Connected Machine エージェントのネットワーク要件
このトピックでは、Connected Machine エージェントを使用して Azure Arc 対応サーバーに物理サーバーまたは仮想マシンをオンボードするためのネットワーク要件について説明します。
詳細
一般に、接続要件には次の原則が含まれます。
- 特に指定がない限り、すべての接続は TCP です。
- すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
- 特に指定がない限り、すべての接続はアウトバウンドです。
プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。
サーバー ベースのすべての Arc オファリングには、Azure Arc 対応サーバー エンドポイントが必要です。
ネットワークの構成
Linux および Windows 用の Azure Connected Machine エージェントは、TCP ポート 443 を介して Azure Arc へのアウトバウンド通信を安全に行います。 既定では、エージェントはインターネットへの既定のルートを使用して Azure サービスに接続します。 ネットワークで必要とされる場合に、プロキシ サーバーを使用するようにエージェントを構成することもできます。 トラフィックは既に暗号化されているため、プロキシ サーバーによって Connected Machine Agent のセキュリティが強化されることはありません。
Azure Arc へのネットワーク接続をさらにセキュリティで保護するために、パブリック ネットワークとプロキシ サーバーを使用する代わりに、Azure Arc プライベート リンク スコープを実装できます。
Note
Azure Arc 対応サーバーでは、Connected Machine エージェントのプロキシとして Log Analytics ゲートウェイを使用することはサポートされていません。 同時に、Azure Monitor エージェントは Log Analytics ゲートウェイをサポートします。
アウトバウンド接続がファイアウォールやプロキシ サーバーによって制限されている場合は、以下に示す URL とサービス タグがブロックされていないことを確認してください。
サービス タグ
次のサービス タグへのアクセスを許可してください。
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 記憶域
- WindowsAdminCenter (Windows Admin Center を使用して Arc 対応サーバーを管理する場合)
各サービス タグ/リージョンの IP アドレスの一覧については、「Azure IP 範囲とサービス タグ – パブリック クラウド」という JSON ファイルを参照してください。 Microsoft では、各 Azure サービスとそれが使用する IP 範囲を含む更新プログラムを毎週発行しています。 JSON ファイル内のこの情報は、各サービス タグに対応する現在の特定時点の IP 範囲の一覧です。 IP アドレスは変更される可能性があります。 ファイアウォール構成に IP アドレス範囲が必要な場合は、AzureCloud サービス タグを使用して、すべての Azure サービスへのアクセスを許可してください。 これらの URL のセキュリティ監視または検査を無効にせず、他のインターネット トラフィックと同様に許可してください。
AzureArcInfrastructure サービス タグへのトラフィックをフィルター処理する場合は、完全なサービス タグ範囲へのトラフィックを許可する必要があります。 AzureArcInfrastructure.AustraliaEast など、個々のリージョンに対して公開された範囲には、サービスのグローバル コンポーネントで使用される IP 範囲は含まれません。 これらのエンドポイントに対して解決される特定の IP アドレスは、文書化された範囲内で時間の経過とともに変化する可能性があるため、検索ツールを使用して特定のエンドポイントの現在の IP アドレスを識別して、そのアドレスへのアクセスを許可するだけでは、信頼性の高いアクセスを保証するのに十分ではありません。
詳細については、「仮想ネットワーク サービス タグ」を参照してください。
URL
次の表は、Connected Machine エージェントをインストールして使用するために、利用可能にする必要がある URL を示したものです。
Note
プライベート リンクを介して Azure と通信するように Azure 接続マシン エージェントを構成する場合、一部のエンドポイントにはインターネット経由で引き続きアクセスする必要があります。 次の表のプライベート リンク対応列には、プライベート エンドポイントを使用して構成できるエンドポイントが示されています。 この列にエンドポイントとしてパブリックが表示されている場合でも、エージェントが機能するためには、組織のファイアウォールやプロキシ サーバーを介してそのエンドポイントへのアクセスを許可する必要があります。 プライベート リンク スコープが割り当てられている場合、ネットワーク トラフィックはプライベート エンドポイント経由でルーティングされます。
エージェントのリソース | 説明 | 必要な場合 | プライベート リンク対応 |
---|---|---|---|
aka.ms |
インストール中にダウンロード スクリプトを解決するために使用されます | インストール時のみ | パブリック |
download.microsoft.com |
Windows のインストール パッケージをダウンロードするために使用されます | インストール時のみ | パブリック |
packages.microsoft.com |
Linux インストール パッケージをダウンロードするために使用されます | インストール時のみ | パブリック |
login.microsoftonline.com |
Microsoft Entra ID | Always (常に) | パブリック |
*login.microsoft.com |
Microsoft Entra ID | Always (常に) | パブリック |
pas.windows.net |
Microsoft Entra ID | Always (常に) | パブリック |
management.azure.com |
Azure Resource Manager - Arc サーバー リソースを作成または削除します | サーバーを接続または切断する場合のみ | リソース管理のプライベート リンクも構成されてない限り、パブリック |
*.his.arc.azure.com |
メタデータとハイブリッド ID サービス | Always (常に) | プライベート |
*.guestconfiguration.azure.com |
拡張機能管理とゲスト構成サービス | Always (常に) | プライベート |
guestnotificationservice.azure.com 、*.guestnotificationservice.azure.com |
拡張機能と接続のシナリオ用の通知サービス | Always (常に) | パブリック |
azgn*.servicebus.windows.net |
拡張機能と接続のシナリオ用の通知サービス | Always (常に) | パブリック |
*.servicebus.windows.net |
