persyaratan jaringan agen Mesin Koneksi

Topik ini menjelaskan persyaratan jaringan untuk menggunakan agen Koneksi ed Machine untuk onboarding server fisik atau komputer virtual ke server dengan dukungan Azure Arc.

Detail

Umumnya, persyaratan konektivitas mencakup prinsip-prinsip ini:

• Semua koneksi adalah TCP kecuali ditentukan lain.
• Semua koneksi HTTP menggunakan HTTPS dan SSL/TLS dengan sertifikat yang ditandatangani dan dapat diverifikasi secara resmi.
• Semua koneksi keluar kecuali ditentukan lain.

Untuk menggunakan proksi, verifikasi bahwa agen dan mesin yang melakukan proses onboarding memenuhi persyaratan jaringan dalam artikel ini.

Titik akhir server dengan dukungan Azure Arc diperlukan untuk semua penawaran Arc berbasis server.

Konfigurasi Jaringan

Agen Azure Koneksi ed Machine untuk Linux dan Windows berkomunikasi keluar dengan aman ke Azure Arc melalui port TCP 443. Secara default, agen menggunakan rute default ke internet untuk menjangkau layanan Azure. Anda dapat secara opsional mengonfigurasi agen untuk menggunakan server proksi jika jaringan Anda memerlukannya. Server proxy tidak membuat agen Connected Machine lebih aman karena lalu lintas sudah dienkripsi.

Untuk lebih mengamankan konektivitas jaringan Anda ke Azure Arc, alih-alih menggunakan jaringan publik dan server proksi, Anda dapat menerapkan Cakupan Azure Arc Private Link .

Catatan

Server berkemampuan Azure Arc tidak mendukung penggunaan gateway Log Analytics sebagai proksi untuk agen Connected Machine. Pada saat yang sama, Agen Azure Monitor mendukung gateway Analitik Log.

Jika konektivitas keluar dibatasi oleh firewall atau server proksi Anda, pastikan URL dan Tag Layanan yang tercantum di bawah ini tidak diblokir.

Tag layanan

Pastikan untuk mengizinkan akses ke Tag Layanan berikut:

• AzureActiveDirectory
• AzureTrafficManager
• AzureResourceManager
• AzureArcInfrastructure
• Penyimpanan
• WindowsAdminCenter (jika menggunakan Pusat Admin Windows untuk mengelola server yang diaktifkan Arc)

Untuk daftar alamat IP untuk setiap tag/wilayah layanan, lihat file JSON Rentang IP Azure dan Tag Layanan – Cloud Publik. Microsoft menerbitkan pembaruan mingguan yang berisi setiap Layanan Azure dan rentang IP yang digunakannya. Informasi dalam file JSON ini adalah daftar titik waktu saat ini dari rentang IP yang sesuai dengan setiap tag layanan. Alamat IP dapat berubah. Jika rentang alamat IP diperlukan untuk konfigurasi firewall Anda, maka Tag Layanan AzureCloud harus digunakan untuk mengizinkan akses ke semua layanan Azure. Jangan nonaktifkan pemantauan keamanan atau pemeriksaan URL ini, izinkan seperti yang Anda lakukan pada lalu lintas Internet lainnya.

Untuk informasi selengkapnya, lihat Tag layanan jaringan virtual.

URL

Tabel di bawah ini mencantumkan URL yang harus tersedia untuk menginstal dan menggunakan agen Koneksi Ed Machine.

Azure Cloud

Catatan

Saat mengonfigurasi agen mesin yang terhubung dengan Azure untuk berkomunikasi dengan Azure melalui tautan privat, beberapa titik akhir masih harus diakses melalui internet. Titik Akhir yang digunakan dengan kolom tautan privat dalam tabel berikut menunjukkan titik akhir mana yang dapat dikonfigurasi dengan titik akhir privat. Jika kolom memperlihatkan Publik untuk titik akhir, Anda masih harus mengizinkan akses ke titik akhir tersebut melalui firewall organisasi dan/atau server proksi agar agen berfungsi.

