Compartir vía


Requisitos de firewall para Azure Stack HCI

Se aplica a: Azure Stack HCI, versiones 23H2 y 22H2

En este artículo se proporcionan instrucciones sobre cómo configurar firewalls para el sistema operativo de Azure Stack HCI. Incluye requisitos de firewall para los puntos de conexión de salida y las reglas y puertos internos. En el artículo también se proporciona información sobre cómo usar etiquetas de servicio de Azure con el firewall de Microsoft Defender.

En este artículo también se describe cómo usar opcionalmente una configuración de firewall altamente bloqueada para bloquear todo el tráfico a todos los destinos, excepto los incluidos en la lista de permitidos.

Si la red usa un servidor proxy para el acceso a Internet, consulte Configuración de los valores de proxy para Azure Stack HCI.

Importante

Azure ExpressRoute y Azure Private Link no son compatibles con Azure Stack HCI, versión 23H2 ni ninguno de sus componentes, ya que no es posible acceder a los puntos de conexión públicos necesarios para Azure Stack HCI, versión 23H2.

Requisitos de firewall para puntos de conexión de salida

La apertura de los puertos 80 y 443 para el tráfico de red saliente en el firewall de la organización cumple los requisitos de conectividad del sistema operativo Azure Stack HCI para conectarse a Azure y Microsoft Update.

Azure Stack HCI debe conectarse periódicamente a Azure para:

  • Direcciones IP conocidas de Azure
  • Dirección de salida
  • Puertos 80 (HTTP) y 443 (HTTPS)

Importante

Azure Stack HCI no admite la inspección HTTPS. Asegúrese de que la inspección https está deshabilitada a lo largo de la ruta de acceso de red de Azure Stack HCI para evitar errores de conectividad.

Como se muestra en el diagrama siguiente, Azure Stack HCI puede acceder a Azure mediante más de un firewall potencialmente.

En el diagrama se muestra cómo Azure Stack HCI accede a los puntos de conexión de las etiquetas de servicio a través del puerto 443 (HTTPS) de los firewalls.

Direcciones URL de firewall necesarias para implementaciones de Azure Stack HCI 23H2

A partir de Azure Stack HCI, versión 23H2, todos los clústeres habilitan automáticamente la infraestructura de Azure Resource Bridge y AKS y usan el agente de Arc for Servers para conectarse al plano de control de Azure. Junto con la lista de puntos de conexión específicos de HCI en la tabla siguiente, los puntos de conexión de Azure Resource Bridge en Azure Stack HCI , los puntos de conexión de AKS en Azure Stack HCI y los puntos de conexión de servidores habilitados para Azure Arc deben incluirse en la lista de permitidos del firewall.

Para la lista consolidada este de EE. UU. de puntos de conexión, incluidos HCI, servidores habilitados para Arc, ARB y AKS, use:

Para la lista consolidada de puntos de conexión de Oeste de Europa, incluidos HCI, servidores habilitados para Arc, ARB y AKS usan:

Para la lista consolidada del Este de Australia de puntos de conexión, incluidos HCI, servidores habilitados para Arc, ARB y AKS usan:

Para la lista consolidada del Centro de Canadá de puntos de conexión, incluidos HCI, servidores habilitados para Arc, ARB y AKS usan:

Para la lista consolidada de puntos de conexión de La India central, incluidos HCI, servidores habilitados para Arc, ARB y AKS usan:

Requisitos de firewall para servicios adicionales de Azure

En función de los servicios adicionales de Azure que habilite para Azure Stack HCI, es posible que tenga que realizar cambios adicionales en la configuración del firewall. Consulte los vínculos siguientes para obtener información sobre los requisitos de firewall para cada servicio de Azure:

Requisitos de firewall para reglas y puertos internos

Asegúrese de que los puertos de red adecuados están abiertos entre todos los nodos de servidor, tanto dentro de un sitio como entre sitios para clústeres extendidos (la funcionalidad de clúster extendido solo está disponible en Azure Stack HCI, versión 22H2). Necesitará reglas adecuadas de firewall para permitir ICMP, SMB (puerto 445, más el puerto 5445 para SMB directo si usa iWARP RDMA) y el tráfico bidireccional WS-MAN (puerto 5985) entre todos los servidores del clúster.

Al usar el Asistente para la creación de clústeres en Windows Admin Center para crear el clúster, el asistente abre automáticamente los puertos de firewall adecuados en cada servidor del clúster para clústeres de conmutación por error, Hyper-V y réplica de almacenamiento. Si usa un firewall diferente en cada servidor, abra los puertos como se describe en las siguientes secciones:

Administración del sistema operativo de Azure Stack HCI

Asegúrese de que las siguientes reglas de firewall están configuradas en el firewall local para la administración del sistema operativo de Azure Stack HCI, incluidas las licencias y la facturación.

Regla Action Source Destination Service Puertos
Permitir el tráfico entrante o saliente hacia y desde el servicio Azure Stack HCI en servidores de clúster Permitir Servidores de clúster Servidores de clúster TCP 30301

Windows Admin Center

Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local de Windows Admin Center.

Regla Action Source Destination Service Puertos
Provide access to Azure and Microsoft Update (Proporcionar acceso a Azure y Microsoft Update) Permitir Windows Admin Center Azure Stack HCI TCP 445
Use Windows Remote Management (WinRM) 2.0
for HTTP connections to run commands
on remote Windows servers (Usar Windows Remote Management (WinRM) 2.0 para que las conexiones HTTP ejecuten comandos en servidores Windows remotos)
Permitir Windows Admin Center Azure Stack HCI TCP 5985
Use WinRM 2.0 for HTTPS connections to run
commands on remote Windows servers (Usar WinRM 2.0 para que las conexiones HTTPS ejecuten comandos en servidores Windows remotos)
Permitir Windows Admin Center Azure Stack HCI TCP 5986

Nota:

Al instalar Windows Admin Center, si selecciona la configuración Use WinRM over HTTPS only (Usar WinRM solo a través de HTTPS), se necesita el puerto 5986.

Active Directory

Asegúrese de que las siguientes reglas de firewall están configuradas en el firewall local para Active Directory (autoridad de seguridad local).

Regla Action Source Destination Service Puertos
Permitir la conectividad entrante o saliente con los servicios web de Active Directory (ADWS) y el servicio de puerta de enlace de administración de Active Directory Permitir Servicios de Active Directory Azure Stack HCI TCP 9389

Clúster de conmutación por error

Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local para clústeres de conmutación por error.

Regla Action Source Destination Service Puertos
Allow Failover Cluster validation (Permitir la validación de clústeres de conmutación por error) Permitir Sistema de administración Servidores de clúster TCP 445
Allow RPC dynamic port allocation (Permitir la asignación de puertos dinámicos de RPC) Permitir Sistema de administración Servidores de clúster TCP 100 puertos como mínimo
por encima del puerto 5000
Allow Remote Procedure Call (RPC) (Permitir llamada a procedimiento remoto [RPC]) Permitir Sistema de administración Servidores de clúster TCP 135
Allow Cluster Administrator (Permitir administrador de clústeres) Permitir Sistema de administración Servidores de clúster UDP 137
Allow Cluster Service (Permitir servicio de clúster) Permitir Sistema de administración Servidores de clúster UDP 3343
Allow Cluster Service (Required during
a server join operation) (Permitir servicio de clúster [obligatorio durante una operación de unión al servidor])
Permitir Sistema de administración Servidores de clúster TCP 3343
Allow ICMPv4 and ICMPv6
for Failover Cluster validation (Permitir ICMPv4 e ICMPv6 para la validación del clúster de conmutación por error)
Permitir Sistema de administración Servidores de clúster N/D N/D

Nota:

El sistema de administración incluye cualquier equipo desde el que planee administrar el clúster, mediante herramientas como Windows Admin Center, Windows PowerShell o System Center Virtual Machine Manager.

