Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: Azure Local 2311.2 a novější
Tento článek obsahuje pokyny ke konfiguraci bran firewall pro operační systém Azure Stack HCI. Zahrnuje požadavky brány firewall pro vnější koncové body a vnitřní pravidla a porty. Článek také poskytuje informace o tom, jak používat tagy služeb Azure s bránou firewall Microsoft Defender.
Tento článek také popisuje, jak volitelně použít vysoce uzamčenou konfiguraci brány firewall k blokování veškerého provozu do všech cílů kromě těch, které jsou součástí seznamu povolených.
Důležité
Obory služby Azure Arc Private Link nejsou podporovány místním prostředím Azure. Koncové body Arc (.his.arc.azure.com,.guestconfiguration.azure.com a *.dp.kubernetesconfiguration.azure.com) se musí vždy překládat na veřejné IP adresy z místních uzlů Azure, virtuálního počítače ARB a proxy serveru, pokud se používá. Použití jiných privátních koncových bodů služeb PaaS, které se liší od oborů služby Arc Private Link, je možné, pokud je směrování nakonfigurované tak, aby odesílala provoz přes Azure ExpressRoute nebo VPN typu Site-to-Site, aby se dostaly k privátním koncovým bodům virtuální sítě Azure. Další plně kvalifikované názvy domén privátních koncových bodů může být potřeba přidat do seznamu obejití proxy serveru během registrace Azure Arc pro místní počítače. Před registrací uzlů ve službě Arc nezapomeňte připravit řetězec seznamu obejití proxy serveru.
Požadavky brány firewall pro koncové body odchozího připojení
Otevření portů 80 a 443 pro odchozí síťový provoz v bráně firewall vaší organizace splňuje požadavky na připojení operačního systému Azure Stack HCI pro připojení k Azure a službě Microsoft Update.
Azure Local se musí pravidelně připojovat k Azure kvůli:
- Známé IP adresy Azure
- Odchozí směr
- Porty 80 (HTTP) a 443 (HTTPS)
Důležité
Azure Local nepodporuje kontrolu HTTPS. Ujistěte se, že je kontrola HTTPS na cestě k síti pro Azure Local zakázaná, aby se zabránilo chybám připojení. To zahrnuje použití omezení tenanta Entra ID v1, která nejsou podporována pro komunikaci v rámci sítě místní správy Azure.
Jak je znázorněno v následujícím diagramu, Azure Local může potenciálně přistupovat k Azure přes více bran firewall.
Požadované URL adresy firewallu pro místní nasazení Azure
Místní instance Azure automaticky umožňují „Azure Resource Bridge“ a infrastrukturu AKS a používají agenta „Arc for Servers“ pro spojení s řídicí rovinou Azure. Spolu se seznamem koncových bodů specifických pro HCI v následující tabulce musí být do seznamu povolených vaší brány firewall zahrnuty koncové body Azure Resource Bridge v místním prostředí Azure, koncové body AKS v místním prostředí Azure a koncové body serverů s podporou Azure Arc.
Konsolidovaný seznam koncových bodů pro USA – východ, který zahrnuje místní servery Azure, servery s podporou Arc, ARB a AKS, použijte:
Pro konsolidovaný seznam koncových bodů pro západní Evropu, které zahrnují místní servery Azure, servery s podporou arc, ARB a AKS, použijte:
Pro konsolidovaný seznam koncových bodů pro východní oblasti Austrálie, který zahrnuje Azure Local, servery s podporou Arc, ARB a AKS, použijte:
Konsolidovaný seznam koncových bodů pro Střední Kanadu, který zahrnuje služby Azure Local, servery s podporou Arc, ARB a AKS, použijte:
Konsolidovaný seznam koncových bodů pro Centrální Indii, který zahrnuje Azure Local, servery s podporou Arc, ARB a AKS, použijte:
Konsolidovaný seznam koncových bodů pro jihovýchodní Asii, který zahrnuje Azure Local, servery s podporou Arc, ARB a AKS, použijte:
Konsolidovaný seznam koncových bodů pro oblast Japonsko východ, který zahrnuje Azure Local, servery s podporou Arc, ARB a AKS, použijte:
Konsolidovaný seznam koncových bodů pro Středojižní USA, který zahrnuje Azure Local, servery s podporou Arc, ARB a AKS, použijte:
Požadované adresy URL brány firewall pro Azure Local v oblastech Azure Government
Konsolidovaný seznam koncových bodů pro US Gov Virginia, který zahrnuje Azure Local, servery s podporou Arc, ARB a AKS, použijte:
Požadavky na brány firewall pro OEM
Možná budete muset otevřít další síťové koncové body v bráně firewall v závislosti na tom, který OEM používáte pro Azure Local.
Nezbytné koncové body DataON pro místní nasazení Azure
Požadované koncové uzly Dell pro lokální nasazení Azure
Požadované koncové body HPE pro nasazení Azure Local
Požadované koncové body pro místní nasazení Azure od Hitachi
Požadované koncové body společnosti Lenovo pro místní nasazení Azure
Požadavky na bránu firewall pro další služby Azure
V závislosti na dalších službách Azure, které povolíte pro místní Azure, možná budete muset provést další změny konfigurace brány firewall. Informace o požadavcích brány firewall pro každou službu Azure najdete na následujících odkazech:
- Azure Monitor Agent
- Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) a Agent nalezených událostí
- Qualys
- Vzdálená podpora
- Centrum pro správu Windows
- Centrum pro správu Windows na webu Azure Portal
Požadavky firewallu na interní pravidla a porty
Ujistěte se, že jsou mezi všemi uzly otevřené správné síťové porty, a to jak v rámci lokality, tak mezi lokalitami pro roztažené instance (funkce roztažené instance jsou dostupné jenom ve službě Azure Stack HCI verze 22H2). Abyste povolili obousměrný provoz protokolu ICMP, SMB (port 445 a port 5445 pro SMB Direct, pokud používáte RDMA iWARP) a obousměrný provoz WS-MAN (port 5985) mezi všemi uzly v clusteru, budete potřebovat příslušná pravidla brány firewall.
Když k vytvoření clusteru použijete Průvodce vytvářením v Windows Admin Center, průvodce automaticky otevře příslušné porty brány firewall na každém serveru v clusteru pro Failover Clustering, Hyper-V a Storage Replica. Jestliže používáte jiný firewall na každém počítači, otevřete porty podle pokynů v následujících částech:
Správa operačního systému Azure Stack HCI
Ujistěte se, že jsou v místní bráně firewall nakonfigurovaná následující pravidla brány firewall pro správu operačního systému Azure Stack HCI, včetně licencování a fakturace.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolení příchozího a odchozího provozu do a z místní služby Azure na místních počítačích Azure | Povolit | Uzly instancí | Uzly instancí | protokol TCP | 30301 |
Windows Admin Center
Ujistěte se, že jsou v bráně firewall vaší lokální infrastruktury pro Windows Admin Center nakonfigurovaná následující pravidla.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Poskytnutí přístupu k Azure a službě Microsoft Update | Povolit | Windows Admin Center | Lokální Azure | protokol TCP | 445 |
| Použití vzdálené správy systému Windows (WinRM) 2.0 pro připojení HTTP ke spouštění příkazů na vzdálených serverech Windows |
Povolit | Windows Admin Center | Lokální Azure | protokol TCP | 5985 |
| Použití WinRM 2.0 pro spuštění připojení HTTPS příkazy na vzdálených serverech Windows |
Povolit | Windows Admin Center | Lokální Azure | protokol TCP | 5986 |
Poznámka:
Pokud při instalaci Windows Admin Center vyberete nastavení Použít WinRM jenom přes HTTPS , bude potřeba port 5986.
služba Active Directory
Ujistěte se, že jsou ve vaší lokální bráně firewall nakonfigurovaná následující pravidla pro službu Active Directory (lokální autorita zabezpečení).
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolení příchozího nebo odchozího připojení k webovým službám Active Directory (ADWS) a službě brány pro správu služby Active Directory | Povolit | Lokální Azure | Služby Active Directory | protokol TCP | 9389 |
Síťový časový protokol
Ujistěte se, že jsou ve vaší interní bráně firewall pro Network Time Protocol (NTP) nakonfigurována následující pravidla firewallu.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolte příchozí nebo odchozí připojení k serveru PROTOKOLU NTP (Network Time Protocol). Tento server může být řadiče domény služby Active Directory nebo zařízení NTP. | Povolit | Lokální Azure | Server pro časovou synchronizaci NTP/SNTP (Network Time Protocol) | UDP (User Datagram Protocol) | 123 |
Clustrování s podporou převzetí při selhání
Ujistěte se, že jsou v lokální bráně firewall nakonfigurovaná následující pravidla pro převzetí služeb při selhání (Failover Clustering).
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolit validaci clusteru pro převzetí služeb při selhání | Povolit | Systém pro správu | Uzly instancí | protokol TCP | 445 |
| Povolit dynamické přidělování portů RPC | Povolit | Systém pro správu | Uzly instancí | protokol TCP | Minimálně 100 portů vyšší než port 5000 |
| Povolit vzdálené volání procedur (RPC) | Povolit | Systém pro správu | Uzly instancí | protokol TCP | 135 |
| Povolit správce clusteru | Povolit | Systém pro správu | Uzly instancí | UDP (User Datagram Protocol) | 137 |
| Povolit službu clusteru | Povolit | Systém pro správu | Uzly instancí | UDP (User Datagram Protocol) | 3343 |
| Povolit službu clusteru (vyžaduje se během instalace) operace připojení k serveru.) |
Povolit | Systém pro správu | Uzly instancí | protokol TCP | 3343 |
| Povolit ICMPv4 a ICMPv6 pro ověřování clusteru pro přepnutí při selhání |
Povolit | Systém pro správu | Uzly instancí | Není k dispozici | Není k dispozici |
Poznámka:
Systém pro správu zahrnuje jakýkoli počítač, ze kterého chcete systém spravovat, pomocí nástrojů, jako jsou Windows Admin Center, Windows PowerShell nebo System Center Virtual Machine Manager.
Hyper-V
Ujistěte se, že jsou ve vlastním firewallu pro Hyper-V nakonfigurovaná následující pravidla.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolit komunikaci clusteru | Povolit | Systém pro správu | Hyper-V Server | protokol TCP | 445 |
| Povolit mapování koncových bodů RPC a WMI | Povolit | Systém pro správu | Hyper-V Server | protokol TCP | 135 |
| Povolit připojení HTTP | Povolit | Systém pro správu | Hyper-V Server | protokol TCP | 80 |
| Povolit připojení HTTPS | Povolit | Systém pro správu | Hyper-V Server | protokol TCP | 443 |
| Povolit migraci za provozu | Povolit | Systém pro správu | Hyper-V Server | protokol TCP | 6600 |
| Povolit službu správy virtuálních počítačů | Povolit | Systém pro správu | Hyper-V Server | protokol TCP | 2179 |
| Povolit dynamické přidělování portů RPC | Povolit | Systém pro správu | Hyper-V Server | protokol TCP | Minimálně 100 portů vyšší než port 5000 |
Poznámka:
Otevřete rozsah portů nad portem 5000 a povolte dynamické přidělování portů RPC. Porty nižší než 5000 už můžou být používané jinými aplikacemi a můžou způsobit konflikty s aplikacemi DCOM. Předchozí prostředí ukazuje, že by se mělo otevřít minimálně 100 portů, protože několik systémových služeb spoléhá na tyto porty RPC ke vzájemné komunikaci. Další informace naleznete v tématu Konfigurace dynamického přidělování portů RPC pro práci s branami firewall.
Replika úložiště (roztažený klastr)
Ujistěte se, že jsou v místní bráně firewall nakonfigurována následující pravidla pro Storage Replica (stretched instance).
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolit blokování zpráv serveru Protokol SMB |
Povolit | Roztáhnuté uzly instance | Roztáhnuté uzly instance | protokol TCP | 445 |
| Povolit správu webových služeb (WS-MAN) |
Povolit | Roztáhnuté uzly instance | Roztáhnuté uzly instance | protokol TCP | 5985 |
| Povolit ICMPv4 a ICMPv6 (pokud používáte Test-SRTopologyPowerShell příkazový modul) |
Povolit | Roztáhnuté uzly instance | Roztáhnuté uzly instance | Není k dispozici | Není k dispozici |
Aktualizace brány firewall v programu Microsoft Defender
Tato část ukazuje, jak nakonfigurovat bránu firewall v programu Microsoft Defender tak, aby umožňovala připojení IP adres přidružených ke značce služby pro připojení k operačnímu systému. Značka služby představuje skupinu IP adres z dané služby Azure. Společnost Microsoft spravuje IP adresy zahrnuté do značky služby a automaticky aktualizuje tuto značku, když se IP adresy mění, aby se minimalizovaly aktualizace. Další informace najdete v tématu Značky služeb virtuální sítě.
Stáhněte soubor JSON z následujícího prostředku do cílového počítače s operačním systémem: Rozsahy IP adres Azure a značky služeb – veřejný cloud.
K otevření souboru JSON použijte následující příkaz PowerShellu:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonZískejte seznam rozsahů IP adres pro danou značku služby, například
AzureResourceManagerznačku služby:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportujte seznam IP adres do vaší externí podnikové brány firewall, pokud používáte seznam povolených IP adres.
Vytvořte pravidlo brány firewall pro každý uzel v systému, které povolí odchozí provoz na portu 443 (HTTPS) do předem určených rozsahů IP adres.
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Další kroky
Další informace najdete také:
- Oddíl Porty brány Windows Firewall a WinRM 2.0 v rámci Instalace a konfigurace pro vzdálenou správu systému Windows.
- Informace o místním nasazení Azure