Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano wymagania sieciowe dotyczące używania agenta połączonej maszyny platformy Azure do dołączania serwera fizycznego lub maszyny wirtualnej do serwerów z obsługą usługi Azure Arc.
Napiwek
W przypadku publicznej chmury platformy Azure można zmniejszyć liczbę wymaganych punktów końcowych przy użyciu bramy Azure Arc.
Szczegóły
Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:
- Wszystkie połączenia są tcp, chyba że określono inaczej.
- Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
- Wszystkie połączenia są wychodzące, chyba że określono inaczej.
Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces wdrażania spełniają wymagania sieciowe w tym artykule.
Punkty końcowe serwera z obsługą usługi Azure Arc są wymagane dla wszystkich ofert usługi Azure Arc opartych na serwerze.
Konfiguracja sieci
Agent połączonej maszyny Azure dla systemów Linux i Windows komunikuje się wyjściowo, bezpiecznie z Azure Arc przez port TCP 443. Domyślnie agent używa domyślnej trasy do Internetu, aby uzyskać dostęp do usług platformy Azure. Opcjonalnie można skonfigurować agenta do korzystania z serwera proxy , jeśli sieć tego wymaga. Serwery proxy nie zabezpieczają agenta połączonej maszyny, ponieważ ruch jest już zaszyfrowany.
Aby dodatkowo zabezpieczyć łączność sieciową z usługą Azure Arc, zamiast korzystać z sieci publicznych i serwerów proxy, możesz zaimplementować zakres łącza prywatnego usługi Azure Arc.
Uwaga
Serwery z obsługą usługi Azure Arc nie obsługują używania bramy usługi Log Analytics jako serwera proxy dla agenta połączonej maszyny. Jednocześnie agent usługi Azure Monitor obsługuje bramy usługi Log Analytics.
Jeśli zapora lub serwer proxy ogranicza łączność wychodzącą, upewnij się, że wymienione tutaj adresy URL i tagi usług nie są blokowane.
Tagi usługi
Pamiętaj, aby zezwolić na dostęp do następujących tagów usługi:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(jeśli używasz Centrum administracyjnego systemu Windows do zarządzania serwerami z obsługą usługi Azure Arc)
Aby uzyskać listę adresów IP dla każdego tagu/regionu usługi, zobacz plik JSON Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna. Firma Microsoft publikuje cotygodniowe aktualizacje zawierające każdą usługę platformy Azure i zakresy adresów IP, których używa. Informacje w pliku JSON są bieżącą listą zakresów adresów IP odpowiadających każdemu tagowi usługi. Adresy IP mogą ulec zmianie. Jeśli zakresy adresów IP są wymagane do konfiguracji zapory, użyj tagu AzureCloud usługi, aby zezwolić na dostęp do wszystkich usług platformy Azure. Nie wyłączaj monitorowania zabezpieczeń ani inspekcji tych adresów URL. Zezwól na nie tak, jak w przypadku innego ruchu internetowego.
Jeśli filtrujesz ruch do tagu AzureArcInfrastructure usługi, musisz zezwolić na ruch do pełnego zakresu tagu usługi. Zakresy anonsowane dla poszczególnych regionów, na przykład , AzureArcInfrastructure.AustraliaEastnie zawierają zakresów adresów IP używanych przez globalne składniki usługi. Określony adres IP przypisany do tych punktów końcowych może ulec zmianie w czasie w ramach udokumentowanych zakresów. Z tego powodu użycie narzędzia do sprawdzania w celu zidentyfikowania bieżącego adresu IP dla określonego punktu końcowego i zezwalania na dostęp tylko z tego adresu IP nie jest wystarczające, aby zapewnić niezawodny dostęp.
Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej.
