Requisitos de firewall para Azure Stack HCI
Se aplica a: Azure Stack HCI, versiones 23H2 y 22H2
En este artículo se proporcionan instrucciones sobre cómo configurar firewalls para el sistema operativo de Azure Stack HCI. Incluye requisitos de firewall para los puntos de conexión de salida y las reglas y puertos internos. En el artículo también se proporciona información sobre cómo usar etiquetas de servicio de Azure con el firewall de Microsoft Defender.
Si la red usa un servidor proxy para el acceso a Internet, consulte Configuración de los valores de proxy para Azure Stack HCI.
Importante
Azure ExpressRoute y Azure Private Link no son compatibles con Azure Stack HCI, versión 23H2 ni ninguno de sus componentes, ya que no es posible acceder a los puntos de conexión públicos necesarios para Azure Stack HCI 23H2.
Requisitos de firewall para puntos de conexión de salida
La apertura del puerto 443 para el tráfico de red saliente en el firewall de la organización cumple los requisitos de conectividad para que el sistema operativo se conecte con Azure y Microsoft Update. Si el firewall de salida está restringido, se recomienda incluir las direcciones URL y los puertos descritos en la sección Direcciones URL de firewall recomendadas de este artículo.
Azure Stack HCI necesita conectarse periódicamente a Azure. El acceso está limitado únicamente a:
- Direcciones IP conocidas de Azure
- Dirección de salida
- Puerto 443 (HTTPS)
Importante
Azure Stack HCI no admite la inspección HTTPS. Asegúrese de que la inspección https está deshabilitada a lo largo de la ruta de acceso de red de Azure Stack HCI para evitar errores de conectividad.
Tal como se muestra en el diagrama siguiente, es posible que Azure Stack HCI acceda a Azure utilizando más de un firewall.
En este artículo se describe cómo se puede usar una configuración de firewall bloqueada para impedir todo el tráfico a todos los destinos, excepto los incluidos en la lista de permitidos.
Direcciones URL de firewall necesarias
En la tabla siguiente se proporciona una lista de las direcciones URL de firewall necesarias. Asegúrese de incluir estas direcciones URL en la lista de permitidos.
Además, siga los requisitos de firewall necesarios para AKS en Azure Stack HCI.
Nota:
Las reglas de firewall de Azure Stack HCI son los puntos de conexión mínimos necesarios para la conectividad de HciSvc y no contienen caracteres comodín. Sin embargo, la tabla siguiente contiene actualmente direcciones URL con caracteres comodín, que se pueden actualizar en puntos de conexión precisos en el futuro.
Service | URL | Port | Notas |
---|---|---|---|
Descarga de actualizaciones de Azure Stack HCI | fe3.delivery.mp.microsoft.com | 443 | Para actualizar Azure Stack HCI, versión 23H2. |
Descarga de actualizaciones de Azure Stack HCI | tlu.dl.delivery.mp.microsoft.com | 80 | Para actualizar Azure Stack HCI, versión 23H2. |
Detección de actualizaciones de Azure Stack HCI | aka.ms | 443 | Para resolver direcciones para detectar Azure Stack HCI, versión 23H2 y actualizaciones de extensión del Generador de soluciones. |
Detección de actualizaciones de Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Servicio subyacente que implementa el seguimiento de datos de uso para los vínculos de redireccionamiento de aka.ms. |
Azure Stack HCI | login.microsoftonline.com | 443 | Para la entidad de Active Directory y se usa para la autenticación, la captura de tokens y la validación. |
Azure Stack HCI | graph.windows.net | 443 | Para Graph y se usa para la autenticación, la captura de tokens y la validación. |
Azure Stack HCI | management.azure.com | 443 | Para Resource Manager y se usa durante el arranque inicial del clúster en Azure con fines de registro y para anular el registro del clúster. |
Azure Stack HCI | dp.stackhci.azure.com | 443 | Para el plano de datos que inserta datos de diagnóstico y se usan en la canalización de Azure Portal e inserta los datos de facturación. |
Azure Stack HCI | *.platform.edge.azure.com | 443 | Para el plano de datos usado en las licencias y en la inserción de alertas y datos de facturación. Solo es necesario para Azure Stack HCI, versión 23H2. |
Azure Stack HCI | azurestackhci.azurefd.net | 443 | Dirección URL anterior del plano de datos. Esta dirección URL se cambió recientemente. Si registró el clúster con esta dirección URL antigua, también debe incluirla en la lista de permitidos. |
Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Para el registro de contenedor de máquinas virtuales de Arc en Azure Stack HCI. Solo es necesario para Azure Stack HCI, versión 23H2. |
Azure Key Vault | *.vault.azure.net/* | 443 | Acceso al almacén de claves para acceder a los secretos de implementación de Azure Stack HCI. Reemplace el primer * por el nombre del almacén de claves que planea usar y el segundo * por los nombres de secreto. Solo es necesario para Azure Stack HCI, versión 23H2. |
Arc For Servers | aka.ms | 443 | Para resolver el script de descarga durante la instalación. |
Arc For Servers | download.microsoft.com | 443 | Para descargar el paquete de instalación de Windows. |
Arc For Servers | login.windows.net | 443 | Para microsoft Entra ID |
Arc For Servers | login.microsoftonline.com | 443 | Para microsoft Entra ID |
Arc For Servers | pas.windows.net | 443 | Para microsoft Entra ID |
Arc For Servers | management.azure.com | 443 | Para que Azure Resource Manager cree o elimine el recurso de Arc Server |
Arc For Servers | guestnotificationservice.azure.com | 443 | Para el servicio de notificaciones para escenarios de extensión y conectividad |
Arc For Servers | *.his.arc.azure.com | 443 | Para metadatos y servicios de identidad híbrida |
Arc For Servers | *.guestconfiguration.azure.com | 443 | Para la administración de extensiones y los servicios de configuración de invitados |
Arc For Servers | *.guestnotificationservice.azure.com | 443 | Para el servicio de notificaciones para escenarios de extensión y conectividad |
Arc For Servers | azgn*.servicebus.windows.net | 443 | Para el servicio de notificaciones para escenarios de extensión y conectividad |
Arc For Servers | *.servicebus.windows.net | 443 | Para escenarios de Windows Admin Center y SSH |
Arc For Servers | *.waconazure.com | 443 | Para conectividad de Windows Admin Center |
Arc For Servers | *.blob.core.windows.net | 443 | Para descargar el origen de las extensiones de servidores habilitados para Azure Arc |
Para obtener una lista completa de todas las direcciones URL del firewall, descargue la hoja de cálculo de direcciones URL del firewall.
Direcciones URL de firewall recomendadas
En la tabla siguiente se proporciona una lista de direcciones URL de firewall recomendadas. Si su firewall de salida está restringido, le recomendamos que incluya en su lista de permitidos las direcciones URL y los puertos que se describen en esta sección.
Nota:
Las reglas de firewall de Azure Stack HCI son los puntos de conexión mínimos necesarios para la conectividad de HciSvc y no contienen caracteres comodín. Sin embargo, la tabla siguiente contiene actualmente direcciones URL con caracteres comodín, que se pueden actualizar en puntos de conexión precisos en el futuro.
Service | URL | Port | Notas |
---|---|---|---|
Ventajas de Azure en Azure Stack HCI | crl3.digicert.com | 80 | Habilita el servicio de atestación de plataforma en Azure Stack HCI para realizar una comprobación de lista de revocación de certificados para garantizar que las máquinas virtuales se ejecutan realmente en entornos de Azure. |
Ventajas de Azure en Azure Stack HCI | crl4.digicert.com | 80 | Habilita el servicio de atestación de plataforma en Azure Stack HCI para realizar una comprobación de lista de revocación de certificados para garantizar que las máquinas virtuales se ejecutan realmente en entornos de Azure. |
Azure Stack HCI | *.powershellgallery.com | 443 | Para obtener el módulo de PowerShell Az.StackHCI, que es necesario para registrar clústeres. Como alternativa, puede descargar e instalar el módulo de PowerShell Az.StackHCI manualmente desde Galería de PowerShell. |
Testigo en la nube del clúster | *.blob.core.windows.net | 443 | Para el acceso de firewall al contenedor de blobs de Azure, si elige usar un testigo en la nube como testigo de clúster, que es opcional. |
Microsoft Update | windowsupdate.microsoft.com | 80 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | download.windowsupdate.com | 80 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | *.download.windowsupdate.com | 80 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | download.microsoft.com | 443 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | wustat.windows.com | 80 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | ntservicepack.microsoft.com | 80 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | go.microsoft.com | 80 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | *.windowsupdate.com | 80 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Microsoft Update | *.update.microsoft.com | 80, 443 | Para Microsoft Update, que permite que el sistema operativo reciba actualizaciones. |
Requisitos de firewall para servicios adicionales de Azure
En función de los servicios adicionales de Azure que habilite en HCI, es posible que tenga que realizar cambios adicionales en la configuración del firewall. Consulte los vínculos siguientes para obtener información sobre los requisitos de firewall para cada servicio de Azure:
- AKS en Azure Stack HCI
- Servidores habilitados para Azure Arc
- Requisitos de red del puente de recursos de Azure Arc
- Agente de Azure Monitor
- Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) y Log Analytics Agent
- Qualys
- Compatibilidad remota
- Windows Admin Center
- Windows Admin Center en Azure Portal
Requisitos de firewall para reglas y puertos internos
Asegúrese de que los puertos de red adecuados están abiertos entre todos los nodos de servidor dentro de un sitio y entre sitios para clústeres extendidos (la funcionalidad de clúster extendido solo está disponible en Azure Stack HCI, versión 22H2). Necesitará reglas adecuadas de firewall para permitir ICMP, SMB (puerto 445, más el puerto 5445 para SMB directo si usa iWARP RDMA) y el tráfico bidireccional WS-MAN (puerto 5985) entre todos los servidores del clúster.
Al usar el Asistente para creación de clústeres en Windows Admin Center para crear el clúster, el Asistente abre automáticamente los puertos de firewall adecuados en cada servidor del clúster para los clústeres de conmutación por error, Hyper-V y réplica de almacenamiento. Si usa un firewall diferente en cada servidor, abra los puertos como se describe en las siguientes secciones:
Administración del sistema operativo de Azure Stack HCI
Asegúrese de que las siguientes reglas de firewall están configuradas en el firewall local para la administración del sistema operativo de Azure Stack HCI, incluidas las licencias y la facturación.
Regla | Action | Source | Destination | Service | Puertos |
---|---|---|---|---|---|
Permitir el tráfico entrante o saliente hacia y desde el servicio Azure Stack HCI en servidores de clúster | Permitir | Servidores de clúster | Servidores de clúster | TCP | 30301 |
Windows Admin Center
Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local de Windows Admin Center.
Regla | Action | Source | Destination | Service | Puertos |
---|---|---|---|---|---|
Provide access to Azure and Microsoft Update (Proporcionar acceso a Azure y Microsoft Update) | Permitir | Windows Admin Center | Azure Stack HCI | TCP | 445 |
Use Windows Remote Management (WinRM) 2.0 for HTTP connections to run commands on remote Windows servers (Usar Windows Remote Management (WinRM) 2.0 para que las conexiones HTTP ejecuten comandos en servidores Windows remotos) |
Permitir | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
Use WinRM 2.0 for HTTPS connections to run commands on remote Windows servers (Usar WinRM 2.0 para que las conexiones HTTPS ejecuten comandos en servidores Windows remotos) |
Permitir | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Nota:
Al instalar Windows Admin Center, si selecciona la configuración Use WinRM over HTTPS only (Usar WinRM solo a través de HTTPS), se necesita el puerto 5986.
Clúster de conmutación por error
Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local para clústeres de conmutación por error.
Regla | Action | Source | Destination | Service | Puertos |
---|---|---|---|---|---|
Allow Failover Cluster validation (Permitir la validación de clústeres de conmutación por error) | Permitir | Sistema de administración | Servidores de clúster | TCP | 445 |
Allow RPC dynamic port allocation (Permitir la asignación de puertos dinámicos de RPC) | Permitir | Sistema de administración | Servidores de clúster | TCP | 100 puertos como mínimo por encima del puerto 5000 |
Allow Remote Procedure Call (RPC) (Permitir llamada a procedimiento remoto [RPC]) | Permitir | Sistema de administración | Servidores de clúster | TCP | 135 |
Allow Cluster Administrator (Permitir administrador de clústeres) | Permitir | Sistema de administración | Servidores de clúster | UDP | 137 |
Allow Cluster Service (Permitir servicio de clúster) | Permitir | Sistema de administración | Servidores de clúster | UDP | 3343 |
Allow Cluster Service (Required during a server join operation) (Permitir servicio de clúster [obligatorio durante una operación de unión al servidor]) |
Permitir | Sistema de administración | Servidores de clúster | TCP | 3343 |
Allow ICMPv4 and ICMPv6 for Failover Cluster validation (Permitir ICMPv4 e ICMPv6 para la validación del clúster de conmutación por error) |
Permitir | Sistema de administración | Servidores de clúster | N/D | N/D |
Nota:
El sistema de administración incluye cualquier equipo desde el que planee administrar el clúster, mediante herramientas como Windows Admin Center, Windows PowerShell o System Center Virtual Machine Manager.
Hyper-V
Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local de Hyper-V.
Regla | Action | Source | Destination | Service | Puertos |
---|---|---|---|---|---|
Allow cluster communication (Permitir la comunicación del clúster) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 445 |
Allow RPC Endpoint Mapper and WMI (Permitir el asignador de puntos de conexión RPC y WMI) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 135 |
Allow HTTP connectivity (Permitir conectividad HTTP) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 80 |
Allow HTTPS connectivity (Permitir conectividad HTTPS) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 443 |
Allow Live Migration (Permitir Migración en vivo) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 6600 |
Allow VM Management Service (Permitir servicio de administración de máquinas virtuales) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 2179 |
Allow RPC dynamic port allocation (Permitir la asignación de puertos dinámicos de RPC) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 100 puertos como mínimo por encima del puerto 5000 |
Nota:
Abra un intervalo de puertos por encima del puerto 5000 para permitir la asignación dinámica de puertos RPC. Es posible que otras aplicaciones ya usen puertos por debajo de 5000 y podría haber conflictos con las aplicaciones DCOM. La experiencia anterior muestra que se deben abrir 100 puertos como mínimo, ya que varios servicios del sistema dependen de estos puertos RPC para comunicarse entre sí. Para más información, consulte Configurar la asignación dinámica de puertos RPC para trabajar con firewalls.
Réplica de almacenamiento (clúster extendido)
Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local para la réplica de almacenamiento (clúster extendido).
Regla | Action | Source | Destination | Service | Puertos |
---|---|---|---|---|---|
Allow Server Message Block (Permitir el protocolo Bloque de mensajes del servidor [SMB]) |
Permitir | Servidores de clúster extendidos | Servidores de clúster extendidos | TCP | 445 |
Allow Web Services-Management (WS-MAN) (Permitir la administración de servicios web [WS-MAN]) |
Permitir | Servidores de clúster extendidos | Servidores de clúster extendidos | TCP | 5985 |
Allow ICMPv4 and ICMPv6 (if using the Test-SRTopology PowerShell cmdlet) (Permitir ICMPv4 e ICMPv6 [si se usa el cmdlet "Test-SRTopology"]) |
Permitir | Servidores de clúster extendidos | Servidores de clúster extendidos | N/D | N/D |
Actualización de firewall de Microsoft Defender
En esta sección se muestra cómo configurar Firewall de Microsoft Defender para permitir que las direcciones IP asociadas a una etiqueta de servicio se conecten con el sistema operativo. Una etiqueta de servicio representa un grupo de direcciones IP de un servicio de Azure determinado. Microsoft administra las direcciones IP incluidas en la etiqueta de servicio y actualiza la etiqueta automáticamente a medida que cambian las direcciones IP para reducir las actualizaciones al mínimo. Para más información, consulte Etiquetas de servicio de red virtual.
Descargue el archivo JSON del siguiente recurso al equipo de destino que ejecuta el sistema operativo: Intervalos IP de Azure y etiquetas de servicio: nube pública.
Use el siguiente comando de PowerShell para abrir el archivo JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
Obtenga la lista de intervalos de direcciones IP para una etiqueta de servicio determinada, como la etiqueta de servicio "AzureResourceManager":
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
Importe la lista de direcciones IP en el firewall corporativo externo, si usa una lista de permitidos con él.
Cree una regla de firewall para cada servidor del clúster donde se permita el tráfico saliente de 443 (HTTPS) a la lista de intervalos de direcciones IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Pasos siguientes
Para obtener más información, vea también:
- La parte sobre los puertos de firewall de Windows y WinRM 2.0 de Instalación y configuración de Administración remota de Windows
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de