Netwerkvereisten voor Connected Machine-agent

In dit artikel worden de netwerkvereisten beschreven voor het gebruik van de Azure Connected Machine-agent voor het onboarden van een fysieke server of virtuele machine naar servers met Azure Arc.

Aanbeveling

Voor het openbare Azure-cloudplatform kunt u het aantal vereiste eindpunten verminderen met behulp van Azure Arc-gateway.

Bijzonderheden

Over het algemeen omvatten de connectiviteitsvereisten de volgende principes:

• Alle verbindingen zijn TCP, tenzij anders opgegeven.
• Alle HTTP-verbindingen gebruiken HTTPS en SSL/TLS met officieel ondertekende en verifieerbare certificaten.
• Alle verbindingen zijn uitgaand, tenzij anders is opgegeven.

Als u een proxy wilt gebruiken, controleert u of de agents en de computer die het onboardingproces uitvoeren, voldoen aan de netwerkvereisten in dit artikel.

Servereindpunten met Azure Arc zijn vereist voor alle azure Arc-aanbiedingen op basis van servers.

Netwerkconfiguratie

De Azure Connected Machine-agent voor Linux en Windows communiceert veilig naar Azure Arc via TCP-poort 443. De agent gebruikt standaard de standaardroute naar internet om Azure-services te bereiken. U kunt de agent desgewenst configureren voor het gebruik van een proxyserver als dit vereist is voor uw netwerk. Proxyservers maken de Connected Machine-agent niet veiliger omdat het verkeer al is versleuteld.

Als u uw netwerkconnectiviteit met Azure Arc verder wilt beveiligen, in plaats van openbare netwerken en proxyservers te gebruiken, kunt u een privékoppelingsbereik van Azure Arc implementeren.

Notitie

Servers met Azure Arc bieden geen ondersteuning voor het gebruik van een Log Analytics-gateway als proxy voor de connected machine-agent. Tegelijkertijd biedt Azure Monitor Agent ondersteuning voor Log Analytics-gateways.

Als uw firewall of proxyserver uitgaande connectiviteit beperkt, controleert u of de URL's en servicetags die hier worden vermeld, niet worden geblokkeerd.

Servicetags

Zorg ervoor dat u toegang tot de volgende servicetags toestaat:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Storage
• WindowsAdminCenter (als u Windows Admin Center gebruikt om servers met Azure Arc te beheren)

Zie het JSON-bestand Azure IP-bereiken en servicetags - openbare cloud voor een lijst met IP-adressen voor elke servicetag/regio. Microsoft publiceert wekelijkse updates die elke Azure-service bevatten en de IP-bereiken die worden gebruikt. De informatie in het JSON-bestand is de huidige lijst met tijdstippen van de IP-bereiken die overeenkomen met elke servicetag. De IP-adressen kunnen worden gewijzigd. Als IP-adresbereiken vereist zijn voor uw firewallconfiguratie, gebruikt u de AzureCloud servicetag om toegang tot alle Azure-services toe te staan. Schakel beveiligingsbewaking of -inspectie van deze URL's niet uit. Sta ze toe zoals u dat zou doen met ander internetverkeer.

Als u verkeer naar de AzureArcInfrastructure servicetag filtert, moet u verkeer naar het volledige servicetagbereik toestaan. De bereiken die worden geadverteerd voor afzonderlijke regio's, AzureArcInfrastructure.AustraliaEastbevatten bijvoorbeeld niet de IP-bereiken die worden gebruikt door globale onderdelen van de service. Het specifieke IP-adres dat voor deze eindpunten wordt opgelost, kan in de loop der tijd veranderen binnen de gedocumenteerde IP-bereiken. Daarom is het gebruiken van een zoekprogramma om het huidige IP-adres voor een specifiek eindpunt te identificeren en alleen toegang tot dat IP-adres toe te staan, niet voldoende om betrouwbare toegang te garanderen.

Zie Servicetags voor virtuele netwerken voor meer informatie.

