Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются требования к сети для использования агента подключенного компьютера Azure для подключения физического сервера или виртуальной машины к серверам с поддержкой Azure Arc.
Совет
Для общедоступной облачной платформы Azure можно уменьшить количество необходимых конечных точек с помощью шлюза Azure Arc.
Сведения
Как правило, требования к подключению включают следующие принципы:
- Все подключения являются TCP, если иное не указано.
- Все HTTP-подключения используют ПРОТОКОЛ HTTPS и SSL/TLS с официально подписанными и проверяемыми сертификатами.
- Все подключения исходящие, если иное не указано.
Чтобы использовать прокси-сервер, убедитесь, что агенты и компьютер, выполняющие процесс подключения, соответствуют требованиям к сети в этой статье.
Конечные точки серверов, поддерживаемые Azure Arc, необходимы для всех предложений Azure Arc для серверов.
Конфигурации сети
Агент подключенного компьютера Azure для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. По умолчанию агент использует маршрут по умолчанию к Интернету для доступа к службам Azure. При необходимости агент можно настроить для использования прокси-сервера , если сеть требует его. Прокси-серверы не делают агент Connected Machine более безопасным, поскольку трафик уже зашифрован.
Для дальнейшего обеспечения безопасности сетевого подключения к Azure Arc вместо использования общедоступных сетей и прокси-серверов можно реализовать область приватного канала Azure Arc.
Примечание.
Серверы с поддержкой Azure Arc не поддерживают использование шлюза Log Analytics в качестве прокси-сервера для агента подключенного компьютера. В то же время агент Azure Monitor поддерживает шлюзы Log Analytics.
Если брандмауэр или прокси-сервер ограничивает исходящее подключение, убедитесь, что URL-адреса и теги служб, перечисленные здесь, не блокируются.
Теги сервисов
Обязательно разрешите доступ к следующим тегам службы:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(если вы используете Windows Admin Center для управления серверами с поддержкой Azure Arc)
Список IP-адресов для каждого тега службы и региона см. в файле JSON Azure IP Ranges and Service Tags - Public Cloud. Корпорация Майкрософт публикует еженедельные обновления, содержащие каждую службу Azure и диапазоны IP-адресов, которые он использует. Сведения в JSON-файле — это текущий список диапазонов IP-адресов, соответствующих каждому тегу службы. IP-адреса могут изменяться. Если диапазоны IP-адресов необходимы для конфигурации брандмауэра, используйте AzureCloud тег службы, чтобы разрешить доступ ко всем службам Azure. Не отключайте контроль безопасности и проверку этих URL-адресов. Разрешите им доступ так же, как и для другого интернет-трафика.
Если вы фильтруете трафик к тегу службы, необходимо разрешить трафик в полный AzureArcInfrastructure диапазон тегов службы. Диапазоны, объявленные для отдельных регионов, например, AzureArcInfrastructure.AustraliaEastне включают диапазоны IP-адресов, используемые глобальными компонентами службы. Определенный IP-адрес, разрешенный для этих конечных точек, может измениться со временем в документированных диапазонах. По этой причине использование инструмента поиска для определения текущего IP-адреса определенной конечной точки и разрешение доступа только к этому IP-адресу недостаточно для обеспечения надежного доступа.
Дополнительные сведения см. в разделе теги служб виртуальной сети.
Это важно
Для фильтрации трафика по IP-адресам в Azure для государственных организаций или в Azure, управляемом 21Vianet, обязательно добавьте IP-адреса из AzureArcInfrastructure тега службы для общедоступного облака Azure, а также используйте AzureArcInfrastructure тег службы для вашего облака. После 28 октября 2025 г. потребуется добавить AzureArcInfrastructure тег службы для общедоступного облака Azure, а теги служб для Azure для государственных организаций и Azure, управляемые 21Vianet, больше не будут поддерживаться.
URL-адреса
В этой таблице перечислены URL-адреса, которые должны быть доступны для установки и использования агента подключенного компьютера.
Примечание.
При настройке агента подключенного компьютера для взаимодействия с Azure через приватный канал некоторые конечные точки по-прежнему должны быть доступны через Интернет. Столбец с поддержкой приватного канала в следующей таблице отображает конечные точки, которые можно настроить с помощью частной конечной точки. Если в столбце отображается общедоступная конечная точка, необходимо по-прежнему разрешить доступ к этой конечной точке через брандмауэр вашей организации и (или) прокси-сервер для работы агента. Сетевой трафик направляется через частные конечные точки, если назначена область приватного канала.
| Ресурс агента | Описание | При необходимости | Возможность использования приватной ссылки |
|---|---|---|---|
download.microsoft.com |
Используется для скачивания пакета установки Windows. | Только во время установки. 1 | Общественный. |
packages.microsoft.com |
Используется для скачивания пакета установки Linux. | Только во время установки. 1 | Общественный. |
login.microsoftonline.com |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
*.login.microsoft.com |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
pas.windows.net |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
management.azure.com |
Azure Resource Manager используется для создания или удаления ресурса сервера Azure Arc. | Только при подключении или отключении сервера. | Общедоступная, если не настроена приватная ссылка на управление ресурсами . |
*.his.arc.azure.com |
Метаданные и службы гибридной идентификации. | Всегда. | Частный. |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации. | Всегда. | Частный. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Служба уведомлений для сценариев расширения и подключения. | Всегда. | Общественный. |
azgn*.servicebus.windows.net или *.servicebus.windows.net |
Служба уведомлений для сценариев расширения и подключения. | Всегда. | Общественный. |
*.servicebus.windows.net |
Для сценариев Windows Admin Center и Secure Shell (SSH). | Если вы используете SSH или Windows Admin Center из Azure. | Общественный. |
*.waconazure.com |
Для подключения к Windows Admin Center. | Если вы используете Windows Admin Center. | Общественный. |
*.blob.core.windows.net |
Скачайте источник для расширений сервера с поддержкой Azure Arc. | Всегда, за исключением случаев использования частных конечных точек. | Не используется при настройке приватного канала. |
dc.services.visualstudio.com |
Данные телеметрии агента. | Необязательно. Не используется в версиях агента 1.24+. | Общественный. |
*.<region>.arcdataservices.com
2 |
Для SQL Server с поддержкой Azure Arc. Отправляет службу обработки данных, телеметрию служб и мониторинг производительности в Azure. Разрешает использование только протоколов Transport Layer Security (TLS) 1.2 или 1.3. | Если вы используете SQL Server с поддержкой Azure Arc. | Общественный. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Для аутентификации Microsoft Entra на сервере SQL с поддержкой Azure Arc. | Если вы используете SQL Server с поддержкой Azure Arc. | Общественный. |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для расширенных обновлений системы безопасности (использует http/TCP 80 и HTTPS/TCP 443). | Если вы используете расширенные обновления безопасности, включенные Azure Arc. Всегда требуется для автоматического обновления или временно при загрузке сертификатов вручную. | Общественный. |
dls.microsoft.com |
Используется компьютерами Azure Arc для проверки лицензий. | Требуется при использовании горячего патчирования, преимуществ Windows Server в Azure или выставления счетов по модели pay-as-you-go на компьютерах с поддержкой Azure Arc. | Общественный. |
1 Доступ к этому URL-адресу также необходим при автоматическом выполнении обновлений.
2 Для получения дополнительной информации о том, какие сведения собираются и отправляются, ознакомьтесь с сбором данных и составлением отчетов для SQL Server с поддержкой Azure Arc.
Для версий расширений до 13 февраля 2024 г. используйте .san-af-<region>-prod.azurewebsites.net Начиная с 12 марта 2024 г., как обработка данных Azure Arc, так и телеметрия данных Azure Arc используют *.<region>.arcdataservices.com.
Примечание.
Чтобы преобразовать *.servicebus.windows.net подстановочный знак в конкретные конечные точки, используйте команду \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. В рамках этой команды необходимо указать регион для заполнителя <region>. Эти конечные точки могут периодически изменяться.
Чтобы получить сегмент региональной конечной точки, удалите все пробелы из названия региона Azure. Например, регион "East US 2", имя региона — eastus2.
Например, *.<region>.arcdataservices.com должно быть заменено на *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".
