متطلبات شبكة عامل الجهاز الاتصال

يصف هذا الموضوع متطلبات الشبكات لاستخدام عامل الجهاز الاتصال لإلحاق خادم فعلي أو جهاز ظاهري بخوادم ممكنة ل Azure Arc.

التفاصيل

بشكل عام، تتضمن متطلبات الاتصال هذه المبادئ:

• جميع الاتصالات هي TCP ما لم يتم تحديد خلاف ذلك.
• تستخدم جميع اتصالات HTTP HTTPS وSSL/TLS مع شهادات موقعة رسميا ويمكن التحقق منها.
• جميع الاتصالات صادرة ما لم يتم تحديد خلاف ذلك.

لاستخدام وكيل، تحقق من أن العوامل والجهاز الذي يقوم بعملية الإعداد يفيان بمتطلبات الشبكة في هذه المقالة.

نقاط نهاية الخادم التي تدعم Azure Arc مطلوبة لجميع عروض Arc المستندة إلى الخادم.

تكوين شبكة الاتصال

يتصل عامل Azure الاتصال ed Machine لنظامي التشغيل Linux وWindows بالصادر بأمان إلى Azure Arc عبر منفذ TCP 443. بشكل افتراضي، يستخدم العامل المسار الافتراضي إلى الإنترنت للوصول إلى خدمات Azure. يمكنك تكوين العامل اختياريا لاستخدام خادم وكيل إذا كانت شبكتك تتطلب ذلك. لا تجعل خوادم الوكيل عامل الجهاز الاتصال أكثر أمانا لأن نسبة استخدام الشبكة مشفرة بالفعل.

لمزيد من تأمين اتصال الشبكة ب Azure Arc، بدلا من استخدام الشبكات العامة والخوادم الوكيلة، يمكنك تنفيذ نطاق ارتباط Azure Arc الخاص .

إشعار

لا تدعم الخوادم التي تدعم Azure Arc استخدام بوابة Log Analytics كوكيل لعامل الجهاز الاتصال. في الوقت نفسه، يدعم عامل Azure Monitor بوابة Log Analytics.

إذا كان الاتصال الصادر مقيدا بواسطة جدار الحماية أو الخادم الوكيل، فتأكد من عدم حظر عناوين URL وعلامات الخدمة المدرجة أدناه.

علامات الخدمة

تأكد من السماح بالوصول إلى علامات الخدمة التالية:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• التخزين
• Windows مسؤول Center (إذا كنت تستخدم Windows مسؤول Center لإدارة الخوادم الممكنة بواسطة Arc)

للحصول على قائمة بعناوين IP لكل علامة/منطقة خدمة، راجع ملف JSON نطاقات IP Azure وعلامات الخدمة - السحابة العامة. تنشر Microsoft التحديثات الأسبوعية التي تحتوي على كل خدمة Azure ونطاقات IP التي تستخدمها. هذه المعلومات في ملف JSON هي القائمة الحالية في نقطة زمنية لنطاقات IP التي تتوافق مع كل علامة خدمة. عناوين IP عرضة للتغيير. إذا كانت نطاقات عناوين IP مطلوبة لتكوين جدار الحماية الخاص بك، فيجب استخدام علامة خدمة AzureCloud للسماح بالوصول إلى جميع خدمات Azure. لا تقم بتعطيل مراقبة الأمان أو فحص عناوين URL هذه، والسماح لها كما تفعل مع حركة المرور الأخرى على الإنترنت.

إذا قمت بتصفية نسبة استخدام الشبكة إلى علامة خدمة AzureArcInfrastructure، يجب السماح بنسبة استخدام الشبكة إلى نطاق علامة الخدمة الكامل. لا تتضمن النطاقات المعلن عنها للمناطق الفردية، على سبيل المثال AzureArcInfrastructure.AustraliaEast، نطاقات IP المستخدمة من قبل المكونات العمومية للخدمة. قد يتغير عنوان IP المحدد الذي تم حله لنقاط النهاية هذه بمرور الوقت ضمن النطاقات الموثقة، لذلك ما عليك سوى استخدام أداة بحث لتحديد عنوان IP الحالي لنقطة نهاية معينة والسماح بالوصول إلى ذلك لن يكون كافيا لضمان الوصول الموثوق به.

لمزيد من المعلومات، راجع علامات خدمة الشبكة الظاهرية.

عناوين URL

يسرد الجدول أدناه عناوين URL التي يجب أن تكون متوفرة لتثبيت واستخدام عامل الجهاز الاتصال.

