Delen via


Netwerkvereisten voor Connected Machine-agent

In dit onderwerp worden de netwerkvereisten beschreven voor het gebruik van de Connected Machine-agent voor het onboarden van een fysieke server of virtuele machine naar servers met Azure Arc.

DETAILS

Over het algemeen omvatten de connectiviteitsvereisten de volgende principes:

  • Alle verbindingen zijn TCP, tenzij anders opgegeven.
  • Alle HTTP-verbindingen gebruiken HTTPS en SSL/TLS met officieel ondertekende en verifieerbare certificaten.
  • Alle verbindingen zijn uitgaand, tenzij anders is opgegeven.

Als u een proxy wilt gebruiken, controleert u of de agents en de computer die het onboardingproces uitvoeren, voldoen aan de netwerkvereisten in dit artikel.

Servereindpunten met Azure Arc zijn vereist voor alle Arc-aanbiedingen op basis van servers.

Netwerkconfiguratie

De Azure Connected Machine-agent voor Linux en Windows communiceert veilig naar Azure Arc via TCP-poort 443. De agent gebruikt standaard de standaardroute naar internet om Azure-services te bereiken. U kunt de agent desgewenst configureren voor het gebruik van een proxyserver als dit vereist is voor uw netwerk. Proxyservers maken de Connected Machine-agent niet veiliger omdat het verkeer al is versleuteld.

Als u uw netwerkconnectiviteit met Azure Arc verder wilt beveiligen in plaats van openbare netwerken en proxyservers te gebruiken, kunt u een Azure Arc Private Link-bereik implementeren.

Notitie

Servers met Azure Arc bieden geen ondersteuning voor het gebruik van een Log Analytics-gateway als proxy voor de connected machine-agent. Tegelijkertijd ondersteunt De Azure Monitor-agent Log Analytics-gateway.

Als uitgaande connectiviteit wordt beperkt door uw firewall of proxyserver, controleert u of de onderstaande URL's en servicetags niet worden geblokkeerd.

Servicetags

Zorg ervoor dat u toegang tot de volgende servicetags toestaat:

Zie het JSON-bestand Azure IP Ranges and Service Tags – Public Cloud voor een lijst met IP-adressen voor elke servicetag/regio. Microsoft publiceert wekelijkse updates met elke Azure-service en de IP-bereiken die worden gebruikt. Deze informatie in het JSON-bestand is de huidige lijst met tijdstippen van de IP-bereiken die overeenkomen met elke servicetag. De IP-adressen kunnen worden gewijzigd. Als IP-adresbereiken vereist zijn voor uw firewallconfiguratie, moet de AzureCloud-servicetag worden gebruikt om toegang tot alle Azure-services toe te staan. Schakel beveiligingsbewaking of -inspectie van deze URL's niet uit, sta ze toe zoals u dat zou doen met ander internetverkeer.

Als u verkeer filtert op de servicetag AzureArcInfrastructure, moet u verkeer naar het volledige servicetagbereik toestaan. De bereiken die worden geadverteerd voor afzonderlijke regio's, bijvoorbeeld AzureArcInfrastructure.AustraliaEast, bevatten niet de IP-bereiken die worden gebruikt door globale onderdelen van de service. Het specifieke IP-adres dat voor deze eindpunten is opgelost, kan in de loop van de tijd veranderen binnen de gedocumenteerde bereiken. Gebruik dus alleen een zoekprogramma om het huidige IP-adres voor een bepaald eindpunt te identificeren en toegang tot dat eindpunt toe te staan, is niet voldoende om betrouwbare toegang te garanderen.

Zie Servicetags voor virtuele netwerken voor meer informatie.

URL's

De onderstaande tabel bevat de URL's die beschikbaar moeten zijn om de Connected Machine-agent te kunnen installeren en gebruiken.

Notitie

Wanneer u de met Azure verbonden machineagent configureert om met Azure te communiceren via een privékoppeling, moeten sommige eindpunten nog steeds worden geopend via internet. In de kolom Private Link in de volgende tabel ziet u welke eindpunten kunnen worden geconfigureerd met een privé-eindpunt. Als in de kolom Openbaar voor een eindpunt wordt weergegeven, moet u nog steeds toegang tot dat eindpunt toestaan via de firewall en/of proxyserver van uw organisatie om de agent te laten functioneren. Netwerkverkeer wordt gerouteerd via een privé-eindpunt als een privékoppelingsbereik is toegewezen.

Agentresource Beschrijving Indien nodig Private Link geschikt
aka.ms Wordt gebruikt om het downloadscript tijdens de installatie op te lossen Alleen tijdens de installatie Openbaar
download.microsoft.com Wordt gebruikt om het Windows-installatiepakket te downloaden Alleen tijdens de installatie Openbaar
packages.microsoft.com Wordt gebruikt om het Linux-installatiepakket te downloaden Alleen tijdens de installatie Openbaar
login.microsoftonline.com Microsoft Entra ID Altijd Openbaar
*login.microsoft.com Microsoft Entra ID Altijd Openbaar
pas.windows.net Microsoft Entra ID Altijd Openbaar
management.azure.com Azure Resource Manager: de Arc-serverresource maken of verwijderen Alleen bij het verbinden of verbreken van een server Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd
*.his.arc.azure.com Services voor metagegevens en hybride identiteiten Altijd Privé
*.guestconfiguration.azure.com Extensiebeheer- en gastconfiguratieservices Altijd Privé
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Meldingsservice voor extensie- en connectiviteitsscenario's Altijd Openbaar
azgn*.servicebus.windows.net Meldingsservice voor extensie- en connectiviteitsscenario's Altijd Openbaar
*.servicebus.windows.net Voor Windows-beheercentrum- en SSH-scenario's Als u SSH of Windows Admin Center gebruikt vanuit Azure Openbaar
*.waconazure.com Voor Windows Admin Center-connectiviteit Als u Windows Admin Center gebruikt Openbaar
*.blob.core.windows.net Bron voor serversextensies met Azure Arc downloaden Altijd, behalve wanneer u privé-eindpunten gebruikt Niet gebruikt wanneer private link is geconfigureerd
dc.services.visualstudio.com Agenttelemetrie Optioneel, niet gebruikt in agentversie 1.24+ Openbaar
*.<region>.arcdataservices.com 1 Voor Arc SQL Server. Verzendt gegevensverwerkingsservice, servicetelemetrie en prestatiebewaking naar Azure. Hiermee staat u TLS 1.3 toe. Altijd Openbaar
www.microsoft.com/pkiops/certs Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443) Als u ESU's gebruikt die zijn ingeschakeld door Azure Arc. Altijd vereist voor automatische updates of tijdelijk als u certificaten handmatig downloadt. Openbaar

1 Voor meer informatie over welke gegevens worden verzameld en verzonden, bekijkt u het verzamelen en rapporteren van gegevens voor SQL Server die is ingeschakeld door Azure Arc.

Gebruik voor uitbreidingsversies tot en met 13 februari 2024san-af-<region>-prod.azurewebsites.net . Vanaf 12 maart 2024 worden zowel Azure Arc-gegevensverwerking als telemetriegegevens van Azure Arc gebruikt*.<region>.arcdataservices.com.

Notitie

Gebruik de opdracht \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>om het *.servicebus.windows.net jokerteken om te zetten in specifieke eindpunten. Binnen deze opdracht moet de regio worden opgegeven voor de <region> tijdelijke aanduiding. Deze eindpunten kunnen periodiek worden gewijzigd.

Als u het regiosegment van een regionaal eindpunt wilt ophalen, verwijdert u alle spaties uit de naam van de Azure-regio. Bijvoorbeeld, regio VS - oost 2 , de regionaam is eastus2.

Bijvoorbeeld: *.<region>.arcdataservices.com moet zich in de regio VS - oost 2 bevinden *.eastus2.arcdataservices.com .

Voer deze opdracht uit om een lijst met alle regio's weer te geven:

az account list-locations -o table
Get-AzLocation | Format-Table

Transport Layer Security 1.2-protocol

Om de beveiliging van gegevens in transit naar Azure te waarborgen, raden we u ten zeere aan om de machine te configureren voor het gebruik van TLS (Transport Layer Security) 1.2. Oudere versies van TLS/Secure Sockets Layer (SSL) zijn kwetsbaar gebleken en hoewel ze momenteel nog steeds werken om compatibiliteit met eerdere versies mogelijk te maken, worden ze niet aanbevolen.

Platform/taal Ondersteuning Meer informatie
Linux Linux-distributies zijn meestal afhankelijk van OpenSSL voor TLS 1.2-ondersteuning. Controleer het Changelog van OpenSSL om te bevestigen dat uw versie van OpenSSL wordt ondersteund.
Windows Server 2012 R2 en hoger Ondersteund en standaard ingeschakeld. Controleer of u nog steeds de standaardinstellingen gebruikt.

Subset van eindpunten voor alleen ESU

Als u alleen servers met Azure Arc gebruikt voor uitgebreide beveiligingsupdates voor een van de volgende of beide producten:

  • Windows Server 2012
  • SQL Server 2012

U kunt de volgende subset eindpunten inschakelen:

Agentresource Beschrijving Indien nodig Eindpunt dat wordt gebruikt met private link
aka.ms Wordt gebruikt om het downloadscript tijdens de installatie op te lossen Alleen tijdens de installatie Openbaar
download.microsoft.com Wordt gebruikt om het Windows-installatiepakket te downloaden Alleen tijdens de installatie Openbaar
login.windows.net Microsoft Entra ID Altijd Openbaar
login.microsoftonline.com Microsoft Entra ID Altijd Openbaar
*login.microsoft.com Microsoft Entra ID Altijd Openbaar
management.azure.com Azure Resource Manager: de Arc-serverresource maken of verwijderen Alleen bij het verbinden of verbreken van een server Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd
*.his.arc.azure.com Services voor metagegevens en hybride identiteiten Altijd Privé
*.guestconfiguration.azure.com Extensiebeheer- en gastconfiguratieservices Altijd Privé
www.microsoft.com/pkiops/certs Tussenliggende certificaatupdates voor EKU's (opmerking: http/TCP 80 en HTTPS/TCP 443) Altijd voor automatische updates of tijdelijk als u certificaten handmatig downloadt. Openbaar
*.<region>.arcdataservices.com Azure Arc-gegevensverwerkingsservice en -servicetelemetrie. SQL Server-ESU's Openbaar
*.blob.core.windows.net Sql Server-extensiepakket downloaden SQL Server-ESU's Niet vereist als u Private Link gebruikt

Volgende stappen