Требования к сети агента Connected Machine
В этом разделе описываются требования к сети для использования агента подключенного компьютера для подключения физического сервера или виртуальной машины к серверам с поддержкой Azure Arc.
Совет
Для общедоступного облака Azure можно уменьшить количество необходимых конечных точек с помощью шлюза Azure Arc (предварительная версия).
Сведения
Как правило, требования к подключению включают следующие принципы:
- Все подключения являются TCP, если иное не указано.
- Все HTTP-подключения используют ПРОТОКОЛ HTTPS и SSL/TLS с официально подписанными и проверяемыми сертификатами.
- Все подключения исходящие, если иное не указано.
Чтобы использовать прокси-сервер, убедитесь, что агенты и компьютер, выполняющие процесс подключения, соответствуют требованиям к сети в этой статье.
Конечные точки сервера с поддержкой Azure Arc необходимы для всех предложений Arc на основе сервера.
Конфигурации сети
Агент подключенного компьютера Azure для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. По умолчанию агент использует маршрут по умолчанию к Интернету для доступа к службам Azure. При необходимости агент можно настроить для использования прокси-сервера , если сеть требует его. Прокси-серверы не делают агент Connected Machine более безопасным, поскольку трафик уже зашифрован.
Для дальнейшего обеспечения безопасности сетевого подключения к Azure Arc вместо использования общедоступных сетей и прокси-серверов можно реализовать область Приватный канал Azure Arc.
Примечание.
Серверы с поддержкой Azure Arc не поддерживают использование шлюза Log Analytics в качестве прокси-сервера для агента подключенного компьютера. В то же время агент Azure Monitor поддерживает шлюз Log Analytics.
Если исходящее подключение ограничено брандмауэром или прокси-сервером, убедитесь, что URL-адреса и теги служб, перечисленные ниже, не блокируются.
Теги служб
Обязательно разрешите доступ к следующим тегам службы:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Хранилище
- WindowsAdminCenter (при использовании Windows Admin Center для управления серверами с поддержкой Arc)
Список IP-адресов для каждого тега службы или региона см. в файле JSON для диапазонов IP-адресов Azure и тегов служб — общедоступного облака. Корпорация Майкрософт публикует еженедельные обновления, содержащие каждую службу Azure и диапазоны IP-адресов, которые она использует. Эта информация в JSON-файле является актуальным списком точек во времени для диапазонов IP-адресов, соответствующих каждому тегу службы. IP-адреса могут изменяться. Если для настройки брандмауэра требуются диапазоны IP-адресов, то для предоставления доступа ко всем службам Azure следует использовать тег службы AzureCloud. Не отключайте мониторинг безопасности или проверку URL-адресов, но предоставьте такие же разрешения, как для интернет-трафика.
Если вы фильтруете трафик к тегу службы AzureArcInfrastructure, необходимо разрешить трафик в полный диапазон тегов службы. Диапазоны, объявленные для отдельных регионов, например AzureArcInfrastructure.AustraliaEast, не включают диапазоны IP-адресов, используемые глобальными компонентами службы. Определенный IP-адрес, разрешенный для этих конечных точек, может измениться со временем в документированных диапазонах, поэтому просто с помощью средства поиска для идентификации текущего IP-адреса для данной конечной точки и разрешения доступа к ней недостаточно для обеспечения надежного доступа.
Дополнительные сведения см. в разделе тегов службы виртуальной сети.
URL-адреса
В таблице ниже перечислены URL-адреса, которые должны быть доступны для установки и использования агента подключенного компьютера.
Примечание.
При настройке агента подключенной машины Azure для обмена данными с Azure через приватный канал некоторые конечные точки по-прежнему должны быть доступны через Интернет. Столбец с поддержкой приватного канала в следующей таблице показывает, какие конечные точки можно настроить с помощью частной конечной точки. Если в столбце отображается общедоступная конечная точка, необходимо по-прежнему разрешить доступ к этой конечной точке через брандмауэр вашей организации и (или) прокси-сервер для работы агента. Сетевой трафик направляется через частную конечную точку, если назначена область приватного канала.
