requisiti di rete dell'agente machine Connessione ed

Questo argomento descrive i requisiti di rete per l'uso dell'agente computer Connessione ed per eseguire l'onboarding di un server fisico o di una macchina virtuale in server abilitati per Azure Arc.

Dettagli

In genere, i requisiti di connettività includono i principi seguenti:

• Tutte le connessioni sono TCP, se non diversamente specificato.
• Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
• Tutte le connessioni sono in uscita, se non diversamente specificato.

Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.

Gli endpoint server abilitati per Azure Arc sono necessari per tutte le offerte Arc basate su server.

Configurazione della rete

L'agente del computer Connessione ed di Azure per Linux e Windows comunica in uscita in modo sicuro ad Azure Arc sulla porta TCP 443. Per impostazione predefinita, l'agente usa la route predefinita verso Internet per raggiungere i servizi di Azure. Facoltativamente , è possibile configurare l'agente per l'uso di un server proxy se la rete lo richiede. I server proxy non rendono più sicuro l'agente del computer Connessione perché il traffico è già crittografato.

Per proteggere ulteriormente la connettività di rete ad Azure Arc, invece di usare reti pubbliche e server proxy, è possibile implementare un ambito di Azure Arc collegamento privato .

Nota

I server abilitati per Azure Arc non supportano l'uso di un gateway di Log Analytics come proxy per l'agente computer Connessione ed. Allo stesso tempo, l'agente di Monitoraggio di Azure supporta il gateway di Log Analytics.

Se la connettività in uscita è limitata dal firewall o dal server proxy, assicurarsi che gli URL e i tag di servizio elencati di seguito non siano bloccati.

Tag di servizio

Assicurarsi di consentire l'accesso ai tag di servizio seguenti:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Storage
• Windows Amministrazione Center (se si usa Windows Amministrazione Center per gestire i server abilitati per Arc)

Per un elenco di indirizzi IP per ogni tag di servizio/area, vedere il file JSON Intervalli IP e tag di servizio di Azure - Cloud pubblico. Microsoft pubblica aggiornamenti settimanali contenenti ogni servizio di Azure e gli intervalli IP usati dal servizio. Queste informazioni nel file JSON sono l'elenco temporizzato corrente degli intervalli IP che corrispondono a ogni tag di servizio. Gli indirizzi IP sono soggetti a modifiche. Se gli intervalli di indirizzi IP sono necessari per la configurazione del firewall, occorre usare il tag del servizio AzureCloud per consentire l'accesso a tutti i servizi di Azure. Non disabilitare il monitoraggio della sicurezza o l'ispezione di questi URL, ma consentire tali URL come si farebbe con il resto del traffico Internet.

Se si filtra il traffico al tag del servizio AzureArcInfrastructure, è necessario consentire il traffico all'intervallo di tag del servizio completo. Gli intervalli annunciati per singole aree, ad esempio AzureArcInfrastructure.AustraliaEast, non includono gli intervalli IP usati dai componenti globali del servizio. L'indirizzo IP specifico risolto per questi endpoint può cambiare nel tempo entro gli intervalli documentati, quindi è sufficiente usare uno strumento di ricerca per identificare l'indirizzo IP corrente per un determinato endpoint e consentire l'accesso a che non sarà sufficiente per garantire l'accesso affidabile.

Per altre informazioni, vedere Tag del servizio di rete virtuale.

URL

La tabella seguente elenca gli URL che devono essere disponibili per installare e usare l'agente computer Connessione ed.

Azure Cloud

Nota

Quando si configura l'agente del computer connesso di Azure per comunicare con Azure tramite un collegamento privato, è comunque necessario accedere ad alcuni endpoint tramite Internet. L'endpoint usato con la colonna collegamento privato nella tabella seguente mostra quali endpoint possono essere configurati con un endpoint privato. Se la colonna mostra Public per un endpoint, è comunque necessario consentire l'accesso a tale endpoint tramite il firewall e/o il server proxy dell'organizzazione affinché l'agente funzioni.

