Az Azure Stack HCI tűzfalkövetelményei
A következőkre vonatkozik: Azure Stack HCI, 23H2 és 22H2 verzió
Ez a cikk útmutatást nyújt az Azure Stack HCI operációs rendszer tűzfalainak konfigurálásához. Tűzfalkövetelményeket tartalmaz a kimenő végpontokra, valamint a belső szabályokra és portokra vonatkozóan. A cikk az Azure-szolgáltatáscímkék Microsoft Defender tűzfallal való használatáról is tartalmaz információkat.
Ha a hálózat proxykiszolgálót használ az internet-hozzáféréshez, tekintse meg az Azure Stack HCI proxybeállításainak konfigurálását.
Fontos
Az Azure Stack HCI, a 23H2-es verzió vagy annak összetevői nem támogatják az Azure Express Route-t és az Azure Private Linket, mivel az Azure Stack HCI 23H2-hez szükséges nyilvános végpontok nem érhetők el.
A kimenő végpontok tűzfalkövetelményei
A 443-as port megnyitása a szervezet tűzfalán a kimenő hálózati forgalom számára megfelel az operációs rendszer és a Microsoft Update kapcsolati követelményeinek. Ha a kimenő tűzfal korlátozott, javasoljuk, hogy a cikk Ajánlott tűzfal URL-cím című szakaszában leírt URL-címeket és portokat is tartalmazza.
Az Azure Stack HCI-nek rendszeresen csatlakoznia kell az Azure-hoz. A hozzáférés csak a következőkre korlátozódik:
- Jól ismert Azure IP-címek
- Kimenő irány
- 443-os port (HTTPS)
Fontos
Az Azure Stack HCI nem támogatja a HTTPS-ellenőrzést. A kapcsolódási hibák elkerülése érdekében győződjön meg arról, hogy a HTTPS-ellenőrzés le van tiltva az Azure Stack HCI hálózati útvonala mentén.
Az alábbi ábrán látható módon az Azure Stack HCI több tűzfallal is hozzáfér az Azure-hoz.
Ez a cikk azt ismerteti, hogyan tilthatja le az összes célhelyre érkező összes forgalmat egy szigorúan zárolt tűzfalkonfigurációval, kivéve az engedélyezési listán szereplőket.
Szükséges tűzfal URL-címek
Az alábbi táblázat a szükséges tűzfal URL-címek listáját tartalmazza. Mindenképpen vegye fel ezeket az URL-címeket az engedélyezési listára.
Emellett kövesse az Azure Stack HCI-n futó AKS-hez szükséges tűzfalkövetelményeket.
Feljegyzés
Az Azure Stack HCI tűzfalszabályai a HciSvc-kapcsolathoz szükséges minimális végpontok, és nem tartalmaznak helyettesítő karaktereket. Az alábbi táblázat azonban jelenleg helyettesítő URL-címeket tartalmaz, amelyek a jövőben pontos végpontokra frissíthetők.
| Szolgáltatás | URL-cím | Kikötő | Jegyzetek |
|---|---|---|---|
| Azure Stack HCI-frissítések letöltése | fe3.delivery.mp.microsoft.com | 443 | Az Azure Stack HCI 23H2-es verziójának frissítéséhez. |
| Azure Stack HCI-frissítések letöltése | tlu.dl.delivery.mp.microsoft.com | 80 | Az Azure Stack HCI 23H2-es verziójának frissítéséhez. |
| Azure Stack HCI-frissítések felderítése | aka.ms | 443 | Az Azure Stack HCI, a 23H2-es verzió és a Solution Builder bővítményfrissítéseinek felderítéséhez szükséges címek feloldásához. |
| Azure Stack HCI-frissítések felderítése | redirectiontool.trafficmanager.net | 443 | Mögöttes szolgáltatás, amely a használati adatok nyomon követését valósítja meg az aka.ms átirányítási hivatkozásokhoz. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Active Directory-szolgáltató esetén, és hitelesítéshez, jogkivonat lekéréséhez és érvényesítéséhez használatos. |
| Azure Stack HCI | graph.windows.net | 443 | A Graph esetében, és hitelesítéshez, jogkivonat lekéréséhez és érvényesítéséhez használatos. |
