Požadavky na síť agenta Connected Machine

Tento článek popisuje síťové požadavky pro použití agenta Azure Connected Machine k připojení fyzického serveru nebo virtuálního počítače k serverům s podporou Azure Arc.

Návod

U veřejné cloudové platformy Azure můžete snížit počet požadovaných koncových bodů pomocí brány Azure Arc.

Podrobnosti

Obecně platí, že požadavky na připojení zahrnují tyto principy:

• Všechna připojení jsou TCP, pokud není uvedeno jinak.
• Všechna připojení HTTP používají protokol HTTPS a SSL/TLS s oficiálně podepsanými a ověřitelnými certifikáty.
• Všechna připojení jsou odchozí, pokud není zadáno jinak.

Pokud chcete použít proxy server, ověřte, že agenti a počítač provádějící proces onboardingu splňují požadavky na síť v tomto článku.

Koncové body serveru s podporou Azure Arc se vyžadují pro všechny serverové nabídky Azure Arc.

Konfigurace sítě

Agent Azure Connected Machine pro Linux a Windows komunikuje bezpečně s Azure Arc přes port TCP 443. Ve výchozím nastavení používá agent výchozí trasu k internetu pro přístup ke službám Azure. Pokud to vaše síť vyžaduje, můžete agenta volitelně nakonfigurovat tak, aby používal proxy server . Proxy servery nezabezpečují agenta Připojeného počítače, protože provoz je už šifrovaný.

Pokud chcete dál zabezpečit síťové připojení ke službě Azure Arc místo použití veřejných sítí a proxy serverů, můžete implementovat obor privátního propojení Azure Arc.

Poznámka:

Servery s podporou Azure Arc nepodporují použití brány Log Analytics jako proxy serveru pro agenta Connected Machine. Agent Azure Monitoru současně podporuje brány Log Analytics.

Pokud vaše brána firewall nebo proxy server omezují odchozí spojení, ujistěte se, že uvedené adresy URL a značky služeb nejsou blokovány.

Značky služeb

Nezapomeňte povolit přístup k následujícím značkům služeb:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Storage
• AzureFrontDoor.Frontend (požadováno od dubna 2026)
• WindowsAdminCenter (pokud ke správě serverů s podporou Azure Arc používáte Centrum pro správu Windows)

Pro seznam IP adres pro každý značka služby/region, viz soubor JSON Azure IP Ranges and Service Tags - Public Cloud. Microsoft publikuje týdenní aktualizace, které obsahují každou službu Azure a rozsahy IP adres, které používá. Informace v souboru JSON jsou aktuálním seznamem rozsahů IP adres, které odpovídají každé značce služby. IP adresy se můžou změnit. Pokud se pro konfiguraci brány firewall vyžadují rozsahy IP adres, pomocí AzureCloud značky služby povolte přístup ke všem službám Azure. Nezakazujte monitorování zabezpečení ani kontrolu těchto adres URL. Povolte je stejně jako ostatní internetový provoz.

Pokud filtrujete provoz na AzureArcInfrastructure značku služby, musíte povolit provoz do úplného rozsahu značek služeb. Rozsahy inzerované pro jednotlivé oblasti, například AzureArcInfrastructure.AustraliaEast, nezahrnují rozsahy IP adres, které používají globální komponenty služby. Konkrétní IP adresa přeložená pro tyto koncové body se může v průběhu času měnit v rámci zdokumentovaných rozsahů. Z tohoto důvodu použití vyhledávacího nástroje k identifikaci aktuální IP adresy pro konkrétní koncový bod a povolení přístupu pouze k této IP adrese nestačí k zajištění spolehlivého přístupu.

Další informace najdete v tématu Značky služeb virtuální sítě.

Důležité

Pokud chcete filtrovat provoz podle IP adres ve službě Azure Government nebo Azure provozované společností 21Vianet, nezapomeňte kromě použití AzureArcInfrastructure značky služby pro váš cloud přidat IP adresy ze AzureArcInfrastructure značky služby pro veřejný cloud Azure. Po 28. říjnu 2025 se bude vyžadovat přidání AzureArcInfrastructure značky služby pro veřejný cloud Azure a značky služeb pro Azure Government a Azure provozované společností 21Vianet už nebudou podporované.

Adresy URL

Tato tabulka uvádí adresy URL, které musí být k dispozici k instalaci a používání agenta Connected Machine.

Cloudová platforma Azure

Poznámka:

Když nakonfigurujete agenta Connected Machine tak, aby komunikoval s Azure prostřednictvím privátního propojení, musí být některé koncové body stále přístupné přes internet. Sloupec podporující privátní propojení v následující tabulce zobrazuje koncové body, které můžete nakonfigurovat s privátním koncovým bodem. Pokud se ve sloupci zobrazuje Veřejný pro koncový bod, musíte povolit přístup k tomuto koncovému bodu přes firewall a/nebo proxy server vaší organizace, aby agent fungoval. Síťový provoz se směruje přes privátní koncové body, pokud je přiřazen rozsah privátního propojení.

Prostředek agenta	Popis	V případě potřeby	Schopný privátního propojení
download.microsoft.com	Používá se ke stažení instalačního balíčku systému Windows.	Pouze v době instalace. 1	Veřejný.
packages.microsoft.com	Používá se ke stažení instalačního balíčku pro Linux.	Pouze v době instalace. 1	Veřejný.
login.microsoftonline.com	Microsoft Entra ID.	Vždy.	Veřejný.
*.login.microsoft.com	Microsoft Entra ID.	Vždy.	Veřejný.
pas.windows.net	Microsoft Entra ID.	Vždy.	Veřejný.
management.azure.com	Azure Resource Manager slouží k vytvoření nebo odstranění prostředku serveru Azure Arc.	Pouze když se připojujete nebo odpojíte server.	Veřejné, pokud není také nakonfigurované privátní propojení pro správu prostředků.
*.his.arc.azure.com	Metadata a služby hybridní identity	Vždy.	Soukromý.
*.guestconfiguration.azure.com	Správa rozšíření a služby konfigurace hosta	Vždy.	Soukromý.
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Služba oznámení pro scénáře rozšíření a připojení.	Vždy.	Veřejný.
azgn*.servicebus.windows.net nebo *.servicebus.windows.net	Služba oznámení pro scénáře rozšíření a připojení.	Vždy.	Veřejný.
*.servicebus.windows.net	Pro scénáře Windows Admin Center a Secure Shell (SSH).	Pokud používáte SSH nebo Windows Admin Center z Azure.	Veřejný.
*.waconazure.com	Pro připojení k Centru pro správu Windows.	Pokud používáte Centrum pro správu Systému Windows.	Veřejný.
dc.services.visualstudio.com	Telemetrie agenta	Optional. Nepoužívá se ve verzích agenta 1.24 nebo novější.	Veřejný.
*.<region>.arcdataservices.com 2	Pro SQL Server s podporou Služby Azure Arc. Odesílá do Azure službu zpracování dat, telemetrii služeb a monitorování výkonu. Povoluje pouze protokol TLS (Transport Layer Security) 1.2 nebo 1.3.	Pokud používáte SQL Server s podporou Služby Azure Arc.	Veřejný.
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2	Pro ověřování Microsoft Entra se serverem SQL s podporou Azure Arc.	Pokud používáte SQL Server s podporou Služby Azure Arc.	Veřejný.
www.microsoft.com/pkiops/certs	Aktualizace pro intermediární certifikáty pro prodloužené aktualizace zabezpečení (používá protokoly HTTP/TCP 80 a HTTPS/TCP 443).	Pokud používáte rozšířené aktualizace zabezpečení povolené službou Azure Arc. Pokud certifikáty stahujete ručně, vždy se vyžaduje pro automatické aktualizace nebo dočasně.	Veřejný.
dls.microsoft.com	Používají se počítače Azure Arc k provádění ověření licence.	Je vyžadováno, když používáte hotpatching, výhody Windows Server Azure nebo průběžné platby Windows Serveru na počítačích s podporou Azure Arc.	Veřejný.

¹ Přístup k této adrese URL je potřeba také při automatickém provedení aktualizací.

