Connected Machine エージェントのネットワーク要件

このトピックでは、Connected Machine エージェントを使用して Azure Arc 対応サーバーに物理サーバーまたは仮想マシンをオンボードするためのネットワーク要件について説明します。

ネットワーク構成

Linux および Windows 用の Azure Connected Machine エージェントは、TCP ポート 443 を介して Azure Arc へのアウトバウンド通信を安全に行います。 既定では、エージェントはインターネットへの既定のルートを使用して Azure サービスに接続します。 ネットワークで必要とされる場合に、プロキシ サーバーを使用するようにエージェントを構成することもできます。 トラフィックは既に暗号化されているため、プロキシ サーバーによって Connected Machine Agent のセキュリティが強化されることはありません。

Azure Arc へのネットワーク接続をさらにセキュリティで保護するために、パブリック ネットワークとプロキシ サーバーを使用する代わりに、Azure Arc プライベート リンク スコープを実装できます。

Note

Azure Arc 対応サーバーでは、Connected Machine エージェントのプロキシとして Log Analytics ゲートウェイを使用することはサポートされていません。

アウトバウンド接続がファイアウォールやプロキシ サーバーによって制限されている場合は、以下に示す URL とサービス タグがブロックされていないことを確認してください。

サービス タグ

次のサービス タグへのアクセスを許可してください。

各サービス タグ/リージョンの IP アドレスの一覧については、「Azure IP 範囲とサービス タグ – パブリック クラウド」という JSON ファイルを参照してください。 Microsoft では、各 Azure サービスとそれが使用する IP 範囲を含む更新プログラムを毎週発行しています。 JSON ファイル内のこの情報は、各サービス タグに対応する現在の特定時点の IP 範囲の一覧です。 IP アドレスは変更される可能性があります。 ファイアウォール構成に IP アドレス範囲が必要な場合は、AzureCloud サービス タグを使用して、すべての Azure サービスへのアクセスを許可してください。 これらの URL のセキュリティ監視または検査を無効にせず、他のインターネット トラフィックと同様に許可してください。

詳細については、「仮想ネットワーク サービス タグ」を参照してください。

URL

次の表は、Connected Machine エージェントをインストールして使用するために、利用可能にする必要がある URL を示したものです。

エージェントのリソース 説明 必要な場合 プライベート リンクで使用されるエンドポイント
aka.ms インストール中にダウンロード スクリプトを解決するために使用されます インストール時のみ パブリック
download.microsoft.com Windows のインストール パッケージをダウンロードするために使用されます インストール時のみ パブリック
packages.microsoft.com Linux インストール パッケージをダウンロードするために使用されます インストール時のみ パブリック
login.windows.net Azure Active Directory 常に表示する パブリック
login.microsoftonline.com Azure Active Directory 常に表示する パブリック
pas.windows.net Azure Active Directory 常に表示する パブリック
management.azure.com Azure Resource Manager - Arc サーバー リソースを作成または削除します サーバーを接続または切断する場合のみ リソース管理のプライベート リンクも構成されてない限り、パブリック
*.his.arc.azure.com メタデータとハイブリッド ID サービス 常に表示する プライベート
*.guestconfiguration.azure.com 拡張機能管理とゲスト構成サービス 常に表示する プライベート
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com 拡張機能と接続のシナリオ用の通知サービス 常に表示する パブリック
azgn*.servicebus.windows.net 拡張機能と接続のシナリオ用の通知サービス 常に表示する パブリック
*.servicebus.windows.net Windows Admin Center と SSH のシナリオの場合 Azure から SSH または Windows Admin Center を使用する場合 パブリック
*.waconazure.com Windows Admin Center接続の場合 Windows Admin Center を使用している場合 パブリック
*.blob.core.windows.net Azure Arc 対応サーバー拡張機能のダウンロード元 プライベート エンドポイントを使用する場合を除き、常に プライベート リンクが構成されている場合は使用されません
dc.services.visualstudio.com エージェント テレメトリ オプション。エージェント バージョン 1.24 以降では使用されません パブリック

注意

*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、コマンド \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<location> を使用します。 このコマンド内で、<location> プレースホルダーにリージョンを指定する必要があります。

トランスポート層セキュリティ 1.2 プロトコル

Azure に転送中のデータのセキュリティを確保するには、トランスポート層セキュリティ (TLS) 1.2 を使用するようにマシンを構成することを強くお勧めします。 以前のバージョンの TLS/SSL (Secure Sockets Layer) は脆弱であることが確認されています。現在、これらは下位互換性を維持するために使用可能ですが、推奨されていません

プラットフォーム/言語 サポート 詳細情報
Linux Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。 OpenSSL の Changelog を参照して、使用している OpenSSL のバージョンがサポートされていることを確認してください。
Windows Server 2012 R2 以降 サポートされています。既定で有効になっています。 既定の設定を使用していることを確認するには。

次のステップ