Bağlan Makine aracısı ağ gereksinimleri
Bu konuda, Azure Arc özellikli sunuculara fiziksel sunucu veya sanal makine eklemek için Bağlan Makine aracısını kullanmaya yönelik ağ gereksinimleri açıklanmaktadır.
Ayrıntılar
Genel olarak, bağlantı gereksinimleri şu ilkeleri içerir:
- Aksi belirtilmediği sürece tüm bağlantılar TCP'tir.
- Tüm HTTP bağlantıları resmi olarak imzalanmış ve doğrulanabilir sertifikalarla HTTPS ve SSL/TLS kullanır.
- Aksi belirtilmedikçe tüm bağlantılar giden bağlantılardır.
Ara sunucu kullanmak için, aracıların ve ekleme işlemini gerçekleştiren makinenin bu makaledeki ağ gereksinimlerini karşıladığını doğrulayın.
Azure Arc özellikli sunucu uç noktaları tüm sunucu tabanlı Arc teklifleri için gereklidir.
Ağ yapılandırması
Linux ve Windows için Azure Bağlan Ed Machine aracısı, 443 numaralı TCP bağlantı noktası üzerinden Azure Arc'a güvenli bir şekilde giden iletişim kurar. Varsayılan olarak aracı, Azure hizmetlerine ulaşmak için varsayılan İnternet yolunu kullanır. İsteğe bağlı olarak , ağınız gerektiriyorsa aracıyı ara sunucu kullanacak şekilde yapılandırabilirsiniz. Ara sunucu, trafik zaten şifrelenmiş olduğundan Bağlan Makine aracısını daha güvenli hale getirmez.
Azure Arc'a ağ bağlantınızın güvenliğini sağlamak için, genel ağları ve ara sunucuları kullanmak yerine azure arc Özel Bağlantı kapsamı uygulayabilirsiniz.
Not
Azure Arc özellikli sunucular, log analytics ağ geçidinin Bağlan makine aracısı için ara sunucu olarak kullanılmasını desteklemez. Azure İzleyici Aracısı aynı zamanda Log Analytics ağ geçidini de destekler.
Giden bağlantı güvenlik duvarınız veya ara sunucunuz tarafından kısıtlanmışsa, aşağıda listelenen URL'lerin ve Hizmet Etiketlerinin engellenmediğinden emin olun.
Hizmet etiketleri
Aşağıdaki Hizmet Etiketlerine erişime izin verileceğinden emin olun:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Depolama
- Windows Yönetici Center (Arc özellikli sunucuları yönetmek için Windows Yönetici Center kullanılıyorsa)
Her hizmet etiketi/bölgesi için IP adreslerinin listesi için Bkz. Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut JSON dosyası. Microsoft, her Azure Hizmetini ve kullandığı IP aralıklarını içeren haftalık güncelleştirmeler yayımlar. JSON dosyasındaki bu bilgiler, her hizmet etiketine karşılık gelen IP aralıklarının geçerli belirli bir noktaya listesidir. IP adresleri değiştirilebilir. Güvenlik duvarı yapılandırmanız için IP adresi aralıkları gerekiyorsa, tüm Azure hizmetlerine erişime izin vermek için AzureCloud Hizmet Etiketi kullanılmalıdır. Bu URL'lerin güvenlik izlemesini veya denetimini devre dışı bırakmayın, diğer İnternet trafiğinde olduğu gibi izin verin.
AzureArcInfrastructure hizmet etiketine giden trafiği filtrelerseniz, tam hizmet etiketi aralığına giden trafiğe izin vermelisiniz. AzureArcInfrastructure.AustraliaEast gibi tek tek bölgeler için tanıtılan aralıklar, hizmetin genel bileşenleri tarafından kullanılan IP aralıklarını içermez. Bu uç noktalar için çözümlenen belirli IP adresi, belgelenen aralıklar içinde zaman içinde değişebilir, bu nedenle yalnızca belirli bir uç noktanın geçerli IP adresini tanımlamak için bir arama aracı kullanmak ve güvenilir erişim sağlamak için buna erişime izin vermek yeterli olmaz.
Daha fazla bilgi için bkz . Sanal ağ hizmet etiketleri.
URL'ler
Aşağıdaki tabloda, Bağlan Makine aracısını yüklemek ve kullanmak için kullanılabilir olması gereken URL'ler listelenmiştir.
Not
Azure bağlı makine aracısını özel bir bağlantı üzerinden Azure ile iletişim kuracak şekilde yapılandırırken, bazı uç noktalara İnternet üzerinden erişmeye devam edilmelidir. Aşağıdaki tabloda özel bağlantı sütunuyla kullanılan Uç nokta, hangi uç noktaların özel uç noktayla yapılandırılabileceğini gösterir. Sütunda bir uç nokta için Genel görünüyorsa, aracının çalışması için kuruluşunuzun güvenlik duvarı ve/veya ara sunucu üzerinden bu uç noktaya erişime izin vermelisiniz.
| Aracı kaynağı | Açıklama | Gerektiğinde | Özel bağlantıyla kullanılan uç nokta |
|---|---|---|---|
aka.ms |
Yükleme sırasında indirme betiğini çözümlemek için kullanılır | Yükleme zamanında, yalnızca | Genel |
download.microsoft.com |
Windows yükleme paketini indirmek için kullanılır | Yükleme zamanında, yalnızca | Genel |
packages.microsoft.com |
Linux yükleme paketini indirmek için kullanılır | Yükleme zamanında, yalnızca | Genel |
login.windows.net |
Microsoft Entra Kimlik | Her zaman | Genel |
login.microsoftonline.com |
Microsoft Entra Kimlik | Her zaman | Genel |
pas.windows.net |
Microsoft Entra Kimlik | Her zaman | Genel |
management.azure.com |
Azure Resource Manager - Arc sunucusu kaynağını oluşturmak veya silmek için | Bir sunucuya bağlanırken veya bağlantıyı keserken, yalnızca | Kaynak yönetimi özel bağlantısı da yapılandırılmadığı sürece Genel |
*.his.arc.azure.com |
Meta veriler ve karma kimlik hizmetleri | Her zaman | Özel |
*.guestconfiguration.azure.com |
Uzantı yönetimi ve konuk yapılandırma hizmetleri | Her zaman | Özel |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Uzantı ve bağlantı senaryoları için bildirim hizmeti | Her zaman | Genel |
azgn*.servicebus.windows.net |
Uzantı ve bağlantı senaryoları için bildirim hizmeti | Her zaman | Genel |
*.servicebus.windows.net |
Windows Yönetici Center ve SSH senaryoları için | Azure'dan SSH veya Windows Yönetici Center kullanıyorsanız | Genel |
*.waconazure.com |
Windows Yönetici Center bağlantısı için | Windows Yönetici Center kullanılıyorsa | Genel |
*.blob.core.windows.net |
Azure Arc özellikli sunucu uzantıları için indirme kaynağı | Özel uç noktaların kullanılması dışında her zaman | Özel bağlantı yapılandırıldığında kullanılmaz |
dc.services.visualstudio.com |
Aracı telemetrisi | İsteğe bağlı, aracı 1.24+ sürümlerinde kullanılmaz | Genel |
*.<region>.arcdataservices.com1 |
Arc SQL Server için. Azure'a veri işleme hizmeti, hizmet telemetrisi ve performans izleme gönderir. TLS 1.3'e izin verir. | Her zaman | Genel |
www.microsoft.com/pkiops/certs |
ESU'lar için ara sertifika güncelleştirmeleri (not: HTTP/TCP 80 ve HTTPS/TCP 443 kullanır) | Azure Arc tarafından etkinleştirilen ESU'lar kullanılıyorsa. Otomatik güncelleştirmeler için veya sertifikaları el ile indiriyorsanız geçici olarak gereklidir. | Genel |
1 13 Şubat 2024'e kadar olan ve dahil olmak üzere uzantı sürümleri için kullanınsan-af-<region>-prod.azurewebsites.net. 12 Mart 2024'le başlayarak hem Azure Arc veri işleme hem de Azure Arc veri telemetrisi kullanılır*.<region>.arcdataservices.com.
Not
Joker karakteri *.servicebus.windows.net belirli uç noktalara çevirmek için komutunu \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>kullanın. Bu komut içinde, yer tutucu için <region> bölge belirtilmelidir.
Bölgesel uç noktanın bölge kesimini almak için Azure bölge adından tüm alanları kaldırın. Örneğin, Doğu ABD 2 bölgesi, bölge adı şeklindedir eastus2.
Örneğin: *.<region>.arcdataservices.com Doğu ABD 2 bölgesinde olmalıdır *.eastus2.arcdataservices.com .
Tüm bölgelerin listesini görmek için şu komutu çalıştırın:
az account list-locations -o table
Get-AzLocation | Format-Table
Aktarım Katmanı Güvenliği 1.2 protokolü
Azure'a taşınan verilerin güvenliğini sağlamak için, makineyi Aktarım Katmanı Güvenliği (TLS) 1.2 kullanacak şekilde yapılandırmanızı kesinlikle öneririz. TLS/Güvenli Yuva Katmanı'nın (SSL) eski sürümlerinin güvenlik açığı olduğu tespit edilmiştir ve geriye dönük uyumluluk sağlamak için çalışmaya devam ederken, bunlar önerilmez.
| Platform/Dil | Destek | Daha Fazla Bilgi |
|---|---|---|
| Linux | Linux dağıtımları TLS 1.2 desteği için OpenSSL'ye bağımlı olma eğilimindedir. | OpenSSL sürümünüzün desteklendiğinden emin olmak için OpenSSL Değişiklik Günlüğü'ne bakın. |
| Windows Server 2012 R2 ve üzeri | Desteklenir ve varsayılan olarak etkinleştirilir. | Hala varsayılan ayarları kullandığınızı onaylamak için. |
Yalnızca ESU için uç noktaların alt kümesi
Azure Arc özellikli sunucuları yalnızca aşağıdaki ürünlerden biri veya her ikisi için Genişletilmiş Güvenlik Güncelleştirmeler için kullanıyorsanız:
- Windows Server 2012
- SQL Server 2012
Aşağıdaki uç nokta alt kümesini etkinleştirebilirsiniz:
| Aracı kaynağı | Açıklama | Gerektiğinde | Özel bağlantıyla kullanılan uç nokta |
|---|---|---|---|
aka.ms |
Yükleme sırasında indirme betiğini çözümlemek için kullanılır | Yükleme zamanında, yalnızca | Genel |
download.microsoft.com |
Windows yükleme paketini indirmek için kullanılır | Yükleme zamanında, yalnızca | Genel |
login.windows.net |
Microsoft Entra Kimlik | Her zaman | Genel |
login.microsoftonline.com |
Microsoft Entra Kimlik | Her zaman | Genel |
management.azure.com |
Azure Resource Manager - Arc sunucusu kaynağını oluşturmak veya silmek için | Bir sunucuya bağlanırken veya bağlantıyı keserken, yalnızca | Kaynak yönetimi özel bağlantısı da yapılandırılmadığı sürece Genel |
*.his.arc.azure.com |
Meta veriler ve karma kimlik hizmetleri | Her zaman | Özel |
*.guestconfiguration.azure.com |
Uzantı yönetimi ve konuk yapılandırma hizmetleri | Her zaman | Özel |
www.microsoft.com/pkiops/certs |
ESU'lar için ara sertifika güncelleştirmeleri (not: HTTP/TCP 80 ve HTTPS/TCP 443 kullanır) | Otomatik güncelleştirmeler için her zaman veya sertifikaları el ile indiriyorsanız geçici olarak. | Genel |
*.<region>.arcdataservices.com |
Azure Arc veri işleme hizmeti ve hizmet telemetrisi. | SQL Server ESU'ları | Genel |
Sonraki adımlar
- Bağlan makine aracısını dağıtmak için ek önkoşulları gözden geçirin.
- Azure Bağlan ed Machine aracısını dağıtmadan ve diğer Azure yönetim ve izleme hizmetleriyle tümleştirmeden önce Planlama ve dağıtım kılavuzunu gözden geçirin.
- Sorunları çözmek için aracı bağlantısı sorunlarını giderme kılavuzunu gözden geçirin.
- Azure Arc özellikleri ve Azure Arc özellikli hizmetler için ağ gereksinimlerinin tam listesi için bkz . Azure Arc ağ gereksinimleri (Birleştirilmiş).