Connected Machine 代理程式網路需求
本主題說明 Connected Machine 代理程式將實體伺服器或虛擬機器上線至已啟用 Azure Arc 的伺服器網路需求相關資訊。
詳細資料
一般而言,連線需求包括下列原則:
- 所有連線皆為 TCP,除非另有指定。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 所有連線皆為輸出,除非另有指定。
若要使用 Proxy,請驗證執行上線程序的代理程式和機器是否符合本文中的網路需求。
所有伺服器型 Arc 供應項目都需要已啟用 Azure Arc 的伺服器端點。
網路設定
適用於 Linux 和 Windows 的 Azure Connected Machine 代理程式會透過 TCP 連接埠 443,安全地將訊息輸出到 Azure Arc。 根據預設,代理程式會使用網際網路的預設路由來連線到 Azure 服務。 如果您的網路需要,您可以選擇性地設定代理程式使用 Proxy 伺服器。 Proxy 伺服器不會讓 Connected Machine 代理程式變得更安全,因為流量已經加密。
若要進一步保護您的 Azure Arc 網路連線,而不是使用公用網路和 Proxy 伺服器,您可以實作 Azure Arc 私人連結範圍。
注意
已啟用 Azure Arc 的伺服器不支援使用 Log Analytics 閘道作為 Connected Machine 代理程式的 Proxy。 同時,Azure 監視器代理程序支援 Log Analytics 閘道。
如果您的防火牆或 Proxy 伺服器已限制輸出連線,請確定下面所列的 URL 和服務標籤未遭到封鎖。
服務標籤
請確定允許存取下列服務標籤:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 儲存體
- WindowsAdminCenter (如果使用 Windows Admin Center 管理已啟用 Arc 的伺服器)
如需每個服務標籤/區域的 IP 位址清單,請參閱 JSON 檔案:Azure IP 範圍和服務標籤 – 公用雲端。 Microsoft 會發佈每週更新,其中包含每個 Azure 服務和其使用的 IP 範圍。 JSON 檔案中的這項資訊是與每個服務標籤相對應之 IP 範圍的目前時間點清單。 IP 位址可能會變更。 如果您的防火牆設定需要 IP 位址範圍,則應該使用 AzureCloud 服務標籤來允許存取所有 Azure 服務。 請勿停用這些 URL 的安全性監視或檢查,但允許這些 URL,如同其他網際網路流量。
如果您篩選流向 AzureArcInfrastruct 服務標籤的流量,則必須允許流向完整服務標籤範圍的流量。 針對為各個區域公告的範圍 (例如 AzureArcInfrastruct.AustraliaEast),請勿包括服務的全域元件所使用的 IP 範圍。 為這些端點解析的特定 IP 位址可能會隨著時間在記錄的範圍內變更,因此僅使用查詢工具來識別指定端點的目前 IP 位址並允許存取該位址並不足以確保可靠的存取。
如需詳細資訊,請參閱虛擬網路服務標籤。
URL
下表列出為了安裝和使用 Connected Machine 代理程式,必須可供使用的 URL。
注意
設定 Azure 連線機器代理程式以透過私人連結與 Azure 通訊時,某些端點仍必須透過網際網路存取。 下表中的 [可用私人連結] 資料行顯示了哪些端點可以設定私人端點。 如果該資料行針對端點顯示公用,您仍必須允許透過組織的防火牆和/或 Proxy 伺服器存取該端點,代理程式才能正常運作。 如果已指派私人連結範圍,就會透過私人端點路由傳送網路流量。
代理程式資源 | 描述 | 需要時 | 可用私人連結 |
---|---|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 | 僅限安裝期間 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 僅限安裝期間 | 公開 |
packages.microsoft.com |
用來下載 Linux 安裝套件 | 僅限安裝期間 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
*login.microsoft.com |
Microsoft Entra ID | 永遠 | 公開 |
pas.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 僅限連線或中斷伺服器連線時 | 公用,除非同時設定了資源管理私人連結 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 | 永遠 | 私人 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 | 永遠 | 私人 |
% | 延伸模組和連線案例的通知服務 | 永遠 | 公開 |
azgn*.servicebus.windows.net |
延伸模組和連線案例的通知服務 | 永遠 | 公開 |
*.servicebus.windows.net |
用於 Windows Admin Center 和 SSH 案例 | 如果從 Azure 使用 SSH 或 Windows Admin Center | 公開 |
*.waconazure.com |
適用於 Windows Admin Center 連線 | 如果使用 Windows Admin Center | 公開 |
*.blob.core.windows.net |
已啟用 Azure Arc 的伺服器延伸模組的下載來源 | 一律,使用私人端點時除外 | 設定私人連結時不使用 |
dc.services.visualstudio.com |
代理程式遙測 | 選用性,在代理程式 1.24+ 版中不使用 | 公開 |
*.<region>.arcdataservices.com 1 |
針對 Arc SQL Server。 將資料處理服務、服務遙測和效能監視傳送到 Azure。 允許 TLS 1.3。 | 永遠 | 公開 |
www.microsoft.com/pkiops/certs |
進行 ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 如果使用 Azure Arc 所啟用的 ESU。自動更新一律需要,如果手動下載憑證則暫時需要。 | 公開 |
1 如需收集及傳送哪些資訊的詳細資訊,請參閱 Azure Arc 所啟用 SQL Server 的資料收集和報告。
對於 2024 年 2 月 13 日 (含) 之前的延伸模組,請使用 san-af-<region>-prod.azurewebsites.net
。 從 2024 年 3 月 12 日開始,Azure Arc 資料處理和 Azure Arc 資料遙測都使用 *.<region>.arcdataservices.com
。
注意
若要將 *.servicebus.windows.net
萬用字元轉譯為特定端點,請使用命令 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
。 在此命令內,必須指定 <region>
預留位置的區域。 這些端點可能會定期變更。
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2
。
例如:在美國東部 2 區域中,*.<region>.arcdataservices.com
應為 *.eastus2.arcdataservices.com
。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
傳輸層安全性 1.2 通訊協定
為了確保資料傳送至 Azure 時的安全性,我們強烈建議您將機器設定為使用傳輸層安全性 (TLS) 1.2。 我們已發現較舊版本的 TLS/安全通訊端層 (SSL) 較易受到攻擊,而且在其目前的運作中仍允許回溯相容性,因此並不建議使用這些版本。
平台/語言 | 支援 | 相關資訊 |
---|---|---|
Linux | Linux 發行版本通常會依賴 OpenSSL 來取得 TLS 1.2 支援。 | 請檢查 OpenSSL 變更記錄來確認支援的 OpenSSL 版本。 |
Windows Server 2012 R2 及更高版本 | 支援且預設會啟用。 | 請確認您仍在使用預設設定。 |
僅限進行 ESU 的端點子集
如果您只針對下列其中一項或兩項產品使用已啟用 Azure Arc 的伺服器來進行延伸安全性更新:
- Windows Server 2012
- SQL Server 2012
您可以啟用下列端點子集:
代理程式資源 | 描述 | 需要時 | 搭配私人連結使用的端點 |
---|---|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 | 僅限安裝期間 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 僅限安裝期間 | 公開 |
login.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
*login.microsoft.com |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 僅限連線或中斷伺服器連線時 | 公用,除非同時設定了資源管理私人連結 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 | 永遠 | 私人 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 | 永遠 | 私人 |
www.microsoft.com/pkiops/certs |
進行 ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 自動更新時一律採用,或手動下載憑證時暫時採用。 | 公開 |
*.<region>.arcdataservices.com |
Azure Arc 資料處理服務和服務遙測。 | SQL Server ESU | 公開 |
*.blob.core.windows.net |
下載 Sql Server 擴充功能套件 | SQL Server ESU | 如果使用 Private Link 則不需要 |
下一步
- 檢閱部署 Connected Machine 代理程式的其他必要條件。
- 在部署 Azure Connected Machine 代理程式,並與其他 Azure 管理和監視服務整合之前,請先檢閱規劃和部署指南。
- 若要解決問題,請檢閱代理程式連線問題疑難排解指南。
- 如需 Azure Arc 功能和已啟用 Azure Arc 服務之網路需求的完整清單,請參閱 Azure Arc 網路需求 (合併)。