次の方法で共有


Connected Machine エージェントのネットワーク要件

このトピックでは、Connected Machine エージェントを使用して Azure Arc 対応サーバーに物理サーバーまたは仮想マシンをオンボードするためのネットワーク要件について説明します。

詳細

一般に、接続要件には次の原則が含まれます。

  • 特に指定がない限り、すべての接続は TCP です。
  • すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
  • 特に指定がない限り、すべての接続はアウトバウンドです。

プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。

サーバー ベースのすべての Arc オファリングには、Azure Arc 対応サーバー エンドポイントが必要です。

ネットワークの構成

Linux および Windows 用の Azure Connected Machine エージェントは、TCP ポート 443 を介して Azure Arc へのアウトバウンド通信を安全に行います。 既定では、エージェントはインターネットへの既定のルートを使用して Azure サービスに接続します。 ネットワークで必要とされる場合に、プロキシ サーバーを使用するようにエージェントを構成することもできます。 トラフィックは既に暗号化されているため、プロキシ サーバーによって Connected Machine Agent のセキュリティが強化されることはありません。

Azure Arc へのネットワーク接続をさらにセキュリティで保護するために、パブリック ネットワークとプロキシ サーバーを使用する代わりに、Azure Arc プライベート リンク スコープを実装できます。

Note

Azure Arc 対応サーバーでは、Connected Machine エージェントのプロキシとして Log Analytics ゲートウェイを使用することはサポートされていません。 同時に、Azure Monitor エージェントは Log Analytics ゲートウェイをサポートします。

アウトバウンド接続がファイアウォールやプロキシ サーバーによって制限されている場合は、以下に示す URL とサービス タグがブロックされていないことを確認してください。

サービス タグ

次のサービス タグへのアクセスを許可してください。

各サービス タグ/リージョンの IP アドレスの一覧については、「Azure IP 範囲とサービス タグ – パブリック クラウド」という JSON ファイルを参照してください。 Microsoft では、各 Azure サービスとそれが使用する IP 範囲を含む更新プログラムを毎週発行しています。 JSON ファイル内のこの情報は、各サービス タグに対応する現在の特定時点の IP 範囲の一覧です。 IP アドレスは変更される可能性があります。 ファイアウォール構成に IP アドレス範囲が必要な場合は、AzureCloud サービス タグを使用して、すべての Azure サービスへのアクセスを許可してください。 これらの URL のセキュリティ監視または検査を無効にせず、他のインターネット トラフィックと同様に許可してください。

AzureArcInfrastructure サービス タグへのトラフィックをフィルター処理する場合は、完全なサービス タグ範囲へのトラフィックを許可する必要があります。 AzureArcInfrastructure.AustraliaEast など、個々のリージョンに対して公開された範囲には、サービスのグローバル コンポーネントで使用される IP 範囲は含まれません。 これらのエンドポイントに対して解決される特定の IP アドレスは、文書化された範囲内で時間の経過とともに変化する可能性があるため、検索ツールを使用して特定のエンドポイントの現在の IP アドレスを識別して、そのアドレスへのアクセスを許可するだけでは、信頼性の高いアクセスを保証するのに十分ではありません。

詳細については、「仮想ネットワーク サービス タグ」を参照してください。

URL

次の表は、Connected Machine エージェントをインストールして使用するために、利用可能にする必要がある URL を示したものです。

Note

プライベート リンクを介して Azure と通信するように Azure 接続マシン エージェントを構成する場合、一部のエンドポイントにはインターネット経由で引き続きアクセスする必要があります。 次の表のプライベート リンク列で使用されるエンドポイントは、プライベート エンドポイントを使用して構成できるエンドポイントを示しています。 この列にエンドポイントとしてパブリックが表示されている場合でも、エージェントが機能するためには、組織のファイアウォールやプロキシ サーバーを介してそのエンドポイントへのアクセスを許可する必要があります。

エージェントのリソース 説明 必要な場合 プライベート リンクで使用されるエンドポイント
aka.ms インストール中にダウンロード スクリプトを解決するために使用されます インストール時のみ パブリック
download.microsoft.com Windows のインストール パッケージをダウンロードするために使用されます インストール時のみ パブリック
packages.microsoft.com Linux インストール パッケージをダウンロードするために使用されます インストール時のみ パブリック
login.windows.net Microsoft Entra ID Always (常に) パブリック
login.microsoftonline.com Microsoft Entra ID Always (常に) パブリック
pas.windows.net Microsoft Entra ID Always (常に) パブリック
management.azure.com Azure Resource Manager - Arc サーバー リソースを作成または削除します サーバーを接続または切断する場合のみ リソース管理のプライベート リンクも構成されてない限り、パブリック
*.his.arc.azure.com メタデータとハイブリッド ID サービス Always (常に) プライベート
*.guestconfiguration.azure.com 拡張機能管理とゲスト構成サービス Always (常に) プライベート
guestnotificationservice.azure.com*.guestnotificationservice.azure.com 拡張機能と接続のシナリオ用の通知サービス Always (常に) パブリック
azgn*.servicebus.windows.net 拡張機能と接続のシナリオ用の通知サービス Always (常に) パブリック
*.servicebus.windows.net Windows Admin Center と SSH のシナリオの場合 Azure から SSH または Windows Admin Center を使用する場合 パブリック
*.waconazure.com Windows Admin Center接続の場合 Windows Admin Center を使用している場合 パブリック
*.blob.core.windows.net Azure Arc 対応サーバー拡張機能のダウンロード元 プライベート エンドポイントを使用する場合を除き、常に プライベート リンクが構成されている場合は使用されません
dc.services.visualstudio.com エージェント テレメトリ オプション。エージェント バージョン 1.24 以降では使用されません パブリック
*.<region>.arcdataservices.com 1 Arc SQL Server の場合。 データ処理サービス、サービス テレメトリ、およびパフォーマンスの監視を Azure に送信します。 TLS 1.3 を許可します。 常時 公開
www.microsoft.com/pkiops/certs ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します) Azure Arc によって有効にされる ESU を使用している場合。自動更新には常に必要です。証明書を手動でダウンロードする場合は一時的に必要です。 公開

1 2024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net を使用してください。 2024 年 3 月 12 日以降、Azure Arc データ処理と Azure Arc データ テレメトリの両方で *.<region>.arcdataservices.com を使用します。

Note

*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、コマンド \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region> を使用します。 このコマンド内で、<region> プレースホルダーにリージョンを指定する必要があります。 これらのエンドポイントは定期的に変更される可能性があります。

リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。

たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。

すべてのリージョンの一覧を表示するには、このコマンドを実行します。

az account list-locations -o table
Get-AzLocation | Format-Table

トランスポート層セキュリティ 1.2 プロトコル

Azure に転送中のデータのセキュリティを確保するには、トランスポート層セキュリティ (TLS) 1.2 を使用するようにマシンを構成することを強くお勧めします。 以前のバージョンの TLS/SSL (Secure Sockets Layer) は脆弱であることが確認されています。現在、これらは下位互換性を維持するために使用可能ですが、推奨されていません

プラットフォーム/言語 サポート 詳細情報
Linux Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。 OpenSSL の Changelog を参照して、使用している OpenSSL のバージョンがサポートされていることを確認してください。
Windows Server 2012 R2 以降 サポートされていて、既定で有効。 既定の設定を使用していることを確認するには。

ESU のみ用のエンドポイントのサブセット

次の製品のいずれかまたは両方で拡張セキュリティ更新プログラムにのみ Azure Arc 対応サーバーを使用している場合:

  • Windows Server 2012
  • SQL Server 2012

エンドポイントの次のサブセットを有効にすることができます:

エージェントのリソース 説明 必要な場合 プライベート リンクで使用されるエンドポイント
aka.ms インストール中にダウンロード スクリプトを解決するために使用されます インストール時のみ パブリック
download.microsoft.com Windows のインストール パッケージをダウンロードするために使用されます インストール時のみ パブリック
login.windows.net Microsoft Entra ID Always (常に) パブリック
login.microsoftonline.com Microsoft Entra ID Always (常に) パブリック
management.azure.com Azure Resource Manager - Arc サーバー リソースを作成または削除します サーバーを接続または切断する場合のみ リソース管理のプライベート リンクも構成されてない限り、パブリック
*.his.arc.azure.com メタデータとハイブリッド ID サービス Always (常に) プライベート
*.guestconfiguration.azure.com 拡張機能管理とゲスト構成サービス Always (常に) プライベート
www.microsoft.com/pkiops/certs ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します) 自動更新の場合は常時、または証明書を手動でダウンロードする場合は一時的。 公開
*.<region>.arcdataservices.com Azure Arc データ処理サービスとサービス テレメトリ。 SQL Server ESU パブリック
*.blob.core.windows.net SQL Server 拡張機能パッケージをダウンロードします SQL Server ESU Private Link を使っている場合は不要

次のステップ