Configuration réseau requise de l’agent Connected Machine
Cette rubrique décrit la configuration réseau requise pour l’utilisation de l’agent Connected Machine pour intégrer un serveur physique ou une machine virtuelle à des serveurs avec Azure Arc.
Détails
En règle générale, les exigences de connectivité incluent les principes suivants :
- Toutes les connexions sont TCP, sauf indication contraire.
- Toutes les connexions HTTP utilisent HTTPS et SSL/TLS avec des certificats officiellement signés et vérifiables.
- Toutes les connexions sont sortantes, sauf indication contraire.
Pour utiliser un proxy, vérifiez que les agents et l’ordinateur effectuant le processus d’intégration répondent aux exigences réseau requises dans cet article.
Les points de terminaison de serveur compatibles avec Azure Arc sont requis pour toutes les offres Arc basées sur le serveur.
Configuration du réseau
L’agent Azure Connected Machine pour Linux et Windows communique de manière sécurisée vers Azure Arc sur le port TCP 443. Par défaut, l’agent utilise l’itinéraire par défaut vers Internet pour atteindre les services Azure. Vous pouvez éventuellement configurer l’agent pour qu’il utilise un serveur proxy si votre réseau en a besoin. Les serveurs proxy ne sécurisent pas davantage l’agent Connected Machine, car le trafic est déjà chiffré.
Pour sécuriser davantage votre connectivité réseau à Azure Arc, au lieu d’utiliser des réseaux publics et des serveurs proxy, vous pouvez implémenter une étendue de liaison privée Azure Arc.
Remarque
Les serveurs avec Azure Arc ne prennent pas en charge l’utilisation d’une passerelle Log Analytics comme proxy pour l’agent Connected Machine. Parallèlement, l’agent Azure Monitor prend en charge la passerelle Log Analytics.
Si la connectivité sortante est restreinte par votre pare-feu ou votre serveur proxy, vérifiez que les URL et les étiquettes de service listées ci-dessous ne sont pas bloquées.
Balises de service
Veillez à autoriser l’accès aux étiquettes de service suivantes :
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Stockage
- WindowsAdminCenter (si vous utilisez Windows Admin Center pour gérer les serveurs avec Arc)
Pour obtenir la liste d’adresses IP de chaque étiquette de service/région, consultez le fichier JSON Plages d’adresses IP Azure et étiquettes de service – Cloud public. Microsoft publie chaque semaine une mise à jour contenant chacun des services Azure et les plages d’adresses IP qu’il utilise. Ces informations dans le fichier JSON constituent la liste actuelle des plages d’adresses IP qui correspondent à chaque balise de service. Les adresses IP sont sujettes à modification. Si des plages d’adresses IP sont requises par la configuration de votre pare-feu, utilisez l’étiquette de service AzureCloud pour autoriser l’accès à tous les services Azure. Ne désactivez pas la supervision ou l’inspection de la sécurité de ces URL ; autorisez-les comme vous le feriez pour tout autre trafic Internet.
Si vous filtrez le trafic vers la balise de service AzureArcInfrastructure, vous devez autoriser le trafic vers la plage d’étiquettes de service complète. Les plages publiées pour des régions individuelles, par exemple AzureArcInfrastructure.AustraliaEast, n’incluent pas les plages d’adresses IP utilisées par les composants globaux du service. L’adresse IP spécifique résolue pour ces points de terminaison peut changer au fil du temps dans les plages documentées. Par conséquent, il suffit d’utiliser un outil de recherche pour identifier l’adresse IP actuelle d’un point de terminaison donné et d’autoriser l’accès à celui-ci ne sera pas suffisant pour garantir un accès fiable.
Pour plus d’informations, consultez Étiquettes de service du réseau virtuel.
URLs
Le tableau ci-dessous liste les URL qui doivent être disponibles pour installer et utiliser l’agent Connected Machine.
Remarque
Lors de la configuration de l’agent de machine connectée Azure pour communiquer avec Azure via une liaison privée, certains points de terminaison doivent toujours être accessibles via Internet. La colonne Liaison privée compatible du tableau suivant indique les points d’extrémité qui peuvent être configurés avec un point de terminaison privé. Si la colonne affiche public pour un point de terminaison, vous devez toujours autoriser l’accès à ce point de terminaison via le pare-feu et/ou le serveur proxy de votre organisation pour que l’agent fonctionne. Le trafic réseau est acheminé par le point de terminaison privé si une étendue de liaison privée est attribuée.
| Ressource de l’agent | Description | Requise quand ? | Liaison privée compatible |
|---|---|---|---|
aka.ms |
Utilisée pour résoudre le script de téléchargement lors de l’installation | Au moment de l’installation uniquement | Public |
download.microsoft.com |
Utilisée pour télécharger le package d’installation Windows | Au moment de l’installation uniquement | Public |
packages.microsoft.com |
Utilisée pour télécharger le package d’installation Linux | Au moment de l’installation uniquement | Public |
login.microsoftonline.com |
Microsoft Entra ID | Toujours | Public |
*login.microsoft.com |
Microsoft Entra ID | Toujours | Public |
pas.windows.net |
Microsoft Entra ID | Toujours | Public |
management.azure.com |
Azure Resource Manager - pour créer ou supprimer la ressource du serveur Arc | Lors de la connexion ou de la déconnexion d’un serveur uniquement | Public, sauf si une liaison privée de gestion des ressources est également configurée |
*.his.arc.azure.com |
Services de métadonnées et d’identité hybride | Toujours | Privée |
*.guestconfiguration.azure.com |
Services de gestion d’extensions et de configuration Invité | Toujours | Privée |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Service de notification pour les scénarios d’extension et de connectivité | Toujours | Public |
azgn*.servicebus.windows.net |
Service de notification pour les scénarios d’extension et de connectivité | Toujours | Public |
*.servicebus.windows.net |
Pour les scénarios Windows Admin Center et SSH | Si vous utilisez SSH ou Windows Admin Center à partir d’Azure | Public |
*.waconazure.com |
Pour une connectivité Windows Admin Center | Si vous utilisez Windows Admin Center | Public |
*.blob.core.windows.net |
Source de téléchargement pour les extensions de serveurs avec Azure Arc | Toujours, sauf en cas d’utilisation de points de terminaison privés | Non utilisé lorsque la liaison privée est configurée |
dc.services.visualstudio.com |
Télémétrie de l’agent | Facultatif, non utilisé dans les versions de l’agent 1.24+ | Publique |
*.<region>.arcdataservices.com 1 |
Pour Arc SQL Server. Envoie le service de traitement des données, la télémétrie de service et la surveillance des performances à Azure. Autorise TLS 1.3. | Toujours | Public |
www.microsoft.com/pkiops/certs |
Mise à jour des certificats intermédiaires pour les ESU ( remarque : utilise HTTP/TCP 80 et HTTPS/TCP 443) | En cas d’utilisation des ESU activées par Azure Arc. Toujours requis pour les mises à jour automatiques, ou temporairement si les certificats sont téléchargés manuellement. | Publique |
1 Pour plus d’informations sur les informations collectées et envoyées, consultez Collecte et création de rapports de données pour SQL Server activés par Azure Arc.
Pour les versions d’extension jusqu’au et incluant le 13 février 2024, utilisez san-af-<region>-prod.azurewebsites.net. Depuis le 12 mars 2024 le traitement des données Azure Arc et la télémétrie des données Azure Arc utilisent *.<region>.arcdataservices.com.
Remarque
Pour translater le caractère générique *.servicebus.windows.net en points de terminaison spécifiques, utilisez la commande \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dans cette commande, la région doit être spécifiée pour l’espace réservé <region>. Ces points de terminaison peuvent périodiquement changer.
Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.
Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.
Pour afficher la liste de toutes les régions, exécutez cette commande :
az account list-locations -o table
Get-AzLocation | Format-Table
Protocole Transport Layer Security 1.2
Pour garantir la sécurité des données en transit vers Azure, nous vous encourageons vivement à configurer la machine de manière à utiliser le protocole TLS (Transport Layer Security) 1.2. Les versions antérieures de TLS/SSL (Secure Sockets Layer) se sont avérées vulnérables et bien qu’elles fonctionnent encore pour assurer la compatibilité descendante, elles sont déconseillées.
| Plateforme/Langage | Support | Informations complémentaires |
|---|---|---|
| Linux | Les distributions de Linux s’appuient généralement sur OpenSSL pour la prise en charge de TLS 1.2. | Vérifiez OpenSSL Changelog pour vous assurer que votre version d’OpenSSL est prise en charge. |
| Windows Server 2012 R2 et versions ultérieures | Pris en charge, activé par défaut. | Pour confirmer que vous utilisez toujours les paramètres par défaut. |
Sous-ensemble de points de terminaison pour l’ESU uniquement
Si vous utilisez des serveurs Azure Arc uniquement pour des mises à jour de sécurité étendues pour l’un ou l’autre des produits suivants, ou pour les deux :
- Windows Server 2012
- SQL Server 2012
Vous pouvez activer le sous-ensemble de points de terminaison suivant :
| Ressource de l’agent | Description | Requise quand ? | Point de terminaison utilisé avec une liaison privée |
|---|---|---|---|
aka.ms |
Utilisée pour résoudre le script de téléchargement lors de l’installation | Au moment de l’installation uniquement | Public |
download.microsoft.com |
Utilisée pour télécharger le package d’installation Windows | Au moment de l’installation uniquement | Public |
login.windows.net |
Microsoft Entra ID | Toujours | Public |
login.microsoftonline.com |
Microsoft Entra ID | Toujours | Public |
*login.microsoft.com |
Microsoft Entra ID | Toujours | Public |
management.azure.com |
Azure Resource Manager - pour créer ou supprimer la ressource du serveur Arc | Lors de la connexion ou de la déconnexion d’un serveur uniquement | Public, sauf si une liaison privée de gestion des ressources est également configurée |
*.his.arc.azure.com |
Services de métadonnées et d’identité hybride | Toujours | Privée |
*.guestconfiguration.azure.com |
Services de gestion d’extensions et de configuration Invité | Toujours | Privée |
www.microsoft.com/pkiops/certs |
Mise à jour des certificats intermédiaires pour les ESU ( remarque : utilise HTTP/TCP 80 et HTTPS/TCP 443) | Toujours pour les mises à jour automatiques, ou temporairement si vous téléchargez les certificats manuellement. | Publique |
*.<region>.arcdataservices.com |
Service de traitement de données Azure Arc et télémétrie du service. | ESU SQL Server | Publique |
*.blob.core.windows.net |
Télécharger le package de l’extension Sql Server | ESU SQL Server | Non obligatoire si vous utilisez Private Link |
Étapes suivantes
- Passez en revue les autres prérequis du déploiement de l’agent Connected Machine.
- Avant de déployer l’agent Azure Connected Machine et de l’intégrer à d’autres services de gestion et de supervision Azure, consultez le guide de planification et de déploiement.
- Pour résoudre les problèmes, consultez le Guide de dépannage des problèmes de connexion de l’agent.
- Pour obtenir la liste complète des exigences réseau pour les fonctionnalités Azure Arc et les services compatibles avec Azure Arc, consultez Configuration réseau requise pour Azure Arc (consolidée).