Ważne
Aby filtrować ruch według adresów IP w usłudze Azure Government lub na platformie Azure obsługiwanej przez firmę 21Vianet, pamiętaj, aby dodać adresy IP z tagu AzureArcInfrastructure usługi dla chmury publicznej platformy Azure, oprócz używania tagu AzureArcInfrastructure usługi dla chmury. Po 28 października 2025 r. dodanie tagu AzureArcInfrastructure usługi dla chmury publicznej platformy Azure będzie wymagane, a tagi usług dla platformy Azure Government i platformy Azure obsługiwane przez firmę 21Vianet nie będą już obsługiwane.
Adresy URL
W tej tabeli wymieniono adresy URL, które muszą być dostępne do zainstalowania i użycia agenta połączonej maszyny.
Uwaga
Po skonfigurowaniu agenta połączonej maszyny do komunikowania się z platformą Azure za pośrednictwem łącza prywatnego niektóre punkty końcowe muszą być nadal dostępne za pośrednictwem Internetu. Kolumna Obsługa łącza prywatnego w poniższej tabeli zawiera punkty końcowe, które można skonfigurować przy użyciu prywatnego punktu końcowego. Jeśli w kolumnie jest wyświetlany status Publiczny dla punktu końcowego, nadal musisz zezwolić na dostęp do tego punktu końcowego za pośrednictwem zapory organizacji i/lub serwera proxy, aby agent mógł działać. Ruch sieciowy jest kierowany przez prywatne punkty końcowe, jeśli jest przypisany zakres łącza prywatnego.
| Zasoby dla agenta | opis | Jeśli jest to wymagane | Możliwość łącza prywatnego |
|---|---|---|---|
download.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Windows. | Tylko w czasie instalacji. 1 | Publiczny. |
packages.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Linux. | Tylko w czasie instalacji. 1 | Publiczny. |
login.microsoftonline.com |
Microsoft Entra ID. | Zawsze. | Publiczny. |
*.login.microsoft.com |
Microsoft Entra ID. | Zawsze. | Publiczny. |
pas.windows.net |
Microsoft Entra ID. | Zawsze. | Publiczny. |
management.azure.com |
Usługa Azure Resource Manager służy do tworzenia lub usuwania zasobu serwera usługi Azure Arc. | Tylko wtedy, gdy łączysz się lub odłączasz serwer. | Publiczny, chyba że jest również skonfigurowany link prywatny do zarządzania zasobami . |
*.his.arc.azure.com |
Metadane i usługi tożsamości hybrydowej. | Zawsze. | Prywatny. |
*.guestconfiguration.azure.com |
Zarządzanie rozszerzeniami i usługi konfiguracji gościa. | Zawsze. | Prywatny. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Usługa powiadomień dla scenariuszy dotyczących rozszerzeń i łączności. | Zawsze. | Publiczny. |
azgn*.servicebus.windows.net lub *.servicebus.windows.net |
Usługa powiadomień dla scenariuszy dotyczących rozszerzeń i łączności. | Zawsze. | Publiczny. |
*.servicebus.windows.net |
W przypadku scenariuszy programu Windows Admin Center i protokołu Secure Shell (SSH). | Jeśli używasz protokołu SSH lub Windows Admin Center z platformy Azure. | Publiczny. |
*.waconazure.com |
Do łączności z Windows Admin Center. | Jeśli używasz Centrum administracyjnego systemu Windows. | Publiczny. |
*.blob.core.windows.net |
Pobierz źródła rozszerzeń serwerów zgodnych z Azure Arc. | Zawsze, z wyjątkiem sytuacji, gdy używasz prywatnych punktów końcowych. | Nieużytowane podczas konfigurowania łącza prywatnego. |
dc.services.visualstudio.com |
Telemetria agenta. | Opcjonalny. Nie jest używany w wersjach agenta od 1.24 wzwyż. | Publiczny. |
*.<region>.arcdataservices.com
2 |
W przypadku programu SQL Server z obsługą usługi Azure Arc. Wysyła usługę przetwarzania danych, dane telemetryczne usługi i monitorowanie wydajności na platformę Azure. Zezwala tylko na protokół Transport Layer Security (TLS) 1.2 lub 1.3. | Jeśli używasz programu SQL Server obsługującego Azure Arc. | Publiczny. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Do uwierzytelniania Microsoft Entra w ramach SQL Server obsługiwanym przez Azure Arc. | Jeśli używasz programu SQL Server obsługującego Azure Arc. | Publiczny. |
www.microsoft.com/pkiops/certs |
Aktualizacje certyfikatów pośrednich dla rozszerzonych aktualizacji zabezpieczeń (korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443). | Jeśli używasz rozszerzonych aktualizacji zabezpieczeń włączonych przez usługę Azure Arc. Zawsze wymagane do aktualizacji automatycznych lub tymczasowo, jeśli certyfikaty są pobierane ręcznie. | Publiczny. |
dls.microsoft.com |
Używane przez maszyny usługi Azure Arc do przeprowadzania walidacji licencji. | Wymagane w przypadku korzystania z funkcji hotpatching, korzyści z platformy Azure dla systemu Windows Server lub rozliczeń z płatnością zgodnie z rzeczywistym użyciem na maszynach z obsługą usługi Azure Arc. | Publiczny. |
1 Dostęp do tego adresu URL jest również wymagany, gdy aktualizacje są wykonywane automatycznie.
2 Aby uzyskać szczegółowe informacje o zbieranych i wysyłanych informacjach, zapoznaj się z tematem Zbieranie danych i raportowanie dla programu SQL Server włączonego przez usługę Azure Arc.
W przypadku wersji rozszerzeń do 13 lutego 2024 r. użyj polecenia san-af-<region>-prod.azurewebsites.net. Począwszy od 12 marca 2024 r., zarówno przetwarzanie danych usługi Azure Arc, jak i telemetria danych usługi Azure Arc używają funkcji *.<region>.arcdataservices.com.
Uwaga
Aby przetłumaczyć *.servicebus.windows.net wildcard na określone punkty końcowe, użyj polecenia \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. W tym poleceniu należy określić region dla symbolu zastępczego <region> . Te punkty końcowe mogą okresowo ulec zmianie.
Aby uzyskać segment regionalnego punktu końcowego, należy usunąć wszystkie spacje z nazwy regionu Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.
Na przykład: *.<region>.arcdataservices.com powinno być *.eastus2.arcdataservices.com w regionie East US 2.
Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:
az account list-locations -o table
Get-AzLocation | Format-Table
Protokoły kryptograficzne
Aby zapewnić bezpieczeństwo danych przesyłanych do platformy Azure, zdecydowanie zachęcamy do skonfigurowania maszyn do korzystania z protokołów TLS 1.2 i 1.3. Stwierdzono, że starsze wersje protokołu TLS/Secure Sockets Layer (SSL) są podatne na zagrożenia. Mimo że nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane.
Począwszy od wersji 1.56 agenta połączonej maszyny (tylko system Windows), należy skonfigurować następujące zestawy szyfrowania dla co najmniej jednej z zalecanych wersji protokołu TLS:
TLS 1.3 (pakiety w preferowanej kolejności serwera):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (równoważne 15360 bitom RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 bits RSA) FS
TLS 1.2 (pakiety w preferowanej kolejności serwera):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (równoważne 15360 bitów RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ekwiw. 3072 bity RSA) FS
Aby uzyskać więcej informacji, zobacz Problemy z konfiguracją protokołu TLS systemu Windows.
Program SQL Server włączony przez punkty końcowe usługi Azure Arc znajdujący się w *.\<region\>.arcdataservices.com lokalizacji obsługuje tylko protokoły TLS 1.2 i 1.3. Tylko system Windows Server 2012 R2 i nowsze mają obsługę protokołu TLS 1.2. Program SQL Server włączony przez punkt końcowy telemetrii usługi Azure Arc nie jest obsługiwany dla systemu Windows Server 2012 lub Windows Server 2012 R2.
| Platforma/język | Wsparcie | Więcej informacji |
|---|---|---|
| Linux | Dystrybucje systemu Linux mają tendencję do polegania na protokole OpenSSL na potrzeby obsługi protokołu TLS 1.2. | Sprawdź dziennik zmian protokołu OpenSSL , aby upewnić się, że twoja wersja biblioteki OpenSSL jest obsługiwana. |
| Windows Server 2012 R2 i nowsze | Obsługiwane i włączone domyślnie. | Upewnij się, że nadal używasz ustawień domyślnych. |
| Windows Server 2012 | Częściowo obsługiwane. Niezalecane. | Niektóre punkty końcowe nadal działają, ale inne punkty końcowe wymagają protokołu TLS 1.2 lub nowszego, który nie jest dostępny w systemie Windows Server 2012. |
Podzestaw punktów końcowych tylko dla jednostek ESU
Jeśli używasz serwerów z obsługą usługi Azure Arc tylko w przypadku rozszerzonych aktualizacji zabezpieczeń dla obu następujących produktów:
- Windows Server 2012
- SQL Server 2012
Możesz włączyć następujący podzbiór punktów końcowych.
| Zasoby dla agenta | opis | Jeśli jest to wymagane | Punkt końcowy używany z łączem prywatnym |
|---|---|---|---|
download.microsoft.com |
Służy do pobierania pakietu instalacyjnego systemu Windows. | Tylko w czasie instalacji. 1 | Publiczny. |
login.windows.net |
Microsoft Entra ID. | Zawsze. | Publiczny. |
login.microsoftonline.com |
Microsoft Entra ID. | Zawsze. | Publiczny. |
*.login.microsoft.com |
Microsoft Entra ID. | Zawsze. | Publiczny. |
management.azure.com |
Usługa Azure Resource Manager służy do tworzenia lub usuwania zasobu serwera usługi Azure Arc. | Tylko wtedy, gdy łączysz się lub odłączasz serwer. | Publiczny, chyba że jest również skonfigurowany link prywatny do zarządzania zasobami . |
*.his.arc.azure.com |
Metadane i usługi tożsamości hybrydowej. | Zawsze. | Prywatny. |
*.guestconfiguration.azure.com |
Zarządzanie rozszerzeniami i usługi konfiguracji gościa. | Zawsze. | Prywatny. |
www.microsoft.com/pkiops/certs |
Aktualizacje certyfikatów pośrednich dla rozszerzonych aktualizacji zabezpieczeń (korzysta z protokołów HTTP/TCP 80 i HTTPS/TCP 443). | Zawsze podczas automatycznych aktualizacji lub tymczasowo, jeśli pobierasz certyfikaty ręcznie. | Publiczny. |
*.<region>.arcdataservices.com |
Usługa przetwarzania danych Azure Arc i telemetria usługowa. | Rozszerzone aktualizacje zabezpieczeń programu SQL Server. | Publiczny. |
*.blob.core.windows.net |
Pobierz pakiet rozszerzenia programu SQL Server. | Rozszerzone aktualizacje zabezpieczeń programu SQL Server. | Nie jest wymagane, jeśli używasz usługi Azure Private Link. |
1 Dostęp do tego adresu URL jest również wymagany podczas automatycznego wykonywania aktualizacji.
Treści powiązane
- Aby uzyskać więcej informacji na temat wymagań wstępnych dotyczących wdrażania agenta połączonej maszyny, zobacz Wymagania wstępne agenta połączonej maszyny.
- Przed wdrożeniem agenta połączonej maszyny i zintegrowania z innymi usługami zarządzania i monitorowania platformy Azure zapoznaj się z przewodnikiem planowania i wdrażania.
- Aby rozwiązać problemy, zapoznaj się z przewodnikiem rozwiązywania problemów z połączeniem agenta.
- Aby uzyskać pełną listę wymagań sieciowych dotyczących funkcji usługi Azure Arc i usług z obsługą usługi Azure Arc, zobacz Wymagania dotyczące sieci usługi Azure Arc (skonsolidowane).