Požadavky na síť agenta Connected Machine
Toto téma popisuje síťové požadavky pro použití agenta Connected Machine k připojení fyzického serveru nebo virtuálního počítače k serverům s podporou Azure Arc.
Detaily
Obecně platí, že požadavky na připojení zahrnují tyto principy:
- Všechna připojení jsou TCP, pokud není uvedeno jinak.
- Všechna připojení HTTP používají protokol HTTPS a SSL/TLS s oficiálně podepsanými a ověřitelnými certifikáty.
- Všechna připojení jsou odchozí, pokud není zadáno jinak.
Pokud chcete použít proxy server, ověřte, že agenti a počítač provádějící proces onboardingu splňují požadavky na síť v tomto článku.
Koncové body serveru s podporou Azure Arc se vyžadují pro všechny serverové nabídky Arc.
Konfigurace sítě
Agent Azure Connected Machine pro Linux a Windows komunikuje bezpečně s Azure Arc přes port TCP 443. Ve výchozím nastavení používá agent výchozí trasu k internetu pro přístup ke službám Azure. Pokud to vaše síť vyžaduje, můžete agenta volitelně nakonfigurovat tak, aby používal proxy server . Proxy servery nezabezpečují agenta Připojeného počítače, protože provoz je už šifrovaný.
Pokud chcete dál zabezpečit síťové připojení ke službě Azure Arc místo použití veřejných sítí a proxy serverů, můžete implementovat obor privátního propojení Azure Arc .
Poznámka:
Servery s podporou Azure Arc nepodporují použití brány Log Analytics jako proxy serveru pro agenta Connected Machine. Agent Azure Monitoru současně podporuje bránu Log Analytics.
Pokud je odchozí připojení omezené bránou firewall nebo proxy serverem, ujistěte se, že níže uvedené adresy URL a značky služeb nejsou blokované.
Značky služeb
Nezapomeňte povolit přístup k následujícím značkům služeb:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Úložiště
- WindowsAdminCenter (pokud ke správě serverů s podporou arc používáte Centrum pro správu Windows)
SeznamIPch Microsoft publikuje týdenní aktualizace obsahující každou službu Azure a rozsahy IP adres, které používá. Tyto informace v souboru JSON jsou aktuálním seznamem rozsahů IP adres, které odpovídají každé značce služby. IP adresy se můžou změnit. Pokud se pro konfiguraci brány firewall vyžadují rozsahy IP adres, měla by se značka služby AzureCloud použít k povolení přístupu ke všem službám Azure. Nezakažujte monitorování zabezpečení ani kontrolu těchto adres URL, povolte je stejně jako ostatní internetové přenosy.
Pokud filtrujete provoz na značku služby AzureArcInfrastructure, musíte povolit provoz do úplného rozsahu značek služeb. Rozsahy inzerované pro jednotlivé oblasti, například AzureArcInfrastructure.AustraliaEast, nezahrnují rozsahy IP adres používané globálními komponentami služby. Konkrétní IP adresa přeložená pro tyto koncové body se může v průběhu času měnit v rámci zdokumentovaných rozsahů, takže stačí použít vyhledávací nástroj k identifikaci aktuální IP adresy pro daný koncový bod a umožnit přístup k natolik, aby byl zajištěn spolehlivý přístup.
Další informace najdete v tématu Značky služeb virtuální sítě.
Adresy URL
Následující tabulka uvádí adresy URL, které musí být k dispozici, aby bylo možné nainstalovat a používat agenta Connected Machine.
Poznámka:
Při konfiguraci agenta počítače připojeného k Azure pro komunikaci s Azure prostřednictvím privátního propojení musí být některé koncové body stále přístupné přes internet. Sloupec podporující privátní propojení v následující tabulce ukazuje, které koncové body je možné nakonfigurovat s privátním koncovým bodem. Pokud se ve sloupci zobrazuje veřejný koncový bod, musíte povolit přístup k ho koncovému bodu přes bránu firewall vaší organizace nebo proxy server, aby agent fungoval. Pokud je přiřazen rozsah privátního propojení, směruje se síťový provoz přes privátní koncový bod.
| Prostředek agenta | Popis | V případě potřeby | Podporující privátní propojení |
|---|---|---|---|
aka.ms |
Používá se k vyřešení skriptu stahování během instalace. | V době instalace pouze | Veřejná |
download.microsoft.com |
Používá se ke stažení instalačního balíčku systému Windows. | V době instalace pouze | Veřejná |
packages.microsoft.com |
Používá se ke stažení instalačního balíčku pro Linux. | V době instalace pouze | Veřejná |
login.microsoftonline.com |
Microsoft Entra ID | Always | Veřejná |
*login.microsoft.com |
Microsoft Entra ID | Always | Veřejná |
pas.windows.net |
Microsoft Entra ID | Always | Veřejná |
management.azure.com |
Azure Resource Manager – vytvoření nebo odstranění prostředku serveru Arc | Při připojování nebo odpojení serveru pouze | Veřejné, pokud není nakonfigurované také privátní propojení správy prostředků |
*.his.arc.azure.com |
Metadata a služby hybridní identity | Always | Privátní |
*.guestconfiguration.azure.com |
Správa rozšíření a služby konfigurace hosta | Always | Privátní |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Služba oznámení pro scénáře rozšíření a připojení | Always | Veřejná |
azgn*.servicebus.windows.net |
Služba oznámení pro scénáře rozšíření a připojení | Always | Veřejná |
*.servicebus.windows.net |
Scénáře Windows Admin Center a SSH | Pokud používáte SSH nebo Windows Admin Center z Azure | Veřejná |
*.waconazure.com |
Připojení k Centru pro správu Windows | Pokud používáte Centrum pro správu Windows | Veřejná |
*.blob.core.windows.net |
Stažení zdroje pro rozšíření serverů s podporou Služby Azure Arc | Vždy, s výjimkou použití privátních koncových bodů | Nepoužívá se při konfiguraci privátního propojení. |
dc.services.visualstudio.com |
Telemetrie agenta | Volitelné, nepoužívá se ve verzích agenta 1.24 nebo novější. | Veřejná |
*.<region>.arcdataservices.com1 |
Pro Arc SQL Server. Odesílá do Azure službu zpracování dat, telemetrii služeb a monitorování výkonu. Povoluje protokol TLS 1.3. | Always | Veřejná |
www.microsoft.com/pkiops/certs |
Zprostředkující aktualizace certifikátů pro ESU (poznámka: používá HTTP/TCP 80 a HTTPS/TCP 443) | Pokud používáte ESU povolená službou Azure Arc. Vyžaduje se vždy pro automatické aktualizace nebo dočasně, pokud certifikáty stahujete ručně. | Veřejná |
1 Podrobnosti o tom, jaké informace se shromažďují a odesílají, najdete v tématu Shromažďování a vytváření sestav dat pro SQL Server, které povoluje Azure Arc.
Pro verze rozšíření až do 13. února 2024 použijte san-af-<region>-prod.azurewebsites.net. Od 12. března 2024 se používají jak zpracování dat Azure Arc, tak telemetrie *.<region>.arcdataservices.comdat Azure Arc .
Poznámka:
Pokud chcete zástupný znak přeložit *.servicebus.windows.net na konkrétní koncové body, použijte příkaz \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. V rámci tohoto příkazu musí být pro zástupný symbol zadána <region> oblast. Tyto koncové body se můžou pravidelně měnit.
Pokud chcete získat segment oblasti regionálního koncového bodu, odeberte všechny mezery z názvu oblasti Azure. Například oblast USA – východ 2 , název oblasti je eastus2.
Například: *.<region>.arcdataservices.com musí být *.eastus2.arcdataservices.com v oblasti USA – východ 2.
Pokud chcete zobrazit seznam všech oblastí, spusťte tento příkaz:
az account list-locations -o table
Get-AzLocation | Format-Table
Protokol Transport Layer Security 1.2
Abychom zajistili zabezpečení přenášených dat do Azure, důrazně doporučujeme nakonfigurovat počítač tak, aby používal protokol TLS (Transport Layer Security) 1.2. Ve starších verzích protokolu TLS/Secure Sockets Layer (SSL) se zjistilo, že jsou ohrožené a v současné době fungují tak, aby umožňovaly zpětnou kompatibilitu, nedoporučuje se.
| Platforma/jazyk | Technická podpora | Další informace |
|---|---|---|
| Linux | Linuxové distribuce se obvykle spoléhají na OpenSSL pro podporu protokolu TLS 1.2. | Zkontrolujte protokol změn OpenSSL a ověřte, že je podporovaná vaše verze OpenSSL. |
| Windows Server 2012 R2 a novější | Podporováno a ve výchozím nastavení povoleno. | Abyste si ověřili, že stále používáte výchozí nastavení. |
Podmnožina koncových bodů pouze pro ESU
Pokud používáte servery s podporou Azure Arc pouze pro rozšířené aktualizace zabezpečení pro některý z následujících produktů nebo pro oba tyto produkty:
- Windows Server 2012
- SQL Server 2012
Můžete povolit následující podmnožinu koncových bodů:
| Prostředek agenta | Popis | V případě potřeby | Koncový bod používaný s privátním propojením |
|---|---|---|---|
aka.ms |
Používá se k vyřešení skriptu stahování během instalace. | V době instalace pouze | Veřejná |
download.microsoft.com |
Používá se ke stažení instalačního balíčku systému Windows. | V době instalace pouze | Veřejná |
login.windows.net |
Microsoft Entra ID | Always | Veřejná |
login.microsoftonline.com |
Microsoft Entra ID | Always | Veřejná |
*login.microsoft.com |
Microsoft Entra ID | Always | Veřejná |
management.azure.com |
Azure Resource Manager – vytvoření nebo odstranění prostředku serveru Arc | Při připojování nebo odpojení serveru pouze | Veřejné, pokud není nakonfigurované také privátní propojení správy prostředků |
*.his.arc.azure.com |
Metadata a služby hybridní identity | Always | Privátní |
*.guestconfiguration.azure.com |
Správa rozšíření a služby konfigurace hosta | Always | Privátní |
www.microsoft.com/pkiops/certs |
Zprostředkující aktualizace certifikátů pro ESU (poznámka: používá HTTP/TCP 80 a HTTPS/TCP 443) | Vždy pro automatické aktualizace nebo dočasně, pokud certifikáty stahujete ručně. | Veřejná |
*.<region>.arcdataservices.com |
Služba zpracování dat Azure Arc a telemetrie služeb | ESU SQL Serveru | Veřejná |
*.blob.core.windows.net |
Stažení balíčku rozšíření SQL Serveru | ESU SQL Serveru | Nepožaduje se, pokud používáte Private Link. |
Další kroky
- Projděte si další požadavky pro nasazení agenta Connected Machine.
- Než nasadíte agenta Azure Connected Machine a integrujete se s dalšími službami pro správu a monitorování Azure, projděte si průvodce plánováním a nasazením.
- Pokud chcete vyřešit problémy, projděte si průvodce odstraňováním potíží s připojením agenta.
- Úplný seznam požadavků na síť pro funkce Azure Arc a služby s podporou Azure Arc najdete v tématu Požadavky na síť Azure Arc (konsolidované).