この記事では、Azure Arc 対応サーバーのネットワーク要件とオプションについて説明します。
ネットワーク全般
Azure Arc 対応サーバーは、すべての顧客が共有するグローバルとリージョンのエンドポイントを組み合わせたサービスとしてのソフトウェア オファリングです。 Azure Connected Machine エージェントからのすべてのネットワーク通信は Azure に送信されます。 Azure がマシンを管理するためにネットワークに "接続してくる" ことはありません。 これらの接続は常に TLS 証明書を使用して暗号化されます。 エージェントがアクセスするエンドポイントと IP アドレスの一覧は、ネットワーク要件に記載されています。
インストールする拡張機能には、Azure Arc ネットワーク要件に含まれていない追加のエンドポイントが必要になる場合があります。 そのソリューションのネットワーク要件の詳細については、拡張機能のドキュメントを参照してください。
組織で TLS インスペクションを使用している場合、Azure Connected Machine エージェントは証明書のピン留めを使用せず、マシンが TLS インスペクション サービスによって提示された証明書を信頼する限り機能し続けます。 一部の Azure Arc 拡張機能は証明書のピン留めを使用するため、TLS インスペクションから除外する必要があります。 デプロイする拡張機能のドキュメントを参照して、TLS インスペクションをサポートしているかどうかを確認します。
プライベート エンドポイント
プライベート エンドポイントは、Express Route またはサイト間 VPN 経由でネットワーク トラフィックを送信できるようにするオプションの Azure ネットワーク テクノロジであり、どのマシンが Azure Arc を使用できるかをより詳細に制御できます。プライベート エンドポイントを使用すると、組織のネットワーク アドレス空間のプライベート IP アドレスを使用して、Azure Arc クラウド サービスにアクセスできます。 さらに、認可したサーバーのみがこれらのエンドポイントを介してデータを送信できるため、ネットワーク内の Azure Connected Machine エージェントの承認されていない使用から保護されます。
すべてのエンドポイントやすべてのシナリオがプライベート エンドポイントでサポートされているわけではないことに注意することが重要です。 プライベート エンドポイント ソリューションを提供しない Microsoft Entra ID などの一部のエンドポイントについては、引き続きファイアウォールの例外を作成する必要があります。 インストールする拡張機能には、他のプライベート エンドポイント (サポートされている場合) またはそのサービスのパブリック エンドポイントへのアクセスが必要な場合があります。 さらに、SSH または Windows Admin Center を使用して、プライベート エンドポイント経由でサーバーにアクセスすることはできません。
プライベート エンドポイントとパブリック エンドポイントのどちらを使用するかに関係なく、Azure Connected Machine エージェントと Azure の間で転送されるデータは常に暗号化されます。 いつでもパブリック エンドポイントから始めて、ビジネス ニーズの変化に応じてプライベート エンドポイントに (またはその逆に) 切り替えることができます。