Požadavky brány firewall pro Azure Stack HCI
Platí pro: Azure Stack HCI verze 23H2 a 22H2
Tento článek obsahuje pokyny ke konfiguraci bran firewall pro operační systém Azure Stack HCI. Zahrnuje požadavky brány firewall pro odchozí koncové body a interní pravidla a porty. Tento článek obsahuje také informace o tom, jak používat značky služeb Azure s bránou firewall Microsoft Defender.
Pokud vaše síť používá proxy server pro přístup k internetu, přečtěte si téma Konfigurace nastavení proxy serveru pro Azure Stack HCI.
Důležité
Azure Private Link se nepodporuje pro Azure Stack HCI verze 23H2 ani pro žádné z jejích komponent.
Požadavky brány firewall pro odchozí koncové body
Otevření portu 443 pro odchozí síťový provoz v bráně firewall vaší organizace splňuje požadavky na připojení operačního systému pro připojení pomocí Azure a služby Microsoft Update. Pokud je odchozí brána firewall omezená, doporučujeme zahrnout adresy URL a porty popsané v části Doporučené adresy URL brány firewall tohoto článku.
Azure Stack HCI se musí pravidelně připojovat k Azure. Přístup je omezen pouze na:
- Dobře známé IP adresy Azure
- Směr odchozích přenosů
- Port 443 (HTTPS)
Důležité
Azure Stack HCI nepodporuje kontrolu HTTPS. Ujistěte se, že je v cestě k síti pro Azure Stack HCI zakázaná kontrola HTTPS, abyste zabránili chybám připojení.
Jak je znázorněno na následujícím diagramu, Azure Stack HCI přistupuje k Azure potenciálně pomocí více než jedné brány firewall.
Tento článek popisuje, jak volitelně použít konfiguraci brány firewall s vysokou uzamčenou sadou k blokování veškerého provozu do všech cílů s výjimkou těch, které jsou součástí vašeho seznamu povolených.
Požadované adresy URL brány firewall
Následující tabulka obsahuje seznam požadovaných adres URL brány firewall. Nezapomeňte tyto adresy URL zahrnout do seznamu povolených.
Postupujte také podle požadovaných požadavků na bránu firewall pro AKS ve službě Azure Stack HCI.
Poznámka
Pravidla brány firewall služby Azure Stack HCI představují minimální koncové body vyžadované pro připojení HciSvc a neobsahují zástupné čáry. Následující tabulka ale aktuálně obsahuje adresy URL se zástupnými činy, které se můžou v budoucnu aktualizovat na přesné koncové body.
| Služba | URL | Port | Poznámky |
|---|---|---|---|
| Stažení Aktualizace služby Azure Stack HCI | fe3.delivery.mp.microsoft.com | 443 | Aktualizace Služby Azure Stack HCI verze 23H2 |
| Stažení Aktualizace služby Azure Stack HCI | tlu.dl.delivery.mp.microsoft.com | 80 | Aktualizace Služby Azure Stack HCI verze 23H2 |
| Zjišťování Aktualizace Azure Stack HCI | aka.ms | 443 | Pro překlad adres ke zjištění Azure Stack HCI verze 23H2 a rozšíření Solution Builderu Aktualizace. |
| Zjišťování Aktualizace Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Podkladová služba, která implementuje sledování dat o využití pro odkazy pro přesměrování aka.ms. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Pro autoritu služby Active Directory a používá se k ověřování, načítání tokenů a ověřování. |
| Azure Stack HCI | graph.windows.net | 443 | Pro Graph a používá se k ověřování, načítání tokenů a ověřování. |
| Azure Stack HCI | management.azure.com | 443 | Pro Resource Manager a používá se během počátečního spuštění clusteru do Azure pro účely registrace a zrušení registrace clusteru. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Pro rovinu dat, která odesílají diagnostická data a používá se v kanálu Azure Portal a nasdílí fakturační data. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Pro rovinu dat používanou při licencování a při nabízení upozorňování a fakturačních dat. Vyžaduje se pouze pro Azure Stack HCI verze 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Předchozí adresa URL pro rovinu dat Tato adresa URL byla nedávno změněna. Zákazníci, kteří zaregistrovali cluster pomocí této staré adresy URL, ji musí také zadat do seznamu povolených. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Pro registr kontejnerů virtuálních počítačů Arc ve službě Azure Stack HCI Vyžaduje se pouze pro Azure Stack HCI verze 23H2. |
