Поделиться через

Безопасность сети

  • Статья

В этой статье описываются требования к сети и параметры серверов с поддержкой Azure Arc.

Общие сети

Серверы с поддержкой Azure Arc — это программное обеспечение как услуга с сочетанием глобальных и региональных конечных точек, совместно используемых всеми клиентами. Все сетевые подключения от агента подключенного компьютера Azure исходящие в Azure. Azure никогда не будет обращаться к сети для управления компьютерами. Эти подключения всегда шифруются с помощью сертификатов TLS. Список конечных точек и IP-адресов, к которым обращается агент, задокументирован в требованиях к сети.

Для установленных расширений могут потребоваться дополнительные конечные точки, не включенные в требования к сети Azure Arc. Дополнительные сведения о требованиях к сети для этого решения см. в документации по расширению.

Если ваша организация использует проверку TLS, агент подключенного компьютера Azure не использует закрепление сертификатов и продолжит работать, пока компьютер доверяет сертификату, представленному службой проверки TLS. Некоторые расширения Azure Arc используют закрепление сертификатов и должны быть исключены из проверки TLS. Ознакомьтесь с документацией по любым расширениям, которые вы развертываете, чтобы определить, поддерживают ли они проверку TLS.

Частные конечные точки

Частные конечные точки — это необязательная сетевая технология Azure, которая позволяет отправлять сетевой трафик через Express Route или VPN типа "сеть — сеть" и более детально управлять тем, какие компьютеры могут использовать Azure Arc. С помощью частных конечных точек можно использовать частные IP-адреса в сетевом адресном пространстве организации для доступа к облачным службам Azure Arc. Кроме того, только серверы, которые вы авторизуете, могут отправлять данные через эти конечные точки, что защищает от несанкционированного использования агента подключенного компьютера Azure в сети.

Важно отметить, что не все конечные точки и не все сценарии поддерживаются частными конечными точками. Вам по-прежнему потребуется сделать исключения брандмауэра для некоторых конечных точек, таких как Идентификатор Microsoft Entra, который не предлагает решение частной конечной точки. Для любых установленных расширений могут потребоваться другие частные конечные точки (если они поддерживаются) или доступ к общедоступным конечным точкам для своих служб. Кроме того, вы не можете использовать SSH или Windows Admin Center для доступа к серверу через частную конечную точку.

Независимо от того, используется ли частная или общедоступная конечная точка, данные, передаваемые между агентом подключенного компьютера Azure и Azure, всегда шифруются. Вы всегда можете начать с общедоступных конечных точек, а затем перейти на частные конечные точки (или наоборот) по мере изменения бизнес-потребностей.