網路安全性

本文說明已啟用 Azure Arc 的伺服器的網路需求和選項。

一般網路

已啟用 Azure Arc 的伺服器是軟體即服務供應項目，其中包含所有客戶共用的全域和區域端點組合。 來自 Azure Connected Machine Agent 的所有網路通訊都會輸出至 Azure。 Azure 永遠不會「連入」您的網路來管理您的電腦。 這些連線一律會使用 TLS 憑證加密。 代理程式所存取的端點和 IP 位址清單記載於網路需求。

您安裝的延伸模組可能需要 Azure Arc 網路需求中未包含的額外端點。 如需該解決方案網路需求的進一步資訊，請參閱延伸模組文件。

如果您的組織使用 TLS 檢查，Azure Connected Machine Agent 不會使用憑證關聯，而且會繼續運作，只要您的電腦信任 TLS 檢查服務所提供的憑證。 某些 Azure Arc 延伸模組會使用憑證關聯，而且必須從 TLS 檢查中排除。 請參閱文件中您部署的任何延伸模組，以判斷它們是否支援 TLS 檢查。

私人端點

私人端點是選擇性 Azure 網路技術，可讓網路流量透過 Express Route 或站對站 VPN 傳送，且更細微地控制哪些機器可使用 Azure Arc。透過私人端點，您可使用組織的網路位址空間中的私人 IP 位址來存取 Azure Arc 雲端服務。 此外，只有您授權的伺服器能夠透過這些端點傳送資料，以防止在您的網路中未經授權使用 Azure Connected Machine Agent。

請務必注意，私人端點並未支援所有端點和所有案例。 您仍然需要為某些端點產生防火牆例外狀況，例如 Microsoft Entra ID，其未提供私人端點解決方案。 您安裝的任何延伸模組可能需要其他私人端點 (如果支援)，或存取其服務的公用端點。 此外，您無法使用 SSH 或 Windows Admin Center 透過私人端點存取您的伺服器。

無論您使用私人或公用端點，Azure Connected Machine Agent 與 Azure 之間傳輸的資料一律都會加密。 您隨時都可以從公用端點開始，稍後在業務需求變更時切換至私人端點 (反之亦然)。