通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Connected Machine Agent 网络要求

本文介绍使用 Azure Connected Machine 代理将物理服务器或虚拟机载入已启用 Azure Arc 的服务器的网络要求。

提示

对于 Azure 公有云平台,可以使用 Azure Arc 网关减少所需的终结点数。

详细信息

通常,连接要求包括以下原则:

  • 除非另有说明,否则所有连接都是 TCP 连接。
  • 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
  • 除非另有说明,否则所有连接都是出站连接。

若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。

所有基于服务器的 Azure Arc 产品/服务都需要已启用 Azure Arc 的服务器终结点。

网络配置

适用于 Linux 和 Windows 的 Azure Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 默认情况下,代理使用到 Internet 的默认路由来访问 Azure 服务。 如果网络需要代理服务器,可以选择将代理配置为使用代理服务器。 由于流量已加密,代理服务器使 Connected Machine 代理更安全。

若要进一步保护与 Azure Arc 的网络连接,而不是使用公用网络和代理服务器,可以实现 Azure Arc 专用链接范围

注意

已启用 Azure Arc 的服务器不支持使用 Log Analytics 网关作为 Connected Machine 智能体的代理。 同时,Azure Monitor 代理支持 Log Analytics 网关。

如果防火墙或代理服务器限制出站连接,请确保不会阻止此处列出的 URL 和服务标记。

服务标记

请确保允许访问以下服务标记:

有关每个服务标记/区域的 IP 地址列表,请参阅 JSON 文件 Azure IP 范围和服务标记 - 公有云。 Microsoft发布包含每个 Azure 服务的每周更新及其使用的 IP 范围。 JSON 文件中的信息是对应于每个服务标记的 IP 范围的当前时间点列表。 IP 地址可能会变化。 如果防火墙配置需要 IP 地址范围,请使用 AzureCloud 服务标记允许访问所有 Azure 服务。 不要禁用这些 URL 的安全监视或检查。 像允许其他 Internet 流量一样允许这些流量。

如果你筛选发往 AzureArcInfrastructure 服务标记的流量,必须允许流量发往完整的服务标记范围。 例如,AzureArcInfrastructure.AustraliaEast 为各个区域公布的范围不包括服务全局组件所使用的 IP 范围。 为这些终结点解析的特定 IP 地址可能会在记录范围内随时间而变化。 因此,使用查找工具识别特定终结点的当前 IP 地址,并允许仅访问该 IP 地址不足以确保可靠的访问。

有关详细信息,请参阅虚拟网络服务标记

重要

若要在 Azure 政府或世纪互联运营的 Azure 中按 IP 地址筛选流量,除了使用适用于您云环境的AzureArcInfrastructure服务标记外,还要从适用于 Azure 公有云的AzureArcInfrastructure服务标记中添加 IP 地址。 2025 年 10 月 28 日之后,需要为 Azure 公有云添加 AzureArcInfrastructure 服务标记,并且不再支持由世纪互联运营的 Azure 政府和 Azure 的服务标记。

URL

下表列出了必须可用于安装和使用 Connected Machine 代理的 URL。

注意

将 Connected Machine 代理配置为通过专用链接与 Azure 通信时,仍必须通过 Internet 访问某些终结点。 下表中 支持专用链接 的列显示了可以使用专用终结点配置的终结点。 如果某个终结点的列显示“公共”,则仍必须允许通过组织的防火墙和/或代理服务器访问该终结点,以便代理正常运行。 如果分配了专用链接范围,则通过专用终结点路由网络流量。

代理资源 说明 需要时 支持专用链接
download.microsoft.com 用于下载 Windows 安装包。 仅在安装时。1 公共。
packages.microsoft.com 用于下载 Linux 安装包。 仅在安装时。1 公共。
login.microsoftonline.com Microsoft Entra ID。 总是。 公共。
*.login.microsoft.com Microsoft Entra ID。 总是。 公共。
pas.windows.net Microsoft Entra ID。 总是。 公共。
management.azure.com Azure 资源管理器用于创建或删除 Azure Arc 服务器资源。 仅当连接或断开服务器时。 公众,除非也配置了资源管理专用链接
*.his.arc.azure.com 元数据和混合标识服务。 总是。 私人。
*.guestconfiguration.azure.com 扩展管理和来宾配置服务。 总是。 私人。
guestnotificationservice.azure.com*.guestnotificationservice.azure.com 提供用于扩展功能和连接场景的通知服务。 总是。 公共。
azgn*.servicebus.windows.net*.servicebus.windows.net 扩展和连接场景的通知服务。 总是。 公共。
*.servicebus.windows.net 适用于 Windows Admin Center 和 SSH 应用场景。 如果使用来自 Azure 的 SSH 或 Windows Admin Center。 公共。
*.waconazure.com 用于 Windows Admin Center 的连接性。 如果使用 Windows Admin Center。 公共。
*.blob.core.windows.net 下载已启用 Azure Arc 的服务器扩展的源。 始终如此,除非您使用专用终结点。 配置专用链接时不使用。
dc.services.visualstudio.com 代理遥测。 可选。 代理版本 1.24+ 中未使用。 公共。
*.<region>.arcdataservices.com 2 适用于已启用 Azure Arc 的 SQL Server。 将数据处理服务、服务遥测和性能监视发送到 Azure。 仅允许传输层安全性 (TLS) 1.2 或 1.3。 使用已启用 Azure Arc 的 SQL Server。 公共。
https://<azure-keyvault-name>.vault.azure.net/https://graph.microsoft.com/2 适用于启用 Azure Arc 的 SQL Server 的 Microsoft Entra 身份验证。 如果您使用启用 Azure Arc 功能的 SQL Server。 公共。
www.microsoft.com/pkiops/certs 扩展安全更新的中间证书更新(使用 HTTP/TCP 80 和 HTTPS/TCP 443)。 如果使用 Azure Arc 启用的扩展安全更新程序。自动更新始终需要启用该功能;如果手动下载证书,则可以暂时启用。 公共。
dls.microsoft.com 由 Azure Arc 计算机用来执行许可证验证。 在启用 Azure Arc 的计算机上使用热修补、Windows Server Azure 优惠或按需付费计费时,需要启用此项。 公共。

1 当更新自动执行时,还需要访问此 URL。

2 有关收集和发送的信息的详细信息,请查看 Azure Arc 启用的 SQL Server 的数据收集和报告

对于 2024 年 2 月 13 日及之前发布的扩展版本,请使用 san-af-<region>-prod.azurewebsites.net。 从 2024 年 3 月 12 日开始,Azure Arc 数据处理和 Azure Arc 数据遥测都使用 *.<region>.arcdataservices.com

注意

若要将 *.servicebus.windows.net 通配符转换为特定终结点,请使用命令 \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>。 在此命令中,必须为 <region> 占位符指定区域。 这些终结点可能会定期更改。

要获取区域终结点的区域段,请从 Azure 区域名称中删除所有空格。 例如,“美国东部 2”区域,区域名称为 eastus2

例如:*.<region>.arcdataservices.com 应位于“美国东部 2”区域中的 *.eastus2.arcdataservices.com

要查看所有区域的列表,请运行以下命令:

az account list-locations -o table

Get-AzLocation | Format-Table

加密协议

为了确保传输到 Azure 的数据的安全性,强烈建议将计算机配置为使用 TLS 1.2 和 1.3。 发现较旧版本的 TLS/安全套接字层(SSL)易受攻击。 尽管它们目前仍可用于允许向后兼容性,但 不建议这样做。

从连接计算机代理版本 1.56(仅限 Windows)开始,必须至少为建议的 TLS 版本之一配置以下密码套件:

  • TLS 1.3 (按服务器首选顺序排列的套件):

    • TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (等同于 15360 位 RSA) FS
    • TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 位 RSA) FS

  • TLS 1.2 (按服务器首选顺序排列的套件):

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1(相当于15360 位 RSA)FS
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 位 RSA) FS

有关详细信息,请参阅 Windows TLS 配置问题

Azure Arc 终结点 *.\<region\>.arcdataservices.com 启用的 SQL Server 仅支持 TLS 1.2 和 1.3。 只有 Windows Server 2012 R2 及更高版本才支持 TLS 1.2。 Windows Server 2012 或 Windows Server 2012 R2 不支持由 Azure Arc 遥测终结点启用的 SQL Server。

平台/语言 支持 详细信息
Linux Linux 分发版往往依赖于 OpenSSL 来提供 TLS 1.2 支持。 检查 OpenSSL 更改日志 ,确认是否支持 OpenSSL 版本。
Windows Server 2012 R2 和更高版本 默认情况下已支持且已启用。 确认你仍在使用 默认设置
Windows Server 2012 部分支持。 不建议使用。 某些终结点仍然有效,但其他终结点需要 TLS 1.2 或更高版本,这在 Windows Server 2012 上不可用。

仅适用于 ESU 的终结点子集

如果将已启用 Azure Arc 的服务器仅用于以下任一产品或两种产品的扩展安全更新:

  • Windows Server 2012
  • SQL Server 2012

可启用以下终结点子集。

代理资源 说明 需要时 与专用链接一起使用的终结点
download.microsoft.com 用于下载 Windows 安装包。 仅在安装时。1 公共。
login.windows.net Microsoft Entra ID。 总是。 公共。
login.microsoftonline.com Microsoft Entra ID。 总是。 公共。
*.login.microsoft.com Microsoft Entra ID。 总是。 公共。
management.azure.com Azure 资源管理器用于创建或删除 Azure Arc 服务器资源。 仅当连接或断开服务器时。 公众,除非也配置了资源管理专用链接
*.his.arc.azure.com 元数据和混合标识服务。 总是。 私人。
*.guestconfiguration.azure.com 扩展管理和来宾配置服务。 总是。 私人。
www.microsoft.com/pkiops/certs 扩展安全更新的中间证书更新(使用 HTTP/TCP 80 和 HTTPS/TCP 443)。 始终适用于自动更新,或在手动下载证书时暂时适用。 公共。
*.<region>.arcdataservices.com Azure Arc 数据处理服务和服务遥测。 SQL Server 扩展安全更新。 公共。
*.blob.core.windows.net 下载 SQL Server 扩展包。 SQL Server 扩展安全更新。 如果使用 Azure 专用链接,则不需要。

1 自动执行更新时,还需要访问此 URL。

相关内容