Azure Cloud

إشعار

عند تكوين عامل الجهاز المتصل ب Azure للاتصال ب Azure من خلال ارتباط خاص، يجب الاستمرار في الوصول إلى بعض نقاط النهاية من خلال الإنترنت. تعرض نقطة النهاية المستخدمة مع عمود الارتباط الخاص في الجدول التالي نقاط النهاية التي يمكن تكوينها بنقطة نهاية خاصة. إذا كان العمود يعرض Public لنقطة نهاية، فلا يزال يتعين عليك السماح بالوصول إلى نقطة النهاية هذه من خلال جدار حماية مؤسستك و/أو الخادم الوكيل لكي يعمل العامل.

مورد العامل	‏‏الوصف	عند الحاجة	نقطة النهاية المستخدمة مع ارتباط خاص
aka.ms	يستخدم لحل البرنامج النصي للتنزيل أثناء التثبيت	في وقت التثبيت، فقط	‏‏عامة
download.microsoft.com	يستخدم لتنزيل حزمة تثبيت Windows	في وقت التثبيت، فقط	‏‏عامة
packages.microsoft.com	تستخدم لتنزيل حزمة تثبيت Linux	في وقت التثبيت، فقط	‏‏عامة
login.windows.net	Microsoft Entra ID	دائمًا	‏‏عامة
login.microsoftonline.com	Microsoft Entra ID	دائمًا	‏‏عامة
pas.windows.net	Microsoft Entra ID	دائمًا	‏‏عامة
management.azure.com	Azure Resource Manager - لإنشاء مورد خادم Arc أو حذفه	عند توصيل خادم أو قطع اتصاله، فقط	عام، ما لم يتم تكوين ارتباط خاص لإدارة الموارد أيضا
*.his.arc.azure.com	بيانات التعريف وخدمات الهوية المختلطة	دائمًا	خاصة
*.guestconfiguration.azure.com	إدارة الملحقات وخدمات تكوين الضيف	دائمًا	خاصة
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	خدمة الإعلام لسيناريوهات الامتداد والاتصال	دائمًا	‏‏عامة
azgn*.servicebus.windows.net	خدمة الإعلام لسيناريوهات الامتداد والاتصال	دائمًا	‏‏عامة
*.servicebus.windows.net	بالنسبة لسيناريوهات Windows مسؤول Center وSSH	إذا كنت تستخدم SSH أو Windows مسؤول Center من Azure	‏‏عامة
*.waconazure.com	لاتصال Windows مسؤول Center	في حالة استخدام Windows مسؤول Center	‏‏عامة
*.blob.core.windows.net	تنزيل المصدر لملحقات الخوادم التي تدعم Azure Arc	دائما، باستثناء عند استخدام نقاط النهاية الخاصة	لا يتم استخدامه عند تكوين ارتباط خاص
dc.services.visualstudio.com	بيانات تتبع الاستخدام للعامل	اختياري، غير مستخدم في إصدارات العامل 1.24+	‏‏عامة
*.<region>.arcdataservices.com1	ل Arc SQL Server. يرسل خدمة معالجة البيانات وبيانات تتبع الاستخدام للخدمة ومراقبة الأداء إلى Azure. يسمح TLS 1.3.	دائمًا	‏‏عامة
www.microsoft.com/pkiops/certs	تحديثات الشهادة المتوسطة ل ESUs (ملاحظة: يستخدم HTTP/TCP 80 وHTTPS/TCP 443)	إذا تم تمكين استخدام ESUs بواسطة Azure Arc. مطلوب دائما للتحديثات التلقائية، أو مؤقتا إذا كان تنزيل الشهادات يدويا.	‏‏عامة

¹ لإصدارات الملحق حتى 13 فبراير 2024، استخدم san-af-<region>-prod.azurewebsites.net. بدءا من 12 مارس 2024 ، تستخدم *.<region>.arcdataservices.comكل من معالجة بيانات Azure Arc وبيانات Azure Arc بيانات تتبع الاستخدام.

إشعار

لترجمة *.servicebus.windows.net حرف البدل إلى نقاط نهاية معينة، استخدم الأمر \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. ضمن هذا الأمر، يجب تحديد المنطقة للعن <region> العنصر النائب.

للحصول على مقطع المنطقة لنقطة نهاية إقليمية، قم بإزالة كافة المسافات من اسم منطقة Azure. على سبيل المثال، منطقة شرق الولايات المتحدة 2 ، اسم المنطقة هو eastus2.

على سبيل المثال: *.<region>.arcdataservices.com يجب أن يكون *.eastus2.arcdataservices.com في منطقة شرق الولايات المتحدة 2.

لمشاهدة قائمة بجميع المناطق، قم بتشغيل هذا الأمر:

az account list-locations -o table

Get-AzLocation | Format-Table

Microsoft Azure Government

إشعار

عند تكوين عامل الجهاز المتصل ب Azure للاتصال ب Azure من خلال ارتباط خاص، يجب الاستمرار في الوصول إلى بعض نقاط النهاية من خلال الإنترنت. تعرض نقطة النهاية المستخدمة مع عمود الارتباط الخاص في الجدول التالي نقاط النهاية التي يمكن تكوينها بنقطة نهاية خاصة. إذا كان العمود يعرض Public لنقطة نهاية، فلا يزال يتعين عليك السماح بالوصول إلى نقطة النهاية هذه من خلال جدار حماية مؤسستك و/أو الخادم الوكيل لكي يعمل العامل.

مورد العامل	‏‏الوصف	عند الحاجة	نقطة النهاية المستخدمة مع ارتباط خاص
aka.ms	يستخدم لحل البرنامج النصي للتنزيل أثناء التثبيت	في وقت التثبيت، فقط	‏‏عامة
download.microsoft.com	يستخدم لتنزيل حزمة تثبيت Windows	في وقت التثبيت، فقط	‏‏عامة
packages.microsoft.com	تستخدم لتنزيل حزمة تثبيت Linux	في وقت التثبيت، فقط	‏‏عامة
login.microsoftonline.us	Microsoft Entra ID	دائمًا	‏‏عامة
pasff.usgovcloudapi.net	Microsoft Entra ID	دائمًا	‏‏عامة
management.usgovcloudapi.net	Azure Resource Manager - لإنشاء مورد خادم Arc أو حذفه	عند توصيل خادم أو قطع اتصاله، فقط	عام، ما لم يتم تكوين ارتباط خاص لإدارة الموارد أيضا
*.his.arc.azure.us	بيانات التعريف وخدمات الهوية المختلطة	دائمًا	خاصة
*.guestconfiguration.azure.us	إدارة الملحقات وخدمات تكوين الضيف	دائمًا	خاصة
*.blob.core.usgovcloudapi.net	تنزيل المصدر لملحقات الخوادم التي تدعم Azure Arc	دائما، باستثناء عند استخدام نقاط النهاية الخاصة	لا يتم استخدامه عند تكوين ارتباط خاص
dc.applicationinsights.us	بيانات تتبع الاستخدام للعامل	اختياري، غير مستخدم في إصدارات العامل 1.24+	‏‏عامة
www.microsoft.com/pkiops/certs	تحديثات الشهادة المتوسطة ل ESUs (ملاحظة: يستخدم HTTP/TCP 80 وHTTPS/TCP 443)	إذا تم تمكين استخدام ESUs بواسطة Azure Arc. مطلوب دائما للتحديثات التلقائية، أو مؤقتا إذا كان تنزيل الشهادات يدويا.	‏‏عامة

Microsoft Azure المشغل بواسطة 21Vianet

مورد العامل	‏‏الوصف	عند الحاجة
aka.ms	يستخدم لحل البرنامج النصي للتنزيل أثناء التثبيت	في وقت التثبيت، فقط
download.microsoft.com	يستخدم لتنزيل حزمة تثبيت Windows	في وقت التثبيت، فقط
packages.microsoft.com	تستخدم لتنزيل حزمة تثبيت Linux	في وقت التثبيت، فقط
login.chinacloudapi.cn	Microsoft Entra ID	دائمًا
login.partner.chinacloudapi.cn	Microsoft Entra ID	دائمًا
pas.chinacloudapi.cn	Microsoft Entra ID	دائمًا
management.chinacloudapi.cn	Azure Resource Manager - لإنشاء مورد خادم Arc أو حذفه	عند توصيل خادم أو قطع اتصاله، فقط
*.his.arc.azure.cn	بيانات التعريف وخدمات الهوية المختلطة	دائمًا
*.guestconfiguration.azure.cn	إدارة الملحقات وخدمات تكوين الضيف	دائمًا
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	خدمة الإعلام لسيناريوهات الامتداد والاتصال	دائمًا
azgn*.servicebus.chinacloudapi.cn	خدمة الإعلام لسيناريوهات الامتداد والاتصال	دائمًا
*.servicebus.chinacloudapi.cn	بالنسبة لسيناريوهات Windows مسؤول Center وSSH	إذا كنت تستخدم SSH أو Windows مسؤول Center من Azure
*.blob.core.chinacloudapi.cn	تنزيل المصدر لملحقات الخوادم التي تدعم Azure Arc	دائما، باستثناء عند استخدام نقاط النهاية الخاصة
dc.applicationinsights.azure.cn	بيانات تتبع الاستخدام للعامل	اختياري، غير مستخدم في إصدارات العامل 1.24+

بروتوكول أمان طبقة النقل 1.2

لضمان أمان البيانات أثناء النقل إلى Azure، نشجعك بشدة على تكوين الجهاز لاستخدام بروتوكول أمان طبقة النقل (TLS) 1.2. تم العثور على الإصدارات القديمة من TLS/طبقة مآخذ توصيل آمنة، وبينما لا تزال تعمل حاليًا للسماح بالتوافق مع الإصدارات السابقة، إلا أنها not recommended.

النظام الأساسي / اللغة	يدعم	المزيد من المعلومات
Linux	تميل توزيعات Linux إلى الاعتماد على OpenSSL لدعم TLS 1.2.	تحقق من OpenSSL Changelog للتأكد من دعم إصدار OpenSSL.
Windows Server 2012 R2 والإرتفاع	مدعوم ومُمَّكن بشكل افتراضي.	للتأكد من أنك لا تزال تستخدم الإعدادات الافتراضية.

مجموعة فرعية من نقاط النهاية ل ESU فقط

إذا كنت تستخدم خوادم Azure Arc الممكنة فقط التحديثات الأمان الموسع لأي من المنتجين التاليين أو كليهما:

• Windows Server 2012
• SQL Server 2012

يمكنك تمكين المجموعة الفرعية التالية من نقاط النهاية:

Azure Cloud

مورد العامل	‏‏الوصف	عند الحاجة	نقطة النهاية المستخدمة مع ارتباط خاص
aka.ms	يستخدم لحل البرنامج النصي للتنزيل أثناء التثبيت	في وقت التثبيت، فقط	‏‏عامة
download.microsoft.com	يستخدم لتنزيل حزمة تثبيت Windows	في وقت التثبيت، فقط	‏‏عامة
login.windows.net	Microsoft Entra ID	دائمًا	‏‏عامة
login.microsoftonline.com	Microsoft Entra ID	دائمًا	‏‏عامة
management.azure.com	Azure Resource Manager - لإنشاء مورد خادم Arc أو حذفه	عند توصيل خادم أو قطع اتصاله، فقط	عام، ما لم يتم تكوين ارتباط خاص لإدارة الموارد أيضا
*.his.arc.azure.com	بيانات التعريف وخدمات الهوية المختلطة	دائمًا	خاصة
*.guestconfiguration.azure.com	إدارة الملحقات وخدمات تكوين الضيف	دائمًا	خاصة
www.microsoft.com/pkiops/certs	تحديثات الشهادة المتوسطة ل ESUs (ملاحظة: يستخدم HTTP/TCP 80 وHTTPS/TCP 443)	دائما للتحديثات التلقائية، أو مؤقتا إذا كان تنزيل الشهادات يدويا.	‏‏عامة
*.<region>.arcdataservices.com	خدمة معالجة بيانات Azure Arc وبيانات تتبع الاستخدام للخدمة.	SQL Server ESUs	‏‏عامة

Microsoft Azure Government

مورد العامل	‏‏الوصف	عند الحاجة	نقطة النهاية المستخدمة مع ارتباط خاص
aka.ms	يستخدم لحل البرنامج النصي للتنزيل أثناء التثبيت	في وقت التثبيت، فقط	‏‏عامة
download.microsoft.com	يستخدم لتنزيل حزمة تثبيت Windows	في وقت التثبيت، فقط	‏‏عامة
login.microsoftonline.us	Microsoft Entra ID	دائمًا	‏‏عامة
management.usgovcloudapi.net	Azure Resource Manager - لإنشاء مورد خادم Arc أو حذفه	عند توصيل خادم أو قطع اتصاله، فقط	عام، ما لم يتم تكوين ارتباط خاص لإدارة الموارد أيضا
*.his.arc.azure.us	بيانات التعريف وخدمات الهوية المختلطة	دائمًا	خاصة
*.guestconfiguration.azure.us	إدارة الملحقات وخدمات تكوين الضيف	دائمًا	خاصة
www.microsoft.com/pkiops/certs	تحديثات الشهادة المتوسطة ل ESUs (ملاحظة: يستخدم HTTP/TCP 80 وHTTPS/TCP 443)	دائما للتحديثات التلقائية، أو مؤقتا إذا كان تنزيل الشهادات يدويا.	‏‏عامة

Microsoft Azure المشغل بواسطة 21Vianet

إشعار

لا تتوفر الخوادم التي تدعم Azure Arc المستخدمة التحديثات الأمان الموسع ل Windows Server 2012 في Microsoft Azure التي تديرها مناطق 21Vianet في الوقت الحالي.

الخطوات التالية

• راجع المتطلبات الأساسية الإضافية لنشر عامل الجهاز الاتصال.
• قبل نشر عامل Azure الاتصال Machine والتكامل مع خدمات إدارة ومراقبة Azure الأخرى، راجع دليل التخطيط والنشر.
• لحل المشكلات، راجع دليل استكشاف مشكلات اتصال العامل وإصلاحها.
• للحصول على قائمة كاملة بمتطلبات الشبكة لميزات Azure Arc والخدمات التي تدعم Azure Arc، راجع متطلبات شبكة Azure Arc (الموحدة).