Firewallanforderungen für Azure Stack HCI
Gilt für: Azure Stack HCI, Versionen 23H2 und 22H2
In diesem Artikel finden Sie einen Leitfaden zum Konfigurieren von Firewalls für das Azure Stack HCI-Betriebssystem. Er enthält Firewallanforderungen für ausgehende Endpunkte und interne Regeln und Ports. Der Artikel enthält auch Informationen zur Verwendung von Azure-Diensttags mit der Microsoft Defender-Firewall.
Wenn Ihr Netzwerk einen Proxyserver für den Internetzugriff verwendet, lesen Sie " Konfigurieren von Proxyeinstellungen für Azure Stack HCI".
Wichtig
Azure Express Route und Azure Private Link werden für Azure Stack HCI, Version 23H2 oder eine seiner Komponenten nicht unterstützt, da es nicht möglich ist, auf die öffentlichen Endpunkte zuzugreifen, die für Azure Stack HCI 23H2 erforderlich sind.
Firewallanforderungen für ausgehende Endpunkte
Das Öffnen von Port 443 für ausgehenden Netzwerkverkehr in der Firewall Ihrer Organisation erfüllt die Anforderungen an die Konnektivität des Betriebssystems für die Verbindung mit Azure und Microsoft Update. Wenn Ihre ausgehende Firewall eingeschränkt ist, wird empfohlen, die im Abschnitt Empfohlene Firewall-URLs dieses Artikels beschriebenen URLs und Ports in die Positivliste einzubeziehen.
Azure Stack HCI muss regelmäßig eine Verbindung mit Azure herstellen. Der Zugriff ist auf Folgendes beschränkt:
- Bekannte Azure-IP-Adressen
- Ausgehender Datenverkehr
- Port 443 (HTTPS)
Wichtig
Azure Stack HCI unterstützt keine HTTPS-Inspektion. Stellen Sie sicher, dass die HTTPS-Überprüfung entlang Ihres Netzwerkpfads für Azure Stack HCI deaktiviert ist, um Verbindungsfehler zu verhindern.
Wie in der folgenden Abbildung gezeigt kann Azure Stack HCI mithilfe von mehr als einer Firewall auf Azure zugreifen.
In diesem Artikel wird erläutert, wie Sie optional eine streng gesperrte Firewallkonfiguration verwenden, damit der gesamte Datenverkehr zu allen Zielen mit Ausnahmen derjenigen blockiert wird, die in der Positivliste aufgeführt sind.
Erforderliche Firewall-URLs
Die folgende Tabelle enthält eine Liste der erforderlichen Firewall-URLs. Fügen Sie diese URLs in Ihre Zulassungsliste ein.
Befolgen Sie außerdem die erforderlichen Firewallanforderungen für AKS auf Azure Stack HCI.
Hinweis
Die Azure Stack HCI-Firewallregeln sind die minimalen Endpunkte, die für die HciSvc-Konnektivität erforderlich sind und keine Wildcards enthalten. Die folgende Tabelle enthält derzeit jedoch Wildcard-URLs, die in Zukunft in präzise Endpunkte aktualisiert werden können.
| Dienst | URL | Port | Hinweise |
|---|---|---|---|
| Herunterladen von Azure Stack HCI-Updates | fe3.delivery.mp.microsoft.com | 443 | Zum Aktualisieren von Azure Stack HCI, Version 23H2. |
| Herunterladen von Azure Stack HCI-Updates | tlu.dl.delivery.mp.microsoft.com | 80 | Zum Aktualisieren von Azure Stack HCI, Version 23H2. |
| Ermittlung von Azure Stack HCI-Updates | aka.ms | 443 | Zum Auflösen von Adressen zum Ermitteln von Azure Stack HCI, Version 23H2 und Lösungs-Generator-Erweiterungsupdates. |
| Ermittlung von Azure Stack HCI-Updates | redirectiontool.trafficmanager.net | 443 | Zugrunde liegender Dienst, der die Nachverfolgung von Nutzungsdaten für die aka.ms Umleitungslinks implementiert. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Für die Active Directory-Autorität und für Authentifizierung, Tokenabruf und Überprüfung. |
| Azure Stack HCI | graph.windows.net | 443 | Für Graph und für Authentifizierung, Tokenabruf und Überprüfung. |
| Azure Stack HCI | management.azure.com | 443 | Für Resource Manager und während des anfänglichen Bootstrappings des Clusters in Azure für Registrierungszwecke und zum Aufheben der Registrierung des Clusters. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | For Data plane that pushs up diagnostics data and used in the Azure-Portal pipeline and pushes billing data. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Für Datenebene, die in der Lizenzierung und beim Pushing von Warn- und Abrechnungsdaten verwendet wird. Nur für Azure Stack HCI, Version 23H2, erforderlich. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Vorherige URL für Datenebene. Diese URL wurde kürzlich geändert. Wenn Sie Ihren Cluster mit dieser alten URL registriert haben, müssen Sie ihn ebenfalls zulassen. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | For Arc VM container registry on Azure Stack HCI. Nur für Azure Stack HCI, Version 23H2, erforderlich. |
| Azure Key Vault | *.vault.azure.net/* | 443 | Zugriff auf den Schlüsseltresor für den Zugriff auf geheime Azure Stack HCI-Bereitstellungsschlüssel. Ersetzen Sie das erste * durch den Namen des Schlüsseltresors, den Sie verwenden möchten, und den 2. * durch die geheimen Namen. Nur für Azure Stack HCI, Version 23H2, erforderlich. |
| Arc For Servers | aka.ms | 443 | Zum Auflösen des Downloadskripts während der Installation. |
| Arc For Servers | download.microsoft.com | 443 | Zum Herunterladen des Windows-Installationspakets. |
| Arc For Servers | login.windows.net | 443 | Für Microsoft Entra-ID |
| Arc For Servers | login.microsoftonline.com | 443 | Für Microsoft Entra-ID |
| Arc For Servers | pas.windows.net | 443 | Für Microsoft Entra-ID |
| Arc For Servers | management.azure.com | 443 | Erstellen oder Löschen der Arc Server-Ressource für Azure Resource Manager |
| Arc For Servers | guestnotificationservice.azure.com | 443 | Für den Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien |
| Arc For Servers | *.his.arc.azure.com | 443 | Für Metadaten und Hybrididentitätsdienste |
| Arc For Servers | *.guestconfiguration.azure.com | 443 | Für Erweiterungsverwaltung und Gastkonfigurationsdienste |
| Arc For Servers | *.guestnotificationservice.azure.com | 443 | Für den Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien |
| Arc For Servers | azgn*.servicebus.windows.net | 443 | Für den Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien |
| Arc For Servers | *.servicebus.windows.net | 443 | Für Windows Admin Center- und SSH-Szenarien |
| Arc For Servers | *.waconazure.com | 443 | Für Windows Admin Center-Konnektivität |
| Arc For Servers | *.blob.core.windows.net | 443 | Downloadquelle für Azure Arc-fähige Servererweiterungen |
Um eine umfassende Liste aller Firewall-URLs zu erstellen, laden Sie die Kalkulationstabelle für Firewall-URLs herunter.
Empfohlene Firewall-URLs
Die folgende Tabelle enthält eine Liste der empfohlenen Firewall-URLs. Wenn Ihre ausgehende Firewall eingeschränkt ist, empfiehlt es sich, Ihrer Positivliste die in diesem Abschnitt beschriebenen URLs und Ports hinzuzufügen.
Hinweis
Die Azure Stack HCI-Firewallregeln sind die minimalen Endpunkte, die für die HciSvc-Konnektivität erforderlich sind und keine Wildcards enthalten. Die folgende Tabelle enthält derzeit jedoch Wildcard-URLs, die in Zukunft in präzise Endpunkte aktualisiert werden können.
| Dienst | URL | Port | Hinweise |
|---|---|---|---|
| Azure-Vorteile in Azure Stack HCI | crl3.digicert.com | 80 | Ermöglicht dem Plattformnachweisdienst in Azure Stack HCI eine Überprüfung der Zertifikatsperrliste, um sicherzustellen, dass VMs tatsächlich in Azure-Umgebungen ausgeführt werden. |
| Azure-Vorteile in Azure Stack HCI | crl4.digicert.com | 80 | Ermöglicht dem Plattformnachweisdienst in Azure Stack HCI eine Überprüfung der Zertifikatsperrliste, um sicherzustellen, dass VMs tatsächlich in Azure-Umgebungen ausgeführt werden. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Um das PowerShell-Modul „Az.StackHCI“ abzurufen, das für die Clusterregistrierung erforderlich ist. Alternativ können Sie das Az.StackHCI PowerShell-Modul manuell von PowerShell-Katalog herunterladen und installieren. |
| Clustercloudzeugen | *.blob.core.windows.net | 443 | Für den Firewallzugriff auf den Azure-BLOB-Container, wenn Sie einen Cloudzeugen als Clusterzeugen verwenden möchten, der optional ist. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | download.windowsupdate.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | download.microsoft.com | 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | wustat.windows.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | go.microsoft.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.windowsupdate.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
Firewallanforderungen für zusätzliche Azure-Dienste
Je nach zusätzlichen Azure-Diensten, die Sie auf der HCI aktivieren, müssen Sie möglicherweise zusätzliche Änderungen der Firewallkonfiguration vornehmen. Unter den folgenden Links finden Sie Informationen zu Firewallanforderungen für jeden Azure-Dienst:
- AKS in Azure Stack HCI
- Server mit Azure Arc-Unterstützung
- Netzwerkanforderungen für Azure Arc-Ressourcenbrücken
- Azure Monitor-Agent
- Azure portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) und Log Analytics Agent
- Qualys
- Remoteunterstützung
- Windows Admin Center
- Windows Admin Center in Azure-Portal
Firewallanforderungen für interne Regeln und Ports
Stellen Sie sicher, dass die richtigen Netzwerkports sowohl innerhalb eines Standorts als auch zwischen Standorten für gestreckte Cluster geöffnet sind (gestreckte Clusterfunktionalität ist nur in Azure Stack HCI, Version 22H2, verfügbar.) Sie benötigen geeignete Firewallregeln zum Zulassen von ICMP- und SMB-Datenverkehr (Port 445 plus Port 5445 für SMB Direct bei Verwendung von iWARP RDMA) sowie von bidirektionalem WS-MAN-Datenverkehr (Port 5985) zwischen allen Servern im Cluster.
Wenn Sie zum Erstellen des Clusters den Assistenten für die Clustererstellung in Windows Admin Center verwenden, öffnet dieser automatisch auf jedem Server im Cluster die entsprechenden Firewallports für Failoverclustering, Hyper-V und Speicherreplikate. Wenn Sie auf den einzelnen Servern unterschiedliche Firewalls verwenden, öffnen Sie die in den folgenden Abschnitten beschriebenen Ports:
Azure Stack HCI-Betriebssystemverwaltung
Stellen Sie sicher, dass die folgenden Firewallregeln in Ihrer lokalen Firewall für die Verwaltung des Azure Stack HCI-Betriebssystems konfiguriert sind, einschließlich Lizenzierung und Abrechnung.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Eingehenden/ausgehenden Datenverkehr auf Clusterservern und vom Azure Stack HCI-Dienst zulassen | Zulassen | Clusterserver | Clusterserver | TCP | 30301 |
Windows Admin Center
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Windows Admin Center konfiguriert sind.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Gewähren des Zugriffs auf Azure und Microsoft Update | Zulassen | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Verwenden der Windows-Remoteverwaltung (WinRM) 2.0 für die HTTP-Verbindungen zum Ausführen von Befehlen auf Remote-Windows-Servern |
Zulassen | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Verwenden von WinRM 2.0 für HTTPS-Verbindungen für die Ausführung von Befehlen auf Remote-Windows-Servern |
Zulassen | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Hinweis
Wenn Sie bei der Installation des Windows Admin Center die Einstellung Use WinRM over HTTPS only (Nur WinRM bei HTTPS verwenden) auswählen, ist Port 5986 erforderlich.
Failoverclustering
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Failoverclustering konfiguriert sind.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen der Failovercluster-Überprüfung | Zulassen | Verwaltungssystem | Clusterserver | TCP | 445 |
| Zulassen der dynamischen RPC-Portzuordnung | Zulassen | Verwaltungssystem | Clusterserver | TCP | Mindestens 100 Ports Ports über 5000 |
| Zulassen von Remote Procedure Call (RPC) | Zulassen | Verwaltungssystem | Clusterserver | TCP | 135 |
| Zulassen eines Clusteradministrators | Zulassen | Verwaltungssystem | Clusterserver | UDP | 137 |
| Zulassen eines Clusterdiensts | Zulassen | Verwaltungssystem | Clusterserver | UDP | 3343 |
| Zulassen eines Clusterdiensts (erforderlich während eines Server-Verbindungsvorgangs.) |
Zulassen | Verwaltungssystem | Clusterserver | TCP | 3343 |
| Zulassen von ICMPv4 und ICMPv6 für die Failovercluster-Überprüfung |
Zulassen | Verwaltungssystem | Clusterserver | Nicht zutreffend | Nicht zutreffend |
Hinweis
Das Verwaltungssystem umfasst alle Computer, von denen aus Sie den Cluster unter Verwendung von Tools wie Windows Admin Center, Windows PowerShell oder System Center Virtual Machine Manager verwalten möchten.
Hyper-V
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Hyper-V konfiguriert sind.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen von Clusterinterner Kommunikation | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 445 |
| Zulassen von RPC-Endpunktzuordnung und WMI | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 135 |
| Zulassen von HTTP-Konnektivität | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 80 |
| Zulassen von HTTPS-Konnektivität | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 443 |
| Zulassen von Livemigration | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 6600 |
| Zulassen von Verwaltungsdienst für virtuelle Maschinen | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 2179 |
| Zulassen der dynamischen RPC-Portzuordnung | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | Mindestens 100 Ports Ports über 5000 |
Hinweis
Öffnen Sie einen Bereich von Ports über Port 5000, um die dynamische RPC-Portzuordnung zuzulassen. Ports unter 5000 werden möglicherweise bereits von anderen Anwendungen verwendet und können Konflikte mit DCOM-Anwendungen verursachen. Frühere Erfahrungen haben gezeigt, dass mindestens 100 Ports geöffnet sein sollten, da mehrere Systemdienste von diesen RPC-Ports abhängig sind, um miteinander kommunizieren zu können. Weitere Informationen finden Sie unterKonfigurieren der dynamischen RPC-Portzuweisung für den Firewall-Einsatz.
Speicherreplikat (Stretched-Cluster)
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Speicherreplikat (Stretched-Cluster) konfiguriert sind.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen von Server Message Block SMB-Protokoll |
Zulassen | Server für Stretched Cluster | Server für Stretched Cluster | TCP | 445 |
| Zulassen von Webdienstverwaltung (WS-MAN) |
Zulassen | Server für Stretched Cluster | Server für Stretched Cluster | TCP | 5985 |
| Zulassen von ICMPv4 und ICMPv6 (bei der Verwendung des Test-SRTopologyPowerShell-Cmdlet) |
Zulassen | Server für Stretched Cluster | Server für Stretched Cluster | Nicht zutreffend | Nicht zutreffend |
Aktualisieren der Microsoft Defender-Firewall
In diesem Abschnitt erfahren Sie, wie Sie die Microsoft Defender-Firewall so konfigurieren, dass IP-Adressen, die einem Diensttag zugeordnet sind, eine Verbindung mit dem Betriebssystem herstellen können. Ein Diensttag steht für eine Gruppe von IP-Adressen eines bestimmten Azure-Diensts. Microsoft verwaltet die im Diensttag eingeschlossenen IP-Adressen und aktualisiert das Diensttag automatisch, wenn sich IP-Adressen ändern, damit möglichst wenige Updates erforderlich sind. Weitere Informationen finden Sie unter Diensttags in virtuellen Netzwerken.
Laden Sie die JSON-Datei aus der folgenden Ressource auf den Zielcomputer herunter, auf dem das Betriebssystem ausgeführt wird: Azure IP Ranges and Service Tags – Public Cloud.
Verwenden Sie den folgenden PowerShell-Befehl zum Öffnen der JSON-Datei:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonRufen Sie die Liste der IP-Adressbereiche für ein bestimmtes Diensttag (beispielsweise „AzureResourceManager“) ab:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportieren Sie die Liste der IP-Adressen in Ihre externe Unternehmens-Firewall, wenn Sie eine zugehörige Liste „Zulassen“ verwenden.
Erstellen Sie für jeden Server im Cluster eine Firewallregel, um ausgehenden Datenverkehr für Port 443 (HTTPS) für die Liste der IP-Adressbereiche zuzulassen:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Nächste Schritte
Weitere Informationen finden Sie auch unter:
- Abschnitt „Ports für die Windows-Firewall und WinRM 2.0“ im Artikel Installation und Konfiguration der Windows-Remoteverwaltung
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für