Udostępnij za pośrednictwem


Wymagania dotyczące sieci agenta połączonej maszyny

W tym temacie opisano wymagania sieciowe dotyczące używania agenta połączonej maszyny do dołączania serwera fizycznego lub maszyny wirtualnej do serwerów z obsługą usługi Azure Arc.

Napiwek

W przypadku chmury publicznej platformy Azure można zmniejszyć liczbę wymaganych punktów końcowych przy użyciu bramy usługi Azure Arc (wersja zapoznawcza).

Szczegóły

Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:

  • Wszystkie połączenia są tcp, chyba że określono inaczej.
  • Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
  • Wszystkie połączenia są wychodzące, chyba że określono inaczej.

Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.

Punkty końcowe serwera z obsługą usługi Azure Arc są wymagane dla wszystkich ofert usługi Arc opartych na serwerze.

Konfiguracja sieci

Agent połączonej maszyny platformy Azure dla systemów Linux i Windows komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Domyślnie agent używa domyślnej trasy do Internetu, aby uzyskać dostęp do usług platformy Azure. Opcjonalnie można skonfigurować agenta do korzystania z serwera proxy, jeśli sieć tego wymaga. Serwery proxy nie zabezpieczają agenta połączonej maszyny, ponieważ ruch jest już zaszyfrowany.

Aby dodatkowo zabezpieczyć łączność sieciową z usługą Azure Arc, zamiast korzystać z sieci publicznych i serwerów proxy, możesz zaimplementować zakres usługi Azure Arc Private Link.

Uwaga

Serwery z obsługą usługi Azure Arc nie obsługują używania bramy usługi Log Analytics jako serwera proxy dla agenta połączonej maszyny. Jednocześnie agent usługi Azure Monitor obsługuje bramę usługi Log Analytics.

Jeśli łączność wychodząca jest ograniczona przez zaporę lub serwer proxy, upewnij się, że adresy URL i tagi usług wymienione poniżej nie są blokowane.

Tagi usługi

Pamiętaj, aby zezwolić na dostęp do następujących tagów usługi:

Aby uzyskać listę adresów IP dla każdego tagu usługi/regionu, zobacz plik JSON Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna. Firma Microsoft publikuje cotygodniowe aktualizacje zawierające każdą usługę platformy Azure i używane zakresy adresów IP. Te informacje w pliku JSON są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Adresy IP mogą ulec zmianie. Jeśli zakresy adresów IP są wymagane do konfiguracji zapory, należy użyć tagu usługi AzureCloud , aby zezwolić na dostęp do wszystkich usług platformy Azure. Nie wyłączaj monitorowania zabezpieczeń ani inspekcji tych adresów URL, zezwalaj na nie tak jak w przypadku innego ruchu internetowego.

Jeśli filtrujesz ruch do tagu usługi AzureArcInfrastructure, musisz zezwolić na ruch do pełnego zakresu tagów usługi. Zakresy anonsowane dla poszczególnych regionów, na przykład AzureArcInfrastructure.AustraliaEast, nie obejmują zakresów adresów IP używanych przez globalne składniki usługi. Określony adres IP rozpoznany dla tych punktów końcowych może ulec zmianie w czasie w udokumentowanych zakresach, więc wystarczy użyć narzędzia odnośnika do zidentyfikowania bieżącego adresu IP dla danego punktu końcowego i umożliwienia dostępu do niego, aby zapewnić niezawodny dostęp.

Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej.

Adresy URL

W poniższej tabeli wymieniono adresy URL, które muszą być dostępne w celu zainstalowania i użycia agenta połączonej maszyny.

Uwaga

Podczas konfigurowania agenta połączonej maszyny platformy Azure w celu komunikowania się z platformą Azure za pośrednictwem łącza prywatnego niektóre punkty końcowe muszą być nadal dostępne za pośrednictwem Internetu. Kolumna Obsługa łącza prywatnego w poniższej tabeli pokazuje, które punkty końcowe można skonfigurować przy użyciu prywatnego punktu końcowego. Jeśli w kolumnie jest wyświetlana wartość Publiczna dla punktu końcowego, nadal musisz zezwolić na dostęp do tego punktu końcowego za pośrednictwem zapory organizacji i/lub serwera proxy, aby agent mógł działać. Ruch sieciowy jest kierowany przez prywatny punkt końcowy, jeśli zostanie przypisany zakres łącza prywatnego.

Zasób agenta opis Jeśli jest to wymagane Obsługa łącza prywatnego
aka.ms Służy do rozpoznawania skryptu pobierania podczas instalacji Tylko w czasie instalacji Publiczne
download.microsoft.com Służy do pobierania pakietu instalacyjnego systemu Windows Tylko w czasie instalacji Publiczne
packages.microsoft.com Służy do pobierania pakietu instalacyjnego systemu Linux Tylko w czasie instalacji Publiczne
login.microsoftonline.com Microsoft Entra ID Zawsze Publiczne
*login.microsoft.com Microsoft Entra ID Zawsze Publiczne
pas.windows.net Microsoft Entra ID Zawsze Publiczne
management.azure.com Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc Podczas nawiązywania połączenia lub odłączania serwera tylko Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami
*.his.arc.azure.com Metadane i usługi tożsamości hybrydowej Zawsze Prywatne
*.guestconfiguration.azure.com Zarządzanie rozszerzeniami i usługi konfiguracji gościa Zawsze Prywatne
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Usługa powiadomień dla scenariuszy rozszerzenia i łączności Zawsze Publiczne
azgn*.servicebus.windows.net Usługa powiadomień dla scenariuszy rozszerzenia i łączności Zawsze Publiczne
*.servicebus.windows.net W przypadku scenariuszy windows Admin Center i SSH W przypadku korzystania z protokołu SSH lub Centrum administracyjnego systemu Windows z platformy Azure Publiczne
*.waconazure.com W przypadku łączności z usługą Windows Admin Center W przypadku korzystania z Centrum administracyjnego systemu Windows Publiczne
*.blob.core.windows.net Pobieranie źródła dla rozszerzeń serwerów z obsługą usługi Azure Arc Zawsze, z wyjątkiem przypadków korzystania z prywatnych punktów końcowych Nieużytowane podczas konfigurowania łącza prywatnego
dc.services.visualstudio.com Telemetria agenta Opcjonalne, nieużytne w wersji agenta w wersji 1.24 lub nowszej Publiczne
*.<region>.arcdataservices.com 1 W przypadku programu Arc SQL Server. Wysyła usługę przetwarzania danych, dane telemetryczne usługi i monitorowanie wydajności na platformę Azure. Zezwala na protokół TLS 1.3. Zawsze Publiczne
www.microsoft.com/pkiops/certs Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) W przypadku korzystania z jednostek ESU z włączoną przez usługę Azure Arc. Wymagane zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. Publiczne

1 Aby uzyskać szczegółowe informacje o tym, jakie informacje są zbierane i wysyłane, zapoznaj się z tematem Zbieranie danych i raportowanie dla programu SQL Server włączonego przez usługę Azure Arc.

W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net. Począwszy od 12 marca 2024 r. zarówno przetwarzanie danych usługi Azure Arc, jak i dane telemetryczne usługi Azure Arc używają funkcji *.<region>.arcdataservices.com.

Uwaga

Aby przetłumaczyć *.servicebus.windows.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. W tym poleceniu należy określić region dla symbolu zastępczego <region> . Te punkty końcowe mogą okresowo się zmieniać.

Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.

Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.

Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:

az account list-locations -o table
Get-AzLocation | Format-Table

Protokół Transport Layer Security 1.2

Aby zapewnić bezpieczeństwo danych przesyłanych na platformę Azure, zdecydowanie zachęcamy do skonfigurowania maszyny do korzystania z protokołu Transport Layer Security (TLS) 1.2. Starsze wersje protokołu TLS/Secure Sockets Layer (SSL) zostały uznane za podatne na zagrożenia i mimo że nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane.

Platforma/język Pomoc techniczna Więcej informacji
Linux Dystrybucje systemu Linux mają tendencję do polegania na protokole OpenSSL na potrzeby obsługi protokołu TLS 1.2. Sprawdź dziennik zmian protokołu OpenSSL, aby potwierdzić, że jest obsługiwana twoja wersja protokołu OpenSSL.
Windows Server 2012 R2 i nowsze Obsługiwane i domyślnie włączone. Aby potwierdzić, że nadal używasz ustawień domyślnych.

Podzestaw punktów końcowych tylko dla jednostek ESU

Jeśli używasz serwerów z obsługą usługi Azure Arc tylko w przypadku rozszerzonych aktualizacji zabezpieczeń dla następujących produktów lub obu następujących produktów:

  • Windows Server 2012
  • SQL Server 2012

Możesz włączyć następujący podzbiór punktów końcowych:

Zasób agenta opis Jeśli jest to wymagane Punkt końcowy używany z linkiem prywatnym
aka.ms Służy do rozpoznawania skryptu pobierania podczas instalacji Tylko w czasie instalacji Publiczne
download.microsoft.com Służy do pobierania pakietu instalacyjnego systemu Windows Tylko w czasie instalacji Publiczne
login.windows.net Microsoft Entra ID Zawsze Publiczne
login.microsoftonline.com Microsoft Entra ID Zawsze Publiczne
*login.microsoft.com Microsoft Entra ID Zawsze Publiczne
management.azure.com Azure Resource Manager — aby utworzyć lub usunąć zasób serwera Arc Podczas nawiązywania połączenia lub odłączania serwera tylko Publiczny, chyba że skonfigurowano również łącze prywatne do zarządzania zasobami
*.his.arc.azure.com Metadane i usługi tożsamości hybrydowej Zawsze Prywatne
*.guestconfiguration.azure.com Zarządzanie rozszerzeniami i usługi konfiguracji gościa Zawsze Prywatne
www.microsoft.com/pkiops/certs Aktualizacje certyfikatów pośrednich dla jednostek ESU (uwaga: korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443) Zawsze w przypadku aktualizacji automatycznych lub tymczasowo w przypadku ręcznego pobierania certyfikatów. Publiczne
*.<region>.arcdataservices.com Usługa przetwarzania danych i dane telemetryczne usługi Azure Arc. ESU programu SQL Server Publiczne
*.blob.core.windows.net Pobierz pakiet rozszerzenia programu Sql Server ESU programu SQL Server Nie jest wymagane w przypadku korzystania z usługi Private Link

Następne kroki