Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano wymagania dotyczące sieci i opcje dla serwerów z obsługą usługi Azure Arc.
Ogólna sieć
Serwery z obsługą usługi Azure Arc to oferta oprogramowania jako usługi z kombinacją globalnych i regionalnych punktów końcowych współużytkowanych przez wszystkich klientów. Cała komunikacja sieciowa z agenta usługi Azure Connected Machine jest wychodząca na platformę Azure. Platforma Azure nigdy nie osiągnie "do" sieci, aby zarządzać maszynami. Te połączenia są zawsze szyfrowane przy użyciu certyfikatów TLS. Lista punktów końcowych i adresów IP, do których uzyskuje dostęp agent, jest udokumentowana w wymaganiach sieciowych.
Zainstalowane rozszerzenia mogą wymagać dodatkowych punktów końcowych, które nie są uwzględnione w wymaganiach sieciowych usługi Azure Arc. Zapoznaj się z dokumentacją rozszerzenia, aby uzyskać więcej informacji na temat wymagań sieciowych dla tego rozwiązania.
Jeśli organizacja korzysta z inspekcji protokołu TLS, agent usługi Azure Connected Machine nie używa przypinania certyfikatu i będzie nadal działać, o ile maszyna ufa certyfikatowi przedstawionemu przez usługę inspekcji protokołu TLS. Niektóre rozszerzenia usługi Azure Arc używają przypinania certyfikatu i muszą zostać wykluczone z inspekcji protokołu TLS. Zapoznaj się z dokumentacją wszelkich wdrożonych rozszerzeń, aby ustalić, czy obsługują one inspekcję protokołu TLS.
Prywatne punkty końcowe
Prywatne punkty końcowe to opcjonalna technologia sieci platformy Azure, która umożliwia wysyłanie ruchu sieciowego za pośrednictwem usługi Express Route lub sieci VPN typu lokacja-lokacja oraz bardziej szczegółową kontrolę nad tym, które maszyny mogą używać usługi Azure Arc. W przypadku prywatnych punktów końcowych można używać prywatnych adresów IP w przestrzeni adresowej organizacji w celu uzyskania dostępu do usług w chmurze Azure Arc. Ponadto tylko serwery, które autoryzujesz, mogą wysyłać dane za pośrednictwem tych punktów końcowych, co chroni przed nieautoryzowanym użyciem agenta usługi Azure Connected Machine w sieci.
Należy pamiętać, że nie wszystkie punkty końcowe i nie wszystkie scenariusze są obsługiwane z prywatnymi punktami końcowymi. Nadal trzeba będzie tworzyć wyjątki zapory dla niektórych punktów końcowych, takich jak Microsoft Entra ID, który nie oferuje możliwości prywatnego punktu końcowego. Wszelkie zainstalowane rozszerzenia mogą wymagać innych prywatnych punktów końcowych (jeśli są obsługiwane) lub dostępu do publicznych punktów końcowych dla ich usług. Ponadto nie można używać protokołu SSH lub Windows Admin Center do uzyskiwania dostępu do serwera za pośrednictwem prywatnego punktu końcowego.
Niezależnie od tego, czy używasz prywatnych, czy publicznych punktów końcowych, dane przesyłane między agentem usługi Azure Connected Machine i platformą Azure są zawsze szyfrowane. Zawsze możesz zacząć od publicznych punktów końcowych, a później przełączać się do prywatnych punktów końcowych (lub odwrotnie) w miarę zmian potrzeb biznesowych.