Requisiti di rete dell'agente del computer connesso
Questo argomento descrive i requisiti di rete per l'uso dell'agente di Connected Machine per eseguire l'onboarding di un server fisico o di una macchina virtuale in server abilitati per Azure Arc.
Dettagli
In genere, i requisiti di connettività includono i principi seguenti:
- Tutte le connessioni sono TCP, se non diversamente specificato.
- Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
- Tutte le connessioni sono in uscita, se non diversamente specificato.
Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.
Gli endpoint server abilitati per Azure Arc sono necessari per tutte le offerte Arc basate su server.
Configurazione della rete
L'agente di Azure Connected Machine per Linux e Windows comunica in modo sicuro in uscita con Azure Arc sulla porta TCP 443. Per impostazione predefinita, l'agente usa la route predefinita verso Internet per raggiungere i servizi di Azure. Facoltativamente , è possibile configurare l'agente per l'uso di un server proxy se la rete lo richiede. I server proxy non rendono l'agente di Connected Machine più sicuro perché il traffico è già crittografato.
Per proteggere ulteriormente la connettività di rete ad Azure Arc, invece di usare reti pubbliche e server proxy, è possibile implementare un ambito collegamento privato di Azure Arc.
Nota
I server abilitati per Azure Arc non supportano l'uso di un gateway di Log Analytics come proxy per l'agente di Connected Machine. Allo stesso tempo, l'agente di Monitoraggio di Azure supporta il gateway di Log Analytics.
Se la connettività in uscita è limitata dal firewall o dal server proxy, verificare che gli URL e i tag di servizio elencati di seguito non siano bloccati.
Tag di servizio
Assicurarsi di consentire l'accesso ai tag di servizio seguenti:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (se si usa Windows Admin Center per gestire i server abilitati per Arc)
Per un elenco degli indirizzi IP per ogni tag del servizio/area, vedere il file JSON Azure IP Ranges and Service Tags – Public Cloud (Indirizzi IP di Azure e tag del servizio - Cloud pubblico). Microsoft pubblica aggiornamenti settimanali contenenti ogni servizio di Azure e gli intervalli IP usati dal servizio. Tali informazioni del file JSON rappresentano l'elenco temporizzato corrente degli intervalli IP che corrispondono a ogni tag del servizio. Gli indirizzi IP sono soggetti a modifiche. Se gli intervalli di indirizzi IP sono necessari per la configurazione del firewall, occorre usare il tag del servizio AzureCloud per consentire l'accesso a tutti i servizi di Azure. Non disabilitare il monitoraggio della sicurezza o l'ispezione di questi URL, ma consentire tali URL come si farebbe con il resto del traffico Internet.
Se si filtra il traffico verso il tag del servizio AzureArcInfrastructure, è necessario consentire il traffico verso l’intero intervallo di tag del servizio. Gli intervalli annunciati per singole aree, ad esempio AzureArcInfrastructure.AustraliaEast, non includono gli intervalli IP usati dai componenti globali del servizio. L'indirizzo IP specifico risolto per questi endpoint può cambiare nel tempo entro gli intervalli documentati, quindi è sufficiente usare uno strumento di ricerca per identificare l'indirizzo IP corrente per un determinato endpoint, perciò consentirvi l'accesso non sarà sufficiente per garantire un accesso affidabile.
Per altre informazioni, vedere Tag del servizio di rete virtuale.
URL
La tabella seguente elenca gli URL che devono essere disponibili per installare e usare l'agente di Connected Machine.
Nota
Quando si configura l'agente di Azure Connected Machine per comunicare con Azure tramite un collegamento privato, è comunque necessario accedere ad alcuni endpoint tramite Internet. La colonna Capacità di collegamento privato nella tabella seguente illustra quali endpoint possono essere configurati con un endpoint privato. Se la colonna mostra Pubblico per un endpoint, è comunque necessario consentire l'accesso a tale endpoint tramite il firewall e/o il server proxy della propria organizzazione affinché l'agente funzioni. Il traffico di rete viene instradato tramite endpoint privato se viene assegnato un ambito di collegamento privato.
| Risorsa dell'agente | Descrizione | Se necessario | Collegamento privato in grado di supportare |
|---|---|---|---|
aka.ms |
Usate per risolvere lo script di download durante l'installazione | Al momento dell'installazione, solo | Pubblico |
download.microsoft.com |
Usato per scaricare il pacchetto di installazione di Windows | Al momento dell'installazione, solo | Pubblico |
packages.microsoft.com |
Usate per scaricare il pacchetto di installazione di Linux | Al momento dell'installazione, solo | Pubblico |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Pubblico |
*login.microsoft.com |
Microsoft Entra ID | Sempre | Pubblico |
pas.windows.net |
Microsoft Entra ID | Sempre | Pubblico |
management.azure.com |
Azure Resource Manager - per creare o eliminare la risorsa server di Arc | Quando si connette o si disconnette un server, solo | Pubblico, a meno che non sia configurato anche un collegamento privato gestione risorse |
*.his.arc.azure.com |
Metadati e servizi di identità ibrida | Sempre | Privata |
*.guestconfiguration.azure.com |
Gestione delle estensioni e servizi di configurazione guest | Sempre | Privata |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servizio di notifica per scenari di estensione e connettività | Sempre | Pubblico |
azgn*.servicebus.windows.net |
Servizio di notifica per scenari di estensione e connettività | Sempre | Pubblico |
*.servicebus.windows.net |
Per gli scenari di Windows Admin Center e SSH | Se si usa SSH o Windows Admin Center da Azure | Pubblico |
*.waconazure.com |
Per la connettività di Windows Admin Center | Se si usa Windows Admin Center | Pubblico |
*.blob.core.windows.net |
Scaricare l'origine per le estensioni dei server abilitati per Azure Arc | Sempre, tranne quando si usano endpoint privati | Non usato quando è configurato un collegamento privato |
dc.services.visualstudio.com |
Telemetria dell'agente | Facoltativo, non usato nelle versioni dell'agente 1.24+ | Pubblico |
*.<region>.arcdataservices.com 1 |
Per SQL Server Arc. Invia il servizio di elaborazione dati, i dati di telemetria del servizio e il monitoraggio delle prestazioni ad Azure. Consente TLS 1.3. | Sempre | Pubblico |
www.microsoft.com/pkiops/certs |
Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443) | Se si usano le ESU abilitate da Azure Arc. Sempre necessario per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati. | Pubblico |
1 Per dettagli sulle informazioni raccolte e inviate, vedere Raccolta e report di dati per SQL Server abilitato da Azure Arc.
Per le versioni delle estensioni fino al 13 febbraio 2024 compreso, usare san-af-<region>-prod.azurewebsites.net. A partire dal 12 marzo 2024, sia l'elaborazione dei dati di Azure Arc che i dati di telemetria di Azure Arc usano *.<region>.arcdataservices.com.
Nota
Per convertire il carattere jolly *.servicebus.windows.net in endpoint specifici, usare il comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. All'interno di questo comando, l'area deve essere specificata per il segnaposto <region>. Questi endpoint possono cambiare periodicamente.
Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.
Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.
Per visualizzare un elenco di tutte le aree, eseguire questo comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocollo Transport Layer Security 1.2
Per garantire la sicurezza dei dati in transito verso Azure, è consigliabile configurare la macchina per usare il protocollo Transport Layer Security (TLS) 1.2. Le versioni precedenti di TLS/Secure Sockets Layer (SSL) sono state considerate vulnerabili. Nonostante siano ancora attualmente in uso per questioni di compatibilità con le versioni precedenti, non sono consigliate.
| Piattaforma/linguaggio | Supporto tecnico | Ulteriori informazioni |
|---|---|---|
| Linux | Le distribuzioni Linux si basano generalmente su OpenSSL per supportare TLS 1.2. | Controllare nel log delle modifiche di OpenSSL per assicurarsi che la versione di OpenSSL sia supportata. |
| Windows Server 2012 R2 e versioni successive | Supportato e abilitato per impostazione predefinita. | Assicurarsi che le impostazioni predefinite siano ancora in uso. |
Subset di endpoint solo per ESU
Se si usano server abilitati per Azure Arc solo per gli aggiornamenti della sicurezza estesi per uno o entrambi i prodotti seguenti:
- Windows Server 2012
- SQL Server 2012
È possibile abilitare il sottoinsieme di endpoint seguente:
| Risorsa dell'agente | Descrizione | Se necessario | Endpoint utilizzati con collegamento privato |
|---|---|---|---|
aka.ms |
Usate per risolvere lo script di download durante l'installazione | Al momento dell'installazione, solo | Pubblico |
download.microsoft.com |
Usato per scaricare il pacchetto di installazione di Windows | Al momento dell'installazione, solo | Pubblico |
login.windows.net |
Microsoft Entra ID | Sempre | Pubblico |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Pubblico |
*login.microsoft.com |
Microsoft Entra ID | Sempre | Pubblico |
management.azure.com |
Azure Resource Manager - per creare o eliminare la risorsa server di Arc | Quando si connette o si disconnette un server, solo | Pubblico, a meno che non sia configurato anche un collegamento privato gestione risorse |
*.his.arc.azure.com |
Metadati e servizi di identità ibrida | Sempre | Privata |
*.guestconfiguration.azure.com |
Gestione delle estensioni e servizi di configurazione guest | Sempre | Privata |
www.microsoft.com/pkiops/certs |
Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443) | Sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati. | Pubblico |
*.<region>.arcdataservices.com |
Servizio di elaborazione dati di Azure Arc telemetria del servizio. | ESU di SQL Server | Pubblico |
*.blob.core.windows.net |
Scaricare il pacchetto dell'estensione SQL Server | ESU di SQL Server | Non obbligatorio se si usa il collegamento privato |
Passaggi successivi
- Esaminare i prerequisiti aggiuntivi per la distribuzione dell'agente di Connected Machine.
- Prima di distribuire l'agente di Azure Connected Machine e di integrarlo con altri servizi di gestione e monitoraggio di Azure, vedere la Guida alla pianificazione e alla distribuzione.
- Per risolvere i problemi, vedere la Guida alla risoluzione dei problemi di connessione dell'agente.
- Per un elenco completo dei requisiti di rete per le funzionalità di Azure Arc e i servizi abilitati per Azure Arc, vedere Requisiti di rete di Azure Arc (consolidati).