Csatlakozás gépügynök hálózati követelményei

Ez a témakör a Csatlakozás gépügynök fizikai kiszolgálóra vagy virtuális gépre azure Arc-kompatibilis kiszolgálókra való előkészítésére való használatának hálózati követelményeit ismerteti.

Részletek

A kapcsolati követelmények általában az alábbi alapelveket tartalmazzák:

  • Az összes kapcsolat TCP, kivéve, ha másként van megadva.
  • Minden HTTP-kapcsolat https és SSL/TLS protokollt használ hivatalosan aláírt és ellenőrizhető tanúsítványokkal.
  • Az összes kapcsolat kimenő, kivéve, ha másként van megadva.

Proxy használatához ellenőrizze, hogy az előkészítési folyamatot végrehajtó ügynökök és a gép megfelelnek-e a jelen cikkben szereplő hálózati követelményeknek.

Az Azure Arc-kompatibilis kiszolgálóvégpontok minden kiszolgálóalapú Arc-ajánlathoz szükségesek.

Hálózatkezelési konfiguráció

A Linuxhoz és Windowshoz készült Azure Csatlakozás ed Machine Agent biztonságosan kommunikál az Azure Arc felé a 443-es TCP-porton keresztül. Alapértelmezés szerint az ügynök az alapértelmezett internetes útvonalat használja az Azure-szolgáltatások eléréséhez. Ha a hálózat megköveteli, konfigurálhatja az ügynököt proxykiszolgáló használatára. A proxykiszolgálók nem teszik biztonságosabbá a Csatlakozás gépügynököt, mert a forgalom már titkosítva van.

Az Azure Archoz való hálózati kapcsolat további védelme érdekében nyilvános hálózatok és proxykiszolgálók használata helyett implementálhat egy Azure Arc privát kapcsolati hatókört .

Feljegyzés

Az Azure Arc-kompatibilis kiszolgálók nem támogatják a Log Analytics-átjáró proxyként való használatát a Csatlakozás gépügynökhöz. Az Azure Monitor Agent ugyanakkor támogatja a Log Analytics-átjárót.

Ha a tűzfal vagy a proxykiszolgáló korlátozza a kimenő kapcsolatot, győződjön meg arról, hogy az alább felsorolt URL-címek és szolgáltatáscímkék nincsenek letiltva.

Szolgáltatáscímkék

Mindenképpen engedélyezze a következő szolgáltatáscímkék elérését:

Az egyes szolgáltatáscímkék/-régiók IP-címeinek listáját az Azure IP-tartományok és szolgáltatáscímkék – nyilvános felhő JSON-fájlban találja. A Microsoft heti frissítéseket tesz közzé, amelyek tartalmazzák az egyes Azure-szolgáltatásokat és az általa használt IP-címtartományokat. A JSON-fájlban található információk az egyes szolgáltatáscímkéknek megfelelő IP-tartományok aktuális időponthoz kötött listája. Az IP-címek változhatnak. Ha a tűzfal konfigurációjához IP-címtartományokra van szükség, akkor az AzureCloud szolgáltatáscímkét kell használni az összes Azure-szolgáltatáshoz való hozzáférés engedélyezéséhez. Ne tiltsa le ezeknek az URL-címeknek a biztonsági monitorozását vagy ellenőrzését, ne engedélyezze őket, ahogyan más internetes forgalmat.

További információ: Virtuális hálózati szolgáltatáscímkék.

URL-címek

Az alábbi táblázat felsorolja azokat az URL-címeket, amelyeknek elérhetőnek kell lenniük a Csatlakozás gépügynök telepítéséhez és használatához.

Feljegyzés

Ha az Azure-hoz csatlakoztatott gépügynököt úgy konfigurálja, hogy privát kapcsolaton keresztül kommunikáljon az Azure-ral, egyes végpontokat továbbra is az interneten keresztül kell elérni. A privát kapcsolat oszlopban használt végpont az alábbi táblázatban azt mutatja be, hogy mely végpontok konfigurálhatók privát végpontokkal. Ha az oszlopban egy végpont nyilvános , akkor is engedélyeznie kell a végpont elérését a szervezet tűzfalán és/vagy proxykiszolgálóján keresztül ahhoz, hogy az ügynök működjön.

Ügynök erőforrása Leírás Szükség esetén Privát kapcsolattal használt végpont
aka.ms A letöltési szkript telepítés közbeni feloldására szolgál Telepítéskor csak Nyilvános
download.microsoft.com A Windows telepítőcsomagjának letöltésére szolgál Telepítéskor csak Nyilvános
packages.microsoft.com A Linux telepítési csomag letöltésére szolgál Telepítéskor csak Nyilvános
login.windows.net Microsoft Entra ID Mindig Nyilvános
login.microsoftonline.com Microsoft Entra ID Mindig Nyilvános
pas.windows.net Microsoft Entra ID Mindig Nyilvános
management.azure.com Azure Resource Manager – az Arc-kiszolgáló erőforrásának létrehozása vagy törlése Kiszolgáló csatlakoztatása vagy leválasztása esetén csak Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van
*.his.arc.azure.com Metaadatok és hibrid identitásszolgáltatások Mindig Személyes
*.guestconfiguration.azure.com Bővítménykezelési és vendégkonfigurációs szolgáltatások Mindig Személyes
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez Mindig Nyilvános
azgn*.servicebus.windows.net Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez Mindig Nyilvános
*.servicebus.windows.net Windows Rendszergazda Center és SSH-forgatókönyvek esetén Ha SSH-t vagy Windows Rendszergazda Centert használ az Azure-ból Nyilvános
*.waconazure.com Windows Rendszergazda Center-kapcsolat esetén Windows Rendszergazda Center használata esetén Nyilvános
*.blob.core.windows.net Az Azure Arc-kompatibilis kiszolgálók bővítményeinek letöltési forrása Mindig, kivéve, ha privát végpontokat használ Nem használható a privát kapcsolat konfigurálásakor
dc.services.visualstudio.com Ügynök telemetriai adatai Nem kötelező, nem használható az 1.24+-os ügynökverziókban Nyilvános
*.<region>.arcdataservices.com1 Arc SQL Server esetén. Adatfeldolgozó szolgáltatást, szolgáltatás telemetriát és teljesítményfigyelést küld az Azure-nak. Engedélyezi a TLS 1.3-at. Mindig Nyilvános
www.microsoft.com/pkiops/certs Köztes tanúsítványfrissítések az ESU-khoz (megjegyzés: HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ) Ha az Azure Arc által engedélyezett ESU-kat használ. Mindig szükség van az automatikus frissítésekre, vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat. Nyilvános

