Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i requisiti di rete per l'uso dell'agente di Azure Connected Machine per eseguire l'onboarding di un server fisico o di una macchina virtuale in server abilitati per Azure Arc.
Suggerimento
Per la piattaforma cloud pubblico di Azure, è possibile ridurre il numero di endpoint necessari usando il gateway Azure Arc.
Dettagli
In genere, i requisiti di connettività includono i principi seguenti:
- Tutte le connessioni sono TCP, se non diversamente specificato.
- Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
- Tutte le connessioni sono in uscita, se non diversamente specificato.
Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.
Gli endpoint server abilitati per Azure Arc sono necessari per tutte le offerte di Azure Arc basate su server.
Configurazione della rete
L'agente di Azure Connected Machine per Linux e Windows comunica in modo sicuro in uscita con Azure Arc sulla porta TCP 443. Per impostazione predefinita, l'agente usa la route predefinita verso Internet per raggiungere i servizi di Azure. Facoltativamente, è possibile configurare l'agente per l'uso di un server proxy se la rete lo richiede. I server proxy non rendono l'agente di Connected Machine più sicuro perché il traffico è già crittografato.
Per proteggere ulteriormente la connettività di rete ad Azure Arc, invece di usare reti pubbliche e server proxy, è possibile implementare un ambito di collegamento privato di Azure Arc.
Nota
I server abilitati per Azure Arc non supportano l'uso di un gateway di Log Analytics come proxy per l'agente connected machine. Allo stesso tempo, l'agente di Monitoraggio di Azure supporta i gateway di Log Analytics.
Se il firewall o il server proxy limita la connettività in uscita, assicurarsi che gli URL e i tag di servizio elencati qui non siano bloccati.
Tag di servizio
Assicurarsi di consentire l'accesso ai tag di servizio seguenti:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(se si usa Windows Admin Center per gestire i server abilitati per Azure Arc)
Per un elenco di indirizzi IP per ogni tag/area del servizio, vedere il file JSON Intervalli IP e tag di servizio di Azure - Cloud pubblico. Microsoft pubblica gli aggiornamenti settimanali che contengono ogni servizio di Azure e gli intervalli IP usati. Le informazioni nel file JSON sono l'elenco temporizzato corrente degli intervalli IP che corrispondono a ogni tag di servizio. Gli indirizzi IP sono soggetti a modifiche. Se per la configurazione del firewall sono necessari intervalli di indirizzi IP, usare il tag del AzureCloud servizio per consentire l'accesso a tutti i servizi di Azure. Non disabilitare il monitoraggio della sicurezza o l'analisi di questi URL. Consentirli come si farebbe con altro traffico Internet.
Se si filtra il traffico verso il tag del servizio AzureArcInfrastructure, è necessario consentire il traffico verso l’intero intervallo di tag del servizio. Gli intervalli annunciati per singole aree, ad esempio , AzureArcInfrastructure.AustraliaEastnon includono gli intervalli IP usati dai componenti globali del servizio. L'indirizzo IP specifico risolto per questi endpoint può cambiare nel tempo entro gli intervalli documentati. Per questo motivo, l'uso di uno strumento di ricerca per identificare l'indirizzo IP corrente per un endpoint specifico e consentire l'accesso solo a tale indirizzo IP non è sufficiente per garantire l'accesso affidabile.
Per altre informazioni, vedere Tag del servizio di rete virtuale.
Importante
Per filtrare il traffico in base agli indirizzi IP in Azure Governo o in Azure gestito da 21Vianet, assicurarsi di aggiungere gli indirizzi IP dal AzureArcInfrastructure tag di servizio per il cloud pubblico di Azure, oltre a usare il AzureArcInfrastructure tag di servizio specifico per il proprio cloud. Dopo il 28 ottobre 2025, l'aggiunta del tag di servizio per il AzureArcInfrastructure cloud pubblico di Azure sarà necessaria e i tag di servizio per Azure per enti pubblici e Azure gestiti da 21Vianet non saranno più supportati.
URL
Questa tabella elenca gli URL che devono essere disponibili per l'installazione e l'uso dell'agente Connected Machine.
