Połączenie wymagania dotyczące sieci agenta maszyny

W tym temacie opisano wymagania sieciowe dotyczące używania agenta maszyny Połączenie do dołączania serwera fizycznego lub maszyny wirtualnej do serwerów z obsługą usługi Azure Arc.

Szczegóły

Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:

• Wszystkie połączenia są tcp, chyba że określono inaczej.
• Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
• Wszystkie połączenia są wychodzące, chyba że określono inaczej.

Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.

Punkty końcowe serwera z obsługą usługi Azure Arc są wymagane dla wszystkich ofert usługi Arc opartych na serwerze.

Konfiguracja sieci

Agent azure Połączenie ed Machine dla systemów Linux i Windows komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Domyślnie agent używa domyślnej trasy do Internetu, aby uzyskać dostęp do usług platformy Azure. Opcjonalnie można skonfigurować agenta do korzystania z serwera proxy, jeśli sieć tego wymaga. Serwery proxy nie zabezpieczają Połączenie agenta maszyny, ponieważ ruch jest już zaszyfrowany.

Aby dodatkowo zabezpieczyć łączność sieciową z usługą Azure Arc, zamiast korzystać z sieci publicznych i serwerów proxy, możesz zaimplementować zakres usługi Azure Arc Private Link.

Uwaga

Serwery z obsługą usługi Azure Arc nie obsługują używania bramy usługi Log Analytics jako serwera proxy dla agenta Połączenie ed Machine. Jednocześnie agent usługi Azure Monitor obsługuje bramę usługi Log Analytics.

Jeśli łączność wychodząca jest ograniczona przez zaporę lub serwer proxy, upewnij się, że adresy URL i tagi usług wymienione poniżej nie są blokowane.

Tagi usługi

Pamiętaj, aby zezwolić na dostęp do następujących tagów usługi:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Storage
• Windows Administracja Center (jeśli używasz Centrum Administracja Windows do zarządzania serwerami z obsługą usługi Arc)

Aby uzyskać listę adresów IP dla każdego tagu usługi/regionu, zobacz plik JSON Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna. Firma Microsoft publikuje cotygodniowe aktualizacje zawierające każdą usługę platformy Azure i używane zakresy adresów IP. Te informacje w pliku JSON są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Adresy IP mogą ulec zmianie. Jeśli zakresy adresów IP są wymagane do konfiguracji zapory, należy użyć tagu usługi AzureCloud , aby zezwolić na dostęp do wszystkich usług platformy Azure. Nie wyłączaj monitorowania zabezpieczeń ani inspekcji tych adresów URL, zezwalaj na nie tak jak w przypadku innego ruchu internetowego.

Jeśli filtrujesz ruch do tagu usługi AzureArcInfrastructure, musisz zezwolić na ruch do pełnego zakresu tagów usługi. Zakresy anonsowane dla poszczególnych regionów, na przykład AzureArcInfrastructure.AustraliaEast, nie obejmują zakresów adresów IP używanych przez globalne składniki usługi. Określony adres IP rozpoznany dla tych punktów końcowych może ulec zmianie w czasie w udokumentowanych zakresach, więc wystarczy użyć narzędzia odnośnika do zidentyfikowania bieżącego adresu IP dla danego punktu końcowego i umożliwienia dostępu do niego, aby zapewnić niezawodny dostęp.

Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej.

Adresy URL

W poniższej tabeli wymieniono adresy URL, które muszą być dostępne w celu zainstalowania i użycia agenta Połączenie ed Machine.

Chmura platformy Azure

Uwaga

Podczas konfigurowania agenta połączonej maszyny platformy Azure w celu komunikowania się z platformą Azure za pośrednictwem łącza prywatnego niektóre punkty końcowe muszą być nadal dostępne za pośrednictwem Internetu. Punkt końcowy używany z kolumną łącza prywatnego w poniższej tabeli pokazuje, które punkty końcowe można skonfigurować przy użyciu prywatnego punktu końcowego. Jeśli w kolumnie jest wyświetlana wartość Publiczna dla punktu końcowego, nadal musisz zezwolić na dostęp do tego punktu końcowego za pośrednictwem zapory organizacji i/lub serwera proxy, aby agent mógł działać.

Zasób agenta	opis	Jeśli jest to wymagane	Punkt końcowy używany z linkiem prywatnym
aka.ms	Służy do rozpoznawania skryptu pobierania podczas instalacji	Tylko w czasie instalacji	Publiczne
download.microsoft.com	Służy do pobierania pakietu instalacyjnego systemu Windows	Tylko w czasie instalacji	Publiczne
packages.microsoft.com	Służy do pobierania pakietu instalacyjnego systemu Linux	Tylko w czasie instalacji	Publiczne
login.windows.net	Microsoft Entra ID	Zawsze	Publiczne
login.microsoftonline.com	Microsoft Entra ID	Zawsze	Publiczne
pas.windows.net	Microsoft Entra ID	Zawsze	Publiczne
management.azure.com	Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc	Podczas nawiązywania połączenia lub odłączania serwera tylko	Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami
*.his.arc.azure.com	Metadane i usługi tożsamości hybrydowej	Zawsze	Prywatne
*.guestconfiguration.azure.com	Zarządzanie rozszerzeniami i usługi konfiguracji gościa	Zawsze	Prywatne
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Usługa powiadomień dla scenariuszy rozszerzenia i łączności	Zawsze	Publiczne
azgn*.servicebus.windows.net	Usługa powiadomień dla scenariuszy rozszerzenia i łączności	Zawsze	Publiczne
*.servicebus.windows.net	W przypadku scenariuszy windows Administracja Center i SSH	Jeśli używasz protokołu SSH lub Centrum Administracja systemu Windows z platformy Azure	Publiczne
*.waconazure.com	W przypadku łączności centrum Administracja Windows	W przypadku korzystania z Centrum Administracja Windows	Publiczne
*.blob.core.windows.net	Pobieranie źródła dla rozszerzeń serwerów z obsługą usługi Azure Arc	Zawsze, z wyjątkiem przypadków korzystania z prywatnych punktów końcowych	Nieużytowane podczas konfigurowania łącza prywatnego
dc.services.visualstudio.com	Telemetria agenta	Opcjonalne, nieużytne w wersji agenta w wersji 1.24 lub nowszej	Publiczne
*.<region>.arcdataservices.com1	W przypadku programu Arc SQL Server. Wysyła usługę przetwarzania danych, dane telemetryczne usługi i monitorowanie wydajności na platformę Azure. Zezwala na protokół TLS 1.3.	Zawsze	Publiczne
www.microsoft.com/pkiops/certs	Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443)	W przypadku korzystania z jednostek ESU z włączoną przez usługę Azure Arc. Wymagane zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów.	Publiczne

¹ W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net. Począwszy od 12 marca 2024 r. zarówno przetwarzanie danych usługi Azure Arc, jak i dane telemetryczne usługi Azure Arc używają funkcji *.<region>.arcdataservices.com.

Uwaga

Aby przetłumaczyć *.servicebus.windows.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. W tym poleceniu należy określić region dla symbolu zastępczego <region> .

Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.

Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.

Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Uwaga

Podczas konfigurowania agenta połączonej maszyny platformy Azure w celu komunikowania się z platformą Azure za pośrednictwem łącza prywatnego niektóre punkty końcowe muszą być nadal dostępne za pośrednictwem Internetu. Punkt końcowy używany z kolumną łącza prywatnego w poniższej tabeli pokazuje, które punkty końcowe można skonfigurować przy użyciu prywatnego punktu końcowego. Jeśli w kolumnie jest wyświetlana wartość Publiczna dla punktu końcowego, nadal musisz zezwolić na dostęp do tego punktu końcowego za pośrednictwem zapory organizacji i/lub serwera proxy, aby agent mógł działać.

Zasób agenta	opis	Jeśli jest to wymagane	Punkt końcowy używany z linkiem prywatnym
aka.ms	Służy do rozpoznawania skryptu pobierania podczas instalacji	Tylko w czasie instalacji	Publiczne
download.microsoft.com	Służy do pobierania pakietu instalacyjnego systemu Windows	Tylko w czasie instalacji	Publiczne
packages.microsoft.com	Służy do pobierania pakietu instalacyjnego systemu Linux	Tylko w czasie instalacji	Publiczne
login.microsoftonline.us	Microsoft Entra ID	Zawsze	Publiczne
pasff.usgovcloudapi.net	Microsoft Entra ID	Zawsze	Publiczne
management.usgovcloudapi.net	Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc	Podczas nawiązywania połączenia lub odłączania serwera tylko	Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami
*.his.arc.azure.us	Metadane i usługi tożsamości hybrydowej	Zawsze	Prywatne
*.guestconfiguration.azure.us	Zarządzanie rozszerzeniami i usługi konfiguracji gościa	Zawsze	Prywatne
*.blob.core.usgovcloudapi.net	Pobieranie źródła dla rozszerzeń serwerów z obsługą usługi Azure Arc	Zawsze, z wyjątkiem przypadków korzystania z prywatnych punktów końcowych	Nieużytowane podczas konfigurowania łącza prywatnego
dc.applicationinsights.us	Telemetria agenta	Opcjonalne, nieużytne w wersji agenta w wersji 1.24 lub nowszej	Publiczne
www.microsoft.com/pkiops/certs	Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443)	W przypadku korzystania z jednostek ESU z włączoną przez usługę Azure Arc. Wymagane zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów.	Publiczne

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet

Zasób agenta	opis	Jeśli jest to wymagane
aka.ms	Służy do rozpoznawania skryptu pobierania podczas instalacji	Tylko w czasie instalacji
download.microsoft.com	Służy do pobierania pakietu instalacyjnego systemu Windows	Tylko w czasie instalacji
packages.microsoft.com	Służy do pobierania pakietu instalacyjnego systemu Linux	Tylko w czasie instalacji
login.chinacloudapi.cn	Microsoft Entra ID	Zawsze
login.partner.chinacloudapi.cn	Microsoft Entra ID	Zawsze
pas.chinacloudapi.cn	Microsoft Entra ID	Zawsze
management.chinacloudapi.cn	Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc	Podczas nawiązywania połączenia lub odłączania serwera tylko
*.his.arc.azure.cn	Metadane i usługi tożsamości hybrydowej	Zawsze
*.guestconfiguration.azure.cn	Zarządzanie rozszerzeniami i usługi konfiguracji gościa	Zawsze
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Usługa powiadomień dla scenariuszy rozszerzenia i łączności	Zawsze
azgn*.servicebus.chinacloudapi.cn	Usługa powiadomień dla scenariuszy rozszerzenia i łączności	Zawsze
*.servicebus.chinacloudapi.cn	W przypadku scenariuszy windows Administracja Center i SSH	Jeśli używasz protokołu SSH lub Centrum Administracja systemu Windows z platformy Azure
*.blob.core.chinacloudapi.cn	Pobieranie źródła dla rozszerzeń serwerów z obsługą usługi Azure Arc	Zawsze, z wyjątkiem przypadków korzystania z prywatnych punktów końcowych
dc.applicationinsights.azure.cn	Telemetria agenta	Opcjonalne, nieużytne w wersji agenta w wersji 1.24 lub nowszej

Protokół Transport Layer Security 1.2

Aby zapewnić bezpieczeństwo danych przesyłanych na platformę Azure, zdecydowanie zachęcamy do skonfigurowania maszyny do korzystania z protokołu Transport Layer Security (TLS) 1.2. Starsze wersje protokołu TLS/Secure Sockets Layer (SSL) zostały uznane za podatne na zagrożenia i mimo że nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane.

Platforma/język	Pomoc techniczna	Więcej informacji
Linux	Dystrybucje systemu Linux mają tendencję do polegania na protokole OpenSSL na potrzeby obsługi protokołu TLS 1.2.	Sprawdź dziennik zmian protokołu OpenSSL, aby potwierdzić, że jest obsługiwana twoja wersja protokołu OpenSSL.
Windows Server 2012 R2 i nowsze	Obsługiwane i domyślnie włączone.	Aby potwierdzić, że nadal używasz ustawień domyślnych.

Podzestaw punktów końcowych tylko dla jednostek ESU

Jeśli używasz serwerów z obsługą usługi Azure Arc tylko w przypadku rozszerzonych Aktualizacje zabezpieczeń dla jednego lub obu następujących produktów:

• Windows Server 2012
• SQL Server 2012

Możesz włączyć następujący podzbiór punktów końcowych:

Chmura platformy Azure

Zasób agenta	opis	Jeśli jest to wymagane	Punkt końcowy używany z linkiem prywatnym
aka.ms	Służy do rozpoznawania skryptu pobierania podczas instalacji	Tylko w czasie instalacji	Publiczne
download.microsoft.com	Służy do pobierania pakietu instalacyjnego systemu Windows	Tylko w czasie instalacji	Publiczne
login.windows.net	Microsoft Entra ID	Zawsze	Publiczne
login.microsoftonline.com	Microsoft Entra ID	Zawsze	Publiczne
management.azure.com	Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc	Podczas nawiązywania połączenia lub odłączania serwera tylko	Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami
*.his.arc.azure.com	Metadane i usługi tożsamości hybrydowej	Zawsze	Prywatne
*.guestconfiguration.azure.com	Zarządzanie rozszerzeniami i usługi konfiguracji gościa	Zawsze	Prywatne
www.microsoft.com/pkiops/certs	Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443)	Zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów.	Publiczne
*.<region>.arcdataservices.com	Usługa przetwarzania danych i dane telemetryczne usługi Azure Arc.	ESU programu SQL Server	Publiczne

Azure Government

Zasób agenta	opis	Jeśli jest to wymagane	Punkt końcowy używany z linkiem prywatnym
aka.ms	Służy do rozpoznawania skryptu pobierania podczas instalacji	Tylko w czasie instalacji	Publiczne
download.microsoft.com	Służy do pobierania pakietu instalacyjnego systemu Windows	Tylko w czasie instalacji	Publiczne
login.microsoftonline.us	Microsoft Entra ID	Zawsze	Publiczne
management.usgovcloudapi.net	Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc	Podczas nawiązywania połączenia lub odłączania serwera tylko	Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami
*.his.arc.azure.us	Metadane i usługi tożsamości hybrydowej	Zawsze	Prywatne
*.guestconfiguration.azure.us	Zarządzanie rozszerzeniami i usługi konfiguracji gościa	Zawsze	Prywatne
www.microsoft.com/pkiops/certs	Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443)	Zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów.	Publiczne

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet

Uwaga

Serwery z obsługą usługi Azure Arc używane na potrzeby rozszerzonego Aktualizacje zabezpieczeń dla systemu Windows Server 2012 nie są obecnie dostępne na platformie Microsoft Azure obsługiwanej przez regiony 21Vianet.

Następne kroki

• Zapoznaj się z dodatkowymi wymaganiami wstępnymi dotyczącymi wdrażania Połączenie agenta maszyny.
• Przed wdrożeniem agenta usługi Azure Połączenie ed Machine i zintegrowania z innymi usługami zarządzania i monitorowania platformy Azure zapoznaj się z przewodnikiem planowania i wdrażania.
• Aby rozwiązać problemy, zapoznaj się z przewodnikiem rozwiązywania problemów z połączeniem agenta.
• Aby uzyskać pełną listę wymagań sieciowych dotyczących funkcji usługi Azure Arc i usług z obsługą usługi Azure Arc, zobacz Wymagania dotyczące sieci usługi Azure Arc (skonsolidowane).