| Azure Stack HCI | management.azure.com | 443 | A Resource Manager esetében, és a fürt kezdeti rendszerindítása során használatos az Azure-ba regisztráció céljából, és a fürt regisztrációjának megszüntetéséhez. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Olyan adatsík esetében, amely leküldi a diagnosztikai adatokat, és az Azure Portal folyamatában használja, és leküldi a számlázási adatokat. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | A licencelésben és a riasztási és számlázási adatok küldésében használt adatsík esetében. Csak az Azure Stack HCI 23H2-es verziójához szükséges. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Az adatsík előző URL-címe. Ezt az URL-címet nemrég módosították. Ha ezzel a régi URL-cím használatával regisztrálta a fürtöt, engedélyeznie kell azt is. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Arc virtuálisgép-tárolóregisztrációs adatbázishoz az Azure Stack HCI-n. Csak az Azure Stack HCI 23H2-es verziójához szükséges. |
| Azure Key Vault | *.vault.azure.net/* | 443 | Hozzáférés a Key Vaulthoz az Azure Stack HCI üzembehelyezési titkos kulcsaihoz való hozzáféréshez. Cserélje le az első * karaktert a használni kívánt kulcstartó nevére, a második * pedig a titkos kódok nevére. Csak az Azure Stack HCI 23H2-es verziójához szükséges. |
| Arc kiszolgálókhoz | aka.ms | 443 | A letöltési szkript telepítés közbeni feloldásához. |
| Arc kiszolgálókhoz | download.microsoft.com | 443 | A Windows telepítőcsomagjának letöltéséhez. |
| Arc kiszolgálókhoz | login.windows.net | 443 | Microsoft Entra-azonosító esetén |
| Arc kiszolgálókhoz | login.microsoftonline.com | 443 | Microsoft Entra-azonosító esetén |
| Arc kiszolgálókhoz | pas.windows.net | 443 | Microsoft Entra-azonosító esetén |
| Arc kiszolgálókhoz | management.azure.com | 443 | Az Azure Resource Manager számára az Arc Server-erőforrás létrehozása vagy törlése |
| Arc kiszolgálókhoz | guestnotificationservice.azure.com | 443 | Az értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez |
| Arc kiszolgálókhoz | *.his.arc.azure.com | 443 | Metaadatok és hibrid identitásszolgáltatások esetén |
| Arc kiszolgálókhoz | *.guestconfiguration.azure.com | 443 | Bővítménykezelési és vendégkonfigurációs szolgáltatásokhoz |
| Arc kiszolgálókhoz | *.guestnotificationservice.azure.com | 443 | Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez |
| Arc kiszolgálókhoz | azgn*.servicebus.windows.net | 443 | Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez |
| Arc kiszolgálókhoz | *.servicebus.windows.net | 443 | Windows Felügyeleti központ és SSH-forgatókönyvek esetén |
| Arc kiszolgálókhoz | *.waconazure.com | 443 | A Windows Felügyeleti központ kapcsolatához |
| Arc kiszolgálókhoz | *.blob.core.windows.net | 443 | Letöltési forrás az Azure Arc-kompatibilis kiszolgálók bővítményeihez |
Az összes tűzfal URL-címének átfogó listájához töltse le a tűzfal URL-címeit tartalmazó táblázatot.
Ajánlott tűzfal URL-címek
Az alábbi táblázat az ajánlott tűzfal URL-címek listáját tartalmazza. Ha a kimenő tűzfal korlátozott, javasoljuk, hogy az ebben a szakaszban ismertetett URL-címeket és portokat az engedélyezési listára is felvehesse.
Feljegyzés
Az Azure Stack HCI tűzfalszabályai a HciSvc-kapcsolathoz szükséges minimális végpontok, és nem tartalmaznak helyettesítő karaktereket. Az alábbi táblázat azonban jelenleg helyettesítő URL-címeket tartalmaz, amelyek a jövőben pontos végpontokra frissíthetők.
| Szolgáltatás | URL-cím | Kikötő | Jegyzetek |
|---|---|---|---|
| Azure-előnyök az Azure Stack HCI-n | crl3.digicert.com | 80 | Lehetővé teszi, hogy az Azure Stack HCI platformigazolási szolgáltatása elvégezze a tanúsítványok visszavonási listájának ellenőrzését, hogy meggyőződjön arról, hogy a virtuális gépek valóban futnak Az Azure-környezetekben. |
| Azure-előnyök az Azure Stack HCI-n | crl4.digicert.com | 80 | Lehetővé teszi, hogy az Azure Stack HCI platformigazolási szolgáltatása elvégezze a tanúsítványok visszavonási listájának ellenőrzését, hogy meggyőződjön arról, hogy a virtuális gépek valóban futnak Az Azure-környezetekben. |
| Azure Stack HCI | *.powershellgallery.com | 443 | A fürtregisztrációhoz szükséges Az.StackHCI PowerShell-modul beszerzéséhez. Másik lehetőségként manuálisan is letöltheti és telepítheti az Az.StackHCI PowerShell-modult PowerShell-galéria. |
| Fürtfelhő tanúsítója | *.blob.core.windows.net | 443 | Az Azure Blob-tárolóhoz való tűzfalhozzáféréshez, ha egy felhőbeli tanúsítót használ fürttanúsulóként, ami nem kötelező. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | download.windowsupdate.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | *.download.windowsupdate.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | download.microsoft.com | 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | wustat.windows.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | go.microsoft.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | * .delivery.mp.microsoft.com | 80, 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | *.windowsupdate.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
További Azure-szolgáltatások tűzfalkövetelményei
A HCI-n engedélyezett további Azure-szolgáltatásoktól függően előfordulhat, hogy további tűzfalkonfigurációs módosításokat kell végrehajtania. Az egyes Azure-szolgáltatások tűzfalkövetelményével kapcsolatos információkért tekintse meg az alábbi hivatkozásokat:
- AKS az Azure Stack HCI-n
- Azure Arc-kompatibilis kiszolgálók
- Az Azure Arc erőforráshíd hálózati követelményei
- Azure Monitor-ügynök
- Azure Portalra
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) és Log Analytics-ügynök
- Qualys
- Távoli támogatás
- Windows Felügyeleti központ
- Windows Felügyeleti központ az Azure Portalon
Belső szabályok és portok tűzfalkövetelményei
Győződjön meg arról, hogy a megfelelő hálózati portok nyitva vannak az összes kiszolgálócsomópont között mind a helyeken, mind a kifeszített fürtök helyei között (a kiterjesztett fürtfunkciók csak az Azure Stack HCI 22H2-es verziójában érhetők el). Megfelelő tűzfalszabályokra lesz szüksége az ICMP, az SMB (445-ös port, valamint az SMB Direct 5445-ös portjának iWARP RDMA használata esetén) és a WS-MAN (5985-ös port) kétirányú forgalom engedélyezéséhez a fürt összes kiszolgálója között.
Amikor a Fürtlétrehozási varázslót használja a Windows Felügyeleti központban a fürt létrehozásához, a varázsló automatikusan megnyitja a megfelelő tűzfalportokat a fürt minden kiszolgálóján a feladatátvételi fürtszolgáltatáshoz, a Hyper-V-hez és a tárreplikához. Ha minden kiszolgálón más tűzfalat használ, nyissa meg a portokat az alábbi szakaszokban leírtak szerint:
Azure Stack HCI operációs rendszer felügyelete
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a helyszíni tűzfalban az Azure Stack HCI operációs rendszer felügyeletéhez, beleértve a licencelést és a számlázást is.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Bejövő/kimenő forgalom engedélyezése az Azure Stack HCI szolgáltatásba és onnan a fürtkiszolgálókon | Engedélyezés | Fürtkiszolgálók | Fürtkiszolgálók | TCP | 30301 |
Windows Admin Center
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a Windows Felügyeleti központ helyszíni tűzfalában.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Hozzáférés biztosítása az Azure-hoz és a Microsoft Update-hez | Engedélyezés | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| A Windows Remote Management (WinRM) 2.0 használata HTTP-kapcsolatok parancsok futtatásához távoli Windows-kiszolgálókon |
Engedélyezés | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| HTTPS-kapcsolatok futtatásához használja a WinRM 2.0-t parancsok távoli Windows-kiszolgálókon |
Engedélyezés | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Feljegyzés
A Windows Felügyeleti központ telepítésekor, ha a WinRM használata csak HTTPS-en keresztül beállítást választja, akkor az 5986-os portra van szükség.