Nota
Quando si configura l'agente connected machine per comunicare con Azure tramite un collegamento privato, è comunque necessario accedere ad alcuni endpoint tramite Internet. La colonna Capace di collegamento privato nella tabella seguente mostra gli endpoint che puoi configurare con un endpoint privato. Se la colonna mostra Public per un endpoint, è comunque necessario consentire l'accesso a tale endpoint tramite il firewall e/o il server proxy dell'organizzazione affinché l'agente funzioni. Il traffico di rete viene instradato tramite endpoint privati se viene assegnato un ambito di collegamento privato.
| Risorsa dell'agente | Descrizione | Se necessario | Collegamento privato in grado di supportare |
|---|---|---|---|
download.microsoft.com |
Usato per scaricare il pacchetto di installazione di Windows. | Solo in fase di installazione. 1 | Pubblica. |
packages.microsoft.com |
Usato per scaricare il pacchetto di installazione di Linux. | Solo in fase di installazione. 1 | Pubblica. |
login.microsoftonline.com |
Microsoft Entra ID. | Sempre. | Pubblica. |
*.login.microsoft.com |
Microsoft Entra ID. | Sempre. | Pubblica. |
pas.windows.net |
Microsoft Entra ID. | Sempre. | Pubblica. |
management.azure.com |
Azure Resource Manager viene usato per creare o eliminare la risorsa del server Azure Arc. | Solo quando ti connetti o disconnetti a un server. | Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse . |
*.his.arc.azure.com |
Metadati e servizi di identità ibrida. | Sempre. | Privato. |
*.guestconfiguration.azure.com |
Gestione delle estensioni e servizi di configurazione degli ospiti. | Sempre. | Privato. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servizio di notifica per scenari di estensione e connettività. | Sempre. | Pubblica. |
azgn*.servicebus.windows.net o *.servicebus.windows.net |
Servizio di notifica per scenari di estensione e connettività. | Sempre. | Pubblica. |
*.servicebus.windows.net |
Per gli scenari Windows Admin Center e Secure Shell (SSH). | Se si usa SSH o Windows Admin Center da Azure. | Pubblica. |
*.waconazure.com |
Per la connettività di Windows Admin Center. | Se utilizzi il Windows Admin Center. | Pubblica. |
*.blob.core.windows.net |
Scaricare la sorgente per le estensioni del server abilitati da Azure Arc. | Sempre, tranne quando si usano endpoint privati. | Non utilizzato quando viene configurato un collegamento privato. |
dc.services.visualstudio.com |
Telemetria dell'agente. | Optional. Non usato nelle versioni dell'agente 1.24+. | Pubblica. |
*.<region>.arcdataservices.com
2 |
Per SQL Server abilitato per Azure Arc. Invia il servizio di elaborazione dati, i dati di telemetria del servizio e il monitoraggio delle prestazioni ad Azure. Consente solo Transport Layer Security (TLS) 1.2 o 1.3. | Se si utilizza SQL Server con supporto di Azure Arc. | Pubblica. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Per l'autenticazione di Microsoft Entra con SQL Server abilitato per Azure Arc. | Se si utilizza SQL Server con supporto di Azure Arc. | Pubblica. |
www.microsoft.com/pkiops/certs |
Aggiornamenti intermedi dei certificati per gli aggiornamenti della sicurezza estesi (usa HTTP/TCP 80 e HTTPS/TCP 443). | Se si usano gli aggiornamenti della sicurezza estesi abilitati da Azure Arc. È sempre necessario per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati. | Pubblica. |
dls.microsoft.com |
Usato dai computer Azure Arc per eseguire la convalida delle licenze. | Obbligatorio quando si utilizza l'hotpatching, i benefici di Windows Server Azure o la fatturazione pay-as-you-go di Windows Server nei computer abilitati per Azure Arc. | Pubblica. |
1 L'accesso a questo URL è necessario anche quando gli aggiornamenti vengono eseguiti automaticamente.
2 Per informazioni dettagliate sulle informazioni raccolte e inviate, vedere Raccolta dati e creazione di report per SQL Server abilitato da Azure Arc.
Per le versioni delle estensioni fino al 13 febbraio 2024 compreso, usare san-af-<region>-prod.azurewebsites.net. A partire dal 12 marzo 2024, sia l'elaborazione dati di Azure Arc che i dati di telemetria di Azure Arc usano *.<region>.arcdataservices.com.
Nota
Per convertire il carattere jolly *.servicebus.windows.net in endpoint specifici, usare il comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. All'interno di questo comando, l'area deve essere specificata per il segnaposto <region>. Questi endpoint possono cambiare periodicamente.
Per ottenere il segmento di area di un endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, area Stati Uniti orientali 2 , il nome dell'area è eastus2.
Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.
Per visualizzare un elenco di tutte le aree, eseguire questo comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolli crittografici
Per garantire la sicurezza dei dati in transito in Azure, è consigliabile configurare i computer per l'uso di TLS 1.2 e 1.3. Le versioni precedenti di TLS/Secure Sockets Layer (SSL) sono state rilevate come vulnerabili. Anche se attualmente funzionano ancora per consentire la compatibilità con le versioni precedenti, non sono consigliate.
A partire dalla versione 1.56 dell'agente Connected Machine (solo Windows), i pacchetti di crittografia seguenti devono essere configurati per almeno una delle versioni TLS consigliate:
TLS 1.3 (gruppi in ordine preferito dal server):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bit RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 bit RSA) FS
TLS 1.2 (gruppi in ordine preferito dal server):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. RSA a 15360 bit) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bit RSA) FS
Per altre informazioni, vedere Problemi di configurazione di Windows TLS.
L'istanza di SQL Server abilitata tramite gli endpoint di Azure Arc situati in *.\<region\>.arcdataservices.com supporta solo TLS 1.2 e 1.3. Solo Windows Server 2012 R2 e versioni successive hanno il supporto per TLS 1.2. SQL Server abilitato dall'endpoint di telemetria di Azure Arc non è supportato per Windows Server 2012 o Windows Server 2012 R2.
| Piattaforma/linguaggio | Supporto tecnico | Maggiori informazioni |
|---|---|---|
| Linux | Le distribuzioni linux tendono a basarsi sul supporto openSSL per TLS 1.2. | Controllare il log delle modifiche OpenSSL per verificare che la versione di OpenSSL sia supportata. |
| Windows Server 2012 R2 e versioni successive | Supportato e abilitato per impostazione predefinita. | Verificare di usare ancora le impostazioni predefinite. |
| Windows Server 2012 | Parzialmente supportato. Non consigliato. | Alcuni endpoint funzionano ancora, ma altri endpoint richiedono TLS 1.2 o versione successiva, che non è disponibile in Windows Server 2012. |
Subset di endpoint solo per ESU
Se si usano server abilitati per Azure Arc solo per gli aggiornamenti della sicurezza estesi per uno o entrambi i prodotti seguenti:
- Windows Server 2012
- SQL Server 2012
È possibile abilitare il sottoinsieme di endpoint seguente.
| Risorsa dell'agente | Descrizione | Se necessario | Endpoint utilizzati con collegamento privato |
|---|---|---|---|
download.microsoft.com |
Usato per scaricare il pacchetto di installazione di Windows. | Solo in fase di installazione. 1 | Pubblica. |
login.windows.net |
Microsoft Entra ID. | Sempre. | Pubblica. |
login.microsoftonline.com |
Microsoft Entra ID. | Sempre. | Pubblica. |
*.login.microsoft.com |
Microsoft Entra ID. | Sempre. | Pubblica. |
management.azure.com |
Azure Resource Manager viene usato per creare o eliminare la risorsa del server Azure Arc. | Solo quando ti connetti o disconnetti a un server. | Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse . |
*.his.arc.azure.com |
Metadati e servizi di identità ibrida. | Sempre. | Privato. |
*.guestconfiguration.azure.com |
Gestione delle estensioni e servizi di configurazione degli ospiti. | Sempre. | Privato. |
www.microsoft.com/pkiops/certs |
Aggiornamenti intermedi dei certificati per gli aggiornamenti della sicurezza estesi (usa HTTP/TCP 80 e HTTPS/TCP 443). | Sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati. | Pubblica. |
*.<region>.arcdataservices.com |
Servizio di elaborazione dati di Azure Arc e telemetria del servizio. | Aggiornamenti della sicurezza estesa di SQL Server. | Pubblica. |
*.blob.core.windows.net |
Scaricare il pacchetto dell'estensione SQL Server. | Aggiornamenti della sicurezza estesa di SQL Server. | Non obbligatorio se si usa collegamento privato di Azure. |
1 L'accesso a questo URL è necessario anche quando si eseguono automaticamente gli aggiornamenti.
Contenuti correlati
- Per informazioni su altri prerequisiti per la distribuzione dell'agente Connected Machine, vedere Prerequisiti dell'agente connected machine.
- Prima di distribuire l'agente Connected Machine e integrarsi con altri servizi di gestione e monitoraggio di Azure, vedere la guida alla pianificazione e alla distribuzione.
- Per risolvere i problemi, vedere la guida alla risoluzione dei problemi di connessione dell'agente.
- Per un elenco completo dei requisiti di rete per le funzionalità di Azure Arc e i servizi abilitati per Azure Arc, vedere Requisiti di rete di Azure Arc (consolidato).