Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit la configuration réseau requise pour utiliser l’agent Azure Connected Machine pour intégrer un serveur physique ou une machine virtuelle à des serveurs avec Azure Arc.
Conseil
Pour la plateforme de cloud public Azure, vous pouvez réduire le nombre de points de terminaison requis à l’aide de la passerelle Azure Arc.
Détails
En règle générale, les exigences de connectivité incluent les principes suivants :
- Toutes les connexions sont TCP, sauf indication contraire.
- Toutes les connexions HTTP utilisent HTTPS et SSL/TLS avec des certificats officiellement signés et vérifiables.
- Toutes les connexions sont sortantes, sauf indication contraire.
Pour utiliser un proxy, vérifiez que les agents et l’ordinateur effectuant le processus d’intégration répondent aux exigences réseau requises dans cet article.
Les points de terminaison de serveur avec Azure Arc sont requis pour toutes les offres Azure Arc basées sur le serveur.
Configuration de la mise en réseau
L’agent Azure Connected Machine pour Linux et Windows communique de manière sécurisée vers Azure Arc sur le port TCP 443. Par défaut, l’agent utilise l’itinéraire par défaut vers Internet pour atteindre les services Azure. Vous pouvez éventuellement configurer l’agent pour qu’il utilise un serveur proxy si votre réseau en a besoin. Les serveurs proxy ne sécurisent pas davantage l’agent Connected Machine, car le trafic est déjà chiffré.
Pour sécuriser davantage votre connectivité réseau à Azure Arc, au lieu d’utiliser des réseaux publics et des serveurs proxy, vous pouvez implémenter une étendue de liaison privée Azure Arc.
Remarque
Les serveurs avec Azure Arc ne prennent pas en charge l’utilisation d’une passerelle Log Analytics en tant que proxy pour l’agent Connected Machine. En même temps, l’agent Azure Monitor prend en charge les passerelles Log Analytics.
Si votre pare-feu ou votre serveur proxy restreint la connectivité sortante, assurez-vous que les URL et les balises de service répertoriées ici ne sont pas bloquées.
Balises de service
Veillez à autoriser l’accès aux étiquettes de service suivantes :
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(si vous utilisez Windows Admin Center pour gérer les serveurs avec Azure Arc)
Pour obtenir la liste des adresses IP pour chaque balise/région de service, consultez le fichier JSON Azure IP Ranges and Service Tags - Public Cloud. Microsoft publie des mises à jour hebdomadaires qui contiennent chaque service Azure et les plages d’adresses IP qu’il utilise. Les informations dans le fichier JSON constituent la liste actuelle des plages d’adresses IP qui correspondent à chaque balise de service. Les adresses IP sont sujettes à modification. Si des plages d’adresses IP sont requises pour votre configuration de pare-feu, utilisez la balise de service pour autoriser l’accès AzureCloud à tous les services Azure. Ne désactivez pas la supervision ou l’inspection de sécurité de ces URL. Autorisez-les comme vous le feriez pour d’autres trafics Internet.
Si vous filtrez le trafic vers la balise de service AzureArcInfrastructure, vous devez autoriser le trafic vers la plage complète de balises de service. Les plages publiées pour des régions individuelles, par exemple, AzureArcInfrastructure.AustraliaEastn’incluent pas les plages d’adresses IP utilisées par les composants globaux du service. L’adresse IP spécifique résolue pour ces points de terminaison peut changer au fil du temps dans les plages documentées. Pour cette raison, l’utilisation d’un outil de recherche pour identifier l’adresse IP actuelle d’un point de terminaison spécifique et autoriser l’accès à cette adresse IP n’est pas suffisant pour garantir un accès fiable.
Pour plus d’informations, consultez Étiquettes de service du réseau virtuel.
Important
Pour filtrer le trafic par adresses IP dans Azure Government ou Azure géré par 21Vianet, veillez à ajouter les adresses IP à partir de la AzureArcInfrastructure balise de service pour le cloud public Azure, en plus d’utiliser la AzureArcInfrastructure balise de service pour votre cloud cloud. Après le 28 octobre 2025, l’ajout de la balise de service pour le AzureArcInfrastructure cloud public Azure sera nécessaire, et les balises de service pour Azure Government et Azure exploitées par 21Vianet ne seront plus prises en charge.
URLs
Ce tableau répertorie les URL qui doivent être disponibles pour installer et utiliser l’agent Connected Machine.
Remarque
Lorsque vous configurez l’agent Connected Machine pour communiquer avec Azure via une liaison privée, certains points de terminaison doivent toujours être accessibles via Internet. La colonne Capacité de liaison privée dans le tableau suivant indique les points de terminaison que vous pouvez configurer avec un point de terminaison privé. Si la colonne affiche public pour un point de terminaison, vous devez toujours autoriser l’accès à ce point de terminaison via le pare-feu et/ou le serveur proxy de votre organisation pour que l’agent fonctionne. Le trafic réseau est routé via des points de terminaison privés si une étendue de liaison privée est affectée.
| Ressource de l’agent | Descriptif | Requise quand ? | Liaison privée compatible |
|---|---|---|---|
download.microsoft.com |
Utilisé pour télécharger le package d’installation De Windows. | Uniquement au moment de l’installation. 1 | Public. |
packages.microsoft.com |
Utilisé pour télécharger le package d’installation Linux. | Uniquement au moment de l’installation. 1 | Public. |
login.microsoftonline.com |
Microsoft Entra ID | Toujours. | Public. |
*.login.microsoft.com |
Microsoft Entra ID | Toujours. | Public. |
pas.windows.net |
Microsoft Entra ID | Toujours. | Public. |
management.azure.com |
Azure Resource Manager est utilisé pour créer ou supprimer la ressource de serveur Azure Arc. | Uniquement lorsque vous connectez ou déconnectez un serveur. | Public, sauf si une liaison privée de gestion des ressources est également configurée. |
*.his.arc.azure.com |
Métadonnées et services d’identité hybride. | Toujours. | Privé. |
*.guestconfiguration.azure.com |
Services de gestion d'extensions et de configuration des invités. | Toujours. | Privé. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Service de notification pour les scénarios d’extension et de connectivité. | Toujours. | Public. |
azgn*.servicebus.windows.net ou *.servicebus.windows.net |
Service de notification pour les scénarios d’extension et de connectivité. | Toujours. | Public. |
*.servicebus.windows.net |
Pour les scénarios Windows Admin Center et Secure Shell (SSH). | Si vous utilisez SSH ou Windows Admin Center à partir d’Azure. | Public. |
*.waconazure.com |
Pour la connectivité de Windows Admin Center. | Si vous utilisez Windows Admin Center. | Public. |
*.blob.core.windows.net |
Téléchargez la source pour les extensions de serveur avec Azure Arc. | Toujours, sauf lorsque vous utilisez des points de terminaison privés. | Non utilisé lorsqu’une liaison privée est configurée. |
dc.services.visualstudio.com |
Télémétrie de l’agent. | Optional. Non utilisé dans les versions de l’agent 1.24+. | Public. |
*.<region>.arcdataservices.com
2 |
Pour SQL Server avec Azure Arc. Envoie le service de traitement des données, la télémétrie de service et la surveillance des performances à Azure. Autorise le protocole TLS (Transport Layer Security) 1.2 ou 1.3 uniquement. | Si vous utilisez SQL Server avec Azure Arc. | Public. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Pour l'authentification Microsoft Entra avec SQL Server activé par Azure Arc. | Si vous utilisez SQL Server avec Azure Arc. | Public. |
www.microsoft.com/pkiops/certs |
Mises à jour de certificat intermédiaires pour les mises à jour de sécurité étendues (utilise HTTP/TCP 80 et HTTPS/TCP 443). | Si vous utilisez les mises à jour de sécurité étendues activées par Azure Arc. Toujours requis pour les mises à jour automatiques ou temporairement si vous téléchargez des certificats manuellement. | Public. |
dls.microsoft.com |
Utilisé par les machines Azure Arc pour effectuer la validation des licences. | Obligatoire lorsque vous utilisez le hotpatching, Windows Server Azure Benefits ou la tarification Windows Server à la consommation sur des machines activées par Azure Arc. | Public. |
1 L’accès à cette URL est également nécessaire lorsque les mises à jour sont effectuées automatiquement.
2 Pour en savoir plus sur les informations collectées et envoyées, consultez Collecte et rapports sur les données pour SQL Server activé par Azure Arc.
Pour les versions d’extension jusqu’au et incluant le 13 février 2024, utilisez san-af-<region>-prod.azurewebsites.net. À compter du 12 mars 2024, le traitement des données Azure Arc et la télémétrie des données Azure Arc utilisent *.<region>.arcdataservices.com.
Remarque
Pour translater le caractère générique *.servicebus.windows.net en points de terminaison spécifiques, utilisez la commande \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dans cette commande, la région doit être spécifiée pour l’espace réservé <region>. Ces points de terminaison peuvent changer régulièrement.
Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.
Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.
Pour afficher la liste de toutes les régions, exécutez cette commande :
az account list-locations -o table
Get-AzLocation | Format-Table
Protocoles de chiffrement
Pour garantir la sécurité des données en transit vers Azure, nous vous encourageons vivement à configurer des machines pour utiliser TLS 1.2 et 1.3. Les versions antérieures de TLS/Secure Sockets Layer (SSL) ont été jugées vulnérables. Bien qu’ils fonctionnent toujours pour permettre la compatibilité descendante, ils ne sont pas recommandés.
À partir de la version 1.56 de l’agent Connected Machine (Windows uniquement), les suites de chiffrement suivantes doivent être configurées pour au moins l’une des versions TLS recommandées :
TLS 1.3 (suites dans l’ordre préféré du serveur) :
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15 360 bits RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (équiv. 3072 bits RSA) FS
TLS 1.2 (suites dans l’ordre préféré du serveur) :
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15 360 bits RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (égal à 3072 bits RSA) FS
Pour plus d’informations, consultez les problèmes de configuration de Windows TLS.
SQL Server activé par les points de terminaison Azure Arc situés à *.\<region\>.arcdataservices.com prennent en charge uniquement TLS 1.2 et 1.3. Seuls Windows Server 2012 R2 et versions ultérieures prennent en charge TLS 1.2. SQL Server activé par le point de terminaison de télémétrie Azure Arc n’est pas pris en charge pour Windows Server 2012 ou Windows Server 2012 R2.
| Plateforme/Langage | Soutien | Plus d’informations |
|---|---|---|
| Linux | Les distributions de Linux s’appuient généralement sur OpenSSL pour la prise en charge de TLS 1.2. | Vérifiez le journal des modifications OpenSSL pour vérifier que votre version d’OpenSSL est prise en charge. |
| Windows Server 2012 R2 et versions ultérieures | Prise en charge et activée par défaut. | Vérifiez que vous utilisez toujours les paramètres par défaut. |
| Windows Server 2012 | Partiellement pris en charge. Non recommandé. | Certains points de terminaison fonctionnent toujours, mais d’autres points de terminaison nécessitent TLS 1.2 ou version ultérieure, qui n’est pas disponible sur Windows Server 2012. |
Sous-ensemble de points de terminaison pour l’ESU uniquement
Si vous utilisez des serveurs avec Azure Arc uniquement pour les mises à jour de sécurité étendues pour les deux produits suivants :
- Windows Server 2012
- SQL Server 2012
Vous pouvez activer le sous-ensemble de points de terminaison suivant.
| Ressource de l’agent | Descriptif | Requise quand ? | Point de terminaison utilisé avec une liaison privée |
|---|---|---|---|
download.microsoft.com |
Utilisé pour télécharger le package d’installation De Windows. | Uniquement au moment de l’installation. 1 | Public. |
login.windows.net |
Microsoft Entra ID | Toujours. | Public. |
login.microsoftonline.com |
Microsoft Entra ID | Toujours. | Public. |
*.login.microsoft.com |
Microsoft Entra ID | Toujours. | Public. |
management.azure.com |
Azure Resource Manager est utilisé pour créer ou supprimer la ressource de serveur Azure Arc. | Uniquement lorsque vous connectez ou déconnectez un serveur. | Public, sauf si une liaison privée de gestion des ressources est également configurée. |
*.his.arc.azure.com |
Métadonnées et services d’identité hybride. | Toujours. | Privé. |
*.guestconfiguration.azure.com |
Services de gestion d'extensions et de configuration des invités. | Toujours. | Privé. |
www.microsoft.com/pkiops/certs |
Mises à jour de certificat intermédiaires pour les mises à jour de sécurité étendues (utilise HTTP/TCP 80 et HTTPS/TCP 443). | Toujours pour les mises à jour automatiques ou temporairement si vous téléchargez des certificats manuellement. | Public. |
*.<region>.arcdataservices.com |
Service de traitement des données Azure Arc et télémétrie de service. | Mises à jour de sécurité étendues SQL Server. | Public. |
*.blob.core.windows.net |
Téléchargez le package d’extension SQL Server. | Mises à jour de sécurité étendues SQL Server. | Non obligatoire si vous utilisez Azure Private Link. |
1 L’accès à cette URL est également nécessaire lorsque vous effectuez automatiquement des mises à jour.
Contenu connexe
- Pour plus d’informations sur les prérequis pour le déploiement de l’agent Connected Machine, consultez les prérequis de l’agent Connected Machine.
- Avant de déployer l’agent Connected Machine et d’intégrer d’autres services de gestion et de supervision Azure, consultez le guide de planification et de déploiement.
- Pour résoudre les problèmes, consultez le Guide de dépannage des problèmes de connexion de l’agent.
- Pour obtenir la liste complète des exigences réseau pour les fonctionnalités Azure Arc et les services compatibles avec Azure Arc, consultez Configuration réseau requise pour Azure Arc (consolidée).