Requisitos de rede do agente de máquina conectado
Este tópico descreve os requisitos de rede para usar o agente do Connected Machine para integração de um servidor físico ou máquina virtual Azure Arc servidores habilitados.
Detalhes
Geralmente os requisitos de conectividade incluem esses princípios.
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e o computador que executam o processo de integração atendem aos requisitos de rede neste artigo.
Os pontos de extremidade de servidor habilitados para Azure Arc são necessários para todas as ofertas do Arc baseadas em servidor.
Configuração de rede
O agente do Azure Connected Machine para Linux e Windows comunica a saída com segurança ao Azure Arc pela porta TCP 443. Por padrão, o agente usa a rota padrão para a Internet para acessar os serviços do Azure. Opcionalmente, você pode Configurar o agente para usar um servidor proxy se sua rede exigir. Os servidores proxy não tornam o Connected Machine Agent mais seguro porque o tráfego já está criptografado.
Para proteger ainda mais a conectividade da rede com o Azure Arc, em vez de usar redes públicas e servidores proxy, você pode implementar um escopo de link privado do Azure Arc.
Observação
Os servidores habilitados para o Azure Arc não permitem o uso de um Gateway do Log Analytics como proxy para o Connected Machine Agent. Ao mesmo tempo, o Agente do Azure Monitor dá suporte ao gateway do Log Analytics.
Se a conectividade de saída estiver restrita por seu firewall ou servidor proxy, verifique se as URLs e as marcas de serviço listadas abaixo não estão bloqueadas.
Marcas de serviço
Além disso, permita o acesso às seguintes marcas de serviço:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Armazenamento
- WindowsAdminCenter (caso esteja usando o Windows Admin Center para gerenciar servidores habilitados para Arc)
Para obter uma lista de endereços IP para cada marca de serviço/região, confira o arquivo JSON Intervalos de IP do Azure e marcas de serviço – Nuvem pública. A Microsoft publica atualizações semanais que contêm cada serviço do Azure e os intervalos de IP que ele usa. Essas informações no arquivo JSON são a lista atual dos intervalos de IP que correspondem a cada marca de serviço. Os endereços IP estão sujeitos a alterações. Se os intervalos de endereço IP forem necessários para sua configuração de firewall, a Marca de Serviço AzureCloud deverá ser usada para permitir o acesso a todos os serviços do Azure. Não desabilite o monitoramento de segurança ou a inspeção dessas URLs. Permita-os como você faria com outro tráfego de Internet.
Se você filtrar o tráfego para a marca de serviço AzureArcInfrastructure, deverá permitir o tráfego para o intervalo completo de marcas de serviço. Os intervalos anunciados para regiões individuais, por exemplo, AzureArcInfrastructure.AustraliaEast, não incluem os intervalos de IP usados pelos componentes globais do serviço. O endereço IP específico resolvido para esses pontos de extremidade pode mudar ao longo do tempo dentro dos intervalos documentados, portanto, apenas usar uma ferramenta de pesquisa para identificar o endereço IP atual para um determinado ponto de extremidade e permitir o acesso a ele não será suficiente para garantir o acesso confiável.
Para obter mais informações, confira Marcas de serviço de rede virtual.
URLs
A tabela a seguir lista as URLs que devem estar disponíveis para instalar e usar o agente do Connected Machine.
Observação
Ao configurar o agente de computador conectado ao Azure para se comunicar com o Azure por meio de um link privado, alguns pontos de extremidade ainda precisam ser acessados pela Internet. A coluna Compatibilidade com link privado na tabela a seguir mostra quais pontos de extremidade podem ser configurados com um ponto de extremidade privado. Se a coluna mostrar Público para um ponto de extremidade, você ainda deverá permitir o acesso a esse ponto de extremidade por meio do firewall da sua organização e/ou servidor proxy para que o agente funcione. O tráfego será roteado por meio do ponto de extremidade privado se um escopo de link privado for atribuído.
