Connected Machine 에이전트 네트워크 요구 사항
이 항목에서는 Connected Machine 에이전트를 사용하여 물리적 서버 또는 가상 머신을 Azure Arc 지원 서버에 온보딩하기 위한 네트워킹 요구 사항에 대해 설명합니다.
세부 정보
일반적으로 연결 요구 사항에는 다음 원칙이 포함됩니다.
- 달리 지정하지 않는 한 모든 연결은 TCP입니다.
- 모든 HTTP 연결은 공식적으로 서명되고 확인 가능한 인증서와 함께 HTTPS 및 SSL/TLS를 사용합니다.
- 달리 지정하지 않는 한 모든 연결은 아웃바운드입니다.
프록시를 사용하려면 온보딩 프로세스를 수행하는 에이전트와 컴퓨터가 이 문서의 네트워크 요구 사항을 충족하는지 확인합니다.
Azure Arc 지원 서버 엔드포인트는 모든 서버 기반 Arc 제품에 필요합니다.
네트워킹 구성
Linux 및 Windows용 Azure Connected Machine 에이전트는 TCP 포트 443을 통해 안전하게 Azure Arc로 아웃바운드 통신을 수행합니다. 기본적으로 에이전트는 인터넷에 대한 기본 경로를 사용하여 Azure 서비스에 연결합니다. 선택적으로 네트워크에 필요한 경우 프록시 서버를 사용하도록 에이전트를 구성할 수 있습니다. 트래픽이 이미 암호화되어 있기 때문에 프록시 서버를 사용해도 Connected Machine 에이전트가 더 안전해지지 않습니다.
공용 네트워크 및 프록시 서버를 사용하는 대신 Azure Arc에 대한 네트워크 연결을 더욱 안전하게 보호하려면 Azure Arc Private Link 범위를 구현할 수 있습니다.
참고 항목
Azure Arc 지원 서버는 Connected Machine 에이전트에 대한 프록시로 Log Analytics 게이트웨이를 사용하는 것을 지원하지 않습니다. 동시에 Azure Monitor 에이전트는 Log Analytics 게이트웨이를 지원합니다.
방화벽 또는 프록시 서버가 아웃바운드 연결을 제한하는 경우 아래에 나열된 URL 및 서비스 태그가 차단되지 않았는지 확인합니다.
서비스 태그
다음 서비스 태그에 대한 액세스를 허용합니다.
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 스토리지
- WindowsAdminCenter(Windows Admin Center를 사용하여 Arc 지원 서버를 관리하는 경우)
각 서비스 태그/지역의 IP 주소 목록은 JSON 파일 Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드를 참조하세요. Microsoft는 각 Azure 서비스 및 여기에 사용되는 IP 범위를 포함하는 주간 업데이트를 게시합니다. JSON 파일의 이 정보는 각 서비스 태그에 해당하는 IP 범위의 현재 지정 시간 목록입니다. IP 주소는 변경될 수 있습니다. 방화벽 구성에 IP 주소 범위가 필요한 경우 모든 Azure 서비스에 대한 액세스를 허용하기 위해 AzureCloud 서비스 태그를 사용해야 합니다. 이러한 URL의 보안 모니터링 또는 검사를 해제하지 말고, 다른 인터넷 트래픽처럼 허용합니다.
AzureArcInfrastructure 서비스 태그에 대한 트래픽을 필터링하는 경우 전체 서비스 태그 범위에 대한 트래픽을 허용해야 합니다. AzureArcInfrastructure.AustraliaEast와 같은 개별 지역에 대해 보급된 범위에는 서비스의 전역 구성 요소에서 사용하는 IP 범위가 포함되지 않습니다. 이러한 엔드포인트에 대해 확인된 특정 IP 주소는 문서화된 범위 내에서 시간이 지남에 따라 변경될 수 있으므로 조회 도구를 사용하여 지정된 엔드포인트의 현재 IP 주소를 식별하고 이에 대한 액세스를 허용하는 것만으로는 신뢰할 수 있는 액세스를 보장하기에 충분하지 않습니다.
자세한 내용은 가상 네트워크 서비스 태그를 참조하세요.
URL
아래 표에는 Connected Machine 에이전트를 설치하고 사용하기 위해 사용 가능해야 하는 URL이 나와 있습니다.
참고 항목
프라이빗 링크를 통해 Azure와 통신하도록 Azure 연결된 컴퓨터 에이전트를 구성할 때 일부 엔드포인트는 여전히 인터넷을 통해 액세스해야 합니다. 다음 표의 프라이빗 링크와 함께 사용되는 엔드포인트 열은 프라이빗 엔드포인트로 구성할 수 있는 엔드포인트를 보여 줍니다. 열에 엔드포인트에 대한 공용이 표시되는 경우 에이전트가 작동하려면 조직의 방화벽 및/또는 프록시 서버를 통해 해당 엔드포인트에 대한 액세스를 계속 허용해야 합니다.
| 에이전트 리소스 | 설명 | 필요한 경우 | 프라이빗 링크와 함께 사용되는 엔드포인트 |
|---|---|---|---|
aka.ms |
설치 중 다운로드 스크립트를 해결하는 데 사용됨 | 설치 시에만 | 공공 사업 |
download.microsoft.com |
Windows 설치 패키지를 다운로드하는 데 사용됨 | 설치 시에만 | 공공 사업 |
packages.microsoft.com |
Linux 설치 패키지를 다운로드하는 데 사용됨 | 설치 시에만 | 공공 사업 |
login.windows.net |
Microsoft Entra ID | 항상 | 공공 사업 |
login.microsoftonline.com |
Microsoft Entra ID | 항상 | 공공 사업 |
pas.windows.net |
Microsoft Entra ID | 항상 | 공공 사업 |
management.azure.com |
Azure Resource Manager - Arc 서버 리소스 만들기 또는 삭제 | 서버를 연결하거나 연결을 끊을 때만 | 리소스 관리 프라이빗 링크도 구성되지 않는 한 공용 |
*.his.arc.azure.com |
메타데이터 및 하이브리드 ID 서비스 | 항상 | 프라이빗 |
*.guestconfiguration.azure.com |
확장 관리 및 게스트 구성 서비스 | 항상 | 프라이빗 |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
확장 및 연결 시나리오에 대한 알림 서비스 | 항상 | 공공 사업 |
azgn*.servicebus.windows.net |
확장 및 연결 시나리오에 대한 알림 서비스 | 항상 | 공공 사업 |
*.servicebus.windows.net |
Windows Admin Center 및 SSH 시나리오의 경우 | Azure에서 SSH 또는 Windows Admin Center 사용하는 경우 | 공공 사업 |
*.waconazure.com |
Windows Admin Center 연결의 경우 | Windows Admin Center 사용하는 경우 | 공공 사업 |
*.blob.core.windows.net |
Azure Arc 지원 서버 확장에 대한 원본 다운로드 | 프라이빗 엔드포인트를 사용하는 경우를 제외하고 항상 | 프라이빗 링크가 구성된 경우 사용되지 않음 |
dc.services.visualstudio.com |
에이전트 원격 분석 | 선택 사항, 에이전트 버전 1.24 이상에서는 사용되지 않음 | 공공 사업 |
*.<region>.arcdataservices.com1 |
Arc SQL Server의 경우 데이터 처리 서비스, 서비스 원격 분석 및 성능 모니터링을 Azure로 보냅니다. TLS 1.3을 허용합니다. | 항상 | 공공 사업 |
www.microsoft.com/pkiops/certs |
ESU에 대한 중간 인증서 업데이트(참고: HTTP/TCP 80 및 HTTPS/TCP 443 사용) | Azure Arc에서 사용하도록 설정된 ESU를 사용하는 경우 자동 업데이트에 항상 필요하거나 인증서를 수동으로 다운로드하는 경우 일시적으로 필요합니다. | 공공 사업 |
12024년 2월 13일을 포함한 확장 버전의 경우 san-af-<region>-prod.azurewebsites.net(을)를 사용합니다. 2024년 3월 12일부터 Azure Arc 데이터 처리와 Azure Arc 데이터 원격 분석 모두 *.<region>.arcdataservices.com(을)를 사용합니다.
참고 항목
*.servicebus.windows.net 와일드카드를 특정 엔드포인트로 변환하려면 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region> 명령을 사용합니다. 이 명령 내에서 <region> 자리 표시자에 대한 지역을 지정해야 합니다.
지역 엔드포인트의 지역 세그먼트를 가져오려면 Azure 지역 이름에서 모든 공백을 제거합니다. 예를 들어, 미국 동부 2 지역의 경우 지역 이름은 eastus2입니다.
예: *.<region>.arcdataservices.com은 미국 동부 2 지역에서 *.eastus2.arcdataservices.com여야 합니다.
모든 지역 목록을 보려면 다음 명령을 실행합니다.
az account list-locations -o table
Get-AzLocation | Format-Table
전송 계층 보안 1.2 프로토콜
Azure로 전송되는 데이터의 보안을 보장하려면 TLS(전송 계층 보안) 1.2를 사용하도록 머신을 구성하는 것이 좋습니다. 이전 버전의 TLS/SSL(Secure Sockets Layer)은 취약한 것으로 나타났으며, 여전히 이전 버전과 호환되지만 사용하지 않는 것이 좋습니다.
| 플랫폼/언어 | 지원 | 추가 정보 |
|---|---|---|
| Linux | Linux 배포판은 TLS 1.2 지원에 대해 OpenSSL을 사용하는 경향이 있습니다. | OpenSSL Changelog를 확인하여 OpenSSL 버전이 지원되는지 확인합니다. |
| Windows Server 2012 R2 이상 | 지원되며 기본적으로 사용하도록 설정됩니다. | 기본 설정을 여전히 사용하는지 확인하려면 |
ESU 전용 엔드포인트의 하위 집합
다음 제품 중 하나 또는 둘 다에 대해 확장 보안 업데이트에만 Azure Arc 지원 서버를 사용하는 경우:
- Windows Server 2012
- SQL Server 2012
엔드포인트의 다음 하위 집합을 사용하도록 설정할 수 있습니다.
| 에이전트 리소스 | 설명 | 필요한 경우 | 프라이빗 링크와 함께 사용되는 엔드포인트 |
|---|---|---|---|
aka.ms |
설치 중 다운로드 스크립트를 해결하는 데 사용됨 | 설치 시에만 | 공공 사업 |
download.microsoft.com |
Windows 설치 패키지를 다운로드하는 데 사용됨 | 설치 시에만 | 공공 사업 |
login.windows.net |
Microsoft Entra ID | 항상 | 공공 사업 |
login.microsoftonline.com |
Microsoft Entra ID | 항상 | 공공 사업 |
management.azure.com |
Azure Resource Manager - Arc 서버 리소스 만들기 또는 삭제 | 서버를 연결하거나 연결을 끊을 때만 | 리소스 관리 프라이빗 링크도 구성되지 않는 한 공용 |
*.his.arc.azure.com |
메타데이터 및 하이브리드 ID 서비스 | 항상 | 프라이빗 |
*.guestconfiguration.azure.com |
확장 관리 및 게스트 구성 서비스 | 항상 | 프라이빗 |
www.microsoft.com/pkiops/certs |
ESU에 대한 중간 인증서 업데이트(참고: HTTP/TCP 80 및 HTTPS/TCP 443 사용) | 자동 업데이트의 경우 항상, 인증서를 수동으로 다운로드하는 경우 일시적입니다. | 공공 사업 |
*.<region>.arcdataservices.com |
Azure Arc 데이터 처리 서비스 및 서비스 원격 분석. | SQL Server ESU | 공공 사업 |
다음 단계
- Connected Machine 에이전트를 배포하기 위한 추가 필수 구성 요소를 검토합니다.
- Azure Connected Machine 에이전트를 배포하고 다른 Azure 관리 및 모니터링 서비스와 통합하기 전에 계획 및 배포 가이드를 검토합니다.
- 문제를 해결하려면 에이전트 연결 문제 해결 가이드를 검토합니다.
- Azure Arc 기능 및 Azure Arc 지원 서비스에 대한 네트워크 요구 사항 전체 목록은 Azure Arc 네트워크 요구 사항(통합)을 참조하세요.