требования к сети агента машин Подключение
В этом разделе описываются требования к сети для использования агента Подключение ed Machine для подключения физического сервера или виртуальной машины к серверам с поддержкой Azure Arc.
Сведения
Как правило, требования к подключению включают следующие принципы:
- Все подключения являются TCP, если иное не указано.
- Все HTTP-подключения используют ПРОТОКОЛ HTTPS и SSL/TLS с официально подписанными и проверяемыми сертификатами.
- Все подключения исходящие, если иное не указано.
Чтобы использовать прокси-сервер, убедитесь, что агенты и компьютер, выполняющие процесс подключения, соответствуют требованиям к сети в этой статье.
Конечные точки сервера с поддержкой Azure Arc необходимы для всех предложений Arc на основе сервера.
Конфигурации сети
Агент машин с Подключение Azure для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. По умолчанию агент использует маршрут по умолчанию к Интернету для доступа к службам Azure. При необходимости агент можно настроить для использования прокси-сервера , если сеть требует его. Прокси-серверы не делают агент Connected Machine более безопасным, поскольку трафик уже зашифрован.
Для дальнейшего обеспечения безопасности сетевого подключения к Azure Arc вместо использования общедоступных сетей и прокси-серверов можно реализовать область Приватный канал Azure Arc.
Примечание.
Серверы с поддержкой Azure Arc не поддерживают использование шлюза Log Analytics в качестве прокси-сервера для агента Подключение компьютера. В то же время агент Azure Monitor поддерживает шлюз Log Analytics.
Если исходящее подключение ограничено брандмауэром или прокси-сервером, убедитесь, что URL-адреса и теги служб, перечисленные ниже, не блокируются.
Теги служб
Обязательно разрешите доступ к следующим тегам службы:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Хранилище
- Windows Администратор Center (при использовании Центра Администратор Windows для управления серверами с поддержкой Arc)
Список IP-адресов для каждого тега службы или региона см. в файле JSON для диапазонов IP-адресов Azure и тегов служб — общедоступного облака. Корпорация Майкрософт публикует еженедельные обновления, содержащие каждую службу Azure и диапазоны IP-адресов, которые она использует. Эта информация в JSON-файле является актуальным списком точек во времени для диапазонов IP-адресов, соответствующих каждому тегу службы. IP-адреса могут изменяться. Если для настройки брандмауэра требуются диапазоны IP-адресов, то для предоставления доступа ко всем службам Azure следует использовать тег службы AzureCloud. Не отключайте мониторинг безопасности или проверку URL-адресов, но предоставьте такие же разрешения, как для интернет-трафика.
Дополнительные сведения см. в разделе тегов службы виртуальной сети.
URL-адреса
В таблице ниже перечислены URL-адреса, которые должны быть доступны для установки и использования агента компьютера Подключение.
Примечание.
При настройке агента подключенной машины Azure для обмена данными с Azure через приватный канал некоторые конечные точки по-прежнему должны быть доступны через Интернет. Конечная точка, используемая с столбцом приватного канала в следующей таблице, показывает, какие конечные точки можно настроить с помощью частной конечной точки. Если в столбце отображается общедоступная конечная точка, необходимо по-прежнему разрешить доступ к этой конечной точке через брандмауэр вашей организации и (или) прокси-сервер для работы агента.
| Ресурс агента | Description | При необходимости | Конечная точка, используемая с приватным каналом |
|---|---|---|---|
aka.ms |
Используется для разрешения скрипта загрузки во время установки | Только во время установки | Общедоступный |
download.microsoft.com |
Используется для скачивания пакета установки Windows | Только во время установки | Общедоступный |
packages.microsoft.com |
Используется для скачивания пакета установки Linux | Только во время установки | Общедоступный |
login.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
login.microsoftonline.com |
Microsoft Entra ID | Всегда | Общедоступный |
pas.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
management.azure.com |
Azure Resource Manager — создание или удаление ресурса сервера Arc | При подключении или отключении сервера только | Общедоступная, если не настроена приватная ссылка на управление ресурсами |
*.his.arc.azure.com |
Метаданные и службы гибридных удостоверений | Всегда | Private |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации | Всегда | Private |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Служба уведомлений для сценариев расширения и подключения | Всегда | Общедоступный |
azgn*.servicebus.windows.net |
Служба уведомлений для сценариев расширения и подключения | Всегда | Общедоступный |
*.servicebus.windows.net |
Для сценариев Центра Администратор Windows и SSH | При использовании SSH или Центра Администратор Windows из Azure | Общедоступный |
*.waconazure.com |
Для подключения к Центру Администратор Windows | При использовании Центра Администратор Windows | Общедоступный |
*.blob.core.windows.net |
Скачивание источника для расширений серверов с поддержкой Azure Arc | Всегда, за исключением использования частных конечных точек | Не используется при настройке приватного канала |
dc.services.visualstudio.com |
Данные телеметрии агента | Необязательный, не используемый в агентах версии 1.24+ | Общедоступный |
*.<region>.arcdataservices.com1 |
Для Arc SQL Server. Отправляет службу обработки данных, телеметрию служб и мониторинг производительности в Azure. Разрешает ПРОТОКОЛ TLS 1.3. | Всегда | Общедоступный |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) | Если используется ESUs, включенный Azure Arc. Требуется всегда для автоматических обновлений или временно при скачивании сертификатов вручную. | Общедоступный |
1 Для версий расширений до 13 февраля 2024 г. используйте san-af-<region>-prod.azurewebsites.net. Начиная с 12 марта 2024 г. обработка данных Azure Arc и использование *.<region>.arcdataservices.comтелеметрии данных Azure Arc.
Примечание.
Чтобы перевести дикую *.servicebus.windows.net карта в определенные конечные точки, используйте команду\GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. В рамках этой команды регион должен быть указан для <region> заполнителя.
Чтобы получить сегмент региона региональной конечной точки, удалите все пробелы из имени региона Azure. Например, регион "Восточная часть США 2 " — eastus2имя региона.
Например, *.<region>.arcdataservices.com должно находиться *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".
Чтобы просмотреть список всех регионов, выполните следующую команду:
az account list-locations -o table
Get-AzLocation | Format-Table
Протокол TLS 1.2
Чтобы обеспечить безопасность данных, передаваемых в Azure, настоятельно рекомендуем настроить для компьютера использование протокола TLS версии 1.2. Более старые версии протоколов TLS/SSL оказались уязвимы. Хотя они все еще используются для обеспечения обратной совместимости, применять их не рекомендуется.
| Платформа или язык | Поддержка | Дополнительные сведения |
|---|---|---|
| Linux | Как правило, дистрибутивы Linux для поддержки протокола TLS 1.2 используют OpenSSL. | Убедитесь, что ваша версия OpenSSL поддерживается, проверив журнал изменений OpenSSL. |
| Windows Server 2012 R2 и более поздних версий; | Поддерживается и включена по умолчанию. | Убедитесь, что вы все еще используете параметры по умолчанию. |
Подмножество конечных точек только для ESU
Если вы используете серверы с поддержкой Azure Arc только для расширенной безопасности Обновления для следующих продуктов:
- Windows Server 2012
- SQL Server 2012
Вы можете включить следующее подмножество конечных точек:
| Ресурс агента | Description | При необходимости | Конечная точка, используемая с приватным каналом |
|---|---|---|---|
aka.ms |
Используется для разрешения скрипта загрузки во время установки | Только во время установки | Общедоступный |
download.microsoft.com |
Используется для скачивания пакета установки Windows | Только во время установки | Общедоступный |
login.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
login.microsoftonline.com |
Microsoft Entra ID | Всегда | Общедоступный |
management.azure.com |
Azure Resource Manager — создание или удаление ресурса сервера Arc | При подключении или отключении сервера только | Общедоступная, если не настроена приватная ссылка на управление ресурсами |
*.his.arc.azure.com |
Метаданные и службы гибридных удостоверений | Всегда | Private |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации | Всегда | Private |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) | Всегда для автоматических обновлений или временно при скачивании сертификатов вручную. | Общедоступный |
*.<region>.arcdataservices.com |
Служба обработки данных Azure Arc и данные телеметрии служб. | SQL Server ESUs | Общедоступный |
Следующие шаги
- Ознакомьтесь с дополнительными предварительными условиями для развертывания агента Подключение machine.
- Перед развертыванием агента машин Подключение Azure и интеграции с другими службами управления и мониторинга Azure ознакомьтесь с руководством по планированию и развертыванию.
- Чтобы устранить проблемы, ознакомьтесь с руководством по устранению неполадок с подключением агента.
- Полный список требований к сети для функций Azure Arc и служб с поддержкой Azure Arc см. в статье о требованиях к сети Azure Arc (Консолидировано).