Belangrijk

Als u verkeer wilt filteren op IP-adressen in Azure Government of Azure beheerd door 21Vianet, moet u de IP-adressen uit de AzureArcInfrastructure servicetag voor de openbare Azure-cloud toevoegen, naast het gebruik van de AzureArcInfrastructure servicetag voor uw cloud. Na 28 oktober 2025 is het toevoegen van de servicetag voor de AzureArcInfrastructure openbare Azure-cloud vereist en worden de servicetags voor Azure Government en Azure beheerd door 21Vianet niet meer ondersteund.

URL's

Deze tabel bevat de URL's die beschikbaar moeten zijn om de Connected Machine-agent te installeren en te gebruiken.

Azure-cloudplatform

Notitie

Wanneer u de Connected Machine-agent configureert om te communiceren met Azure via een privékoppeling, moeten sommige eindpunten nog steeds worden geopend via internet. In de kolom Private link capable in de volgende tabel staan de eindpunten die met een privé-eindpunt geconfigureerd kunnen worden. Als in de kolom Openbaar voor een eindpunt wordt weergegeven, moet u nog steeds toegang tot dat eindpunt toestaan via de firewall en/of proxyserver van uw organisatie om de agent te laten functioneren. Netwerkverkeer wordt gerouteerd via private eindpunten, als er een private link toepassingsgebied is toegewezen.

Agentresource	Beschrijving	Indien nodig	Geschikt voor Private Link
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden.	Alleen tijdens de installatie. 1	Publiek.
packages.microsoft.com	Wordt gebruikt om het Linux-installatiepakket te downloaden.	Alleen tijdens de installatie. 1	Publiek.
login.microsoftonline.com	Microsoft Entra-id.	Altijd.	Publiek.
*.login.microsoft.com	Microsoft Entra-id.	Altijd.	Publiek.
pas.windows.net	Microsoft Entra-id.	Altijd.	Publiek.
management.azure.com	Azure Resource Manager wordt gebruikt om de Azure Arc-serverresource te maken of te verwijderen.	Alleen wanneer u verbinding maakt of de verbinding met een server verbreekt.	Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd.
*.his.arc.azure.com	Metagegevens en hybride identiteitsservices.	Altijd.	Privé.
*.guestconfiguration.azure.com	Extensiebeheer en gastconfiguratieservices.	Altijd.	Privé.
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Meldingsservice voor uitbreidings- en connectiviteitsscenario's.	Altijd.	Publiek.
azgn*.servicebus.windows.net of *.servicebus.windows.net	Meldingsservice voor uitbreidings- en connectiviteitsscenario's.	Altijd.	Publiek.
*.servicebus.windows.net	Voor Windows Admin Center- en SSH-scenario's (Secure Shell).	Als u SSH of Windows Admin Center gebruikt vanuit Azure.	Publiek.
*.waconazure.com	Voor windows-beheercentrumconnectiviteit.	Als u Windows Admin Center gebruikt.	Publiek.
*.blob.core.windows.net	Download de bron voor serverextensies met Azure Arc.	Altijd, behalve wanneer u privé-eindpunten gebruikt.	Niet gebruikt wanneer een privékoppeling is geconfigureerd.
dc.services.visualstudio.com	Agenttelemetrie.	Optional. Niet gebruikt in agentversie 1.24+.	Publiek.
*.<region>.arcdataservices.com 2	Voor SQL Server met Azure Arc. Verzendt gegevensverwerkingsservice, servicetelemetrie en prestatiebewaking naar Azure. Staat alleen Transportlaagbeveiliging (TLS) 1.2 of 1.3 toe.	Als u SQL Server met Azure Arc gebruikt.	Publiek.
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2	Voor Microsoft Entra-verificatie met SQL Server met Azure Arc.	Als u SQL Server met Azure Arc gebruikt.	Publiek.
www.microsoft.com/pkiops/certs	Tussenliggende certificaatupdates voor uitgebreide beveiligingsupdates (maakt gebruik van HTTP/TCP 80 en HTTPS/TCP 443).	Als u uitgebreide beveiligingsupdates gebruikt die zijn ingeschakeld door Azure Arc. Altijd vereist voor automatische updates of tijdelijk als u certificaten handmatig downloadt.	Publiek.
dls.microsoft.com	Wordt gebruikt door Azure Arc-machines om licentievalidatie uit te voeren.	Vereist wanneer u hotpatching, Windows Server Azure Benefits, of Windows Server betalen-per-gebruik-facturering gebruikt op met Azure Arc ingeschakelde machines.	Publiek.

