisito dipende dalla modalità di distribuzione:

  • Per la modalità diretta, il pod controller nel cluster Kubernetes deve avere connettività in uscita verso gli endpoint per inviare i log, le metriche, l'inventario e le informazioni di fatturazione a Monitoraggio di Azure/Servizio di elaborazione dati.
  • Per la modalità indiretta, il computer che esegue az arcdata dc upload deve avere la connettività in uscita verso Monitoraggio di Azure e verso il servizio di elaborazione dati.

2 Per le versioni delle estensioni fino al 13 febbraio 13 compreso, usare san-af-<region>-prod.azurewebsites.net.

API di monitoraggio di Azure

La connettività da Azure Data Studio al server API Kubernetes usa l'autenticazione e la crittografia kubernetes stabilita. Ogni utente che usa Azure Data Studio o l'interfaccia della riga di comando deve avere una connessione autenticata verso l'API Kubernetes per eseguire molte delle azioni correlate ai servizi dati abilitati per Azure Arc.

Per altre informazioni, vedere Requisiti e modalità di connessione.

Server con abilitazione di Azure Arc

La connettività agli endpoint server abilitati per Arc è necessaria per:

  • SQL Server abilitato da Azure Arc.

  • VMware vSphere abilitato per Azure Arc *

  • System Center Virtual Machine Manager abilitato per Azure Arc *

  • Azure Stack (HCI) abilitato per Azure Arc *

    *Obbligatorio solo per la gestione guest abilitata.

Gli endpoint server abilitati per Azure Arc sono necessari per tutte le offerte Arc basate su server.

Configurazione della rete

L'agente di Azure Connected Machine per Linux e Windows comunica in modo sicuro in uscita con Azure Arc sulla porta TCP 443. Per impostazione predefinita, l'agente usa la route predefinita verso Internet per raggiungere i servizi di Azure. Facoltativamente , è possibile configurare l'agente per l'uso di un server proxy se la rete lo richiede. I server proxy non rendono l'agente di Connected Machine più sicuro perché il traffico è già crittografato.

Per proteggere ulteriormente la connettività di rete ad Azure Arc, invece di usare reti pubbliche e server proxy, è possibile implementare un ambito collegamento privato di Azure Arc.

Nota

I server abilitati per Azure Arc non supportano l'uso di un gateway di Log Analytics come proxy per l'agente di Connected Machine. Allo stesso tempo, l'agente di Monitoraggio di Azure supporta il gateway di Log Analytics.

Se la connettività in uscita è limitata dal firewall o dal server proxy, verificare che gli URL e i tag di servizio elencati di seguito non siano bloccati.

Tag di servizio

Assicurarsi di consentire l'accesso ai tag di servizio seguenti:

Per un elenco degli indirizzi IP per ogni tag del servizio/area, vedere il file JSON Azure IP Ranges and Service Tags – Public Cloud (Indirizzi IP di Azure e tag del servizio - Cloud pubblico). Microsoft pubblica aggiornamenti settimanali contenenti ogni servizio di Azure e gli intervalli IP usati dal servizio. Tali informazioni del file JSON rappresentano l'elenco temporizzato corrente degli intervalli IP che corrispondono a ogni tag del servizio. Gli indirizzi IP sono soggetti a modifiche. Se gli intervalli di indirizzi IP sono necessari per la configurazione del firewall, occorre usare il tag del servizio AzureCloud per consentire l'accesso a tutti i servizi di Azure. Non disabilitare il monitoraggio della sicurezza o l'ispezione di questi URL, ma consentire tali URL come si farebbe con il resto del traffico Internet.

Se si filtra il traffico verso il tag del servizio AzureArcInfrastructure, è necessario consentire il traffico verso l’intero intervallo di tag del servizio. Gli intervalli annunciati per singole aree, ad esempio AzureArcInfrastructure.AustraliaEast, non includono gli intervalli IP usati dai componenti globali del servizio. L'indirizzo IP specifico risolto per questi endpoint può cambiare nel tempo entro gli intervalli documentati, quindi è sufficiente usare uno strumento di ricerca per identificare l'indirizzo IP corrente per un determinato endpoint, perciò consentirvi l'accesso non sarà sufficiente per garantire un accesso affidabile.

Per altre informazioni, vedere Tag del servizio di rete virtuale.

URL

La tabella seguente elenca gli URL che devono essere disponibili per installare e usare l'agente di Connected Machine.

Nota

Quando si configura l'agente di Azure Connected Machine per comunicare con Azure tramite un collegamento privato, è comunque necessario accedere ad alcuni endpoint tramite Internet. La colonna Capacità di collegamento privato nella tabella seguente illustra quali endpoint possono essere configurati con un endpoint privato. Se la colonna mostra Pubblico per un endpoint, è comunque necessario consentire l'accesso a tale endpoint tramite il firewall e/o il server proxy della propria organizzazione affinché l'agente funzioni. Il traffico di rete viene instradato tramite endpoint privato se viene assegnato un ambito di collegamento privato.

Risorsa dell'agente Descrizione Se necessario Collegamento privato in grado di supportare
aka.ms Usate per risolvere lo script di download durante l'installazione Al momento dell'installazione, solo Pubblico
download.microsoft.com Usato per scaricare il pacchetto di installazione di Windows Al momento dell'installazione, solo Pubblico
packages.microsoft.com Usate per scaricare il pacchetto di installazione di Linux Al momento dell'installazione, solo Pubblico
login.microsoftonline.com Microsoft Entra ID Sempre Pubblico
*login.microsoft.com Microsoft Entra ID Sempre Pubblico
pas.windows.net Microsoft Entra ID Sempre Pubblico
management.azure.com Azure Resource Manager - per creare o eliminare la risorsa server di Arc Quando si connette o si disconnette un server, solo Pubblico, a meno che non sia configurato anche un collegamento privato gestione risorse
*.his.arc.azure.com Metadati e servizi di identità ibrida Sempre Privata
*.guestconfiguration.azure.com Gestione delle estensioni e servizi di configurazione guest Sempre Privata
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Servizio di notifica per scenari di estensione e connettività Sempre Pubblico
azgn*.servicebus.windows.net Servizio di notifica per scenari di estensione e connettività Sempre Pubblico
*.servicebus.windows.net Per gli scenari di Windows Admin Center e SSH Se si usa SSH o Windows Admin Center da Azure Pubblico
*.waconazure.com Per la connettività di Windows Admin Center Se si usa Windows Admin Center Pubblico
*.blob.core.windows.net Scaricare l'origine per le estensioni dei server abilitati per Azure Arc Sempre, tranne quando si usano endpoint privati Non usato quando è configurato un collegamento privato
dc.services.visualstudio.com Telemetria dell'agente Facoltativo, non usato nelle versioni dell'agente 1.24+ Pubblico
*.<region>.arcdataservices.com 1 Per SQL Server Arc. Invia il servizio di elaborazione dati, i dati di telemetria del servizio e il monitoraggio delle prestazioni ad Azure. Consente TLS 1.3. Sempre Pubblico
www.microsoft.com/pkiops/certs Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443) Se si usano le ESU abilitate da Azure Arc. Sempre necessario per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati. Pubblico

1 Per dettagli sulle informazioni raccolte e inviate, vedere Raccolta e report di dati per SQL Server abilitato da Azure Arc.

Per le versioni delle estensioni fino al 13 febbraio 2024 compreso, usare san-af-<region>-prod.azurewebsites.net. A partire dal 12 marzo 2024, sia l'elaborazione dei dati di Azure Arc che i dati di telemetria di Azure Arc usano *.<region>.arcdataservices.com.

Nota

Per convertire il carattere jolly *.servicebus.windows.net in endpoint specifici, usare il comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. All'interno di questo comando, l'area deve essere specificata per il segnaposto <region>. Questi endpoint possono cambiare periodicamente.

Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.

Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.

Per visualizzare un elenco di tutte le aree, eseguire questo comando:

az account list-locations -o table
Get-AzLocation | Format-Table

Protocollo Transport Layer Security 1.2

Per garantire la sicurezza dei dati in transito verso Azure, è consigliabile configurare la macchina per usare il protocollo Transport Layer Security (TLS) 1.2. Le versioni precedenti di TLS/Secure Sockets Layer (SSL) sono state considerate vulnerabili. Nonostante siano ancora attualmente in uso per questioni di compatibilità con le versioni precedenti, non sono consigliate.

Piattaforma/linguaggio Supporto tecnico Ulteriori informazioni
Linux Le distribuzioni Linux si basano generalmente su OpenSSL per supportare TLS 1.2. Controllare nel log delle modifiche di OpenSSL per assicurarsi che la versione di OpenSSL sia supportata.
Windows Server 2012 R2 e versioni successive Supportato e abilitato per impostazione predefinita. Assicurarsi che le impostazioni predefinite siano ancora in uso.

Subset di endpoint solo per ESU

Se si usano server abilitati per Azure Arc solo per gli aggiornamenti della sicurezza estesi per uno o entrambi i prodotti seguenti:

  • Windows Server 2012
  • SQL Server 2012

È possibile abilitare il sottoinsieme di endpoint seguente:

Risorsa dell'agente Descrizione Se necessario Endpoint utilizzati con collegamento privato
aka.ms Usate per risolvere lo script di download durante l'installazione Al momento dell'installazione, solo Pubblico
download.microsoft.com Usato per scaricare il pacchetto di installazione di Windows Al momento dell'installazione, solo Pubblico
login.windows.net Microsoft Entra ID Sempre Pubblico
login.microsoftonline.com Microsoft Entra ID Sempre Pubblico
*login.microsoft.com Microsoft Entra ID Sempre Pubblico
management.azure.com Azure Resource Manager - per creare o eliminare la risorsa server di Arc Quando si connette o si disconnette un server, solo Pubblico, a meno che non sia configurato anche un collegamento privato gestione risorse
*.his.arc.azure.com Metadati e servizi di identità ibrida Sempre Privata
*.guestconfiguration.azure.com Gestione delle estensioni e servizi di configurazione guest Sempre Privata
www.microsoft.com/pkiops/certs Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443) Sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati. Pubblico
*.<region>.arcdataservices.com Servizio di elaborazione dati di Azure Arc telemetria del servizio. ESU di SQL Server Pubblico
*.blob.core.windows.net Scaricare il pacchetto dell'estensione SQL Server ESU di SQL Server Non obbligatorio se si usa il collegamento privato

Per altre informazioni, vedere Requisiti di rete dell'agente di Azure Connected Machine.

Bridge di risorse di Azure Arc

Questa sezione descrive i requisiti di rete aggiuntivi specifici per la distribuzione del bridge di risorse di Azure Arc nell'azienda. Questi requisiti si applicano anche a VMware vSphere abilitato per Azure Arc e a System Center Virtual Machine Manager abilitato per Azure Arc.

Requisiti di connettività in uscita

Gli URL del firewall e del proxy seguenti devono essere compresi nell'elenco elementi consentiti per abilitare la comunicazione dal computer di gestione, dalla macchina virtuale dell'appliance e dall'IP del piano di controllo agli URL necessari del bridge di risorse di Arc.

Elenco di indirizzi consentiti dell'URL del firewall/proxy

Servizio Porta URL Direzione Note
Endpoint API SFS 443 msk8s.api.cdp.microsoft.com Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. Scaricare il catalogo dei prodotti, i bit di prodotto e le immagini del sistema operativo da SFS.
Download dell'immagine del bridge di risorse (appliance) 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. Scaricare le immagini del sistema operativo del bridge di risorse di Arc.
Registro Container Microsoft 443 mcr.microsoft.com Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. Individuare le immagini del contenitore per il bridge di risorse Arc.
Registro Container Microsoft 443 *.data.mcr.microsoft.com Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. Scaricare le immagini del contenitore per il bridge di risorse di Arc.
Server NTP Windows 123 time.windows.com Gli IP della macchina di gestione e della macchina virtuale dell’appliance (se l'impostazione predefinita di Hyper-V è NTP Windows) richiedono una connessione in uscita in UDP Sincronizzazione dell'ora del sistema operativo nella macchina virtuale dell'appliance e nel computer di gestione (NTP Windows).
Azure Resource Manager 443 management.azure.com Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. Gestire le risorse in Azure.
Microsoft Graph 443 graph.microsoft.com Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. Obbligatorio per il controllo degli accessi in base al ruolo di Azure.
Azure Resource Manager 443 login.microsoftonline.com Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. Obbligatorio per aggiornare i token ARM.
Azure Resource Manager 443 *.login.microsoft.com Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. Obbligatorio per aggiornare i token ARM.
Azure Resource Manager 443 login.windows.net Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. Obbligatorio per aggiornare i token ARM.
Servizio Dataplane del bridge di risorse (appliance) 443 *.dp.prod.appliances.azure.com L'IP delle macchine virtuali dell'appliance richiede una connessione in uscita. Comunicare con il provider di risorse in Azure.
Download dell'immagine del contenitore del bridge di risorse (appliance) 443 *.blob.core.windows.net, ecpacr.azurecr.io Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Obbligatorio per eseguire il pull delle immagini del contenitore.
Identità gestita 443 *.his.arc.azure.com Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema.
Download dell'immagine del contenitore di Azure Arc per Kubernetes 443 azurearcfork8s.azurecr.io Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Eseguire il pull delle immagini del contenitore.
Agente Azure Arc 443 k8connecthelm.azureedge.net Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. distribuire l'agente di Azure Arc.
Servizio di telemetria ADHS 443 adhs.events.data.microsoft.com Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Invia periodicamente i dati di diagnostica richiesti da Microsoft dalla macchina virtuale dell'appliance.
Servizio dati degli eventi Microsoft 443 v20.events.data.microsoft.com Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Inviare dati di diagnostica da Windows.
Raccolta di log per il bridge di risorse di Arc 443 linuxgeneva-microsoft.azurecr.io Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Eseguire il push dei log per i componenti gestiti dell'appliance.
Download dei componenti del bridge di risorse 443 kvamanagementoperator.azurecr.io Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Eseguire il pull degli artefatti per i componenti gestiti dell'appliance.
Gestione pacchetti open source di Microsoft 443 packages.microsoft.com Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Scaricare il pacchetto di installazione di Linux.
Posizione personalizzata 443 sts.windows.net Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Obbligatorio per la posizione personalizzata.
Azure Arc 443 guestnotificationservice.azure.com Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Obbligatorio per Azure Arc.
Posizione personalizzata 443 k8sconnectcsp.azureedge.net Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Obbligatorio per la posizione personalizzata.
Dati di diagnostica 443 gcs.prod.monitoring.core.windows.net Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Invia periodicamente i dati di diagnostica richiesti da Microsoft.
Dati di diagnostica 443 *.prod.microsoftmetrics.com Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Invia periodicamente i dati di diagnostica richiesti da Microsoft.
Dati di diagnostica 443 *.prod.hot.ingest.monitor.core.windows.net Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Invia periodicamente i dati di diagnostica richiesti da Microsoft.
Dati di diagnostica 443 *.prod.warm.ingest.monitor.core.windows.net Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Invia periodicamente i dati di diagnostica richiesti da Microsoft.
Azure portal 443 *.arc.azure.net Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Gestire il cluster dal portale di Azure.
Estensione e interfaccia della riga di comando di Azure 443 *.blob.core.windows.net Il computer di gestione richiede la connessione in uscita. Scaricare il programma di installazione e l'estensione dell'interfaccia della riga di comando di Azure.
Agente Azure Arc 443 *.dp.kubernetesconfiguration.azure.com Il computer di gestione richiede la connessione in uscita. Dataplane usato per l'agente Arc.
Pacchetto Python 443 pypi.org, *.pypi.org Il computer di gestione richiede la connessione in uscita. Convalidare le versioni di Kubernetes e Python.
Interfaccia della riga di comando di Azure 443 pythonhosted.org, *.pythonhosted.org Il computer di gestione richiede la connessione in uscita.  Installazione dei pacchetti Python per l'interfaccia della riga di comando di Azure.

Requisiti di connettività in entrata

Le comunicazioni tra le porte seguenti devono essere consentite dal computer di gestione, dagli IP della macchina virtuale dell'appliance e dagli IP del piano di controllo. Assicurarsi che queste porte siano aperte e che il traffico non venga instradato tramite un proxy per facilitare la distribuzione e la manutenzione del bridge di risorse Arc.

Servizio Porta IP/computer Direzione Note
SSH 22 appliance VM IPs e Management machine Bidirezionale Usato per la distribuzione e la gestione della macchina virtuale dell'appliance.
Server API Kubernetes 6443 appliance VM IPs e Management machine Bidirezionale Gestione della macchina virtuale dell'appliance.
SSH 22 control plane IP e Management machine Bidirezionale Usato per la distribuzione e la gestione della macchina virtuale dell'appliance.
Server API Kubernetes 6443 control plane IP e Management machine Bidirezionale Gestione della macchina virtuale dell'appliance.
HTTPS 443 private cloud control plane address e Management machine Il computer di gestione richiede la connessione in uscita.  Comunicazione con il piano di controllo (ad esempio, indirizzo VMware vCenter).

Per altre informazioni, vedere Requisiti di rete del bridge di risorse di Azure Arc.

VMware vSphere con abilitazione di Azure Arc

VMware vSphere abilitato per Azure Arc richiede anche:

Servizio Porta URL Direzione Note
Server vCenter 443 URL di server vCenter L'IP della macchina virtuale dell'appliance e l'endpoint del piano di controllo richiedono una connessione in uscita. Usata da server vCenter per comunicare con la macchina virtuale dell'appliance e il piano di controllo.
Estensione del cluster VMware 443 azureprivatecloud.azurecr.io Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. Eseguire il pull delle immagini del contenitore per Microsoft.VMWare e l'estensione cluster Microsoft.AVS.
Estensioni dell'interfaccia della riga di comando di Azure e dell'interfaccia della riga di comando di Azure 443 *.blob.core.windows.net Il computer di gestione richiede la connessione in uscita. Scaricare il programma di installazione dell'interfaccia della riga di comando di Azure e le estensioni dell'interfaccia della riga di comando di Azure.
Azure Resource Manager 443 management.azure.com Il computer di gestione richiede la connessione in uscita. Obbligatorio per creare/aggiornare le risorse in Azure tramite ARM.
Grafico Helm per gli agenti di Azure Arc 443 *.dp.kubernetesconfiguration.azure.com Il computer di gestione richiede la connessione in uscita. Endpoint del piano dati per il download delle informazioni di configurazione degli agenti Arc.
Interfaccia della riga di comando di Azure 443 - login.microsoftonline.com

- aka.ms
Il computer di gestione richiede la connessione in uscita. Obbligatorio per recuperare e aggiornare i token di Azure Resource Manager.

Per altre informazioni, vedere Matrice di supporto per VMware vSphere abilitata per Azure Arc.

System Center Virtual Machine Manager con abilitazione di Azure Arc

Anche System Center Virtual Machine Manager (SCVMM) abilitato per Azure Arc richiede:

Servizio Porta URL Direzione Note
Server di gestione SCVMM 443 URL del server di gestione SCVMM L'IP della macchina virtuale dell'appliance e l'endpoint del piano di controllo richiedono una connessione in uscita. Usato dal server SCVMM per comunicare con la macchina virtuale dell'appliance e il piano di controllo.

Per altre informazioni, vedere Panoramica di System Center Virtual Machine Manager abilitato per Arc.

Altri endpoint

A seconda dello scenario, potrebbe essere necessaria la connettività ad altri URL, ad esempio quelli usati dalla portale di Azure, dagli strumenti di gestione o da altri servizi di Azure. In particolare, esaminare questi elenchi per assicurarsi di consentire la connettività a tutti gli endpoint necessari: