Requisitos de rede do agente de máquina conectado

Este tópico descreve os requisitos de rede para usar o agente do Connected Machine para integração de um servidor físico ou máquina virtual Azure Arc servidores habilitados.

Detalhes

Geralmente os requisitos de conectividade incluem esses princípios.

• Todas as conexões são TCP, a menos que especificado de outra forma.
• Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
• Todas as conexões são de saída, a menos que especificado de outra forma.

Para usar um proxy, verifique se os agentes e o computador que executam o processo de integração atendem aos requisitos de rede neste artigo.

Os pontos de extremidade de servidor habilitados para Azure Arc são necessários para todas as ofertas do Arc baseadas em servidor.

Configuração de rede

O agente do Azure Connected Machine para Linux e Windows comunica a saída com segurança ao Azure Arc pela porta TCP 443. Por padrão, o agente usa a rota padrão para a Internet para acessar os serviços do Azure. Opcionalmente, você pode Configurar o agente para usar um servidor proxy se sua rede exigir. Os servidores proxy não tornam o Connected Machine Agent mais seguro porque o tráfego já está criptografado.

Para proteger ainda mais a conectividade da rede com o Azure Arc, em vez de usar redes públicas e servidores proxy, você pode implementar um escopo de link privado do Azure Arc.

Observação

Os servidores habilitados para o Azure Arc não permitem o uso de um Gateway do Log Analytics como proxy para o Connected Machine Agent. Ao mesmo tempo, o Agente do Azure Monitor dá suporte ao gateway do Log Analytics.

Se a conectividade de saída estiver restrita por seu firewall ou servidor proxy, verifique se as URLs e as marcas de serviço listadas abaixo não estão bloqueadas.

Marcas de serviço

Além disso, permita o acesso às seguintes marcas de serviço:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Armazenamento
• WindowsAdminCenter (caso esteja usando o Windows Admin Center para gerenciar servidores habilitados para Arc)

Para obter uma lista de endereços IP para cada marca de serviço/região, confira o arquivo JSON Intervalos de IP do Azure e marcas de serviço – Nuvem pública. A Microsoft publica atualizações semanais que contêm cada serviço do Azure e os intervalos de IP que ele usa. Essas informações no arquivo JSON são a lista atual dos intervalos de IP que correspondem a cada marca de serviço. Os endereços IP estão sujeitos a alterações. Se os intervalos de endereço IP forem necessários para sua configuração de firewall, a Marca de Serviço AzureCloud deverá ser usada para permitir o acesso a todos os serviços do Azure. Não desabilite o monitoramento de segurança ou a inspeção dessas URLs. Permita-os como você faria com outro tráfego de Internet.

Se você filtrar o tráfego para a marca de serviço AzureArcInfrastructure, deverá permitir o tráfego para o intervalo completo de marcas de serviço. Os intervalos anunciados para regiões individuais, por exemplo, AzureArcInfrastructure.AustraliaEast, não incluem os intervalos de IP usados pelos componentes globais do serviço. O endereço IP específico resolvido para esses pontos de extremidade pode mudar ao longo do tempo dentro dos intervalos documentados, portanto, apenas usar uma ferramenta de pesquisa para identificar o endereço IP atual para um determinado ponto de extremidade e permitir o acesso a ele não será suficiente para garantir o acesso confiável.

Para obter mais informações, confira Marcas de serviço de rede virtual.

URLs

A tabela a seguir lista as URLs que devem estar disponíveis para instalar e usar o agente do Connected Machine.

Nuvem do Azure

Observação

Ao configurar o agente de computador conectado ao Azure para se comunicar com o Azure por meio de um link privado, alguns pontos de extremidade ainda precisam ser acessados pela Internet. A coluna Ponto de extremidade usado com link privado na tabela a seguir mostra quais pontos de extremidade podem ser configurados com um ponto de extremidade privado. Se a coluna mostrar Público para um ponto de extremidade, você ainda deverá permitir o acesso a esse ponto de extremidade por meio do firewall da sua organização e/ou servidor proxy para que o agente funcione.

recurso de agente	Descrição	Quando necessário	Ponto de extremidade usado com o link privado
aka.ms	Usado para resolver o script de download durante a instalação	Somente no momento da instalação	Setor Público
download.microsoft.com	Usado para baixar o pacote de instalação do Windows	Somente no momento da instalação	Setor Público
packages.microsoft.com	Usado para baixar o pacote de instalação do Linux	Somente no momento da instalação	Setor Público
login.windows.net	Microsoft Entra ID	Sempre	Setor Público
login.microsoftonline.com	Microsoft Entra ID	Sempre	Setor Público
pas.windows.net	Microsoft Entra ID	Sempre	Setor Público
management.azure.com	Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc	Somente na conexão ou na desconexão de um servidor	Público, a menos que um link privado de gerenciamento de recursos também esteja configurado
*.his.arc.azure.com	Serviços de identidade híbrida e metadados	Sempre	Privado
*.guestconfiguration.azure.com	Serviços de configuração de convidado e gerenciamento de extensão	Sempre	Privado
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Serviço de notificação para cenários de extensão e conectividade	Sempre	Setor Público
azgn*.servicebus.windows.net	Serviço de notificação para cenários de extensão e conectividade	Sempre	Setor Público
*.servicebus.windows.net	Para casos do Windows Admin Center e do SSH	Caso esteja usando o SSH ou o Windows Admin Center do Azure	Setor Público
*.waconazure.com	Para conectividade com o Windows Admin Center	Se estiver usar o Windows Admin Center	Setor Público
*.blob.core.windows.net	Baixar a fonte para extensões de servidores habilitados para o Azure Arc	Sempre, exceto quando são usados pontos de extremidade privados	Não usado quando o link privado está configurado
dc.services.visualstudio.com	Telemetria do agente	Opcional, não usado nas versões do agente 1.24+	Setor Público
*.<region>.arcdataservices.com1	Para o Arc SQL Server. Envia o serviço de processamento de dados, a telemetria de serviço e o monitoramento de desempenho para o Azure. Permite o TLS 1.3.	Sempre	Setor Público
www.microsoft.com/pkiops/certs	Atualizações de certificado intermediário para ESUs (observação: usa o HTTP/TCP 80 e o HTTPS/TCP 443)	Se você estiver usando ESUs habilitadas pelo Azure Arc. Obrigatório sempre para atualizações automáticas ou temporariamente, se você estiver baixando os certificados manualmente.	Setor Público

¹ Para versões de extensão até e incluindo 13 de fevereiro de 2024, use san-af-<region>-prod.azurewebsites.net. A partir de 12 de março de 2024 o processamento de dados do Azure Arc e a telemetria de dados do Azure Arc usam *.<region>.arcdataservices.com.

Observação

Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dentro desse comando, a região precisa ser especificada para o espaço reservado <region>.

Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2, o nome da região é eastus2.

Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.

Para ver uma lista de todas as regiões, execute este comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Governamental

Observação

Ao configurar o agente de computador conectado ao Azure para se comunicar com o Azure por meio de um link privado, alguns pontos de extremidade ainda precisam ser acessados pela Internet. A coluna Ponto de extremidade usado com link privado na tabela a seguir mostra quais pontos de extremidade podem ser configurados com um ponto de extremidade privado. Se a coluna mostrar Público para um ponto de extremidade, você ainda deverá permitir o acesso a esse ponto de extremidade por meio do firewall da sua organização e/ou servidor proxy para que o agente funcione.

recurso de agente	Descrição	Quando necessário	Ponto de extremidade usado com o link privado
aka.ms	Usado para resolver o script de download durante a instalação	Somente no momento da instalação	Setor Público
download.microsoft.com	Usado para baixar o pacote de instalação do Windows	Somente no momento da instalação	Setor Público
packages.microsoft.com	Usado para baixar o pacote de instalação do Linux	Somente no momento da instalação	Setor Público
login.microsoftonline.us	Microsoft Entra ID	Sempre	Setor Público
pasff.usgovcloudapi.net	Microsoft Entra ID	Sempre	Setor Público
management.usgovcloudapi.net	Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc	Somente na conexão ou na desconexão de um servidor	Público, a menos que um link privado de gerenciamento de recursos também esteja configurado
*.his.arc.azure.us	Serviços de identidade híbrida e metadados	Sempre	Privado
*.guestconfiguration.azure.us	Serviços de configuração de convidado e gerenciamento de extensão	Sempre	Privado
*.blob.core.usgovcloudapi.net	Baixar a fonte para extensões de servidores habilitados para o Azure Arc	Sempre, exceto quando são usados pontos de extremidade privados	Não usado quando o link privado está configurado
dc.applicationinsights.us	Telemetria do agente	Opcional, não usado nas versões do agente 1.24+	Setor Público
www.microsoft.com/pkiops/certs	Atualizações de certificado intermediário para ESUs (observação: usa o HTTP/TCP 80 e o HTTPS/TCP 443)	Se você estiver usando ESUs habilitadas pelo Azure Arc. Obrigatório sempre para atualizações automáticas ou temporariamente, se você estiver baixando os certificados manualmente.	Setor Público

Microsoft Azure operado pela 21Vianet

recurso de agente	Descrição	Quando necessário
aka.ms	Usado para resolver o script de download durante a instalação	Somente no momento da instalação
download.microsoft.com	Usado para baixar o pacote de instalação do Windows	Somente no momento da instalação
packages.microsoft.com	Usado para baixar o pacote de instalação do Linux	Somente no momento da instalação
login.chinacloudapi.cn	Microsoft Entra ID	Sempre
login.partner.chinacloudapi.cn	Microsoft Entra ID	Sempre
pas.chinacloudapi.cn	Microsoft Entra ID	Sempre
management.chinacloudapi.cn	Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc	Somente na conexão ou na desconexão de um servidor
*.his.arc.azure.cn	Serviços de identidade híbrida e metadados	Sempre
*.guestconfiguration.azure.cn	Serviços de configuração de convidado e gerenciamento de extensão	Sempre
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Serviço de notificação para cenários de extensão e conectividade	Sempre
azgn*.servicebus.chinacloudapi.cn	Serviço de notificação para cenários de extensão e conectividade	Sempre
*.servicebus.chinacloudapi.cn	Para casos do Windows Admin Center e do SSH	Caso esteja usando o SSH ou o Windows Admin Center do Azure
*.blob.core.chinacloudapi.cn	Baixar a fonte para extensões de servidores habilitados para o Azure Arc	Sempre, exceto quando são usados pontos de extremidade privados
dc.applicationinsights.azure.cn	Telemetria do agente	Opcional, não usado nas versões do agente 1.24+

Protocolo TLS 1.2

Para garantir a segurança de dados em trânsito para o Azure, incentivamos você a configurar o computador para usar o protocolo TLS 1.2. Constatou-se que versões mais antigas do protocolo TLS/protocolo SSL eram vulneráveis e embora elas ainda funcionem no momento para permitir a compatibilidade com versões anteriores, elas não são recomendadas.

Plataforma/linguagem	Suporte	Mais informações
Linux	Distribuições do Linux tendem a depender do OpenSSL para suporte a TLS 1.2.	Verifique as OpenSSL Changelog para confirmar a sua versão do OpenSSL é suportada.
Windows Server 2012 R2 e versões posteriores	Suporte e habilitado por padrão.	Para confirmar que você ainda está usando o as configurações padrão.

Subconjunto de pontos de extremidade somente para ESU

Se você estiver usando servidores habilitados para Azure Arc apenas para as Atualizações de Segurança Estendidas para um ou ambos os seguintes produtos:

• Windows Server 2012
• SQL Server 2012

Você poderá habilitar o seguinte subconjunto de pontos de extremidade:

Nuvem do Azure

recurso de agente	Descrição	Quando necessário	Ponto de extremidade usado com o link privado
aka.ms	Usado para resolver o script de download durante a instalação	Somente no momento da instalação	Setor Público
download.microsoft.com	Usado para baixar o pacote de instalação do Windows	Somente no momento da instalação	Setor Público
login.windows.net	Microsoft Entra ID	Sempre	Setor Público
login.microsoftonline.com	Microsoft Entra ID	Sempre	Setor Público
management.azure.com	Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc	Somente na conexão ou na desconexão de um servidor	Público, a menos que um link privado de gerenciamento de recursos também esteja configurado
*.his.arc.azure.com	Serviços de identidade híbrida e metadados	Sempre	Privado
*.guestconfiguration.azure.com	Serviços de configuração de convidado e gerenciamento de extensão	Sempre	Privados
www.microsoft.com/pkiops/certs	Atualizações de certificado intermediário para ESUs (observação: usa o HTTP/TCP 80 e o HTTPS/TCP 443)	Sempre para atualizações automáticas ou temporariamente, se você estiver baixando os certificados manualmente.	Setor Público
*.<region>.arcdataservices.com	Serviço de processamento de dados do Azure Arc e telemetria de serviço.	ESUs do SQL Server	Setor Público

Azure Governamental

recurso de agente	Descrição	Quando necessário	Ponto de extremidade usado com o link privado
aka.ms	Usado para resolver o script de download durante a instalação	Somente no momento da instalação	Setor Público
download.microsoft.com	Usado para baixar o pacote de instalação do Windows	Somente no momento da instalação	Setor Público
login.microsoftonline.us	Microsoft Entra ID	Sempre	Setor Público
management.usgovcloudapi.net	Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc	Somente na conexão ou na desconexão de um servidor	Público, a menos que um link privado de gerenciamento de recursos também esteja configurado
*.his.arc.azure.us	Serviços de identidade híbrida e metadados	Sempre	Privado
*.guestconfiguration.azure.us	Serviços de configuração de convidado e gerenciamento de extensão	Sempre	Privados
www.microsoft.com/pkiops/certs	Atualizações de certificado intermediário para ESUs (observação: usa o HTTP/TCP 80 e o HTTPS/TCP 443)	Sempre para atualizações automáticas ou temporariamente, se você estiver baixando os certificados manualmente.	Setor Público

Microsoft Azure operado pela 21Vianet

Observação

Os servidores habilitados para Azure Arc usados para Atualizações de Segurança Estendidas do Windows Server 2012 não estão disponíveis no Microsoft Azure operado por regiões 21Vianet no momento.

Próximas etapas

• Revise os pré-requisitos adicionais para implantar o agente do Connected Machine.
• Antes de implantar o agente do Azure Connected Machine e realizar a integração com outros serviços de gerenciamento e monitoramento do Azure, leia o Guia de planejamento e implantação.
• Para resolver problemas, revise o guia de solução de problemas de conexão do agente.
• Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc (Consolidado).