Чтобы просмотреть список всех регионов, выполните следующую команду:
az account list-locations -o table
Get-AzLocation | Format-Table
Криптографические протоколы
Чтобы обеспечить безопасность передаваемых данных в Azure, настоятельно рекомендуется настроить компьютеры для использования TLS 1.2 и 1.3. Более старые версии ПРОТОКОЛА TLS/Secure Sockets Layer (SSL) оказались уязвимыми. Хотя они по-прежнему работают, чтобы обеспечить обратную совместимость, они не рекомендуется.
Начиная с версии 1.56 агента подключенного компьютера (только для Windows), следующие наборы шифров должны быть настроены по крайней мере для одной из рекомендуемых версий TLS:
TLS 1.3 (пакеты шифрования в предпочтительном порядке сервера):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (эквивалент 15360 бит RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (экв. 3072 бит RSA) FS
TLS 1.2 (наборы шифров в порядке предпочтения сервера):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (экв. 15360 бит RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS
Дополнительные сведения см. в статье о проблемах с конфигурацией TLS Для Windows.
SQL Server, работающий с конечными точками Azure Arc, *.\<region\>.arcdataservices.com поддерживающими только TLS 1.2 и 1.3. Только Windows Server 2012 R2 и более поздних версий поддерживают TLS 1.2. SQL Server, активируемый конечной точкой телеметрии Azure Arc, не поддерживается на Windows Server 2012 и Windows Server 2012 R2.
| Платформа или язык | Поддержка | Дополнительные сведения |
|---|---|---|
| Линукс | Как правило, дистрибутивы Linux для поддержки протокола TLS 1.2 используют OpenSSL. | Проверьте журнал изменений OpenSSL , чтобы убедиться, что поддерживается версия OpenSSL. |
| Windows Server 2012 R2 и более поздние версии | Поддерживается и включена по умолчанию. | Убедитесь, что вы по-прежнему используете параметры по умолчанию. |
| Windows Server 2012 | Частично поддерживается. Не рекомендуется. | Некоторые конечные точки по-прежнему работают, но другие конечные точки требуют TLS 1.2 или более поздней версии, которые недоступны в Windows Server 2012. |
Подмножество точек доступа, предназначенное только для ESU
Если вы используете серверы с поддержкой Azure Arc только для расширенных обновлений системы безопасности для любого из следующих продуктов:
- Windows Server 2012
- SQL Server 2012
Можно включить следующее подмножество конечных точек.
| Ресурс агента | Описание | При необходимости | Конечная точка, используемая с частной ссылкой |
|---|---|---|---|
download.microsoft.com |
Используется для скачивания пакета установки Windows. | Только во время установки. 1 | Общественный. |
login.windows.net |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
login.microsoftonline.com |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
*.login.microsoft.com |
Идентификатор Microsoft Entra. | Всегда. | Общественный. |
management.azure.com |
Azure Resource Manager используется для создания или удаления ресурса сервера Azure Arc. | Только при подключении или отключении сервера. | Общедоступная, если не настроена приватная ссылка на управление ресурсами . |
*.his.arc.azure.com |
Метаданные и службы гибридной идентификации. | Всегда. | Частный. |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации. | Всегда. | Частный. |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для расширенных обновлений системы безопасности (использует http/TCP 80 и HTTPS/TCP 443). | Всегда для автоматических обновлений или временно при загрузке сертификатов вручную. | Общественный. |
*.<region>.arcdataservices.com |
Служба обработки данных Azure Arc и данные телеметрии служб. | Расширенные обновления безопасности SQL Server. | Общественный. |
*.blob.core.windows.net |
Скачайте пакет расширения SQL Server. | Расширенные обновления безопасности SQL Server. | Не обязательно, если вы используете Приватный канал Azure. |
1 Доступ к этому URL-адресу также необходим при автоматическом выполнении обновлений.
Связанный контент
- Дополнительные сведения о предварительных требованиях для развертывания агента подключенного компьютера см. в разделе предварительные требования для агента подключенного компьютера.
- Перед развертыванием агента подключенного компьютера и интеграции с другими службами управления и мониторинга Azure ознакомьтесь с руководством по планированию и развертыванию.
- Чтобы устранить проблемы, ознакомьтесь с руководством по устранению неполадок с подключением агента.
- Полный список требований к сети для функций Azure Arc и служб с поддержкой Azure Arc см. в статье о требованиях к сети Azure Arc (Консолидировано).