Firewallanforderungen für Azure Stack HCI
Gilt für: Azure Stack HCI, Versionen 23H2 und 22H2
In diesem Artikel finden Sie einen Leitfaden zum Konfigurieren von Firewalls für das Azure Stack HCI-Betriebssystem. Er enthält Firewallanforderungen für ausgehende Endpunkte und interne Regeln und Ports. Der Artikel enthält auch Informationen zur Verwendung von Azure-Diensttags mit Microsoft Defender Firewall.
Wenn Ihr Netzwerk einen Proxyserver für den Internetzugriff verwendet, lesen Sie Konfigurieren von Proxyeinstellungen für Azure Stack HCI.
Wichtig
Azure Private Link wird für Azure Stack HCI, Version 23H2 oder eine ihrer Komponenten nicht unterstützt.
Firewallanforderungen für ausgehende Endpunkte
Das Öffnen von Port 443 für ausgehenden Netzwerkverkehr in der Firewall Ihrer Organisation erfüllt die Anforderungen an die Konnektivität des Betriebssystems für die Verbindung mit Azure und Microsoft Update. Wenn Ihre ausgehende Firewall eingeschränkt ist, wird empfohlen, die im Abschnitt Empfohlene Firewall-URLs dieses Artikels beschriebenen URLs und Ports in die Positivliste einzubeziehen.
Azure Stack HCI muss regelmäßig eine Verbindung mit Azure herstellen. Der Zugriff ist auf Folgendes beschränkt:
- Bekannte Azure-IP-Adressen
- Ausgehender Datenverkehr
- Port 443 (HTTPS)
Wichtig
Azure Stack HCI unterstützt keine HTTPS-Überprüfung. Stellen Sie sicher, dass die HTTPS-Überprüfung entlang Ihres Netzwerkpfads für Azure Stack HCI deaktiviert ist, um Konnektivitätsfehler zu vermeiden.
Wie in der folgenden Abbildung gezeigt kann Azure Stack HCI mithilfe von mehr als einer Firewall auf Azure zugreifen.
In diesem Artikel wird erläutert, wie Sie optional eine streng gesperrte Firewallkonfiguration verwenden, damit der gesamte Datenverkehr zu allen Zielen mit Ausnahmen derjenigen blockiert wird, die in der Positivliste aufgeführt sind.
Erforderliche Firewall-URLs
Die folgende Tabelle enthält eine Liste der erforderlichen Firewall-URLs. Fügen Sie diese URLs in Ihre Zulassungsliste ein.
Befolgen Sie außerdem die erforderlichen Firewallanforderungen für AKS in Azure Stack HCI.
Hinweis
Die Azure Stack HCI-Firewallregeln sind die für die HciSvc-Konnektivität erforderlichen Mindestendpunkte und enthalten keine Wildcards. Die folgende Tabelle enthält jedoch derzeit Wildcard-URLs, die in Zukunft möglicherweise in präzise Endpunkte aktualisiert werden.
| Dienst | URL | Port | Notizen |
|---|---|---|---|
| Herunterladen von Azure Stack HCI Updates | fe3.delivery.mp.microsoft.com | 443 | Zum Aktualisieren von Azure Stack HCI, Version 23H2. |
| Herunterladen von Azure Stack HCI Updates | tlu.dl.delivery.mp.microsoft.com | 80 | Zum Aktualisieren von Azure Stack HCI, Version 23H2. |
| Ermittlung von Azure Stack HCI Updates | aka.ms | 443 | Zum Auflösen von Adressen zum Ermitteln von Azure Stack HCI, Version 23H2 und Solution Builder Extension Updates. |
| Ermittlung von Azure Stack HCI Updates | redirectiontool.trafficmanager.net | 443 | Zugrunde liegender Dienst, der die Nachverfolgung von Nutzungsdaten für die aka.ms Umleitungslinks implementiert. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Für die Active Directory-Autorität und für Authentifizierung, Tokenabruf und Überprüfung. |
| Azure Stack HCI | graph.windows.net | 443 | Für Graph und für Authentifizierung, Tokenabruf und Überprüfung. |
| Azure Stack HCI | management.azure.com | 443 | Für Resource Manager und während des anfänglichen Bootstrappings des Clusters in Azure für Registrierungszwecke und zum Aufheben der Registrierung des Clusters. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Für Datenebene, die Diagnose Daten pusht und in der Azure-Portal-Pipeline verwendet wird und Abrechnungsdaten per Push sendet. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Für Datenebene, die bei der Lizenzierung und beim Pushen von Warnungs- und Abrechnungsdaten verwendet wird. Nur für Azure Stack HCI, Version 23H2, erforderlich. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Vorherige URL für Datenebene. Diese URL wurde kürzlich geändert. Kunden, die ihren Cluster mit dieser alten URL registriert haben, müssen sie ebenfalls zulassen. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Für die Arc-VM-Containerregistrierung in Azure Stack HCI. Nur für Azure Stack HCI, Version 23H2, erforderlich. |
| Arc für Server | aka.ms | 443 | Zum Auflösen des Downloadskripts während der Installation. |
| Arc für Server | 0download.microsoft.com | 443 | Zum Herunterladen des Windows-Installationspakets. |
| Arc für Server | login.windows.net | 443 | Für Microsoft Entra ID |
| Arc für Server | login.microsoftonline.com | 443 | Für Microsoft Entra ID |
| Arc für Server | pas.windows.net | 443 | Für Microsoft Entra ID |
| Arc für Server | management.azure.com | 443 | Erstellen oder Löschen der Arc Server-Ressource durch Azure Resource Manager |
| Arc für Server | guestnotificationservice.azure.com | 443 | Für den Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien |
| Arc für Server | *.his.arc.azure.com | 443 | Für Metadaten und Hybrididentitätsdienste |
| Arc für Server | *.guestconfiguration.azure.com | 443 | Für Erweiterungsverwaltung und Gastkonfigurationsdienste |
| Arc für Server | *.guestnotificationservice.azure.com | 443 | Für Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien |
| Arc für Server | azgn*.servicebus.windows.net | 443 | Für Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien |
| Arc für Server | *.servicebus.windows.net | 443 | Für Windows Admin Center- und SSH-Szenarien |
| Arc für Server | *.waconazure.com | 443 | Für Windows Admin Center-Konnektivität |
| Arc für Server | *.blob.core.windows.net | 443 | Zum Herunterladen der Quelle für Azure Arc-fähige Servererweiterungen |
Laden Sie die Tabelle firewall-URLs herunter, um eine umfassende Liste aller Firewall-URLs zu erstellen.
Empfohlene Firewall-URLs
Die folgende Tabelle enthält eine Liste der empfohlenen Firewall-URLs. Wenn Ihre ausgehende Firewall eingeschränkt ist, empfiehlt es sich, Ihrer Positivliste die in diesem Abschnitt beschriebenen URLs und Ports hinzuzufügen.
Hinweis
Die Azure Stack HCI-Firewallregeln sind die für die HciSvc-Konnektivität erforderlichen Mindestendpunkte und enthalten keine Wildcards. Die folgende Tabelle enthält jedoch derzeit Wildcard-URLs, die in Zukunft möglicherweise in präzise Endpunkte aktualisiert werden.
| Dienst | URL | Port | Notizen |
|---|---|---|---|
| Azure-Vorteile in Azure Stack HCI | crl3.digicert.com | 80 | Ermöglicht es dem Plattformnachweisdienst in Azure Stack HCI, eine Zertifikatsperrlistenüberprüfung durchzuführen, um sicherzustellen, dass VMs tatsächlich in Azure-Umgebungen ausgeführt werden. |
| Azure-Vorteile in Azure Stack HCI | crl4.digicert.com | 80 | Ermöglicht es dem Plattformnachweisdienst in Azure Stack HCI, eine Zertifikatsperrlistenüberprüfung durchzuführen, um sicherzustellen, dass VMs tatsächlich in Azure-Umgebungen ausgeführt werden. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Um das PowerShell-Modul „Az.StackHCI“ abzurufen, das für die Clusterregistrierung erforderlich ist. Alternativ können Sie das PowerShell-Modul Az.StackHCI manuell von PowerShell-Katalog herunterladen und installieren. |
| Clustercloudzeugen | *.blob.core.windows.net | 443 | Für den Firewallzugriff auf den Azure-Blobcontainer, wenn Sie einen Cloudzeugen als Clusterzeugen verwenden( optional). |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | download.windowsupdate.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | 0download.microsoft.com | 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | wustat.windows.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | go.microsoft.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.windowsupdate.com | 80 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Für Microsoft Update, damit das Betriebssystem Updates empfangen kann. |
Firewallanforderungen für zusätzliche Azure-Dienste
Je nach zusätzlichen Azure-Diensten, die Sie auf der HCI aktivieren, müssen Sie möglicherweise zusätzliche Änderungen der Firewallkonfiguration vornehmen. Informationen zu Firewallanforderungen für jeden Azure-Dienst finden Sie unter den folgenden Links:
- AKS in Azure Stack HCI
- Server mit Azure Arc-Unterstützung
- Netzwerkanforderungen für Azure Arc-Ressourcenbrücken
- Azure Monitor-Agent
- Azure portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) und Log Analytics-Agent
- Qualys
- Remotesupport
- Windows Admin Center
- Windows Admin Center in Azure-Portal
Firewallanforderungen für interne Regeln und Ports
Stellen Sie sicher, dass die richtigen Netzwerkports zwischen allen Serverknoten sowohl innerhalb eines Standorts als auch zwischen Standorten für gestreckte Cluster geöffnet sind (stretched cluster functions is only in Azure Stack HCI, Version 22H2.). Sie benötigen geeignete Firewallregeln zum Zulassen von ICMP- und SMB-Datenverkehr (Port 445 plus Port 5445 für SMB Direct bei Verwendung von iWARP RDMA) sowie von bidirektionalem WS-MAN-Datenverkehr (Port 5985) zwischen allen Servern im Cluster.
Wenn Sie zum Erstellen des Clusters den Assistenten für die Clustererstellung in Windows Admin Center verwenden, öffnet dieser automatisch auf jedem Server im Cluster die entsprechenden Firewallports für Failoverclustering, Hyper-V und Speicherreplikate. Wenn Sie auf den einzelnen Servern unterschiedliche Firewalls verwenden, öffnen Sie die in den folgenden Abschnitten beschriebenen Ports:
Azure Stack HCI-Betriebssystemverwaltung
Stellen Sie sicher, dass die folgenden Firewallregeln in Ihrer lokalen Firewall für die Azure Stack HCI-Betriebssystemverwaltung konfiguriert sind, einschließlich Lizenzierung und Abrechnung.
| Regel | Aktion | `Source` | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen von eingehendem/ausgehendem Datenverkehr zum und vom Azure Stack HCI-Dienst auf Clusterservern | Allow | Clusterserver | Clusterserver | TCP | 30301 |
Windows Admin Center
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Windows Admin Center konfiguriert sind.
| Regel | Aktion | `Source` | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Gewähren des Zugriffs auf Azure und Microsoft Update | Allow | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Verwenden der Windows-Remoteverwaltung (WinRM) 2.0 für die HTTP-Verbindungen zum Ausführen von Befehlen auf Remote-Windows-Servern |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Verwenden von WinRM 2.0 für HTTPS-Verbindungen für die Ausführung von Befehlen auf Remote-Windows-Servern |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Hinweis
Wenn Sie bei der Installation des Windows Admin Center die Einstellung Use WinRM over HTTPS only (Nur WinRM bei HTTPS verwenden) auswählen, ist Port 5986 erforderlich.
Failoverclustering
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Failoverclustering konfiguriert sind.
| Regel | Aktion | `Source` | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen der Failovercluster-Überprüfung | Allow | Verwaltungssystem | Clusterserver | TCP | 445 |
| Zulassen der dynamischen RPC-Portzuordnung | Allow | Verwaltungssystem | Clusterserver | TCP | Mindestens 100 Ports Ports über 5000 |
| Zulassen von Remote Procedure Call (RPC) | Allow | Verwaltungssystem | Clusterserver | TCP | 135 |
| Zulassen eines Clusteradministrators | Allow | Verwaltungssystem | Clusterserver | UDP | 137 |
| Zulassen eines Clusterdiensts | Allow | Verwaltungssystem | Clusterserver | UDP | 3343 |
| Zulassen eines Clusterdiensts (erforderlich während eines Server-Verbindungsvorgangs.) |
Allow | Verwaltungssystem | Clusterserver | TCP | 3343 |
| Zulassen von ICMPv4 und ICMPv6 für die Failovercluster-Überprüfung |
Allow | Verwaltungssystem | Clusterserver | – | – |
Hinweis
Das Verwaltungssystem umfasst alle Computer, von denen aus Sie den Cluster unter Verwendung von Tools wie Windows Admin Center, Windows PowerShell oder System Center Virtual Machine Manager verwalten möchten.
