Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk az Azure Connected Machine-ügynökkel fizikai kiszolgáló vagy virtuális gép Azure Arc-kompatibilis kiszolgálókra történő előkészítésére vonatkozó hálózati követelményeket ismerteti.
Jótanács
Az Azure nyilvános felhőplatform esetében az Azure Arc-átjáróval csökkentheti a szükséges végpontok számát.
Részletek
A kapcsolati követelmények általában az alábbi alapelveket tartalmazzák:
- Az összes kapcsolat TCP, kivéve, ha másként van megadva.
- Minden HTTP-kapcsolat https és SSL/TLS protokollt használ hivatalosan aláírt és ellenőrizhető tanúsítványokkal.
- Az összes kapcsolat kimenő, kivéve, ha másként van megadva.
Proxy használatához ellenőrizze, hogy az előkészítési folyamatot végrehajtó ügynökök és a gép megfelelnek-e a jelen cikkben szereplő hálózati követelményeknek.
Az Azure Arc-kompatibilis kiszolgálóvégpontok minden kiszolgálóalapú Azure Arc-ajánlathoz szükségesek.
Hálózatkezelési konfiguráció
A Linuxhoz és Windowshoz készült Azure Connected Machine-ügynök biztonságosan kommunikál az Azure Arc felé a 443-es TCP-porton keresztül. Alapértelmezés szerint az ügynök az alapértelmezett internetes útvonalat használja az Azure-szolgáltatások eléréséhez. Ha a hálózat megköveteli, konfigurálhatja az ügynököt proxykiszolgáló használatára. A proxykiszolgálók nem teszik biztonságosabbá a csatlakoztatott gép ügynökét, mert a forgalom már titkosítva van.
Az Azure Archoz való hálózati kapcsolat további védelme érdekében nyilvános hálózatok és proxykiszolgálók használata helyett implementálhat egy Privát Azure Arc-kapcsolati hatókört.
Megjegyzés:
Az Azure Arc-kompatibilis kiszolgálók nem támogatják a Log Analytics-átjáró proxyként való használatát a Csatlakoztatottgép-ügynökhöz. Az Azure Monitor Agent ugyanakkor támogatja a Log Analytics-átjárókat.
Ha a tűzfal vagy a proxykiszolgáló korlátozza a kimenő kapcsolatot, győződjön meg arról, hogy az itt felsorolt URL-címek és szolgáltatáscímkék nincsenek letiltva.
Szolgáltatáscímkék
Mindenképpen engedélyezze a következő szolgáltatáscímkék elérését:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter( ha a Windows Felügyeleti központot használja az Azure Arc-kompatibilis kiszolgálók kezeléséhez)
Az egyes szolgáltatáscímkék/-régiók IP-címeinek listáját az Azure IP-tartományok és szolgáltatáscímkék – nyilvános felhő JSON-fájlban találja. A Microsoft heti frissítéseket tesz közzé, amelyek tartalmazzák az egyes Azure-szolgáltatásokat és az általa használt IP-címtartományokat. A JSON-fájl adatai az egyes szolgáltatáscímkéknek megfelelő IP-tartományok aktuális időponthoz kötött listája. Az IP-címek változhatnak. Ha a tűzfal konfigurációjához IP-címtartományokra van szükség, a szolgáltatáscímkével engedélyezheti az AzureCloud összes Azure-szolgáltatás elérését. Ne tiltsa le ezeknek az URL-címeknek a biztonsági monitorozását vagy ellenőrzését. Engedélyezze őket ugyanúgy, mint a többi internetes forgalmat.
Ha a AzureArcInfrastructure szolgáltatáscímkére szűri a forgalmat, engedélyeznie kell a teljes szolgáltatáscímketartomány forgalmát. Az egyes régiókban meghirdetett tartományok például AzureArcInfrastructure.AustraliaEastnem tartalmazzák a szolgáltatás globális összetevői által használt IP-tartományokat. A végpontok meghatározott IP-címe idővel változhat a dokumentált tartományokon belül. Ezért egy keresőeszköz használata egy adott végpont aktuális IP-címének azonosítására és a csak az adott IP-címhez való hozzáférés engedélyezésére nem elegendő a megbízható hozzáférés biztosításához.
További információ: Virtuális hálózati szolgáltatáscímkék.
Fontos
Ha az Azure Governmentben vagy a 21Vianet által üzemeltetett Azure-ban IP-címek alapján szeretné szűrni a forgalmat, vegye fel az IP-címeket az Azure nyilvános felhő AzureArcInfrastructure szolgáltatáscímkéjéből, a saját felhő AzureArcInfrastructure szolgáltatáscímkéjét is használva. 2025. október 28-a után a nyilvános Azure-felhő szolgáltatáscímkéjének hozzáadására AzureArcInfrastructure lesz szükség, és a 21Vianet által üzemeltetett Azure Government és Azure szolgáltatáscímkéi már nem támogatottak.
URL-címek
Ez a táblázat felsorolja azokat az URL-címeket, amelyeknek elérhetőnek kell lenniük a Csatlakoztatottgép-ügynök telepítéséhez és használatához.
Megjegyzés:
Ha úgy konfigurálja a csatlakoztatottgép-ügynököt, hogy privát kapcsolaton keresztül kommunikáljon az Azure-ral, egyes végpontokat továbbra is az interneten keresztül kell elérni. Az alábbi táblázat Privát kapcsolatra képes oszlopa a privát végpontokkal konfigurálható végpontokat mutatja. Ha az oszlopban egy végpont nyilvános , akkor is engedélyeznie kell a végpont elérését a szervezet tűzfalán és/vagy proxykiszolgálóján keresztül ahhoz, hogy az ügynök működjön. A hálózati forgalom privát végpontokon keresztül lesz irányítva, ha egy privát kapcsolat hatóköre van hozzárendelve.
| Ügynök erőforrása | Leírás | Szükség esetén | Privát hivatkozásra képes |
|---|---|---|---|
download.microsoft.com |
A Windows telepítőcsomagjának letöltésére szolgál. | Csak a telepítéskor. 1 | Nyilvános. |
packages.microsoft.com |
A Linux telepítőcsomag letöltésére szolgál. | Csak a telepítéskor. 1 | Nyilvános. |
login.microsoftonline.com |
Microsoft Entra-azonosító. | Mindig. | Nyilvános. |
*.login.microsoft.com |
Microsoft Entra-azonosító. | Mindig. | Nyilvános. |
pas.windows.net |
Microsoft Entra-azonosító. | Mindig. | Nyilvános. |
management.azure.com |
Az Azure Resource Manager az Azure Arc-kiszolgáló erőforrásának létrehozására vagy törlésére szolgál. | Csak akkor, ha csatlakoztat vagy leválaszt egy kiszolgálót. | Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van. |
*.his.arc.azure.com |
Metaadatok és hibrid identitásszolgáltatások. | Mindig. | Privát. |
*.guestconfiguration.azure.com |
Bővítménykezelési és vendégkonfigurációs szolgáltatások. | Mindig. | Privát. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez. | Mindig. | Nyilvános. |
azgn*.servicebus.windows.net vagy *.servicebus.windows.net |
Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez. | Mindig. | Nyilvános. |
*.servicebus.windows.net |
A Windows Felügyeleti központ és a Secure Shell (SSH) forgatókönyveihez. | Ha az Azure-ból használja az SSH-t vagy a Windows Felügyeleti központot. | Nyilvános. |
*.waconazure.com |
A Windows Felügyeleti központ kapcsolatához. | Ha a Windows Felügyeleti központot használja. | Nyilvános. |
dc.services.visualstudio.com |
Ügynök telemetria. | Opcionális. Az ügynök 1.24+-os verzióiban nem használatos. | Nyilvános. |
*.<region>.arcdataservices.com
2 |
Azure Arc-kompatibilis SQL Server esetén. Adatfeldolgozó szolgáltatást, szolgáltatás telemetriát és teljesítményfigyelést küld az Azure-nak. Csak a Transport Layer Security (TLS) 1.2 vagy 1.3 használatát teszi lehetővé. | Ha Azure Arc-kompatibilis SQL Servert használ. | Nyilvános. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Microsoft Entra-hitelesítéshez az Azure Arc-kompatibilis SQL Serverrel. | Ha Azure Arc-kompatibilis SQL Servert használ. | Nyilvános. |
www.microsoft.com/pkiops/certs |
Köztes tanúsítványfrissítések kiterjesztett biztonsági frissítésekhez (HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ). | Ha az Azure Arc által engedélyezett kiterjesztett biztonsági frissítéseket használja. Mindig szükség van az automatikus frissítésekre, vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat. | Nyilvános. |
dls.microsoft.com |
Az Azure Arc-gépek a licencérvényesítés végrehajtásához használják. | Szükséges, ha hotpatchinget, Windows Server Azure-előnyöket vagy Windows Server használatalapú számlázást használ az Azure Arc-kompatibilis gépeken. | Nyilvános. |
1 Az URL-címhez való hozzáférésre a frissítések automatikus végrehajtásakor is szükség van.
2 Az összegyűjtött és elküldött információk részleteiért tekintse át az Azure Arc által engedélyezett SQL Server adatgyűjtését és jelentéskészítését.
A 2024. február 13-ig elérhető bővítményverziókhoz használja a következőt: san-af-<region>-prod.azurewebsites.net. 2024. március 12-től az Azure Arc-adatfeldolgozás és az Azure Arc-adattelemetria egyaránt használható *.<region>.arcdataservices.com.
Megjegyzés:
Az adott végpontokra történő helyettesítő karakter lefordításához használja a parancsot \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Ebben a parancsban a régiót meg kell adni a <region> helyőrzőhöz. Ezek a végpontok időnként változhatnak.
A regionális végpont régiószegmensének lekéréséhez távolítsa el az összes szóközt az Azure-régió nevéből. Például az USA 2. keleti régiója, a régió neve .eastus2
Például: Az USA 2. keleti régiójában a *.<region>.arcdataservices.com-nak *.eastus2.arcdataservices.com-nek kell lennie.
