이 문서에서는 Azure Connected Machine 에이전트를 사용하여 물리적 서버 또는 가상 머신을 Azure Arc 지원 서버에 온보딩하기 위한 네트워킹 요구 사항을 설명합니다.
팁
Azure 퍼블릭 클라우드 플랫폼의 경우 Azure Arc 게이트웨이를 사용하여 필요한 엔드포인트 수를 줄일 수 있습니다.
세부 정보
일반적으로 연결 요구 사항에는 다음 원칙이 포함됩니다.
- 달리 지정하지 않는 한 모든 연결은 TCP입니다.
- 모든 HTTP 연결은 공식적으로 서명되고 확인 가능한 인증서와 함께 HTTPS 및 SSL/TLS를 사용합니다.
- 달리 지정하지 않는 한 모든 연결은 아웃바운드입니다.
프록시를 사용하려면 온보딩 프로세스를 수행하는 에이전트와 컴퓨터가 이 문서의 네트워크 요구 사항을 충족하는지 확인합니다.
Azure Arc 지원 서버 엔드포인트는 모든 서버 기반 Azure Arc 제품에 필요합니다.
네트워킹 구성
Linux 및 Windows용 Azure Connected Machine 에이전트는 TCP 포트 443을 통해 안전하게 Azure Arc로 아웃바운드 통신을 수행합니다. 기본적으로 에이전트는 인터넷에 대한 기본 경로를 사용하여 Azure 서비스에 연결합니다. 선택적으로 네트워크에 필요한 경우 프록시 서버를 사용하도록 에이전트를 구성할 수 있습니다. 트래픽이 이미 암호화되어 있기 때문에 프록시 서버를 사용해도 Connected Machine 에이전트가 더 안전해지지 않습니다.
공용 네트워크 및 프록시 서버를 사용하는 대신 Azure Arc에 대한 네트워크 연결을 더욱 안전하게 보호하려면 Azure Arc 프라이빗 링크 범위를 구현할 수 있습니다.
참고
Azure Arc 지원 서버는 Log Analytics 게이트웨이 를 Connected Machine 에이전트의 프록시로 사용하는 것을 지원하지 않습니다. 동시에 Azure Monitor 에이전트는 Log Analytics 게이트웨이를 지원합니다.
방화벽 또는 프록시 서버가 아웃바운드 연결을 제한하는 경우 여기에 나열된 URL 및 서비스 태그가 차단되지 않았는지 확인합니다.
서비스 태그
다음 서비스 태그에 대한 액세스를 허용해야 합니다.
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter( Windows Admin Center를 사용하여 Azure Arc 지원 서버를 관리하는 경우)
각 서비스 태그/지역에 대한 IP 주소 목록은 JSON 파일 Azure IP 범위 및 서비스 태그 - 퍼블릭 클라우드를 참조하세요. Microsoft는 각 Azure 서비스 및 사용하는 IP 범위를 포함하는 주간 업데이트를 게시합니다. JSON 파일의 정보는 각 서비스 태그에 해당하는 IP 범위의 현재 지정 시간 목록입니다. IP 주소는 변경될 수 있습니다. 방화벽 구성에 IP 주소 범위가 필요한 경우 서비스 태그를 AzureCloud 사용하여 모든 Azure 서비스에 대한 액세스를 허용합니다. 해당 URL에 대해 보안 모니터링 또는 검사를 사용하지 않도록 하지 마세요. 다른 인터넷 트래픽과 마찬가지로 허용합니다.
서비스 태그 AzureArcInfrastructure의 트래픽을 필터링하는 경우, 전체 서비스 태그 범위에 대한 트래픽을 허용해야 합니다. 예를 들어 AzureArcInfrastructure.AustraliaEast개별 지역에 대해 보급된 범위에는 서비스의 전역 구성 요소에서 사용하는 IP 범위가 포함되지 않습니다. 이러한 엔드포인트에 대해 확인된 특정 IP 주소는 문서화된 범위 내에서 시간이 지남에 따라 변경될 수 있습니다. 이러한 이유로 조회 도구를 사용하여 특정 엔드포인트의 현재 IP 주소를 식별하고 해당 IP 주소에 대한 액세스만 허용하는 것만으로는 신뢰할 수 있는 액세스를 보장하기에 충분하지 않습니다.
