Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie opisano wymagania sieciowe dotyczące używania agenta połączonej maszyny do dołączania serwera fizycznego lub maszyny wirtualnej do serwerów z obsługą usługi Azure Arc.
Napiwek
W przypadku chmury publicznej platformy Azure można zmniejszyć liczbę wymaganych punktów końcowych przy użyciu bramy usługi Azure Arc (wersja zapoznawcza).
Szczegóły
Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:
- Wszystkie połączenia są tcp, chyba że określono inaczej.
- Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
- Wszystkie połączenia są wychodzące, chyba że określono inaczej.
Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces wdrażania spełniają wymagania sieciowe w tym artykule.
Punkty końcowe serwera z obsługą usługi Azure Arc są wymagane dla wszystkich ofert usługi Arc opartych na serwerze.
Konfiguracja sieci
Agent połączonej maszyny Azure dla systemów Linux i Windows komunikuje się wyjściowo, bezpiecznie z Azure Arc przez port TCP 443. Domyślnie agent używa domyślnej trasy do Internetu, aby uzyskać dostęp do usług platformy Azure. Opcjonalnie można skonfigurować agenta do korzystania z serwera proxy , jeśli sieć tego wymaga. Serwery proxy nie zabezpieczają agenta połączonej maszyny, ponieważ ruch jest już zaszyfrowany.
Aby dodatkowo zabezpieczyć łączność sieciową z usługą Azure Arc, zamiast korzystać z sieci publicznych i serwerów proxy, możesz zaimplementować zakres usługi Azure Arc Private Link .
Uwaga
Serwery z obsługą usługi Azure Arc nie obsługują używania bramy usługi Log Analytics jako serwera proxy dla agenta połączonej maszyny. Jednocześnie agent usługi Azure Monitor obsługuje bramę usługi Log Analytics.
Jeśli łączność wychodząca jest ograniczona przez zaporę lub serwer proxy, upewnij się, że adresy URL i tagi usług wymienione poniżej nie są blokowane.
Tagi usługi
Pamiętaj, aby zezwolić na dostęp do następujących tagów usługi:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- Azure Arc Infrastructure
- Magazynowanie
- WindowsAdminCenter (jeśli używasz Centrum administracyjnego systemu Windows do zarządzania serwerami z obsługą usługi Arc)
Aby uzyskać listę adresów IP dla każdego tagu usługi/regionu, zobacz plik JSON Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna. Firma Microsoft publikuje cotygodniowe aktualizacje zawierające każdą usługę platformy Azure i używane zakresy adresów IP. Te informacje w pliku JSON są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Adresy IP mogą ulec zmianie. Jeśli zakresy adresów IP są wymagane do konfiguracji zapory, należy użyć tagu usługi AzureCloud , aby zezwolić na dostęp do wszystkich usług platformy Azure. Nie wyłączaj monitorowania zabezpieczeń ani inspekcji tych adresów URL, zezwalaj na nie tak jak w przypadku innego ruchu internetowego.
Jeśli filtrujesz ruch do tagu usługi Azure Arc Infrastructure, musisz zezwolić na ruch do pełnego zakresu tagu usługi. Zakresy anonsowane dla poszczególnych regionów, na przykład AzureArcInfrastructure.AustraliaEast, nie obejmują zakresów adresów IP używanych przez globalne składniki usługi. Określony adres IP rozpoznany dla tych punktów końcowych może ulec zmianie w czasie w udokumentowanych zakresach. Dlatego użycie jedynie narzędzia do wyszukiwania bieżącego adresu IP dla danego punktu końcowego i zapewnienie dostępu do niego nie będzie wystarczające, aby zapewnić niezawodny dostęp.
Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej.
Adresy URL
W poniższej tabeli wymieniono adresy URL, które muszą być dostępne w celu zainstalowania i użycia agenta połączonej maszyny.
Uwaga
Podczas konfigurowania agenta połączonej maszyny platformy Azure w celu komunikowania się z platformą Azure za pośrednictwem łącza prywatnego niektóre punkty końcowe muszą być nadal dostępne za pośrednictwem Internetu. Kolumna Zdolność do obsługi łącza prywatnego w poniższej tabeli pokazuje, które punkty końcowe można skonfigurować przy użyciu prywatnego punktu końcowego. Jeśli w kolumnie jest wyświetlany status Publiczny dla punktu końcowego, nadal musisz zezwolić na dostęp do tego punktu końcowego za pośrednictwem zapory organizacji i/lub serwera proxy, aby agent mógł działać. Ruch sieciowy jest kierowany przez prywatny punkt końcowy, jeśli zostanie przypisany zakres łącza prywatnego.
| Zasoby dla agenta | opis | Jeśli jest to wymagane | Możliwość łącza prywatnego |
|---|---|---|---|
download.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Windows | W czasie instalacji tylko 1 | Publiczny |
packages.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Linux | W czasie instalacji tylko 1 | Publiczny |
login.microsoftonline.com |
Microsoft Entra ID | Zawsze | Publiczny |
*.login.microsoft.com |
Microsoft Entra ID | Zawsze | Publiczny |
pas.windows.net |
Microsoft Entra ID | Zawsze | Publiczny |
management.azure.com |
Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc | Podczas nawiązywania połączenia lub odłączania serwera tylko | Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami |
*.his.arc.azure.com |
Metadane i usługi tożsamości hybrydowej | Zawsze | Prywatne |
*.guestconfiguration.azure.com |
Zarządzanie rozszerzeniami i usługi konfiguracji hosta | Zawsze | Prywatne |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Usługa powiadomień dla scenariuszy rozszerzenia i łączności | Zawsze | Publiczny |
azgn*.servicebus.windows.net |
Usługa powiadomień dla scenariuszy rozszerzenia i łączności | Zawsze | Publiczny |
*.servicebus.windows.net |
W przypadku scenariuszy Windows Admin Center i SSH | W przypadku korzystania z protokołu SSH lub Centrum administracyjnego systemu Windows z platformy Azure | Publiczny |
*.waconazure.com |
Dla łączności z Windows Admin Center | W przypadku korzystania z Centrum administracyjnego systemu Windows | Publiczny |
*.blob.core.windows.net |
Pobierz źródła rozszerzeń serwerów obsługiwane przez Azure Arc | Zawsze, z wyjątkiem przypadków korzystania z prywatnych punktów końcowych | Nieużytowane podczas konfigurowania łącza prywatnego |
dc.services.visualstudio.com |
Telemetria agenta | Opcjonalne, nieużywane w wersjach agenta 1.24 lub nowszych | Publiczny |
*.<region>.arcdataservices.com
2 |
W przypadku programu Arc SQL Server. Wysyła usługę przetwarzania danych, dane telemetryczne usługi i monitorowanie wydajności na platformę Azure. Zezwala tylko na protokół TLS 1.2 lub 1.3. | Zawsze | Publiczny |
www.microsoft.com/pkiops/certs |
Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) | Jeśli korzystasz z jednostek ESU włączonych przez usługę Azure Arc, jest to zawsze wymagane w przypadku aktualizacji automatycznych lub tymczasowo, jeśli ręcznie pobierasz certyfikaty. | Publiczny |
dls.microsoft.com |
Używane przez maszyny arc do przeprowadzania walidacji licencji | Wymagane w przypadku korzystania z funkcji Hotpatching, korzyści z platformy Azure systemu Windows Server lub systemu Windows Server PayGo na maszynach z obsługą usługi Arc | Publiczny |
1 Dostęp do tego adresu URL jest również wymagany podczas automatycznego przeprowadzania aktualizacji.
2 Aby uzyskać szczegółowe informacje o zbieranych i wysyłanych informacjach, zapoznaj się z tematem Zbieranie danych i raportowanie dla programu SQL Server włączonego przez usługę Azure Arc.
W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net. Od 12 marca 2024 r. zarówno przetwarzanie danych usługi Azure Arc, jak i dane telemetryczne usługi Azure Arc używają funkcji *.<region>.arcdataservices.com.
Uwaga
Aby przetłumaczyć *.servicebus.windows.net wildcard na określone punkty końcowe, użyj polecenia \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. W tym poleceniu należy określić region dla symbolu zastępczego <region> . Te punkty końcowe mogą okresowo się zmieniać.
Aby uzyskać segment regionalnego punktu końcowego, należy usunąć wszystkie spacje z nazwy regionu Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.
Na przykład: *.<region>.arcdataservices.com powinno być *.eastus2.arcdataservices.com w regionie East US 2.
Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:
az account list-locations -o table
Get-AzLocation | Format-Table
Protokół Transport Layer Security 1.2
Aby zapewnić bezpieczeństwo danych przesyłanych na platformę Azure, zdecydowanie zachęcamy do skonfigurowania maszyny do korzystania z protokołu Transport Layer Security (TLS) 1.2. Starsze wersje protokołu TLS/Secure Sockets Layer (SSL) zostały uznane za podatne na zagrożenia i mimo że nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane.
SQL Server włączony przez punkty końcowe Azure Arc zlokalizowany w *. <region>.arcdataservices.com obsługuje tylko protokoły TLS 1.2 i 1.3. Tylko system Windows Server 2012 R2 i nowsze mają obsługę protokołu TLS 1.2. Program SQL Server włączony przez punkt końcowy telemetrii usługi Azure Arc nie jest obsługiwany dla systemu Windows Server 2012 lub Windows Server 2012 R2.
| Platforma/język | Wsparcie | Więcej informacji |
|---|---|---|
| Linux | Dystrybucje systemu Linux mają tendencję do polegania na protokole OpenSSL na potrzeby obsługi protokołu TLS 1.2. | Sprawdź dziennik zmian protokołu OpenSSL , aby potwierdzić, że jest obsługiwana twoja wersja protokołu OpenSSL. |
| Windows Server 2012 R2 i nowsze | Obsługiwane i domyślnie włączone. | Aby potwierdzić, że nadal używasz ustawień domyślnych. |
| Windows Server 2012 | Częściowo obsługiwane. Niezalecane. | Niektóre punkty końcowe, jak wspomniano powyżej, będą działać, ale niektóre punkty końcowe wymagają protokołu TLS 1.2 lub nowszego, który nie jest dostępny w systemie Windows Server 2012. |
Podzestaw punktów końcowych tylko dla jednostek ESU
Jeśli używasz serwerów z obsługą usługi Azure Arc tylko w przypadku dodatkowych aktualizacji zabezpieczeń dla któregoś z następujących produktów lub obu następujących produktów:
- Windows Server 2012
- SQL Server 2012
Możesz włączyć następujący podzbiór punktów końcowych:
| Zasoby dla agenta | opis | Jeśli jest to wymagane | Punkt końcowy używany z łączem prywatnym |
|---|---|---|---|
download.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Windows | W czasie instalacji tylko 1 | Publiczny |
login.windows.net |
Microsoft Entra ID | Zawsze | Publiczny |
login.microsoftonline.com |
Microsoft Entra ID | Zawsze | Publiczny |
*.login.microsoft.com |
Microsoft Entra ID | Zawsze | Publiczny |
management.azure.com |
Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc | Podczas nawiązywania połączenia lub odłączania serwera tylko | Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami |
*.his.arc.azure.com |
Metadane i usługi tożsamości hybrydowej | Zawsze | Prywatne |
*.guestconfiguration.azure.com |
Zarządzanie rozszerzeniami i usługi konfiguracji hosta | Zawsze | Prywatne |
www.microsoft.com/pkiops/certs |
Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) | Zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. | Publiczny |
*.<region>.arcdataservices.com |
Usługa przetwarzania danych Azure Arc i telemetria usługowa. | ESU dla SQL Server | Publiczny |
*.blob.core.windows.net |
Pobierz pakiet rozszerzenia programu Sql Server | ESU dla SQL Server | Nie jest wymagane w przypadku korzystania z usługi Private Link |
1 Dostęp do tego adresu URL jest również wymagany podczas automatycznego przeprowadzania aktualizacji.
Następne kroki
- Zapoznaj się z dodatkowymi wymaganiami wstępnymi dotyczącymi wdrażania agenta połączonej maszyny.
- Przed wdrożeniem agenta usługi Azure Connected Machine i zintegrowania z innymi usługami zarządzania i monitorowania platformy Azure zapoznaj się z przewodnikiem planowania i wdrażania.
- Aby rozwiązać problemy, zapoznaj się z przewodnikiem rozwiązywania problemów z połączeniem agenta.
- Aby uzyskać pełną listę wymagań sieciowych dotyczących funkcji usługi Azure Arc i usług z obsługą usługi Azure Arc, zobacz Wymagania dotyczące sieci usługi Azure Arc (skonsolidowane).