Az összes régió listájának megtekintéséhez futtassa ezt a parancsot:
az account list-locations -o table
Get-AzLocation | Format-Table
Titkosítási protokollok
Az Azure-ba átvitt adatok biztonsága érdekében határozottan javasoljuk, hogy konfigurálja a gépeket a TLS 1.2 és 1.3 használatára. A TLS/Secure Sockets Layer (SSL) régebbi verziói sebezhetőnek bizonyultak. Bár jelenleg is dolgoznak a visszamenőleges kompatibilitáson, nem ajánlott.
A Csatlakoztatott gép ügynök 1.56-os verziójától kezdve (csak Windows esetén) a következő titkosítási csomagokat kell konfigurálni legalább az egyik ajánlott TLS-verzióhoz:
TLS 1.3 (a csomagok kiszolgáló által előnyben részesített sorrendben):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (egyenértékűen 15360 bites RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (ezzel egyenértékű 3072 bit RSA) FS
TLS 1.2 (a csomagok kiszolgáló által előnyben részesített sorrendben):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (ekv. 15360 bites RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bit RSA) FS
További információ: Windows TLS-konfigurációs problémák.
Az Azure Arc-végpontokon elérhető SQL Server csak TLS 1.2 és 1.3 támogatással érhető el. Csak a Windows Server 2012 R2 és újabb verziók támogatják a TLS 1.2-t. Az Azure Arc-telemetriavégpont által engedélyezett SQL Server nem támogatott Windows Server 2012 vagy Windows Server 2012 R2 esetén.
| Platform/nyelv | Támogatás | További információ |
|---|---|---|
| Linux | A Linux-disztribúciók általában a TLS 1.2 OpenSSL-támogatására támaszkodnak. | Ellenőrizze az OpenSSL változásnaplóban , hogy az OpenSSL-verzió támogatott-e. |
| Windows Server 2012 R2 és újabb verziók | Alapértelmezés szerint támogatott és engedélyezett. | Ellenőrizze, hogy továbbra is az alapértelmezett beállításokat használja-e. |
| Windows Server 2012 | Részben támogatott. Nem ajánlott. | Egyes végpontok továbbra is működnek, más végpontokhoz azonban TLS 1.2-s vagy újabb verzió szükséges, amely a Windows Server 2012-ben nem érhető el. |
Az ESU végpontjainak csak egy részhalmaza
Ha csak az Azure Arc-kompatibilis kiszolgálókat használja a kiterjesztett biztonsági frissítésekhez az alábbi termékek egyikéhez vagy mindkettőhöz:
- Windows Server 2012
- SQL Server 2012
A végpontok alábbi részhalmazát engedélyezheti.
| Ügynök erőforrása | Leírás | Szükség esetén | Privát kapcsolattal használt végpont |
|---|---|---|---|
download.microsoft.com |
A Windows telepítőcsomagjának letöltésére szolgál. | Csak a telepítéskor. 1 | Nyilvános. |
login.windows.net |
Microsoft Entra-azonosító. | Mindig. | Nyilvános. |
login.microsoftonline.com |
Microsoft Entra-azonosító. | Mindig. | Nyilvános. |
*.login.microsoft.com |
Microsoft Entra-azonosító. | Mindig. | Nyilvános. |
management.azure.com |
Az Azure Resource Manager az Azure Arc-kiszolgáló erőforrásának létrehozására vagy törlésére szolgál. | Csak akkor, ha csatlakoztat vagy leválaszt egy kiszolgálót. | Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van. |
*.his.arc.azure.com |
Metaadatok és hibrid identitásszolgáltatások. | Mindig. | Privát. |
*.guestconfiguration.azure.com |
Bővítménykezelési és vendégkonfigurációs szolgáltatások. | Mindig. | Privát. |
www.microsoft.com/pkiops/certs |
Köztes tanúsítványfrissítések kiterjesztett biztonsági frissítésekhez (HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ). | Mindig automatikus frissítésekhez vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat. | Nyilvános. |
*.<region>.arcdataservices.com |
Azure Arc adatfeldolgozási szolgáltatás és szolgáltatás telemetriája. | AZ SQL Server kiterjesztett biztonsági frissítései. | Nyilvános. |
1 Az URL-címhez való hozzáférésre a frissítések automatikus végrehajtásakor is szükség van.
Kapcsolódó tartalom
- A Csatlakoztatottgép-ügynök üzembe helyezésének további előfeltételeiről további információt a Csatlakoztatottgép-ügynök előfeltételei című témakörben talál.
- Mielőtt üzembe helyezné a Kapcsolt Gépagens-t, és más Azure felügyeleti és monitorozási szolgáltatásokkal történő integrálás előtt, tekintse át a tervezési és üzembehelyezési útmutatót.
- A problémák megoldásához tekintse át az ügynökkapcsolattal kapcsolatos problémák hibaelhárítási útmutatóját.
- Az Azure Arc-funkciókra és az Azure Arc-kompatibilis szolgáltatásokra vonatkozó hálózati követelmények teljes listájáért tekintse meg az Azure Arc hálózati követelményeit (konszolidált) ismertető témakört.