Persyaratan jaringan agen Connected Machine
Topik ini menjelaskan persyaratan jaringan untuk menggunakan agen Connected Machine untuk onboarding server fisik atau komputer virtual ke server yang didukung Azure Arc.
Konfigurasi Jaringan
Agen Azure Connected Machine untuk Linux dan Windows berkomunikasi keluar dengan aman ke Azure Arc melalui port TCP 443. Secara default, agen menggunakan rute default ke internet untuk menjangkau layanan Azure. Anda dapat secara opsional mengonfigurasi agen untuk menggunakan server proksi jika jaringan Anda memerlukannya. Server proxy tidak membuat agen Connected Machine lebih aman karena lalu lintas sudah dienkripsi.
Untuk lebih mengamankan konektivitas jaringan Anda ke Azure Arc, alih-alih menggunakan jaringan publik dan server proksi, Anda dapat menerapkan Azure Arc Private Link Scope .
Catatan
Server berkemampuan Azure Arc tidak mendukung penggunaan gateway Log Analytics sebagai proksi untuk agen Connected Machine.
Jika konektivitas keluar dibatasi oleh firewall atau server proksi Anda, pastikan URL dan Tag Layanan yang tercantum di bawah ini tidak diblokir.
Tag layanan
Pastikan untuk mengizinkan akses ke Tag Layanan berikut:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Penyimpanan
- WindowsAdminCenter (jika menggunakan Windows Admin Center untuk mengelola server yang didukung Arc)
Untuk daftar alamat IP untuk setiap tag/wilayah layanan, lihat file JSON Rentang IP Azure dan Tag Layanan – Cloud Publik. Microsoft menerbitkan pembaruan mingguan yang berisi setiap Layanan Azure dan rentang IP yang digunakannya. Informasi dalam file JSON ini adalah daftar titik waktu saat ini dari rentang IP yang sesuai dengan setiap tag layanan. Alamat IP dapat berubah. Jika rentang alamat IP diperlukan untuk konfigurasi firewall Anda, maka Tag Layanan AzureCloud harus digunakan untuk mengizinkan akses ke semua layanan Azure. Jangan nonaktifkan pemantauan keamanan atau pemeriksaan URL ini, izinkan seperti yang Anda lakukan pada lalu lintas Internet lainnya.
Untuk informasi selengkapnya, lihat Tag layanan jaringan virtual.
URL
Tabel di bawah ini mencantumkan URL yang harus tersedia untuk menginstal dan menggunakan agen Connected Machine.
| Sumber daya agen | Deskripsi | Jika diperlukan | Titik akhir yang digunakan dengan tautan privat |
|---|---|---|---|
aka.ms |
Digunakan untuk mengatasi skrip unduhan selama penginstalan | Pada waktu penginstalan, hanya | Publik |
download.microsoft.com |
Digunakan untuk mengunduh paket penginstalan Windows | Pada waktu penginstalan, hanya | Publik |
packages.microsoft.com |
Digunakan untuk mengunduh paket penginstalan Linux | Pada waktu penginstalan, hanya | Publik |
login.windows.net |
Azure Active Directory | Selalu | Publik |
login.microsoftonline.com |
Azure Active Directory | Selalu | Publik |
pas.windows.net |
Azure Active Directory | Selalu | Publik |
management.azure.com |
Azure Resource Manager - untuk membuat atau menghapus sumber daya server Arc | Saat menyambungkan atau memutuskan sambungan server, hanya | Publik, kecuali tautan privat manajemen sumber daya juga dikonfigurasi |
*.his.arc.azure.com |
Layanan identitas hibrid dan metadata | Selalu | Privat |
*.guestconfiguration.azure.com |
Manajemen ekstensi dan layanan konfigurasi tamu | Selalu | Privat |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Layanan pemberitahuan untuk skenario ekstensi dan konektivitas | Selalu | Privat |
azgn*.servicebus.windows.net |
Layanan pemberitahuan untuk skenario ekstensi dan konektivitas | Selalu | Publik |
*.servicebus.windows.net |
Untuk skenario Windows Admin Center dan SSH | Jika menggunakan SSH atau Windows Admin Center dari Azure | Publik |
*.blob.core.windows.net |
Unduh sumber untuk ekstensi server berkemampuan Azure Arc | Selalu, kecuali saat menggunakan titik akhir privat | Tidak digunakan saat tautan privat dikonfigurasi |
dc.services.visualstudio.com |
Telemetri agen | Opsional | Publik |
Protokol Transport Layer Security 1.2
Untuk memastikan keamanan data saat transit ke Azure, kami sangat menganjurkan Anda untuk mengonfigurasi komputer untuk menggunakan Transport Layer Security (TLS) 1.2. Versi TLS/Keamanan Lapisan Transportasi (SSL) yang lebih lama diketahui rentan dan meskipun saat ini masih berfungsi untuk memungkinkan kompatibilitas mundur, versi tersebut tidak disarankan.
| Platform/Bahasa | Dukungan | Informasi lebih lanjut: {0} |
|---|---|---|
| Linux | Distribusi Linux cenderung mengandalkan OpenSSL untuk dukungan TLS 1.2. | Periksa OpenSSL Changelog untuk mengonfirmasi bahwa versi OpenSSL Anda didukung. |
| Windows Server 2012 R2 dan lebih tinggi | Didukung, dan diaktifkan secara default. | Untuk mengonfirmasi bahwa Anda masih menggunakan pengaturan default. |
Langkah berikutnya
- Tinjau prasyarat tambahan untuk menyebarkan agen Connected Machine.
- Sebelum Anda menyebarkan agen server berkemampuan Azure Arc dan berintegrasi dengan layanan manajemen dan pemantauan Azure lainnya, tinjau Panduan perencanaan dan penyebaran.
- Untuk mengatasi masalah, tinjau panduan pemecahan masalah koneksi agen.