Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók
Ez a cikk útmutatást nyújt az Azure Stack HCI operációs rendszer tűzfalainak konfigurálásához. Tűzfalkövetelményeket tartalmaz a kimenő végpontokra, valamint a belső szabályokra és portokra vonatkozóan. A cikk az Azure-szolgáltatáscímkék Microsoft Defender tűzfallal való használatáról is tartalmaz információkat.
Ez a cikk azt is ismerteti, hogyan tilthatja le az összes célhelyre érkező összes forgalmat egy szigorúan zárolt tűzfalkonfigurációval, kivéve az engedélyezési listán szereplőket.
Ha a hálózat proxykiszolgálót használ az internet-hozzáféréshez, tekintse meg az Azure Local proxybeállításainak konfigurálását.
Fontos
Az Azure Express Route és az Azure Private Link nem támogatott az Azure Local vagy annak bármely összetevője esetében, mivel nem érhető el az Azure Localhoz szükséges nyilvános végpontok.
A kimenő végpontok tűzfalkövetelményei
A 80-s és a 443-as port megnyitása a kimenő hálózati forgalom számára a szervezet tűzfalán megfelel az Azure Stack HCI operációs rendszerének az Azure-hoz és a Microsoft Update-hez való csatlakozásra vonatkozó csatlakozási követelményeinek.
Az Azure Localnak rendszeresen csatlakoznia kell az Azure-hoz a következő célokra:
- Jól ismert Azure IP-címek
- Kimenő irány
- a 80-as és a 443-as port (HTTP és HTTPS)
Fontos
Az Azure Local nem támogatja a HTTPS-ellenőrzést. A csatlakozási hibák elkerülése érdekében győződjön meg arról, hogy a HTTPS-ellenőrzés le van tiltva az Azure Local hálózati útvonala mentén. Ez magában foglalja az Entra ID 1- ös bérlőkorlátozásainak használatát, amelyek nem támogatottak az Azure Helyi felügyeleti hálózati kommunikációhoz.
Az alábbi ábrán látható módon az Azure Local több tűzfallal is elérheti az Azure-t.
Az Azure Local-környezetekhez szükséges tűzfal URL-címek
Az Azure Local-példányok automatikusan engedélyezik az Azure Resource Bridge és az AKS-infrastruktúrát, és az Arc for Servers-ügynök használatával csatlakoznak az Azure vezérlősíkhoz. Az alábbi táblázatban szereplő HCI-specifikus végpontok listájával együtt szerepelnie kell a tűzfal engedélyezési listájában az Azure Resource Bridge on Azure Local végpontokon, az Azure Local-végpontokon futó AKS-nek és az Azure Arc-kompatibilis kiszolgálók végpontjainak.
Az USA keleti régióihoz tartozó végpontok összesített listája, amely tartalmazza az Azure Local, Arc-kompatibilis kiszolgálókat, az ARB-t és az AKS-t, használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó nyugat-európai végpontok összesített listájához használja a következőt:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó kelet-ausztráliai végpontok összesített listájához használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó Canada Central végpontjainak összevont listájához használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó India Central végpontjainak összevont listájához használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó délkelet-ázsiai végpontok összesített listájához használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó Kelet-Japán végpontok összevont listájához használja a következőket:
Az USA déli középső régiójának végpontjainak összesített listája, amely magában foglalja az Azure Local, az Arc-kompatibilis kiszolgálókat, az ARB-t és az AKS-t, használja a következőket:
Kötelező tűzfal URL-címek az Azure Local in Azure Government-régiókhoz
Az AZURE Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó US Gov Virginia végpontjainak összevont listájához használja a következőket:
OEM-ek tűzfalkövetelményei
Az Azure Local-hoz használt OEM-től függően előfordulhat, hogy további végpontokat kell megnyitnia a tűzfalon.
