Sdílet prostřednictvím


Požadavky na síť agenta Connected Machine

Toto téma popisuje síťové požadavky pro použití agenta Connected Machine k připojení fyzického serveru nebo virtuálního počítače k serverům s podporou Azure Arc.

Tip

Pro veřejný cloud Azure můžete snížit počet požadovaných koncových bodů pomocí brány Azure Arc (Preview).

Detaily

Obecně platí, že požadavky na připojení zahrnují tyto principy:

  • Všechna připojení jsou TCP, pokud není uvedeno jinak.
  • Všechna připojení HTTP používají protokol HTTPS a SSL/TLS s oficiálně podepsanými a ověřitelnými certifikáty.
  • Všechna připojení jsou odchozí, pokud není zadáno jinak.

Pokud chcete použít proxy server, ověřte, že agenti a počítač provádějící proces onboardingu splňují požadavky na síť v tomto článku.

Koncové body serveru s podporou Azure Arc se vyžadují pro všechny serverové nabídky Arc.

Konfigurace sítě

Agent Azure Connected Machine pro Linux a Windows komunikuje bezpečně s Azure Arc přes port TCP 443. Ve výchozím nastavení používá agent výchozí trasu k internetu pro přístup ke službám Azure. Pokud to vaše síť vyžaduje, můžete agenta volitelně nakonfigurovat tak, aby používal proxy server . Proxy servery nezabezpečují agenta Připojeného počítače, protože provoz je už šifrovaný.

Pokud chcete dál zabezpečit síťové připojení ke službě Azure Arc místo použití veřejných sítí a proxy serverů, můžete implementovat obor privátního propojení Azure Arc .

Poznámka:

Servery s podporou Azure Arc nepodporují použití brány Log Analytics jako proxy serveru pro agenta Connected Machine. Agent Azure Monitoru současně podporuje bránu Log Analytics.

Pokud je odchozí připojení omezené bránou firewall nebo proxy serverem, ujistěte se, že níže uvedené adresy URL a značky služeb nejsou blokované.

Značky služeb

Nezapomeňte povolit přístup k následujícím značkům služeb:

  • AzureActiveDirectory
  • AzureTrafficManager
  • AzureResourceManager
  • AzureArcInfrastructure
  • Úložiště
  • WindowsAdminCenter (pokud ke správě serverů s podporou arc používáte Centrum pro správu Windows)

SeznamIPch Microsoft publikuje týdenní aktualizace obsahující každou službu Azure a rozsahy IP adres, které používá. Tyto informace v souboru JSON jsou aktuálním seznamem rozsahů IP adres, které odpovídají každé značce služby. IP adresy se můžou změnit. Pokud se pro konfiguraci brány firewall vyžadují rozsahy IP adres, měla by se značka služby AzureCloud použít k povolení přístupu ke všem službám Azure. Nezakažujte monitorování zabezpečení ani kontrolu těchto adres URL, povolte je stejně jako ostatní internetové přenosy.

Pokud filtrujete provoz na značku služby AzureArcInfrastructure, musíte povolit provoz do úplného rozsahu značek služeb. Rozsahy inzerované pro jednotlivé oblasti, například AzureArcInfrastructure.AustraliaEast, nezahrnují rozsahy IP adres používané globálními komponentami služby. Konkrétní IP adresa přeložená pro tyto koncové body se může v průběhu času měnit v rámci zdokumentovaných rozsahů, takže stačí použít vyhledávací nástroj k identifikaci aktuální IP adresy pro daný koncový bod a umožnit přístup k natolik, aby byl zajištěn spolehlivý přístup.

Další informace najdete v tématu Značky služeb virtuální sítě.

Adresy URL

Následující tabulka uvádí adresy URL, které musí být k dispozici, aby bylo možné nainstalovat a používat agenta Connected Machine.

Poznámka:

Při konfiguraci agenta počítače připojeného k Azure pro komunikaci s Azure prostřednictvím privátního propojení musí být některé koncové body stále přístupné přes internet. Sloupec podporující privátní propojení v následující tabulce ukazuje, které koncové body je možné nakonfigurovat s privátním koncovým bodem. Pokud se ve sloupci zobrazuje veřejný koncový bod, musíte povolit přístup k ho koncovému bodu přes bránu firewall vaší organizace nebo proxy server, aby agent fungoval. Pokud je přiřazen rozsah privátního propojení, směruje se síťový provoz přes privátní koncový bod.

Prostředek agenta Popis V případě potřeby Podporující privátní propojení
aka.ms Používá se k vyřešení skriptu stahování během instalace. V době instalace pouze Veřejná
download.microsoft.com Používá se ke stažení instalačního balíčku systému Windows. V době instalace pouze Veřejná
packages.microsoft.com Používá se ke stažení instalačního balíčku pro Linux. V době instalace pouze Veřejná
login.microsoftonline.com Microsoft Entra ID Always Veřejná
*login.microsoft.com Microsoft Entra ID Always Veřejná
pas.windows.net Microsoft Entra ID Always Veřejná
management.azure.com Azure Resource Manager – vytvoření nebo odstranění prostředku serveru Arc Při připojování nebo odpojení serveru pouze Veřejné, pokud není nakonfigurované také privátní propojení správy prostředků
*.his.arc.azure.com Metadata a služby hybridní identity Always Privátní
*.guestconfiguration.azure.com Správa rozšíření a služby konfigurace hosta Always Privátní
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Služba oznámení pro scénáře rozšíření a připojení Always Veřejná
azgn*.servicebus.windows.net Služba oznámení pro scénáře rozšíření a připojení Always Veřejná
*.servicebus.windows.net Scénáře Windows Admin Center a SSH Pokud používáte SSH nebo Windows Admin Center z Azure Veřejná
*.waconazure.com Připojení k Centru pro správu Windows Pokud používáte Centrum pro správu Windows Veřejná
*.blob.core.windows.net Stažení zdroje pro rozšíření serverů s podporou Služby Azure Arc Vždy, s výjimkou použití privátních koncových bodů Nepoužívá se při konfiguraci privátního propojení.
dc.services.visualstudio.com Telemetrie agenta Volitelné, nepoužívá se ve verzích agenta 1.24 nebo novější. Veřejná
*.<region>.arcdataservices.com1 Pro Arc SQL Server. Odesílá do Azure službu zpracování dat, telemetrii služeb a monitorování výkonu. Povoluje protokol TLS 1.3. Always Veřejná
www.microsoft.com/pkiops/certs Zprostředkující aktualizace certifikátů pro ESU (poznámka: používá HTTP/TCP 80 a HTTPS/TCP 443) Pokud používáte ESU povolená službou Azure Arc. Vyžaduje se vždy pro automatické aktualizace nebo dočasně, pokud certifikáty stahujete ručně. Veřejná

1 Podrobnosti o tom, jaké informace se shromažďují a odesílají, najdete v tématu Shromažďování a vytváření sestav dat pro SQL Server, které povoluje Azure Arc.

Pro verze rozšíření až do 13. února 2024 použijte san-af-<region>-prod.azurewebsites.net. Od 12. března 2024 se používají jak zpracování dat Azure Arc, tak telemetrie *.<region>.arcdataservices.comdat Azure Arc .

Poznámka:

Pokud chcete zástupný znak přeložit *.servicebus.windows.net na konkrétní koncové body, použijte příkaz \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. V rámci tohoto příkazu musí být pro zástupný symbol zadána <region> oblast. Tyto koncové body se můžou pravidelně měnit.

Pokud chcete získat segment oblasti regionálního koncového bodu, odeberte všechny mezery z názvu oblasti Azure. Například oblast USA – východ 2 , název oblasti je eastus2.

Například: *.<region>.arcdataservices.com musí být *.eastus2.arcdataservices.com v oblasti USA – východ 2.

Pokud chcete zobrazit seznam všech oblastí, spusťte tento příkaz:

az account list-locations -o table
Get-AzLocation | Format-Table

Protokol Transport Layer Security 1.2

Abychom zajistili zabezpečení přenášených dat do Azure, důrazně doporučujeme nakonfigurovat počítač tak, aby používal protokol TLS (Transport Layer Security) 1.2. Ve starších verzích protokolu TLS/Secure Sockets Layer (SSL) se zjistilo, že jsou ohrožené a v současné době fungují tak, aby umožňovaly zpětnou kompatibilitu, nedoporučuje se.

Platforma/jazyk Technická podpora Další informace
Linux Linuxové distribuce se obvykle spoléhají na OpenSSL pro podporu protokolu TLS 1.2. Zkontrolujte protokol změn OpenSSL a ověřte, že je podporovaná vaše verze OpenSSL.
Windows Server 2012 R2 a novější Podporováno a ve výchozím nastavení povoleno. Abyste si ověřili, že stále používáte výchozí nastavení.

Podmnožina koncových bodů pouze pro ESU

Pokud používáte servery s podporou Azure Arc pouze pro rozšířené aktualizace zabezpečení pro některý z následujících produktů nebo pro oba tyto produkty:

  • Windows Server 2012
  • SQL Server 2012

Můžete povolit následující podmnožinu koncových bodů:

Prostředek agenta Popis V případě potřeby Koncový bod používaný s privátním propojením
aka.ms Používá se k vyřešení skriptu stahování během instalace. V době instalace pouze Veřejná
download.microsoft.com Používá se ke stažení instalačního balíčku systému Windows. V době instalace pouze Veřejná
login.windows.net Microsoft Entra ID Always Veřejná
login.microsoftonline.com Microsoft Entra ID Always Veřejná
*login.microsoft.com Microsoft Entra ID Always Veřejná
management.azure.com Azure Resource Manager – vytvoření nebo odstranění prostředku serveru Arc Při připojování nebo odpojení serveru pouze Veřejné, pokud není nakonfigurované také privátní propojení správy prostředků
*.his.arc.azure.com Metadata a služby hybridní identity Always Privátní
*.guestconfiguration.azure.com Správa rozšíření a služby konfigurace hosta Always Privátní
www.microsoft.com/pkiops/certs Zprostředkující aktualizace certifikátů pro ESU (poznámka: používá HTTP/TCP 80 a HTTPS/TCP 443) Vždy pro automatické aktualizace nebo dočasně, pokud certifikáty stahujete ručně. Veřejná
*.<region>.arcdataservices.com Služba zpracování dat Azure Arc a telemetrie služeb ESU SQL Serveru Veřejná
*.blob.core.windows.net Stažení balíčku rozšíření SQL Serveru ESU SQL Serveru Nepožaduje se, pokud používáte Private Link.

Další kroky

  • Projděte si další požadavky pro nasazení agenta Connected Machine.
  • Než nasadíte agenta Azure Connected Machine a integrujete se s dalšími službami pro správu a monitorování Azure, projděte si průvodce plánováním a nasazením.
  • Pokud chcete vyřešit problémy, projděte si průvodce odstraňováním potíží s připojením agenta.
  • Úplný seznam požadavků na síť pro funkce Azure Arc a služby s podporou Azure Arc najdete v tématu Požadavky na síť Azure Arc (konsolidované).