Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve os requisitos de rede para usar o agente de Máquina Conectada do Azure para integrar um servidor físico ou máquina virtual a servidores habilitados para Azure Arc.
Gorjeta
Para a plataforma de nuvem pública do Azure, é possível reduzir o número de pontos de extremidade necessários usando o gateway do Azure Arc.
Detalhes
Geralmente, os requisitos de conectividade incluem estes princípios:
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que indicado de outra forma.
Para usar um proxy, verifique se os agentes e a máquina que executa o processo de integração atendem aos requisitos de rede neste artigo.
Os pontos de extremidade de servidor habilitados para Azure Arc são necessários para todas as ofertas do Azure Arc baseadas em servidor.
Configuração da rede
O agente Azure Connected Machine para Linux e Windows estabelece comunicação segura de saída com o Azure Arc através da porta TCP 443. Por padrão, o agente usa a rota padrão para a Internet para acessar os serviços do Azure. Se a sua rede o exigir, pode configurar o agente para usar um servidor proxy. Os servidores proxy não tornam o agente da Máquina Conectada mais seguro porque o tráfego já está criptografado.
Para proteger ainda mais sua conectividade de rede com o Azure Arc, em vez de usar redes públicas e servidores proxy, você pode implementar um escopo de link privado do Azure Arc.
Nota
Os servidores com Arc do Azure não suportam o uso de um gateway do Log Analytics como proxy para o agente da Máquina Conectada. Ao mesmo tempo, o Azure Monitor Agent dá suporte a gateways do Log Analytics.
Se o firewall ou o servidor proxy restringir a conectividade de saída, verifique se as URLs e tags de serviço listadas aqui não estão bloqueadas.
Etiquetas de serviço
Certifique-se de permitir o acesso às seguintes tags de serviço:
AzureActiveDirectoryAzureTrafficManagerAzureResourceManagerAzureArcInfrastructureStorage-
WindowsAdminCenter(se você usa o Windows Admin Center para gerir servidores habilitados no Azure Arc)
Para obter uma lista de endereços IP para cada tag/região de serviço, consulte o arquivo JSON Azure IP Ranges and Service Tags - Public Cloud. A Microsoft publica atualizações semanais que contêm cada serviço do Azure e os intervalos de IP que ele usa. As informações no arquivo JSON são a lista point-in-time atual dos intervalos de IP que correspondem a cada tag de serviço. Os endereços IP estão sujeitos a alterações. Se os intervalos de endereços IP forem necessários para sua configuração de firewall, use a AzureCloud marca de serviço para permitir o acesso a todos os serviços do Azure. Não desative o monitoramento de segurança ou a inspeção desses URLs. Permita-os como você faria com outro tráfego da Internet.
Se filtrares o tráfego para a AzureArcInfrastructure tag de serviço, deverás permitir o tráfego para toda a gama completa da tag de serviço. Os intervalos anunciados para regiões individuais, por exemplo, AzureArcInfrastructure.AustraliaEastnão incluem os intervalos de IP usados pelos componentes globais do serviço. O endereço IP específico resolvido para esses endpoints pode mudar ao longo do tempo, dentro dos intervalos documentados. Por esse motivo, usar uma ferramenta de pesquisa para identificar o endereço IP atual de um ponto de extremidade específico e permitir o acesso apenas a esse endereço IP não é suficiente para garantir um acesso confiável.
Para obter mais informações, consulte Marcas de serviço de rede virtual.
Importante
Para filtrar o tráfego por endereços IP no Azure Government ou no Azure operado pela 21Vianet, certifique-se de adicionar os endereços IP da etiqueta de serviço AzureArcInfrastructure para a nuvem pública do Azure, além de utilizar a etiqueta de serviço AzureArcInfrastructure para a sua nuvem. Após 28 de outubro de 2025, será necessário adicionar a etiqueta de serviço para a AzureArcInfrastructure nuvem pública do Azure e as etiquetas de serviço para o Azure Government e o Azure operadas pela 21Vianet deixarão de ser suportadas.
URLs
Esta tabela lista as URLs que devem estar disponíveis para instalar e usar o agente de Máquina Conectada.
Nota
Quando se configura o agente de Máquina Conectada para se comunicar com o Azure por meio de um link privado, alguns endereços ainda devem ser acessados pela internet. A coluna Compatível com link privado na tabela seguinte indica os pontos de extremidade que podem ser configurados com um ponto de extremidade privado. Se a coluna mostrar Público para um ponto de extremidade, você ainda deverá permitir o acesso a esse ponto de extremidade por meio do firewall e/ou servidor proxy da sua organização para que o agente funcione. O tráfego de rede é roteado através de pontos de extremidade privados se um escopo de link privado for atribuído.
| Recursos do agente | Descrição | Quando necessário | Capaz de utilizar link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Apenas no momento da instalação. 1 | Pública. |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux. | Apenas no momento da instalação. 1 | Pública. |
login.microsoftonline.com |
ID do Microsoft Entra. | Sempre. | Pública. |
*.login.microsoft.com |
ID do Microsoft Entra. | Sempre. | Pública. |
pas.windows.net |
ID do Microsoft Entra. | Sempre. | Pública. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso do servidor Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados. | Sempre. | Privado. |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade. | Sempre. | Pública. |
azgn*.servicebus.windows.net ou *.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade. | Sempre. | Pública. |
*.servicebus.windows.net |
Para cenários do Windows Admin Center e Secure Shell (SSH). | Se você usa SSH ou Windows Admin Center do Azure. | Pública. |
*.waconazure.com |
Para conectividade com o Windows Admin Center. | Se você usa o Windows Admin Center. | Pública. |
*.blob.core.windows.net |
Descarregue o código-fonte para extensões de servidor com Azure Arc habilitado. | Sempre, exceto quando utiliza endpoints privados. | Não usado quando um link privado é configurado. |
dc.services.visualstudio.com |
Telemetria do agente. | Opcional. Não usado nas versões do agente 1.24+. | Pública. |
*.<region>.arcdataservices.com
2 |
Para o SQL Server habilitado para Azure Arc. Envia serviço de processamento de dados, telemetria de serviço e monitoramento de desempenho para o Azure. Permite apenas Transport Layer Security (TLS) 1.2 ou 1.3. | Se você usar o SQL Server habilitado para Azure Arc. | Pública. |
https://<azure-keyvault-name>.vault.azure.net/, https://graph.microsoft.com/2 |
Para a autenticação do Microsoft Entra num SQL Server com suporte para Azure Arc. | Se você usar o SQL Server habilitado para Azure Arc. | Pública. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para Atualizações de Segurança Estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Se você usar as Atualizações de Segurança Estendidas habilitadas pelo Azure Arc. Sempre necessário para atualizações automáticas ou temporariamente se você baixar certificados manualmente. | Pública. |
dls.microsoft.com |
Usado por máquinas Azure Arc para executar a validação de licença. | Necessário quando se utiliza hotpatching, Benefícios do Azure para Windows Server ou faturação pay-as-you-go do Windows Server em máquinas com Azure Arc ativado. | Pública. |
1 O acesso a este URL também é necessário quando as atualizações são realizadas automaticamente.
2 Para obter detalhes sobre quais informações são coletadas e enviadas, consulte Coleta de dados e relatórios para o SQL Server habilitado pelo Azure Arc.
Para versões de extensão até e incluindo 13 de fevereiro de 2024, use san-af-<region>-prod.azurewebsites.net. A partir de 12 de março de 2024, tanto o processamento de dados do Azure Arc quanto a telemetria de dados do Azure Arc utilizam *.<region>.arcdataservices.com.
Nota
Para traduzir o curinga *.servicebus.windows.net em endpoints específicos, use o comando \GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>. Neste comando, a região deve ser especificada para o <region> marcador de posição. Estes parâmetros de avaliação podem ser alterados periodicamente.
Para obter o segmento de região de um ponto de extremidade regional, elimine todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2.
Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Protocolos criptográficos
Para garantir a segurança dos dados em trânsito para o Azure, recomendamos que você configure as máquinas para usar o TLS 1.2 e 1.3. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis. Embora ainda funcionem atualmente para permitir a compatibilidade com versões anteriores, eles não são recomendados.
A partir da versão 1.56 do agente Connected Machine (somente Windows), os seguintes pacotes de codificação devem ser configurados para pelo menos uma das versões recomendadas do TLS:
TLS 1.3 (suítes na ordem preferencial do servidor):
- TLS_AES_256_GCM_SHA384 (0x1302) ECDH secp521r1 (equivalente a RSA de 15360 bits) FS
- TLS_AES_128_GCM_SHA256 (0x1301) ECDH secp256r1 (eq. 3072 bits RSA) FS
TLS 1.2 (suítes na ordem preferencial do servidor):
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1 (eq. RSA de 15360 bits) FS
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS
Para obter mais informações, consulte Problemas de configuração do TLS do Windows.
O SQL Server, habilitado pelos pontos de extremidade do Azure Arc localizados em *.\<region\>.arcdataservices.com, suporta apenas TLS 1.2 e 1.3. Apenas o Windows Server 2012 R2 e posterior têm suporte para TLS 1.2. O SQL Server ativado pelo endpoint de telemetria do Azure Arc não é suportado para o Windows Server 2012 ou para o Windows Server 2012 R2.
| Plataforma/Idioma | Suporte | Mais informações |
|---|---|---|
| Linux | As distribuições Linux tendem a depender do OpenSSL para suporte a TLS 1.2. | Verifique o OpenSSL Changelog para confirmar que a sua versão do OpenSSL é suportada. |
| Windows Server 2012 R2 e posterior | Suportado e ativado por padrão. | Confirme se você ainda está usando as configurações padrão. |
| Windows Server 2012 | Parcialmente suportado. Não recomendado. | Alguns pontos de extremidade ainda funcionam, mas outros exigem TLS 1.2 ou posterior, que não está disponível no Windows Server 2012. |
Subconjunto de pontos finais apenas para ESU
Se você usar servidores habilitados para Azure Arc somente para Atualizações de Segurança Estendidas para um ou ambos os seguintes produtos:
- Windows Server 2012
- SQL Server 2012
Você pode habilitar o seguinte subconjunto de pontos de extremidade.
| Recursos do agente | Descrição | Quando necessário | Endpoint utilizado com link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Apenas no momento da instalação. 1 | Pública. |
login.windows.net |
ID do Microsoft Entra. | Sempre. | Pública. |
login.microsoftonline.com |
ID do Microsoft Entra. | Sempre. | Pública. |
*.login.microsoft.com |
ID do Microsoft Entra. | Sempre. | Pública. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso do servidor Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados. | Sempre. | Privado. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para Atualizações de Segurança Estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Sempre para atualizações automáticas ou temporariamente se baixares certificados manualmente. | Pública. |
*.<region>.arcdataservices.com |
Serviço de processamento de dados e telemetria de serviço do Azure Arc. | Atualizações de segurança estendidas do SQL Server. | Pública. |
*.blob.core.windows.net |
Baixe o pacote de extensão do SQL Server. | Atualizações de segurança estendidas do SQL Server. | Não é necessário se você usar o Azure Private Link. |
1 O acesso a este URL também é necessário quando efetua atualizações automaticamente.
Conteúdo relacionado
- Para obter informações sobre mais pré-requisitos para implantar o agente de Máquina Conectada, consulte Pré-requisitos do agente de Máquina Conectada.
- Antes de implantar o agente Connected Machine e integrar com outros serviços de gerenciamento e monitoramento do Azure, revise o guia de planejamento e implantação.
- Para resolver problemas, consulte o guia de solução de problemas de conexão do agente.
- Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc (Consolidado).