Condividi tramite

Sicurezza di rete

  • Articolo

Questo articolo descrive i requisiti e le opzioni di rete per i server abilitati per Azure Arc.

Rete generale

I server abilitati per Azure Arc sono un'offerta software-come servizio con una combinazione di endpoint globali e regionali condivisi da tutti i clienti. Tutte le comunicazioni di rete dall'agente di Azure Connected Machine sono in uscita in Azure. Azure non raggiungerà mai la rete personale per gestire le macchine virtuali. Queste connessioni vengono sempre crittografate tramite certificati TLS. L'elenco di endpoint e indirizzi IP a cui l'agente accede è documentato in Requisiti di rete.

Le estensioni installate possono richiedere endpoint aggiuntivi non inclusi nei requisiti di rete di Azure Arc. Per altre informazioni sui requisiti di rete per questa soluzione, consultare la documentazione relativa all'estensione.

Se l'organizzazione usa l'ispezione TLS, l'agente di Azure Connected Machine non usa l'associazione del certificato e continuerà a funzionare, fino a quando il computer considera attendibile il certificato presentato dal servizio di ispezione TLS. Alcune estensioni di Azure Arc usano l'associazione del certificato e devono essere escluse dall'ispezione TLS. Consultare la documentazione relativa a tutte le estensioni distribuite per determinare se supportano l'ispezione TLS.

Endpoint privati

Gli Endpoint privati sono una tecnologia di rete di Azure facoltativa che consente di inviare il traffico di rete tramite ExpressRoute o con una connessione da sito a sito e di controllare in modo più granulare quali computer possono usare Azure Arc. Con gli endpoint privati è possibile usare indirizzi IP privati nello spazio indirizzi della rete dell'organizzazione per accedere ai servizi cloud di Azure Arc. Inoltre, solo i server autorizzati possono inviare dati tramite questi endpoint, che proteggono dall'uso non autorizzato dell'agente di Azure Connected Machine all’interno della rete.

È importante notare che non tutti gli endpoint e non tutti gli scenari sono supportati con endpoint privati. Sarà comunque necessario creare eccezioni del firewall per alcuni endpoint come Microsoft Entra ID, che non offre una soluzione per endpoint privato. Le estensioni installate possono richiedere altri endpoint privati (se supportati) o l'accesso agli endpoint pubblici per i relativi servizi. Inoltre, non è possibile usare SSH o Windows Admin Center per accedere al server tramite endpoint privato.

Indipendentemente dal fatto che si usino endpoint privati o pubblici, i dati trasferiti tra l'agente di Azure Connected Machine e Azure vengono sempre crittografati. È possibile iniziare con endpoint pubblici e passare successivamente a endpoint privati (o viceversa), man mano che le esigenze aziendali cambiano.