Configuration requise des pare-feu pour Azure Stack HCI
S’applique à : Azure Stack HCI, versions 23H2 et 22H2
Cet article fournit des conseils sur la façon de configurer des pare-feu pour le système d’exploitation Azure Stack HCI. Il inclut les exigences de pare-feu pour les points de terminaison sortants et les règles et ports internes. L’article fournit également des informations sur l’utilisation des balises de service Azure avec le pare-feu Microsoft Defender.
Si votre réseau utilise un serveur proxy pour l’accès à Internet, consultez Configurer les paramètres de proxy pour Azure Stack HCI.
Important
Azure Express Route et Azure Private Link ne sont pas pris en charge pour Azure Stack HCI, version 23H2 ou l’un de ses composants, car il n’est pas possible d’accéder aux points de terminaison publics requis pour Azure Stack HCI 23H2.
Exigences de pare-feu pour les points de terminaison sortants
Ouvrir le port 443 pour le trafic réseau sortant sur le pare-feu de votre organisation permet de répondre aux exigences de connectivité pour que le système d’exploitation se connecte à Azure et Microsoft Update. Si votre pare-feu sortant est restreint, nous vous recommandons d’inclure les URL et les ports décrits dans la section URL de pare-feu recommandées de cet article.
Azure Stack HCI doit se connecter régulièrement à Azure. L’accès est limité aux éléments suivants :
- Adresses IP Azure connues
- Direction sortante
- Port 443 (HTTPS)
Important
Azure Stack HCI ne prend pas en charge l’inspection HTTPS. Vérifiez que l’inspection HTTPS est désactivée le long de votre chemin de mise en réseau pour Azure Stack HCI afin d’éviter toute erreur de connectivité.
Comme indiqué dans le diagramme ci-dessous, Azure Stack HCI accède à Azure en utilisant potentiellement plus d’un pare-feu.
Cet article explique comment utiliser une configuration de pare-feu très verrouillée afin, si vous le souhaitez, de bloquer tout le trafic vers toutes les destinations, sauf celles incluses dans votre liste d’autorisation.
URL de pare-feu obligatoires
Le tableau suivant fournit la liste des URL de pare-feu obligatoires. Veillez à inclure ces URL dans votre liste d’autorisation.
En outre, suivez les exigences de pare-feu requises pour AKS sur Azure Stack HCI.
Remarque
Les règles de pare-feu Azure Stack HCI sont les points de terminaison minimaux requis pour la connectivité HciSvc et ne contiennent pas de caractères génériques. Toutefois, le tableau suivant contient actuellement des URL génériques, qui peuvent être mises à jour dans des points de terminaison précis à l’avenir.
| Service | URL | Port | Notes |
|---|---|---|---|
| Téléchargement des mises à jour Azure Stack HCI | fe3.delivery.mp.microsoft.com | 443 | Pour mettre à jour Azure Stack HCI, version 23H2. |
| Téléchargement des mises à jour Azure Stack HCI | tlu.dl.delivery.mp.microsoft.com | 80 | Pour mettre à jour Azure Stack HCI, version 23H2. |
| Découverte des mises à jour Azure Stack HCI | aka.ms | 443 | Pour résoudre les adresses pour découvrir Azure Stack HCI, version 23H2 et mises à jour de l’extension Générateur de solutions. |
| Découverte des mises à jour Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Service sous-jacent qui implémente le suivi des données d’utilisation pour les liens de redirection aka.ms. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Pour l’autorité Active Directory ; utilisé pour l’authentification, la récupération de jeton et la validation. |
| Azure Stack HCI | graph.windows.net | 443 | Pour Graph ; utilisé pour l’authentification, la récupération de jeton et la validation. |
