Partage via


Configuration requise des pare-feu pour Azure Stack HCI

S’applique à : Azure Stack HCI, versions 23H2 et 22H2

Cet article fournit des conseils sur la façon de configurer des pare-feu pour le système d’exploitation Azure Stack HCI. Il inclut les exigences de pare-feu pour les points de terminaison sortants et les règles et ports internes. L’article fournit également des informations sur l’utilisation des balises de service Azure avec le pare-feu Microsoft Defender.

Si votre réseau utilise un serveur proxy pour l’accès à Internet, consultez Configurer les paramètres de proxy pour Azure Stack HCI.

Important

Azure Express Route et Azure Private Link ne sont pas pris en charge pour Azure Stack HCI, version 23H2 ou l’un de ses composants, car il n’est pas possible d’accéder aux points de terminaison publics requis pour Azure Stack HCI 23H2.

Exigences de pare-feu pour les points de terminaison sortants

Ouvrir le port 443 pour le trafic réseau sortant sur le pare-feu de votre organisation permet de répondre aux exigences de connectivité pour que le système d’exploitation se connecte à Azure et Microsoft Update. Si votre pare-feu sortant est restreint, nous vous recommandons d’inclure les URL et les ports décrits dans la section URL de pare-feu recommandées de cet article.

Azure Stack HCI doit se connecter régulièrement à Azure. L’accès est limité aux éléments suivants :

  • Adresses IP Azure connues
  • Direction sortante
  • Port 443 (HTTPS)

Important

Azure Stack HCI ne prend pas en charge l’inspection HTTPS. Vérifiez que l’inspection HTTPS est désactivée le long de votre chemin de mise en réseau pour Azure Stack HCI afin d’éviter toute erreur de connectivité.

Comme indiqué dans le diagramme ci-dessous, Azure Stack HCI accède à Azure en utilisant potentiellement plus d’un pare-feu.

Le diagramme montre Azure Stack HCI accédant aux points de terminaison d’étiquettes de service par le biais du port 443 (HTTPS) des pare-feu.

Cet article explique comment utiliser une configuration de pare-feu très verrouillée afin, si vous le souhaitez, de bloquer tout le trafic vers toutes les destinations, sauf celles incluses dans votre liste d’autorisation.

URL de pare-feu obligatoires

Le tableau suivant fournit la liste des URL de pare-feu obligatoires. Veillez à inclure ces URL dans votre liste d’autorisation.

En outre, suivez les exigences de pare-feu requises pour AKS sur Azure Stack HCI.

Remarque

Les règles de pare-feu Azure Stack HCI sont les points de terminaison minimaux requis pour la connectivité HciSvc et ne contiennent pas de caractères génériques. Toutefois, le tableau suivant contient actuellement des URL génériques, qui peuvent être mises à jour dans des points de terminaison précis à l’avenir.

Service URL Port Notes
Téléchargement des mises à jour Azure Stack HCI fe3.delivery.mp.microsoft.com 443 Pour mettre à jour Azure Stack HCI, version 23H2.
Téléchargement des mises à jour Azure Stack HCI tlu.dl.delivery.mp.microsoft.com 80 Pour mettre à jour Azure Stack HCI, version 23H2.
Découverte des mises à jour Azure Stack HCI aka.ms 443 Pour résoudre les adresses pour découvrir Azure Stack HCI, version 23H2 et mises à jour de l’extension Générateur de solutions.
Découverte des mises à jour Azure Stack HCI redirectiontool.trafficmanager.net 443 Service sous-jacent qui implémente le suivi des données d’utilisation pour les liens de redirection aka.ms.
Azure Stack HCI login.microsoftonline.com 443 Pour l’autorité Active Directory ; utilisé pour l’authentification, la récupération de jeton et la validation.
Azure Stack HCI graph.windows.net 443 Pour Graph ; utilisé pour l’authentification, la récupération de jeton et la validation.
Azure Stack HCI management.azure.com 443 Pour Resource Manager ; utilisé lors du démarrage initial du cluster pour l’inscription dans Azure et la désinscription du cluster.
Azure Stack HCI dp.stackhci.azure.com 443 Pour le plan de données qui envoie (push) les données de diagnostic et utilisées dans le pipeline Portail Azure et envoie (push) les données de facturation.
Azure Stack HCI *.platform.edge.azure.com 443 Pour le plan de données utilisé dans les licences et dans l’envoi (push) de données d’alerte et de facturation.
Obligatoire uniquement pour Azure Stack HCI, version 23H2.
Azure Stack HCI azurestackhci.azurefd.net 443 URL précédente du plan de données. Cette URL a été récemment modifiée. Si vous avez inscrit votre cluster à l’aide de cette ancienne URL, vous devez également l’autoriser.
Azure Stack HCI hciarcvmscontainerregistry.azurecr.io 443 Pour le registre de conteneurs de machines virtuelles Arc sur Azure Stack HCI.
Obligatoire uniquement pour Azure Stack HCI, version 23H2.
Azure Key Vault *.vault.azure.net/* 443 Accès au coffre de clés pour accéder aux secrets de déploiement Azure Stack HCI. Remplacez le premier * par le nom du coffre de clés que vous prévoyez d’utiliser, et le 2ème * par les noms de secrets.
Obligatoire uniquement pour Azure Stack HCI, version 23H2.
Arc For Servers aka.ms 443 Pour résoudre le script de téléchargement pendant l’installation.
Arc For Servers download.microsoft.com 443 Pour télécharger le package d’installation Windows.
Arc For Servers login.windows.net 443 Pour l’ID Microsoft Entra
Arc For Servers login.microsoftonline.com 443 Pour l’ID Microsoft Entra
Arc For Servers pas.windows.net 443 Pour l’ID Microsoft Entra
Arc For Servers management.azure.com 443 Pour qu’Azure Resource Manager crée ou supprime la ressource Arc Server
Arc For Servers guestnotificationservice.azure.com 443 Pour le service de notification pour les scénarios d’extension et de connectivité
Arc For Servers *.his.arc.azure.com 443 Pour les métadonnées et les services d’identité hybride
Arc For Servers *.guestconfiguration.azure.com 443 Pour les services de gestion des extensions et de configuration invité
Arc For Servers *.guestnotificationservice.azure.com 443 Pour le service de notification pour les scénarios d’extension et de connectivité
Arc For Servers azgn*.servicebus.windows.net 443 Pour le service de notification pour les scénarios d’extension et de connectivité
Arc For Servers *.servicebus.windows.net 443 Pour les scénarios Windows Admin Center et SSH
Arc For Servers *.waconazure.com 443 Pour une connectivité Windows Admin Center
Arc For Servers *.blob.core.windows.net 443 Pour télécharger la source pour les extensions de serveurs avec Azure Arc

Pour obtenir la liste complète de toutes les URL de pare-feu, téléchargez la feuille de calcul des URL de pare-feu.

Le tableau suivant fournit la liste des URL de pare-feu recommandées. Si votre pare-feu sortant est restreint, nous vous recommandons d’ajouter les URL et les ports décrits dans cette section à votre liste d’autorisation.

Remarque

Les règles de pare-feu Azure Stack HCI sont les points de terminaison minimaux requis pour la connectivité HciSvc et ne contiennent pas de caractères génériques. Toutefois, le tableau suivant contient actuellement des URL génériques, qui peuvent être mises à jour dans des points de terminaison précis à l’avenir.

Service URL Port Notes
Azure Benefits sur Azure Stack HCI crl3.digicert.com 80 Permet au service d’attestation de plateforme sur Azure Stack HCI d’effectuer une vérification de liste de révocation de certificats pour garantir que les machines virtuelles s’exécutent effectivement sur des environnements Azure.
Azure Benefits sur Azure Stack HCI crl4.digicert.com 80 Permet au service d’attestation de plateforme sur Azure Stack HCI d’effectuer une vérification de liste de révocation de certificats pour garantir que les machines virtuelles s’exécutent effectivement sur des environnements Azure.
Azure Stack HCI *.powershellgallery.com 443 Pour obtenir le module PowerShell Az.StackHCI, qui est nécessaire à l’inscription du cluster. Vous pouvez également télécharger et installer manuellement le module PowerShell Az.StackHCI à partir de PowerShell Gallery.
Témoin cloud de cluster *.blob.core.windows.net 443 Pour l’accès au pare-feu au conteneur d’objets blob Azure, si vous choisissez d’utiliser un témoin cloud comme témoin de cluster, ce qui est facultatif.
Microsoft Update windowsupdate.microsoft.com 80 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update download.windowsupdate.com 80 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update *.download.windowsupdate.com 80 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update download.microsoft.com 443 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update wustat.windows.com 80 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update ntservicepack.microsoft.com 80 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update go.microsoft.com 80 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update dl.delivery.mp.microsoft.com 80, 443 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update *.delivery.mp.microsoft.com 80, 443 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update *.windowsupdate.microsoft.com 80, 443 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update *.windowsupdate.com 80 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.
Microsoft Update *.update.microsoft.com 80, 443 Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour.

Exigences de pare-feu pour les services Azure supplémentaires

Selon les services Azure supplémentaires que vous activez sur HCI, vous devrez peut-être apporter des modifications de configuration de pare-feu supplémentaires. Reportez-vous aux liens suivants pour plus d’informations sur les exigences de pare-feu pour chaque service Azure :

Exigences de pare-feu pour les règles et ports internes

Vérifiez que les ports réseau appropriés sont ouverts entre tous les nœuds de serveur à la fois dans un site et entre les sites pour les clusters étendus (la fonctionnalité de cluster étendu est disponible uniquement dans Azure Stack HCI, version 22H2.). Vous aurez besoin de règles de pare-feu appropriées pour autoriser le trafic bidirectionnel ICMP, SMB (port 445, plus port 5445 pour SMB Direct si vous utilisez RDMA iWARP) et WS-MAN (port 5985) entre tous les serveurs du cluster.

Lorsque vous utilisez l’Assistant Création d’un cluster dans Windows Admin Center pour créer le cluster, l’Assistant ouvre automatiquement les ports de pare-feu appropriés sur chaque serveur du cluster pour le clustering de basculement, Hyper-V et le réplica de stockage. Si vous utilisez un pare-feu différent sur chaque serveur, ouvrez les ports comme l’expliquent les sections suivantes :

Gestion du système d’exploitation Azure Stack HCI

Vérifiez que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour la gestion du système d’exploitation Azure Stack HCI, notamment les licences et la facturation.

Règle Action Source Destination Service Ports
Autoriser le trafic entrant/sortant vers et depuis le service Azure Stack HCI sur les serveurs de cluster Autoriser Serveurs de clusters Serveurs de clusters TCP 30301

Windows Admin Center

Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour Windows Admin Center.

Règle Action Source Destination Service Ports
Fournir l’accès à Azure et Microsoft Update Autoriser Windows Admin Center Azure Stack HCI TCP 445
Utiliser Windows Remote Management (WinRM) 2.0
pour les connexions HTTP pour exécuter des commandes
sur les serveurs Windows à distance
Autoriser Windows Admin Center Azure Stack HCI TCP 5985
Utiliser WinRM 2.0 pour les connexions HTTPS pour exécuter
des commandes sur les serveurs Windows à distance
Autoriser Windows Admin Center Azure Stack HCI TCP 5986

Remarque

Lors de l’installation de Windows Admin Center, si vous sélectionnez le paramètre Use WinRM over HTTPS only (Utiliser WinRM sur HTTPS uniquement), le port 5986 est requis.

Clustering de basculement

Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour le clustering de basculement.

Règle Action Source Destination Service Ports
Autoriser la validation du cluster de basculement Autoriser Système de gestion Serveurs de clusters TCP 445
Autoriser l’allocation de port dynamique RPC Autoriser Système de gestion Serveurs de clusters TCP Minimum de 100 ports
au-dessus du port 5000
Autoriser l’appel de procédure distante (RPC) Autoriser Système de gestion Serveurs de clusters TCP 135
Autoriser l’administrateur de cluster Autoriser Système de gestion Serveurs de clusters UDP 137
Autoriser le service de cluster Autoriser Système de gestion Serveurs de clusters UDP 3343
Autoriser le service de cluster (requis pendant
une opération de jonction de serveur.)
Autoriser Système de gestion Serveurs de clusters TCP 3343
Autoriser ICMPv4 et ICMPv6
pour la validation du cluster de basculement
Autoriser Système de gestion Serveurs de clusters n/a n/a

Remarque

Le système de gestion comprend tous les ordinateurs à partir desquels vous prévoyez d’administrer le cluster, à l’aide d’outils tels que Windows Admin Center, Windows PowerShell ou System Center Virtual Machine Manager.

Hyper-V

Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour Hyper-V.

Règle Action Source Destination Service Ports
Autoriser la communication intra-cluster Autoriser Système de gestion Serveur Hyper-V TCP 445
Autoriser le mappeur de point de terminaison RPC et WMI Autoriser Système de gestion Serveur Hyper-V TCP 135
Autoriser la connectivité HTTP Autoriser Système de gestion Serveur Hyper-V TCP 80
Autoriser la connectivité HTTPS Autoriser Système de gestion Serveur Hyper-V TCP 443
Autoriser la migration dynamique Autoriser Système de gestion Serveur Hyper-V TCP 6600
Autoriser le service de gestion des machines virtuelles Autoriser Système de gestion Serveur Hyper-V TCP 2179
Autoriser l’allocation de port dynamique RPC Autoriser Système de gestion Serveur Hyper-V TCP Minimum de 100 ports
au-dessus du port 5000

Remarque

Ouvrez une plage de ports au-dessus du port 5000 pour autoriser l’allocation de port dynamique RPC. Les ports inférieurs à 5000 peuvent déjà être utilisés par d’autres applications et provoquer des conflits avec les applications DCOM. L’expérience précédente montre qu’un minimum de 100 ports doivent être ouverts, car plusieurs services système s’appuient sur ces ports RPC pour communiquer entre eux. Pour plus d’informations, consultez Comment configurer l’allocation de port dynamique RPC avec des pare-feu.

Réplica de stockage (cluster étendu)

Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour le réplica de stockage (cluster étendu).

Règle Action Source Destination Service Ports
Autoriser le protocole SMB
(Server Message Block)
Autoriser Serveurs de cluster étendu Serveurs de cluster étendu TCP 445
Autoriser Web Services Management
(WS-MAN)
Autoriser Serveurs de cluster étendu Serveurs de cluster étendu TCP 5985
Autoriser ICMPv4 et ICMPv6
(si vous utilisez l’applet de commande PowerShell Test-SRTopology
)
Autoriser Serveurs de cluster étendu Serveurs de cluster étendu n/a n/a

Mettre à jour le pare-feu Microsoft Defender

Cette section montre comment configurer le pare-feu Microsoft Defender pour permettre aux adresses IP qui sont associées à une étiquette de service de se connecter au système d’exploitation. Une étiquette de service représente un groupe d’adresses IP d’un service Azure donné. Microsoft gère les adresses IP incluses dans l’étiquette de service, et met automatiquement à jour l’étiquette de service à mesure que les adresses IP changent, afin de limiter les mises à jour au minimum. Pour plus d’informations, consultez Étiquette de service de réseau virtuel.

  1. Téléchargez le fichier JSON à partir de la ressource suivante sur l’ordinateur cible exécutant le système d’exploitation : Plages d’adresses IP Azure et balises de service – Cloud public.

  2. Utilisez la commande PowerShell suivante pour ouvrir le fichier JSON :

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Obtenez la liste des plages d’adresses IP pour une étiquette de service donnée, par exemple, « AzureResourceManager » :

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importez la liste des adresses IP sur votre pare-feu d’entreprise externe, si vous utilisez une liste verte.

  5. Créez une règle de pare-feu pour chaque serveur du cluster afin d’autoriser le trafic sortant 443 (HTTPS) vers la liste des plages d’adresses IP :

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Étapes suivantes

Pour plus d'informations, consultez également :