本主题介绍使用 Connected Machine Agent 将物理服务器或虚拟机载入到已启用 Azure Arc 的服务器的网络要求。
详细信息
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
所有基于服务器的 Arc 产品/服务都需要已启用 Azure Arc 的服务器终结点。
网络配置
适用于 Linux 和 Windows 的 Azure Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 默认情况下,代理使用到 Internet 的默认路由来访问 Azure 服务。 如果网络需要代理服务器,可以选择将代理配置为使用代理服务器。 由于流量已加密,代理服务器使 Connected Machine 代理更安全。
若要进一步保护与 Azure Arc 的网络连接,而不是使用公用网络和代理服务器,可以实现 Azure Arc 专用链接范围。
注意
已启用 Azure Arc 的服务器不支持使用 Log Analytics 网关 作为 Connected Machine 代理程序的代理服务器。 在此期间,Azure Monitor 代理支持 Log Analytics 网关。
如果防火墙或代理服务器限制出站连接,请确保不会阻止此处列出的 URL 和服务标记。
服务标记
请确保允许访问以下服务标记:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 存储
- WindowsAdminCenter (如果使用 Windows Admin Center 管理已启用 Arc 的服务器)
有关每个服务标记/区域的 IP 地址列表,请参阅 JSON 文件 - Azure IP 范围和服务标记 - 中国云。 Azure 每周将发布包含每个 Azure 服务及其使用的 IP 范围的更新。 JSON 文件中的信息是对应于每个服务标记的 IP 范围的当前时间点列表。 IP 地址可能会变化。 如果防火墙配置需要 IP 地址范围,则应使用 AzureCloud 服务标记来允许访问所有 Azure 服务。 不要禁用这些 URL 的安全监控或检查;请像对待其他互联网流量一样允许这些 URL。
如果过滤到 AzureArcInfrastructure 服务标记的流量,则必须允许全服务标记范围内的流量。 为这些终结点解析的特定 IP 地址可能会随着时间推移在记录范围内而变化。 因此,使用查找工具标识给定终结点的当前 IP 地址,并允许仅访问该 IP 地址是不够的,以确保可靠的访问。
有关详细信息,请参阅虚拟网络服务标记。
重要
若要在 Azure 政府或由世纪互联运营的 Microsoft Azure 中按 IP 地址筛选流量,请务必在使用你的云的 AzureArcInfrastructure 服务标记的同时,还要从 Azure 公有云的 AzureArcInfrastructure 服务标记中添加 IP 地址。 2025 年 10 月 28 日之后,需要为 Azure 公有云添加 AzureArcInfrastructure 服务标记,并且不再支持由世纪互联运营的 Azure 政府和 Microsoft Azure 的服务标记。
URL
下表列出了必须可用的 URL 才能安装和使用 Connected Machine 代理。
| 代理资源 | 说明 | 需要时 |
|---|---|---|
download.microsoft.com |
用于下载 Windows 安装包 | 仅在安装时1 |
packages.microsoft.com |
用于下载 Linux 安装包 | 仅在安装时1 |
login.chinacloudapi.cn |
Microsoft Entra ID | 始终 |
login.partner.microsoftonline.cn |
Microsoft Entra ID | 始终 |
pas.chinacloudapi.cn |
Microsoft Entra ID | 始终 |
management.chinacloudapi.cn |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 | 仅连接或断开服务器时 |
*.his.arc.azure.cn |
元数据和混合标识服务 | 始终 |
*.guestconfiguration.azure.cn |
扩展管理和来宾配置服务 | 始终 |
guestnotificationservice.azure.cn,*.guestnotificationservice.azure.cn |
扩展和连接方案的通知服务 | 始终 |
azgn*.servicebus.chinacloudapi.cn |
扩展和连接方案的通知服务 | 始终 |
*.servicebus.chinacloudapi.cn |
对于 Windows Admin Center 和 SSH 方案 | 如果从 Azure 中使用 SSH 或 Windows Admin Center |
*.blob.core.chinacloudapi.cn |
下载启用了 Azure Arc 的服务器扩展的源 | 始终,使用专用终结点时除外 |
dc.applicationinsights.azure.cn |
代理遥测 | 可选,不用于代理版本 1.24+ |
1 自动进行更新时也需要访问此 URL。
加密协议
为了确保传输到 Azure 的数据的安全性,强烈建议将计算机配置为使用传输层安全性 (TLS) 1.2 和 1.3。 旧版 TLS/安全套接字层(SSL)被发现易受攻击,尽管它们目前仍可用于允许向后兼容性,但 不建议这样做。
从连接计算机代理版本 1.56(仅限 Windows)开始,必须至少为建议的 TLS 版本之一配置以下密码套件:
TLS 1.3 (按服务器首选顺序排列的套件):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (等同于 15360 位 RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 位 RSA) FS
TLS 1.2 (按服务器首选顺序排列的套件):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1(相当于15360 位 RSA)FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 位 RSA) FS
有关详细信息,请参阅 Windows TLS 配置问题。
| 平台/语言 | 支持 | 更多信息 |
|---|---|---|
| Linux | Linux 分发版往往依赖于 OpenSSL 来提供 TLS 1.2 支持。 | 请检查 OpenSSL 变更日志,确认你的 OpenSSL 版本是否受支持。 |
| Windows Server 2012 R2 和更高版本 | 受支持,并且默认已启用。 | 确认你仍在使用 默认设置。 |
| Windows Server 2012 | 部分支持。 不推荐。 | 某些终结点仍然有效,但其他终结点需要 TLS 1.2 或更高版本,这在 Windows Server 2012 上不可用。 |
仅限 ESU 的终结点子集
对于下面一种或全部两种产品,如果仅对扩展安全更新使用已启用 Azure Arc 的服务器,请执行以下操作:
- Windows Server 2012
- SQL Server 2012
注意
目前,适用于 Windows Server 2012 的扩展安全更新所用的已启用 Azure Arc 的服务器在世纪互联运营的 Azure 区域中不可用。
后续步骤
- 查看部署 Connected Machine Agent 的其他先决条件。
- 在部署 Azure Connected Machine 代理并与其他 Azure 管理和监视服务集成之前,请先查看规划和部署指南。
- 若要解决问题,请查看代理连接问题故障排除指南。
- 有关 Azure ARC 功能和支持 Azure ARC 的服务的网络要求的完整列表,请参阅 AzureARC 网络要求(合并)。