Connected Machine Agent 网络要求
本主题介绍使用 Connected Machine Agent 将物理服务器或虚拟机载入到已启用 Azure Arc 的服务器的网络要求。
详细信息
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
所有基于服务器的 Arc 产品/服务都需要已启用 Azure Arc 的服务器终结点。
网络配置
适用于 Linux 和 Windows 的 Azure Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 默认情况下,代理使用到 Internet 的默认路由来访问 Azure 服务。 如果网络需要代理服务器,可以选择将代理配置为使用代理服务器。 由于流量已加密,代理服务器使 Connected Machine 代理更安全。
若要进一步确保你的网络连接到 Azure Arc,而不是使用公共网络和代理服务器,可以实现 Azure Arc 专用链接范围。
注意
已启用 Azure Arc 的服务器不支持使用 Log Analytics 网关作为 Connected Machine 代理的代理。 在此期间,Azure Monitor 代理支持 Log Analytics 网关。
如果防火墙或代理服务器限制了出站连接,请确保不要阻止下面列出的 URL 和服务标记。
服务标记
确保允许对以下服务标记进行访问:
- AzureActiveDirectory
- AzureTrafficManager
- AzureResourceManager
- AzureArcInfrastructure
- 存储
- WindowsAdminCenter(如果使用 Windows Admin Center 来管理启用了 Arc 的服务器)
有关每个服务标记/区域的 IP 地址列表,请参阅 JSON 文件 - Azure IP 范围和服务标记 - 中国云。 Azure 每周将发布包含每个 Azure 服务及其使用的 IP 范围的更新。 JSON 文件中的这个信息是与每个服务标记对应的 IP 地址的当前实时列表。 IP 地址可能会变化。 如果防火墙配置需要 IP 地址范围,则应使用 AzureCloud 服务标记允许对所有 Azure 服务的访问。 请勿禁用对这些 URL 的安全监视或检查,但就像允许其他 Internet 流量一样允许这些 URL。
如果你筛选发往 AzureArcInfrastruct 服务标记的流量,必须允许流量发往完整的服务标记范围。 为这些终结点解析的特定 IP 地址可能会随着时间在记录的范围内发生变化,因此仅使用查找工具来识别给定终结点的当前 IP 地址并允许访问该地址并不足以确保访问可靠。
有关详细信息,请参阅虚拟网络服务标记。
URL
下表列出了安装和使用 Connected Machine Agent 时必须可用的 URL。
| 代理资源 | 说明 | 需要时 |
|---|---|---|
aka.ms |
用于在安装过程中解析下载脚本 | 仅用于安装时 |
download.microsoft.com |
用于下载 Windows 安装包 | 仅用于安装时 |
packages.microsoft.com |
用于下载 Linux 安装包 | 仅用于安装时 |
login.chinacloudapi.cn |
Microsoft Entra ID | 始终 |
login.partner.microsoftonline.cn |
Microsoft Entra ID | 始终 |
pas.chinacloudapi.cn |
Microsoft Entra ID | Always |
management.chinacloudapi.cn |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 | 仅连接或断开服务器时 |
*.his.arc.azure.cn |
元数据和混合标识服务 | 始终 |
*.guestconfiguration.azure.cn |
扩展管理和来宾配置服务 | 始终 |
guestnotificationservice.azure.cn、*.guestnotificationservice.azure.cn |
扩展和连接方案的通知服务 | 始终 |
azgn*.servicebus.chinacloudapi.cn |
扩展和连接方案的通知服务 | 始终 |
*.servicebus.chinacloudapi.cn |
对于 Windows Admin Center 和 SSH 方案 | 如果从 Azure 中使用 SSH 或 Windows Admin Center |
*.blob.core.chinacloudapi.cn |
下载启用了 Azure Arc 的服务器扩展的源 | 始终,使用专用终结点时除外 |
dc.applicationinsights.azure.cn |
代理遥测 | 可选,不用于代理版本 1.24+ |
传输层安全性 1.2 协议
为了确保传输到 Azure 的数据的安全性,我们强烈建议你将计算机配置为使用传输层安全性 (TLS) 1.2。 我们发现旧版 TLS/安全套接字层 (SSL) 容易受到攻击,尽管目前出于向后兼容,这些协议仍可正常工作,但我们不建议使用。
| 平台/语言 | 支持 | 更多信息 |
|---|---|---|
| Linux | Linux 分发版往往依赖于 OpenSSL 来提供 TLS 1.2 支持。 | 请检查 OpenSSL 变更日志,确认你的 OpenSSL 版本是否受支持。 |
| Windows Server 2012 R2 和更高版本 | 受支持,并且默认已启用。 | 确认是否仍在使用默认设置。 |
仅限 ESU 的终结点子集
对于下面一种或全部两种产品,如果仅对扩展安全更新使用已启用 Azure Arc 的服务器,请执行以下操作:
- Windows Server 2012
- SQL Server 2012
可启用以下终结点子集:
| 代理资源 | 说明 | 需要时 | 与专用链接一起使用的终结点 |
|---|---|---|---|
aka.ms |
用于在安装过程中解析下载脚本 | 仅用于安装时 | 公共 |
download.microsoft.com |
用于下载 Windows 安装包 | 仅用于安装时 | 公共 |
login.chinacloudapi.cn |
Microsoft Entra ID | 始终 | 公共 |
login.partner.microsoftonline.cn |
Microsoft Entra ID | 始终 | 公用 |
management.chinacloudapi.cn |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 | 仅连接或断开服务器时 | 公共,除非还配置了资源管理专用链接 |
*.his.arc.azure.cn |
元数据和混合标识服务 | Always | 专用 |
*.guestconfiguration.azure.cn |
扩展管理和来宾配置服务 | Always | Private |
www.microsoft.com/pkiops/certs |
ESU 的中间证书更新(注意:请使用 HTTP/TCP 80 和 HTTPS/TCP 443) | 如果是自动更新,则始终使用;如果手动下载证书,则临时使用。 | 公用 |
注意
目前,适用于 Windows Server 2012 的扩展安全更新所用的已启用 Azure Arc 的服务器在世纪互联运营的 Azure 区域中不可用。
后续步骤
- 查看部署 Connected Machine Agent 的其他先决条件。
- 在部署 Azure Connected Machine 代理并与其他 Azure 管理和监视服务集成之前,请先查看规划和部署指南。
- 若要解决问题,请查看代理连接问题故障排除指南。
- 有关 Azure ARC 功能和支持 Azure ARC 的服务的网络要求的完整列表,请参阅 AzureARC 网络要求(合并)。