Hyper-V
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Hyper-V konfiguriert sind.
| Regel | Aktion | `Source` | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen von Clusterinterner Kommunikation | Allow | Verwaltungssystem | Hyper-V-Server | TCP | 445 |
| Zulassen von RPC-Endpunktzuordnung und WMI | Allow | Verwaltungssystem | Hyper-V-Server | TCP | 135 |
| Zulassen von HTTP-Konnektivität | Allow | Verwaltungssystem | Hyper-V-Server | TCP | 80 |
| Zulassen von HTTPS-Konnektivität | Allow | Verwaltungssystem | Hyper-V-Server | TCP | 443 |
| Zulassen von Livemigration | Allow | Verwaltungssystem | Hyper-V-Server | TCP | 6600 |
| Zulassen von Verwaltungsdienst für virtuelle Maschinen | Allow | Verwaltungssystem | Hyper-V-Server | TCP | 2179 |
| Zulassen der dynamischen RPC-Portzuordnung | Allow | Verwaltungssystem | Hyper-V-Server | TCP | Mindestens 100 Ports Ports über 5000 |
Hinweis
Öffnen Sie einen Bereich von Ports über Port 5000, um die dynamische RPC-Portzuordnung zuzulassen. Ports unter 5000 werden möglicherweise bereits von anderen Anwendungen verwendet und können Konflikte mit DCOM-Anwendungen verursachen. Frühere Erfahrungen haben gezeigt, dass mindestens 100 Ports geöffnet sein sollten, da mehrere Systemdienste von diesen RPC-Ports abhängig sind, um miteinander kommunizieren zu können. Weitere Informationen finden Sie unterKonfigurieren der dynamischen RPC-Portzuweisung für den Firewall-Einsatz.
Speicherreplikat (Stretched-Cluster)
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Speicherreplikat (Stretched-Cluster) konfiguriert sind.
| Regel | Aktion | `Source` | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen von Server Message Block SMB-Protokoll |
Allow | Server für Stretched Cluster | Server für Stretched Cluster | TCP | 445 |
| Zulassen von Webdienstverwaltung (WS-MAN) |
Allow | Server für Stretched Cluster | Server für Stretched Cluster | TCP | 5985 |
| Zulassen von ICMPv4 und ICMPv6 (bei der Verwendung des Test-SRTopologyPowerShell-Cmdlet) |
Allow | Server für Stretched Cluster | Server für Stretched Cluster | – | – |
Aktualisieren der Microsoft Defender-Firewall
In diesem Abschnitt erfahren Sie, wie Sie die Microsoft Defender-Firewall so konfigurieren, dass IP-Adressen, die einem Diensttag zugeordnet sind, eine Verbindung mit dem Betriebssystem herstellen können. Ein Diensttag steht für eine Gruppe von IP-Adressen eines bestimmten Azure-Diensts. Microsoft verwaltet die im Diensttag eingeschlossenen IP-Adressen und aktualisiert das Diensttag automatisch, wenn sich IP-Adressen ändern, damit möglichst wenige Updates erforderlich sind. Weitere Informationen finden Sie unter Diensttags in virtuellen Netzwerken.
Laden Sie die JSON-Datei von der folgenden Ressource auf den Zielcomputer herunter, auf dem das Betriebssystem ausgeführt wird: Azure-IP-Adressbereiche und -Diensttags – öffentliche Cloud.
Verwenden Sie den folgenden PowerShell-Befehl zum Öffnen der JSON-Datei:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonRufen Sie die Liste der IP-Adressbereiche für ein bestimmtes Diensttag (beispielsweise „AzureResourceManager“) ab:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportieren Sie die Liste der IP-Adressen in Ihre externe Unternehmens-Firewall, wenn Sie eine zugehörige Liste „Zulassen“ verwenden.
Erstellen Sie für jeden Server im Cluster eine Firewallregel, um ausgehenden Datenverkehr für Port 443 (HTTPS) für die Liste der IP-Adressbereiche zuzulassen:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Nächste Schritte
Weitere Informationen finden Sie auch unter:
- Abschnitt „Ports für die Windows-Firewall und WinRM 2.0“ im Artikel Installation und Konfiguration der Windows-Remoteverwaltung
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für