Requisitos de red del agente de Connected Machine
En este tema se describen los requisitos de red para usar el agente de Connected Machine para incorporar un servidor físico o una máquina virtual en servidores habilitados para Azure Arc.
Detalles
Por lo general, los requisitos de conectividad incluyen estos principios:
- Todas las conexiones son TCP a menos que se especifique lo contrario.
- Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
- Todas las conexiones son salientes a menos que se especifique lo contrario.
Para usar un proxy, compruebe que los agentes y la máquina que realizan el proceso de incorporación cumplen los requisitos de red de este artículo.
Los puntos de conexión de servidor habilitados para Azure Arc son necesarios para todas las ofertas de Arc basadas en servidor.
Configuración de red
El agente de Azure Connected Machine para Linux y Windows se comunica de forma segura con la salida de Azure Arc mediante el puerto TCP 443. De manera predeterminada, el agente usa la ruta predeterminada a Internet para acceder a los servicios de Azure. Opcionalmente, puede configurar el agente para que use un servidor proxy si la red lo requiere. Los servidores proxy no hacen que el agente de Connected Machine sea más seguro, ya que el tráfico ya está cifrado.
Para proteger aún más la conectividad de red con Azure Arc, en lugar de usar redes públicas y servidores proxy, puede implementar un ámbito de Private Link de Azure Arc.
Nota:
Los servidores habilitados para Arc no admiten el uso de una puerta de enlace de Log Analytics como proxy para el agente de Connected Machine.
Si la conectividad saliente está restringida por el firewall o el servidor proxy, asegúrese de que las direcciones URL y etiquetas de servicio que se muestran a continuación no estén bloqueadas.
Etiquetas de servicio
Asegúrese de permitir el acceso a las siguientes etiquetas de servicio:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (si usa Windows Admin Center a fin de administrar servidores habilitados para Arc)
Para obtener una lista de direcciones IP para cada etiqueta o región del servicio, consulte el archivo JSON Rangos de direcciones IP y etiquetas de servicio de Azure: nube pública. Microsoft publica actualizaciones semanales que incluyen cada uno de los servicios de Azure y los intervalos IP que usan. Esta información en el archivo JSON es la lista actual en un momento dado de los intervalos de direcciones IP que corresponden a cada etiqueta de servicio. Las direcciones IP están sujetas a cambios. Si se necesitan intervalos de direcciones IP para la configuración del firewall, se debe usar la etiqueta de servicio AzureCloud para permitir el acceso a todos los servicios de Azure. No deshabilite la supervisión de seguridad ni la inspección de estas direcciones URL, pero permítalas como haría con otro tráfico de Internet.
Para más información, consulte Etiquetas de servicio de red virtual.
URLs
En la tabla siguiente se enumeran las direcciones URL que deben estar disponibles para instalar y usar el agente de Connected Machine.
Nota:
Al configurar el agente de máquina conectada de Azure para comunicarse con Azure a través de un vínculo privado, se debe acceder a algunos puntos de conexión a través de Internet. El punto de conexión usado con la columna private link de la tabla siguiente muestra qué puntos de conexión se pueden configurar con un punto de conexión privado. Si la columna muestra Public para un punto de conexión, debe permitir el acceso a ese punto de conexión a través del firewall o servidor proxy de la organización para que funcione el agente.
| Recurso del agente | Descripción | Cuándo es necesario | Punto de conexión que se usa con un vínculo privado |
|---|---|---|---|
aka.ms |
Se usa para resolver el script de descarga durante la instalación | Solo en el momento de la instalación | Public |
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | Solo en el momento de la instalación | Public |
packages.microsoft.com |
Se usa para descargar el paquete de instalación de Linux | Solo en el momento de la instalación | Public |
login.windows.net |
Microsoft Entra ID | Siempre | Public |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Public |
pas.windows.net |
Microsoft Entra ID | Siempre | Public |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que se configure también un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servicio de notificaciones para escenarios de extensión y conectividad | Siempre | Public |
azgn*.servicebus.windows.net |
Servicio de notificaciones para escenarios de extensión y conectividad | Siempre | Public |
*.servicebus.windows.net |
Para escenarios de Windows Admin Center y SSH | Si usa SSH o Windows Admin Center desde Azure | Public |
*.waconazure.com |
Para conectividad de Windows Admin Center | Si usa Windows Admin Center: | Public |
*.blob.core.windows.net |
Origen de descarga para las extensiones de servidores habilitados para Azure Arc | Siempre, excepto cuando se usan puntos de conexión privados | No se usa cuando se configura un vínculo privado |
dc.services.visualstudio.com |
Telemetría del agente | Opcional, no se usa en las versiones del agente 1.24+ | Public |
san-af-<region>-prod.azurewebsites.net |
Servicio de procesamiento de datos de Azure Arc | Para SQL Server habilitado por Azure Arc. La extensión de Azure para SQL Server carga información de inventario y facturación en el servicio de procesamiento de datos. | Public |
telemetry.<region>.arcdataservices.com |
Para Arc SQL Server. Envía telemetría del servicio y supervisión del rendimiento a Azure | Siempre | Public |
microsoft.com/pkiops/certs |
Descarga de certificados para ESU | ESU habilitadas por Azure Arc | Public |
Nota:
Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. En este comando se debe especificar la región del marcador de posición <region>.
Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.
Por ejemplo: san-af-<region>-prod.azurewebsites.net debe ser san-af-eastus2-prod.azurewebsites.net en la región Este de EE. UU. 2.
Para ver una lista de todas las regiones, ejecute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolo Seguridad de la capa de transporte 1.2
Para garantizar la seguridad de los datos en tránsito hacia Azure, se recomienda encarecidamente configurar la máquina para que use Seguridad de la capa de transporte (TLS) 1.2. Las versiones anteriores de TLS/Capa de sockets seguros (SSL) han demostrado ser vulnerables y, si bien todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomiendan.
| Plataforma/lenguaje | Soporte técnico | Más información |
|---|---|---|
| Linux | Las distribuciones de Linux tienden a basarse en OpenSSL para la compatibilidad con TLS 1.2. | Compruebe el registro de cambios de OpenSSL para confirmar si su versión de OpenSSL es compatible. |
| Windows Server 2012 R2 y versiones posteriores | Compatible, y habilitado de manera predeterminada. | Para confirmar que aún usa la configuración predeterminada. |
Subconjunto de puntos de conexión solo para ESU
Si usa servidores habilitados para Azure Arc solo con el fin de la Novedades de seguridad extendida para Windows Server 2012, puede habilitar el siguiente subconjunto de puntos de conexión:
| Recurso del agente | Descripción | Cuándo es necesario | Punto de conexión que se usa con un vínculo privado |
|---|---|---|---|
aka.ms |
Se usa para resolver el script de descarga durante la instalación | Solo en el momento de la instalación | Public |
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | Solo en el momento de la instalación | Public |
login.windows.net |
Microsoft Entra ID | Siempre | Public |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Public |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que se configure también un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
microsoft.com/pkiops/certs |
Descarga de certificados para ESU | ESU habilitadas por Azure Arc | Public |
Pasos siguientes
- Revise los requisitos previos adicionales para implementar el agente de Connected Machine.
- Antes de implementar el agente de Azure Conectar Machine e integrarlo con otros servicios de administración y supervisión de Azure, revise la guía de planeación e implementación.
- Para resolver problemas, revise la guía de solución de problemas de conexión del agente.
- Para obtener una lista completa de los requisitos de red para las características de Azure Arc y los servicios habilitados para Azure Arc, consulte Requisitos de red de Azure Arc (consolidados).