| Azure Stack HCI | management.azure.com | 443 | Pour Resource Manager ; utilisé lors du démarrage initial du cluster pour l’inscription dans Azure et la désinscription du cluster. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Pour le plan de données qui envoie (push) les données de diagnostic et utilisées dans le pipeline Portail Azure et envoie (push) les données de facturation. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Pour le plan de données utilisé dans les licences et dans l’envoi (push) de données d’alerte et de facturation. Obligatoire uniquement pour Azure Stack HCI, version 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | URL précédente du plan de données. Cette URL a été récemment modifiée. Si vous avez inscrit votre cluster à l’aide de cette ancienne URL, vous devez également l’autoriser. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Pour le registre de conteneurs de machines virtuelles Arc sur Azure Stack HCI. Obligatoire uniquement pour Azure Stack HCI, version 23H2. |
| Azure Key Vault | *.vault.azure.net/* | 443 | Accès au coffre de clés pour accéder aux secrets de déploiement Azure Stack HCI. Remplacez le premier * par le nom du coffre de clés que vous prévoyez d’utiliser, et le 2ème * par les noms de secrets. Obligatoire uniquement pour Azure Stack HCI, version 23H2. |
| Arc For Servers | aka.ms | 443 | Pour résoudre le script de téléchargement pendant l’installation. |
| Arc For Servers | download.microsoft.com | 443 | Pour télécharger le package d’installation Windows. |
| Arc For Servers | login.windows.net | 443 | Pour l’ID Microsoft Entra |
| Arc For Servers | login.microsoftonline.com | 443 | Pour l’ID Microsoft Entra |
| Arc For Servers | pas.windows.net | 443 | Pour l’ID Microsoft Entra |
| Arc For Servers | management.azure.com | 443 | Pour qu’Azure Resource Manager crée ou supprime la ressource Arc Server |
| Arc For Servers | guestnotificationservice.azure.com | 443 | Pour le service de notification pour les scénarios d’extension et de connectivité |
| Arc For Servers | *.his.arc.azure.com | 443 | Pour les métadonnées et les services d’identité hybride |
| Arc For Servers | *.guestconfiguration.azure.com | 443 | Pour les services de gestion des extensions et de configuration invité |
| Arc For Servers | *.guestnotificationservice.azure.com | 443 | Pour le service de notification pour les scénarios d’extension et de connectivité |
| Arc For Servers | azgn*.servicebus.windows.net | 443 | Pour le service de notification pour les scénarios d’extension et de connectivité |
| Arc For Servers | *.servicebus.windows.net | 443 | Pour les scénarios Windows Admin Center et SSH |
| Arc For Servers | *.waconazure.com | 443 | Pour une connectivité Windows Admin Center |
| Arc For Servers | *.blob.core.windows.net | 443 | Pour télécharger la source pour les extensions de serveurs avec Azure Arc |
Pour obtenir la liste complète de toutes les URL de pare-feu, téléchargez la feuille de calcul des URL de pare-feu.
URL de pare-feu recommandées
Le tableau suivant fournit la liste des URL de pare-feu recommandées. Si votre pare-feu sortant est restreint, nous vous recommandons d’ajouter les URL et les ports décrits dans cette section à votre liste d’autorisation.
Remarque
Les règles de pare-feu Azure Stack HCI sont les points de terminaison minimaux requis pour la connectivité HciSvc et ne contiennent pas de caractères génériques. Toutefois, le tableau suivant contient actuellement des URL génériques, qui peuvent être mises à jour dans des points de terminaison précis à l’avenir.
| Service | URL | Port | Notes |
|---|---|---|---|
| Azure Benefits sur Azure Stack HCI | crl3.digicert.com | 80 | Permet au service d’attestation de plateforme sur Azure Stack HCI d’effectuer une vérification de liste de révocation de certificats pour garantir que les machines virtuelles s’exécutent effectivement sur des environnements Azure. |
| Azure Benefits sur Azure Stack HCI | crl4.digicert.com | 80 | Permet au service d’attestation de plateforme sur Azure Stack HCI d’effectuer une vérification de liste de révocation de certificats pour garantir que les machines virtuelles s’exécutent effectivement sur des environnements Azure. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Pour obtenir le module PowerShell Az.StackHCI, qui est nécessaire à l’inscription du cluster. Vous pouvez également télécharger et installer manuellement le module PowerShell Az.StackHCI à partir de PowerShell Gallery. |
| Témoin cloud de cluster | *.blob.core.windows.net | 443 | Pour l’accès au pare-feu au conteneur d’objets blob Azure, si vous choisissez d’utiliser un témoin cloud comme témoin de cluster, ce qui est facultatif. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | download.windowsupdate.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | download.microsoft.com | 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | wustat.windows.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | go.microsoft.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.windowsupdate.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
Exigences de pare-feu pour les services Azure supplémentaires
Selon les services Azure supplémentaires que vous activez sur HCI, vous devrez peut-être apporter des modifications de configuration de pare-feu supplémentaires. Reportez-vous aux liens suivants pour plus d’informations sur les exigences de pare-feu pour chaque service Azure :
- AKS sur Azure Stack HCI
- Serveurs avec Azure Arc
- Configuration réseau requise pour le pont des ressources Azure Arc
- Agent Azure Monitor
- Azure portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) et Log Analytics Agent
- Qualys
- Prise en charge à distance
- Windows Admin Center
- Windows Admin Center dans Portail Azure
Exigences de pare-feu pour les règles et ports internes
Vérifiez que les ports réseau appropriés sont ouverts entre tous les nœuds de serveur à la fois dans un site et entre les sites pour les clusters étendus (la fonctionnalité de cluster étendu est disponible uniquement dans Azure Stack HCI, version 22H2.). Vous aurez besoin de règles de pare-feu appropriées pour autoriser le trafic bidirectionnel ICMP, SMB (port 445, plus port 5445 pour SMB Direct si vous utilisez RDMA iWARP) et WS-MAN (port 5985) entre tous les serveurs du cluster.
Lorsque vous utilisez l’Assistant Création d’un cluster dans Windows Admin Center pour créer le cluster, l’Assistant ouvre automatiquement les ports de pare-feu appropriés sur chaque serveur du cluster pour le clustering de basculement, Hyper-V et le réplica de stockage. Si vous utilisez un pare-feu différent sur chaque serveur, ouvrez les ports comme l’expliquent les sections suivantes :
Gestion du système d’exploitation Azure Stack HCI
Vérifiez que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour la gestion du système d’exploitation Azure Stack HCI, notamment les licences et la facturation.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser le trafic entrant/sortant vers et depuis le service Azure Stack HCI sur les serveurs de cluster | Autoriser | Serveurs de clusters | Serveurs de clusters | TCP | 30301 |
Windows Admin Center
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour Windows Admin Center.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Fournir l’accès à Azure et Microsoft Update | Autoriser | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Utiliser Windows Remote Management (WinRM) 2.0 pour les connexions HTTP pour exécuter des commandes sur les serveurs Windows à distance |
Autoriser | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Utiliser WinRM 2.0 pour les connexions HTTPS pour exécuter des commandes sur les serveurs Windows à distance |
Autoriser | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Remarque
Lors de l’installation de Windows Admin Center, si vous sélectionnez le paramètre Use WinRM over HTTPS only (Utiliser WinRM sur HTTPS uniquement), le port 5986 est requis.
Clustering de basculement
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour le clustering de basculement.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser la validation du cluster de basculement | Autoriser | Système de gestion | Serveurs de clusters | TCP | 445 |
| Autoriser l’allocation de port dynamique RPC | Autoriser | Système de gestion | Serveurs de clusters | TCP | Minimum de 100 ports au-dessus du port 5000 |
| Autoriser l’appel de procédure distante (RPC) | Autoriser | Système de gestion | Serveurs de clusters | TCP | 135 |
| Autoriser l’administrateur de cluster | Autoriser | Système de gestion | Serveurs de clusters | UDP | 137 |
| Autoriser le service de cluster | Autoriser | Système de gestion | Serveurs de clusters | UDP | 3343 |
| Autoriser le service de cluster (requis pendant une opération de jonction de serveur.) |
Autoriser | Système de gestion | Serveurs de clusters | TCP | 3343 |
| Autoriser ICMPv4 et ICMPv6 pour la validation du cluster de basculement |
Autoriser | Système de gestion | Serveurs de clusters | n/a | n/a |
Remarque
Le système de gestion comprend tous les ordinateurs à partir desquels vous prévoyez d’administrer le cluster, à l’aide d’outils tels que Windows Admin Center, Windows PowerShell ou System Center Virtual Machine Manager.
Hyper-V
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour Hyper-V.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser la communication intra-cluster | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 445 |
| Autoriser le mappeur de point de terminaison RPC et WMI | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 135 |
| Autoriser la connectivité HTTP | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 80 |
| Autoriser la connectivité HTTPS | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 443 |
| Autoriser la migration dynamique | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 6600 |
| Autoriser le service de gestion des machines virtuelles | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 2179 |
| Autoriser l’allocation de port dynamique RPC | Autoriser | Système de gestion | Serveur Hyper-V | TCP | Minimum de 100 ports au-dessus du port 5000 |
Remarque
Ouvrez une plage de ports au-dessus du port 5000 pour autoriser l’allocation de port dynamique RPC. Les ports inférieurs à 5000 peuvent déjà être utilisés par d’autres applications et provoquer des conflits avec les applications DCOM. L’expérience précédente montre qu’un minimum de 100 ports doivent être ouverts, car plusieurs services système s’appuient sur ces ports RPC pour communiquer entre eux. Pour plus d’informations, consultez Comment configurer l’allocation de port dynamique RPC avec des pare-feu.
Réplica de stockage (cluster étendu)
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour le réplica de stockage (cluster étendu).
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser le protocole SMB (Server Message Block) |
Autoriser | Serveurs de cluster étendu | Serveurs de cluster étendu | TCP | 445 |
| Autoriser Web Services Management (WS-MAN) |
Autoriser | Serveurs de cluster étendu | Serveurs de cluster étendu | TCP | 5985 |
| Autoriser ICMPv4 et ICMPv6 (si vous utilisez l’applet de commande PowerShell Test-SRTopology) |
Autoriser | Serveurs de cluster étendu | Serveurs de cluster étendu | n/a | n/a |
Mettre à jour le pare-feu Microsoft Defender
Cette section montre comment configurer le pare-feu Microsoft Defender pour permettre aux adresses IP qui sont associées à une étiquette de service de se connecter au système d’exploitation. Une étiquette de service représente un groupe d’adresses IP d’un service Azure donné. Microsoft gère les adresses IP incluses dans l’étiquette de service, et met automatiquement à jour l’étiquette de service à mesure que les adresses IP changent, afin de limiter les mises à jour au minimum. Pour plus d’informations, consultez Étiquette de service de réseau virtuel.
Téléchargez le fichier JSON à partir de la ressource suivante sur l’ordinateur cible exécutant le système d’exploitation : Plages d’adresses IP Azure et balises de service – Cloud public.
Utilisez la commande PowerShell suivante pour ouvrir le fichier JSON :
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonObtenez la liste des plages d’adresses IP pour une étiquette de service donnée, par exemple, « AzureResourceManager » :
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportez la liste des adresses IP sur votre pare-feu d’entreprise externe, si vous utilisez une liste verte.
Créez une règle de pare-feu pour chaque serveur du cluster afin d’autoriser le trafic sortant 443 (HTTPS) vers la liste des plages d’adresses IP :
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Étapes suivantes
Pour plus d'informations, consultez également :
- La section consacrée au Pare-feu Windows et aux ports WinRM 2.0 de la rubrique Installation et configuration de l’administration à distance de Windows
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour