网络安全性

本文介绍已启用 Azure Arc 的服务器的网络要求和选项。

常规网络

已启用 Azure Arc 的服务器是一种软件即服务产品,其中包含所有客户共享的全球终结点和区域终结点的组合。 来自 Azure Connected Machine 代理的所有网络通信都出站到 Azure。 Azure 永远不会“进入”你的网络去管理你的计算机。 这些连接会始终使用 TLS 证书进行加密。 代理访问的终结点和 IP 地址的列表记录在网络要求中。

需要安装的扩展可能需要使用 Azure Arc 网络要求中未包含的额外终结点。 可参阅扩展文档了解相关解决方案网络要求的详细信息。

如果你的组织使用 TLS 检查服务,则 Azure Connected Machine 代理不使用证书固定并继续生效,前提是计算机信任 TLS 检查服务提供的证书。 某些 Azure Arc 扩展使用证书固定,需要从 TLS 检查中排除这些扩展。 请参阅部署的任何扩展的相关文档,确认扩展是否支持 TLS 检查。

专用终结点

专用终结点是一种可选的 Azure 网络技术,允许通过 Express Route 或站点到站点 VPN 发送网络流量,并更精细地控制哪些计算机可使用 Azure Arc。使用专用终结点,可在组织的网络地址空间中使用专用 IP 地址来访问 Azure Arc 云服务。 此外,只有你授权的服务器能通过这些终结点发送数据,从而可防止在未经授权的情况下使用网络中的 Azure Connected Machine 代理。

请务必注意,对于专用终结点,并非所有终结点和所有场景都受支持。 仍需要为某些终结点设置防火墙例外,如 Microsoft Entra ID,它不提供专用终结点解决方案。 安装的扩展有可能需要使用其他专用终结点(如果支持)或访问其服务的公共终结点。 此外,不能使用 SSH 或 Windows Admin Center 通过专用终结点访问服务器。

无论使用专用终结点还是公共终结点,在 Azure Connected Machine 代理和 Azure 之间传输的数据始终都是加密的。 随着业务需求发生变化,随时都可以先使用公共终结点然后再切换到专用终结点(反之亦然)。