Netzwerkanforderungen für den Connected Machine-Agent
In diesem Thema werden die Netzwerkanforderungen für die Verwendung des Connected Machine-Agents zum Integrieren eines physischen Servers oder virtuellen Computers in Server mit Azure Arc-Unterstützung beschrieben.
Details
Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:
- Alle Verbindungen sind TCP, sofern nicht anders angegeben.
- Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
- Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.
Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.
Für alle serverbasierten Arc-Angebote sind Serverendpunkte mit Azure Arc-Unterstützung erforderlich.
Netzwerkkonfiguration
Der Azure Connected Machine-Agent für Linux und Windows kommuniziert ausgehend auf sichere Weise mit Azure Arc über TCP-Port 443. Standardmäßig verwendet der Agent die Standardroute zum Internet, um Azure-Dienste zu erreichen. Optional können Sie den Agent so konfigurieren, dass er einen Proxyserver verwendet, wenn Ihr Netzwerk dies erfordert. Proxyserver machen den Connected Machine-Agent nicht sicherer, da der Datenverkehr bereits verschlüsselt ist.
Um Ihre Netzwerkkonnektivität mit Azure Arc zu schützen, können Sie anstelle von öffentlichen Netzwerken und Proxyservern einen Azure Arc Private Link implementieren.
Hinweis
Azure Arc-fähige Server unterstützen nicht die Verwendung eines Log Analytics-Gateways als Proxy für den Connected Machine-Agent. Gleichzeitig unterstützt der Azure Monitor-Agent das Log Analytics-Gateway.
Sollte die ausgehende Konnektivität durch Ihre Firewall oder Ihren Proxyserver eingeschränkt sein, stellen Sie sicher, dass die unten aufgeführten URLs und Diensttags nicht blockiert werden.
Diensttags
Erlauben Sie unbedingt Zugriff auf die folgenden Diensttags:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (wenn Windows Admin Center zum Verwalten von Servern mit Arc-Unterstützung verwendet wird)
Eine Liste der IP-Adressen für die einzelnen Diensttags/Regionen finden Sie in der JSON-Datei unter Azure-IP-Adressbereiche und -Diensttags – Öffentliche Cloud. Microsoft veröffentlicht wöchentliche Updates zu den einzelnen Azure-Diensten und den dafür genutzten IP-Adressbereichen. Bei diesen Informationen in der JSON-Datei handelt es sich um die zum jetzigen Zeitpunkt gültige Liste der IP-Adressbereiche, die den einzelnen Diensttags entsprechen. Die IP-Adressen können sich ändern. Falls IP-Adressbereiche für Ihre Firewallkonfiguration erforderlich sind, sollte das Diensttag AzureCloud verwendet werden, um den Zugriff auf alle Azure-Dienste zuzulassen. Deaktivieren Sie weder die Sicherheitsüberwachung noch die Überprüfung dieser URLs. Lassen Sie sie wie anderen Internetdatenverkehr zu.
Wenn Sie Den Datenverkehr auf das AzureArcInfrastructure-Diensttag filtern, müssen Sie den Datenverkehr für den gesamten Diensttagbereich zulassen. Die für einzelne Regionen angekündigten Bereiche, z. B. AzureArcInfrastructure.AustraliaEast, enthalten nicht die IP-Bereiche, die von globalen Komponenten des Diensts verwendet werden. Die für diese Endpunkte aufgelöste spezifische IP-Adresse kann sich im Laufe der Zeit innerhalb der dokumentierten Bereiche ändern. Verwenden Sie daher einfach ein Nachschlagetool, um die aktuelle IP-Adresse für einen bestimmten Endpunkt zu identifizieren und den Zugriff darauf zu ermöglichen, um einen zuverlässigen Zugriff zu gewährleisten.
Weitere Informationen finden Sie unter Diensttags für virtuelle Netzwerke.
URLs
In der folgenden Tabelle sind die URLs aufgeführt, die verfügbar sein müssen, um den Connected Machine-Agent zu installieren und zu verwenden.
Hinweis
Beim Konfigurieren des mit Azure verbundenen Computer-Agents für die Kommunikation mit Azure über Private Link müssen einige Endpunkte weiterhin über das Internet aufgerufen werden. Die Spalte Für privaten Link geeignet in der folgenden Tabelle zeigt, welche Endpunkte mit einem privaten Endpunkt konfiguriert werden können. Wenn in der Spalte Öffentlich für einen Endpunkt angezeigt wird, müssen Sie dennoch den Zugriff auf diesen Endpunkt über die Firewall und/oder den Proxyserver Ihrer Organisation zulassen, damit der Agent funktioniert. Der Netzwerkdatenverkehr wird über den privaten Endpunkt geleitet, wenn ein Bereich für private Links zugewiesen ist.
