Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os requisitos de rede para usar o agente do Azure Connected Machine para integrar um servidor físico ou máquina virtual a servidores habilitados para Azure Arc.
Dica
Quanto à nuvem pública do Azure, você pode reduzir o número de pontos de extremidade necessários usando o Gateway do Azure Arc.
Detalhes
Geralmente os requisitos de conectividade incluem esses princípios.
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e o computador que executam o processo de integração atendem aos requisitos de rede neste artigo.
Os pontos de extremidade compatíveis com o Azure Arc são necessários para todas as ofertas do Azure Arc baseadas em servidor.
Configuração de rede
O agente Azure Connected Machine para Linux e Windows comunica-se externamente e com segurança com o Azure Arc através da porta TCP 443. Por padrão, o agente usa a rota padrão para a Internet para acessar os serviços do Azure. Opcionalmente, você pode Configurar o agente para usar um servidor proxy se sua rede exigir. Os servidores proxy não tornam o Connected Machine Agent mais seguro porque o tráfego já está criptografado.
Para proteger ainda mais a conectividade de rede com o Azure Arc, em vez de usar redes públicas e servidores proxy, você pode implementar um escopo de link privado do Azure Arc.
Observação
Os servidores habilitados para Azure Arc não dão suporte ao uso de um gateway do Log Analytics como um proxy para o agente do Computador Conectado. Ao mesmo tempo, o Agente do Azure Monitor dá suporte a gateways do Log Analytics.
Se o firewall ou o servidor proxy restringir a conectividade de saída, verifique se as URLs e as marcas de serviço listadas aqui não estão bloqueadas.
Marcas de serviço
Certifique-se de permitir o acesso às seguintes tags de serviço:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(se você usa o Windows Admin Center para gerenciar servidores habilitados pelo Azure Arc)
Para obter uma lista de endereços IP para cada marca/região de serviço, consulte o arquivo JSON Intervalos de IP do Azure e Marcas de Serviço – Nuvem Pública. A Microsoft publica atualizações semanais que contêm cada serviço do Azure e os intervalos de IP que usa. As informações no arquivo JSON são a lista pontual atual dos intervalos de IP que correspondem a cada marca de serviço. Os endereços IP estão sujeitos a alterações. Se os intervalos de endereços IP forem necessários para sua configuração de firewall, use a AzureCloud marca de serviço para permitir o acesso a todos os serviços do Azure. Não desabilite o monitoramento de segurança ou a inspeção dessas URLs. Permita-os como faria com outro tráfego de Internet.
Se você filtrar o tráfego para a marca de serviço AzureArcInfrastructure, deverá permitir o tráfego para o intervalo completo das marcas de serviço. Os intervalos anunciados para regiões individuais, por exemplo, AzureArcInfrastructure.AustraliaEastnão incluem os intervalos de IP usados pelos componentes globais do serviço. O endereço de IP específico resolvido para esses pontos de extremidade pode mudar ao longo do tempo nos intervalos documentados. Por esse motivo, usar uma ferramenta de pesquisa para identificar o endereço IP atual para um ponto de extremidade específico e permitir o acesso somente a esse endereço IP não é suficiente para garantir o acesso confiável.
Para obter mais informações, confira Marcas de serviço de rede virtual.
Importante
Para filtrar o tráfego por endereços IP no Azure Governamental ou no Azure operado pela 21Vianet, certifique-se de adicionar os endereços IP a partir do tag de serviço AzureArcInfrastructure para a nuvem pública do Azure, além de usar o tag de serviço AzureArcInfrastructure para sua nuvem. Após 28 de outubro de 2025, a adição da AzureArcInfrastructure marca de serviço para a nuvem pública do Azure será necessária e as marcas de serviço do Azure Governamental e do Azure operadas pela 21Vianet não terão mais suporte.
URLs
Esta tabela lista as URLs que devem estar disponíveis para instalar e usar o agente do Computador Conectado.
Observação
Quando você configura o agente do Connected Machine para se comunicar com o Azure por meio de um link privado, alguns pontos de extremidade ainda devem ser acessados pela Internet. A coluna Link privado compatível na tabela a seguir mostra os pontos de extremidade que você pode configurar com um ponto de extremidade privado. Se a coluna mostrar Público para um ponto de extremidade, você ainda deverá permitir o acesso a esse ponto de extremidade por meio do firewall da sua organização e/ou servidor proxy para que o agente funcione. O tráfego de rede será roteado pelos pontos de extremidade privados se um escopo de link privado for atribuído.
| Recurso de agente | Descrição | Quando necessário | Compatibilidade com link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Somente no momento da instalação. 1 | Público. |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux. | Somente no momento da instalação. 1 | Público. |
login.microsoftonline.com |
Microsoft Entra ID | Sempre. | Público. |
*.login.microsoft.com |
Microsoft Entra ID | Sempre. | Público. |
pas.windows.net |
Microsoft Entra ID | Sempre. | Público. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso de servidor do Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Metadados e serviços de identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensão e de configuração de convidados. | Sempre. | Privado. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade. | Sempre. | Público. |
azgn*.servicebus.windows.net ou *.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade. | Sempre. | Público. |
*.servicebus.windows.net |
Para cenários SSH (Windows Admin Center e Secure Shell). | Se você usar o SSH ou o Windows Admin Center do Azure. | Público. |
*.waconazure.com |
Para conectividade do Windows Admin Center. | Se você usa o Windows Admin Center. | Público. |
*.blob.core.windows.net |
Baixe o código-fonte das extensões de servidor compatíveis com Azure Arc. | Sempre, a menos que você esteja usando endpoints privados. | Não usado quando um link privado é configurado. |
dc.services.visualstudio.com |
Telemetria do agente. | Optional. Não usado nas versões do agente 1.24+. | Público. |
*.<region>.arcdataservices.com
2 |
Para SQL Server habilitado pelo Azure Arc. Envia o serviço de processamento de dados, a telemetria de serviço e o monitoramento de desempenho para o Azure. Permite somente o TLS (Transport Layer Security) 1.2 ou 1.3. | Se você usar o Azure Arc-enabled SQL Server. | Público. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Para autenticação do Microsoft Entra com o SQL Server habilitado para o Azure Arc. | Se você usar o Azure Arc-enabled SQL Server. | Público. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para atualizações de segurança estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Se você usar atualizações de segurança estendidas habilitadas pelo Azure Arc. Sempre necessário para atualizações automáticas ou temporariamente se você baixar certificados manualmente. | Público. |
dls.microsoft.com |
Usado por computadores do Azure Arc para executar a validação de licença. | Necessário ao usar hotpatching, os Benefícios do Windows Server no Azure ou a cobrança conforme o uso do Windows Server nas máquinas habilitadas para Azure Arc. | Público. |
1 O acesso a essa URL também é necessário quando as atualizações são executadas automaticamente.
2 Para obter detalhes sobre quais informações são coletadas e enviadas, examine a Coleta de dados e os relatórios do SQL Server habilitados pelo Azure Arc.
Para versões da extensão até e incluindo 13 de fevereiro de 2024, use san-af-<region>-prod.azurewebsites.net. A partir de 12 de março de 2024, o processamento de dados do Azure Arc e a telemetria de dados do Azure Arc usam *.<region>.arcdataservices.com.
Observação
Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Dentro desse comando, a região precisa ser especificada para o espaço reservado <region>. Esses pontos de extremidade podem mudar periodicamente.
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2, o nome da região é eastus2.
Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolos criptográficos
Para garantir a segurança dos dados em trânsito para o Azure, recomendamos que você configure computadores para usar o TLS 1.2 e 1.3. Versões mais antigas do TLS/SSL (Secure Sockets Layer) foram consideradas vulneráveis. Embora ainda funcionem para permitir compatibilidade com versões anteriores, eles não são recomendados.
A partir da versão 1.56 do agente do Connected Machine (somente Windows), os seguintes conjuntos de criptografia devem ser configurados para pelo menos uma das versões recomendadas do TLS:
TLS 1.3 (pacotes em ordem preferencial do servidor):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (eq. 15360 bits RSA) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 bits RSA) FS
TLS 1.2 (conjuntos em ordem preferida do servidor):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (ex. 15360 bits RSA) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS
Para obter mais informações, consulte problemas de configuração do TLS do Windows.
O SQL Server habilitado pelos pontos de extremidade do Azure Arc localizados em *.\<region\>.arcdataservices.com dá suporte apenas ao TLS 1.2 e 1.3. Somente o Windows Server 2012 R2 e posterior têm suporte para TLS 1.2. Ponto de extremidade de telemetria do SQL Server habilitado pelo Azure Arc não tem suporte para Windows Server 2012 ou Windows Server 2012 R2.
| Plataforma/linguagem | Suporte | Mais informações |
|---|---|---|
| Linux | Distribuições do Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique o OpenSSL Changelog para confirmar se sua versão do OpenSSL tem suporte. |
| Windows Server 2012 R2 e mais recentes | Com suporte e habilitado por padrão. | Confirme se você ainda está usando as configurações padrão. |
| Windows Server 2012 | Suporte parcial. Não recomendado. | Alguns pontos de extremidade ainda funcionam, mas outros pontos de extremidade exigem TLS 1.2 ou posterior, que não está disponível no Windows Server 2012. |
Subconjunto de pontos de extremidade somente para ESU
Se você usar servidores habilitados para Azure Arc apenas para atualizações de segurança estendidas para um ou ambos os produtos a seguir:
- Windows Server 2012
- SQL Server 2012
Você pode habilitar o seguinte subconjunto de pontos de extremidade.
| Recurso de agente | Descrição | Quando necessário | Ponto de extremidade usado com o link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Somente no momento da instalação. 1 | Público. |
login.windows.net |
Microsoft Entra ID | Sempre. | Público. |
login.microsoftonline.com |
Microsoft Entra ID | Sempre. | Público. |
*.login.microsoft.com |
Microsoft Entra ID | Sempre. | Público. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso de servidor do Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Metadados e serviços de identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensão e de configuração de convidados. | Sempre. | Privado. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para atualizações de segurança estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Seja para atualizações automáticas ou temporariamente, caso você baixe certificados manualmente. | Público. |
*.<region>.arcdataservices.com |
Serviço de processamento de dados do Azure Arc e telemetria de serviço. | Atualizações de segurança estendidas do SQL Server. | Público. |
*.blob.core.windows.net |
Baixe o pacote de extensão do SQL Server. | Atualizações de segurança estendidas do SQL Server. | Não é necessário se você usar o Link Privado do Azure. |
1 O acesso a essa URL também é necessário quando você executa atualizações automaticamente.
Conteúdo relacionado
- Para obter informações sobre mais pré-requisitos para implantar o agente do Connected Machine, consulte os pré-requisitos do agente do Connected Machine.
- Antes de implantar o agente do Connected Machine e integrar-se a outros serviços de gerenciamento e monitoramento do Azure, examine o guia de planejamento e implantação.
- Para resolver problemas, revise o guia de solução de problemas de conexão do agente.
- Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc (Consolidado).