Wymagania dotyczące sieci agenta połączonej maszyny
W tym temacie opisano wymagania sieciowe dotyczące używania agenta połączonej maszyny do dołączania serwera fizycznego lub maszyny wirtualnej do serwerów z obsługą usługi Azure Arc.
Szczegóły
Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:
- Wszystkie połączenia są tcp, chyba że określono inaczej.
- Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
- Wszystkie połączenia są wychodzące, chyba że określono inaczej.
Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.
Punkty końcowe serwera z obsługą usługi Azure Arc są wymagane dla wszystkich ofert usługi Arc opartych na serwerze.
Konfiguracja sieci
Agent połączonej maszyny platformy Azure dla systemów Linux i Windows komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Domyślnie agent używa domyślnej trasy do Internetu, aby uzyskać dostęp do usług platformy Azure. Opcjonalnie można skonfigurować agenta do korzystania z serwera proxy, jeśli sieć tego wymaga. Serwery proxy nie zabezpieczają agenta połączonej maszyny, ponieważ ruch jest już zaszyfrowany.
Aby dodatkowo zabezpieczyć łączność sieciową z usługą Azure Arc, zamiast korzystać z sieci publicznych i serwerów proxy, możesz zaimplementować zakres usługi Azure Arc Private Link.
Uwaga
Serwery z obsługą usługi Azure Arc nie obsługują używania bramy usługi Log Analytics jako serwera proxy dla agenta połączonej maszyny. Jednocześnie agent usługi Azure Monitor obsługuje bramę usługi Log Analytics.
Jeśli łączność wychodząca jest ograniczona przez zaporę lub serwer proxy, upewnij się, że adresy URL i tagi usług wymienione poniżej nie są blokowane.
Tagi usługi
Pamiętaj, aby zezwolić na dostęp do następujących tagów usługi:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (jeśli używasz Centrum administracyjnego systemu Windows do zarządzania serwerami z obsługą usługi Arc)
Aby uzyskać listę adresów IP dla każdego tagu usługi/regionu, zobacz plik JSON Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna. Firma Microsoft publikuje cotygodniowe aktualizacje zawierające każdą usługę platformy Azure i używane zakresy adresów IP. Te informacje w pliku JSON są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Adresy IP mogą ulec zmianie. Jeśli zakresy adresów IP są wymagane do konfiguracji zapory, należy użyć tagu usługi AzureCloud , aby zezwolić na dostęp do wszystkich usług platformy Azure. Nie wyłączaj monitorowania zabezpieczeń ani inspekcji tych adresów URL, zezwalaj na nie tak jak w przypadku innego ruchu internetowego.
Jeśli filtrujesz ruch do tagu usługi AzureArcInfrastructure, musisz zezwolić na ruch do pełnego zakresu tagów usługi. Zakresy anonsowane dla poszczególnych regionów, na przykład AzureArcInfrastructure.AustraliaEast, nie obejmują zakresów adresów IP używanych przez globalne składniki usługi. Określony adres IP rozpoznany dla tych punktów końcowych może ulec zmianie w czasie w udokumentowanych zakresach, więc wystarczy użyć narzędzia odnośnika do zidentyfikowania bieżącego adresu IP dla danego punktu końcowego i umożliwienia dostępu do niego, aby zapewnić niezawodny dostęp.
Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej.
Adresy URL
W poniższej tabeli wymieniono adresy URL, które muszą być dostępne w celu zainstalowania i użycia agenta połączonej maszyny.
Uwaga
Podczas konfigurowania agenta połączonej maszyny platformy Azure w celu komunikowania się z platformą Azure za pośrednictwem łącza prywatnego niektóre punkty końcowe muszą być nadal dostępne za pośrednictwem Internetu. Kolumna Obsługa łącza prywatnego w poniższej tabeli pokazuje, które punkty końcowe można skonfigurować przy użyciu prywatnego punktu końcowego. Jeśli w kolumnie jest wyświetlana wartość Publiczna dla punktu końcowego, nadal musisz zezwolić na dostęp do tego punktu końcowego za pośrednictwem zapory organizacji i/lub serwera proxy, aby agent mógł działać. Ruch sieciowy jest kierowany przez prywatny punkt końcowy, jeśli zostanie przypisany zakres łącza prywatnego.
| Zasób agenta | opis | Jeśli jest to wymagane | Obsługa łącza prywatnego |
|---|---|---|---|
aka.ms |
Służy do rozpoznawania skryptu pobierania podczas instalacji | Tylko w czasie instalacji | Publiczne |
download.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Windows | Tylko w czasie instalacji | Publiczne |
packages.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Linux | Tylko w czasie instalacji | Publiczne |
login.windows.net |
Microsoft Entra ID | Zawsze | Publiczne |
login.microsoftonline.com |
Microsoft Entra ID | Zawsze | Publiczne |
*login.microsoft.com |
Microsoft Entra ID | Zawsze | Publiczne |
pas.windows.net |
Microsoft Entra ID | Zawsze | Publiczne |
management.azure.com |
Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc | Podczas nawiązywania połączenia lub odłączania serwera tylko | Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami |
*.his.arc.azure.com |
Metadane i usługi tożsamości hybrydowej | Zawsze | Prywatne |
*.guestconfiguration.azure.com |
Zarządzanie rozszerzeniami i usługi konfiguracji gościa | Zawsze | Prywatne |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Usługa powiadomień dla scenariuszy rozszerzenia i łączności | Zawsze | Publiczne |
azgn*.servicebus.windows.net |
Usługa powiadomień dla scenariuszy rozszerzenia i łączności | Zawsze | Publiczne |
*.servicebus.windows.net |
W przypadku scenariuszy windows Admin Center i SSH | W przypadku korzystania z protokołu SSH lub Centrum administracyjnego systemu Windows z platformy Azure | Publiczne |
*.waconazure.com |
W przypadku łączności z usługą Windows Admin Center | W przypadku korzystania z Centrum administracyjnego systemu Windows | Publiczne |
*.blob.core.windows.net |
Pobieranie źródła dla rozszerzeń serwerów z obsługą usługi Azure Arc | Zawsze, z wyjątkiem przypadków korzystania z prywatnych punktów końcowych | Nieużytowane podczas konfigurowania łącza prywatnego |
dc.services.visualstudio.com |
Telemetria agenta | Opcjonalne, nieużytne w wersji agenta w wersji 1.24 lub nowszej | Publiczne |
*.<region>.arcdataservices.com 1 |
W przypadku programu Arc SQL Server. Wysyła usługę przetwarzania danych, dane telemetryczne usługi i monitorowanie wydajności na platformę Azure. Zezwala na protokół TLS 1.3. | Zawsze | Publiczne |
www.microsoft.com/pkiops/certs |
Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) | W przypadku korzystania z jednostek ESU z włączoną przez usługę Azure Arc. Wymagane zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. | Publiczne |
1 Aby uzyskać szczegółowe informacje o tym, jakie informacje są zbierane i wysyłane, zapoznaj się z tematem Zbieranie danych i raportowanie dla programu SQL Server włączonego przez usługę Azure Arc.
W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net. Począwszy od 12 marca 2024 r. zarówno przetwarzanie danych usługi Azure Arc, jak i dane telemetryczne usługi Azure Arc używają funkcji *.<region>.arcdataservices.com.
Uwaga
Aby przetłumaczyć *.servicebus.windows.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. W tym poleceniu należy określić region dla symbolu zastępczego <region> . Te punkty końcowe mogą okresowo się zmieniać.
Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.
Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.
Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:
az account list-locations -o table
Get-AzLocation | Format-Table
Protokół Transport Layer Security 1.2
Aby zapewnić bezpieczeństwo danych przesyłanych na platformę Azure, zdecydowanie zachęcamy do skonfigurowania maszyny do korzystania z protokołu Transport Layer Security (TLS) 1.2. Starsze wersje protokołu TLS/Secure Sockets Layer (SSL) zostały uznane za podatne na zagrożenia i mimo że nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane.
| Platforma/język | Pomoc techniczna | Więcej informacji |
|---|---|---|
| Linux | Dystrybucje systemu Linux mają tendencję do polegania na protokole OpenSSL na potrzeby obsługi protokołu TLS 1.2. | Sprawdź dziennik zmian protokołu OpenSSL, aby potwierdzić, że jest obsługiwana twoja wersja protokołu OpenSSL. |
| Windows Server 2012 R2 i nowsze | Obsługiwane i domyślnie włączone. | Aby potwierdzić, że nadal używasz ustawień domyślnych. |
Podzestaw punktów końcowych tylko dla jednostek ESU
Jeśli używasz serwerów z obsługą usługi Azure Arc tylko w przypadku rozszerzonych aktualizacji zabezpieczeń dla następujących produktów lub obu następujących produktów:
- Windows Server 2012
- SQL Server 2012
Możesz włączyć następujący podzbiór punktów końcowych:
| Zasób agenta | opis | Jeśli jest to wymagane | Punkt końcowy używany z linkiem prywatnym |
|---|---|---|---|
aka.ms |
Służy do rozpoznawania skryptu pobierania podczas instalacji | Tylko w czasie instalacji | Publiczne |
download.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Windows | Tylko w czasie instalacji | Publiczne |
login.windows.net |
Microsoft Entra ID | Zawsze | Publiczne |
login.microsoftonline.com |
Microsoft Entra ID | Zawsze | Publiczne |
*login.microsoft.com |
Microsoft Entra ID | Zawsze | Publiczne |
management.azure.com |
Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc | Podczas nawiązywania połączenia lub odłączania serwera tylko | Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami |
*.his.arc.azure.com |
Metadane i usługi tożsamości hybrydowej | Zawsze | Prywatne |
*.guestconfiguration.azure.com |
Zarządzanie rozszerzeniami i usługi konfiguracji gościa | Zawsze | Prywatne |
www.microsoft.com/pkiops/certs |
Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) | Zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. | Publiczne |
*.<region>.arcdataservices.com |
Usługa przetwarzania danych i dane telemetryczne usługi Azure Arc. | ESU programu SQL Server | Publiczne |
*.blob.core.windows.net |
Pobierz pakiet rozszerzenia programu Sql Server | ESU programu SQL Server | Nie jest wymagane w przypadku korzystania z usługi Private Link |
Następne kroki
- Zapoznaj się z dodatkowymi wymaganiami wstępnymi dotyczącymi wdrażania agenta połączonej maszyny.
- Przed wdrożeniem agenta usługi Azure Connected Machine i zintegrowania z innymi usługami zarządzania i monitorowania platformy Azure zapoznaj się z przewodnikiem planowania i wdrażania.
- Aby rozwiązać problemy, zapoznaj się z przewodnikiem rozwiązywania problemów z połączeniem agenta.
- Aby uzyskać pełną listę wymagań sieciowych dotyczących funkcji usługi Azure Arc i usług z obsługą usługi Azure Arc, zobacz Wymagania dotyczące sieci usługi Azure Arc (skonsolidowane).