連線機器代理程序網路需求
本主題描述使用 連線 計算機代理程式將實體伺服器或虛擬機上線至已啟用 Azure Arc 的伺服器的網路需求。
詳細資料
一般而言,連線需求包括下列原則:
- 除非另有指定,否則所有連線都是 TCP。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 除非另有指定,否則所有連線都會輸出。
若要使用 Proxy,請確認執行上線程式的代理程式和電腦符合本文中的網路需求。
所有伺服器型 Arc 供應專案都需要已啟用 Azure Arc 的伺服器端點。
網路設定
適用於Linux和 Windows 的 Azure 連線 機器代理程式會透過 TCP 連接埠 443 安全地向 Azure Arc 通訊。 根據預設,代理程式會使用因特網的預設路由來連線到 Azure 服務。 如果您的網路需要 Proxy 伺服器,您可以選擇性地 將代理程式設定為使用 Proxy 伺服器 。 Proxy 伺服器不會讓 連線 的計算機代理程式更安全,因為流量已經加密。
若要進一步保護您的 Azure Arc 網路連線,而不是使用公用網路和 Proxy 伺服器,您可以實 作 Azure Arc Private Link 範圍 。
注意
已啟用 Azure Arc 的伺服器不支援使用 Log Analytics 閘道作為 連線 機器代理程式的 Proxy。 同時,Azure 監視器代理程序支援 Log Analytics 閘道。
如果您的防火牆或 Proxy 伺服器限制輸出連線,請確定下列 URL 和服務卷標不會遭到封鎖。
服務標籤
請務必允許存取下列服務標籤:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 儲存體
- Windows 管理員 Center(如果使用 Windows 管理員 Center 來管理已啟用 Arc 的伺服器)
如需每個服務標籤/區域的IP位址清單,請參閱 JSON 檔案 Azure IP 範圍和服務標籤 – 公用雲端。 Microsoft 會每周發佈包含每個 Azure 服務及其使用的IP範圍更新。 JSON 檔案中的資訊是對應至每個服務標籤之 IP 範圍的目前時間點清單。 IP 位址可能會變更。 如果您的防火牆設定需要IP位址範圍,則 應該使用 AzureCloud 服務標籤來允許存取所有 Azure 服務。 請勿停用這些 URL 的安全性監視或檢查,請允許它們,就像您其他因特網流量一樣。
如果您篩選 AzureArcInfrastructure 服務標籤的流量,則必須允許流量進入完整的服務卷標範圍。 針對個別區域公告的範圍,例如 AzureArcInfrastructure.AustraliaEast,不包含服務全域元件所使用的 IP 範圍。 針對這些端點解析的特定IP位址可能會隨著時間在記載範圍內變更,因此只要使用查閱工具來識別指定端點的目前IP位址,並允許存取該位址並不足以確保可靠的存取。
如需詳細資訊,請參閱 虛擬網路服務標籤。
URL
下表列出必須可用的 URL,才能安裝和使用 連線 的電腦代理程式。
注意
設定 Azure 連線機器代理程式以透過私人連結與 Azure 通訊時,某些端點仍必須透過因特網存取。 下表中搭配私人鏈接數據行使用的端點會顯示哪些端點可以使用私人端點來設定。 如果數據行顯示 端點的公用 ,您仍然必須允許透過組織的防火牆和/或 Proxy 伺服器存取該端點,讓代理程式能夠運作。
代理程式資源 | 描述 | 需要時 | 搭配私人連結使用的端點 |
---|---|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 | 僅限安裝期間 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 僅限安裝期間 | 公開 |
packages.microsoft.com |
用來下載Linux安裝套件 | 僅限安裝期間 | 公開 |
login.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
pas.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 僅限連線或中斷伺服器連線時 | 公用,除非同時設定了資源管理私人連結 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 | 永遠 | 私人 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 | 永遠 | 私用 |
guestnotificationservice.azure.com , *.guestnotificationservice.azure.com |
擴充功能和連線案例的通知服務 | 永遠 | 公開 |
azgn*.servicebus.windows.net |
擴充功能和連線案例的通知服務 | 永遠 | 公開 |
*.servicebus.windows.net |
針對 Windows 管理員 中心和 SSH 案例 | 如果從 Azure 使用 SSH 或 Windows 管理員 中心 | 公開 |
*.waconazure.com |
針對 Windows 管理員 中心連線 | 如果使用 Windows 管理員 Center | 公開 |
*.blob.core.windows.net |
下載已啟用 Azure Arc 的伺服器擴充功能來源 | 一律,除非使用私人端點 | 設定私人連結時未使用 |
dc.services.visualstudio.com |
代理程序遙測 | 選擇性,不適用於代理程式 1.24+ 版 | 公開 |
*.<region>.arcdataservices.com 1 |
針對 Arc SQL Server。 將數據處理服務、服務遙測和效能監視傳送至 Azure。 允許 TLS 1.3。 | 永遠 | 公開 |
www.microsoft.com/pkiops/certs |
ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 如果使用 Azure Arc 所啟用的 ESU。自動更新一律為必要專案,或手動下載憑證時暫時需要。 | 公開 |
1 針對 2024 年 2 月 13 日和包含的擴充功能版本,請使用 san-af-<region>-prod.azurewebsites.net
。 從 2024 年 3 月 12 日開始,Azure Arc 數據處理和 Azure Arc 數據遙測都會使用 *.<region>.arcdataservices.com
。
注意
若要將 *.servicebus.windows.net
通配符轉譯為特定端點,請使用 命令 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
。 在此命令中,必須為佔位元指定 <region>
區域。
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2
。
例如:*.<region>.arcdataservices.com
在美國東部 2 區域中應為 *.eastus2.arcdataservices.com
。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
傳輸層安全性 1.2 通訊協定
為了確保傳輸至 Azure 的數據安全性,強烈建議您將電腦設定為使用傳輸層安全性 (TLS) 1.2。 我們已發現較舊版本的 TLS/安全通訊端層 (SSL) 較易受到攻擊,而且在其目前的運作中仍允許回溯相容性,因此並不建議使用這些版本。
平台/語言 | 支援 | 相關資訊 |
---|---|---|
Linux | Linux 發行版本通常會依賴 OpenSSL 來取得 TLS 1.2 支援。 | 請檢查 OpenSSL 變更記錄來確認支援的 OpenSSL 版本。 |
Windows Server 2012 R2 和更新版本 | 支援且預設會啟用。 | 請確認您仍在使用預設設定。 |
僅限 ESU 的端點子集
如果您只針對下列其中一項或兩項產品使用已啟用 Azure Arc 的伺服器來進行延伸安全性更新:
- Windows Server 2012
- SQL Server 2012
您可以啟用下列端點子集:
代理程式資源 | 描述 | 需要時 | 搭配私人連結使用的端點 |
---|---|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 | 僅限安裝期間 | 公開 |
download.microsoft.com |
用來下載 Windows 安裝套件 | 僅限安裝期間 | 公開 |
login.windows.net |
Microsoft Entra ID | 永遠 | 公開 |
login.microsoftonline.com |
Microsoft Entra ID | 永遠 | 公開 |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 | 僅限連線或中斷伺服器連線時 | 公用,除非同時設定了資源管理私人連結 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 | 永遠 | 私人 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 | 永遠 | 私人 |
www.microsoft.com/pkiops/certs |
ESU 的中繼憑證更新 (注意:使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 自動更新時一律採用,或手動下載憑證時暫時採用。 | 公開 |
*.<region>.arcdataservices.com |
Azure Arc 數據處理服務和服務遙測。 | SQL Server ESU | 公開 |
下一步
- 檢閱部署 連線 機器代理程式的其他必要條件。
- 在部署 Azure Connected Machine 代理程式,並與其他 Azure 管理和監視服務整合之前,請先檢閱規劃和部署指南。
- 若要解決問題,請檢閱 代理程式連線問題疑難解答指南。
- 如需 Azure Arc 功能和已啟用 Azure Arc 服務之網路需求的完整清單,請參閱 Azure Arc 網路需求(合併)。