Sumber daya agen	Deskripsi	Jika diperlukan	Titik akhir yang digunakan dengan tautan privat
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya	Publik
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya	Publik
packages.microsoft.com	Digunakan untuk mengunduh paket penginstalan Linux	Pada waktu penginstalan, hanya	Publik
login.windows.net	Microsoft Entra ID	Selalu	Publik
login.microsoftonline.com	Microsoft Entra ID	Selalu	Publik
pas.windows.net	Microsoft Entra ID	Selalu	Publik
management.azure.com	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya	Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi
*.his.arc.azure.com	Layanan identitas hibrid dan metadata	Selalu	Privat
*.guestconfiguration.azure.com	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu	Privat
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com	Layanan pemberitahuan untuk skenario ekstensi dan konektivitas	Selalu	Publik
azgn*.servicebus.windows.net	Layanan pemberitahuan untuk skenario ekstensi dan konektivitas	Selalu	Publik
*.servicebus.windows.net	Untuk skenario Pusat Admin Windows dan SSH	Jika menggunakan SSH atau Pusat Admin Windows dari Azure	Publik
*.waconazure.com	Untuk konektivitas Pusat Admin Windows	Jika menggunakan Pusat Admin Windows	Publik
*.blob.core.windows.net	Unduh sumber untuk ekstensi server berkemampuan Azure Arc	Selalu, kecuali saat menggunakan titik akhir privat	Tidak digunakan saat tautan privat dikonfigurasi
dc.services.visualstudio.com	Telemetri agen	Opsional, tidak digunakan dalam versi agen 1.24+	Publik
*.<region>.arcdataservices.com1	Untuk Arc SQL Server. Mengirim layanan pemrosesan data, telemetri layanan, dan pemantauan performa ke Azure. Memungkinkan TLS 1.3.	Selalu	Publik
www.microsoft.com/pkiops/certs	Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443)	Jika menggunakan ESU yang diaktifkan oleh Azure Arc. Diperlukan selalu untuk pembaruan otomatis, atau untuk sementara jika mengunduh sertifikat secara manual.	Publik

¹ Untuk versi ekstensi hingga dan termasuk 13 Februari 2024, gunakan san-af-<region>-prod.azurewebsites.net. Dimulai dengan 12 Maret 2024 pemrosesan data Azure Arc, dan penggunaan *.<region>.arcdataservices.comtelemetri data Azure Arc .

Catatan

Untuk menerjemahkan *.servicebus.windows.net kartubebas ke titik akhir tertentu, gunakan perintah \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dalam perintah ini, wilayah harus ditentukan untuk <region> tempat penampung.

Untuk mendapatkan segmen wilayah titik akhir regional, hapus semua spasi dari nama wilayah Azure. Misalnya, wilayah US Timur 2 , nama wilayahnya adalah eastus2.

Misalnya: *.<region>.arcdataservices.com harus berada *.eastus2.arcdataservices.com di wilayah US Timur 2.

Untuk melihat daftar semua wilayah, jalankan perintah ini:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Catatan

Saat mengonfigurasi agen mesin yang terhubung dengan Azure untuk berkomunikasi dengan Azure melalui tautan privat, beberapa titik akhir masih harus diakses melalui internet. Titik Akhir yang digunakan dengan kolom tautan privat dalam tabel berikut menunjukkan titik akhir mana yang dapat dikonfigurasi dengan titik akhir privat. Jika kolom memperlihatkan Publik untuk titik akhir, Anda masih harus mengizinkan akses ke titik akhir tersebut melalui firewall organisasi dan/atau server proksi agar agen berfungsi.

Sumber daya agen	Deskripsi	Jika diperlukan	Titik akhir yang digunakan dengan tautan privat
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya	Publik
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya	Publik
packages.microsoft.com	Digunakan untuk mengunduh paket penginstalan Linux	Pada waktu penginstalan, hanya	Publik
login.microsoftonline.us	Microsoft Entra ID	Selalu	Publik
pasff.usgovcloudapi.net	Microsoft Entra ID	Selalu	Publik
management.usgovcloudapi.net	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya	Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi
*.his.arc.azure.us	Layanan identitas hibrid dan metadata	Selalu	Privat
*.guestconfiguration.azure.us	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu	Privat
*.blob.core.usgovcloudapi.net	Unduh sumber untuk ekstensi server berkemampuan Azure Arc	Selalu, kecuali saat menggunakan titik akhir privat	Tidak digunakan saat tautan privat dikonfigurasi
dc.applicationinsights.us	Telemetri agen	Opsional, tidak digunakan dalam versi agen 1.24+	Publik
www.microsoft.com/pkiops/certs	Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443)	Jika menggunakan ESU yang diaktifkan oleh Azure Arc. Diperlukan selalu untuk pembaruan otomatis, atau untuk sementara jika mengunduh sertifikat secara manual.	Publik

Microsoft Azure dioperasikan oleh 21Vianet

Sumber daya agen	Deskripsi	Jika diperlukan
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya
packages.microsoft.com	Digunakan untuk mengunduh paket penginstalan Linux	Pada waktu penginstalan, hanya
login.chinacloudapi.cn	Microsoft Entra ID	Selalu
login.partner.chinacloudapi.cn	Microsoft Entra ID	Selalu
pas.chinacloudapi.cn	Microsoft Entra ID	Selalu
management.chinacloudapi.cn	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya
*.his.arc.azure.cn	Layanan identitas hibrid dan metadata	Selalu
*.guestconfiguration.azure.cn	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu
guestnotificationservice.azure.cn, *.guestnotificationservice.azure.cn	Layanan pemberitahuan untuk skenario ekstensi dan konektivitas	Selalu
azgn*.servicebus.chinacloudapi.cn	Layanan pemberitahuan untuk skenario ekstensi dan konektivitas	Selalu
*.servicebus.chinacloudapi.cn	Untuk skenario Pusat Admin Windows dan SSH	Jika menggunakan SSH atau Pusat Admin Windows dari Azure
*.blob.core.chinacloudapi.cn	Unduh sumber untuk ekstensi server berkemampuan Azure Arc	Selalu, kecuali saat menggunakan titik akhir privat
dc.applicationinsights.azure.cn	Telemetri agen	Opsional, tidak digunakan dalam versi agen 1.24+

Protokol Transport Layer Security 1.2

Untuk memastikan keamanan data saat transit ke Azure, kami sangat menganjurkan Anda untuk mengonfigurasi komputer untuk menggunakan Transport Layer Security (TLS) 1.2. Versi TLS/Keamanan Lapisan Transportasi (SSL) yang lebih lama diketahui rentan dan meskipun saat ini masih berfungsi untuk memungkinkan kompatibilitas mundur, versi tersebut tidak disarankan.

Platform/Bahasa	Dukungan	Informasi Selengkapnya
Linux	Distribusi Linux cenderung mengandalkan OpenSSL untuk dukungan TLS 1.2.	Periksa OpenSSL Changelog untuk mengonfirmasi bahwa versi OpenSSL Anda didukung.
Windows Server 2012 R2 dan lebih tinggi	Didukung, dan diaktifkan secara default.	Untuk mengonfirmasi bahwa Anda masih menggunakan pengaturan default.

Subset titik akhir hanya untuk ESU

Jika Anda menggunakan server berkemampuan Azure Arc hanya untuk Pembaruan Keamanan Diperpanjang untuk salah satu atau kedua produk berikut:

• Windows Server 2012
• SQL Server 2012

Anda dapat mengaktifkan subset titik akhir berikut:

Azure Cloud

Sumber daya agen	Deskripsi	Jika diperlukan	Titik akhir yang digunakan dengan tautan privat
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya	Publik
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya	Publik
login.windows.net	Microsoft Entra ID	Selalu	Publik
login.microsoftonline.com	Microsoft Entra ID	Selalu	Publik
management.azure.com	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya	Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi
*.his.arc.azure.com	Layanan identitas hibrid dan metadata	Selalu	Privat
*.guestconfiguration.azure.com	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu	Privat
www.microsoft.com/pkiops/certs	Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443)	Selalu untuk pembaruan otomatis, atau sementara jika mengunduh sertifikat secara manual.	Publik
*.<region>.arcdataservices.com	Layanan pemrosesan data Azure Arc dan telemetri layanan.	SQL Server ESUs	Publik

Azure Government

Sumber daya agen	Deskripsi	Jika diperlukan	Titik akhir yang digunakan dengan tautan privat
aka.ms	Digunakan untuk mengatasi skrip unduhan selama penginstalan	Pada waktu penginstalan, hanya	Publik
download.microsoft.com	Digunakan untuk mengunduh paket penginstalan Windows	Pada waktu penginstalan, hanya	Publik
login.microsoftonline.us	Microsoft Entra ID	Selalu	Publik
management.usgovcloudapi.net	Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc	Saat menyambungkan atau memutuskan sambungan server, hanya	Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi
*.his.arc.azure.us	Layanan identitas hibrid dan metadata	Selalu	Privat
*.guestconfiguration.azure.us	Manajemen ekstensi dan layanan konfigurasi tamu	Selalu	Privat
www.microsoft.com/pkiops/certs	Pembaruan sertifikat menengah untuk ESUs (catatan: menggunakan HTTP/TCP 80 dan HTTPS/TCP 443)	Selalu untuk pembaruan otomatis, atau sementara jika mengunduh sertifikat secara manual.	Publik

Microsoft Azure dioperasikan oleh 21Vianet

Catatan

Server berkemampuan Azure Arc yang digunakan untuk Pembaruan Keamanan Diperpanjang untuk Windows Server 2012 tidak tersedia di Microsoft Azure yang dioperasikan oleh wilayah 21Vianet saat ini.

Langkah berikutnya

• Tinjau prasyarat tambahan untuk menyebarkan agen Koneksi ed Machine.
• Sebelum Anda menyebarkan agen Azure Koneksi ed Machine dan berintegrasi dengan layanan manajemen dan pemantauan Azure lainnya, tinjau panduan Perencanaan dan penyebaran.
• Untuk mengatasi masalah, tinjau panduan pemecahan masalah koneksi agen.
• Untuk daftar lengkap persyaratan jaringan untuk fitur Azure Arc dan layanan dengan dukungan Azure Arc, lihat Persyaratan jaringan Azure Arc (Terkonsolidasi).