次の方法で共有

Connected Machine エージェントのネットワーク要件

この記事では、Azure Connected Machine エージェントを使用して物理サーバーまたは仮想マシンを Azure Arc 対応サーバーにオンボードするためのネットワーク要件について説明します。

ヒント

Azure パブリック クラウド プラットフォームでは、 Azure Arc ゲートウェイを使用して、必要なエンドポイントの数を減らすことができます。

詳細

一般に、接続要件には次の原則が含まれます。

  • 特に指定がない限り、すべての接続は TCP です。
  • すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
  • 特に指定がない限り、すべての接続は送信接続です。

プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。

すべてのサーバー ベースの Azure Arc オファリングには、Azure Arc 対応サーバー エンドポイントが必要です。

ネットワーク構成

Linux および Windows 用の Azure Connected Machine エージェントは、TCP ポート 443 を介して Azure Arc へのアウトバウンド通信を安全に行います。 既定では、エージェントはインターネットへの既定のルートを使用して Azure サービスに接続します。 ネットワークで必要とされる場合に、プロキシ サーバーを使用するようにエージェントを構成することもできます。 トラフィックは既に暗号化されているため、プロキシ サーバーによって Connected Machine Agent のセキュリティが強化されることはありません。

パブリック ネットワークとプロキシ サーバーを使用する代わりに、Azure Arc へのネットワーク接続をさらにセキュリティで保護するために、 Azure Arc プライベート リンク スコープを実装できます。

Azure Arc 対応サーバーでは、接続されたマシン エージェントのプロキシとして Log Analytics ゲートウェイ を使用することはできません。 同時に、Azure Monitor エージェントは Log Analytics ゲートウェイをサポートします。

ファイアウォールまたはプロキシ サーバーで送信接続が制限されている場合は、ここに記載されている URL とサービス タグがブロックされていないことを確認してください。

サービス タグ

次のサービス タグへのアクセスを許可してください。

各サービス タグ/リージョンの IP アドレスの一覧については、 JSON ファイルの Azure IP 範囲とサービス タグ - パブリック クラウドを参照してください。 Microsoft は、各 Azure サービスと、それが使用する IP 範囲を含む毎週の更新プログラムを発行します。 JSON ファイル内の情報は、各サービス タグに対応する IP 範囲の現在のポイントインタイム リストです。 IP アドレスは変更される可能性があります。 ファイアウォール構成に IP アドレス範囲が必要な場合は、 AzureCloud サービス タグを使用して、すべての Azure サービスへのアクセスを許可します。 これらの URL のセキュリティの監視や検査は無効にしないでください。 他のインターネット トラフィックと同様に許可します。

AzureArcInfrastructure サービス タグへのトラフィックをフィルター処理する場合は、完全なサービス タグ範囲へのトラフィックを許可する必要があります。 個々のリージョンに対してアドバタイズされた範囲 (たとえば、 AzureArcInfrastructure.AustraliaEast) には、サービスのグローバル コンポーネントによって使用される IP 範囲は含まれません。 これらのエンドポイントで解決される特定の IP アドレスは、文書化された範囲内で時間の経過と同時に変化する可能性があります。 このため、ルックアップ ツールを使用して特定のエンドポイントの現在の IP アドレスを識別し、その IP アドレスへのアクセスのみを許可するだけでは、信頼性の高いアクセスを確保するには不十分です。

詳細については、「仮想ネットワーク サービス タグ」を参照してください。

Important

21Vianet が運用する Azure Government または Azure の IP アドレスでトラフィックをフィルター処理するには、クラウドの AzureArcInfrastructure サービス タグを使用するだけでなく、Azure パブリック クラウドの AzureArcInfrastructure サービス タグから IP アドレスを追加してください。 2025 年 10 月 28 日以降、Azure パブリック クラウドの AzureArcInfrastructure サービス タグの追加が必要になり、21Vianet によって運用される Azure Government と Azure のサービス タグはサポートされなくなります。

URL

次の表に、Connected Machine エージェントをインストールして使用するために使用できる必要がある URL を示します。

プライベート リンクを介して Azure と通信するように Connected Machine エージェントを構成する場合、一部のエンドポイントにはインターネット経由で引き続きアクセスする必要があります。 次の表の [プライベート リンク対応 ] 列には、プライベート エンドポイントで構成できるエンドポイントが示されています。 この列にエンドポイントとしてパブリックが表示されている場合でも、エージェントが機能するためには、組織のファイアウォールやプロキシ サーバーを介してそのエンドポイントへのアクセスを許可する必要があります。 プライベート リンク スコープが割り当てられている場合、ネットワーク トラフィックはプライベート エンドポイント経由でルーティングされます。

エージェントのリソース 説明 必要な場合 プライベート リンク対応
download.microsoft.com Windows インストール パッケージをダウンロードするために使用します。 インストール時のみ。1 パブリック。
packages.microsoft.com Linux インストール パッケージをダウンロードするために使用します。 インストール時のみ。1 パブリック。
login.microsoftonline.com Microsoft Entra ID。 いつも。 パブリック。
*.login.microsoft.com Microsoft Entra ID。 いつも。 パブリック。
pas.windows.net Microsoft Entra ID。 いつも。 パブリック。
management.azure.com Azure Resource Manager は、Azure Arc サーバー リソースを作成または削除するために使用されます。 サーバーに接続または切断する場合のみ。 リソース管理プライベート リンクも構成されていない限り、パブリック。
*.his.arc.azure.com メタデータとハイブリッド ID サービス。 いつも。 プライベート。
*.guestconfiguration.azure.com 拡張機能の管理とゲスト構成サービス。 いつも。 プライベート。
guestnotificationservice.azure.com*.guestnotificationservice.azure.com 拡張機能と接続のシナリオの通知サービス。 いつも。 パブリック。
azgn*.servicebus.windows.net または *.servicebus.windows.net 拡張機能と接続のシナリオの通知サービス。 いつも。 パブリック。
*.servicebus.windows.net Windows Admin Center と Secure Shell (SSH) のシナリオの場合。 Azure から SSH または Windows Admin Center を使用する場合。 パブリック。
*.waconazure.com Windows Admin Center 接続の場合。 Windows Admin Center を使用する場合。 パブリック。
*.blob.core.windows.net Azure Arc 対応サーバー拡張機能のソースをダウンロードします。 プライベート エンドポイントを使用する場合を除き、常に。 プライベート リンクが構成されている場合は使用されません。
dc.services.visualstudio.com エージェントのテレメトリ。 Optional. エージェント バージョン 1.24 以降では使用されません。 パブリック。
*.<region>.arcdataservices.com 2 Azure Arc 対応 SQL Server の場合。 データ処理サービス、サービス テレメトリ、およびパフォーマンスの監視を Azure に送信します。 トランスポート層セキュリティ (TLS) 1.2 または 1.3 のみを許可します。 Azure Arc 対応 SQL Server を使用する場合。 パブリック。
https://<azure-keyvault-name>.vault.azure.net/https://graph.microsoft.com/2 Azure Arc 対応 SQL Server を使用した Microsoft Entra 認証の場合。 Azure Arc 対応 SQL Server を使用する場合。 パブリック。
www.microsoft.com/pkiops/certs 拡張セキュリティ更新プログラムの中間証明書更新プログラム (HTTP/TCP 80 と HTTPS/TCP 443 を使用)。 Azure Arc で有効になっている拡張セキュリティ更新プログラムを使用する場合。自動更新では常に必要です。証明書を手動でダウンロードする場合は一時的に必要です。 パブリック。
dls.microsoft.com ライセンス検証を実行するために Azure Arc マシンによって使用されます。 Azure Arc 対応マシンでホットパッチ、Windows Server Azure 特典、または Windows Server 従量課金制を使用する場合に必要です。 パブリック。

1 更新が自動的に実行される場合は、この URL へのアクセスも必要です。

2 収集されて送信される情報について詳しくは、「Azure Arc によって有効化された SQL Server のデータ コレクションとレポート」をご覧ください。

2024 年 2 月 13 日までの拡張機能バージョンについては、san-af-<region>-prod.azurewebsites.net を使用してください。 2024 年 3 月 12 日以降、Azure Arc データ処理と Azure Arc データ テレメトリの両方で *.<region>.arcdataservices.comが使用されます。

*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、コマンド \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&___location=<region> を使用します。 このコマンド内で、<region> プレースホルダーにリージョンを指定する必要があります。 これらのエンドポイントは定期的に変更される可能性があります。

リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。

たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。

すべてのリージョンの一覧を表示するには、このコマンドを実行します。

az account list-locations -o table

Get-AzLocation | Format-Table

暗号化プロトコル

Azure に転送中のデータのセキュリティを確保するために、TLS 1.2 と 1.3 を使用するようにマシンを構成することを強くお勧めします。 以前のバージョンの TLS/Secure Sockets Layer (SSL) は脆弱であることが判明しました。 現在も下位互換性を確保するために動作していますが、 推奨されません

Connected Machine エージェントのバージョン 1.56 以降 (Windows のみ) では、推奨される TLS バージョンの少なくとも 1 つに対して次の暗号スイートを構成する必要があります。

  • TLS 1.3 (サーバー優先順のスイート):

    • TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bits RSA) FS
    • TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 ビット RSA) FS

  • TLS 1.2 (サーバーが優先する順序の暗号スイート)

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (RSA 15360ビット相当) FS
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (3072ビットRSA相当) FS

詳細については、「 Windows TLS 構成の問題」を参照してください。

*.\<region\>.arcdataservices.comにある Azure Arc エンドポイントによって有効になっている SQL Server では、TLS 1.2 と 1.3 のみがサポートされます。 TLS 1.2 は、Windows Server 2012 R2 以降でのみサポートされています。 Azure Arc テレメトリ エンドポイントによって有効になっている SQL Server は、Windows Server 2012 または Windows Server 2012 R2 ではサポートされていません。

プラットフォーム/言語 サポート 詳細情報
Linux Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。 OpenSSL の変更ログを調べて、OpenSSL のバージョンがサポートされていることを確認します。
Windows Server 2012 R2 以降 既定でサポートされ、有効になっています。 まだ既定の設定を使用していることを確認します。
Windows Server 2012 部分的にサポートされています。 推奨されません。 一部のエンドポイントは引き続き機能しますが、他のエンドポイントには TLS 1.2 以降が必要です。これは Windows Server 2012 では使用できません。

ESU 専用のエンドポイントのサブセット

次のいずれかの製品または両方の拡張セキュリティ更新プログラムにのみ Azure Arc 対応サーバーを使用する場合:

  • Windows Server 2012
  • SQL Server 2012

エンドポイントの次のサブセットを有効にすることができます。

エージェントのリソース 説明 必要な場合 プライベート リンクで使用されるエンドポイント
download.microsoft.com Windows インストール パッケージをダウンロードするために使用します。 インストール時のみ。1 パブリック。
login.windows.net Microsoft Entra ID。 いつも。 パブリック。
login.microsoftonline.com Microsoft Entra ID。 いつも。 パブリック。
*.login.microsoft.com Microsoft Entra ID。 いつも。 パブリック。
management.azure.com Azure Resource Manager は、Azure Arc サーバー リソースを作成または削除するために使用されます。 サーバーに接続または切断する場合のみ。 リソース管理プライベート リンクも構成されていない限り、パブリック。
*.his.arc.azure.com メタデータとハイブリッド ID サービス。 いつも。 プライベート。
*.guestconfiguration.azure.com 拡張機能の管理とゲスト構成サービス。 いつも。 プライベート。
www.microsoft.com/pkiops/certs 拡張セキュリティ更新プログラムの中間証明書更新プログラム (HTTP/TCP 80 と HTTPS/TCP 443 を使用)。 自動更新の場合は常に、または証明書を手動でダウンロードする場合は一時的に行います。 パブリック。
*.<region>.arcdataservices.com Azure Arc データ処理サービスとサービス テレメトリ。 SQL Server 拡張セキュリティ更新プログラム。 パブリック。
*.blob.core.windows.net SQL Server 拡張機能パッケージをダウンロードします。 SQL Server 拡張セキュリティ更新プログラム。 Azure Private Link を使用する場合は必要ありません。

1 更新を自動的に実行する場合は、この URL へのアクセスも必要です。

関連コンテンツ