Поделиться через


Требования к сети агента Connected Machine

В этом разделе описываются требования к сети для использования агента подключенного компьютера для подключения физического сервера или виртуальной машины к серверам с поддержкой Azure Arc.

Сведения

Как правило, требования к подключению включают следующие принципы:

  • Все подключения являются TCP, если иное не указано.
  • Все HTTP-подключения используют ПРОТОКОЛ HTTPS и SSL/TLS с официально подписанными и проверяемыми сертификатами.
  • Все подключения исходящие, если иное не указано.

Чтобы использовать прокси-сервер, убедитесь, что агенты и компьютер, выполняющие процесс подключения, соответствуют требованиям к сети в этой статье.

Конечные точки сервера с поддержкой Azure Arc необходимы для всех предложений Arc на основе сервера.

Конфигурации сети

Агент подключенного компьютера Azure для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. По умолчанию агент использует маршрут по умолчанию к Интернету для доступа к службам Azure. При необходимости агент можно настроить для использования прокси-сервера , если сеть требует его. Прокси-серверы не делают агент Connected Machine более безопасным, поскольку трафик уже зашифрован.

Для дальнейшего обеспечения безопасности сетевого подключения к Azure Arc вместо использования общедоступных сетей и прокси-серверов можно реализовать область Приватный канал Azure Arc.

Примечание.

Серверы с поддержкой Azure Arc не поддерживают использование шлюза Log Analytics в качестве прокси-сервера для агента подключенного компьютера. В то же время агент Azure Monitor поддерживает шлюз Log Analytics.

Если исходящее подключение ограничено брандмауэром или прокси-сервером, убедитесь, что URL-адреса и теги служб, перечисленные ниже, не блокируются.

Теги служб

Обязательно разрешите доступ к следующим тегам службы:

Список IP-адресов для каждого тега службы или региона см. в файле JSON для диапазонов IP-адресов Azure и тегов служб — общедоступного облака. Корпорация Майкрософт публикует еженедельные обновления, содержащие каждую службу Azure и диапазоны IP-адресов, которые она использует. Эта информация в JSON-файле является актуальным списком точек во времени для диапазонов IP-адресов, соответствующих каждому тегу службы. IP-адреса могут изменяться. Если для настройки брандмауэра требуются диапазоны IP-адресов, то для предоставления доступа ко всем службам Azure следует использовать тег службы AzureCloud. Не отключайте мониторинг безопасности или проверку URL-адресов, но предоставьте такие же разрешения, как для интернет-трафика.

Если вы фильтруете трафик к тегу службы AzureArcInfrastructure, необходимо разрешить трафик в полный диапазон тегов службы. Диапазоны, объявленные для отдельных регионов, например AzureArcInfrastructure.AustraliaEast, не включают диапазоны IP-адресов, используемые глобальными компонентами службы. Определенный IP-адрес, разрешенный для этих конечных точек, может измениться со временем в документированных диапазонах, поэтому просто с помощью средства поиска для идентификации текущего IP-адреса для данной конечной точки и разрешения доступа к ней недостаточно для обеспечения надежного доступа.

Дополнительные сведения см. в разделе тегов службы виртуальной сети.

URL-адреса

В таблице ниже перечислены URL-адреса, которые должны быть доступны для установки и использования агента подключенного компьютера.

Примечание.

При настройке агента подключенной машины Azure для обмена данными с Azure через приватный канал некоторые конечные точки по-прежнему должны быть доступны через Интернет. Столбец с поддержкой приватного канала в следующей таблице показывает, какие конечные точки можно настроить с помощью частной конечной точки. Если в столбце отображается общедоступная конечная точка, необходимо по-прежнему разрешить доступ к этой конечной точке через брандмауэр вашей организации и (или) прокси-сервер для работы агента. Сетевой трафик направляется через частную конечную точку, если назначена область приватного канала.

Ресурс агента Description При необходимости Возможность приватного канала
aka.ms Используется для разрешения скрипта загрузки во время установки Только во время установки Общедоступный
download.microsoft.com Используется для скачивания пакета установки Windows Только во время установки Общедоступный
packages.microsoft.com Используется для скачивания пакета установки Linux Только во время установки Общедоступный
login.windows.net Microsoft Entra ID Всегда Общедоступный
login.microsoftonline.com Microsoft Entra ID Всегда Общедоступный
*login.microsoft.com Microsoft Entra ID Всегда Общедоступный
pas.windows.net Microsoft Entra ID Всегда Общедоступный
management.azure.com Azure Resource Manager — создание или удаление ресурса сервера Arc При подключении или отключении сервера только Общедоступная, если не настроена приватная ссылка на управление ресурсами
*.his.arc.azure.com Метаданные и службы гибридных удостоверений Всегда Private
*.guestconfiguration.azure.com Службы управления расширениями и гостевой конфигурации Всегда Private
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Служба уведомлений для сценариев расширения и подключения Всегда Общедоступный
azgn*.servicebus.windows.net Служба уведомлений для сценариев расширения и подключения Всегда Общедоступный
*.servicebus.windows.net Сценарии Windows Admin Center и SSH При использовании SSH или Центра администрирования Windows из Azure Общедоступный
*.waconazure.com Подключение к Центру администрирования Windows При использовании Windows Admin Center Общедоступный
*.blob.core.windows.net Скачивание источника для расширений серверов с поддержкой Azure Arc Всегда, за исключением использования частных конечных точек Не используется при настройке приватного канала
dc.services.visualstudio.com Данные телеметрии агента Необязательный, не используемый в агентах версии 1.24+ Общедоступный
*.<region>.arcdataservices.com 1 Для Arc SQL Server. Отправляет службу обработки данных, телеметрию служб и мониторинг производительности в Azure. Разрешает ПРОТОКОЛ TLS 1.3. Всегда Общедоступный
www.microsoft.com/pkiops/certs Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) Если используется ESUs, включенный Azure Arc. Требуется всегда для автоматических обновлений или временно при скачивании сертификатов вручную. Общедоступный

1 Дополнительные сведения о сборе и отправке данных см. в статье "Сбор данных и отчеты для SQL Server" с поддержкой Azure Arc.

Для версий расширений до 13 февраля 2024 г. используйте .san-af-<region>-prod.azurewebsites.net Начиная с 12 марта 2024 г. обработка данных Azure Arc и использование *.<region>.arcdataservices.comтелеметрии данных Azure Arc.

Примечание.

Чтобы перевести *.servicebus.windows.net подстановочный знак в определенные конечные точки, используйте команду \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. В рамках этой команды регион должен быть указан для <region> заполнителя. Эти конечные точки могут периодически изменяться.

Чтобы получить сегмент региона региональной конечной точки, удалите все пробелы из имени региона Azure. Например, регион "Восточная часть США 2 " — eastus2имя региона.

Например, *.<region>.arcdataservices.com должно находиться *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".

Чтобы просмотреть список всех регионов, выполните следующую команду:

az account list-locations -o table
Get-AzLocation | Format-Table

Протокол TLS 1.2

Чтобы обеспечить безопасность данных, передаваемых в Azure, настоятельно рекомендуем настроить для компьютера использование протокола TLS версии 1.2. Более старые версии протоколов TLS/SSL оказались уязвимы. Хотя они все еще используются для обеспечения обратной совместимости, применять их не рекомендуется.

Платформа или язык Поддержка Дополнительные сведения
Linux Как правило, дистрибутивы Linux для поддержки протокола TLS 1.2 используют OpenSSL. Убедитесь, что ваша версия OpenSSL поддерживается, проверив журнал изменений OpenSSL.
Windows Server 2012 R2 и более поздних версий; Поддерживается и включена по умолчанию. Убедитесь, что вы все еще используете параметры по умолчанию.

Подмножество конечных точек только для ESU

Если вы используете серверы с поддержкой Azure Arc только для расширенных обновлений безопасности для любого из следующих продуктов:

  • Windows Server 2012
  • SQL Server 2012

Вы можете включить следующее подмножество конечных точек:

Ресурс агента Description При необходимости Конечная точка, используемая с приватным каналом
aka.ms Используется для разрешения скрипта загрузки во время установки Только во время установки Общедоступный
download.microsoft.com Используется для скачивания пакета установки Windows Только во время установки Общедоступный
login.windows.net Microsoft Entra ID Всегда Общедоступный
login.microsoftonline.com Microsoft Entra ID Всегда Общедоступный
*login.microsoft.com Microsoft Entra ID Всегда Общедоступный
management.azure.com Azure Resource Manager — создание или удаление ресурса сервера Arc При подключении или отключении сервера только Общедоступная, если не настроена приватная ссылка на управление ресурсами
*.his.arc.azure.com Метаданные и службы гибридных удостоверений Всегда Private
*.guestconfiguration.azure.com Службы управления расширениями и гостевой конфигурации Всегда Private
www.microsoft.com/pkiops/certs Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) Всегда для автоматических обновлений или временно при скачивании сертификатов вручную. Общедоступный
*.<region>.arcdataservices.com Служба обработки данных Azure Arc и данные телеметрии служб. SQL Server ESUs Общедоступный
*.blob.core.windows.net Скачивание пакета расширения SQL Server SQL Server ESUs Не требуется, если используется Приватный канал

Следующие шаги