DataON szükséges végpontjai az Azure helyi telepítésekhez
A Dell által megkövetelt végpontok az Azure helyi telepítésekhez
HPE által szükséges végpontok az Azure helyi telepítéséhez
A Hitachihoz szükséges végpontok az Azure Local-üzemelő példányokhoz
A Helyi Azure-környezetekhez szükséges Végpontok a Lenovo számára
További Azure-szolgáltatások tűzfalkövetelményei
Az Azure Local számára engedélyezett további Azure-szolgáltatásoktól függően előfordulhat, hogy további tűzfalkonfigurációs módosításokat kell végrehajtania. Az egyes Azure-szolgáltatások tűzfalkövetelményével kapcsolatos információkért tekintse meg az alábbi hivatkozásokat:
- Azure Monitor-ügynök
- Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) és Log Analytics-ügynök
- Qualys
- Távoli támogatás
- Windows Felügyeleti központ
- Windows Felügyeleti központ az Azure Portalon
Belső szabályok és portok tűzfalkövetelményei
Győződjön meg arról, hogy a megfelelő hálózati portok nyitva vannak az összes csomópont között, mind a helyeken, mind a kinyújtott példányok helyei között (a kiterjesztett példányok funkciói csak az Azure Stack HCI 22H2-es verziójában érhetők el). Az ICMP, az SMB (445-ös port, valamint az SMB Direct 5445-ös portja iWARP RDMA használata esetén), valamint a WS-MAN (5985-ös port) kétirányú forgalmának engedélyezéséhez megfelelő tűzfalszabályokra van szükség a fürt összes csomópontja között.
Amikor a Windows Felügyeleti Központban a Létrehozás varázslóval hozza létre a fürtöt, a varázsló automatikusan megnyitja a megfelelő tűzfalportokat a fürt minden kiszolgálóján a Failover Clustering, a Hyper-V és a Storage Replica számára. Ha minden gépen más tűzfalat használ, nyissa meg a portokat az alábbi szakaszokban leírtak szerint:
Azure Stack HCI operációs rendszer felügyelete
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a helyszíni tűzfalban az Azure Stack HCI operációs rendszer felügyeletéhez, beleértve a licencelést és a számlázást is.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Bejövő/kimenő forgalom engedélyezése az Azure Helyi szolgáltatásba és onnan az Azure Helyi gépeken | Engedélyezés | Példánycsomópontok | Példánycsomópontok | TCP | 30301 |
Windows Felügyeleti Központ
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a Windows Felügyeleti központ helyszíni tűzfalában.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Hozzáférés biztosítása az Azure-hoz és a Microsoft Update-hez | Engedélyezés | Windows Felügyeleti Központ | Helyi Azure | TCP | 445 |
| Használja a Windows Remote Management (WinRM) 2.0-t HTTP-kapcsolatok parancsok futtatásához távoli Windows-kiszolgálókon |
Engedélyezés | Windows Felügyeleti Központ | Helyi Azure | TCP | 5985 |
| HTTPS-kapcsolatok futtatásához használja a WinRM 2.0-t parancsok távoli Windows-kiszolgálókon |
Engedélyezés | Windows Felügyeleti Központ | Helyi Azure | TCP | 5986 |
Megjegyzés
A Windows Felügyeleti központ telepítésekor, ha a WinRM használata csak HTTPS-en keresztül beállítást választja, akkor az 5986-os portra van szükség.
Active Directory
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak az Active Directory helyszíni tűzfalában (helyi biztonsági szolgáltató).
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Bejövő/kimenő kapcsolat engedélyezése az Active Directory webszolgáltatásokhoz (ADWS) és az Active Directory Felügyeleti átjáró szolgáltatáshoz | Engedélyezés | Helyi Azure | Active Directory-szolgáltatások | TCP | 9389 |
Hálózati időprotokoll
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalban a Network Time Protocol (NTP) számára.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Engedélyezze a bejövő/kimenő kapcsolatot a Hálózati idő protokoll (NTP) kiszolgálóval. Ez a kiszolgáló lehet Active Directory-tartományvezérlő vagy NTP-berendezés. | Engedélyezés | Helyi Azure | Hálózati idő protokoll (NTP/SNTP) kiszolgáló | Felhasználói Datagram Protokoll (UDP) | 123 |
Klaszterezés meghibásodás esetén
Győződjön meg arról, hogy a helyszíni tűzfalon a következő tűzfalszabályok konfigurálva vannak a feladatátvételi fürtözéshez.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Hibatűrő fürt érvényesítésének engedélyezése | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | TCP | 445 |
| Dinamikus RPC-portfoglalás engedélyezése | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | TCP | Legalább 100 port az 5000-s port felett |
| Távoli eljáráshívás engedélyezése (RPC) | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | TCP | 135 |
| Klaszteradminisztrátor engedélyezése | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | Felhasználói Datagram Protokoll (UDP) | 137 |
| Fürtszolgáltatás engedélyezése | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | Felhasználói Datagram Protokoll (UDP) | 3343 |
| Fürtszolgáltatás engedélyezése (a szükséges időszak alatt) egy szerver csatlakozási művelet. |
Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | TCP | 3343 |
| ICMPv4 és ICMPv6 engedélyezése átállási fürt validálásához |
Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | n.a. | n.a. |
Megjegyzés
A felügyeleti rendszer tartalmazza azokat a számítógépeket, amelyekről a rendszer felügyeletét tervezi, olyan eszközökkel, mint a Windows Felügyeleti központ, a Windows PowerShell vagy a System Center Virtual Machine Manager.
Hyper-V
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a Hyper-V helyszíni tűzfalában.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| A fürtkommunikáció engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 445 |
| RPC-végpontleképező és WMI engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 135 |
| HTTP-kapcsolat engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 80 |
| HTTPS-kapcsolat engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 443 |
| Az élő áttelepítést engedélyezze | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 6600 |
| Virtuálisgép-kezelési szolgáltatás engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 2179 |
| Dinamikus RPC-portfoglalás engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | Legalább 100 port az 5000-s port felett |
Megjegyzés
Nyisson meg egy porttartományt az 5000-s port felett az RPC dinamikus portfoglalásának engedélyezéséhez. Az 5000 alatti portokat már más alkalmazások is használhatják, és ütközéseket okozhatnak a DCOM-alkalmazásokkal. A korábbi tapasztalatok azt mutatják, hogy legalább 100 portot kell megnyitni, mivel számos rendszerszolgáltatás ezekre az RPC-portokra támaszkodik az egymással való kommunikációhoz. További információkért lásd: Az RPC dinamikus portfoglalásának konfigurálása a tűzfalakkal való együttműködéshez.
Storage Replica (kiterjesztett klaszter)
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalon a Storage Replica (kiterjesztett példány) esetében.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Kiszolgálói üzenetblokk engedélyezése (SMB) protokoll |
Engedélyezés | Kiterjesztett példánycsomópontok | Kiterjesztett példánycsomópontok | TCP | 445 |
| Webszolgáltatások kezelésének engedélyezése (WS-MAN) |
Engedélyezés | Kiterjesztett példánycsomópontok | Kiterjesztett példánycsomópontok | TCP | 5985 |
| ICMPv4 és ICMPv6 engedélyezése (ha a Test-SRTopology használatával)PowerShell parancsmag) |
Engedélyezés | Kiterjesztett példánycsomópontok | Kiterjesztett példánycsomópontok | n.a. | n.a. |
A Microsoft Defender tűzfalának frissítése
Ez a szakasz bemutatja, hogyan konfigurálhatja a Microsoft Defender tűzfalat úgy, hogy a szolgáltatáscímkéhez társított IP-címek kapcsolódhassanak az operációs rendszerhez. A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címeinek egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímkében szereplő IP-címeket, és automatikusan frissíti a szolgáltatáscímkét, ahogy az IP-címek megváltoznak, hogy a frissítések minimálisan megmaradjanak. További információ: Virtuális hálózati szolgáltatáscímkék.
Töltse le a JSON-fájlt a következő erőforrásból az operációs rendszert futtató célszámítógépre: Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő.
A JSON-fájl megnyitásához használja a következő PowerShell-parancsot:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonLekérheti egy adott szolgáltatáscímke IP-címtartományainak listáját, például a
AzureResourceManagerszolgáltatáscímkét:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportálja az IP-címek listáját a külső vállalati tűzfalra, ha engedélyezési listát használ vele.
Hozzon létre egy tűzfalszabályt a rendszer minden csomópontja számára, amely engedélyezi a kimenő 443-ra (HTTPS) irányuló forgalmat az IP-címtartományok listájára:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Következő lépések
További információkért lásd még:
- A Windows Távoli Felügyelet telepítése és konfigurálása dokumentum Windows Tűzfal és WinRM 2.0 portokkal foglalkozó szakasza.
- Tudnivalók az Azure Local üzembe helyezéséről.