| Arc pro servery | aka.ms | 443 | Pro vyřešení skriptu stahování během instalace. |
| Arc pro servery | download.microsoft.com | 443 | Ke stažení instalačního balíčku systému Windows. |
| Arc pro servery | login.windows.net | 443 | Pro Microsoft Entra ID |
| Arc pro servery | login.microsoftonline.com | 443 | Pro Microsoft Entra ID |
| Arc pro servery | pas.windows.net | 443 | Pro Microsoft Entra ID |
| Arc pro servery | management.azure.com | 443 | Azure Resource Manager vytvoření nebo odstranění prostředku serveru Arc |
| Arc pro servery | guestnotificationservice.azure.com | 443 | Pro službu oznámení pro scénáře rozšíření a připojení |
| Arc pro servery | *.his.arc.azure.com | 443 | Metadata a služby hybridní identity |
| Arc pro servery | *.guestconfiguration.azure.com | 443 | Pro správu rozšíření a konfigurační služby hosta |
| Arc pro servery | *.guestnotificationservice.azure.com | 443 | Služba oznámení pro scénáře rozšíření a připojení |
| Arc pro servery | azgn*.servicebus.windows.net | 443 | Služba oznámení pro scénáře rozšíření a připojení |
| Arc pro servery | *.servicebus.windows.net | 443 | Scénáře Windows Admin Center a SSH |
| Arc pro servery | *.waconazure.com | 443 | Pro Windows Admin Center připojení |
| Arc pro servery | *.blob.core.windows.net | 443 | Zdroj ke stažení pro rozšíření serverů s podporou služby Azure Arc |
Úplný seznam všech adres URL brány firewall najdete v tabulce adres URL brány firewall.
Doporučené adresy URL brány firewall
Následující tabulka obsahuje seznam doporučených adres URL brány firewall. Pokud je odchozí brána firewall omezená, doporučujeme do seznamu povolených zahrnout adresy URL a porty popsané v této části.
Poznámka
Pravidla brány firewall Azure Stack HCI jsou minimálními koncovými body požadovanými pro připojení HciSvc a neobsahují zástupné čáry. Následující tabulka ale aktuálně obsahuje zástupné adresy URL, které je možné v budoucnu aktualizovat na přesné koncové body.
| Služba | URL | Port | Poznámky |
|---|---|---|---|
| Výhody Azure v Azure Stack HCI | crl3.digicert.com | 80 | Umožňuje službě ověření identity platformy v Azure Stack HCI provést kontrolu seznamu odvolaných certifikátů a zajistit tak, že virtuální počítače jsou v prostředích Azure skutečně spuštěné. |
| Výhody Azure v Azure Stack HCI | crl4.digicert.com | 80 | Umožňuje službě ověření identity platformy v Azure Stack HCI provést kontrolu seznamu odvolaných certifikátů a zajistit tak, že virtuální počítače jsou v prostředích Azure skutečně spuštěné. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Získání modulu PowerShellu Az.StackHCI, který se vyžaduje pro registraci clusteru. Případně si můžete modul PowerShellu Az.StackHCI stáhnout a nainstalovat ručně z Galerie prostředí PowerShell. |
| Cluster s kopií clusteru s kopií clusteru | *.blob.core.windows.net | 443 | Pro přístup brány firewall ke kontejneru objektů blob Azure platí, že pokud se rozhodnete jako určující kopii clusteru použít cloudovou kopii clusteru, což je volitelné. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | download.windowsupdate.com | 80 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | download.microsoft.com | 443 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | wustat.windows.com | 80 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | go.microsoft.com | 80 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | *.windowsupdate.com | 80 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Pro službu Microsoft Update, která umožňuje operačnímu systému přijímat aktualizace. |
Požadavky brány firewall pro další služby Azure
V závislosti na dalších službách Azure, které povolíte na HCI, může být potřeba provést další změny konfigurace brány firewall. Informace o požadavcích brány firewall pro jednotlivé služby Azure najdete na následujících odkazech:
- AKS na Azure Stack HCI
- Servery s podporou Azure Arc
- Požadavky na síť mostu prostředků Azure Arc
- Agent Azure Monitoru
- Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) a Agent Log Analytics
- Qualys
- Vzdálená podpora
- Windows Admin Center
- Windows Admin Center v destinaci Azure Portal
Požadavky brány firewall pro interní pravidla a porty
Ujistěte se, že jsou mezi všemi uzly serveru v lokalitě i mezi lokalitami pro roztažené clustery otevřené správné síťové porty (funkce roztaženého clusteru jsou k dispozici pouze ve službě Azure Stack HCI verze 22H2). Budete potřebovat příslušná pravidla brány firewall, která povolí obousměrný provoz protokolu ICMP, SMB (port 445 a port 5445 pro SMB Direct, pokud používáte iWARP RDMA) a WS-MAN (port 5985) mezi všemi servery v clusteru.
Při použití průvodce vytvořením clusteru v Windows Admin Center k vytvoření clusteru průvodce automaticky otevře příslušné porty brány firewall na každém serveru v clusteru pro clustering s podporou převzetí služeb při selhání, Hyper-V a Replika úložiště. Pokud na každém serveru používáte jinou bránu firewall, otevřete porty podle popisu v následujících částech:
Správa operačního systému Azure Stack HCI
Ujistěte se, že jsou v místní bráně firewall nakonfigurovaná následující pravidla brány firewall pro správu operačního systému Azure Stack HCI, včetně licencování a fakturace.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolení příchozího/odchozího provozu do a ze služby Azure Stack HCI na clusterových serverech | Povolit | Clusterové servery | Clusterové servery | TCP | 30301 |
Windows Admin Center
Ujistěte se, že jsou v místní bráně firewall nakonfigurovaná následující pravidla brány firewall pro Windows Admin Center.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Poskytnutí přístupu k Azure a službě Microsoft Update | Povolit | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Použití vzdálené správy systému Windows (WinRM) 2.0 pro připojení HTTP ke spouštění příkazů na vzdálených serverech Windows |
Povolit | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Spuštění připojení HTTPS pomocí WinRM 2.0 příkazy na vzdálených serverech Windows |
Povolit | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Poznámka
Pokud při instalaci Windows Admin Center vyberete nastavení Používat winRM pouze přes HTTPS, bude se vyžadovat port 5986.
Clustering s podporou převzetí služeb při selhání
Ujistěte se, že jsou v místní bráně firewall nakonfigurovaná následující pravidla brány firewall pro clustering s podporou převzetí služeb při selhání.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolit ověření clusteru s podporou převzetí služeb při selhání | Povolit | Systém pro správu | Clusterové servery | TCP | 445 |
| Povolit přidělování dynamických portů RPC | Povolit | Systém pro správu | Clusterové servery | TCP | Minimálně 100 portů nad portem 5000 |
| Povolit vzdálené volání procedur (RPC) | Povolit | Systém pro správu | Servery clusteru | TCP | 135 |
| Povolit správce clusteru | Povolit | Systém pro správu | Servery clusteru | UDP | 137 |
| Povolit clusterovou službu | Povolit | Systém pro správu | Servery clusteru | UDP | 3343 |
| Povolit clusterovou službu (povinné během operace připojení k serveru.) |
Povolit | Systém pro správu | Servery clusteru | TCP | 3343 |
| Povolit ICMPv4 a ICMPv6 pro ověření clusteru s podporou převzetí služeb při selhání |
Povolit | Systém pro správu | Servery clusteru | Není k dispozici | Není k dispozici |
Poznámka
Systém pro správu zahrnuje všechny počítače, ze kterých plánujete spravovat cluster, pomocí nástrojů, jako jsou Windows Admin Center, Windows PowerShell nebo System Center Virtual Machine Manager.
