Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Netzwerkanforderungen für die Verwendung des Azure Connected Machine-Agents zum Onboarding eines physischen Servers oder eines virtuellen Computers auf Azure Arc-fähigen Servern beschrieben.
Tipp
Für die öffentliche Azure-Cloudplattform können Sie die Anzahl der erforderlichen Endpunkte mithilfe des Azure Arc-Gateways reduzieren.
Einzelheiten
Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:
- Alle Verbindungen sind TCP, sofern nicht anders angegeben.
- Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
- Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.
Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.
Azure Arc-fähige Serverendpunkte sind für alle serverbasierten Azure Arc-Angebote erforderlich.
Netzwerkkonfiguration
Der Azure Connected Machine-Agent für Linux und Windows kommuniziert ausgehend auf sichere Weise mit Azure Arc über TCP-Port 443. Standardmäßig verwendet der Agent die Standardroute zum Internet, um Azure-Dienste zu erreichen. Optional können Sie den Agent so konfigurieren, dass er einen Proxyserver verwendet, wenn Ihr Netzwerk dies erfordert. Proxyserver machen den Connected Machine-Agent nicht sicherer, da der Datenverkehr bereits verschlüsselt ist.
Um Ihre Netzwerkkonnektivität mit Azure Arc weiter zu sichern, können Sie anstelle öffentlicher Netzwerke und Proxyserver einen privaten Azure Arc-Linkbereich implementieren.
Hinweis
Azure Arc-fähige Server unterstützen nicht die Verwendung eines Log Analytics-Gateways als Proxy für den Connected Machine-Agent. Gleichzeitig unterstützt der Azure Monitor-Agent Log Analytics-Gateways.
Wenn Ihre Firewall oder Ihr Proxyserver die ausgehende Konnektivität einschränkt, stellen Sie sicher, dass die hier aufgeführten URLs und Diensttags nicht blockiert sind.
Diensttags
Achten Sie darauf, den Zugriff auf die folgenden Diensttags zuzulassen:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(wenn Sie Windows Admin Center zum Verwalten von Azure Arc-fähigen Servern verwenden)
Eine Liste der IP-Adressen für jedes Diensttag/jede Region finden Sie in der JSON-Datei Azure IP Ranges and Service Tags – Public Cloud. Microsoft veröffentlicht wöchentliche Updates, die jeden Azure-Dienst und die von ihr verwendeten IP-Bereiche enthalten. Bei den Informationen in der JSON-Datei handelt es sich um die zum jetzigen Zeitpunkt gültige Liste der IP-Adressbereiche, die den einzelnen Diensttags entsprechen. Die IP-Adressen können sich ändern. Wenn IP-Adressbereiche für Ihre Firewallkonfiguration erforderlich sind, verwenden Sie das AzureCloud Diensttag, um den Zugriff auf alle Azure-Dienste zu ermöglichen. Deaktivieren Sie nicht die Sicherheitsüberwachung oder die Überprüfung dieser URLs. Lassen Sie diese wie anderen Internetdatenverkehr zu.
Wenn Sie den Datenverkehr für das AzureArcInfrastructure-Diensttag filtern, müssen Sie den Datenverkehr für den gesamten Diensttagbereich zulassen. Die für einzelne Regionen angekündigten Bereiche enthalten beispielsweise nicht die IP-Bereiche, AzureArcInfrastructure.AustraliaEastdie von globalen Komponenten des Diensts verwendet werden. Die für diese Endpunkte aufgelöste spezifische IP-Adresse kann sich im Laufe der Zeit innerhalb der dokumentierten Bereiche ändern. Aus diesem Grund ist die Verwendung eines Nachschlagetools zum Identifizieren der aktuellen IP-Adresse für einen bestimmten Endpunkt und der ausschließliche Zugriff auf diese IP-Adresse nicht ausreichend, um einen zuverlässigen Zugriff sicherzustellen.
Weitere Informationen finden Sie unter Diensttags für virtuelle Netzwerke.
Von Bedeutung
Zum Filtern des Datenverkehrs nach IP-Adressen in Azure Government oder Azure, betrieben von 21Vianet, müssen Sie zusätzlich zur Verwendung des AzureArcInfrastructure Diensttags für Ihre Cloud die IP-Adressen aus dem AzureArcInfrastructure Diensttag für die öffentliche Azure-Cloud hinzufügen. Nach dem 28. Oktober 2025 ist das Hinzufügen des AzureArcInfrastructure Diensttags für die öffentliche Azure-Cloud erforderlich, und die Diensttags für Azure Government und Azure, betrieben von 21Vianet, werden nicht mehr unterstützt.
URLs
In dieser Tabelle sind die URLs aufgeführt, die zum Installieren und Verwenden des Verbundenen Computer-Agents verfügbar sein müssen.
Hinweis
Wenn Sie den Verbundenen Computer-Agent für die Kommunikation mit Azure über einen privaten Link konfigurieren, müssen einige Endpunkte weiterhin über das Internet aufgerufen werden. Die Spalte "Private Verknüpfungsfähig " in der folgenden Tabelle zeigt die Endpunkte, die Sie mit einem privaten Endpunkt konfigurieren können. Wenn in der Spalte Öffentlich für einen Endpunkt angezeigt wird, müssen Sie dennoch den Zugriff auf diesen Endpunkt über die Firewall und/oder den Proxyserver Ihrer Organisation zulassen, damit der Agent funktioniert. Der Netzwerkdatenverkehr wird über private Endpunkte weitergeleitet, wenn ein Bereich für private Verbindungen zugewiesen ist.
| Agentenressource | Beschreibung | Wenn erforderlich | Für privaten Link geeignet |
|---|---|---|---|
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. | Nur bei der Installation.1 | Öffentlich. |
packages.microsoft.com |
Wird zum Herunterladen des Linux-Installationspakets verwendet. | Nur bei der Installation.1 | Öffentlich. |
login.microsoftonline.com |
Microsoft Entra-ID. | Immer. | Öffentlich. |
*.login.microsoft.com |
Microsoft Entra-ID. | Immer. | Öffentlich. |
pas.windows.net |
Microsoft Entra-ID. | Immer. | Öffentlich. |
management.azure.com |
Azure Resource Manager wird verwendet, um die Azure Arc-Serverressource zu erstellen oder zu löschen. | Nur wenn Sie eine Verbindung zu einem Server herstellen oder die Verbindung trennen. | Öffentlich, es sei denn, eine private Verknüpfung zur Ressourcenverwaltung ist ebenfalls konfiguriert. |
*.his.arc.azure.com |
Metadaten und Hybrididentitätsdienste. | Immer. | Privat. |
*.guestconfiguration.azure.com |
Erweiterungsverwaltung und Gastkonfigurationsdienste. | Immer. | Privat. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien. | Immer. | Öffentlich. |
azgn*.servicebus.windows.net oder *.servicebus.windows.net |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien. | Immer. | Öffentlich. |
*.servicebus.windows.net |
Für Szenarien mit Windows Admin Center und Secure Shell (SSH) | Wenn Sie SSH oder Windows Admin Center aus Azure verwenden. | Öffentlich. |
*.waconazure.com |
Für Windows Admin Center-Konnektivität. | Wenn Sie Windows Admin Center verwenden. | Öffentlich. |
*.blob.core.windows.net |
Downloadquelle für Azure Arc-fähige Servererweiterungen. | Immer, außer wenn Sie private Endpunkte verwenden. | Wird nicht verwendet, wenn ein privater Link konfiguriert ist. |
dc.services.visualstudio.com |
Agent-Telemetrie. | Wahlfrei. Wird in Agentversionen 1.24+ nicht verwendet. | Öffentlich. |
*.<region>.arcdataservices.com
2 |
Für Azure Arc-fähige SQL Server. Sendet Datenverarbeitungsdienst, Diensttelemetrie und Leistungsüberwachung an Azure. Ermöglicht nur TLS (Transport Layer Security) 1.2 oder 1.3. | Wenn Sie Azure Arc-fähige SQL Server verwenden. | Öffentlich. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Für die Microsoft Entra-Authentifizierung mit Azure Arc-fähigen SQL Server. | Wenn Sie Azure Arc-fähige SQL Server verwenden. | Öffentlich. |
www.microsoft.com/pkiops/certs |
Zwischenzertifikatsupdates für erweiterte Sicherheitsupdates (verwendet HTTP/TCP 80 und HTTPS/TCP 443). | Wenn Sie erweiterte Sicherheitsupdates verwenden, die von Azure Arc aktiviert sind. Für automatische Updates oder vorübergehend immer erforderlich, wenn Sie Zertifikate manuell herunterladen. | Öffentlich. |
dls.microsoft.com |
Wird von Azure Arc-Computern zum Durchführen der Lizenzüberprüfung verwendet. | Erforderlich, wenn Sie Hotpatching, Windows Server Azure-Vorteile oder Windows Server Pay-as-you-go-Abrechnung auf Azure Arc-fähigen Maschinen verwenden. | Öffentlich. |
1 Der Zugriff auf diese URL ist auch erforderlich, wenn Updates automatisch ausgeführt werden.
2 Weitere Informationen dazu, welche Informationen gesammelt und gesendet werden, finden Sie unter Datensammlung und Berichterstellung für Azure Arc-fähiges SQL Server.
Verwenden Sie san-af-<region>-prod.azurewebsites.net für Erweiterungsversionen bis zum 13. Februar 2024 (einschließlich). Ab dem 12. März 2024 verwenden sowohl Azure Arc-Datenverarbeitung als auch Azure Arc-Datentelemetrie *.<region>.arcdataservices.com.
Hinweis
Um den Platzhalter *.servicebus.windows.net in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&___location=<region>. In diesem Befehl muss die Region für den Platzhalter <region> angegeben werden. Diese Endpunkte können sich in regelmäßigen Abständen ändern.
Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.
Beispiel: In der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com zu *.eastus2.arcdataservices.com geändert werden.
Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:
az account list-locations -o table
Get-AzLocation | Format-Table
Kryptografische Protokolle
Um die Sicherheit von Daten bei der Übertragung nach Azure sicherzustellen, empfehlen wir Ihnen dringend, Computer für die Verwendung von TLS 1.2 und 1.3 zu konfigurieren. Ältere Versionen von TLS/Secure Sockets Layer (SSL) wurden als anfällig erkannt. Obwohl sie derzeit noch funktionieren, um Abwärtskompatibilität zu ermöglichen, werden sie nicht empfohlen.
Ab Version 1.56 des Verbundenen Computer-Agents (nur Windows) müssen die folgenden Verschlüsselungssammlungen für mindestens eine der empfohlenen TLS-Versionen konfiguriert werden:
TLS 1.3 (Serverbevorzugte Reihenfolge der Suites):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 Bits RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 Bit RSA) FS
TLS 1.2 (Suites in Server-Vorzugsreihenfolge):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. 15360 Bits RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 Bit RSA) FS
Weitere Informationen finden Sie unter Windows TLS-Konfigurationsprobleme.
Der von Azure Arc-Endpunkten aktivierte *.\<region\>.arcdataservices.com SQL Server unterstützt nur TLS 1.2 und 1.3. Nur Windows Server 2012 R2 und höher unterstützen TLS 1.2. SQL Server, der vom Azure Arc-Telemetrieendpunkt aktiviert ist, wird für Windows Server 2012 oder Windows Server 2012 R2 nicht unterstützt.
| Plattform/Sprache | Unterstützung | Mehr Informationen |
|---|---|---|
| Linux | Linux-Distributionen greifen zur Unterstützung von TLS 1.2 tendenziell auf OpenSSL zurück. | Überprüfen Sie den OpenSSL-Änderungsprotokoll , um zu bestätigen, dass Ihre Version von OpenSSL unterstützt wird. |
| Windows Server 2012 R2 und höher | Unterstützt und standardmäßig aktiviert. | Vergewissern Sie sich, dass Sie weiterhin die Standardeinstellungen verwenden. |
| Windows Server 2012 | Teilweise unterstützt Nicht empfohlen. | Einige Endpunkte funktionieren weiterhin, aber andere Endpunkte erfordern TLS 1.2 oder höher, was unter Windows Server 2012 nicht verfügbar ist. |
Nur Teilmenge der Endpunkte für ESU
Wenn Sie Azure Arc-fähige Server nur für erweiterte Sicherheitsupdates für beide oder beide der folgenden Produkte verwenden:
- Windows Server 2012
- SQL Server 2012
Sie können die folgende Teilmenge von Endpunkten aktivieren.
| Agentenressource | Beschreibung | Wenn erforderlich | Verwendeter Endpunkt mit privatem Link |
|---|---|---|---|
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. | Nur bei der Installation.1 | Öffentlich. |
login.windows.net |
Microsoft Entra-ID. | Immer. | Öffentlich. |
login.microsoftonline.com |
Microsoft Entra-ID. | Immer. | Öffentlich. |
*.login.microsoft.com |
Microsoft Entra-ID. | Immer. | Öffentlich. |
management.azure.com |
Azure Resource Manager wird verwendet, um die Azure Arc-Serverressource zu erstellen oder zu löschen. | Nur wenn Sie eine Verbindung zu einem Server herstellen oder die Verbindung trennen. | Öffentlich, es sei denn, eine private Verknüpfung zur Ressourcenverwaltung ist ebenfalls konfiguriert. |
*.his.arc.azure.com |
Metadaten und Hybrididentitätsdienste. | Immer. | Privat. |
*.guestconfiguration.azure.com |
Erweiterungsverwaltung und Gastkonfigurationsdienste. | Immer. | Privat. |
www.microsoft.com/pkiops/certs |
Zwischenzertifikatsupdates für erweiterte Sicherheitsupdates (verwendet HTTP/TCP 80 und HTTPS/TCP 443). | Immer für automatische Updates oder vorübergehend, wenn Sie Zertifikate manuell herunterladen. | Öffentlich. |
*.<region>.arcdataservices.com |
Azure Arc-Datenverarbeitungsdienst und Diensttelemetrie. | Erweiterte Sicherheitsupdates für SQL Server. | Öffentlich. |
*.blob.core.windows.net |
Laden Sie das SQL Server-Erweiterungspaket herunter. | Erweiterte Sicherheitsupdates für SQL Server. | Ist nicht erforderlich, wenn Sie Azure Private Link verwenden. |
1 Der Zugriff auf diese URL ist auch erforderlich, wenn Sie Updates automatisch ausführen.
Verwandte Inhalte
- Weitere Informationen zu weiteren Voraussetzungen für die Bereitstellung des Agents für verbundene Computer finden Sie unter Voraussetzungen für verbundene Computer-Agent.
- Bevor Sie den Verbundenen Computer-Agent bereitstellen und in andere Azure-Verwaltungs- und Überwachungsdienste integrieren, lesen Sie den Planungs- und Bereitstellungsleitfaden.
- Informationen zum Beheben von Problemen finden Sie im Leitfaden zur Problembehandlung bei Agent-Verbindungsproblemen.
- Eine vollständige Liste der Netzwerkanforderungen für Azure Arc-Features und Dienste mit Azure Arc-Unterstützung finden Sie unter Azure Arc-Netzwerkanforderungen (konsolidiert).