1 A 2024. február 13-ig és azt is tartalmazó bővítményverziókhoz használja a következőtsan-af-<region>-prod.azurewebsites.net: . 2024. március 12-től kezdve az Azure Arc-adatfeldolgozás és az Azure Arc-adattelemetria is használható*.<region>.arcdataservices.com.

Feljegyzés

A helyettesítő karakter adott végpontokra való lefordításához *.servicebus.windows.net használja a parancsot \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Ebben a parancsban a régiót meg kell adni a <region> helyőrzőhöz.

A regionális végpont régiószegmensének lekéréséhez távolítsa el az összes szóközt az Azure-régió nevéből. Például az USA 2. keleti régiója, a régió neve .eastus2

Például: *.<region>.arcdataservices.com az USA 2. keleti régiójában kell lennie *.eastus2.arcdataservices.com .

Az összes régió listájának megtekintéséhez futtassa ezt a parancsot:

az account list-locations -o table
Get-AzLocation | Format-Table

Transport Layer Security 1.2 protokoll

Az Azure-ba átvitt adatok biztonsága érdekében határozottan javasoljuk, hogy konfigurálja a gépet a Transport Layer Security (TLS) 1.2 használatára. A TLS/Secure Sockets Layer (SSL) régebbi verziói sebezhetőnek bizonyultak, és bár jelenleg is dolgoznak a visszamenőleges kompatibilitás érdekében, nem ajánlott.

Platform/nyelv Támogatás További információ
Linux A Linux-disztribúciók általában a TLS 1.2 OpenSSL-támogatására támaszkodnak. Ellenőrizze az OpenSSL változásnaplóban , hogy az OpenSSL-verzió támogatott-e.
Windows Server 2012 R2 és újabb Alapértelmezés szerint támogatott és engedélyezett. Annak ellenőrzéséhez, hogy továbbra is az alapértelmezett beállításokat használja-e.

Csak az ESU végpontjainak részhalmaza

Ha csak az Azure Arc-kompatibilis kiszolgálókat használja a kiterjesztett biztonsági Frissítések az alábbi termékek egyikéhez vagy mindkettőhöz:

  • Windows Server 2012
  • SQL Server 2012

A végpontok alábbi részhalmazát engedélyezheti:

Ügynök erőforrása Leírás Szükség esetén Privát kapcsolattal használt végpont
aka.ms A letöltési szkript telepítés közbeni feloldására szolgál Telepítéskor csak Nyilvános
download.microsoft.com A Windows telepítőcsomagjának letöltésére szolgál Telepítéskor csak Nyilvános
login.windows.net Microsoft Entra ID Mindig Nyilvános
login.microsoftonline.com Microsoft Entra ID Mindig Nyilvános
management.azure.com Azure Resource Manager – az Arc-kiszolgáló erőforrásának létrehozása vagy törlése Kiszolgáló csatlakoztatása vagy leválasztása esetén csak Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van
*.his.arc.azure.com Metaadatok és hibrid identitásszolgáltatások Mindig Személyes
*.guestconfiguration.azure.com Bővítménykezelési és vendégkonfigurációs szolgáltatások Mindig Személyes
www.microsoft.com/pkiops/certs Köztes tanúsítványfrissítések az ESU-khoz (megjegyzés: HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ) Mindig automatikus frissítésekhez, vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat. Nyilvános
*.<region>.arcdataservices.com Azure Arc adatfeldolgozási szolgáltatás és szolgáltatás telemetriai adatok. SQL Server ESU-k Nyilvános

Következő lépések

  • Tekintse át a Csatlakozás gép-ügynök üzembe helyezésének további előfeltételeit.
  • Mielőtt üzembe helyezené az Azure Csatlakozás ed Machine-ügynököt, és integrálható más Azure felügyeleti és monitorozási szolgáltatásokkal, tekintse át a tervezési és üzembe helyezési útmutatót.
  • A problémák megoldásához tekintse át az ügynökkapcsolattal kapcsolatos problémák hibaelhárítási útmutatóját.
  • Az Azure Arc-funkciókra és az Azure Arc-kompatibilis szolgáltatásokra vonatkozó hálózati követelmények teljes listájáért tekintse meg az Azure Arc hálózati követelményeit (konszolidált) ismertető témakört.