Hyper-V

Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local de Hyper-V.

Regla Action Source Destination Service Puertos
Allow cluster communication (Permitir la comunicación del clúster) Permitir Sistema de administración Servidor de Hyper-V TCP 445
Allow RPC Endpoint Mapper and WMI (Permitir el asignador de puntos de conexión RPC y WMI) Permitir Sistema de administración Servidor de Hyper-V TCP 135
Allow HTTP connectivity (Permitir conectividad HTTP) Permitir Sistema de administración Servidor de Hyper-V TCP 80
Allow HTTPS connectivity (Permitir conectividad HTTPS) Permitir Sistema de administración Servidor de Hyper-V TCP 443
Allow Live Migration (Permitir Migración en vivo) Permitir Sistema de administración Servidor de Hyper-V TCP 6600
Allow VM Management Service (Permitir servicio de administración de máquinas virtuales) Permitir Sistema de administración Servidor de Hyper-V TCP 2179
Allow RPC dynamic port allocation (Permitir la asignación de puertos dinámicos de RPC) Permitir Sistema de administración Servidor de Hyper-V TCP 100 puertos como mínimo
por encima del puerto 5000

Nota:

Abra un intervalo de puertos por encima del puerto 5000 para permitir la asignación dinámica de puertos RPC. Es posible que otras aplicaciones ya usen puertos por debajo de 5000 y podría haber conflictos con las aplicaciones DCOM. La experiencia anterior muestra que se deben abrir 100 puertos como mínimo, ya que varios servicios del sistema dependen de estos puertos RPC para comunicarse entre sí. Para más información, consulte Configurar la asignación dinámica de puertos RPC para trabajar con firewalls.

Réplica de almacenamiento (clúster extendido)

Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local para la réplica de almacenamiento (clúster extendido).

Regla Action Source Destination Service Puertos
Allow Server Message Block (Permitir el protocolo Bloque de mensajes del servidor
[SMB])
Permitir Servidores de clúster extendidos Servidores de clúster extendidos TCP 445
Allow Web Services-Management
(WS-MAN) (Permitir la administración de servicios web [WS-MAN])
Permitir Servidores de clúster extendidos Servidores de clúster extendidos TCP 5985
Allow ICMPv4 and ICMPv6
(if using the Test-SRTopology
PowerShell cmdlet) (Permitir ICMPv4 e ICMPv6 [si se usa el cmdlet "Test-SRTopology"])
Permitir Servidores de clúster extendidos Servidores de clúster extendidos N/D N/D

Actualización de firewall de Microsoft Defender

En esta sección se muestra cómo configurar Firewall de Microsoft Defender para permitir que las direcciones IP asociadas a una etiqueta de servicio se conecten con el sistema operativo. Una etiqueta de servicio representa un grupo de direcciones IP de un servicio de Azure determinado. Microsoft administra las direcciones IP incluidas en la etiqueta de servicio y actualiza la etiqueta automáticamente a medida que cambian las direcciones IP para reducir las actualizaciones al mínimo. Para más información, consulte Etiquetas de servicio de red virtual.

  1. Descargue el archivo JSON del siguiente recurso al equipo de destino que ejecuta el sistema operativo: Intervalos IP de Azure y etiquetas de servicio: nube pública.

  2. Use el siguiente comando de PowerShell para abrir el archivo JSON:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Obtenga la lista de intervalos de direcciones IP de una etiqueta de servicio determinada, como la etiqueta de AzureResourceManager servicio:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importe la lista de direcciones IP en el firewall corporativo externo, si usa una lista de permitidos con él.

  5. Cree una regla de firewall para cada servidor del clúster donde se permita el tráfico saliente de 443 (HTTPS) a la lista de intervalos de direcciones IP:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Pasos siguientes

Para obtener más información, vea también: