netwerkvereisten voor Verbinding maken machineagent
In dit onderwerp worden de netwerkvereisten beschreven voor het gebruik van de Verbinding maken ed Machine-agent voor het onboarden van een fysieke server of virtuele machine naar servers met Azure Arc.
DETAILS
Over het algemeen omvatten de connectiviteitsvereisten de volgende principes:
- Alle verbindingen zijn TCP, tenzij anders opgegeven.
- Alle HTTP-verbindingen gebruiken HTTPS en SSL/TLS met officieel ondertekende en verifieerbare certificaten.
- Alle verbindingen zijn uitgaand, tenzij anders is opgegeven.
Als u een proxy wilt gebruiken, controleert u of de agents en de computer die het onboardingproces uitvoeren, voldoen aan de netwerkvereisten in dit artikel.
Servereindpunten met Azure Arc zijn vereist voor alle Arc-aanbiedingen op basis van servers.
Netwerkconfiguratie
De Azure Verbinding maken ed Machine-agent voor Linux en Windows communiceert veilig naar Azure Arc via TCP-poort 443. De agent gebruikt standaard de standaardroute naar internet om Azure-services te bereiken. U kunt de agent desgewenst configureren voor het gebruik van een proxyserver als dit vereist is voor uw netwerk. Proxyservers maken de Verbinding maken ed Machine-agent niet veiliger omdat het verkeer al is versleuteld.
Als u uw netwerkconnectiviteit met Azure Arc verder wilt beveiligen in plaats van openbare netwerken en proxyservers te gebruiken, kunt u een Azure Arc Private Link-bereik implementeren.
Notitie
Servers met Azure Arc bieden geen ondersteuning voor het gebruik van een Log Analytics-gateway als proxy voor de Verbinding maken ed Machine-agent. Tegelijkertijd ondersteunt De Azure Monitor-agent Log Analytics-gateway.
Als uitgaande connectiviteit wordt beperkt door uw firewall of proxyserver, controleert u of de onderstaande URL's en servicetags niet worden geblokkeerd.
Servicetags
Zorg ervoor dat u toegang tot de volgende servicetags toestaat:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- Windows Beheer Center (als u Windows Beheer Center gebruikt om servers met Arc te beheren)
Zie het JSON-bestand Azure IP Ranges and Service Tags – Public Cloud voor een lijst met IP-adressen voor elke servicetag/regio. Microsoft publiceert wekelijkse updates met elke Azure-service en de IP-bereiken die worden gebruikt. Deze informatie in het JSON-bestand is de huidige lijst met tijdstippen van de IP-bereiken die overeenkomen met elke servicetag. De IP-adressen kunnen worden gewijzigd. Als IP-adresbereiken vereist zijn voor uw firewallconfiguratie, moet de AzureCloud-servicetag worden gebruikt om toegang tot alle Azure-services toe te staan. Schakel beveiligingsbewaking of -inspectie van deze URL's niet uit, sta ze toe zoals u dat zou doen met ander internetverkeer.
Zie Servicetags voor virtuele netwerken voor meer informatie.
URL's
De onderstaande tabel bevat de URL's die beschikbaar moeten zijn om de Verbinding maken ed Machine-agent te kunnen installeren en gebruiken.
Notitie
Wanneer u de met Azure verbonden machineagent configureert om met Azure te communiceren via een privékoppeling, moeten sommige eindpunten nog steeds worden geopend via internet. Het eindpunt dat wordt gebruikt met de kolom Private Link in de volgende tabel laat zien welke eindpunten kunnen worden geconfigureerd met een privé-eindpunt. Als in de kolom Openbaar voor een eindpunt wordt weergegeven, moet u nog steeds toegang tot dat eindpunt toestaan via de firewall en/of proxyserver van uw organisatie om de agent te laten functioneren.
| Agentresource | Beschrijving | Indien nodig | Eindpunt dat wordt gebruikt met private link |
|---|---|---|---|
aka.ms |
Wordt gebruikt om het downloadscript tijdens de installatie op te lossen | Alleen tijdens de installatie | Openbaar |
download.microsoft.com |
Wordt gebruikt om het Windows-installatiepakket te downloaden | Alleen tijdens de installatie | Openbaar |
packages.microsoft.com |
Wordt gebruikt om het Linux-installatiepakket te downloaden | Alleen tijdens de installatie | Openbaar |
login.windows.net |
Microsoft Entra ID | Altijd | Openbaar |
login.microsoftonline.com |
Microsoft Entra ID | Altijd | Openbaar |
pas.windows.net |
Microsoft Entra ID | Altijd | Openbaar |
management.azure.com |
Azure Resource Manager: de Arc-serverresource maken of verwijderen | Alleen bij het verbinden of verbreken van een server | Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd |
*.his.arc.azure.com |
Services voor metagegevens en hybride identiteiten | Altijd | Privé |
*.guestconfiguration.azure.com |
Extensiebeheer- en gastconfiguratieservices | Altijd | Privé |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Meldingsservice voor extensie- en connectiviteitsscenario's | Altijd | Openbaar |
azgn*.servicebus.windows.net |
Meldingsservice voor extensie- en connectiviteitsscenario's | Altijd | Openbaar |
*.servicebus.windows.net |
Voor Windows Beheer Center- en SSH-scenario's | Als u SSH of Windows Beheer Center gebruikt vanuit Azure | Openbaar |
*.waconazure.com |
Voor Windows Beheer Center-connectiviteit | Als u Windows Beheer Center gebruikt | Openbaar |
*.blob.core.windows.net |
Bron voor serversextensies met Azure Arc downloaden | Altijd, behalve wanneer u privé-eindpunten gebruikt | Niet gebruikt wanneer private link is geconfigureerd |
dc.services.visualstudio.com |
Agenttelemetrie | Optioneel, niet gebruikt in agentversie 1.24+ | Openbaar |
*.<region>.arcdataservices.com1 |
Voor Arc SQL Server. Verzendt gegevensverwerkingsservice, servicetelemetrie en prestatiebewaking naar Azure. Hiermee staat u TLS 1.3 toe. | Altijd | Openbaar |
www.microsoft.com/pkiops/certs |
Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443) | Als u ESU's gebruikt die zijn ingeschakeld door Azure Arc. Altijd vereist voor automatische updates of tijdelijk als u certificaten handmatig downloadt. | Openbaar |
1 Voor uitbreidingsversies tot en met 13 februari 2024 gebruikt san-af-<region>-prod.azurewebsites.netu . Vanaf 12 maart 2024 worden zowel Azure Arc-gegevensverwerking als telemetriegegevens van Azure Arc gebruikt*.<region>.arcdataservices.com.
Notitie
Gebruik de opdracht \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>om het *.servicebus.windows.net jokerteken om te zetten in specifieke eindpunten. Binnen deze opdracht moet de regio worden opgegeven voor de <region> tijdelijke aanduiding.
Als u het regiosegment van een regionaal eindpunt wilt ophalen, verwijdert u alle spaties uit de naam van de Azure-regio. Bijvoorbeeld, regio VS - oost 2 , de regionaam is eastus2.
Bijvoorbeeld: *.<region>.arcdataservices.com moet zich in de regio VS - oost 2 bevinden *.eastus2.arcdataservices.com .
Voer deze opdracht uit om een lijst met alle regio's weer te geven:
az account list-locations -o table
Get-AzLocation | Format-Table
Transport Layer Security 1.2-protocol
Om de beveiliging van gegevens in transit naar Azure te waarborgen, raden we u ten zeere aan om de machine te configureren voor het gebruik van TLS (Transport Layer Security) 1.2. Oudere versies van TLS/Secure Sockets Layer (SSL) zijn kwetsbaar gebleken en hoewel ze momenteel nog steeds werken om compatibiliteit met eerdere versies mogelijk te maken, worden ze niet aanbevolen.
| Platform/taal | Ondersteuning | Meer informatie |
|---|---|---|
| Linux | Linux-distributies zijn meestal afhankelijk van OpenSSL voor TLS 1.2-ondersteuning. | Controleer het Changelog van OpenSSL om te bevestigen dat uw versie van OpenSSL wordt ondersteund. |
| Windows Server 2012 R2 en hoger | Ondersteund en standaard ingeschakeld. | Controleer of u nog steeds de standaardinstellingen gebruikt. |
Subset van eindpunten voor alleen ESU
Als u alleen servers met Azure Arc gebruikt voor uitgebreide beveiligingsupdates voor een van de volgende of beide producten:
- Windows Server 2012
- SQL Server 2012
U kunt de volgende subset eindpunten inschakelen:
| Agentresource | Beschrijving | Indien nodig | Eindpunt dat wordt gebruikt met private link |
|---|---|---|---|
aka.ms |
Wordt gebruikt om het downloadscript tijdens de installatie op te lossen | Alleen tijdens de installatie | Openbaar |
download.microsoft.com |
Wordt gebruikt om het Windows-installatiepakket te downloaden | Alleen tijdens de installatie | Openbaar |
login.windows.net |
Microsoft Entra ID | Altijd | Openbaar |
login.microsoftonline.com |
Microsoft Entra ID | Altijd | Openbaar |
management.azure.com |
Azure Resource Manager: de Arc-serverresource maken of verwijderen | Alleen bij het verbinden of verbreken van een server | Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd |
*.his.arc.azure.com |
Services voor metagegevens en hybride identiteiten | Altijd | Privé |
*.guestconfiguration.azure.com |
Extensiebeheer- en gastconfiguratieservices | Altijd | Privé |
www.microsoft.com/pkiops/certs |
Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443) | Altijd voor automatische updates of tijdelijk als u certificaten handmatig downloadt. | Openbaar |
*.<region>.arcdataservices.com |
Azure Arc-gegevensverwerkingsservice en -servicetelemetrie. | SQL Server-ESU's | Openbaar |
Volgende stappen
- Bekijk aanvullende vereisten voor het implementeren van de Verbinding maken ed Machine-agent.
- Voordat u de Azure Verbinding maken ed Machine-agent implementeert en integreert met andere Azure-beheer- en bewakingsservices, raadpleegt u de plannings- en implementatiehandleiding.
- Raadpleeg de handleiding voor het oplossen van problemen met de agentverbinding om problemen op te lossen.
- Zie Azure Arc-netwerkvereisten (geconsolideerd) voor een volledige lijst met netwerkvereisten voor Azure Arc-functies en Azure Arc-services.