자세한 내용은 가상 네트워크 서비스 태그를 참조하세요.
중요합니다
Azure 정부 클라우드 혹은 21Vianet에서 운영하는 Azure에서 IP 주소로 트래픽을 필터링하려면, 클라우드에 대한 AzureArcInfrastructure 서비스 태그를 사용하는 것에 추가하여, Azure 퍼블릭 클라우드를 위한 AzureArcInfrastructure 서비스 태그의 IP 주소도 반드시 추가해야 합니다. 2025년 10월 28일 이후에는 Azure 퍼블릭 클라우드에 대한 서비스 태그를 추가 AzureArcInfrastructure 해야 하며, 21Vianet에서 운영하는 Azure Government 및 Azure에 대한 서비스 태그는 더 이상 지원되지 않습니다.
URL
다음 표에는 Connected Machine 에이전트를 설치하고 사용하는 데 사용할 수 있어야 하는 URL이 나열되어 있습니다.
참고
프라이빗 링크를 통해 Azure와 통신하도록 Connected Machine 에이전트를 구성하는 경우 일부 엔드포인트는 여전히 인터넷을 통해 액세스해야 합니다. 다음 표의 프라이빗 링크 지원 열에는 프라이빗 엔드포인트를 사용하여 구성할 수 있는 엔드포인트가 표시됩니다. 열에 엔드포인트에 대한 공용이 표시되는 경우 에이전트가 작동하려면 조직의 방화벽 및/또는 프록시 서버를 통해 해당 엔드포인트에 대한 액세스를 계속 허용해야 합니다. 프라이빗 링크 범위가 할당된 경우 네트워크 트래픽은 프라이빗 엔드포인트를 통해 라우팅됩니다.
| 에이전트 리소스 | 설명 | 필요한 경우 | 프라이빗 링크 사용 가능 |
|---|---|---|---|
download.microsoft.com |
Windows 설치 패키지를 다운로드하는 데 사용됩니다. | 설치 시에만. 1 | 공용. |
packages.microsoft.com |
Linux 설치 패키지를 다운로드하는 데 사용됩니다. | 설치 시에만. 1 | 공용. |
login.microsoftonline.com |
마이크로소프트 Entra ID. | 늘. | 공용. |
*.login.microsoft.com |
마이크로소프트 Entra ID. | 늘. | 공용. |
pas.windows.net |
마이크로소프트 Entra ID. | 늘. | 공용. |
management.azure.com |
Azure Resource Manager는 Azure Arc 서버 리소스를 만들거나 삭제하는 데 사용됩니다. | 서버에 연결하거나 연결을 끊을 때만 가능합니다. | 리소스 관리 프라이빗 링크도 구성되지 않는 한 공용입니다. |
*.his.arc.azure.com |
메타데이터 및 하이브리드 ID 서비스. | 늘. | 민간의. |
*.guestconfiguration.azure.com |
확장 관리 및 게스트 구성 서비스. | 늘. | 민간의. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
확장 및 연결 시나리오에 대한 알림 서비스입니다. | 늘. | 공용. |
azgn*.servicebus.windows.net 또는 *.servicebus.windows.net |
확장 및 연결 시나리오에 대한 알림 서비스입니다. | 늘. | 공용. |
*.servicebus.windows.net |
Windows Admin Center 및 SSH(Secure Shell) 시나리오의 경우 | Azure에서 SSH 또는 Windows Admin Center를 사용하는 경우 | 공용. |
*.waconazure.com |
Windows Admin Center 연결의 경우 | Windows Admin Center를 사용하는 경우 | 공용. |
*.blob.core.windows.net |
Azure Arc 지원 서버 확장에 대한 원본을 다운로드합니다. | 프라이빗 엔드포인트를 사용하는 경우를 제외하고 항상. | 프라이빗 링크를 구성할 때 사용되지 않습니다. |
dc.services.visualstudio.com |
에이전트 원격 분석. | Optional. 에이전트 버전 1.24 이상에서는 사용되지 않습니다. | 공용. |
*.<region>.arcdataservices.com
