Bagikan melalui

Persyaratan firewall untuk Azure Stack HCI

  • Artikel

Berlaku untuk: Azure Stack HCI, versi 23H2 dan 22H2

Topik ini menyediakan panduan tentang cara mengonfigurasi firewall untuk sistem operasi Azure Stack HCI. Ini termasuk persyaratan firewall untuk titik akhir keluar serta port dan aturan internal. Artikel ini juga menyediakan informasi tentang cara menggunakan tag layanan Azure dengan firewall Pertahanan Microsoft.

Artikel ini juga menjelaskan cara menggunakan konfigurasi firewall yang sangat terkunci secara opsional untuk memblokir semua lalu lintas ke semua tujuan kecuali yang disertakan dalam daftar izin Anda.

Jika jaringan Anda menggunakan server proksi untuk akses internet, lihat Mengonfigurasi pengaturan proksi untuk Azure Stack HCI.

Penting

Azure Express Route dan Azure Private Link tidak didukung untuk Azure Stack HCI, versi 23H2, atau salah satu komponennya karena tidak dimungkinkan untuk mengakses titik akhir publik yang diperlukan untuk Azure Stack HCI, versi 23H2.

Persyaratan firewall untuk titik akhir keluar

Membuka port 80 dan 443 untuk lalu lintas jaringan keluar di firewall organisasi Anda memenuhi persyaratan konektivitas untuk sistem operasi Azure Stack HCI agar terhubung dengan Azure dan Microsoft Update.

Azure Stack HCI perlu terhubung secara berkala ke Azure untuk:

  • IP Azure yang terkenal
  • Arah keluar
  • Port 80 (HTTP) dan 443 (HTTPS)

Penting

Azure Stack HCI tidak mendukung inspeksi HTTPS. Pastikan bahwa inspeksi HTTPS dinonaktifkan di sepanjang jalur jaringan Anda untuk Azure Stack HCI untuk mencegah kesalahan konektivitas apa pun.

Seperti yang ditunjukkan pada diagram berikut, Azure Stack HCI dapat mengakses Azure menggunakan lebih dari satu firewall yang berpotensi.

Diagram memperlihatkan Azure Stack HCI yang mengakses titik akhir tag layanan melalui Port 443 (HTTPS) firewall.

URL firewall yang diperlukan untuk penyebaran Azure Stack HCI 23H2

Dimulai dengan Azure Stack HCI, versi 23H2, semua kluster secara otomatis mengaktifkan infrastruktur Azure Resource Bridge dan AKS dan menggunakan agen Arc for Servers untuk terhubung ke sarana kontrol Azure. Bersama dengan daftar titik akhir khusus HCI pada tabel berikut, Azure Resource Bridge di titik akhir Azure Stack HCI , AKS di titik akhir Azure Stack HCI , dan titik akhir server dengan dukungan Azure Arc harus disertakan dalam daftar izin firewall Anda.

Untuk daftar titik akhir terkonsolidasi AS Timur, termasuk HCI, server berkemampuan Arc, ARB dan AKS menggunakan:

Untuk daftar titik akhir konsolidasi Eropa Barat, termasuk HCI, server berkemampuan Arc, ARB, dan penggunaan AKS:

Untuk daftar titik akhir konsolidasi Australia Timur, termasuk HCI, server berkemampuan Arc, ARB, dan penggunaan AKS:

Untuk daftar titik akhir konsolidasi Kanada Central, termasuk HCI, server berkemampuan Arc, ARB dan AKS menggunakan:

Untuk daftar titik akhir konsolidasi India Tengah, termasuk HCI, server berkemampuan Arc, ARB, dan penggunaan AKS:

Persyaratan firewall untuk layanan Azure tambahan

Bergantung pada layanan Azure tambahan yang Anda aktifkan untuk Azure Stack HCI, Anda mungkin perlu membuat perubahan konfigurasi firewall tambahan. Lihat tautan berikut untuk informasi tentang persyaratan firewall untuk setiap layanan Azure:

Persyaratan firewall untuk port dan aturan internal

Pastikan bahwa port jaringan yang tepat terbuka di antara semua simpul server, baik dalam situs maupun antar situs untuk kluster yang direntangkan (fungsionalitas kluster yang direntangkan hanya tersedia di Azure Stack HCI, versi 22H2.). Anda memerlukan aturan firewall yang sesuai untuk mengizinkan lalu lintas dua arah ICMP, SMB (port 445, ditambah port 5445 untuk SMB Direct jika menggunakan iWARP RDMA), dan WS-MAN (port 5985) antara semua server dalam kluster.

Saat menggunakan wizard Pembuatan Kluster di Pusat Admin Windows untuk membuat kluster, wizard secara otomatis membuka port firewall yang sesuai pada setiap server di kluster untuk Pengklusteran Failover, Hyper-V, dan Replika Penyimpanan. Jika Anda menggunakan firewall yang berbeda di setiap server, buka port seperti diuraikan di bagian berikut:

Manajemen OS Azure Stack HCI

Pastikan bahwa aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk manajemen OS Azure Stack HCI, termasuk lisensi dan penagihan.

Aturan Perbuatan Sumber Tujuan Layanan Port
Mengizinkan lalu lintas masuk/keluar ke dan dari layanan Azure Stack HCI di server kluster Izinkan Server kluster Server kluster TCP 30301

Pusat Admin Windows

Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Pusat Admin Windows.

Aturan Perbuatan Sumber Tujuan Layanan Port
Menyediakan akses ke Azure dan Microsoft Update Izinkan Pusat Admin Windows Azure Stack HCI TCP 445
Menggunakan Windows Remote Management (WinRM) 2.0
untuk koneksi HTTP untuk menjalankan perintah
di server Windows jarak jauh		 Izinkan Pusat Admin Windows Azure Stack HCI TCP 5985
Menggunakan WinRM 2.0 untuk koneksi HTTPS untuk menjalankan
perintah di server Windows jarak jauh		 Izinkan Pusat Admin Windows Azure Stack HCI TCP 5986

Catatan

Saat menginstal Pusat Admin Windows, jika Anda memilih pengaturan Gunakan WinRM melalui HTTPS saja, maka port 5986 diperlukan.

Direktori Aktif

Pastikan bahwa aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Direktori Aktif (otoritas keamanan lokal).

Aturan Perbuatan Sumber Tujuan Layanan Port
Mengizinkan konektivitas masuk/keluar ke Layanan Web Direktori Aktif (ADWS) dan Layanan Gateway Manajemen Direktori Aktif Izinkan Layanan Direktori Aktif Azure Stack HCI TCP 9389

Pengklusteran Failover

Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Failover Clustering.

Aturan Perbuatan Sumber Tujuan Layanan Port
Izinkan validasi Failover Cluster Izinkan Sistem manajemen Server kluster TCP 445
Izinkan alokasi port dinamis RPC Izinkan Sistem manajemen Server kluster TCP Minimal 100 port
di atas port 5000
Izinkan Panggilan Prosedur Jarak Jauh (Remote Procedure Call/RPC) Izinkan Sistem manajemen Server kluster TCP 135
Izinkan Administrator Kluster Izinkan Sistem manajemen Server kluster UDP 137
Izinkan Layanan Kluster Izinkan Sistem manajemen Server kluster UDP 3343
Izinkan Layanan Kluster (Diperlukan selama
operasi gabungan server.)		 Izinkan Sistem manajemen Server kluster TCP 3343
Izinkan ICMPv4 dan ICMPv6
untuk validasi Failover Cluster		 Izinkan Sistem manajemen Server kluster n/a n/a

Catatan

Sistem manajemen mencakup komputer apa pun yang Anda rencanakan untuk mengelola kluster, menggunakan alat seperti Pusat Admin Windows, Windows PowerShell, atau Manajer Komputer Virtual Pusat Sistem.

Hyper-V

Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Hyper-V.

Aturan Perbuatan Sumber Tujuan Layanan Port
Izinkan komunikasi kluster Izinkan Sistem manajemen Server Hyper-V TCP 445
Izinkan RPC Endpoint Mapper dan WMI Izinkan Sistem manajemen Server Hyper-V TCP 135
Izinkan konektivitas HTTP Izinkan Sistem manajemen Server Hyper-V TCP 80
Izinkan konektivitas HTTPS Izinkan Sistem manajemen Server Hyper-V TCP 443
Izinkan Live Migration Izinkan Sistem manajemen Server Hyper-V TCP 6600
Izinkan VM Management Service Izinkan Sistem manajemen Server Hyper-V TCP 2179
Izinkan alokasi port dinamis RPC Izinkan Sistem manajemen Server Hyper-V TCP Minimal 100 port
di atas port 5000

Catatan

Buka berbagai port di atas port 5000 untuk memungkinkan alokasi port dinamis RPC. Port di bawah 5000 mungkin sudah digunakan oleh aplikasi lain dan dapat menyebabkan konflik dengan aplikasi DCOM. Pengalaman sebelumnya menunjukkan bahwa minimal 100 port harus dibuka, karena beberapa layanan sistem bergantung pada port RPC ini untuk berkomunikasi dengan satu sama lain. Untuk informasi selengkapnya, lihat Cara mengonfigurasi alokasi port dinamis RPC untuk bekerja dengan firewall.

Storage Replica (kluster terentang)

Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Storage Replica (kluster terentang).

Aturan Perbuatan Sumber Tujuan Layanan Port
Izinkan Server Message Block
Protokol (SMB)		 Izinkan Server kluster terentang Server kluster terentang TCP 445
Izinkan Web Services-Management
(WS-MAN)		 Izinkan Server kluster terentang Server kluster terentang TCP 5985
Izinkan ICMPv4 dan ICMPv6
(jika menggunakan Test-SRTopology
cmdlet PowerShell)		 Izinkan Server kluster terentang Server kluster terentang n/a n/a

Memperbarui firewall Microsoft Defender

Bagian ini menunjukkan cara mengonfigurasi Microsoft Defender Firewall untuk memungkinkan alamat IP yang terkait dengan tag layanan terhubung dengan sistem operasi: Tag layanan mewakili sekelompok alamat IP dari layanan Azure tertentu. Microsoft mengelola alamat IP yang disertakan dalam tag layanan, dan secara otomatis memperbarui tag layanan saat alamat IP berubah untuk menjaga pembaruan seminimal mungkin. Untuk mempelajari lebih lanjut, lihat Tag layanan jaringan virtual.

  1. Unduh file JSON dari sumber daya berikut ke komputer target yang menjalankan sistem operasi: Azure IP Ranges and Service Tags – Public Cloud.

  2. Gunakan perintah PowerShell berikut untuk membuka file JSON:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json

  3. Dapatkan daftar rentang alamat IP untuk tag layanan tertentu, seperti AzureResourceManager tag layanan:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes

  4. Impor daftar alamat IP ke firewall perusahaan eksternal Anda, jika Anda menggunakan daftar yang diizinkan dengannya.

  5. Buat aturan firewall untuk tiap server di kluster untuk memungkinkan lalu lintas 443 (HTTPS) keluar ke daftar rentang alamat IP:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True

Langkah berikutnya

Untuk informasi selengkapnya, lihat juga: