Requisitos de red del agente de Connected Machine
En este tema se describen los requisitos de red para usar el agente de Connected Machine para incorporar un servidor físico o una máquina virtual en servidores habilitados para Azure Arc.
Detalles
Por lo general, los requisitos de conectividad incluyen estos principios:
- Todas las conexiones son TCP a menos que se especifique lo contrario.
- Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
- Todas las conexiones son salientes a menos que se especifique lo contrario.
Para utilizar un proxy, compruebe que los agentes y la máquina que realiza el proceso de incorporación cumplen los requisitos de red indicados en este artículo.
Los puntos de conexión de servidor habilitados para Azure Arc son necesarios para todas las ofertas de Arc basadas en servidor.
Configuración de red
El agente de Azure Connected Machine para Linux y Windows se comunica de forma segura con la salida de Azure Arc mediante el puerto TCP 443. De manera predeterminada, el agente usa la ruta predeterminada a Internet para acceder a los servicios de Azure. Opcionalmente, puede configurar el agente para que use un servidor proxy si la red lo requiere. Los servidores proxy no hacen que el agente de Connected Machine sea más seguro, ya que el tráfico ya está cifrado.
Para proteger aún más la conectividad de red con Azure Arc, en lugar de usar redes públicas y servidores proxy, puede implementar un ámbito de Private Link de Azure Arc.
Nota:
Los servidores habilitados para Arc no admiten el uso de una puerta de enlace de Log Analytics como proxy para el agente de Connected Machine. Al mismo tiempo, el agente de Azure Monitor admite la puerta de enlace de Log Analytics.
Si la conectividad saliente está restringida por el firewall o el servidor proxy, asegúrese de que las direcciones URL y etiquetas de servicio que se muestran a continuación no estén bloqueadas.
Etiquetas de servicio
Asegúrese de permitir el acceso a las siguientes etiquetas de servicio:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (si usa Windows Admin Center a fin de administrar servidores habilitados para Arc)
Para obtener una lista de direcciones IP para cada etiqueta o región del servicio, consulte el archivo JSON Rangos de direcciones IP y etiquetas de servicio de Azure: nube pública. Microsoft publica actualizaciones semanales que incluyen cada uno de los servicios de Azure y los intervalos IP que usan. Esta información en el archivo JSON es la lista actual en un momento dado de los intervalos de direcciones IP que corresponden a cada etiqueta de servicio. Las direcciones IP están sujetas a cambios. Si se necesitan intervalos de direcciones IP para la configuración del firewall, se debe usar la etiqueta de servicio AzureCloud para permitir el acceso a todos los servicios de Azure. No deshabilite la supervisión de seguridad ni la inspección de estas direcciones URL, pero permítalas como haría con otro tráfico de Internet.
Si filtra el tráfico a la etiqueta de servicio AzureArcInfrastructure, debe permitir el tráfico al intervalo de etiquetas de servicio completo. Los intervalos anunciados para regiones individuales, por ejemplo AzureArcInfrastructure.AustraliaEast, no incluyen los intervalos IP usados por los componentes globales del servicio. La dirección IP específica resuelta para estos puntos de conexión puede cambiar con el tiempo dentro de los intervalos documentados, por lo que simplemente usar una herramienta de búsqueda para identificar la dirección IP actual de un punto de conexión determinado y permitir el acceso a que no será suficiente para garantizar un acceso confiable.
Para más información, consulte Etiquetas de servicio de red virtual.
URLs
En la tabla siguiente se enumeran las direcciones URL que deben estar disponibles para instalar y usar el agente de Connected Machine.
Nota:
Al configurar el agente de máquina conectada de Azure para comunicarse con Azure a través de un vínculo privado, se debe acceder a algunos puntos de conexión a través de Internet. La columna Compatible con vínculo privado en la tabla siguiente muestra qué puntos de conexión se pueden configurar con un punto de conexión privado. Si la columna muestra Público para un punto de conexión, aún debe permitir el acceso a ese punto de conexión a través del firewall o servidor proxy de la organización para que funcione el agente. El tráfico de red se enruta a través del punto de conexión privado si se asigna un ámbito de vínculo privado.
| Recurso del agente | Descripción | Cuándo es necesario | Compatible con vínculo privado |
|---|---|---|---|
aka.ms |
Se usa para resolver el script de descarga durante la instalación | Solo en el momento de la instalación | Public |
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | Solo en el momento de la instalación | Public |
packages.microsoft.com |
Se usa para descargar el paquete de instalación de Linux | Solo en el momento de la instalación | Public |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Public |
*login.microsoft.com |
Microsoft Entra ID | Siempre | Public |
pas.windows.net |
Microsoft Entra ID | Siempre | Public |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que se configure también un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servicio de notificaciones para escenarios de extensión y conectividad | Siempre | Public |
azgn*.servicebus.windows.net |
Servicio de notificaciones para escenarios de extensión y conectividad | Siempre | Public |
*.servicebus.windows.net |
Para escenarios de Windows Admin Center y SSH | Si usa SSH o Windows Admin Center desde Azure | Public |
*.waconazure.com |
Para conectividad de Windows Admin Center | Si usa Windows Admin Center: | Public |
*.blob.core.windows.net |
Origen de descarga para las extensiones de servidores habilitados para Azure Arc | Siempre, excepto cuando se usan puntos de conexión privados | No se usa cuando se configura un vínculo privado |
dc.services.visualstudio.com |
Telemetría del agente | Opcional, no se usa en las versiones del agente 1.24+ | Público |
*.<region>.arcdataservices.com 1 |
Para Arc SQL Server. Envía el servicio de procesamiento de datos, la telemetría del servicio y la supervisión del rendimiento a Azure. Permite TLS 1.3. | Siempre | Public |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para ESU (nota: usa HTTP/TCP 80 y HTTPS/TCP 443) | Si se usan ESU habilitadas por Azure Arc. Se requiere siempre para las actualizaciones automáticas, o temporalmente, si se descargan los certificados manualmente. | Público |
1 Para más información sobre qué información se recopila y envía, revise Recopilación de datos e informes de SQL Server habilitados por Azure Arc.
Para las versiones de extensión hasta e incluyendo el 13 de febrero de 2024 use san-af-<region>-prod.azurewebsites.net. A partir del 12 de marzo de 2024, tanto el procesamiento de datos de Azure Arc como la telemetría de datos de Azure Arc usan *.<region>.arcdataservices.com.
Nota:
Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. En este comando se debe especificar la región del marcador de posición <region>. Estos puntos de conexión pueden cambiar periódicamente.
Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.
Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.
Para ver una lista de todas las regiones, ejecute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolo Seguridad de la capa de transporte 1.2
Para garantizar la seguridad de los datos en tránsito hacia Azure, se recomienda encarecidamente configurar la máquina para que use Seguridad de la capa de transporte (TLS) 1.2. Las versiones anteriores de TLS/Capa de sockets seguros (SSL) han demostrado ser vulnerables y, si bien todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomiendan.
| Plataforma/lenguaje | Soporte técnico | Más información |
|---|---|---|
| Linux | Las distribuciones de Linux tienden a basarse en OpenSSL para la compatibilidad con TLS 1.2. | Compruebe el registro de cambios de OpenSSL para confirmar si su versión de OpenSSL es compatible. |
| Windows Server 2012 R2 y versiones posteriores | Compatible, y habilitado de manera predeterminada. | Para confirmar que aún usa la configuración predeterminada. |
Subconjunto de puntos de conexión solo para ESU
Si usa servidores habilitados para Azure Arc solo para actualizaciones de seguridad extendidas para cualquiera de los siguientes productos:
- Windows Server 2012
- SQL Server 2012
Puede habilitar el siguiente subconjunto de puntos de conexión:
| Recurso del agente | Descripción | Cuándo es necesario | Punto de conexión que se usa con un vínculo privado |
|---|---|---|---|
aka.ms |
Se usa para resolver el script de descarga durante la instalación | Solo en el momento de la instalación | Public |
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows | Solo en el momento de la instalación | Public |
login.windows.net |
Microsoft Entra ID | Siempre | Public |
login.microsoftonline.com |
Microsoft Entra ID | Siempre | Public |
*login.microsoft.com |
Microsoft Entra ID | Siempre | Public |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc | Solo al conectar o desconectar un servidor | Público, a menos que se configure también un vínculo privado de administración de recursos |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos | Siempre | Privada |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado | Siempre | Privada |
www.microsoft.com/pkiops/certs |
Actualizaciones intermedias de certificados para ESU (nota: usa HTTP/TCP 80 y HTTPS/TCP 443) | Siempre para las actualizaciones automáticas, o temporalmente, si se descargan los certificados manualmente. | Público |
*.<region>.arcdataservices.com |
Telemetría de servicio y servicio de procesamiento de datos de Azure Arc. | ESU de SQL Server | Público |
*.blob.core.windows.net |
Descarga del paquete de extensión de Sql Server | ESU de SQL Server | No es necesario si se usa Private Link |
Pasos siguientes
- Revise los requisitos previos adicionales para implementar el agente de Connected Machine.
- Antes de implementar el agente de Azure Connected Machine y realizar la integración con otros servicios de administración y supervisión de Azure, revise la guía de planificación e implementación.
- Para resolver problemas, revise la guía de solución de problemas de conexión del agente.
- Para obtener una lista completa de los requisitos de red para las características de Azure Arc y los servicios habilitados para Azure Arc, consulte Requisitos de red de Azure Arc (consolidados).