A Connected Machine Agent hálózati követelményei
Ez a témakör azt ismerteti, hogy milyen hálózati követelmények vonatkoznak arra, hogy a csatlakoztatottgép-ügynökkel fizikai kiszolgálót vagy virtuális gépet helyezhessenek üzembe az Azure Arc-kompatibilis kiszolgálókon.
Tipp.
Az Azure nyilvános felhő esetében az Azure Arc-átjáró (előzetes verzió) használatával csökkentheti a szükséges végpontok számát.
Részletek
A kapcsolati követelmények általában az alábbi alapelveket tartalmazzák:
- Az összes kapcsolat TCP, kivéve, ha másként van megadva.
- Minden HTTP-kapcsolat https és SSL/TLS protokollt használ hivatalosan aláírt és ellenőrizhető tanúsítványokkal.
- Az összes kapcsolat kimenő, kivéve, ha másként van megadva.
Proxy használatához ellenőrizze, hogy az előkészítési folyamatot végrehajtó ügynökök és a gép megfelelnek-e a jelen cikkben szereplő hálózati követelményeknek.
Az Azure Arc-kompatibilis kiszolgálóvégpontok minden kiszolgálóalapú Arc-ajánlathoz szükségesek.
Hálózatkezelési konfiguráció
A Linuxhoz és Windowshoz készült Azure Connected Machine-ügynök biztonságosan kommunikál az Azure Arc felé a 443-es TCP-porton keresztül. Alapértelmezés szerint az ügynök az alapértelmezett internetes útvonalat használja az Azure-szolgáltatások eléréséhez. Ha a hálózat megköveteli, konfigurálhatja az ügynököt proxykiszolgáló használatára. A proxykiszolgálók nem teszik biztonságosabbá a csatlakoztatott gép ügynökét, mert a forgalom már titkosítva van.
Az Azure Archoz való hálózati kapcsolat további védelme érdekében nyilvános hálózatok és proxykiszolgálók használata helyett implementálhat egy Azure Arc privát kapcsolati hatókört .
Feljegyzés
Az Azure Arc-kompatibilis kiszolgálók nem támogatják a Log Analytics-átjáró proxyként való használatát a Csatlakoztatottgép-ügynökhöz. Az Azure Monitor Agent ugyanakkor támogatja a Log Analytics-átjárót.
Ha a tűzfal vagy a proxykiszolgáló korlátozza a kimenő kapcsolatot, győződjön meg arról, hogy az alább felsorolt URL-címek és szolgáltatáscímkék nincsenek letiltva.
Szolgáltatáscímkék
Mindenképpen engedélyezze a következő szolgáltatáscímkék elérését:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Tárolás
- WindowsAdminCenter (ha a Windows Felügyeleti központot használja az Arc-kompatibilis kiszolgálók kezeléséhez)
Az egyes szolgáltatáscímkék/-régiók IP-címeinek listáját az Azure IP-tartományok és szolgáltatáscímkék – nyilvános felhő JSON-fájlban találja. A Microsoft heti frissítéseket tesz közzé, amelyek tartalmazzák az egyes Azure-szolgáltatásokat és az általa használt IP-címtartományokat. A JSON-fájlban található információk az egyes szolgáltatáscímkéknek megfelelő IP-tartományok aktuális időponthoz kötött listája. Az IP-címek változhatnak. Ha a tűzfal konfigurációjához IP-címtartományokra van szükség, akkor az AzureCloud szolgáltatáscímkét kell használni az összes Azure-szolgáltatáshoz való hozzáférés engedélyezéséhez. Ne tiltsa le ezeknek az URL-címeknek a biztonsági monitorozását vagy ellenőrzését, ne engedélyezze őket, ahogyan más internetes forgalmat.
Ha az AzureArcInfrastructure szolgáltatás címkéjére szűri a forgalmat, engedélyeznie kell a teljes szolgáltatáscímke-tartományba történő forgalmat. Az egyes régiókra (például AzureArcInfrastructure.AustraliaEast) meghirdetett tartományok nem tartalmazzák a szolgáltatás globális összetevői által használt IP-tartományokat. A végpontok meghatározott IP-címe idővel változhat a dokumentált tartományokon belül, ezért csak egy keresőeszköz használatával azonosítsa az adott végpont aktuális IP-címét, és az ahhoz való hozzáférés engedélyezése nem lesz elegendő a megbízható hozzáférés biztosításához.
További információ: Virtuális hálózati szolgáltatáscímkék.
URL-címek
Az alábbi táblázat felsorolja azokat az URL-címeket, amelyeknek elérhetőnek kell lenniük a Csatlakoztatottgép-ügynök telepítéséhez és használatához.
Feljegyzés
Ha az Azure-hoz csatlakoztatott gépügynököt úgy konfigurálja, hogy privát kapcsolaton keresztül kommunikáljon az Azure-ral, egyes végpontokat továbbra is az interneten keresztül kell elérni. Az alábbi táblázat Privát kapcsolatra képes oszlopa azt mutatja be, hogy mely végpontok konfigurálhatók privát végpontokkal. Ha az oszlopban egy végpont nyilvános , akkor is engedélyeznie kell a végpont elérését a szervezet tűzfalán és/vagy proxykiszolgálóján keresztül ahhoz, hogy az ügynök működjön. A hálózati forgalom privát végponton keresztül lesz irányítva, ha egy privát kapcsolat hatóköre van hozzárendelve.
| Ügynök erőforrása | Leírás | Szükség esetén | Privát kapcsolatra képes |
|---|---|---|---|
download.microsoft.com |
A Windows telepítőcsomagjának letöltésére szolgál | Telepítéskor csak 1 | Nyilvános |
packages.microsoft.com |
A Linux telepítési csomag letöltésére szolgál | Telepítéskor csak 1 | Nyilvános |
login.microsoftonline.com |
Microsoft Entra ID | Mindig | Nyilvános |
*login.microsoft.com |
Microsoft Entra ID | Mindig | Nyilvános |
pas.windows.net |
Microsoft Entra ID | Mindig | Nyilvános |
management.azure.com |
Azure Resource Manager – az Arc-kiszolgáló erőforrásának létrehozása vagy törlése | Kiszolgáló csatlakoztatása vagy leválasztása esetén csak | Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van |
*.his.arc.azure.com |
Metaadatok és hibrid identitásszolgáltatások | Mindig | Személyes |
*.guestconfiguration.azure.com |
Bővítménykezelési és vendégkonfigurációs szolgáltatások | Mindig | Személyes |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez | Mindig | Nyilvános |
azgn*.servicebus.windows.net |
Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez | Mindig | Nyilvános |
*.servicebus.windows.net |
Windows Felügyeleti központ és SSH-forgatókönyvek esetén | Ha SSH-t vagy Windows Felügyeleti központot használ az Azure-ból | Nyilvános |
*.waconazure.com |
A Windows Felügyeleti központ kapcsolatához | Ha a Windows Felügyeleti központot használja | Nyilvános |
*.blob.core.windows.net |
Az Azure Arc-kompatibilis kiszolgálók bővítményeinek letöltési forrása | Mindig, kivéve, ha privát végpontokat használ | Nem használható a privát kapcsolat konfigurálásakor |
dc.services.visualstudio.com |
Ügynök telemetriai adatai | Nem kötelező, nem használható az 1.24+-os ügynökverziókban | Nyilvános |
*.<region>.arcdataservices.com 2 |
Arc SQL Server esetén. Adatfeldolgozó szolgáltatást, szolgáltatás telemetriát és teljesítményfigyelést küld az Azure-nak. Engedélyezi a TLS 1.3-at. | Mindig | Nyilvános |
www.microsoft.com/pkiops/certs |
Köztes tanúsítványfrissítések az ESU-khoz (megjegyzés: HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ) | Ha az Azure Arc által engedélyezett ESU-kat használ. Mindig szükség van az automatikus frissítésekre, vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat. | Nyilvános |
1 Az URL-címhez való hozzáférésre a frissítések automatikus végrehajtásakor is szükség van.
2 Az összegyűjtött és elküldött információk részleteiért tekintse át az Azure Arc által engedélyezett SQL Server adatgyűjtését és jelentéskészítését.
A 2024. február 13-ig és a 2024. február 13-ig elérhető bővítményverziókhoz használja a következőt san-af-<region>-prod.azurewebsites.net: . 2024. március 12-től kezdve az Azure Arc-adatfeldolgozás és az Azure Arc-adattelemetria is használható*.<region>.arcdataservices.com.
Feljegyzés
A helyettesítő karakter adott végpontokra való lefordításához *.servicebus.windows.net használja a parancsot \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Ebben a parancsban a régiót meg kell adni a <region> helyőrzőhöz. Ezek a végpontok időnként változhatnak.
A regionális végpont régiószegmensének lekéréséhez távolítsa el az összes szóközt az Azure-régió nevéből. Például az USA 2. keleti régiója, a régió neve .eastus2
Például: *.<region>.arcdataservices.com az USA 2. keleti régiójában kell lennie *.eastus2.arcdataservices.com .
Az összes régió listájának megtekintéséhez futtassa ezt a parancsot:
az account list-locations -o table
Get-AzLocation | Format-Table
Transport Layer Security 1.2 protokoll
Az Azure-ba átvitt adatok biztonsága érdekében határozottan javasoljuk, hogy konfigurálja a gépet a Transport Layer Security (TLS) 1.2 használatára. A TLS/Secure Sockets Layer (SSL) régebbi verziói sebezhetőnek bizonyultak, és bár jelenleg is dolgoznak a visszamenőleges kompatibilitás érdekében, nem ajánlott.
| Platform/nyelv | Támogatás | További információ |
|---|---|---|
| Linux | A Linux-disztribúciók általában a TLS 1.2 OpenSSL-támogatására támaszkodnak. | Ellenőrizze az OpenSSL változásnaplóban , hogy az OpenSSL-verzió támogatott-e. |
| Windows Server 2012 R2 és újabb | Alapértelmezés szerint támogatott és engedélyezett. | Annak ellenőrzéséhez, hogy továbbra is az alapértelmezett beállításokat használja-e. |
Csak az ESU végpontjainak részhalmaza
Ha csak az Azure Arc-kompatibilis kiszolgálókat használja a kiterjesztett biztonsági frissítésekhez az alábbi termékek egyikéhez vagy mindkettőhöz:
- Windows Server 2012
- SQL Server 2012
A végpontok alábbi részhalmazát engedélyezheti:
| Ügynök erőforrása | Leírás | Szükség esetén | Privát kapcsolattal használt végpont |
|---|---|---|---|
download.microsoft.com |
A Windows telepítőcsomagjának letöltésére szolgál | Telepítéskor csak 1 | Nyilvános |
login.windows.net |
Microsoft Entra ID | Mindig | Nyilvános |
login.microsoftonline.com |
Microsoft Entra ID | Mindig | Nyilvános |
*login.microsoft.com |
Microsoft Entra ID | Mindig | Nyilvános |
management.azure.com |
Azure Resource Manager – az Arc-kiszolgáló erőforrásának létrehozása vagy törlése | Kiszolgáló csatlakoztatása vagy leválasztása esetén csak | Nyilvános, kivéve, ha egy erőforrás-kezelési privát kapcsolat is konfigurálva van |
*.his.arc.azure.com |
Metaadatok és hibrid identitásszolgáltatások | Mindig | Személyes |
*.guestconfiguration.azure.com |
Bővítménykezelési és vendégkonfigurációs szolgáltatások | Mindig | Személyes |
www.microsoft.com/pkiops/certs |
Köztes tanúsítványfrissítések az ESU-khoz (megjegyzés: HTTP/TCP 80 és HTTPS/TCP 443 protokollt használ) | Mindig automatikus frissítésekhez, vagy ideiglenesen, ha manuálisan tölti le a tanúsítványokat. | Nyilvános |
*.<region>.arcdataservices.com |
Azure Arc adatfeldolgozási szolgáltatás és szolgáltatás telemetriai adatok. | SQL Server ESU-k | Nyilvános |
*.blob.core.windows.net |
Sql Server-bővítménycsomag letöltése | SQL Server ESU-k | Privát hivatkozás használata esetén nem kötelező |
1 Az URL-címhez való hozzáférésre a frissítések automatikus végrehajtásakor is szükség van.
Következő lépések
- Tekintse át a csatlakoztatottgép-ügynök üzembe helyezésének további előfeltételeit.
- Mielőtt üzembe helyezené az Azure Connected Machine-ügynököt, és integrálható más Azure felügyeleti és monitorozási szolgáltatásokkal, tekintse át a tervezési és üzembe helyezési útmutatót.
- A problémák megoldásához tekintse át az ügynökkapcsolattal kapcsolatos problémák hibaelhárítási útmutatóját.
- Az Azure Arc-funkciókra és az Azure Arc-kompatibilis szolgáltatásokra vonatkozó hálózati követelmények teljes listájáért tekintse meg az Azure Arc hálózati követelményeit (konszolidált) ismertető témakört.