² Podrobnosti o tom, jaké informace se shromažďují a odesílají, najdete v tématu Shromažďování a vytváření sestav dat pro SQL Server, které povoluje Azure Arc.

Pro verze rozšíření až do 13. února 2024 použijte san-af-<region>-prod.azurewebsites.net. Od 12. března 2024 se používají jak zpracování dat Azure Arc, tak telemetrie dat Azure Arc s *.<region>.arcdataservices.com.

Poznámka:

Pokud chcete převést zástupný znak *.servicebus.windows.net na konkrétní koncové body, použijte příkaz \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. V rámci tohoto příkazu musí být oblast zadána pro zástupný symbol <region>. Tyto koncové body se můžou pravidelně měnit.

Chcete-li získat segment regionálního koncového bodu, odstraňte všechny mezery z názvu regionu Azure. Například oblast USA – východ 2 , název oblasti je eastus2.

Například: *.<region>.arcdataservices.com musí být *.eastus2.arcdataservices.com v oblasti East US 2.

Pokud chcete zobrazit seznam všech oblastí, spusťte tento příkaz:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Poznámka:

Když nakonfigurujete agenta Connected Machine tak, aby komunikoval s Azure prostřednictvím privátního propojení, musí být některé koncové body stále přístupné přes internet. Koncový bod použitý s privátním odkazem ve sloupci v následující tabulce zobrazuje koncové body, které můžete nakonfigurovat pomocí privátního koncového bodu. Pokud se ve sloupci zobrazuje Veřejný pro koncový bod, musíte povolit přístup k tomuto koncovému bodu přes firewall a/nebo proxy server vaší organizace, aby agent fungoval.

Prostředek agenta	Popis	V případě potřeby	Koncový bod používaný s privátním propojením
download.microsoft.com	Používá se ke stažení instalačního balíčku systému Windows.	Pouze v době instalace. 1	Veřejný.
packages.microsoft.com	Používá se ke stažení instalačního balíčku pro Linux.	Pouze v době instalace. 1	Veřejný.
login.microsoftonline.us	Microsoft Entra ID.	Vždy.	Veřejný.
pasff.usgovcloudapi.net	Microsoft Entra ID.	Vždy.	Veřejný.
management.usgovcloudapi.net	Azure Resource Manager slouží k vytvoření nebo odstranění prostředku serveru Azure Arc.	Pouze když se připojujete nebo odpojíte server.	Veřejné, pokud není také nakonfigurované privátní propojení pro správu prostředků.
*.his.arc.azure.us	Metadata a služby hybridní identity	Vždy.	Soukromý.
*.guestconfiguration.azure.us	Správa rozšíření a služby konfigurace hosta	Vždy.	Soukromý.
*.blob.core.usgovcloudapi.net	Stáhněte si zdroj pro rozšíření serverů s podporou Azure Arc.	Vždy, s výjimkou případů, kdy používáte privátní koncové body.	Nepoužívá se při konfiguraci privátního propojení.
dc.applicationinsights.us	Telemetrie agenta	Optional. Nepoužívá se ve verzích agenta 1.24 nebo novější.	Veřejný.
*.<region>.arcdataservices.azure.us 2	Pro SQL Server s podporou Služby Azure Arc. Odesílá do Azure službu zpracování dat, telemetrii služeb a monitorování výkonu. Povoluje pouze protokol TLS 1.2 nebo 1.3.	Pokud používáte SQL Server s podporou Služby Azure Arc.	Veřejný.
www.microsoft.com/pkiops/certs	Aktualizace pro intermediární certifikáty pro prodloužené aktualizace zabezpečení (používá protokoly HTTP/TCP 80 a HTTPS/TCP 443).	Pokud používáte rozšířené aktualizace zabezpečení povolené službou Azure Arc. Pokud certifikáty stahujete ručně, vždy se vyžaduje pro automatické aktualizace nebo dočasně.	Veřejný.

¹ Přístup k této adrese URL je potřeba také při automatickém provedení aktualizací.

² Podrobnosti o tom, jaké informace se shromažďují a odesílají, najdete v tématu Shromažďování a vytváření sestav dat pro SQL Server, které povoluje Azure Arc.

Azure provozovaný společností 21Vianet

Prostředek agenta	Popis	V případě potřeby
download.microsoft.com	Používá se ke stažení instalačního balíčku systému Windows.	Pouze v době instalace. 1
packages.microsoft.com	Používá se ke stažení instalačního balíčku pro Linux.	Pouze v době instalace. 1
login.chinacloudapi.cn	Microsoft Entra ID.	Vždy.
login.partner.chinacloudapi.cn	Microsoft Entra ID.	Vždy.
pas.chinacloudapi.cn	Microsoft Entra ID.	Vždy.
management.chinacloudapi.cn	Azure Resource Manager slouží k vytvoření nebo odstranění prostředku serveru Azure Arc.	Pouze když se připojujete nebo odpojíte server.
*.his.arc.azure.cn	Metadata a služby hybridní identity	Vždy.
*.guestconfiguration.azure.cn	Správa rozšíření a služby konfigurace hosta	Vždy.
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Služba oznámení pro scénáře rozšíření a připojení.	Vždy.
azgn*.servicebus.chinacloudapi.cn	Služba oznámení pro scénáře rozšíření a připojení.	Vždy.
*.servicebus.chinacloudapi.cn	Pro scénáře Windows Admin Center a SSH.	Pokud používáte SSH nebo Windows Admin Center z Azure.
*.blob.core.chinacloudapi.cn	Stáhněte si zdroj pro rozšíření serverů s podporou Azure Arc.	Vždy, s výjimkou případů, kdy používáte privátní koncové body.
dc.applicationinsights.azure.cn	Telemetrie agenta	Optional. Nepoužívá se ve verzích agenta 1.24 nebo novější.

¹ Přístup k této adrese URL je potřeba také v případě, že jsou aktualizace předem připravené automaticky.

Kryptografické protokoly

Abychom zajistili zabezpečení přenášených dat do Azure, důrazně doporučujeme nakonfigurovat počítače tak, aby používaly protokol TLS 1.2 a 1.3. Ve starších verzích protokolu TLS/Secure Sockets Layer (SSL) bylo zjištěno, že jsou ohrožené. I když stále pracují na tom, aby umožňovaly zpětnou kompatibilitu, nedoporučuje se.

Od verze 1.56 agenta Connected Machine (jenom Windows) musí být pro alespoň jednu z doporučených verzí PROTOKOLU TLS nakonfigurované následující šifrovací sady:

• TLS 1.3 (sady v pořadí preferovaném serverem):

  • TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bitů RSA) FS
  • TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (ekv. 3072 bitů RSA) Finální úroveň zabezpečení (FS)

• TLS 1.2 (sady v pořadí preferovaném serverem):

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15360 bitů RSA) FS
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bitů RSA) FS

Další informace najdete v tématu Problémy s konfigurací protokolu TLS systému Windows.

SQL Server povolený Azure Arc s koncovými body umístěnými na *.\<region\>.arcdataservices.com podporuje pouze protokoly TLS 1.2 a 1.3. Pouze Windows Server 2012 R2 a novější mají podporu protokolu TLS 1.2. Sql Server povolený koncovým bodem telemetrie Azure Arc se nepodporuje pro Windows Server 2012 nebo Windows Server 2012 R2.

Platforma/jazyk	Technická podpora	Více informací
Linux	Linuxové distribuce se obvykle spoléhají na OpenSSL pro podporu protokolu TLS 1.2.	Zkontrolujte protokol změn OpenSSL a ověřte, že je podporovaná vaše verze OpenSSL.
Windows Server 2012 R2 a novější	Podporované a povolené ve výchozím nastavení.	Ověřte, že stále používáte výchozí nastavení.
Windows Server 2012	Částečně podporováno. Nedoporučuje se.	Některé koncové body stále fungují, ale jiné koncové body vyžadují protokol TLS 1.2 nebo novější, který není k dispozici ve Windows Serveru 2012.