Hyper-V
Ujistěte se, že jsou v místní bráně firewall pro Hyper-V nakonfigurovaná následující pravidla brány firewall.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolit komunikaci clusteru | Povolit | Systém pro správu | Server Hyper-V | TCP | 445 |
| Povolení mapovače koncových bodů RPC a rozhraní WMI | Povolit | Systém pro správu | Server Hyper-V | TCP | 135 |
| Povolit připojení HTTP | Povolit | Systém pro správu | Server Hyper-V | TCP | 80 |
| Povolit připojení HTTPS | Povolit | Systém pro správu | Server Hyper-V | TCP | 443 |
| Povolit migraci za provozu | Povolit | Systém pro správu | Server Hyper-V | TCP | 6600 |
| Povolit službu správy virtuálních počítačů | Povolit | Systém pro správu | Server Hyper-V | TCP | 2179 |
| Povolit dynamické přidělování portů RPC | Povolit | Systém pro správu | Server Hyper-V | TCP | Minimálně 100 portů nad portem 5000 |
Poznámka
Otevřete rozsah portů nad portem 5000 a povolte dynamické přidělování portů RPC. Porty nižší než 5000 už můžou používat jiné aplikace a můžou způsobovat konflikty s aplikacemi DCOM. Předchozí zkušenosti ukazují, že by se mělo otevřít minimálně 100 portů, protože několik systémových služeb spoléhá při vzájemné komunikaci na tyto porty RPC. Další informace najdete v tématu Postup konfigurace dynamického přidělování portů RPC pro práci s branami firewall.
Replika úložiště (roztažený cluster)
Ujistěte se, že jsou v místní bráně firewall nakonfigurovaná následující pravidla brány firewall pro repliku úložiště (roztažený cluster).
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolit blokování zpráv serveru Protokol (SMB) |
Povolit | Roztažené clusterové servery | Roztažené clusterové servery | TCP | 445 |
| Povolit webové Services-Management (WS-MAN) |
Povolit | Roztažené clusterové servery | Roztažené clusterové servery | TCP | 5985 |
| Povolit ICMPv4 a ICMPv6 (pokud používáte Test-SRTopologyRutina PowerShellu) |
Povolit | Roztažené clusterové servery | Roztažené clusterové servery | Není k dispozici | Není k dispozici |
Aktualizace brány firewall Microsoft Defender
V této části se dozvíte, jak nakonfigurovat bránu firewall Microsoft Defender tak, aby se IP adresy přidružené ke značce služby mohly připojovat k operačnímu systému. Značka služby představuje skupinu IP adres z dané služby Azure. Společnost Microsoft spravuje IP adresy zahrnuté do značky služby a automaticky aktualizuje značku služby při změně IP adres, aby se aktualizace udržely na minimum. Další informace najdete v tématu Značky služeb virtuální sítě.
Stáhněte si soubor JSON z následujícího prostředku do cílového počítače s operačním systémem: Rozsahy IP adres Azure a značky služeb – veřejný cloud.
K otevření souboru JSON použijte následující příkaz PowerShellu:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonZískejte seznam rozsahů IP adres pro danou značku služby, například značku služby AzureResourceManager:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesNaimportujte seznam IP adres do externí podnikové brány firewall, pokud s ním používáte seznam povolených adres.
Vytvořte pravidlo brány firewall pro každý server v clusteru, které povolí odchozí provoz 443 (HTTPS) do seznamu rozsahů IP adres:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Další kroky
Další informace najdete také v tématu:
- Část Brány Windows Firewall a porty WinRM 2.0 v tématu Instalace a konfigurace vzdálené správy systému Windows
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro