你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Connected Machine Agent 网络要求

本主题介绍使用 Connected Machine Agent 将物理服务器或虚拟机载入到已启用 Azure Arc 的服务器的网络要求。

详细信息

通常,连接要求包括以下原则:

  • 除非另有说明,否则所有连接都是 TCP 连接。
  • 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
  • 除非另有说明,否则所有连接都是出站连接。

若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。

所有基于服务器的 Arc 产品/服务都需要已启用 Azure Arc 的服务器终结点。

网络配置

适用于 Linux 和 Windows 的 Azure Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 默认情况下,代理使用到 Internet 的默认路由来访问 Azure 服务。 如果网络需要代理服务器,可以选择将代理配置为使用代理服务器。 由于流量已加密,代理服务器使 Connected Machine 代理更安全。

若要进一步确保你的网络连接到 Azure Arc,而不是使用公共网络和代理服务器,可以实现 Azure Arc 专用链接范围

注意

已启用 Azure Arc 的服务器不支持使用 Log Analytics 网关作为 Connected Machine 代理的代理。 在此期间,Azure Monitor 代理支持 Log Analytics 网关。

如果防火墙或代理服务器限制了出站连接,请确保不要阻止下面列出的 URL 和服务标记。

服务标记

确保允许对以下服务标记进行访问:

有关每个服务标记/区域的 IP 地址列表,请参阅 JSON 文件 Azure IP 范围和服务标记 - 公有云。 Microsoft 每周将发布包含每个 Azure 服务及其使用的 IP 范围的更新。 JSON 文件中的这个信息是与每个服务标记对应的 IP 地址的当前实时列表。 IP 地址可能会变化。 如果防火墙配置需要 IP 地址范围,则应使用 AzureCloud 服务标记允许对所有 Azure 服务的访问。 请勿禁用对这些 URL 的安全监视或检查,但就像允许其他 Internet 流量一样允许这些 URL。

有关详细信息,请参阅虚拟网络服务标记

URL

下表列出了安装和使用 Connected Machine Agent 时必须可用的 URL。

注意

将 Azure 连接的计算机代理配置为通过专用链接与 Azure 通信时,某些终结点仍必须通过 Internet 访问。 下表中“使用专用链接的终结点”列显示可以配置专用终结点的终结点。 如果某个终结点的列显示“公共”,则仍必须允许通过组织的防火墙和/或代理服务器访问该终结点,以便代理正常运行

代理资源 说明 需要时 与专用链接一起使用的终结点
aka.ms 用于在安装过程中解析下载脚本 仅用于安装时 公共
download.microsoft.com 用于下载 Windows 安装包 仅用于安装时 公用
packages.microsoft.com 用于下载 Linux 安装包 仅用于安装时 公共
login.windows.net Microsoft Entra ID 始终 公共
login.microsoftonline.com Microsoft Entra ID 始终 公共
pas.windows.net Microsoft Entra ID 始终 公用
management.azure.com Azure 资源管理器 - 创建或删除 Arc 服务器资源 仅连接或断开服务器时 公共,除非还配置了资源管理专用链接
*.his.arc.azure.com 元数据和混合标识服务 Always 专用
*.guestconfiguration.azure.com 扩展管理和来宾配置服务 Always 专用
guestnotificationservice.azure.com*.guestnotificationservice.azure.com 扩展和连接方案的通知服务 Always 公用
azgn*.servicebus.windows.net 扩展和连接方案的通知服务 Always 公用
*.servicebus.windows.net 对于 Windows Admin Center 和 SSH 方案 如果从 Azure 中使用 SSH 或 Windows Admin Center 开放
*.waconazure.com 对于 Windows Admin Center 连接 如果使用 Windows Admin Center 开放
*.blob.core.windows.net 下载启用了 Azure Arc 的服务器扩展的源 始终,使用专用终结点时除外 配置专用链接时不使用
dc.services.visualstudio.com 代理遥测 可选,不用于代理版本 1.24+ 公开
*.<region>.arcdataservices.com1 对于 Arc SQL Server。 将数据处理服务、服务遥测和性能监视发送到 Azure。 允许 TLS 1.3。 始终 公开
www.microsoft.com/pkiops/certs ESU 的中间证书更新(注意:请使用 HTTP/TCP 80 和 HTTPS/TCP 443) 使用 Azure Arc 启用的 ESU 的情况下。如果是自动更新,则需要始终使用;如果手动下载证书,则需要临时使用。 公开

1 对于 2024 年 2 月 13 日及之前发布的扩展版本,请使用 san-af-<region>-prod.azurewebsites.net。 从 2024 年 3 月 12 日开始,Azure Arc 数据处理和 Azure Arc 数据遥测都使用 *.<region>.arcdataservices.com

注意

若要将 *.servicebus.windows.net 通配符转换为特定终结点,请使用命令 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>。 在这个命令中,必须为 <region> 占位符指定区域。

要获取区域终结点的区域段,请从 Azure 区域名称中删除所有空格。 例如,“美国东部 2”区域,区域名称为 eastus2

例如:*.<region>.arcdataservices.com 应位于“美国东部 2”区域中的 *.eastus2.arcdataservices.com

要查看所有区域的列表,请运行以下命令:

az account list-locations -o table
Get-AzLocation | Format-Table

传输层安全性 1.2 协议

为了确保传输到 Azure 的数据的安全性,我们强烈建议你将计算机配置为使用传输层安全性 (TLS) 1.2。 我们发现旧版 TLS/安全套接字层 (SSL) 容易受到攻击,尽管目前出于向后兼容,这些协议仍可正常工作,但我们不建议使用

平台/语言 支持 更多信息
Linux Linux 分发版往往依赖于 OpenSSL 来提供 TLS 1.2 支持。 请检查 OpenSSL 变更日志,确认你的 OpenSSL 版本是否受支持。
Windows Server 2012 R2 和更高版本 受支持,并且默认已启用。 确认是否仍在使用默认设置

仅限 ESU 的终结点子集

对于下面一种或全部两种产品,如果仅对扩展安全更新使用已启用 Azure Arc 的服务器,请执行以下操作:

  • Windows Server 2012
  • SQL Server 2012

可启用以下终结点子集:

代理资源 说明 需要时 与专用链接一起使用的终结点
aka.ms 用于在安装过程中解析下载脚本 仅用于安装时 公共
download.microsoft.com 用于下载 Windows 安装包 仅用于安装时 公共
login.windows.net Microsoft Entra ID 始终 公共
login.microsoftonline.com Microsoft Entra ID 始终 公用
management.azure.com Azure 资源管理器 - 创建或删除 Arc 服务器资源 仅连接或断开服务器时 公共,除非还配置了资源管理专用链接
*.his.arc.azure.com 元数据和混合标识服务 Always 专用
*.guestconfiguration.azure.com 扩展管理和来宾配置服务 Always Private
www.microsoft.com/pkiops/certs ESU 的中间证书更新(注意:请使用 HTTP/TCP 80 和 HTTPS/TCP 443) 如果是自动更新,则始终使用;如果手动下载证书,则临时使用。 公开
*.<region>.arcdataservices.com Azure Arc 数据处理服务和服务遥测。 SQL Server ESU 公用

后续步骤