Persyaratan firewall untuk Azure Stack HCI
Berlaku untuk: Azure Stack HCI, versi 23H2 dan 22H2
Topik ini menyediakan panduan tentang cara mengonfigurasi firewall untuk sistem operasi Azure Stack HCI. Ini termasuk persyaratan firewall untuk titik akhir keluar serta port dan aturan internal. Artikel ini juga menyediakan informasi tentang cara menggunakan tag layanan Azure dengan firewall Pertahanan Microsoft.
Artikel ini juga menjelaskan cara menggunakan konfigurasi firewall yang sangat terkunci secara opsional untuk memblokir semua lalu lintas ke semua tujuan kecuali yang disertakan dalam daftar izin Anda.
Jika jaringan Anda menggunakan server proksi untuk akses internet, lihat Mengonfigurasi pengaturan proksi untuk Azure Stack HCI.
Penting
Azure Express Route dan Azure Private Link tidak didukung untuk Azure Stack HCI, versi 23H2, atau salah satu komponennya karena tidak dimungkinkan untuk mengakses titik akhir publik yang diperlukan untuk Azure Stack HCI, versi 23H2.
Persyaratan firewall untuk titik akhir keluar
Membuka port 80 dan 443 untuk lalu lintas jaringan keluar di firewall organisasi Anda memenuhi persyaratan konektivitas untuk sistem operasi Azure Stack HCI agar terhubung dengan Azure dan Microsoft Update.
Azure Stack HCI perlu terhubung secara berkala ke Azure untuk:
- IP Azure yang terkenal
- Arah keluar
- Port 80 (HTTP) dan 443 (HTTPS)
Penting
Azure Stack HCI tidak mendukung inspeksi HTTPS. Pastikan bahwa inspeksi HTTPS dinonaktifkan di sepanjang jalur jaringan Anda untuk Azure Stack HCI untuk mencegah kesalahan konektivitas apa pun.
Seperti yang ditunjukkan pada diagram berikut, Azure Stack HCI dapat mengakses Azure menggunakan lebih dari satu firewall yang berpotensi.
URL firewall yang diperlukan untuk penyebaran Azure Stack HCI 23H2
Dimulai dengan Azure Stack HCI, versi 23H2, semua kluster secara otomatis mengaktifkan infrastruktur Azure Resource Bridge dan AKS dan menggunakan agen Arc for Servers untuk terhubung ke sarana kontrol Azure. Bersama dengan daftar titik akhir khusus HCI pada tabel berikut, Azure Resource Bridge di titik akhir Azure Stack HCI , AKS di titik akhir Azure Stack HCI , dan titik akhir server dengan dukungan Azure Arc harus disertakan dalam daftar izin firewall Anda.
Untuk daftar titik akhir terkonsolidasi AS Timur, termasuk HCI, server berkemampuan Arc, ARB dan AKS menggunakan:
Untuk daftar titik akhir konsolidasi Eropa Barat, termasuk HCI, server berkemampuan Arc, ARB, dan penggunaan AKS:
Untuk daftar titik akhir konsolidasi Australia Timur, termasuk HCI, server berkemampuan Arc, ARB, dan penggunaan AKS:
Untuk daftar titik akhir konsolidasi Kanada Central, termasuk HCI, server berkemampuan Arc, ARB dan AKS menggunakan:
Persyaratan firewall untuk layanan Azure tambahan
Bergantung pada layanan Azure tambahan yang Anda aktifkan untuk Azure Stack HCI, Anda mungkin perlu membuat perubahan konfigurasi firewall tambahan. Lihat tautan berikut untuk informasi tentang persyaratan firewall untuk setiap layanan Azure:
- Agen Azure Monitor
- Portal Azure
- Azure Site Recovery
- Azure Virtual Desktop
- Pertahanan Microsoft
- Agen Pemantauan Microsoft (MMA) dan Agen Analitik Log
- Qualys
- Dukungan jarak jauh
- Pusat Admin Windows
- Pusat Admin Windows di portal Azure
Persyaratan firewall untuk port dan aturan internal
Pastikan bahwa port jaringan yang tepat terbuka di antara semua simpul server, baik dalam situs maupun antar situs untuk kluster yang direntangkan (fungsionalitas kluster yang direntangkan hanya tersedia di Azure Stack HCI, versi 22H2.). Anda memerlukan aturan firewall yang sesuai untuk mengizinkan lalu lintas dua arah ICMP, SMB (port 445, ditambah port 5445 untuk SMB Direct jika menggunakan iWARP RDMA), dan WS-MAN (port 5985) antara semua server dalam kluster.
