Nätverkskrav för ansluten datoragent

I det här avsnittet beskrivs nätverkskrav för att använda connected machine-agenten för att registrera en fysisk server eller virtuell dator på Azure Arc-aktiverade servrar.

Details

I allmänhet omfattar anslutningskrav följande principer:

  • Alla anslutningar är TCP om inget annat anges.
  • Alla HTTP-anslutningar använder HTTPS- och SSL/TLS med officiellt signerade och verifierbara certifikat.
  • Alla anslutningar är utgående om inget annat anges.

Om du vill använda en proxy kontrollerar du att agenterna och datorn som utför registreringsprocessen uppfyller nätverkskraven i den här artikeln.

Azure Arc-aktiverade serverslutpunkter krävs för alla serverbaserade Arc-erbjudanden.

Nätverkskonfiguration

Azure Connected Machine-agenten för Linux och Windows kommunicerar utgående på ett säkert sätt till Azure Arc via TCP-port 443. Som standard använder agenten standardvägen till Internet för att nå Azure-tjänster. Du kan också konfigurera agenten så att den använder en proxyserver om nätverket kräver det. Proxyservrar gör inte den anslutna datoragenten säkrare eftersom trafiken redan är krypterad.

För att ytterligare skydda nätverksanslutningen till Azure Arc, i stället för att använda offentliga nätverk och proxyservrar, kan du implementera ett Azure Arc Private Link-omfång .

Kommentar

Azure Arc-aktiverade servrar stöder inte användning av en Log Analytics-gateway som proxy för connected machine-agenten. Samtidigt har Azure Monitor-agenten stöd för Log Analytics-gateway.

Om utgående anslutning begränsas av brandväggen eller proxyservern kontrollerar du att URL:er och tjänsttaggar som anges nedan inte är blockerade.

Tjänsttaggar

Se till att tillåta åtkomst till följande tjänsttaggar:

En lista över IP-adresser för varje tjänsttagg/region finns i JSON-filen Azure IP-intervall och tjänsttaggar – offentligt moln. Microsoft publicerar veckovisa uppdateringar som innehåller varje Azure-tjänst och de IP-intervall som används. Den här informationen i JSON-filen är den aktuella punkt-i-tid-listan över IP-intervall som motsvarar varje tjänsttagg. IP-adresserna kan komma att ändras. Om IP-adressintervall krävs för brandväggskonfigurationen ska AzureCloud Service-taggen användas för att tillåta åtkomst till alla Azure-tjänster. Inaktivera inte säkerhetsövervakning eller inspektion av dessa URL:er, tillåt dem på samma sätt som med annan Internettrafik.

Om du filtrerar trafik till tjänsttaggen AzureArcInfrastructure måste du tillåta trafik till hela tjänsttaggintervallet. De intervall som annonseras för enskilda regioner, till exempel AzureArcInfrastructure.AustraliaEast, inkluderar inte de IP-intervall som används av globala komponenter i tjänsten. Den specifika IP-adress som matchas för dessa slutpunkter kan ändras över tid inom de dokumenterade intervallen, så att bara använda ett uppslagsverktyg för att identifiera den aktuella IP-adressen för en viss slutpunkt och tillåta åtkomst till den räcker inte för att säkerställa tillförlitlig åtkomst.

Mer information finns i Tjänsttaggar för virtuellt nätverk.

URL:er

Tabellen nedan visar de URL:er som måste vara tillgängliga för att kunna installera och använda agenten Ansluten dator.

Kommentar

När du konfigurerar den Azure-anslutna datoragenten för att kommunicera med Azure via en privat länk måste vissa slutpunkter fortfarande nås via Internet. Kolumnen Privat länkkompatibel i följande tabell visar vilka slutpunkter som kan konfigureras med en privat slutpunkt. Om kolumnen visar Offentlig för en slutpunkt måste du fortfarande tillåta åtkomst till slutpunkten via organisationens brandvägg och/eller proxyserver för att agenten ska fungera. Nätverkstrafik dirigeras via en privat slutpunkt om ett privat länkomfång har tilldelats.

Agentresurs beskrivning Vid behov Privat länkkompatibel
aka.ms Används för att lösa nedladdningsskriptet under installationen Vid installationstillfället är det bara Offentliga
download.microsoft.com Används för att ladda ned Windows-installationspaketet Vid installationstillfället är det bara Offentliga
packages.microsoft.com Används för att ladda ned Linux-installationspaketet Vid installationstillfället är det bara Offentliga
login.microsoftonline.com Microsoft Entra ID Alltid Offentliga
*login.microsoft.com Microsoft Entra ID Alltid Offentliga
pas.windows.net Microsoft Entra ID Alltid Offentliga
management.azure.com Azure Resource Manager – för att skapa eller ta bort Arc-serverresursen När du ansluter eller kopplar från en server är det bara Offentlig, såvida inte en privat länk för resurshantering också har konfigurerats
*.his.arc.azure.com Metadata och hybrididentitetstjänster Alltid Privat
*.guestconfiguration.azure.com Tilläggshantering och gästkonfigurationstjänster Alltid Privat
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Meddelandetjänst för tilläggs- och anslutningsscenarier Alltid Offentliga
azgn*.servicebus.windows.net Meddelandetjänst för tilläggs- och anslutningsscenarier Alltid Offentliga
*.servicebus.windows.net För Windows Admin Center och SSH-scenarier Om du använder SSH eller Windows Admin Center från Azure Offentliga
*.waconazure.com För Anslutning till Windows Admin Center Om du använder Windows Admin Center Offentliga
*.blob.core.windows.net Ladda ned källa för Azure Arc-aktiverade servertillägg Alltid, förutom när du använder privata slutpunkter Används inte när privat länk har konfigurerats
dc.services.visualstudio.com Agenttelemetri Valfritt, används inte i agentversion 1.24+ Offentliga
*.<region>.arcdataservices.com1 För Arc SQL Server. Skickar databehandlingstjänst, tjänsttelemetri och prestandaövervakning till Azure. Tillåter TLS 1.3. Alltid Offentliga
www.microsoft.com/pkiops/certs Mellanliggande certifikatuppdateringar för ESUs (obs! använder HTTP/TCP 80 och HTTPS/TCP 443) Om du använder ESU:er som är aktiverade av Azure Arc. Krävs alltid för automatiska uppdateringar, eller tillfälligt om du laddar ned certifikat manuellt. Offentliga

1 Mer information om vilken information som samlas in och skickas finns i Datainsamling och rapportering för SQL Server som aktiveras av Azure Arc.

För tilläggsversioner fram till och med den 13 februari 2024 använder du san-af-<region>-prod.azurewebsites.net. Från och med 12 mars 2024 används *.<region>.arcdataservices.combåde Azure Arc-databearbetning och Azure Arc-datatelemetri.

Kommentar

Om du vill översätta *.servicebus.windows.net jokertecknet till specifika slutpunkter använder du kommandot \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. I det här kommandot måste regionen anges för <region> platshållaren. Dessa slutpunkter kan ändras med jämna mellanrum.

Om du vill hämta regionsegmentet för en regional slutpunkt tar du bort alla blanksteg från Namnet på Azure-regionen. Till exempel regionen USA, östra 2 , är eastus2regionnamnet .

Till exempel: *.<region>.arcdataservices.com bör finnas *.eastus2.arcdataservices.com i regionen USA, östra 2.

Om du vill se en lista över alla regioner kör du det här kommandot:

az account list-locations -o table
Get-AzLocation | Format-Table

Transport Layer Security 1.2-protokoll

För att säkerställa säkerheten för data under överföring till Azure rekommenderar vi starkt att du konfigurerar datorn att använda TLS (Transport Layer Security) 1.2. Äldre versioner av TLS/Secure Sockets Layer (SSL) har visat sig vara sårbara och även om de fortfarande arbetar för att tillåta bakåtkompatibilitet rekommenderas de inte.

Plattform/språk Support Mer information
Linux Linux-distributioner tenderar att förlita sig på Stöd för OpenSSL för TLS 1.2. Kontrollera OpenSSL-ändringsloggen för att bekräfta att din version av OpenSSL stöds.
Windows Server 2012 R2 och senare Stöds och aktiveras som standard. Bekräfta att du fortfarande använder standardinställningarna.

Delmängd av slutpunkter endast för ESU

Om du endast använder Azure Arc-aktiverade servrar för utökade säkerhetsuppdateringar för någon av eller båda av följande produkter:

  • Windows Server 2012
  • SQL Server 2012

Du kan aktivera följande delmängd av slutpunkter:

Agentresurs beskrivning Vid behov Slutpunkt som används med privat länk
aka.ms Används för att lösa nedladdningsskriptet under installationen Vid installationstillfället är det bara Offentliga
download.microsoft.com Används för att ladda ned Windows-installationspaketet Vid installationstillfället är det bara Offentliga
login.windows.net Microsoft Entra ID Alltid Offentliga
login.microsoftonline.com Microsoft Entra ID Alltid Offentliga
*login.microsoft.com Microsoft Entra ID Alltid Offentliga
management.azure.com Azure Resource Manager – för att skapa eller ta bort Arc-serverresursen När du ansluter eller kopplar från en server är det bara Offentlig, såvida inte en privat länk för resurshantering också har konfigurerats
*.his.arc.azure.com Metadata och hybrididentitetstjänster Alltid Privat
*.guestconfiguration.azure.com Tilläggshantering och gästkonfigurationstjänster Alltid Privat
www.microsoft.com/pkiops/certs Mellanliggande certifikatuppdateringar för ESUs (obs! använder HTTP/TCP 80 och HTTPS/TCP 443) Alltid för automatiska uppdateringar, eller tillfälligt om du laddar ned certifikat manuellt. Offentliga
*.<region>.arcdataservices.com Azure Arc-databehandlingstjänst och tjänsttelemetri. SQL Server-ESUs Offentliga
*.blob.core.windows.net Ladda ned Sql Server-tilläggspaket SQL Server-ESUs Krävs inte om du använder Private Link

Nästa steg