Feladatátvételi fürtszolgáltatás
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalon a feladatátvételi fürtszolgáltatáshoz.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Feladatátvevő fürt érvényesítésének engedélyezése | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | TCP | 445 |
| Dinamikus RPC-portfoglalás engedélyezése | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | TCP | Legalább 100 port az 5000-s port felett |
| Távoli eljáráshívás engedélyezése (RPC) | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | TCP | 135 |
| Fürtadminisztrátor engedélyezése | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | UDP | 137 |
| Fürtszolgáltatás engedélyezése | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | UDP | 3343 |
| Fürtszolgáltatás engedélyezése (kötelező a egy kiszolgáló csatlakoztatási művelete.) |
Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | TCP | 3343 |
| ICMPv4 és ICMPv6 engedélyezése feladatátvételi fürt érvényesítéséhez |
Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | n.a. | n.a. |
Feljegyzés
A felügyeleti rendszer tartalmazza azokat a számítógépeket, amelyekről a fürt felügyeletét tervezi, olyan eszközökkel, mint a Windows Felügyeleti központ, a Windows PowerShell vagy a System Center Virtual Machine Manager.
Hyper-V
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a Hyper-V helyszíni tűzfalában.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Fürtkommunikáció engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 445 |
| RPC-végpontleképező és WMI engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 135 |
| HTTP-kapcsolat engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 80 |
| HTTPS-kapcsolat engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 443 |
| Élő áttelepítés engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 6600 |
| Virtuálisgép-kezelési szolgáltatás engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 2179 |
| Dinamikus RPC-portfoglalás engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | Legalább 100 port az 5000-s port felett |
Feljegyzés
Nyisson meg egy porttartományt az 5000-s port felett az RPC dinamikus portfoglalásának engedélyezéséhez. Az 5000 alatti portokat már más alkalmazások is használhatják, és ütközéseket okozhatnak a DCOM-alkalmazásokkal. A korábbi tapasztalatok azt mutatják, hogy legalább 100 portot kell megnyitni, mivel számos rendszerszolgáltatás ezekre az RPC-portokra támaszkodik az egymással való kommunikációhoz. További információ: Az RPC dinamikus portfoglalásának konfigurálása a tűzfalak használatához.
Tárreplika (kifeszített fürt)
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a tárolóreplikához (kifeszített fürthöz) készült helyszíni tűzfalban.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Kiszolgálói üzenetblokk engedélyezése (SMB) protokoll |
Engedélyezés | Kifeszített fürtkiszolgálók | Kifeszített fürtkiszolgálók | TCP | 445 |
| Webszolgáltatások kezelésének engedélyezése (WS-MAN) |
Engedélyezés | Kifeszített fürtkiszolgálók | Kifeszített fürtkiszolgálók | TCP | 5985 |
| ICMPv4 és ICMPv6 engedélyezése (ha a Test-SRTopologyPowerShell-parancsmag) |
Engedélyezés | Kifeszített fürtkiszolgálók | Kifeszített fürtkiszolgálók | n.a. | n.a. |
A Microsoft Defender tűzfalának frissítése
Ez a szakasz bemutatja, hogyan konfigurálhatja a Microsoft Defender tűzfalat úgy, hogy a szolgáltatáscímkéhez társított IP-címek kapcsolódhassanak az operációs rendszerhez. A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címeinek egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímkében szereplő IP-címeket, és automatikusan frissíti a szolgáltatáscímkét, ahogy az IP-címek megváltoznak, hogy a frissítések minimálisan megmaradjanak. További információ: Virtuális hálózati szolgáltatáscímkék.
Töltse le a JSON-fájlt a következő erőforrásból az operációs rendszert futtató célszámítógépre: Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő.
A JSON-fájl megnyitásához használja a következő PowerShell-parancsot:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonKérje le egy adott szolgáltatáscímke IP-címtartományainak listáját, például az "AzureResourceManager" szolgáltatáscímkét:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportálja az IP-címek listáját a külső vállalati tűzfalra, ha engedélyezési listát használ vele.
Hozzon létre egy tűzfalszabályt a fürt minden kiszolgálója számára, amely engedélyezi a kimenő 443-ra (HTTPS) irányuló forgalmat az IP-címtartományok listájára:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Következő lépések
További információkért lásd még:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: