Persyaratan firewall untuk Azure Stack HCI
Berlaku untuk: Azure Stack HCI, versi 23H2 dan 22H2
Topik ini menyediakan panduan tentang cara mengonfigurasi firewall untuk sistem operasi Azure Stack HCI. Ini termasuk persyaratan firewall untuk titik akhir keluar serta port dan aturan internal. Artikel ini juga menyediakan informasi tentang cara menggunakan tag layanan Azure dengan firewall Pertahanan Microsoft.
Jika jaringan Anda menggunakan server proksi untuk akses internet, lihat Mengonfigurasi pengaturan proksi untuk Azure Stack HCI.
Penting
Azure Express Route dan Azure Private Link tidak didukung untuk Azure Stack HCI, versi 23H2 atau salah satu komponennya, karena tidak dimungkinkan untuk mengakses titik akhir publik yang diperlukan untuk Azure Stack HCI 23H2.
Persyaratan firewall untuk titik akhir keluar
Membuka port 443 untuk lalu lintas jaringan keluar di firewall organisasi Anda memenuhi persyaratan konektivitas untuk sistem operasi untuk terhubung dengan Azure dan Microsoft Update. Jika firewall keluar Anda dibatasi, kami menyarankan penyertaan URL dan port yang dijelaskan di bagian Rekomendasi URL firewall dari artikel ini.
Azure Stack HCI perlu terhubung secara berkala ke Azure. Akses terbatas hanya pada:
- IP Azure yang terkenal
- Arah keluar
- Port 443 (HTTPS)
Penting
Azure Stack HCI tidak mendukung inspeksi HTTPS. Pastikan bahwa inspeksi HTTPS dinonaktifkan di sepanjang jalur jaringan Anda untuk Azure Stack HCI untuk mencegah kesalahan konektivitas apa pun.
Seperti yang ditunjukkan pada diagram berikut, Azure Stack HCI mengakses Azure menggunakan lebih dari satu firewall secara potensial.
Topik ini menjelaskan cara opsional untuk menggunakan konfigurasi firewall yang sangat terkunci untuk memblokir semua lalu lintas ke semua tujuan kecuali yang dimasukkan dalam daftar yang diizinkan.
URL firewall yang diperlukan
Tabel berikut menyediakan daftar URL firewall yang diperlukan. Pastikan untuk menyertakan URL ini ke daftar izin Anda.
Selain itu, ikuti persyaratan firewall yang diperlukan untuk AKS di Azure Stack HCI.
Catatan
Aturan firewall Azure Stack HCI adalah titik akhir minimum yang diperlukan untuk konektivitas HciSvc, dan tidak berisi wildcard. Namun, tabel berikut saat ini berisi URL wildcard, yang mungkin diperbarui ke titik akhir yang tepat di masa mendatang.
| Layanan | URL | Port | Catatan |
|---|---|---|---|
| Unduhan Pembaruan Azure Stack HCI | fe3.delivery.mp.microsoft.com | 443 | Untuk memperbarui Azure Stack HCI, versi 23H2. |
| Unduhan Pembaruan Azure Stack HCI | tlu.dl.delivery.mp.microsoft.com | 80 | Untuk memperbarui Azure Stack HCI, versi 23H2. |
| Penemuan Pembaruan Azure Stack HCI | aka.ms | 443 | Untuk mengatasi alamat untuk menemukan Azure Stack HCI, versi 23H2 dan Pembaruan Ekstensi Penyusun Solusi. |
| Penemuan Pembaruan Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Layanan yang mendasar yang menerapkan pelacakan data penggunaan untuk tautan pengalihan aka.ms. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Untuk Otoritas Active Directory dan digunakan untuk autentikasi, pengambilan token, dan validasi. |
| Azure Stack HCI | graph.windows.net | 443 | Untuk Graph dan digunakan untuk autentikasi, pengambilan token, dan validasi. |
| Azure Stack HCI | management.azure.com | 443 | Untuk Resource Manager dan digunakan selama bootstrap awal kluster ke Azure untuk tujuan pendaftaran dan untuk membatalkan pendaftaran kluster. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Untuk Data plane yang mendorong data diagnostik dan digunakan dalam alur portal Azure dan mendorong data penagihan. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Untuk Data plane yang digunakan dalam lisensi dan dalam mendorong data pemberitahuan dan penagihan. Diperlukan hanya untuk Azure Stack HCI, versi 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | URL sebelumnya untuk Bidang data. URL ini baru saja diubah. Jika Anda mendaftarkan kluster menggunakan URL lama ini, Anda juga harus mengizinkannya. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Untuk registri kontainer VM Arc di Azure Stack HCI. Diperlukan hanya untuk Azure Stack HCI, versi 23H2. |
| Azure Key Vault | *.vault.azure.net/* | 443 | Akses ke brankas kunci untuk mengakses rahasia penyebaran Azure Stack HCI. Ganti * pertama dengan nama brankas kunci yang anda rencanakan untuk digunakan, dan yang ke-2 * dengan nama rahasia. Diperlukan hanya untuk Azure Stack HCI, versi 23H2. |
| Arc Untuk Server | aka.ms | 443 | Untuk menyelesaikan skrip unduhan selama penginstalan. |
| Arc Untuk Server | download.microsoft.com | 443 | Untuk mengunduh paket penginstalan Windows. |
| Arc Untuk Server | login.windows.net | 443 | Untuk ID Microsoft Entra |
| Arc Untuk Server | login.microsoftonline.com | 443 | Untuk ID Microsoft Entra |
| Arc Untuk Server | pas.windows.net | 443 | Untuk ID Microsoft Entra |
| Arc Untuk Server | management.azure.com | 443 | Agar Azure Resource Manager membuat atau menghapus sumber daya Arc Server |
| Arc Untuk Server | guestnotificationservice.azure.com | 443 | Untuk layanan pemberitahuan untuk skenario ekstensi dan konektivitas |
| Arc Untuk Server | *.his.arc.azure.com | 443 | Untuk metadata dan layanan identitas hibrid |
| Arc Untuk Server | *.guestconfiguration.azure.com | 443 | Untuk manajemen ekstensi dan layanan konfigurasi tamu |
| Arc Untuk Server | *.guestnotificationservice.azure.com | 443 | Untuk layanan pemberitahuan untuk skenario ekstensi dan konektivitas |
| Arc Untuk Server | azgn*.servicebus.windows.net | 443 | Untuk layanan pemberitahuan untuk skenario ekstensi dan konektivitas |
| Arc Untuk Server | *.servicebus.windows.net | 443 | Untuk skenario Pusat Admin Windows dan SSH |
| Arc Untuk Server | *.waconazure.com | 443 | Untuk konektivitas Pusat Admin Windows |
| Arc Untuk Server | *.blob.core.windows.net | 443 | Untuk sumber unduhan untuk ekstensi server dengan dukungan Azure Arc |
Untuk daftar komprehensif semua URL firewall, unduh spreadsheet URL firewall.
URL firewall yang direkomendasikan
Tabel berikut menyediakan daftar URL firewall yang direkomendasikan. Jika firewall keluar Anda dibatasi, kami menyarankan penyertaan URL dan port yang diuraikan dalam bagian ini ke daftar izin Anda.
Catatan
Aturan firewall Azure Stack HCI adalah titik akhir minimum yang diperlukan untuk konektivitas HciSvc, dan tidak berisi wildcard. Namun, tabel berikut saat ini berisi URL wildcard, yang mungkin diperbarui ke titik akhir yang tepat di masa mendatang.
| Layanan | URL | Port | Catatan |
|---|---|---|---|
| Azure Benefits di Azure Stack HCI | crl3.digicert.com | 80 | Memungkinkan layanan pengesahan platform di Azure Stack HCI untuk melakukan pemeriksaan daftar pencabutan sertifikat untuk memberikan jaminan bahwa VM memang berjalan di lingkungan Azure. |
| Azure Benefits di Azure Stack HCI | crl4.digicert.com | 80 | Memungkinkan layanan pengesahan platform di Azure Stack HCI untuk melakukan pemeriksaan daftar pencabutan sertifikat untuk memberikan jaminan bahwa VM memang berjalan di lingkungan Azure. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Untuk mendapatkan modul Az.StackHCI PowerShell, yang diperlukan untuk pendaftaran kluster. Atau, Anda dapat mengunduh dan menginstal modul Az.StackHCI PowerShell secara manual dari Galeri PowerShell. |
| Bukti Cloud Kluster | *.blob.core.windows.net | 443 | Untuk akses firewall ke kontainer blob Azure, jika memilih untuk menggunakan bukti cloud sebagai bukti kluster, yang bersifat opsional. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | download.windowsupdate.com | 80 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | download.microsoft.com | 443 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | wustat.windows.com | 80 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | go.microsoft.com | 80 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | *.windowsupdate.com | 80 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Untuk Microsoft Update, yang memungkinkan OS menerima pembaruan. |
Persyaratan firewall untuk layanan Azure tambahan
Bergantung pada layanan Azure tambahan yang diaktifkan di HCI, Anda mungkin perlu membuat perubahan konfigurasi firewall tambahan. Lihat tautan berikut untuk informasi tentang persyaratan firewall untuk setiap layanan Azure:
- AKS di Azure Stack HCI
- Server dengan Azure Arc yang diaktifkan
- Persyaratan jaringan jembatan sumber daya Azure Arc
- Agen Azure Monitor
- Portal Azure
- Azure Site Recovery
- Azure Virtual Desktop
- Pertahanan Microsoft
- Agen Pemantauan Microsoft (MMA) dan Agen Analitik Log
- Qualys
- Dukungan jarak jauh
- Pusat Admin Windows
- Pusat Admin Windows di portal Azure
Persyaratan firewall untuk port dan aturan internal
Pastikan bahwa port jaringan yang tepat terbuka antara semua simpul server baik dalam situs maupun antar situs untuk kluster yang direntangkan (fungsionalitas kluster yang direntangkan hanya tersedia di Azure Stack HCI, versi 22H2.). Anda memerlukan aturan firewall yang sesuai untuk mengizinkan lalu lintas dua arah ICMP, SMB (port 445, ditambah port 5445 untuk SMB Direct jika menggunakan iWARP RDMA), dan WS-MAN (port 5985) antara semua server dalam kluster.
Saat menggunakan wizard Cluster Creation dalam Pusat Admin Windows untuk membuat kluster, wizard secara otomatis membuka port firewall yang sesuai di tiap server di kluster untuk Failover Clustering, Hyper-V, dan Storage Replica. Jika Anda menggunakan firewall yang berbeda di setiap server, buka port seperti diuraikan di bagian berikut:
Manajemen OS Azure Stack HCI
Pastikan bahwa aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk manajemen OS Azure Stack HCI, termasuk lisensi dan penagihan.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Mengizinkan lalu lintas masuk/keluar ke dan dari layanan Azure Stack HCI di server kluster | Izinkan | Server kluster | Server kluster | TCP | 30301 |
Pusat Admin Windows
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Pusat Admin Windows.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Menyediakan akses ke Azure dan Microsoft Update | Izinkan | Pusat Admin Windows | Azure Stack HCI | TCP | 445 |
| Menggunakan Windows Remote Management (WinRM) 2.0 untuk koneksi HTTP untuk menjalankan perintah di server Windows jarak jauh |
Izinkan | Pusat Admin Windows | Azure Stack HCI | TCP | 5985 |
| Menggunakan WinRM 2.0 untuk koneksi HTTPS untuk menjalankan perintah di server Windows jarak jauh |
Izinkan | Pusat Admin Windows | Azure Stack HCI | TCP | 5986 |
Catatan
Saat menginstal Pusat Admin Windows, jika Anda memilih pengaturan Gunakan WinRM melalui HTTPS saja, maka port 5986 diperlukan.
Pengklusteran Failover
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Failover Clustering.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Izinkan validasi Failover Cluster | Izinkan | Sistem manajemen | Server kluster | TCP | 445 |
| Izinkan alokasi port dinamis RPC | Izinkan | Sistem manajemen | Server kluster | TCP | Minimal 100 port di atas port 5000 |
| Izinkan Panggilan Prosedur Jarak Jauh (Remote Procedure Call/RPC) | Izinkan | Sistem manajemen | Server kluster | TCP | 135 |
| Izinkan Administrator Kluster | Izinkan | Sistem manajemen | Server kluster | UDP | 137 |
| Izinkan Layanan Kluster | Izinkan | Sistem manajemen | Server kluster | UDP | 3343 |
| Izinkan Layanan Kluster (Diperlukan selama operasi gabungan server.) |
Izinkan | Sistem manajemen | Server kluster | TCP | 3343 |
| Izinkan ICMPv4 dan ICMPv6 untuk validasi Failover Cluster |
Izinkan | Sistem manajemen | Server kluster | n/a | n/a |
Catatan
Sistem manajemen mencakup komputer mana pun dari mana Anda berencana untuk mengelola kluster, menggunakan alat seperti Pusat Admin Windows, Windows PowerShell atau System Center Virtual Machine Manager.
Hyper-V
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Hyper-V.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Izinkan komunikasi kluster | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 445 |
| Izinkan RPC Endpoint Mapper dan WMI | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 135 |
| Izinkan konektivitas HTTP | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 80 |
| Izinkan konektivitas HTTPS | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 443 |
| Izinkan Live Migration | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 6600 |
| Izinkan VM Management Service | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 2179 |
| Izinkan alokasi port dinamis RPC | Izinkan | Sistem manajemen | Server Hyper-V | TCP | Minimal 100 port di atas port 5000 |
Catatan
Buka berbagai port di atas port 5000 untuk memungkinkan alokasi port dinamis RPC. Port di bawah 5000 mungkin sudah digunakan oleh aplikasi lain dan dapat menyebabkan konflik dengan aplikasi DCOM. Pengalaman sebelumnya menunjukkan bahwa minimal 100 port harus dibuka, karena beberapa layanan sistem bergantung pada port RPC ini untuk berkomunikasi dengan satu sama lain. Untuk informasi selengkapnya, lihat Cara mengonfigurasi alokasi port dinamis RPC untuk bekerja dengan firewall.
Storage Replica (kluster terentang)
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Storage Replica (kluster terentang).
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Port |
|---|---|---|---|---|---|
| Izinkan Server Message Block Protokol (SMB) |
Izinkan | Server kluster terentang | Server kluster terentang | TCP | 445 |
| Izinkan Web Services-Management (WS-MAN) |
Izinkan | Server kluster terentang | Server kluster terentang | TCP | 5985 |
| Izinkan ICMPv4 dan ICMPv6 (jika menggunakan Test-SRTopologycmdlet PowerShell) |
Izinkan | Server kluster terentang | Server kluster terentang | n/a | n/a |
Memperbarui firewall Microsoft Defender
Bagian ini menunjukkan cara mengonfigurasi Microsoft Defender Firewall untuk memungkinkan alamat IP yang terkait dengan tag layanan terhubung dengan sistem operasi: Tag layanan mewakili sekelompok alamat IP dari layanan Azure tertentu. Microsoft mengelola alamat IP yang disertakan dalam tag layanan, dan secara otomatis memperbarui tag layanan saat alamat IP berubah untuk menjaga pembaruan seminimal mungkin. Untuk mempelajari lebih lanjut, lihat Tag layanan jaringan virtual.
Unduh file JSON dari sumber daya berikut ke komputer target yang menjalankan sistem operasi: Azure IP Ranges and Service Tags – Public Cloud.
Gunakan perintah PowerShell berikut untuk membuka file JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonDapatkan daftar rentang alamat IP untuk tag layanan tertentu, seperti misalnya tag layanan “AzureResourceManager”:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImpor daftar alamat IP ke firewall perusahaan eksternal Anda, jika Anda menggunakan daftar yang diizinkan dengannya.
Buat aturan firewall untuk tiap server di kluster untuk memungkinkan lalu lintas 443 (HTTPS) keluar ke daftar rentang alamat IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Langkah berikutnya
Untuk informasi selengkapnya, lihat juga:
- Bagian port Windows Firewall dan WinRM 2.0 dari Instalasi dan konfigurasi untuk Windows Remote Management
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk