Requisitos de rede do agente do Connected Machine
Este tópico descreve os requisitos de rede para usar o agente de Máquina Conectada para integrar um servidor físico ou máquina virtual a servidores habilitados para Azure Arc.
Gorjeta
Para a nuvem pública do Azure, você pode reduzir o número de pontos de extremidade necessários usando o gateway do Azure Arc (visualização).
Detalhes
Geralmente, os requisitos de conectividade incluem estes princípios:
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e a máquina que executa o processo de integração atendem aos requisitos de rede neste artigo.
Os pontos de extremidade de servidor habilitados para Azure Arc são necessários para todas as ofertas de Arc baseadas em servidor.
Configuração da rede
O agente Azure Connected Machine para Linux e Windows comunica a saída com segurança para o Azure Arc através da porta TCP 443. Por padrão, o agente usa a rota padrão para a Internet para acessar os serviços do Azure. Opcionalmente, você pode configurar o agente para usar um servidor proxy se sua rede exigir. Os servidores proxy não tornam o agente da Máquina Conectada mais seguro porque o tráfego já está criptografado.
Para proteger ainda mais sua conectividade de rede com o Azure Arc, em vez de usar redes públicas e servidores proxy, você pode implementar um Escopo de Link Privado do Azure Arc .
Nota
Os servidores habilitados para Arco do Azure não oferecem suporte ao uso de um gateway do Log Analytics como proxy para o agente de Máquina Conectada. Ao mesmo tempo, o Azure Monitor Agent dá suporte ao gateway do Log Analytics.
Se a conectividade de saída for restrita pelo firewall ou servidor proxy, verifique se as URLs e tags de serviço listadas abaixo não estão bloqueadas.
Etiquetas de serviço
Certifique-se de permitir o acesso às seguintes etiquetas de serviço:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- Armazenamento
- WindowsAdminCenter (se estiver usando o Windows Admin Center para gerenciar servidores habilitados para Arc)
Para obter uma lista de endereços IP para cada tag/região de serviço, consulte o arquivo JSON Azure IP Ranges and Service Tags – Public Cloud. A Microsoft publica atualizações semanais contendo cada Serviço do Azure e os intervalos de IP que ele usa. Essas informações no arquivo JSON são a lista point-in-time atual dos intervalos de IP que correspondem a cada marca de serviço. Os endereços IP estão sujeitos a alterações. Se os intervalos de endereços IP forem necessários para sua configuração de firewall, a Tag de Serviço AzureCloud deverá ser usada para permitir o acesso a todos os serviços do Azure. Não desative o monitoramento de segurança ou a inspeção desses URLs, permita-os como faria com outro tráfego da Internet.
Se você filtrar o tráfego para a marca de serviço AzureArcInfrastructure, deverá permitir o tráfego para o intervalo completo de tags de serviço. Os intervalos anunciados para regiões individuais, por exemplo, AzureArcInfrastructure.AustraliaEast, não incluem os intervalos de IP usados pelos componentes globais do serviço. O endereço IP específico resolvido para esses pontos finais pode mudar ao longo do tempo dentro dos intervalos documentados, portanto, apenas usar uma ferramenta de pesquisa para identificar o endereço IP atual para um determinado ponto final e permitir o acesso a ele não será suficiente para garantir um acesso confiável.
Para obter mais informações, consulte Marcas de serviço de rede virtual.
URLs
A tabela abaixo lista as URLs que devem estar disponíveis para instalar e usar o agente de Máquina Conectada.
Nota
Ao configurar o agente de máquina conectada do Azure para se comunicar com o Azure por meio de um link privado, alguns pontos de extremidade ainda devem ser acessados pela Internet. A coluna Compatível com link privado na tabela a seguir mostra quais pontos de extremidade podem ser configurados com um ponto de extremidade privado. Se a coluna mostrar Público para um ponto de extremidade, você ainda deverá permitir o acesso a esse ponto de extremidade por meio do firewall e/ou servidor proxy da sua organização para que o agente funcione. O tráfego de rede é roteado através de um ponto de extremidade privado se um escopo de link privado for atribuído.