Windows Admin Center と SSH のシナリオの場合 | Azure から SSH または Windows Admin Center を使用する場合 | パブリック |
*.waconazure.com |
Windows Admin Center接続の場合 | Windows Admin Center を使用している場合 | パブリック |
*.blob.core.windows.net |
Azure Arc 対応サーバー拡張機能のダウンロード元 | プライベート エンドポイントを使用する場合を除き、常に | プライベート リンクが構成されている場合は使用されません |
dc.services.visualstudio.com |
エージェント テレメトリ | オプション。エージェント バージョン 1.24 以降では使用されません | パブリック |
*.<region>.arcdataservices.com 1 |
Arc SQL Server の場合。 データ処理サービス、サービス テレメトリ、およびパフォーマンスの監視を Azure に送信します。 TLS 1.3 を許可します。 | 常時 | 公開 |
www.microsoft.com/pkiops/certs |
ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します) | Azure Arc によって有効にされる ESU を使用している場合。自動更新には常に必要です。証明書を手動でダウンロードする場合は一時的に必要です。 | パブリック |
1 収集されて送信される情報について詳しくは、「Azure Arc によって有効化された SQL Server のデータ コレクションとレポート」をご覧ください。
2024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net
をお使いください。 2024 年 3 月 12 日以降、Azure Arc データ処理と Azure Arc データ テレメトリの両方で *.<region>.arcdataservices.com
を使用します。
Note
*.servicebus.windows.net
ワイルドカードを特定のエンドポイントに変換するには、コマンド \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
を使用します。 このコマンド内で、<region>
プレースホルダーにリージョンを指定する必要があります。 これらのエンドポイントは定期的に変更される可能性があります。
リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2
となります。
たとえば、*.<region>.arcdataservices.com
は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com
となります。
すべてのリージョンの一覧を表示するには、このコマンドを実行します。
az account list-locations -o table
Get-AzLocation | Format-Table
トランスポート層セキュリティ 1.2 プロトコル
Azure に転送中のデータのセキュリティを確保するには、トランスポート層セキュリティ (TLS) 1.2 を使用するようにマシンを構成することを強くお勧めします。 以前のバージョンの TLS/SSL (Secure Sockets Layer) は脆弱であることが確認されています。現在、これらは下位互換性を維持するために使用可能ですが、推奨されていません。
プラットフォーム/言語 | サポート | 詳細情報 |
---|---|---|
Linux | Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。 | OpenSSL の Changelog を参照して、使用している OpenSSL のバージョンがサポートされていることを確認してください。 |
Windows Server 2012 R2 以降 | サポートされていて、既定で有効。 | 既定の設定を使用していることを確認するには。 |
ESU のみ用のエンドポイントのサブセット
次の製品のいずれかまたは両方で拡張セキュリティ更新プログラムにのみ Azure Arc 対応サーバーを使用している場合:
- Windows Server 2012
- SQL Server 2012
エンドポイントの次のサブセットを有効にすることができます:
エージェントのリソース | 説明 | 必要な場合 | プライベート リンクで使用されるエンドポイント |
---|---|---|---|
aka.ms |
インストール中にダウンロード スクリプトを解決するために使用されます | インストール時のみ | パブリック |
download.microsoft.com |
Windows のインストール パッケージをダウンロードするために使用されます | インストール時のみ | パブリック |
login.windows.net |
Microsoft Entra ID | Always (常に) | パブリック |
login.microsoftonline.com |
Microsoft Entra ID | Always (常に) | パブリック |
*login.microsoft.com |
Microsoft Entra ID | Always (常に) | パブリック |
management.azure.com |
Azure Resource Manager - Arc サーバー リソースを作成または削除します | サーバーを接続または切断する場合のみ | リソース管理のプライベート リンクも構成されてない限り、パブリック |
*.his.arc.azure.com |
メタデータとハイブリッド ID サービス | Always (常に) | プライベート |
*.guestconfiguration.azure.com |
拡張機能管理とゲスト構成サービス | Always (常に) | プライベート |
www.microsoft.com/pkiops/certs |
ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します) | 自動更新の場合は常時、または証明書を手動でダウンロードする場合は一時的。 | 公開 |
*.<region>.arcdataservices.com |
Azure Arc データ処理サービスとサービス テレメトリ。 | SQL Server ESU | パブリック |
*.blob.core.windows.net |
SQL Server 拡張機能パッケージをダウンロードします | SQL Server ESU | Private Link を使っている場合は不要 |
次のステップ
- Connected Machine エージェントをデプロイするための追加の前提条件を確認する。
- Azure Connected Machine エージェントをデプロイし、他の Azure の管理および監視サービスと統合する前に、「計画とデプロイに関するガイド」を参照してください。
- 問題を解決するために、エージェント接続問題のトラブルシューティング ガイドを確認する。
- Azure Arc 機能と Azure Arc 対応サービスのネットワーク要件の完全な一覧については、「Azure Arc ネットワークの要件」(統合) を参照してください。