2 |
Azure Arc 지원 SQL Server의 경우 데이터 처리 서비스, 서비스 원격 분석 및 성능 모니터링을 Azure로 보냅니다. TLS(전송 계층 보안) 1.2 또는 1.3만 허용합니다. | Azure Arc 지원 SQL Server를 사용하는 경우 | 공용. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Azure Arc 지원 SQL Server를 사용한 Microsoft Entra 인증의 경우 | Azure Arc 지원 SQL Server를 사용하는 경우 | 공용. |
www.microsoft.com/pkiops/certs |
확장 보안 업데이트에 대한 중간 인증서 업데이트(HTTP/TCP 80 및 HTTPS/TCP 443 사용). | Azure Arc에서 사용하도록 설정된 확장 보안 업데이트를 사용하는 경우 자동 업데이트에 항상 필요하거나 인증서를 수동으로 다운로드하는 경우 일시적으로 필요합니다. | 공용. |
dls.microsoft.com |
Azure Arc 컴퓨터에서 라이선스 유효성 검사를 수행하는 데 사용됩니다. | Azure Arc 지원 컴퓨터에서 핫패치, Windows Server Azure 혜택 또는 Windows Server 종량제 청구를 사용할 때 필요합니다. | 공용. |
1 업데이트가 자동으로 수행될 때도 이 URL에 액세스해야 합니다.
2 수집 및 전송되는 정보에 대한 자세한 내용은 Azure Arc를 통해 지원되는 SQL Server에 대한 데이터 수집 및 보고를 검토하세요.
2024년 2월 13일까지의 확장 버전에는 san-af-<region>-prod.azurewebsites.net을 사용합니다. 2024년 3월 12일부터 Azure Arc 데이터 처리와 Azure Arc 데이터 원격 분석 모두에서 *.<region>.arcdataservices.com을(를) 사용합니다.
참고
*.servicebus.windows.net 와일드카드를 특정 엔드포인트로 변환하려면 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region> 명령을 사용합니다. 이 명령 내에서 <region> 자리 표시자에 대한 지역을 지정해야 합니다. 이러한 엔드포인트는 주기적으로 변경될 수 있습니다.
지역 엔드포인트의 지역 세그먼트를 가져오려면 Azure 지역 이름에서 모든 공백을 제거합니다. 예를 들어, 미국 동부 2 지역의 경우 지역 이름은 eastus2입니다.
예: *.<region>.arcdataservices.com은 미국 동부 2 지역에서 *.eastus2.arcdataservices.com여야 합니다.
모든 지역 목록을 보려면 다음 명령을 실행합니다.
az account list-locations -o table
Get-AzLocation | Format-Table
암호화 프로토콜
Azure로 전송 중인 데이터의 보안을 보장하기 위해 TLS 1.2 및 1.3을 사용하도록 머신을 구성하는 것이 좋습니다. 이전 버전의 TLS/SSL(Secure Sockets Layer)이 취약한 것으로 확인되었습니다. 여전히 이전 버전과의 호환성을 허용하기 위해 작동하지만 권장되지는 않습니다.
Connected Machine 에이전트 버전 1.56부터(Windows에만 해당) 권장 TLS 버전 중 하나 이상에 대해 다음 암호 그룹을 구성해야 합니다.
TLS 1.3(서버 기본 설정 순서의 제품군):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360비트 RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072비트 RSA) FS
TLS 1.2(서버 기본 설정 순서의 제품군):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15360비트 RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256(0xc02f) ECDH secp256r1(eq. 3072비트 RSA) FS
자세한 내용은 Windows TLS 구성 문제를 참조하세요.
Azure Arc 엔드포인트에서 *.\<region\>.arcdataservices.com 사용하도록 설정된 SQL Server는 TLS 1.2 및 1.3만 지원합니다. Windows Server 2012 R2 이상에서만 TLS 1.2를 지원합니다. Azure Arc 원격 분석 엔드포인트에서 사용하도록 설정된 SQL Server는 Windows Server 2012 또는 Windows Server 2012 R2에서 지원되지 않습니다.
| 플랫폼/언어 | 지원 | 추가 정보 |
|---|---|---|
| Linux | Linux 배포판은 TLS 1.2 지원에 대해 OpenSSL을 사용하는 경향이 있습니다. | OpenSSL 변경 로그를 확인하여 OpenSSL 버전이 지원되고 있는지 확인합니다. |
| Windows Server 2012 R2 이상 | 기본적으로 지원되고 사용하도록 설정됩니다. | 기본 설정을 계속 사용하고 있는지 확인합니다. |
| Windows Server 2012 | 부분적으로 지원됩니다. 권장하지 않습니다. | 일부 엔드포인트는 여전히 작동하지만 다른 엔드포인트에는 Windows Server 2012에서 사용할 수 없는 TLS 1.2 이상이 필요합니다. |
ESU 전용 엔드포인트의 하위 집합
다음 제품 중 하나 또는 둘 다에 대해 확장 보안 업데이트에만 Azure Arc 지원 서버를 사용하는 경우:
- Windows Server 2012
- SQL Server 2012
엔드포인트의 다음 하위 집합을 사용하도록 설정할 수 있습니다.
| 에이전트 리소스 | 설명 | 필요한 경우 | 프라이빗 링크와 함께 사용되는 엔드포인트 |
|---|---|---|---|
download.microsoft.com |
Windows 설치 패키지를 다운로드하는 데 사용됩니다. | 설치 시에만. 1 | 공용. |
login.windows.net |
마이크로소프트 Entra ID. | 늘. | 공용. |
login.microsoftonline.com |
마이크로소프트 Entra ID. | 늘. | 공용. |
*.login.microsoft.com |
마이크로소프트 Entra ID. | 늘. | 공용. |
management.azure.com |
Azure Resource Manager는 Azure Arc 서버 리소스를 만들거나 삭제하는 데 사용됩니다. | 서버에 연결하거나 연결을 끊을 때만 가능합니다. | 리소스 관리 프라이빗 링크도 구성되지 않는 한 공용입니다. |
*.his.arc.azure.com |
메타데이터 및 하이브리드 ID 서비스. | 늘. | 민간의. |
*.guestconfiguration.azure.com |
확장 관리 및 게스트 구성 서비스. | 늘. | 민간의. |
www.microsoft.com/pkiops/certs |
확장 보안 업데이트에 대한 중간 인증서 업데이트(HTTP/TCP 80 및 HTTPS/TCP 443 사용). | 항상 자동 업데이트의 경우 또는 인증서를 수동으로 다운로드하는 경우 일시적으로 업데이트합니다. | 공용. |
*.<region>.arcdataservices.com |
Azure Arc 데이터 처리 서비스 및 서비스 원격 분석. | SQL Server 확장 보안 업데이트. | 공용. |
*.blob.core.windows.net |
SQL Server 확장 패키지를 다운로드합니다. | SQL Server 확장 보안 업데이트. | Azure Private Link를 사용하는 경우에는 필요하지 않습니다. |
1 자동으로 업데이트를 수행할 때도 이 URL에 액세스해야 합니다.
관련 콘텐츠
- Connected Machine 에이전트를 배포하기 위한 추가 필수 구성 요소에 대한 자세한 내용은 Connected Machine 에이전트 필수 구성 요소를 참조하세요.
- Connected Machine 에이전트를 배포하고 다른 Azure 관리 및 모니터링 서비스와 통합하기 전에 계획 및 배포 가이드를 검토합니다.
- 문제를 해결하려면 에이전트 연결 문제 해결 가이드를 검토합니다.
- Azure Arc 기능 및 Azure Arc 지원 서비스에 대한 네트워크 요구 사항 전체 목록은 Azure Arc 네트워크 요구 사항(통합)을 참조하세요.