Saat menggunakan wizard Pembuatan Kluster di Pusat Admin Windows untuk membuat kluster, wizard secara otomatis membuka port firewall yang sesuai pada setiap server di kluster untuk Pengklusteran Failover, Hyper-V, dan Replika Penyimpanan. Jika Anda menggunakan firewall yang berbeda di setiap server, buka port seperti diuraikan di bagian berikut:
Manajemen OS Azure Stack HCI
Pastikan bahwa aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk manajemen OS Azure Stack HCI, termasuk lisensi dan penagihan.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Mengizinkan lalu lintas masuk/keluar ke dan dari layanan Azure Stack HCI di server kluster | Izinkan | Server kluster | Server kluster | TCP | 30301 |
Pusat Admin Windows
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Pusat Admin Windows.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Menyediakan akses ke Azure dan Microsoft Update | Izinkan | Pusat Admin Windows | Azure Stack HCI | TCP | 445 |
| Menggunakan Windows Remote Management (WinRM) 2.0 untuk koneksi HTTP untuk menjalankan perintah di server Windows jarak jauh |
Izinkan | Pusat Admin Windows | Azure Stack HCI | TCP | 5985 |
| Menggunakan WinRM 2.0 untuk koneksi HTTPS untuk menjalankan perintah di server Windows jarak jauh |
Izinkan | Pusat Admin Windows | Azure Stack HCI | TCP | 5986 |
Catatan
Saat menginstal Pusat Admin Windows, jika Anda memilih pengaturan Gunakan WinRM melalui HTTPS saja, maka port 5986 diperlukan.
Pengklusteran Failover
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Failover Clustering.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Izinkan validasi Failover Cluster | Izinkan | Sistem manajemen | Server kluster | TCP | 445 |
| Izinkan alokasi port dinamis RPC | Izinkan | Sistem manajemen | Server kluster | TCP | Minimal 100 port di atas port 5000 |
| Izinkan Panggilan Prosedur Jarak Jauh (Remote Procedure Call/RPC) | Izinkan | Sistem manajemen | Server kluster | TCP | 135 |
| Izinkan Administrator Kluster | Izinkan | Sistem manajemen | Server kluster | UDP | 137 |
| Izinkan Layanan Kluster | Izinkan | Sistem manajemen | Server kluster | UDP | 3343 |
| Izinkan Layanan Kluster (Diperlukan selama operasi gabungan server.) |
Izinkan | Sistem manajemen | Server kluster | TCP | 3343 |
| Izinkan ICMPv4 dan ICMPv6 untuk validasi Failover Cluster |
Izinkan | Sistem manajemen | Server kluster | n/a | n/a |
Catatan
Sistem manajemen mencakup komputer apa pun yang Anda rencanakan untuk mengelola kluster, menggunakan alat seperti Pusat Admin Windows, Windows PowerShell, atau Manajer Komputer Virtual Pusat Sistem.
Hyper-V
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Hyper-V.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Izinkan komunikasi kluster | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 445 |
| Izinkan RPC Endpoint Mapper dan WMI | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 135 |
| Izinkan konektivitas HTTP | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 80 |
| Izinkan konektivitas HTTPS | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 443 |
| Izinkan Live Migration | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 6600 |
| Izinkan VM Management Service | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 2179 |
| Izinkan alokasi port dinamis RPC | Izinkan | Sistem manajemen | Server Hyper-V | TCP | Minimal 100 port di atas port 5000 |
Catatan
Buka berbagai port di atas port 5000 untuk memungkinkan alokasi port dinamis RPC. Port di bawah 5000 mungkin sudah digunakan oleh aplikasi lain dan dapat menyebabkan konflik dengan aplikasi DCOM. Pengalaman sebelumnya menunjukkan bahwa minimal 100 port harus dibuka, karena beberapa layanan sistem bergantung pada port RPC ini untuk berkomunikasi dengan satu sama lain. Untuk informasi selengkapnya, lihat Cara mengonfigurasi alokasi port dinamis RPC untuk bekerja dengan firewall.
Storage Replica (kluster terentang)
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Storage Replica (kluster terentang).
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Izinkan Server Message Block Protokol (SMB) |
Izinkan | Server kluster terentang | Server kluster terentang | TCP | 445 |
| Izinkan Web Services-Management (WS-MAN) |
Izinkan | Server kluster terentang | Server kluster terentang | TCP | 5985 |
| Izinkan ICMPv4 dan ICMPv6 (jika menggunakan Test-SRTopologycmdlet PowerShell) |
Izinkan | Server kluster terentang | Server kluster terentang | n/a | n/a |
Memperbarui firewall Microsoft Defender
Bagian ini menunjukkan cara mengonfigurasi Microsoft Defender Firewall untuk memungkinkan alamat IP yang terkait dengan tag layanan terhubung dengan sistem operasi: Tag layanan mewakili sekelompok alamat IP dari layanan Azure tertentu. Microsoft mengelola alamat IP yang disertakan dalam tag layanan, dan secara otomatis memperbarui tag layanan saat alamat IP berubah untuk menjaga pembaruan seminimal mungkin. Untuk mempelajari lebih lanjut, lihat Tag layanan jaringan virtual.
Unduh file JSON dari sumber daya berikut ke komputer target yang menjalankan sistem operasi: Azure IP Ranges and Service Tags – Public Cloud.
Gunakan perintah PowerShell berikut untuk membuka file JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonDapatkan daftar rentang alamat IP untuk tag layanan tertentu, seperti
AzureResourceManagertag layanan:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImpor daftar alamat IP ke firewall perusahaan eksternal Anda, jika Anda menggunakan daftar yang diizinkan dengannya.
Buat aturan firewall untuk tiap server di kluster untuk memungkinkan lalu lintas 443 (HTTPS) keluar ke daftar rentang alamat IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Langkah berikutnya
Untuk informasi selengkapnya, lihat juga:
- Bagian port Windows Firewall dan WinRM 2.0 dari Instalasi dan konfigurasi untuk Windows Remote Management