| recurso de agente | Descrição | Quando necessário | Compatibilidade com link privado |
|---|---|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação | Somente no momento da instalação | Setor Público |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows | Somente no momento da instalação | Setor Público |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux | Somente no momento da instalação | Setor Público |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Setor Público |
*login.microsoft.com |
Microsoft Entra ID | Sempre | Setor Público |
pas.windows.net |
Microsoft Entra ID | Sempre | Setor Público |
management.azure.com |
Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc | Somente na conexão ou na desconexão de um servidor | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado |
*.his.arc.azure.com |
Serviços de identidade híbrida e metadados | Sempre | Privado |
*.guestconfiguration.azure.com |
Serviços de configuração de convidado e gerenciamento de extensão | Sempre | Privado |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade | Sempre | Setor Público |
azgn*.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade | Sempre | Setor Público |
*.servicebus.windows.net |
Para casos do Windows Admin Center e do SSH | Caso esteja usando o SSH ou o Windows Admin Center do Azure | Setor Público |
*.waconazure.com |
Para conectividade com o Windows Admin Center | Se estiver usar o Windows Admin Center | Setor Público |
*.blob.core.windows.net |
Baixar a fonte para extensões de servidores habilitados para o Azure Arc | Sempre, exceto quando são usados pontos de extremidade privados | Não usado quando o link privado está configurado |
dc.services.visualstudio.com |
Telemetria do agente | Opcional, não usado nas versões do agente 1.24+ | Setor Público |
*.<region>.arcdataservices.com 1 |
Para o Arc SQL Server. Envia o serviço de processamento de dados, a telemetria de serviço e o monitoramento de desempenho para o Azure. Permite o TLS 1.3. | Sempre | Setor Público |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediário para ESUs (observação: usa o HTTP/TCP 80 e o HTTPS/TCP 443) | Se você estiver usando ESUs habilitadas pelo Azure Arc. Obrigatório sempre para atualizações automáticas ou temporariamente, se você estiver baixando os certificados manualmente. | Setor Público |
1 Para obter detalhes sobre quais informações são coletadas e enviadas, examine a Coleta de dados e os relatórios do SQL Server habilitados pelo Azure Arc.
Para versões de extensão até 13 de fevereiro de 2024 (inclusive), use san-af-<region>-prod.azurewebsites.net. A partir de 12 de março de 2024 o processamento de dados do Azure Arc e a telemetria de dados do Azure Arc usam *.<region>.arcdataservices.com.
Observação
Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dentro desse comando, a região precisa ser especificada para o espaço reservado <region>. Esses pontos de extremidade podem ser alterados periodicamente.
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2, o nome da região é eastus2.
Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolo TLS 1.2
Para garantir a segurança de dados em trânsito para o Azure, incentivamos você a configurar o computador para usar o protocolo TLS 1.2. Constatou-se que versões mais antigas do protocolo TLS/protocolo SSL eram vulneráveis e embora elas ainda funcionem no momento para permitir a compatibilidade com versões anteriores, elas não são recomendadas.
| Plataforma/linguagem | Suporte | Mais informações |
|---|---|---|
| Linux | Distribuições do Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique as OpenSSL Changelog para confirmar a sua versão do OpenSSL é suportada. |
| Windows Server 2012 R2 e versões posteriores | Suporte e habilitado por padrão. | Para confirmar que você ainda está usando o as configurações padrão. |
Subconjunto de pontos de extremidade somente para ESU
Se você estiver usando servidores habilitados para Azure Arc apenas para as Atualizações de Segurança Estendidas para um ou ambos os seguintes produtos:
- Windows Server 2012
- SQL Server 2012
Você poderá habilitar o seguinte subconjunto de pontos de extremidade:
| recurso de agente | Descrição | Quando necessário | Ponto de extremidade usado com o link privado |
|---|---|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação | Somente no momento da instalação | Setor Público |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows | Somente no momento da instalação | Setor Público |
login.windows.net |
Microsoft Entra ID | Sempre | Setor Público |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Setor Público |
*login.microsoft.com |
Microsoft Entra ID | Sempre | Setor Público |
management.azure.com |
Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc | Somente na conexão ou na desconexão de um servidor | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado |
*.his.arc.azure.com |
Serviços de identidade híbrida e metadados | Sempre | Privado |
*.guestconfiguration.azure.com |
Serviços de configuração de convidado e gerenciamento de extensão | Sempre | Privados |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediário para ESUs (observação: usa o HTTP/TCP 80 e o HTTPS/TCP 443) | Sempre para atualizações automáticas ou temporariamente, se você estiver baixando os certificados manualmente. | Setor Público |
*.<region>.arcdataservices.com |
Serviço de processamento de dados do Azure Arc e telemetria de serviço. | ESUs do SQL Server | Setor Público |
*.blob.core.windows.net |
Baixar o pacote de extensão do SQL Server | ESUs do SQL Server | Não é necessário se o Link Privado está sendo usado |
Próximas etapas
- Revise os pré-requisitos adicionais para implantar o agente do Connected Machine.
- Antes de implantar o agente do Azure Connected Machine e realizar a integração com outros serviços de gerenciamento e monitoramento do Azure, leia o Guia de planejamento e implantação.
- Para resolver problemas, revise o guia de solução de problemas de conexão do agente.
- Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc (Consolidado).