Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе описываются требования к сети для использования агента подключенного компьютера для подключения физического сервера или виртуальной машины к серверам с поддержкой Azure Arc.
Совет
Для общедоступного облака Azure можно уменьшить количество необходимых конечных точек с помощью шлюза Azure Arc (предварительная версия).
Сведения
Как правило, требования к подключению включают следующие принципы:
- Все подключения являются TCP, если иное не указано.
- Все HTTP-подключения используют ПРОТОКОЛ HTTPS и SSL/TLS с официально подписанными и проверяемыми сертификатами.
- Все подключения исходящие, если иное не указано.
Чтобы использовать прокси-сервер, убедитесь, что агенты и компьютер, выполняющие процесс подключения, соответствуют требованиям к сети в этой статье.
Конечные точки сервера с поддержкой Azure Arc необходимы для всех предложений Arc на основе сервера.
Конфигурации сети
Агент подключенного компьютера Azure для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. По умолчанию агент использует маршрут по умолчанию к Интернету для доступа к службам Azure. При необходимости агент можно настроить для использования прокси-сервера , если сеть требует его. Прокси-серверы не делают агент Connected Machine более безопасным, поскольку трафик уже зашифрован.
Для дальнейшего обеспечения безопасности сетевого подключения к Azure Arc, вместо использования общедоступных сетей и прокси-серверов, можно реализовать область приватного канала Azure Arc.
Примечание.
Серверы с поддержкой Azure Arc не поддерживают использование шлюза Log Analytics в качестве прокси-сервера для агента подключенного компьютера. В то же время агент Azure Monitor поддерживает шлюз Log Analytics.
Если исходящее подключение ограничено брандмауэром или прокси-сервером, убедитесь, что URL-адреса и теги служб, перечисленные ниже, не блокируются.
Теги сервисов
Обязательно разрешите доступ к следующим тегам службы:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- Azure Arc Infrastructure
- Хранилище
- WindowsAdminCenter (при использовании Windows Admin Center для управления серверами с поддержкой Arc)
Список IP-адресов для каждого тега службы или региона см. в файле JSON для диапазонов IP-адресов Azure и тегов служб — общедоступного облака. Корпорация Майкрософт публикует еженедельные обновления, содержащие каждую службу Azure и диапазоны IP-адресов, которые она использует. Эта информация в JSON-файле является актуальным списком точек во времени для диапазонов IP-адресов, соответствующих каждому тегу службы. IP-адреса могут изменяться. Если для настройки брандмауэра требуются диапазоны IP-адресов, то для предоставления доступа ко всем службам Azure следует использовать тег службы AzureCloud. Не отключайте мониторинг безопасности или проверку URL-адресов, но предоставьте такие же разрешения, как для интернет-трафика.
Если вы фильтруете трафик для тега службы AzureArcInfrastructure, необходимо разрешить трафик на весь диапазон тега службы. Диапазоны, объявленные для отдельных регионов, например AzureArcInfrastructure.AustraliaEast, не включают диапазоны IP-адресов, используемые глобальными компонентами службы. Определенный IP-адрес, разрешенный для этих конечных точек, может измениться со временем в документированных диапазонах, поэтому просто с помощью средства поиска для идентификации текущего IP-адреса для данной конечной точки и разрешения доступа к ней недостаточно для обеспечения надежного доступа.
Дополнительные сведения см. в разделе теги служб виртуальной сети.
URL-адреса
В таблице ниже перечислены URL-адреса, которые должны быть доступны для установки и использования агента подключенного компьютера.
Примечание.
При настройке агента подключенной машины Azure для обмена данными с Azure через приватный канал некоторые конечные точки по-прежнему должны быть доступны через Интернет. Столбец с возможностью приватного подключения в следующей таблице показывает, какие конечные точки можно настроить с помощью приватной конечной точки. Если в столбце отображается общедоступная конечная точка, необходимо по-прежнему разрешить доступ к этой конечной точке через брандмауэр вашей организации и (или) прокси-сервер для работы агента. Сетевой трафик направляется через частную конечную точку, если назначена область приватного канала.
| Ресурс агента | Описание | При необходимости | Возможность использования приватной ссылки |
|---|---|---|---|
download.microsoft.com |
Используется для скачивания пакета установки Windows | Во время установки только 1 | Общедоступный |
packages.microsoft.com |
Используется для скачивания пакета установки Linux | Во время установки только 1 | Общедоступный |
login.microsoftonline.com |
Microsoft Entra ID | Всегда | Общедоступный |
*.login.microsoft.com |
Microsoft Entra ID | Всегда | Общедоступный |
pas.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
management.azure.com |
Azure Resource Manager — создание или удаление ресурса сервера Arc | При подключении или отключении сервера только | Общедоступная, если не настроена приватная ссылка на управление ресурсами |
*.his.arc.azure.com |
Метаданные и гибридные сервисы идентификации | Всегда | Частный |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации | Всегда | Частный |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Служба уведомлений для сценариев расширения и подключения | Всегда | Общедоступный |
azgn*.servicebus.windows.net |
Служба уведомлений для сценариев расширения и подключения | Всегда | Общедоступный |
*.servicebus.windows.net |
Для сценариев использования Windows Admin Center и SSH | При использовании SSH или Центра администрирования Windows из Azure | Общедоступный |
*.waconazure.com |
Для подключения к Центру администрирования Windows. | При использовании Windows Admin Center | Общедоступный |
*.blob.core.windows.net |
Загрузка источника для расширений серверов, совместимых с Azure Arc | Всегда, за исключением использования частных конечных точек | Не используется при настройке приватного канала |
dc.services.visualstudio.com |
Данные телеметрии агента | Необязательный, не используемый в агентах версии 1.24+ | Общедоступный |
*.<region>.arcdataservices.com
2 |
Для Arc SQL Server. Отправляет службу обработки данных, телеметрию служб и мониторинг производительности в Azure. Разрешает только TLS 1.2 или 1.3. | Всегда | Общедоступный |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для ESUs (примечание: использует HTTP/TCP 80 и HTTPS/TCP 443) | Если используются ESUs, которые активированы через Azure Arc. Требуется всегда для автоматических обновлений или временно при ручной загрузке сертификатов. | Общедоступный |
dls.microsoft.com |
Используется компьютерами Arc, зарегистрированными в Hotpatch | Требуется при включении горячего патчинга на машинах с включенной поддержкой Arc. | Общедоступный |
1 Доступ к этому URL-адресу также необходим при автоматическом выполнении обновлений.
2 Для получения дополнительной информации о том, какие сведения собираются и отправляются, ознакомьтесь с сбором данных и составлением отчетов для SQL Server с поддержкой Azure Arc.
Для версий расширений до и включая 13 февраля 2024 г. используйте san-af-<region>-prod.azurewebsites.net. Начиная с 12 марта 2024 г. как в обработке данных Azure Arc, так и в телеметрии данных Azure Arc используется *.<region>.arcdataservices.com.
Примечание.
Чтобы преобразовать *.servicebus.windows.net подстановочный знак в конкретные конечные точки, используйте команду \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. В рамках этой команды необходимо указать регион для заполнителя <region>. Эти конечные точки могут периодически изменяться.
Чтобы получить сегмент региональной конечной точки, удалите все пробелы из названия региона Azure. Например, регион "East US 2", имя региона — eastus2.
Например, *.<region>.arcdataservices.com должно быть заменено на *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".
Чтобы просмотреть список всех регионов, выполните следующую команду:
az account list-locations -o table
Get-AzLocation | Format-Table
Протокол TLS 1.2
Чтобы обеспечить безопасность данных, передаваемых в Azure, настоятельно рекомендуем настроить для компьютера использование протокола TLS версии 1.2. Более старые версии протоколов TLS/SSL оказались уязвимы. Хотя они все еще используются для обеспечения обратной совместимости, применять их не рекомендуется.
Конечные точки Azure Arc, расположенные по адресу *.<region>.arcdataservices.com, поддерживают только TLS 1.2 и 1.3 для SQL Server. Только Windows Server 2012 R2 и более поздних версий поддерживают TLS 1.2. SQL Server с точкой сбора телеметрии Azure Arc не поддерживается для Windows Server 2012 или Windows Server 2012 R2.
| Платформа или язык | Поддержка | Дополнительные сведения |
|---|---|---|
| Linux | Как правило, дистрибутивы Linux для поддержки протокола TLS 1.2 используют OpenSSL. | Убедитесь, что ваша версия OpenSSL поддерживается, проверив журнал изменений OpenSSL. |
| Windows Server 2012 R2 и более поздних версий; | Поддерживается и включена по умолчанию. | Убедитесь, что вы все еще используете параметры по умолчанию. |
| Windows Server 2012 | Частично поддерживается. Не рекомендуется. | Некоторые конечные точки, как указано выше, будут работать, но для некоторых конечных точек требуется TLS 1.2 или более поздней версии, которые недоступны в Windows Server 2012. |
Подмножество точек доступа, предназначенное только для ESU
Если вы используете серверы с поддержкой Azure Arc только для расширенных обновлений безопасности для любого из следующих продуктов:
- Windows Server 2012
- SQL Server 2012
Вы можете включить следующее подмножество конечных точек:
| Ресурс агента | Описание | При необходимости | Конечная точка, используемая с частной ссылкой |
|---|---|---|---|
download.microsoft.com |
Используется для скачивания пакета установки Windows | Во время установки только 1 | Общедоступный |
login.windows.net |
Microsoft Entra ID | Всегда | Общедоступный |
login.microsoftonline.com |
Microsoft Entra ID | Всегда | Общедоступный |
*.login.microsoft.com |
Microsoft Entra ID | Всегда | Общедоступный |
management.azure.com |
Azure Resource Manager — создание или удаление ресурса сервера Arc | При подключении или отключении сервера только | Общедоступная, если не настроена приватная ссылка на управление ресурсами |
*.his.arc.azure.com |
Метаданные и гибридные сервисы идентификации | Всегда | Частный |
*.guestconfiguration.azure.com |
Службы управления расширениями и гостевой конфигурации | Всегда | Частный |
www.microsoft.com/pkiops/certs |
Обновления промежуточного сертификата для ESUs (примечание: использует HTTP/TCP 80 и HTTPS/TCP 443) | Всегда для автоматических обновлений или временно при скачивании сертификатов вручную. | Общедоступный |
*.<region>.arcdataservices.com |
Служба обработки данных Azure Arc и данные телеметрии служб. | Расширенные обновления безопасности (ESUs) для SQL Server | Общедоступный |
*.blob.core.windows.net |
Скачивание пакета расширения SQL Server | Расширенные обновления безопасности (ESUs) для SQL Server | Не требуется, если используется Приватный канал |
1 Доступ к этому URL-адресу также необходим при автоматическом выполнении обновлений.
Следующие шаги
- Ознакомьтесь с дополнительными предварительными условиями для развертывания агента для подключенной машины.
- Перед развертыванием агента подключенного компьютера Azure и интеграции с другими службами управления и мониторинга Azure ознакомьтесь с руководством по планированию и развертыванию.
- Чтобы устранить проблемы, ознакомьтесь с руководством по устранению неполадок с подключением агента.
- Полный список требований к сети для функций Azure Arc и служб с поддержкой Azure Arc см. в статье о требованиях к сети Azure Arc (Консолидировано).