Netzwerkanforderungen für den Connected Machine-Agent

In diesem Thema werden die Netzwerkanforderungen für die Verwendung des Connected Machine-Agents zum Integrieren eines physischen Servers oder virtuellen Computers in Server mit Azure Arc-Unterstützung beschrieben.

Details

Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:

  • Alle Verbindungen sind TCP, sofern nicht anders angegeben.
  • Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
  • Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.

Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.

Für alle serverbasierten Arc-Angebote sind Serverendpunkte mit Azure Arc-Unterstützung erforderlich.

Netzwerkkonfiguration

Der Azure Connected Machine-Agent für Linux und Windows kommuniziert ausgehend auf sichere Weise mit Azure Arc über TCP-Port 443. Standardmäßig verwendet der Agent die Standardroute zum Internet, um Azure-Dienste zu erreichen. Optional können Sie den Agent so konfigurieren, dass er einen Proxyserver verwendet, wenn Ihr Netzwerk dies erfordert. Proxyserver machen den Connected Machine-Agent nicht sicherer, da der Datenverkehr bereits verschlüsselt ist.

Um Ihre Netzwerkkonnektivität mit Azure Arc zu schützen, können Sie anstelle von öffentlichen Netzwerken und Proxyservern einen Azure Arc Private Link implementieren.

Hinweis

Azure Arc-fähige Server unterstützen nicht die Verwendung eines Log Analytics-Gateways als Proxy für den Connected Machine-Agent. Gleichzeitig unterstützt der Azure Monitor-Agent das Log Analytics-Gateway.

Sollte die ausgehende Konnektivität durch Ihre Firewall oder Ihren Proxyserver eingeschränkt sein, stellen Sie sicher, dass die unten aufgeführten URLs und Diensttags nicht blockiert werden.

Diensttags

Erlauben Sie unbedingt Zugriff auf die folgenden Diensttags:

Eine Liste der IP-Adressen für die einzelnen Diensttags/Regionen finden Sie in der JSON-Datei unter Azure-IP-Adressbereiche und -Diensttags – Öffentliche Cloud. Microsoft veröffentlicht wöchentliche Updates zu den einzelnen Azure-Diensten und den dafür genutzten IP-Adressbereichen. Bei diesen Informationen in der JSON-Datei handelt es sich um die zum jetzigen Zeitpunkt gültige Liste der IP-Adressbereiche, die den einzelnen Diensttags entsprechen. Die IP-Adressen können sich ändern. Falls IP-Adressbereiche für Ihre Firewallkonfiguration erforderlich sind, sollte das Diensttag AzureCloud verwendet werden, um den Zugriff auf alle Azure-Dienste zuzulassen. Deaktivieren Sie weder die Sicherheitsüberwachung noch die Überprüfung dieser URLs. Lassen Sie sie wie anderen Internetdatenverkehr zu.

Wenn Sie Den Datenverkehr auf das AzureArcInfrastructure-Diensttag filtern, müssen Sie den Datenverkehr für den gesamten Diensttagbereich zulassen. Die für einzelne Regionen angekündigten Bereiche, z. B. AzureArcInfrastructure.AustraliaEast, enthalten nicht die IP-Bereiche, die von globalen Komponenten des Diensts verwendet werden. Die für diese Endpunkte aufgelöste spezifische IP-Adresse kann sich im Laufe der Zeit innerhalb der dokumentierten Bereiche ändern. Verwenden Sie daher einfach ein Nachschlagetool, um die aktuelle IP-Adresse für einen bestimmten Endpunkt zu identifizieren und den Zugriff darauf zu ermöglichen, um einen zuverlässigen Zugriff zu gewährleisten.

Weitere Informationen finden Sie unter Diensttags für virtuelle Netzwerke.

URLs

In der folgenden Tabelle sind die URLs aufgeführt, die verfügbar sein müssen, um den Connected Machine-Agent zu installieren und zu verwenden.

Hinweis

Beim Konfigurieren des mit Azure verbundenen Computer-Agents für die Kommunikation mit Azure über Private Link müssen einige Endpunkte weiterhin über das Internet aufgerufen werden. Die Spalte Für privaten Link geeignet in der folgenden Tabelle zeigt, welche Endpunkte mit einem privaten Endpunkt konfiguriert werden können. Wenn in der Spalte Öffentlich für einen Endpunkt angezeigt wird, müssen Sie dennoch den Zugriff auf diesen Endpunkt über die Firewall und/oder den Proxyserver Ihrer Organisation zulassen, damit der Agent funktioniert. Der Netzwerkdatenverkehr wird über den privaten Endpunkt geleitet, wenn ein Bereich für private Links zugewiesen ist.

Agent-Ressource Beschreibung Wenn erforderlich Für privaten Link geeignet
aka.ms Wird verwendet, um das Downloadskript während der Installation aufzulösen. Nur zur Installationszeit Öffentlich
download.microsoft.com Wird zum Herunterladen des Windows-Installationspakets verwendet. Nur zur Installationszeit Öffentlich
packages.microsoft.com Wird zum Herunterladen des Linux-Installationspakets verwendet. Nur zur Installationszeit Öffentlich
login.microsoftonline.com Microsoft Entra ID Always Öffentlich
*login.microsoft.com Microsoft Entra ID Always Öffentlich
pas.windows.net Microsoft Entra ID Always Öffentlich
management.azure.com Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource Nur beim Verbinden oder Trennen eines Servers Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert.
*.his.arc.azure.com Metadaten- und Hybrididentitätsdienste Always Privat
*.guestconfiguration.azure.com Erweiterungs- und Gastkonfigurationsdienste Always Privat
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien Always Öffentlich
azgn*.servicebus.windows.net Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien Always Öffentlich
*.servicebus.windows.net Für Windows Admin Center- und SSH-Szenarien Wenn SSH oder Windows Admin Center aus Azure verwendet wird Öffentlich
*.waconazure.com Für Windows Admin Center-Konnektivität Bei Verwendung von Windows Admin Center Öffentlich
*.blob.core.windows.net Herunterladen der Quelle für die Erweiterungen für Azure Arc-fähige Server Immer, außer bei Verwendung privater Endpunkte Wird nicht verwendet, wenn ein private Verbindung konfiguriert ist.
dc.services.visualstudio.com Agent-Telemetrie Optional, nicht in Agent-Versionen 1.24 und höher verwendet Öffentlich
*.<region>.arcdataservices.com 1 Für Arc SQL Server. Sendet Datenverarbeitungsdienst, Diensttelemetrie und Leistungsüberwachung an Azure. TLS 1.3 zulässig Always Öffentlich
www.microsoft.com/pkiops/certs Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) Bei Verwendung der von Azure Arc aktivierten ESUs. Immer für automatische Updates oder vorübergehend erforderlich, wenn Zertifikate manuell heruntergeladen werden. Öffentlich

1 Einzelheiten dazu, welche Informationen gesammelt und gesendet werden, finden Sie unter Datensammlung und Berichterstellung für SQL Server über Azure Arc.

Für Erweiterungsversionen bis einschließlich 13. Februar 2024 verwenden Sie san-af-<region>-prod.azurewebsites.net. Ab dem 12. März 2024 verwenden sowohl die Azure Arc-Datenverarbeitung als auch die Azure Arc-Datentelemetrie *.<region>.arcdataservices.com.

Hinweis

Um den Platzhalter *.servicebus.windows.net in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. In diesem Befehl muss die Region für den Platzhalter <region> angegeben werden. Diese Endpunkte können sich regelmäßig ändern.

Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.

Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com*.eastus2.arcdataservices.com sein.

Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:

az account list-locations -o table
Get-AzLocation | Format-Table

Transport Layer Security 1.2-Protokoll (TLS)

Um die Sicherheit von Daten bei der Übertragung an Azure zu gewährleisten, wird dringend empfohlen, den Computer so zu konfigurieren, dass er TLS 1.2 (Transport Layer Security) verwendet. Bei älteren Versionen von TLS/Secure Sockets Layer (SSL) wurde ein Sicherheitsrisiko festgestellt. Sie funktionieren aus Gründen der Abwärtskompatibilität zwar noch, werden jedoch nicht empfohlen.

Plattform/Sprache Support Weitere Informationen
Linux Linux-Distributionen greifen zur Unterstützung von TLS 1.2 tendenziell auf OpenSSL zurück. Überprüfen Sie anhand des OpenSSL-Änderungsprotokolls, ob Ihre Version von OpenSSL unterstützt wird.
Windows Server 2012 R2 und höhere Versionen Unterstützt und standardmäßig aktiviert. Zur Bestätigung, dass Sie weiterhin die Standardeinstellungen verwenden.

Nur Teilmenge der Endpunkte für ESU

Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für eins oder beide der folgenden Produkte verwenden:

  • Windows Server 2012
  • SQL Server 2012

Sie können die folgende Teilmenge von Endpunkten aktivieren:

Agent-Ressource Beschreibung Wenn erforderlich Mit privatem Link verwendeter Endpunkt
aka.ms Wird verwendet, um das Downloadskript während der Installation aufzulösen. Nur zur Installationszeit Öffentlich
download.microsoft.com Wird zum Herunterladen des Windows-Installationspakets verwendet. Nur zur Installationszeit Öffentlich
login.windows.net Microsoft Entra ID Always Öffentlich
login.microsoftonline.com Microsoft Entra ID Always Öffentlich
*login.microsoft.com Microsoft Entra ID Always Öffentlich
management.azure.com Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource Nur beim Verbinden oder Trennen eines Servers Öffentlich, außer eine private Ressourcenmanagementverbindung ist ebenfalls konfiguriert.
*.his.arc.azure.com Metadaten- und Hybrididentitätsdienste Always Privat
*.guestconfiguration.azure.com Erweiterungs- und Gastkonfigurationsdienste Always Privat
www.microsoft.com/pkiops/certs Zwischenzertifikatupdates für ESUs (Hinweis: verwendet HTTP/TCP 80 und HTTPS/TCP 443) Immer für automatische Updates oder vorübergehend, wenn Zertifikate manuell heruntergeladen werden. Öffentlich
*.<region>.arcdataservices.com Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie. SQL Server-ESUs Öffentlich
*.blob.core.windows.net Sql Server-Erweiterungspaket herunterladen SQL Server-ESUs Bei Verwendung einer privaten Verbindung nicht erforderlich

Nächste Schritte