| Agent-Ressource | Beschreibung | Wenn erforderlich | Für privaten Link geeignet |
|---|---|---|---|
aka.ms |
Wird verwendet, um das Downloadskript während der Installation aufzulösen. | Nur zur Installationszeit | Öffentlich |
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. | Nur zur Installationszeit | Öffentlich |
packages.microsoft.com |
Wird zum Herunterladen des Linux-Installationspakets verwendet. | Nur zur Installationszeit | Öffentlich |
login.windows.net |
Microsoft Entra ID | Always | Öffentlich |
login.microsoftonline.com |
Microsoft Entra ID | Always | Öffentlich |
*login.microsoft.com |
Microsoft Entra ID | Always | Öffentlich |
pas.windows.net |
Microsoft Entra ID | Always | Öffentlich |
management.azure.com |
Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource | Nur beim Verbinden oder Trennen eines Servers | Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert. |
*.his.arc.azure.com |
Metadaten- und Hybrididentitätsdienste | Always | Privat |
*.guestconfiguration.azure.com |
Erweiterungs- und Gastkonfigurationsdienste | Always | Privat |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien | Always | Öffentlich |
azgn*.servicebus.windows.net |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien | Always | Öffentlich |
*.servicebus.windows.net |
Für Windows Admin Center- und SSH-Szenarien | Wenn SSH oder Windows Admin Center aus Azure verwendet wird | Öffentlich |
*.waconazure.com |
Für Windows Admin Center-Konnektivität | Bei Verwendung von Windows Admin Center | Öffentlich |
*.blob.core.windows.net |
Herunterladen der Quelle für die Erweiterungen für Azure Arc-fähige Server | Immer, außer bei Verwendung privater Endpunkte | Wird nicht verwendet, wenn ein private Verbindung konfiguriert ist. |
dc.services.visualstudio.com |
Agent-Telemetrie | Optional, nicht in Agent-Versionen 1.24 und höher verwendet | Öffentlich |
*.<region>.arcdataservices.com 1 |
Für Arc SQL Server. Sendet Datenverarbeitungsdienst, Diensttelemetrie und Leistungsüberwachung an Azure. TLS 1.3 zulässig | Always | Öffentlich |
www.microsoft.com/pkiops/certs |
Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) | Bei Verwendung der von Azure Arc aktivierten ESUs. Immer für automatische Updates oder vorübergehend erforderlich, wenn Zertifikate manuell heruntergeladen werden. | Öffentlich |
1 Einzelheiten dazu, welche Informationen gesammelt und gesendet werden, finden Sie unter Datensammlung und Berichterstellung für SQL Server über Azure Arc.
Für Erweiterungsversionen bis einschließlich 13. Februar 2024 verwenden Sie san-af-<region>-prod.azurewebsites.net. Ab dem 12. März 2024 verwenden sowohl die Azure Arc-Datenverarbeitung als auch die Azure Arc-Datentelemetrie *.<region>.arcdataservices.com.
Hinweis
Um den Platzhalter *.servicebus.windows.net in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. In diesem Befehl muss die Region für den Platzhalter <region> angegeben werden. Diese Endpunkte können sich regelmäßig ändern.
Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.
Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com*.eastus2.arcdataservices.com sein.
Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:
az account list-locations -o table
Get-AzLocation | Format-Table
Transport Layer Security 1.2-Protokoll (TLS)
Um die Sicherheit von Daten bei der Übertragung an Azure zu gewährleisten, wird dringend empfohlen, den Computer so zu konfigurieren, dass er TLS 1.2 (Transport Layer Security) verwendet. Bei älteren Versionen von TLS/Secure Sockets Layer (SSL) wurde ein Sicherheitsrisiko festgestellt. Sie funktionieren aus Gründen der Abwärtskompatibilität zwar noch, werden jedoch nicht empfohlen.
| Plattform/Sprache | Support | Weitere Informationen |
|---|---|---|
| Linux | Linux-Distributionen greifen zur Unterstützung von TLS 1.2 tendenziell auf OpenSSL zurück. | Überprüfen Sie anhand des OpenSSL-Änderungsprotokolls, ob Ihre Version von OpenSSL unterstützt wird. |
| Windows Server 2012 R2 und höhere Versionen | Unterstützt und standardmäßig aktiviert. | Zur Bestätigung, dass Sie weiterhin die Standardeinstellungen verwenden. |
Nur Teilmenge der Endpunkte für ESU
Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für eins oder beide der folgenden Produkte verwenden:
- Windows Server 2012
- SQL Server 2012
Sie können die folgende Teilmenge von Endpunkten aktivieren:
| Agent-Ressource | Beschreibung | Wenn erforderlich | Mit privatem Link verwendeter Endpunkt |
|---|---|---|---|
aka.ms |
Wird verwendet, um das Downloadskript während der Installation aufzulösen. | Nur zur Installationszeit | Öffentlich |
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. | Nur zur Installationszeit | Öffentlich |
login.windows.net |
Microsoft Entra ID | Always | Öffentlich |
login.microsoftonline.com |
Microsoft Entra ID | Always | Öffentlich |
*login.microsoft.com |
Microsoft Entra ID | Always | Öffentlich |
management.azure.com |
Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource | Nur beim Verbinden oder Trennen eines Servers | Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert. |
*.his.arc.azure.com |
Metadaten- und Hybrididentitätsdienste | Always | Privat |
*.guestconfiguration.azure.com |
Erweiterungs- und Gastkonfigurationsdienste | Always | Privat |
www.microsoft.com/pkiops/certs |
Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) | Immer für automatische Updates oder vorübergehend, wenn Zertifikate manuell heruntergeladen werden. | Öffentlich |
*.<region>.arcdataservices.com |
Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie. | SQL Server-ESUs | Öffentlich |
*.blob.core.windows.net |
Sql Server-Erweiterungspaket herunterladen | SQL Server-ESUs | Bei Verwendung einer privaten Verbindung nicht erforderlich |
Nächste Schritte
- Überprüfen Sie die zusätzlichen Voraussetzungen für die Bereitstellung des Connected Machine-Agents.
- Lesen Sie den Planungs- und Bereitstellungsleitfaden, bevor Sie den Agent für Azure Connected Machine bereitstellen und in andere Verwaltungs- und Überwachungsdienste von Azure integrieren.
- Informationen zum Beheben von Problemen finden Sie im Leitfaden zur Problembehandlung bei Agent-Verbindungsproblemen.
- Eine vollständige Liste der Netzwerkanforderungen für Azure Arc-Features und Dienste mit Azure Arc-Unterstützung finden Sie unter Azure Arc-Netzwerkanforderungen (konsolidiert).