¹ Toegang tot deze URL is ook nodig wanneer updates automatisch worden uitgevoerd.

² Voor meer informatie over welke gegevens worden verzameld en verzonden, bekijkt u het verzamelen en rapporteren van gegevens voor SQL Server die is ingeschakeld door Azure Arc.

Gebruik voor uitbreidingsversies tot en met 13 februari 2024 san-af-<region>-prod.azurewebsites.net. Vanaf 12 maart 2024 gebruiken zowel *.<region>.arcdataservices.comAzure Arc-gegevensverwerking als Azure Arc-telemetrie.

Notitie

Gebruik de opdracht *.servicebus.windows.netom het \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region> jokerteken om te zetten in specifieke eindpunten. Binnen deze opdracht moet de regio worden opgegeven voor de <region> tijdelijke aanduiding. Deze eindpunten kunnen periodiek worden gewijzigd.

Als u het regiosegment van een regionaal eindpunt wilt ophalen, verwijdert u alle spaties uit de naam van de Azure-regio. Bijvoorbeeld, regio VS - oost 2 , de regionaam is eastus2.

Bijvoorbeeld: *.<region>.arcdataservices.com moet *.eastus2.arcdataservices.com zijn in de regio VS - oost 2.

Voer deze opdracht uit om een lijst met alle regio's weer te geven:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Notitie

Wanneer u de Connected Machine-agent configureert om te communiceren met Azure via een privékoppeling, moeten sommige eindpunten nog steeds worden geopend via internet. Het eindpunt dat wordt gebruikt met de kolom Private Link in de volgende tabel bevat de eindpunten die u met een privé-eindpunt kunt configureren. Als in de kolom Openbaar voor een eindpunt wordt weergegeven, moet u nog steeds toegang tot dat eindpunt toestaan via de firewall en/of proxyserver van uw organisatie om de agent te laten functioneren.

Agentresource	Beschrijving	Indien nodig	Eindpunt dat wordt gebruikt met een privélink
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden.	Alleen tijdens de installatie. 1	Publiek.
packages.microsoft.com	Wordt gebruikt om het Linux-installatiepakket te downloaden.	Alleen tijdens de installatie. 1	Publiek.
login.microsoftonline.us	Microsoft Entra-id.	Altijd.	Publiek.
pasff.usgovcloudapi.net	Microsoft Entra-id.	Altijd.	Publiek.
management.usgovcloudapi.net	Azure Resource Manager wordt gebruikt om de Azure Arc-serverresource te maken of te verwijderen.	Alleen wanneer u verbinding maakt of de verbinding met een server verbreekt.	Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd.
*.his.arc.azure.us	Metagegevens en hybride identiteitsservices.	Altijd.	Privé.
*.guestconfiguration.azure.us	Extensiebeheer en gastconfiguratieservices.	Altijd.	Privé.
*.blob.core.usgovcloudapi.net	Download de bron voor serversextensies met Azure Arc.	Altijd, behalve wanneer u privé-eindpunten gebruikt.	Niet gebruikt wanneer een privékoppeling is geconfigureerd.
dc.applicationinsights.us	Agenttelemetrie.	Optional. Niet gebruikt in agentversie 1.24+.	Publiek.
*.<region>.arcdataservices.azure.us 2	Voor SQL Server met Azure Arc. Verzendt gegevensverwerkingsservice, servicetelemetrie en prestatiebewaking naar Azure. Staat alleen TLS 1.2 of 1.3 toe.	Als u SQL Server met Azure Arc gebruikt.	Publiek.
www.microsoft.com/pkiops/certs	Tussenliggende certificaatupdates voor uitgebreide beveiligingsupdates (gebruikt HTTP/TCP 80 en HTTPS/TCP 443).	Als u uitgebreide beveiligingsupdates gebruikt die zijn ingeschakeld door Azure Arc. Altijd vereist voor automatische updates of tijdelijk als u certificaten handmatig downloadt.	Publiek.

¹ Toegang tot deze URL is ook nodig wanneer updates automatisch worden uitgevoerd.

² Voor meer informatie over welke gegevens worden verzameld en verzonden, bekijkt u het verzamelen en rapporteren van gegevens voor SQL Server die is ingeschakeld door Azure Arc.

Azure beheerd door 21Vianet

Agentresource	Beschrijving	Indien nodig
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden.	Alleen tijdens de installatie. 1
packages.microsoft.com	Wordt gebruikt om het Linux-installatiepakket te downloaden.	Alleen tijdens de installatie. 1
login.chinacloudapi.cn	Microsoft Entra-id.	Altijd.
login.partner.chinacloudapi.cn	Microsoft Entra-id.	Altijd.
pas.chinacloudapi.cn	Microsoft Entra-id.	Altijd.
management.chinacloudapi.cn	Azure Resource Manager wordt gebruikt om de Azure Arc-serverresource te maken of te verwijderen.	Alleen wanneer u verbinding maakt of de verbinding met een server verbreekt.
*.his.arc.azure.cn	Metagegevens en hybride identiteitsservices.	Altijd.
*.guestconfiguration.azure.cn	Extensiebeheer en gastconfiguratieservices.	Altijd.
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Meldingsservice voor uitbreidings- en connectiviteitsscenario's.	Altijd.
azgn*.servicebus.chinacloudapi.cn	Meldingsservice voor uitbreidings- en connectiviteitsscenario's.	Altijd.
*.servicebus.chinacloudapi.cn	Voor Windows Admin Center- en SSH-scenario's.	Als u SSH of Windows Admin Center gebruikt vanuit Azure.
*.blob.core.chinacloudapi.cn	Download de bron voor serversextensies met Azure Arc.	Altijd, behalve wanneer u privé-eindpunten gebruikt.
dc.applicationinsights.azure.cn	Agenttelemetrie.	Optional. Niet gebruikt in agentversie 1.24+.

¹ Toegang tot deze URL is ook nodig wanneer updates automatisch worden gevormd.

Cryptografische protocollen

Om de beveiliging van gegevens in transit naar Azure te waarborgen, raden we u ten zeere aan om machines te configureren voor het gebruik van TLS 1.2 en 1.3. Oudere versies van TLS/Secure Sockets Layer (SSL) zijn kwetsbaar gevonden. Hoewel ze momenteel nog steeds compatibiliteit met eerdere versies mogelijk maken, worden ze niet aanbevolen.

Vanaf versie 1.56 van de Connected Machine-agent (alleen Windows) moeten de volgende coderingssuites worden geconfigureerd voor ten minste één van de aanbevolen TLS-versies:

• TLS 1.3 (suites in volgorde van server voorkeur):

  • TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bits RSA) FS
  • TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 bits RSA) FS

• TLS 1.2 (suites in volgorde van server voorkeur):

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15360 bits RSA) FS
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS

Zie Problemen met windows TLS-configuratie voor meer informatie.

De door Azure Arc ingeschakelde SQL-server eindpunten gelegen op *.\<region\>.arcdataservices.com ondersteunen alleen TLS 1.2 en 1.3. Alleen Windows Server 2012 R2 en hoger hebben ondersteuning voor TLS 1.2. SQL Server ingeschakeld door Azure Arc-telemetrie-eindpunt wordt niet ondersteund op Windows Server 2012 of Windows Server 2012 R2.

Platform/taal	Ondersteuning	Meer informatie
Linux	Linux-distributies zijn meestal afhankelijk van OpenSSL voor TLS 1.2-ondersteuning.	Controleer het Changelog van OpenSSL om te bevestigen dat uw versie van OpenSSL wordt ondersteund.
Windows Server 2012 R2 en hoger	Standaard ondersteund en ingeschakeld.	Controleer of u nog steeds de standaardinstellingen gebruikt.
Windows Server 2012	Gedeeltelijk ondersteund. Niet aanbevolen.	Sommige eindpunten werken nog steeds, maar voor andere eindpunten is TLS 1.2 of hoger vereist, die niet beschikbaar is in Windows Server 2012.

Subset van eindpunten voor alleen ESU

Als u servers met Azure Arc alleen gebruikt voor uitgebreide beveiligingsupdates voor een of beide van de volgende producten:

• Windows Server 2012
• SQL Server 2012

U kunt de volgende subset van eindpunten inschakelen.

Azure-cloudplatform

Agentresource	Beschrijving	Indien nodig	Eindpunt dat wordt gebruikt met een privélink
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden.	Alleen tijdens de installatie. 1	Publiek.
login.windows.net	Microsoft Entra-id.	Altijd.	Publiek.
login.microsoftonline.com	Microsoft Entra-id.	Altijd.	Publiek.
*.login.microsoft.com	Microsoft Entra-id.	Altijd.	Publiek.
management.azure.com	Azure Resource Manager wordt gebruikt om de Azure Arc-serverresource te maken of te verwijderen.	Alleen wanneer u verbinding maakt of de verbinding met een server verbreekt.	Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd.
*.his.arc.azure.com	Metagegevens en hybride identiteitsservices.	Altijd.	Privé.
*.guestconfiguration.azure.com	Extensiebeheer en gastconfiguratieservices.	Altijd.	Privé.
www.microsoft.com/pkiops/certs	Tussenliggende certificaatupdates voor uitgebreide beveiligingsupdates (maakt gebruik van HTTP/TCP 80 en HTTPS/TCP 443).	Altijd voor automatische updates of tijdelijk als u certificaten handmatig downloadt.	Publiek.
*.<region>.arcdataservices.com	Azure Arc-gegevensverwerkingsservice en -servicetelemetrie.	Uitgebreide beveiligingsupdates voor SQL Server.	Publiek.
*.blob.core.windows.net	Download het SQL Server-extensiepakket.	Uitgebreide beveiligingsupdates voor SQL Server.	Niet vereist als u Azure Private Link gebruikt.

¹ Toegang tot deze URL is ook nodig wanneer u automatisch updates uitvoert.

Azure Government

Agentresource	Beschrijving	Indien nodig	Eindpunt dat wordt gebruikt met een privélink
download.microsoft.com	Wordt gebruikt om het Windows-installatiepakket te downloaden.	Alleen tijdens de installatie. 1	Publiek.
login.microsoftonline.us	Microsoft Entra-id.	Altijd.	Publiek.
management.usgovcloudapi.net	Azure Resource Manager wordt gebruikt om de Azure Arc-serverresource te maken of te verwijderen.	Alleen wanneer u verbinding maakt of de verbinding met een server verbreekt.	Openbaar, tenzij een privékoppeling voor resourcebeheer ook is geconfigureerd.
*.his.arc.azure.us	Metagegevens en hybride identiteitsservices.	Altijd.	Privé.
*.guestconfiguration.azure.us	Extensiebeheer en gastconfiguratieservices.	Altijd.	Privé.
www.microsoft.com/pkiops/certs	Tussenliggende certificaatupdates voor uitgebreide beveiligingsupdates (maakt gebruik van HTTP/TCP 80 en HTTPS/TCP 443).	Altijd voor automatische updates of tijdelijk als u certificaten handmatig downloadt.	Publiek.
*.blob.core.usgovcloudapi.net	Download het SQL Server-extensiepakket.	Uitgebreide beveiligingsupdates voor SQL Server.	Niet vereist als u Azure Private Link gebruikt.

¹ Toegang tot deze URL is ook nodig wanneer u automatisch updates uitvoert.

Azure beheerd door 21Vianet

Notitie

Servers met Azure Arc die worden gebruikt voor uitgebreide beveiligingsupdates voor Windows Server 2012, zijn momenteel niet beschikbaar in Microsoft Azure beheerd door 21Vianet-regio's.

Verwante inhoud

• Zie Vereisten voor de Connected Machine-agent voor meer informatie over de vereisten voor het implementeren van de Connected Machine-agent.
• Voordat u de Connected Machine-agent implementeert en integreert met andere Azure-beheer- en bewakingsservices, raadpleegt u de plannings- en implementatiehandleiding.
• Raadpleeg de handleiding voor het oplossen van problemen met de agentverbinding om problemen op te lossen.
• Zie Azure Arc-netwerkvereisten (geconsolideerd) voor een volledige lijst met netwerkvereisten voor Azure Arc-functies en Azure Arc-services.