Nätverkskrav för ansluten datoragent
I det här avsnittet beskrivs nätverkskrav för att använda connected machine-agenten för att registrera en fysisk server eller virtuell dator på Azure Arc-aktiverade servrar.
Details
I allmänhet omfattar anslutningskrav följande principer:
- Alla anslutningar är TCP om inget annat anges.
- Alla HTTP-anslutningar använder HTTPS- och SSL/TLS med officiellt signerade och verifierbara certifikat.
- Alla anslutningar är utgående om inget annat anges.
Om du vill använda en proxy kontrollerar du att agenterna och datorn som utför registreringsprocessen uppfyller nätverkskraven i den här artikeln.
Azure Arc-aktiverade serverslutpunkter krävs för alla serverbaserade Arc-erbjudanden.
Nätverkskonfiguration
Azure Connected Machine-agenten för Linux och Windows kommunicerar utgående på ett säkert sätt till Azure Arc via TCP-port 443. Som standard använder agenten standardvägen till Internet för att nå Azure-tjänster. Du kan också konfigurera agenten så att den använder en proxyserver om nätverket kräver det. Proxyservrar gör inte den anslutna datoragenten säkrare eftersom trafiken redan är krypterad.
För att ytterligare skydda nätverksanslutningen till Azure Arc, i stället för att använda offentliga nätverk och proxyservrar, kan du implementera ett Azure Arc Private Link-omfång .
Kommentar
Azure Arc-aktiverade servrar stöder inte användning av en Log Analytics-gateway som proxy för connected machine-agenten. Samtidigt har Azure Monitor-agenten stöd för Log Analytics-gateway.
Om utgående anslutning begränsas av brandväggen eller proxyservern kontrollerar du att URL:er och tjänsttaggar som anges nedan inte är blockerade.
Tjänsttaggar
Se till att tillåta åtkomst till följande tjänsttaggar:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Storage
- WindowsAdminCenter (om du använder Windows Admin Center för att hantera Arc-aktiverade servrar)
En lista över IP-adresser för varje tjänsttagg/region finns i JSON-filen Azure IP-intervall och tjänsttaggar – offentligt moln. Microsoft publicerar veckovisa uppdateringar som innehåller varje Azure-tjänst och de IP-intervall som används. Den här informationen i JSON-filen är den aktuella punkt-i-tid-listan över IP-intervall som motsvarar varje tjänsttagg. IP-adresserna kan komma att ändras. Om IP-adressintervall krävs för brandväggskonfigurationen ska AzureCloud Service-taggen användas för att tillåta åtkomst till alla Azure-tjänster. Inaktivera inte säkerhetsövervakning eller inspektion av dessa URL:er, tillåt dem på samma sätt som med annan Internettrafik.
Om du filtrerar trafik till tjänsttaggen AzureArcInfrastructure måste du tillåta trafik till hela tjänsttaggintervallet. De intervall som annonseras för enskilda regioner, till exempel AzureArcInfrastructure.AustraliaEast, inkluderar inte de IP-intervall som används av globala komponenter i tjänsten. Den specifika IP-adress som matchas för dessa slutpunkter kan ändras över tid inom de dokumenterade intervallen, så att bara använda ett uppslagsverktyg för att identifiera den aktuella IP-adressen för en viss slutpunkt och tillåta åtkomst till den räcker inte för att säkerställa tillförlitlig åtkomst.
Mer information finns i Tjänsttaggar för virtuellt nätverk.
URL:er
Tabellen nedan visar de URL:er som måste vara tillgängliga för att kunna installera och använda agenten Ansluten dator.
Kommentar
När du konfigurerar den Azure-anslutna datoragenten för att kommunicera med Azure via en privat länk måste vissa slutpunkter fortfarande nås via Internet. Kolumnen Privat länkkompatibel i följande tabell visar vilka slutpunkter som kan konfigureras med en privat slutpunkt. Om kolumnen visar Offentlig för en slutpunkt måste du fortfarande tillåta åtkomst till slutpunkten via organisationens brandvägg och/eller proxyserver för att agenten ska fungera. Nätverkstrafik dirigeras via en privat slutpunkt om ett privat länkomfång har tilldelats.
| Agentresurs | beskrivning | Vid behov | Privat länkkompatibel |
|---|---|---|---|
aka.ms |
Används för att lösa nedladdningsskriptet under installationen | Vid installationstillfället är det bara | Offentliga |
download.microsoft.com |
Används för att ladda ned Windows-installationspaketet | Vid installationstillfället är det bara | Offentliga |
packages.microsoft.com |
Används för att ladda ned Linux-installationspaketet | Vid installationstillfället är det bara | Offentliga |
login.microsoftonline.com |
Microsoft Entra ID | Alltid | Offentliga |
*login.microsoft.com |
Microsoft Entra ID | Alltid | Offentliga |
pas.windows.net |
Microsoft Entra ID | Alltid | Offentliga |
management.azure.com |
Azure Resource Manager – för att skapa eller ta bort Arc-serverresursen | När du ansluter eller kopplar från en server är det bara | Offentlig, såvida inte en privat länk för resurshantering också har konfigurerats |
*.his.arc.azure.com |
Metadata och hybrididentitetstjänster | Alltid | Privat |
*.guestconfiguration.azure.com |
Tilläggshantering och gästkonfigurationstjänster | Alltid | Privat |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Meddelandetjänst för tilläggs- och anslutningsscenarier | Alltid | Offentliga |
azgn*.servicebus.windows.net |
Meddelandetjänst för tilläggs- och anslutningsscenarier | Alltid | Offentliga |
*.servicebus.windows.net |
För Windows Admin Center och SSH-scenarier | Om du använder SSH eller Windows Admin Center från Azure | Offentliga |
*.waconazure.com |
För Anslutning till Windows Admin Center | Om du använder Windows Admin Center | Offentliga |
*.blob.core.windows.net |
Ladda ned källa för Azure Arc-aktiverade servertillägg | Alltid, förutom när du använder privata slutpunkter | Används inte när privat länk har konfigurerats |
dc.services.visualstudio.com |
Agenttelemetri | Valfritt, används inte i agentversion 1.24+ | Offentliga |
*.<region>.arcdataservices.com1 |
För Arc SQL Server. Skickar databehandlingstjänst, tjänsttelemetri och prestandaövervakning till Azure. Tillåter TLS 1.3. | Alltid | Offentliga |
www.microsoft.com/pkiops/certs |
Mellanliggande certifikatuppdateringar för ESUs (obs! använder HTTP/TCP 80 och HTTPS/TCP 443) | Om du använder ESU:er som är aktiverade av Azure Arc. Krävs alltid för automatiska uppdateringar, eller tillfälligt om du laddar ned certifikat manuellt. | Offentliga |
1 Mer information om vilken information som samlas in och skickas finns i Datainsamling och rapportering för SQL Server som aktiveras av Azure Arc.
För tilläggsversioner fram till och med den 13 februari 2024 använder du san-af-<region>-prod.azurewebsites.net. Från och med 12 mars 2024 används *.<region>.arcdataservices.combåde Azure Arc-databearbetning och Azure Arc-datatelemetri.
Kommentar
Om du vill översätta *.servicebus.windows.net jokertecknet till specifika slutpunkter använder du kommandot \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. I det här kommandot måste regionen anges för <region> platshållaren. Dessa slutpunkter kan ändras med jämna mellanrum.
Om du vill hämta regionsegmentet för en regional slutpunkt tar du bort alla blanksteg från Namnet på Azure-regionen. Till exempel regionen USA, östra 2 , är eastus2regionnamnet .
Till exempel: *.<region>.arcdataservices.com bör finnas *.eastus2.arcdataservices.com i regionen USA, östra 2.
Om du vill se en lista över alla regioner kör du det här kommandot:
az account list-locations -o table
Get-AzLocation | Format-Table
Transport Layer Security 1.2-protokoll
För att säkerställa säkerheten för data under överföring till Azure rekommenderar vi starkt att du konfigurerar datorn att använda TLS (Transport Layer Security) 1.2. Äldre versioner av TLS/Secure Sockets Layer (SSL) har visat sig vara sårbara och även om de fortfarande arbetar för att tillåta bakåtkompatibilitet rekommenderas de inte.
| Plattform/språk | Support | Mer information |
|---|---|---|
| Linux | Linux-distributioner tenderar att förlita sig på Stöd för OpenSSL för TLS 1.2. | Kontrollera OpenSSL-ändringsloggen för att bekräfta att din version av OpenSSL stöds. |
| Windows Server 2012 R2 och senare | Stöds och aktiveras som standard. | Bekräfta att du fortfarande använder standardinställningarna. |
Delmängd av slutpunkter endast för ESU
Om du endast använder Azure Arc-aktiverade servrar för utökade säkerhetsuppdateringar för någon av eller båda av följande produkter:
- Windows Server 2012
- SQL Server 2012
Du kan aktivera följande delmängd av slutpunkter:
| Agentresurs | beskrivning | Vid behov | Slutpunkt som används med privat länk |
|---|---|---|---|
aka.ms |
Används för att lösa nedladdningsskriptet under installationen | Vid installationstillfället är det bara | Offentliga |
download.microsoft.com |
Används för att ladda ned Windows-installationspaketet | Vid installationstillfället är det bara | Offentliga |
login.windows.net |
Microsoft Entra ID | Alltid | Offentliga |
login.microsoftonline.com |
Microsoft Entra ID | Alltid | Offentliga |
*login.microsoft.com |
Microsoft Entra ID | Alltid | Offentliga |
management.azure.com |
Azure Resource Manager – för att skapa eller ta bort Arc-serverresursen | När du ansluter eller kopplar från en server är det bara | Offentlig, såvida inte en privat länk för resurshantering också har konfigurerats |
*.his.arc.azure.com |
Metadata och hybrididentitetstjänster | Alltid | Privat |
*.guestconfiguration.azure.com |
Tilläggshantering och gästkonfigurationstjänster | Alltid | Privat |
www.microsoft.com/pkiops/certs |
Mellanliggande certifikatuppdateringar för ESUs (obs! använder HTTP/TCP 80 och HTTPS/TCP 443) | Alltid för automatiska uppdateringar, eller tillfälligt om du laddar ned certifikat manuellt. | Offentliga |
*.<region>.arcdataservices.com |
Azure Arc-databehandlingstjänst och tjänsttelemetri. | SQL Server-ESUs | Offentliga |
*.blob.core.windows.net |
Ladda ned Sql Server-tilläggspaket | SQL Server-ESUs | Krävs inte om du använder Private Link |
Nästa steg
- Granska ytterligare förutsättningar för att distribuera connected machine-agenten.
- Läs planerings- och distributionsguiden innan du distribuerar Azure Connected Machine-agenten och integrerar den med andra Azure-hanterings- och övervakningstjänster.
- Du kan lösa problem genom att läsa felsökningsguiden för agentanslutningsproblem.
- En fullständig lista över nätverkskrav för Azure Arc-funktioner och Azure Arc-aktiverade tjänster finns i Azure Arc-nätverkskrav (konsoliderade).