| Ресурс агента | Description | При необходимости | Возможность приватного канала |
|---|---|---|---|
aka.ms |
Используется для разрешения скрипта загрузки во время установки | Только во время установки | Общедоступный |
download.microsoft.com |
Используется для скачивания пакета установки Windows | Только во время установки | Общедоступный |
packages.microsoft.com |
Используется для скачивания пакета установки Linux | Только во время установки | Общедоступный |
login.microsoftonline.com |
Microsoft Entra ID | Всегда | Общедоступный |
*login.microsoft.com |
Microsoft Entra ID | Всегда | Общедоступный |
pas.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
management.azure.com |
Azure Resource Manager — создание или удаление ресурса сервера Arc | При подключении или отключении сервера только | Общедоступная, если не настроена приватная ссылка на управление ресурсами |
*.his.arc.azure.com |
Метаданные и службы гибридных удостоверений | Всегда | Private |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации | Всегда | Private |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Служба уведомлений для сценариев расширения и подключения | Всегда | Общедоступный |
azgn*.servicebus.windows.net |
Служба уведомлений для сценариев расширения и подключения | Всегда | Общедоступный |
*.servicebus.windows.net |
Сценарии Windows Admin Center и SSH | При использовании SSH или Центра администрирования Windows из Azure | Общедоступный |
*.waconazure.com |
Подключение к Центру администрирования Windows | При использовании Windows Admin Center | Общедоступный |
*.blob.core.windows.net |
Скачивание источника для расширений серверов с поддержкой Azure Arc | Всегда, за исключением использования частных конечных точек | Не используется при настройке приватного канала |
dc.services.visualstudio.com |
Данные телеметрии агента | Необязательный, не используемый в агентах версии 1.24+ | Общедоступный |
*.<region>.arcdataservices.com 1 |
Для Arc SQL Server. Отправляет службу обработки данных, телеметрию служб и мониторинг производительности в Azure. Разрешает ПРОТОКОЛ TLS 1.3. | Всегда | Общедоступный |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) | Если используется ESUs, включенный Azure Arc. Требуется всегда для автоматических обновлений или временно при скачивании сертификатов вручную. | Общедоступный |
1 Дополнительные сведения о сборе и отправке данных см. в статье "Сбор данных и отчеты для SQL Server" с поддержкой Azure Arc.
Для версий расширений до 13 февраля 2024 г. используйте .san-af-<region>-prod.azurewebsites.net Начиная с 12 марта 2024 г. обработка данных Azure Arc и использование *.<region>.arcdataservices.comтелеметрии данных Azure Arc.
Примечание.
Чтобы перевести *.servicebus.windows.net подстановочный знак в определенные конечные точки, используйте команду \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. В рамках этой команды регион должен быть указан для <region> заполнителя. Эти конечные точки могут периодически изменяться.
Чтобы получить сегмент региона региональной конечной точки, удалите все пробелы из имени региона Azure. Например, регион "Восточная часть США 2 " — eastus2имя региона.
Например, *.<region>.arcdataservices.com должно находиться *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".
Чтобы просмотреть список всех регионов, выполните следующую команду:
az account list-locations -o table
Get-AzLocation | Format-Table
Протокол TLS 1.2
Чтобы обеспечить безопасность данных, передаваемых в Azure, настоятельно рекомендуем настроить для компьютера использование протокола TLS версии 1.2. Более старые версии протоколов TLS/SSL оказались уязвимы. Хотя они все еще используются для обеспечения обратной совместимости, применять их не рекомендуется.
| Платформа или язык | Поддержка | Дополнительные сведения |
|---|---|---|
| Linux | Как правило, дистрибутивы Linux для поддержки протокола TLS 1.2 используют OpenSSL. | Убедитесь, что ваша версия OpenSSL поддерживается, проверив журнал изменений OpenSSL. |
| Windows Server 2012 R2 и более поздних версий; | Поддерживается и включена по умолчанию. | Убедитесь, что вы все еще используете параметры по умолчанию. |
Подмножество конечных точек только для ESU
Если вы используете серверы с поддержкой Azure Arc только для расширенных обновлений безопасности для любого из следующих продуктов:
- Windows Server 2012
- SQL Server 2012
Вы можете включить следующее подмножество конечных точек:
| Ресурс агента | Description | При необходимости | Конечная точка, используемая с приватным каналом |
|---|---|---|---|
aka.ms |
Используется для разрешения скрипта загрузки во время установки | Только во время установки | Общедоступный |
download.microsoft.com |
Используется для скачивания пакета установки Windows | Только во время установки | Общедоступный |
login.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
login.microsoftonline.com |
Microsoft Entra ID | Всегда | Общедоступный |
*login.microsoft.com |
Microsoft Entra ID | Всегда | Общедоступный |
management.azure.com |
Azure Resource Manager — создание или удаление ресурса сервера Arc | При подключении или отключении сервера только | Общедоступная, если не настроена приватная ссылка на управление ресурсами |
*.his.arc.azure.com |
Метаданные и службы гибридных удостоверений | Всегда | Private |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации | Всегда | Private |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для ESUs (примечание. Использует http/TCP 80 и HTTPS/TCP 443) | Всегда для автоматических обновлений или временно при скачивании сертификатов вручную. | Общедоступный |
*.<region>.arcdataservices.com |
Служба обработки данных Azure Arc и данные телеметрии служб. | SQL Server ESUs | Общедоступный |
*.blob.core.windows.net |
Скачивание пакета расширения SQL Server | SQL Server ESUs | Не требуется, если используется Приватный канал |
Следующие шаги
- Ознакомьтесь с дополнительными предварительными условиями для развертывания агента подключенного компьютера.
- Перед развертыванием агента подключенного компьютера Azure и интеграции с другими службами управления и мониторинга Azure ознакомьтесь с руководством по планированию и развертыванию.
- Чтобы устранить проблемы, ознакомьтесь с руководством по устранению неполадок с подключением агента.
- Полный список требований к сети для функций Azure Arc и служб с поддержкой Azure Arc см. в статье о требованиях к сети Azure Arc (Консолидировано).