Risorsa dell'agente	Descrizione	Se necessario	Endpoint usato con collegamento privato
aka.ms	Usate per risolvere lo script di download durante l'installazione	Al momento dell'installazione, solo	Pubblico
download.microsoft.com	Usato per scaricare il pacchetto di installazione di Windows	Al momento dell'installazione, solo	Pubblico
packages.microsoft.com	Usate per scaricare il pacchetto di installazione di Linux	Al momento dell'installazione, solo	Pubblico
login.windows.net	Microsoft Entra ID	Sempre	Pubblico
login.microsoftonline.com	Microsoft Entra ID	Sempre	Pubblico
pas.windows.net	Microsoft Entra ID	Sempre	Pubblico
management.azure.com	Azure Resource Manager - per creare o eliminare la risorsa server di Arc	Quando ci si connette o si disconnette un server, solo	Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse
*.his.arc.azure.com	Metadati e servizi di identità ibrida	Sempre	Privata
*.guestconfiguration.azure.com	Gestione delle estensioni e servizi di configurazione guest	Sempre	Privata
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Servizio di notifica per scenari di estensione e connettività	Sempre	Pubblico
azgn*.servicebus.windows.net	Servizio di notifica per scenari di estensione e connettività	Sempre	Pubblico
*.servicebus.windows.net	Per gli scenari di Windows Admin Center e SSH	Se si usa SSH o Windows Amministrazione Center da Azure	Pubblico
*.waconazure.com	Per la connettività di Windows Amministrazione Center	Se si usa Windows Amministrazione Center	Pubblico
*.blob.core.windows.net	Scaricare l'origine per le estensioni dei server abilitati per Azure Arc	Sempre, tranne quando si usano endpoint privati	Non usato quando è configurato un collegamento privato
dc.services.visualstudio.com	Telemetria dell'agente	Facoltativo, non usato nelle versioni dell'agente 1.24+	Pubblico
*.<region>.arcdataservices.com1	Per Arc SQL Server. Invia il servizio di elaborazione dati, i dati di telemetria del servizio e il monitoraggio delle prestazioni ad Azure. Consente TLS 1.3.	Sempre	Pubblico
www.microsoft.com/pkiops/certs	Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443)	Se si usano le ESU abilitate da Azure Arc. Obbligatorio sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati.	Pubblico

¹ Per le versioni dell'estensione fino al 13 febbraio 2024, usare san-af-<region>-prod.azurewebsites.net. A partire dal 12 marzo 2024, sia l'elaborazione dei dati di Azure Arc che i dati di telemetria di Azure Arc usano *.<region>.arcdataservices.com.

Nota

Per convertire il *.servicebus.windows.net carattere jolly in endpoint specifici, usare il comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. All'interno di questo comando, l'area deve essere specificata per il <region> segnaposto.

Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.

Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.

Per visualizzare un elenco di tutte le aree, eseguire questo comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Nota

Quando si configura l'agente del computer connesso di Azure per comunicare con Azure tramite un collegamento privato, è comunque necessario accedere ad alcuni endpoint tramite Internet. L'endpoint usato con la colonna collegamento privato nella tabella seguente mostra quali endpoint possono essere configurati con un endpoint privato. Se la colonna mostra Public per un endpoint, è comunque necessario consentire l'accesso a tale endpoint tramite il firewall e/o il server proxy dell'organizzazione affinché l'agente funzioni.

Risorsa dell'agente	Descrizione	Se necessario	Endpoint usato con collegamento privato
aka.ms	Usate per risolvere lo script di download durante l'installazione	Al momento dell'installazione, solo	Pubblico
download.microsoft.com	Usato per scaricare il pacchetto di installazione di Windows	Al momento dell'installazione, solo	Pubblico
packages.microsoft.com	Usate per scaricare il pacchetto di installazione di Linux	Al momento dell'installazione, solo	Pubblico
login.microsoftonline.us	Microsoft Entra ID	Sempre	Pubblico
pasff.usgovcloudapi.net	Microsoft Entra ID	Sempre	Pubblico
management.usgovcloudapi.net	Azure Resource Manager - per creare o eliminare la risorsa server di Arc	Quando ci si connette o si disconnette un server, solo	Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse
*.his.arc.azure.us	Metadati e servizi di identità ibrida	Sempre	Privata
*.guestconfiguration.azure.us	Gestione delle estensioni e servizi di configurazione guest	Sempre	Privata
*.blob.core.usgovcloudapi.net	Scaricare l'origine per le estensioni dei server abilitati per Azure Arc	Sempre, tranne quando si usano endpoint privati	Non usato quando è configurato un collegamento privato
dc.applicationinsights.us	Telemetria dell'agente	Facoltativo, non usato nelle versioni dell'agente 1.24+	Pubblico
www.microsoft.com/pkiops/certs	Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443)	Se si usano le ESU abilitate da Azure Arc. Obbligatorio sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati.	Pubblico

Microsoft Azure gestito da 21Vianet

Risorsa dell'agente	Descrizione	Se necessario
aka.ms	Usate per risolvere lo script di download durante l'installazione	Al momento dell'installazione, solo
download.microsoft.com	Usato per scaricare il pacchetto di installazione di Windows	Al momento dell'installazione, solo
packages.microsoft.com	Usate per scaricare il pacchetto di installazione di Linux	Al momento dell'installazione, solo
login.chinacloudapi.cn	Microsoft Entra ID	Sempre
login.partner.chinacloudapi.cn	Microsoft Entra ID	Sempre
pas.chinacloudapi.cn	Microsoft Entra ID	Sempre
management.chinacloudapi.cn	Azure Resource Manager - per creare o eliminare la risorsa server di Arc	Quando ci si connette o si disconnette un server, solo
*.his.arc.azure.cn	Metadati e servizi di identità ibrida	Sempre
*.guestconfiguration.azure.cn	Gestione delle estensioni e servizi di configurazione guest	Sempre
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Servizio di notifica per scenari di estensione e connettività	Sempre
azgn*.servicebus.chinacloudapi.cn	Servizio di notifica per scenari di estensione e connettività	Sempre
*.servicebus.chinacloudapi.cn	Per gli scenari di Windows Admin Center e SSH	Se si usa SSH o Windows Amministrazione Center da Azure
*.blob.core.chinacloudapi.cn	Scaricare l'origine per le estensioni dei server abilitati per Azure Arc	Sempre, tranne quando si usano endpoint privati
dc.applicationinsights.azure.cn	Telemetria dell'agente	Facoltativo, non usato nelle versioni dell'agente 1.24+

Protocollo Transport Layer Security 1.2

Per garantire la sicurezza dei dati in transito verso Azure, è consigliabile configurare la macchina per usare il protocollo Transport Layer Security (TLS) 1.2. Le versioni precedenti di TLS/Secure Sockets Layer (SSL) sono state considerate vulnerabili. Nonostante siano ancora attualmente in uso per questioni di compatibilità con le versioni precedenti, non sono consigliate.

Piattaforma/linguaggio	Supporto tecnico	Ulteriori informazioni
Linux	Le distribuzioni Linux si basano generalmente su OpenSSL per supportare TLS 1.2.	Controllare nel log delle modifiche di OpenSSL per assicurarsi che la versione di OpenSSL sia supportata.
Windows Server 2012 R2 e versioni successive	Supportato e abilitato per impostazione predefinita.	Assicurarsi che le impostazioni predefinite siano ancora in uso.

Subset di endpoint solo per ESU

Se si usano server abilitati per Azure Arc solo per i Aggiornamenti di sicurezza estesa per uno o entrambi i prodotti seguenti:

• Windows Server 2012
• SQL Server 2012

È possibile abilitare il sottoinsieme di endpoint seguente:

Azure Cloud

Risorsa dell'agente	Descrizione	Se necessario	Endpoint usato con collegamento privato
aka.ms	Usate per risolvere lo script di download durante l'installazione	Al momento dell'installazione, solo	Pubblico
download.microsoft.com	Usato per scaricare il pacchetto di installazione di Windows	Al momento dell'installazione, solo	Pubblico
login.windows.net	Microsoft Entra ID	Sempre	Pubblico
login.microsoftonline.com	Microsoft Entra ID	Sempre	Pubblico
management.azure.com	Azure Resource Manager - per creare o eliminare la risorsa server di Arc	Quando ci si connette o si disconnette un server, solo	Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse
*.his.arc.azure.com	Metadati e servizi di identità ibrida	Sempre	Privata
*.guestconfiguration.azure.com	Gestione delle estensioni e servizi di configurazione guest	Sempre	Privata
www.microsoft.com/pkiops/certs	Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443)	Sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati.	Pubblico
*.<region>.arcdataservices.com	Dati di telemetria del servizio e del servizio di elaborazione dati di Azure Arc.	ESU di SQL Server	Pubblico

Azure Government

Risorsa dell'agente	Descrizione	Se necessario	Endpoint usato con collegamento privato
aka.ms	Usate per risolvere lo script di download durante l'installazione	Al momento dell'installazione, solo	Pubblico
download.microsoft.com	Usato per scaricare il pacchetto di installazione di Windows	Al momento dell'installazione, solo	Pubblico
login.microsoftonline.us	Microsoft Entra ID	Sempre	Pubblico
management.usgovcloudapi.net	Azure Resource Manager - per creare o eliminare la risorsa server di Arc	Quando ci si connette o si disconnette un server, solo	Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse
*.his.arc.azure.us	Metadati e servizi di identità ibrida	Sempre	Privata
*.guestconfiguration.azure.us	Gestione delle estensioni e servizi di configurazione guest	Sempre	Privata
www.microsoft.com/pkiops/certs	Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443)	Sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati.	Pubblico

Microsoft Azure gestito da 21Vianet

Nota

I server abilitati per Azure Arc usati per la sicurezza estesa Aggiornamenti per Windows Server 2012 non sono attualmente disponibili in Microsoft Azure gestito da aree 21Vianet.

Passaggi successivi

• Esaminare i prerequisiti aggiuntivi per la distribuzione dell'agente del computer Connessione ed.
• Prima di distribuire l'agente del computer Connessione di Azure e integrarsi con altri servizi di gestione e monitoraggio di Azure, vedere la Guida alla pianificazione e alla distribuzione.
• Per risolvere i problemi, vedere la guida alla risoluzione dei problemi di connessione dell'agente.
• Per un elenco completo dei requisiti di rete per le funzionalità di Azure Arc e i servizi abilitati per Azure Arc, vedere Requisiti di rete di Azure Arc (consolidati).