Az Azure Stack HCI tűzfalkövetelményei
A következőkre vonatkozik: Azure Stack HCI, 23H2 és 22H2 verzió
Ez a cikk útmutatást nyújt az Azure Stack HCI operációs rendszer tűzfalainak konfigurálásához. Tűzfalkövetelményeket tartalmaz a kimenő végpontokra, valamint a belső szabályokra és portokra vonatkozóan. A cikk azt is ismerteti, hogyan használhatóak az Azure-szolgáltatáscímkék Microsoft Defender tűzfallal.
Ha a hálózat proxykiszolgálót használ az internet-hozzáféréshez, tekintse meg az Azure Stack HCI proxybeállításainak konfigurálását ismertető cikket.
Fontos
Azure Private Link nem támogatott az Azure Stack HCI, a 23H2-es verzió vagy annak bármely összetevője esetében.
A kimenő végpontok tűzfalkövetelményei
A 443-ás port megnyitása a szervezet tűzfalán a kimenő hálózati forgalom számára megfelel az operációs rendszer és az Azure és a Microsoft Update kapcsolati követelményeinek. Ha a kimenő tűzfal korlátozva van, javasoljuk, hogy adja meg a cikk Ajánlott tűzfal URL-címek című szakaszában leírt URL-címeket és portokat.
Az Azure Stack HCI-nek rendszeresen csatlakoznia kell az Azure-hoz. A hozzáférés csak a következőkre korlátozódik:
- Jól ismert Azure IP-címek
- Kimenő irány
- 443-os port (HTTPS)
Fontos
Az Azure Stack HCI nem támogatja a HTTPS-ellenőrzést. A csatlakozási hibák elkerülése érdekében győződjön meg arról, hogy a HTTPS-vizsgálat le van tiltva az Azure Stack HCI hálózati útvonalán.
Az alábbi ábrán látható módon az Azure Stack HCI egynél több tűzfallal is hozzáfér az Azure-hoz.
Ez a cikk azt ismerteti, hogyan tilthatja le az összes célhelyre érkező összes forgalmat egy szigorúan zárolt tűzfalkonfigurációval, kivéve az engedélyezési listán szereplőket.
Szükséges tűzfal URL-címek
Az alábbi táblázat a szükséges tűzfal URL-címek listáját tartalmazza. Mindenképpen adja meg ezeket az URL-címeket az engedélyezési listához.
Kövesse az Azure Stack HCI-n futó AKS-hez szükséges tűzfalkövetelményeket is.
Megjegyzés
Az Azure Stack HCI tűzfalszabályai a HciSvc-kapcsolatokhoz szükséges minimális végpontok, és nem tartalmaznak helyettesítő karaktereket. Az alábbi táblázat azonban jelenleg helyettesítő URL-címeket tartalmaz, amelyek a jövőben pontos végpontokra frissíthetők.
| Szolgáltatás | URL-cím | Port | Jegyzetek |
|---|---|---|---|
| Azure Stack HCI Frissítések letöltése | fe3.delivery.mp.microsoft.com | 443 | Az Azure Stack HCI 23H2-es verziójának frissítéséhez. |
| Azure Stack HCI Frissítések letöltése | tlu.dl.delivery.mp.microsoft.com | 80 | Az Azure Stack HCI 23H2-es verziójának frissítéséhez. |
| Azure Stack HCI Frissítések felderítés | aka.ms | 443 | Az Azure Stack HCI, a 23H2-es verzió és a Solution Builder-bővítmény Frissítések felderítéséhez szükséges címek feloldásához. |
| Azure Stack HCI Frissítések felderítés | redirectiontool.trafficmanager.net | 443 | Mögöttes szolgáltatás, amely a aka.ms átirányítási hivatkozások használati adatainak nyomon követését valósítja meg. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Az Active Directory-szolgáltatóhoz, amely hitelesítéshez, jogkivonat lekéréséhez és érvényesítéséhez használatos. |
| Azure Stack HCI | graph.windows.net | 443 | A Graph esetében, és hitelesítéshez, jogkivonat beolvasásához és érvényesítéséhez használatos. |
| Azure Stack HCI | management.azure.com | 443 | A Resource Manager és a fürt Azure-ba való kezdeti rendszerindítása során használatos regisztrációs célokra és a fürt regisztrációjának törlésére. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Az adatsík esetében, amely leküldi a diagnosztikai adatokat, és a Azure Portal folyamatban használja, és leküldi a számlázási adatokat. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | A licencelésben és a riasztási és számlázási adatok küldésében használt adatsík esetében. Csak az Azure Stack HCI 23H2-es verziójához szükséges. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Az adatsík előző URL-címe. Ezt az URL-címet nemrég módosították, azoknak az ügyfeleknek, akik ezzel a régi URL-címmel regisztrálták a fürtöt, engedélyezniük kell azt is. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Arc virtuálisgép-tárolóregisztrációs adatbázishoz az Azure Stack HCI-n. Csak az Azure Stack HCI 23H2-es verziójához szükséges. |
| Arc kiszolgálókhoz | aka.ms | 443 | A letöltési szkript telepítés közbeni feloldásához. |
| Arc kiszolgálókhoz | download.microsoft.com | 443 | A Windows telepítőcsomagjának letöltéséhez. |
| Arc kiszolgálókhoz | login.windows.net | 443 | Microsoft Entra ID |
| Arc kiszolgálókhoz | login.microsoftonline.com | 443 | Microsoft Entra ID |
| Arc kiszolgálókhoz | pas.windows.net | 443 | Microsoft Entra ID |
| Arc kiszolgálókhoz | management.azure.com | 443 | Az Azure Resource Manager számára az Arc Server-erőforrás létrehozása vagy törlése |
| Arc kiszolgálókhoz | guestnotificationservice.azure.com | 443 | Az értesítési szolgáltatáshoz bővítmény- és kapcsolati forgatókönyvekhez |
| Arc kiszolgálókhoz | *.his.arc.azure.com | 443 | Metaadatok és hibrid identitásszolgáltatások esetén |
| Arc kiszolgálókhoz | *.guestconfiguration.azure.com | 443 | Bővítménykezelési és vendégkonfigurációs szolgáltatásokhoz |
| Arc kiszolgálókhoz | *.guestnotificationservice.azure.com | 443 | Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez |
| Arc kiszolgálókhoz | azgn*.servicebus.windows.net | 443 | Értesítési szolgáltatás bővítmény- és kapcsolati forgatókönyvekhez |
| Arc kiszolgálókhoz | *.servicebus.windows.net | 443 | Windows Admin Center és SSH-forgatókönyvek esetén |
| Arc kiszolgálókhoz | *.waconazure.com | 443 | Windows Admin Center kapcsolathoz |
| Arc kiszolgálókhoz | *.blob.core.windows.net | 443 | Az Azure Arc-kompatibilis kiszolgálóbővítmények letöltési forrásához |
Az összes tűzfal URL-címének átfogó listájáért töltse le a tűzfal URL-címeit tartalmazó táblázatot.
Ajánlott tűzfal URL-címek
Az alábbi táblázat az ajánlott tűzfal URL-címek listáját tartalmazza. Ha a kimenő tűzfal korlátozott, javasoljuk, hogy az engedélyezési listára foglalja bele az ebben a szakaszban ismertetett URL-címeket és portokat.
Megjegyzés
Az Azure Stack HCI tűzfalszabályai a HciSvc-kapcsolatokhoz szükséges minimális végpontok, és nem tartalmaznak helyettesítő karaktereket. Az alábbi táblázat azonban jelenleg helyettesítő URL-címeket tartalmaz, amelyek a jövőben pontos végpontokra frissíthetők.
| Szolgáltatás | URL-cím | Port | Jegyzetek |
|---|---|---|---|
| Azure-előnyök az Azure Stack HCI-n | crl3.digicert.com | 80 | Lehetővé teszi, hogy az Azure Stack HCI platformigazolási szolgáltatása elvégezze a visszavont tanúsítványok listájának ellenőrzését, hogy meggyőződjön arról, hogy a virtuális gépek valóban futnak Azure-környezetekben. |
| Azure-előnyök az Azure Stack HCI-n | crl4.digicert.com | 80 | Lehetővé teszi, hogy az Azure Stack HCI platformigazolási szolgáltatása elvégezze a visszavont tanúsítványok listájának ellenőrzését, hogy meggyőződjön arról, hogy a virtuális gépek valóban futnak Azure-környezetekben. |
| Azure Stack HCI | *.powershellgallery.com | 443 | A fürtregisztrációhoz szükséges Az.StackHCI PowerShell-modul beszerzéséhez. Másik lehetőségként manuálisan is letöltheti és telepítheti az Az.StackHCI PowerShell-modult PowerShell-galéria. |
| Fürtfelhő tanúsító | *.blob.core.windows.net | 443 | Az Azure Blob-tárolóhoz való tűzfal-hozzáféréshez, ha felhőbeli tanúsítót használ a fürt tanúsítójaként, ami nem kötelező. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | download.windowsupdate.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | *.download.windowsupdate.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | download.microsoft.com | 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | wustat.windows.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | go.microsoft.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | *.windowsupdate.com | 80 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | A Microsoft Update esetében, amely lehetővé teszi az operációs rendszer számára a frissítések fogadását. |
További Azure-szolgáltatások tűzfalkövetelményei
A HCI-n engedélyezett további Azure-szolgáltatásoktól függően előfordulhat, hogy további tűzfal-konfigurációs módosításokat kell végrehajtania. Az egyes Azure-szolgáltatások tűzfalkövetelményével kapcsolatos információkért tekintse meg az alábbi hivatkozásokat:
- AKS az Azure Stack HCI-n
- Azure Arc-kompatibilis kiszolgálók
- Az Azure Arc-erőforráshíd hálózati követelményei
- Azure Monitor-ügynök
- Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) és Log Analytics-ügynök
- Qualys
- Távoli támogatás
- Windows Admin Center
- Windows Admin Center Azure Portal
A belső szabályok és portok tűzfalkövetelményei
Győződjön meg arról, hogy a megfelelő hálózati portok nyitva vannak az összes kiszolgálócsomópont között mind a helyeken, mind a többhelyes fürtök helyei között (a többhelyes fürtfunkciók csak az Azure Stack HCI 22H2-es verziójában érhetők el). Megfelelő tűzfalszabályokra lesz szüksége az ICMP, az SMB (445-ös port, valamint az SMB Direct 5445-ös portja iWARP RDMA használata esetén) és a WS-MAN (5985-ös port) kétirányú forgalom engedélyezéséhez a fürt összes kiszolgálója között.
Ha Windows Admin Center Fürtlétrehozási varázslóját használja a fürt létrehozásához, a varázsló automatikusan megnyitja a megfelelő tűzfalportokat a fürt minden kiszolgálóján a feladatátvételi fürtszolgáltatás, a Hyper-V és a tárreplika számára. Ha minden kiszolgálón más tűzfalat használ, nyissa meg a portokat a következő szakaszokban leírtak szerint:
Az Azure Stack HCI operációs rendszer felügyelete
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalon az Azure Stack HCI operációs rendszer felügyeletéhez, beleértve a licencelést és a számlázást is.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Az Azure Stack HCI szolgáltatás bejövő/kimenő forgalmának engedélyezése fürtkiszolgálókon | Engedélyezés | Fürtkiszolgálók | Fürtkiszolgálók | TCP | 30301 |
Windows Admin Center
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalon a Windows Admin Center.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Hozzáférés biztosítása az Azure-hoz és a Microsoft Update-hez | Engedélyezés | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| A Windows Remote Management (WinRM) 2.0 használata HTTP-kapcsolatok parancsok futtatásához távoli Windows-kiszolgálókon |
Engedélyezés | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| A WinRM 2.0 használata HTTPS-kapcsolatok futtatásához parancsok távoli Windows-kiszolgálókon |
Engedélyezés | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Megjegyzés
A Windows Admin Center telepítésekor, ha a Csak HTTPS-en keresztüli WinRM használata beállítást választja, akkor az 5986-os portra van szükség.
Feladatátvételi fürtszolgáltatás
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalon a feladatátvételi fürtszolgáltatáshoz.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Feladatátvevő fürt érvényesítésének engedélyezése | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | TCP | 445 |
| Dinamikus RPC-portfoglalás engedélyezése | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | TCP | Legalább 100 port az 5000-s port felett |
| Távoli eljáráshívás engedélyezése (RPC) | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | TCP | 135 |
| Fürtadminisztrátor engedélyezése | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | UDP | 137 |
| Fürtszolgáltatás engedélyezése | Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | UDP | 3343 |
| Fürtszolgáltatás engedélyezése (kötelező a egy kiszolgáló csatlakoztatási művelete.) |
Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | TCP | 3343 |
| ICMPv4 és ICMPv6 engedélyezése feladatátvevő fürt érvényesítéséhez |
Engedélyezés | Felügyeleti rendszer | Fürtkiszolgálók | n.a. | n.a. |
Megjegyzés
A felügyeleti rendszer tartalmazza azokat a számítógépeket, amelyekről a fürt felügyeletét tervezi, olyan eszközökkel, mint a Windows Admin Center, Windows PowerShell vagy System Center Virtual Machine Manager.
Hyper-V
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a Hyper-V helyszíni tűzfalán.
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Fürtkommunikáció engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 445 |
| RPC-végpontleképező és WMI engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 135 |
| HTTP-kapcsolat engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 80 |
| HTTPS-kapcsolat engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 443 |
| Élő áttelepítés engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 6600 |
| Virtuálisgép-felügyeleti szolgáltatás engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 2179 |
| RPC dinamikus portfoglalásának engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | Legalább 100 port az 5000-s port felett |
Megjegyzés
Nyisson meg egy porttartományt az 5000-s port felett az RPC dinamikus portfoglalásának engedélyezéséhez. Az 5000 alatti portokat már más alkalmazások is használhatják, és ütközéseket okozhatnak a DCOM-alkalmazásokkal. A korábbi tapasztalatok azt mutatják, hogy legalább 100 portot kell megnyitni, mivel számos rendszerszolgáltatás ezekre az RPC-portokra támaszkodik, hogy kommunikáljon egymással. További információ: Az RPC dinamikus portfoglalásának konfigurálása a tűzfalak használatához.
Tárreplika (kinyújtott fürt)
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalon a tárreplikához (stretched cluster).
| Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
|---|---|---|---|---|---|
| Kiszolgálói üzenetblokk engedélyezése (SMB) protokoll |
Engedélyezés | Kinyújtott fürtkiszolgálók | Kinyújtott fürtkiszolgálók | TCP | 445 |
| Webes Services-Management engedélyezése (WS-MAN) |
Engedélyezés | Kinyújtott fürtkiszolgálók | Kinyújtott fürtkiszolgálók | TCP | 5985 |
| ICMPv4 és ICMPv6 engedélyezése (ha a Test-SRTopologyPowerShell-parancsmag) |
Engedélyezés | Kinyújtott fürtkiszolgálók | Kinyújtott fürtkiszolgálók | n.a. | n.a. |
Microsoft Defender tűzfal frissítése
Ez a szakasz bemutatja, hogyan konfigurálhatja Microsoft Defender tűzfalat úgy, hogy a szolgáltatáscímkéhez társított IP-címek csatlakozhassanak az operációs rendszerhez. A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címeinek egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímkében szereplő IP-címeket, és automatikusan frissíti a szolgáltatáscímkét, ahogy az IP-címek módosulnak, hogy a frissítések minimálisan megmaradjanak. További információ: Virtuális hálózati szolgáltatáscímkék.
Töltse le a JSON-fájlt a következő erőforrásból az operációs rendszert futtató célszámítógépre: Azure IP-tartományok és szolgáltatáscímkék – nyilvános felhő.
A JSON-fájl megnyitásához használja a következő PowerShell-parancsot:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonKérje le egy adott szolgáltatáscímke IP-címtartományainak listáját, például az "AzureResourceManager" szolgáltatáscímkét:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportálja az IP-címek listáját a külső vállalati tűzfalra, ha engedélyezési listát használ vele.
Hozzon létre egy tűzfalszabályt a fürt minden kiszolgálója számára, hogy engedélyezze a kimenő 443-ra (HTTPS) irányuló forgalmat az IP-címtartományok listájára:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Következő lépések
További információ:
- A Windows-tűzfal és a WinRM 2.0-portok szakasza a Telepítés és konfiguráció a Windows távfelügyelethez című szakaszában
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: