Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se describen los requisitos de red para usar el agente de Connected Machine para incorporar un servidor físico o una máquina virtual en servidores habilitados para Azure Arc.
Sugerencia
Para la nube pública de Azure, puede reducir el número de puntos de conexión necesarios mediante la puerta de enlace de Azure Arc (versión preliminar).
Detalles
Por lo general, los requisitos de conectividad incluyen estos principios:
- Todas las conexiones son TCP a menos que se especifique lo contrario.
- Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
- Todas las conexiones son salientes a menos que se indique de otra manera.
Para utilizar un proxy, compruebe que los agentes y la máquina que realiza el proceso de incorporación cumplen los requisitos de red indicados en este artículo.
Los puntos de conexión de servidor habilitados para Azure Arc son necesarios para todas las ofertas de Arc basadas en servidor.
Configuración de red
El agente de Azure Connected Machine para Linux y Windows realiza comunicaciones salientes de forma segura a Azure Arc mediante el puerto TCP 443. De manera predeterminada, el agente usa la ruta predeterminada a Internet para acceder a los servicios de Azure. Opcionalmente, puede configurar el agente para que use un servidor proxy si la red lo requiere. Los servidores proxy no hacen que el agente de Connected Machine sea más seguro, ya que el tráfico ya está cifrado.
Para proteger aún más la conectividad de red con Azure Arc, en lugar de usar redes públicas y servidores proxy, puede implementar un ámbito de Private Link de Azure Arc .
Nota:
Los servidores habilitados para Azure Arc no admiten el uso de una puerta de enlace de Log Analytics como proxy para el agente de Connected Machine. Al mismo tiempo, Azure Monitor Agent admite la puerta de enlace de Log Analytics.
Si la conectividad saliente está restringida por el firewall o el servidor proxy, asegúrese de que las direcciones URL y etiquetas de servicio que se muestran a continuación no estén bloqueadas.
Etiquetas de servicio
Asegúrese de permitir el acceso a las siguientes etiquetas de servicio:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Almacenamiento
- WindowsAdminCenter (si usa Windows Admin Center para administrar servidores habilitados para Arc)
Para obtener una lista de direcciones IP para cada etiqueta o región de servicio, consulte el archivo JSON Intervalos IP de Azure y etiquetas de servicio: nube pública. Microsoft publica actualizaciones semanales que incluyen cada uno de los servicios de Azure y los intervalos IP que usan. Esta información en el archivo JSON es la lista actual en un momento dado de los intervalos de direcciones IP que corresponden a cada etiqueta de servicio. Las direcciones IP están sujetas a cambios. Si se requieren intervalos de direcciones IP para la configuración del firewall, se debe usar la etiqueta de servicio de AzureCloud para permitir el acceso a todos los servicios de Azure. No deshabilite la supervisión de seguridad ni la inspección de estas direcciones URL, pero permítalas como haría con otro tráfico de Internet.
Si filtra el tráfico a la etiqueta de servicio AzureArcInfrastructure, debe permitir el tráfico al intervalo de etiquetas de servicio completo. Los intervalos anunciados para regiones individuales, por ejemplo AzureArcInfrastructure.AustraliaEast, no incluyen los intervalos IP usados por los componentes globales del servicio. La dirección IP específica resuelta para estos puntos de conexión puede cambiar con el tiempo dentro de los intervalos documentados, por lo que simplemente usar una herramienta de búsqueda para identificar la dirección IP actual de un punto de conexión determinado y permitir el acceso a que no será suficiente para garantizar un acceso confiable.
Para más información, consulte Etiquetas de servicio de red virtual.
Direcciones web URL
En la tabla siguiente se enumeran las direcciones URL que deben estar disponibles para instalar y usar el agente de Connected Machine.
Nota:
Al configurar el agente de máquina conectada de Azure para comunicarse con Azure a través de un vínculo privado, se debe acceder a algunos puntos de conexión a través de Internet. La columna compatible con Private Link de la tabla siguiente muestra qué puntos de conexión se pueden configurar con un punto de conexión privado. Si la columna muestra Public para un punto de conexión, debe permitir el acceso a ese punto de conexión a través del firewall o servidor proxy de la organización para que funcione el agente. El tráfico de red se enruta a través del punto de conexión privado si se asigna un ámbito de vínculo privado.
| Recurso del agente | Descripción | Cuándo es necesario | Capaz de enlace privado |
|---|---|---|---|
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | En el momento de la instalación, solo 1 | Público |
packages.microsoft.com |
Se usa para descargar el paquete de instalación de Linux | En el momento de la instalación, solo 1 | Público |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Público |
*.login.microsoft.com |
Microsoft Entra ID | Siempre | Público |
pas.windows.net |
Microsoft Entra ID | Siempre | Público |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que también se configure un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servicio de notificaciones para escenarios de extensión y conectividad | Siempre | Público |
azgn*.servicebus.windows.net |
Servicio de notificaciones para escenarios de extensión y conectividad | Siempre | Público |
*.servicebus.windows.net |
Para escenarios de Windows Admin Center y SSH | Si usa SSH o Windows Admin Center desde Azure | Público |
*.waconazure.com |
Para conectividad de Windows Admin Center | Si usa Windows Admin Center: | Público |
*.blob.core.windows.net |
Origen de descarga para las extensiones de servidores habilitados para Azure Arc | Siempre, excepto cuando se usan puntos de conexión privados | No se usa cuando se configura un vínculo privado |
dc.services.visualstudio.com |
Telemetría del agente | Opcional, no se usa en las versiones del agente 1.24+ | Público |
*.<region>.arcdataservices.com2 |
Para Arc SQL Server. Envía el servicio de procesamiento de datos, la telemetría del servicio y la supervisión del rendimiento a Azure. Solo permite TLS 1.2 o 1.3. | Siempre | Público |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para ESU (nota: usa HTTP/TCP 80 y HTTPS/TCP 443) | Si se usan ESU habilitadas por Azure Arc. Se requiere siempre para las actualizaciones automáticas, o temporalmente, si se descargan los certificados manualmente. | Público |
dls.microsoft.com |
Usado por máquinas de Arc para realizar la validación de licencias | Necesario cuando se usa hotpatching, Windows Server Azure Benefits o Windows Server PayGo en máquinas habilitadas para Arc | Público |
1 El acceso a esta dirección URL también es necesario al realizar actualizaciones automáticamente.
2 Para más información sobre qué información se recopila y envía, revise Recopilación de datos e informes de SQL Server habilitados por Azure Arc.
Para las versiones de extensión hasta el 13 de febrero de 2024, use san-af-<region>-prod.azurewebsites.net. A partir del 12 de marzo de 2024, tanto el procesamiento de datos de Azure Arc como la telemetría de datos de Azure Arc usan *.<region>.arcdataservices.com.
Nota:
Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. En este comando se debe especificar la región del marcador de posición <region>. Estos puntos de conexión pueden cambiar periódicamente.
Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, región Este de EE. UU. 2 , el nombre de la región es eastus2.
Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.
Para ver una lista de todas las regiones, ejecute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolo Seguridad de la capa de transporte 1.2
Para garantizar la seguridad de los datos en tránsito hacia Azure, se recomienda encarecidamente configurar la máquina para que use Seguridad de la capa de transporte (TLS) 1.2. Se ha encontrado que las versiones anteriores de la capa de sockets seguros (SSL) son vulnerables y, aunque todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomiendan.
El servidor SQL Server habilitado por los puntos de conexión de Azure Arc ubicados en *.<region.arcdataservices.com> solo admite TLS 1.2 y 1.3. Solo Windows Server 2012 R2 y versiones posteriores admiten TLS 1.2. Sql Server habilitado por el punto de conexión de telemetría de Azure Arc no es compatible con Windows Server 2012 ni Windows Server 2012 R2.
| Plataforma/lenguaje | Soporte técnico | Más información |
|---|---|---|
| Linux | Las distribuciones de Linux tienden a depender de OpenSSL para la compatibilidad con TLS 1.2. | Compruebe el registro de cambios de OpenSSL para confirmar que se admite la versión de OpenSSL. |
| Windows Server 2012 R2 y versiones posteriores | Compatible, y habilitado de manera predeterminada. | Para confirmar que sigue usando la configuración predeterminada. |
| Windows Server 2012 | Se admite parcialmente. No se recomienda. | Algunos puntos de conexión como se indicó anteriormente funcionarán, pero algunos puntos de conexión requieren TLS 1.2 o superior, que no está disponible en Windows Server 2012. |
Subconjunto de puntos de conexión solo para ESU
Si usa servidores habilitados para Azure Arc solo para actualizaciones de seguridad extendidas para uno o ambos de los siguientes productos:
- Windows Server 2012
- SQL Server 2012
Puede habilitar el siguiente subconjunto de puntos de conexión:
| Recurso del agente | Descripción | Cuándo es necesario | Punto de conexión usado con vínculo privado |
|---|---|---|---|
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | En el momento de la instalación, solo 1 | Público |
login.windows.net |
Microsoft Entra ID | Siempre | Público |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Público |
*.login.microsoft.com |
Microsoft Entra ID | Siempre | Público |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que también se configure un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para ESU (nota: usa HTTP/TCP 80 y HTTPS/TCP 443) | Siempre para las actualizaciones automáticas, o temporalmente, si se descargan los certificados manualmente. | Público |
*.<region>.arcdataservices.com |
Servicio de procesamiento de datos y telemetría de servicio de Azure Arc. | Actualizaciones de Seguridad Extendida (ESU) de SQL Server | Público |
*.blob.core.windows.net |
Descarga del paquete de extensión de Sql Server | Actualizaciones de Seguridad Extendida (ESU) de SQL Server | No es necesario si se usa Private Link |
1 El acceso a esta dirección URL también es necesario al realizar actualizaciones automáticamente.
Pasos siguientes
- Revise los requisitos previos adicionales para implementar el agente de Connected Machine.
- Antes de implementar el agente de Azure Connected Machine e integrarlo con otros servicios de administración y supervisión de Azure, revise la guía de planeación e implementación.
- Para resolver problemas, revise la guía de solución de problemas de conexión del agente.
- Para obtener una lista completa de los requisitos de red para las características de Azure Arc y los servicios habilitados para Azure Arc, consulte Requisitos de red de Azure Arc (consolidados).