Podmnožina koncových bodů pouze pro ESU

Pokud používáte servery s podporou Azure Arc pouze pro rozšířené aktualizace zabezpečení pro některý z následujících produktů nebo pro oba tyto produkty:

• Windows Server 2012
• SQL Server 2012

Můžete povolit následující podmnožinu koncových bodů.

Cloudová platforma Azure

Prostředek agenta	Popis	V případě potřeby	Koncový bod používaný s privátním propojením
download.microsoft.com	Používá se ke stažení instalačního balíčku systému Windows.	Pouze v době instalace. 1	Veřejný.
login.windows.net	Microsoft Entra ID.	Vždy.	Veřejný.
login.microsoftonline.com	Microsoft Entra ID.	Vždy.	Veřejný.
*.login.microsoft.com	Microsoft Entra ID.	Vždy.	Veřejný.
management.azure.com	Azure Resource Manager slouží k vytvoření nebo odstranění prostředku serveru Azure Arc.	Pouze když se připojujete nebo odpojíte server.	Veřejné, pokud není také nakonfigurované privátní propojení pro správu prostředků.
*.his.arc.azure.com	Metadata a služby hybridní identity	Vždy.	Soukromý.
*.guestconfiguration.azure.com	Správa rozšíření a služby konfigurace hosta	Vždy.	Soukromý.
www.microsoft.com/pkiops/certs	Aktualizace pro intermediární certifikáty pro prodloužené aktualizace zabezpečení (používá protokoly HTTP/TCP 80 a HTTPS/TCP 443).	Pokud certifikáty stahujete ručně, vždy pro automatické aktualizace nebo dočasně.	Veřejný.
*.<region>.arcdataservices.com	Služba zpracování dat Azure Arc a telemetrie služeb	Rozšířené aktualizace zabezpečení SQL Serveru	Veřejný.

¹ Přístup k této adrese URL je potřeba také při automatickém provádění aktualizací.

Azure Government

Prostředek agenta	Popis	V případě potřeby	Koncový bod používaný s privátním propojením
download.microsoft.com	Používá se ke stažení instalačního balíčku systému Windows.	Pouze v době instalace. 1	Veřejný.
login.microsoftonline.us	Microsoft Entra ID.	Vždy.	Veřejný.
management.usgovcloudapi.net	Azure Resource Manager slouží k vytvoření nebo odstranění prostředku serveru Azure Arc.	Pouze když se připojujete nebo odpojíte server.	Veřejné, pokud není také nakonfigurované privátní propojení pro správu prostředků.
*.his.arc.azure.us	Metadata a služby hybridní identity	Vždy.	Soukromý.
*.guestconfiguration.azure.us	Správa rozšíření a služby konfigurace hosta	Vždy.	Soukromý.
www.microsoft.com/pkiops/certs	Aktualizace pro intermediární certifikáty pro prodloužené aktualizace zabezpečení (používá protokoly HTTP/TCP 80 a HTTPS/TCP 443).	Pokud certifikáty stahujete ručně, vždy pro automatické aktualizace nebo dočasně.	Veřejný.
*.blob.core.usgovcloudapi.net	Stáhněte balíček rozšíření SQL Serveru.	Rozšířené aktualizace zabezpečení SQL Serveru	Nevyžaduje se, pokud používáte Azure Private Link.

¹ Přístup k této adrese URL je potřeba také při automatickém provádění aktualizací.

Azure provozovaný společností 21Vianet

Poznámka:

Servery s podporou Azure Arc používané pro rozšířené aktualizace zabezpečení pro Windows Server 2012 nejsou v Microsoft Azure provozované v oblastech 21Vianet v tuto chvíli k dispozici.

Související obsah

• Další požadavky pro nasazení agenta Connected Machine najdete v tématu Požadavky agenta Connected Machine.
• Než nasadíte agenta Connected Machine a integrujete se s dalšími službami pro správu a monitorování Azure, projděte si průvodce plánováním a nasazením.
• Pokud chcete vyřešit problémy, projděte si průvodce odstraňováním potíží s připojením agenta.
• Úplný seznam požadavků na síť pro funkce Azure Arc a služby s podporou Azure Arc najdete v tématu Požadavky na síť Azure Arc (konsolidované).