Recursos do agente | Description | Quando necessário | Compatível com link privado |
---|---|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação | No momento da instalação, apenas | Público |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows | No momento da instalação, apenas | Público |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux | No momento da instalação, apenas | Público |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Público |
*login.microsoft.com |
Microsoft Entra ID | Sempre | Público |
pas.windows.net |
Microsoft Entra ID | Sempre | Público |
management.azure.com |
Azure Resource Manager - para criar ou excluir o recurso do servidor Arc | Ao conectar ou desconectar um servidor, somente | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida | Sempre | Privado |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados | Sempre | Privado |
guestnotificationservice.azure.com , *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade | Sempre | Público |
azgn*.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade | Sempre | Público |
*.servicebus.windows.net |
Para cenários do Windows Admin Center e SSH | Se estiver usando SSH ou Windows Admin Center do Azure | Público |
*.waconazure.com |
Para conectividade do Windows Admin Center | Se estiver usando o Windows Admin Center | Público |
*.blob.core.windows.net |
Fonte de download para extensões de servidores habilitadas para Azure Arc | Sempre, exceto ao usar pontos de extremidade privados | Não usado quando o link privado está configurado |
dc.services.visualstudio.com |
Telemetria do agente | Opcional, não usado nas versões do agente 1.24+ | Público |
*.<region>.arcdataservices.com 1º |
Para Arc SQL Server. Envia serviço de processamento de dados, telemetria de serviço e monitoramento de desempenho para o Azure. Permite TLS 1.3. | Sempre | Público |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para ESUs (observação: usa HTTP/TCP 80 e HTTPS/TCP 443) | Se estiver usando ESUs habilitados pelo Azure Arc. Necessário sempre para atualizações automáticas, ou temporariamente se baixar certificados manualmente. | Público |
1 Para obter detalhes sobre quais informações são coletadas e enviadas, consulte Coleta de dados e relatórios para o SQL Server habilitado pelo Azure Arc.
Para versões de extensão até e incluindo 13 de fevereiro de 2024, use san-af-<region>-prod.azurewebsites.net
. A partir de 12 de março de 2024 , o processamento de dados do Azure Arc e a telemetria de dados do Azure Arc são usados *.<region>.arcdataservices.com
.
Nota
Para traduzir o curinga *.servicebus.windows.net
em pontos de extremidade específicos, use o comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
. Dentro desse comando, a região deve ser especificada para o <region>
espaço reservado. Estes parâmetros de avaliação podem ser alterados periodicamente.
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2
.
Por exemplo: *.<region>.arcdataservices.com
deve estar *.eastus2.arcdataservices.com
na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolo Transport Layer Security 1.2
Para garantir a segurança dos dados em trânsito para o Azure, recomendamos que você configure a máquina para usar o Transport Layer Security (TLS) 1.2. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis e, embora ainda funcionem atualmente para permitir compatibilidade com versões anteriores, não são recomendadas.
Plataforma/Idioma | Suporte | Mais Informações |
---|---|---|
Linux | As distribuições Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique o OpenSSL Changelog para confirmar se a sua versão do OpenSSL é suportada. |
Windows Server 2012 R2 e superior | Suportado e ativado por padrão. | Para confirmar que você ainda está usando as configurações padrão. |
Subconjunto de pontos finais apenas para ESU
Se você estiver usando servidores habilitados para Azure Arc somente para Atualizações de Segurança Estendidas para um ou ambos os seguintes produtos:
- Windows Server 2012
- SQL Server 2012
Você pode habilitar o seguinte subconjunto de pontos de extremidade:
Recursos do agente | Description | Quando necessário | Ponto de extremidade usado com link privado |
---|---|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação | No momento da instalação, apenas | Público |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows | No momento da instalação, apenas | Público |
login.windows.net |
Microsoft Entra ID | Sempre | Público |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Público |
*login.microsoft.com |
Microsoft Entra ID | Sempre | Público |
management.azure.com |
Azure Resource Manager - para criar ou excluir o recurso do servidor Arc | Ao conectar ou desconectar um servidor, somente | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida | Sempre | Privado |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados | Sempre | Privado |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para ESUs (observação: usa HTTP/TCP 80 e HTTPS/TCP 443) | Sempre para atualizações automáticas, ou temporariamente se baixar certificados manualmente. | Público |
*.<region>.arcdataservices.com |
Serviço de processamento de dados e telemetria de serviço do Azure Arc. | SQL Server ESUs | Público |
*.blob.core.windows.net |
Baixar pacote de extensão do Sql Server | SQL Server ESUs | Não é necessário se estiver usando o Private Link |
Próximos passos
- Analise os pré-requisitos adicionais para implantar o agente de Máquina Conectada.
- Antes de implantar o agente do Azure Connected Machine e integrar com outros serviços de gerenciamento e monitoramento do Azure, revise o guia de planejamento e implantação.
- Para resolver problemas, consulte o guia de solução de problemas de conexão do agente.
- Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc (Consolidado).