Persyaratan jaringan agen Connected Machine
Topik ini menjelaskan persyaratan jaringan untuk menggunakan agen Connected Machine untuk onboarding server fisik atau komputer virtual ke server dengan dukungan Azure Arc.
Detail
Umumnya, persyaratan konektivitas mencakup prinsip-prinsip ini:
- Semua koneksi adalah TCP kecuali ditentukan lain.
- Semua koneksi HTTP menggunakan HTTPS dan SSL/TLS dengan sertifikat yang ditandatangani dan dapat diverifikasi secara resmi.
- Semua koneksi keluar kecuali ditentukan lain.
Untuk menggunakan proksi, verifikasi bahwa agen dan mesin yang melakukan proses onboarding memenuhi persyaratan jaringan dalam artikel ini.
Titik akhir server dengan dukungan Azure Arc diperlukan untuk semua penawaran Arc berbasis server.
Konfigurasi Jaringan
Agen Azure Connected Machine untuk Linux dan Windows berkomunikasi keluar dengan aman ke Azure Arc melalui port TCP 443. Secara default, agen menggunakan rute default ke internet untuk menjangkau layanan Azure. Anda dapat secara opsional mengonfigurasi agen untuk menggunakan server proksi jika jaringan Anda memerlukannya. Server proxy tidak membuat agen Connected Machine lebih aman karena lalu lintas sudah dienkripsi.
Untuk lebih mengamankan konektivitas jaringan Anda ke Azure Arc, alih-alih menggunakan jaringan publik dan server proksi, Anda dapat menerapkan Cakupan Azure Arc Private Link .
Catatan
Server berkemampuan Azure Arc tidak mendukung penggunaan gateway Log Analytics sebagai proksi untuk agen Connected Machine. Pada saat yang sama, Agen Azure Monitor mendukung gateway Analitik Log.
Jika konektivitas keluar dibatasi oleh firewall atau server proksi Anda, pastikan URL dan Tag Layanan yang tercantum di bawah ini tidak diblokir.
Tag layanan
Pastikan untuk mengizinkan akses ke Tag Layanan berikut:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Penyimpanan
- WindowsAdminCenter (jika menggunakan Pusat Admin Windows untuk mengelola server yang diaktifkan Arc)
Untuk daftar alamat IP untuk setiap tag/wilayah layanan, lihat file JSON Rentang IP Azure dan Tag Layanan – Cloud Publik. Microsoft menerbitkan pembaruan mingguan yang berisi setiap Layanan Azure dan rentang IP yang digunakannya. Informasi dalam file JSON ini adalah daftar titik waktu saat ini dari rentang IP yang sesuai dengan setiap tag layanan. Alamat IP dapat berubah. Jika rentang alamat IP diperlukan untuk konfigurasi firewall Anda, maka Tag Layanan AzureCloud harus digunakan untuk mengizinkan akses ke semua layanan Azure. Jangan nonaktifkan pemantauan keamanan atau pemeriksaan URL ini, izinkan seperti yang Anda lakukan pada lalu lintas Internet lainnya.
Jika Anda memfilter lalu lintas ke tag layanan AzureArcInfrastructure, Anda harus mengizinkan lalu lintas ke rentang tag layanan lengkap. Rentang yang diiklankan untuk wilayah individual, misalnya AzureArcInfrastructure.AustraliaEast, tidak menyertakan rentang IP yang digunakan oleh komponen global layanan. Alamat IP tertentu yang diselesaikan untuk titik akhir ini dapat berubah dari waktu ke waktu dalam rentang yang didokumenkan, jadi hanya menggunakan alat pencarian untuk mengidentifikasi alamat IP saat ini untuk titik akhir tertentu dan memungkinkan akses ke titik akhir tersebut tidak akan cukup untuk memastikan akses yang andal.
Untuk informasi selengkapnya, lihat Tag layanan jaringan virtual.
URL
Tabel di bawah ini mencantumkan URL yang harus tersedia untuk menginstal dan menggunakan agen Connected Machine.
Catatan
Saat mengonfigurasi agen mesin yang terhubung dengan Azure untuk berkomunikasi dengan Azure melalui tautan privat, beberapa titik akhir masih harus diakses melalui internet. Kolom berkemampuan tautan Privat dalam tabel berikut menunjukkan titik akhir mana yang dapat dikonfigurasi dengan titik akhir privat. Jika kolom memperlihatkan Publik untuk titik akhir, Anda masih harus mengizinkan akses ke titik akhir tersebut melalui firewall organisasi dan/atau server proksi agar agen berfungsi. Lalu lintas jaringan dirutekan melalui titik akhir privat jika cakupan tautan privat ditetapkan.
| Sumber daya agen | Deskripsi | Jika diperlukan | Mampu tautan privat |
|---|---|---|---|
aka.ms |
Digunakan untuk mengatasi skrip unduhan selama penginstalan | Pada waktu penginstalan, hanya | Publik |
download.microsoft.com |
Digunakan untuk mengunduh paket penginstalan Windows | Pada waktu penginstalan, hanya | Publik |
packages.microsoft.com |
Digunakan untuk mengunduh paket penginstalan Linux | Pada waktu penginstalan, hanya | Publik |
login.microsoftonline.com |
Microsoft Entra ID | Selalu | Publik |
*login.microsoft.com |
Microsoft Entra ID | Selalu | Publik |
pas.windows.net |
Microsoft Entra ID | Selalu | Publik |
management.azure.com |
Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc | Saat menyambungkan atau memutuskan sambungan server, hanya | Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi |
*.his.arc.azure.com |
Layanan identitas hibrid dan metadata | Selalu | Privat |
*.guestconfiguration.azure.com |
Manajemen ekstensi dan layanan konfigurasi tamu | Selalu | Privat |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Layanan pemberitahuan untuk skenario ekstensi dan konektivitas | Selalu | Publik |
azgn*.servicebus.windows.net |
Layanan pemberitahuan untuk skenario ekstensi dan konektivitas | Selalu | Publik |
*.servicebus.windows.net |
Untuk skenario Pusat Admin Windows dan SSH | Jika menggunakan SSH atau Pusat Admin Windows dari Azure | Publik |
*.waconazure.com |
Untuk konektivitas Pusat Admin Windows | Jika menggunakan Pusat Admin Windows | Publik |
*.blob.core.windows.net |
Unduh sumber untuk ekstensi server berkemampuan Azure Arc | Selalu, kecuali saat menggunakan titik akhir privat | Tidak digunakan saat tautan privat dikonfigurasi |
dc.services.visualstudio.com |
Telemetri agen | Opsional, tidak digunakan dalam versi agen 1.24+ | Publik |
*.<region>.arcdataservices.com 1 |
Untuk Arc SQL Server. Mengirim layanan pemrosesan data, telemetri layanan, dan pemantauan performa ke Azure. Memungkinkan TLS 1.3. | Selalu | Publik |
www.microsoft.com/pkiops/certs |
Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443) | Jika menggunakan ESU yang diaktifkan oleh Azure Arc. Diperlukan selalu untuk pembaruan otomatis, atau untuk sementara jika mengunduh sertifikat secara manual. | Publik |
1 Untuk detail tentang informasi apa yang dikumpulkan dan dikirim, tinjau Pengumpulan dan pelaporan data untuk SQL Server yang diaktifkan oleh Azure Arc.
Untuk versi ekstensi hingga dan termasuk 13 Februari 2024, gunakan san-af-<region>-prod.azurewebsites.net. Dimulai dengan 12 Maret 2024 pemrosesan data Azure Arc, dan penggunaan *.<region>.arcdataservices.comtelemetri data Azure Arc .
Catatan
Untuk menerjemahkan *.servicebus.windows.net kartubebas ke titik akhir tertentu, gunakan perintah \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dalam perintah ini, wilayah harus ditentukan untuk <region> tempat penampung. Titik akhir ini dapat berubah secara berkala.
Untuk mendapatkan segmen wilayah titik akhir regional, hapus semua spasi dari nama wilayah Azure. Misalnya, wilayah US Timur 2 , nama wilayahnya adalah eastus2.
Misalnya: *.<region>.arcdataservices.com harus berada *.eastus2.arcdataservices.com di wilayah US Timur 2.
Untuk melihat daftar semua wilayah, jalankan perintah ini:
az account list-locations -o table
Get-AzLocation | Format-Table
Protokol Transport Layer Security 1.2
Untuk memastikan keamanan data saat transit ke Azure, kami sangat menganjurkan Anda untuk mengonfigurasi komputer untuk menggunakan Transport Layer Security (TLS) 1.2. Versi TLS/Keamanan Lapisan Transportasi (SSL) yang lebih lama diketahui rentan dan meskipun saat ini masih berfungsi untuk memungkinkan kompatibilitas mundur, versi tersebut tidak disarankan.
| Platform/Bahasa | Dukungan | Informasi Selengkapnya |
|---|---|---|
| Linux | Distribusi Linux cenderung mengandalkan OpenSSL untuk dukungan TLS 1.2. | Periksa OpenSSL Changelog untuk mengonfirmasi bahwa versi OpenSSL Anda didukung. |
| Windows Server 2012 R2 dan lebih tinggi | Didukung, dan diaktifkan secara default. | Untuk mengonfirmasi bahwa Anda masih menggunakan pengaturan default. |
Subset titik akhir hanya untuk ESU
Jika Anda menggunakan server berkemampuan Azure Arc hanya untuk Pembaruan Keamanan Diperpanjang untuk salah satu atau kedua produk berikut:
- Windows Server 2012
- SQL Server 2012
Anda dapat mengaktifkan subset titik akhir berikut:
| Sumber daya agen | Deskripsi | Jika diperlukan | Titik akhir yang digunakan dengan tautan privat |
|---|---|---|---|
aka.ms |
Digunakan untuk mengatasi skrip unduhan selama penginstalan | Pada waktu penginstalan, hanya | Publik |
download.microsoft.com |
Digunakan untuk mengunduh paket penginstalan Windows | Pada waktu penginstalan, hanya | Publik |
login.windows.net |
Microsoft Entra ID | Selalu | Publik |
login.microsoftonline.com |
Microsoft Entra ID | Selalu | Publik |
*login.microsoft.com |
Microsoft Entra ID | Selalu | Publik |
management.azure.com |
Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc | Saat menyambungkan atau memutuskan sambungan server, hanya | Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi |
*.his.arc.azure.com |
Layanan identitas hibrid dan metadata | Selalu | Privat |
*.guestconfiguration.azure.com |
Manajemen ekstensi dan layanan konfigurasi tamu | Selalu | Privat |
www.microsoft.com/pkiops/certs |
Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443) | Selalu untuk pembaruan otomatis, atau sementara jika mengunduh sertifikat secara manual. | Publik |
*.<region>.arcdataservices.com |
Layanan pemrosesan data Azure Arc dan telemetri layanan. | SQL Server ESUs | Publik |
*.blob.core.windows.net |
Unduh paket Ekstensi Sql Server | SQL Server ESUs | Tidak diperlukan jika menggunakan Private Link |
Langkah berikutnya
- Tinjau prasyarat tambahan untuk menyebarkan agen Connected Machine.
- Sebelum Anda menyebarkan agen Azure Connected Machine dan berintegrasi dengan layanan manajemen dan pemantauan Azure lainnya, tinjau panduan Perencanaan dan penyebaran.
- Untuk mengatasi masalah, tinjau panduan pemecahan masalah koneksi agen.
- Untuk daftar lengkap persyaratan jaringan untuk fitur Azure Arc dan layanan dengan dukungan Azure Arc, lihat Persyaratan jaringan Azure Arc (Terkonsolidasi).