Requisiti del firewall per Azure Stack HCI
Si applica a: Azure Stack HCI, versioni 23H2 e 22H2
Questo articolo fornisce indicazioni su come configurare i firewall per il sistema operativo Azure Stack HCI. Include i requisiti del firewall per gli endpoint in uscita e le regole e le porte interne. L'articolo fornisce anche informazioni su come usare i tag di servizio di Azure con Microsoft Defender firewall.
Se la rete usa un server proxy per l'accesso a Internet, vedere Configurare le impostazioni proxy per Azure Stack HCI.
Importante
collegamento privato di Azure non è supportato per Azure Stack HCI, versione 23H2 o uno dei relativi componenti.
Requisiti del firewall per gli endpoint in uscita
L'apertura della porta 443 per il traffico di rete in uscita nel firewall dell'organizzazione soddisfa i requisiti di connettività per il sistema operativo da connettere con Azure e Microsoft Update. Se il firewall in uscita è limitato, è consigliabile includere gli URL e le porte descritti nella sezione URL del firewall consigliati di questo articolo.
Azure Stack HCI deve connettersi periodicamente ad Azure. L'accesso è limitato solo a:
- Indirizzi IP di Azure noti
- Direzione in uscita
- Porta 443 (HTTPS)
Importante
Azure Stack HCI non supporta l'ispezione HTTPS. Assicurarsi che l'ispezione HTTPS sia disabilitata lungo il percorso di rete per Azure Stack HCI per evitare eventuali errori di connettività.
Come illustrato nel diagramma seguente, Azure Stack HCI accede ad Azure usando più firewall potenzialmente.
Questo articolo descrive come usare facoltativamente una configurazione del firewall altamente bloccata per bloccare tutto il traffico a tutte le destinazioni, ad eccezione di quelli inclusi nell'elenco consentito.
URL del firewall necessari
La tabella seguente fornisce un elenco di URL del firewall necessari. Assicurarsi di includere questi URL all'elenco allowlist.
Seguire anche i requisiti del firewall necessari per il servizio Azure Kubernetes in Azure Stack HCI.
Nota
Le regole del firewall HCI di Azure Stack sono gli endpoint minimi necessari per la connettività HciSvc e non contengono caratteri jolly. Tuttavia, la tabella seguente contiene attualmente URL con caratteri jolly, che possono essere aggiornati in endpoint precisi in futuro.
Servizio | URL | Porta | Note |
---|---|---|---|
Download di Azure Stack HCI Aggiornamenti | fe3.delivery.mp.microsoft.com | 443 | Per l'aggiornamento di Azure Stack HCI versione 23H2. |
Download di Azure Stack HCI Aggiornamenti | tlu.dl.delivery.mp.microsoft.com | 80 | Per l'aggiornamento di Azure Stack HCI versione 23H2. |
Individuazione Aggiornamenti di Azure Stack HCI | aka.ms | 443 | Per la risoluzione degli indirizzi per individuare Azure Stack HCI, versione 23H2 e Estensione Generatore soluzioni Aggiornamenti. |
Individuazione Aggiornamenti di Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Servizio sottostante che implementa il rilevamento dei dati di utilizzo per i collegamenti di reindirizzamento aka.ms. |
Azure Stack HCI | login.microsoftonline.com | 443 | Per l'autorità di Active Directory e usata per l'autenticazione, il recupero dei token e la convalida. |
Azure Stack HCI | graph.windows.net | 443 | Per Graph e usato per l'autenticazione, il recupero del token e la convalida. |
Azure Stack HCI | management.azure.com | 443 | Per Resource Manager e usati durante l'avvio iniziale del cluster in Azure per scopi di registrazione e per annullare la registrazione del cluster. |
Azure Stack HCI | dp.stackhci.azure.com | 443 | Per Piano dati che esegue il push dei dati di diagnostica e usati nella pipeline di portale di Azure e esegue il push dei dati di fatturazione. |
Azure Stack HCI | *.platform.edge.azure.com | 443 | Per Il piano dati usato nelle licenze e nel push di avvisi e dati di fatturazione. Obbligatorio solo per Azure Stack HCI versione 23H2. |
Azure Stack HCI | azurestackhci.azurefd.net | 443 | URL precedente per il piano dati. Questo URL è stato modificato di recente, i clienti che hanno registrato il proprio cluster usando questo URL precedente devono consentire anche l'elenco. |
Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Per Il Registro contenitori di macchine virtuali Arc in Azure Stack HCI. Obbligatorio solo per Azure Stack HCI versione 23H2. |
Arc per server | aka.ms | 443 | Per risolvere lo script di download durante l'installazione. |
Arc per server | download.microsoft.com | 443 | Per scaricare il pacchetto di installazione di Windows. |
Arc per server | login.windows.net | 443 | Per Microsoft Entra ID |
Arc per server | login.microsoftonline.com | 443 | Per Microsoft Entra ID |
Arc per server | pas.windows.net | 443 | Per Microsoft Entra ID |
Arc per server | management.azure.com | 443 | Per consentire ad Azure Resource Manager di creare o eliminare la risorsa Arc Server |
Arc per server | guestnotificationservice.azure.com | 443 | Per il servizio di notifica per scenari di estensione e connettività |
Arc per server | *.his.arc.azure.com | 443 | Per i metadati e i servizi di gestione delle identità ibrida |
Arc per server | *.guestconfiguration.azure.com | 443 | Per la gestione delle estensioni e i servizi di configurazione guest |
Arc per server | *.guestnotificationservice.azure.com | 443 | Per il servizio di notifica per scenari di estensione e connettività |
Arc per server | azgn*.servicebus.windows.net | 443 | Per il servizio di notifica per scenari di estensione e connettività |
Arc per server | *.servicebus.windows.net | 443 | Per scenari Windows Admin Center e SSH |
Arc per server | *.waconazure.com | 443 | Per la connettività Windows Admin Center |
Arc per server | *.blob.core.windows.net | 443 | Per scaricare l'origine per le estensioni dei server abilitate per Azure Arc |
Per un elenco completo di tutti gli URL del firewall, scaricare il foglio di calcolo degli URL del firewall.
URL firewall consigliati
Nella tabella seguente è riportato un elenco degli URL del firewall consigliati. Se il firewall in uscita è limitato, è consigliabile includere gli URL e le porte descritti in questa sezione all'elenco elementi consentiti.
Nota
Le regole del firewall di Azure Stack HCI sono gli endpoint minimi necessari per la connettività HciSvc e non contengono caratteri jolly. Tuttavia, la tabella seguente contiene attualmente URL con caratteri jolly, che potrebbero essere aggiornati in endpoint precisi in futuro.
Servizio | URL | Porta | Note |
---|---|---|---|
Vantaggi di Azure in Azure Stack HCI | crl3.digicert.com | 80 | Consente al servizio di attestazione della piattaforma in Azure Stack HCI di eseguire un controllo dell'elenco di revoche di certificati per garantire che le macchine virtuali siano effettivamente in esecuzione in ambienti Azure. |
Vantaggi di Azure in Azure Stack HCI | crl4.digicert.com | 80 | Consente al servizio di attestazione della piattaforma in Azure Stack HCI di eseguire un controllo dell'elenco di revoche di certificati per garantire che le macchine virtuali siano effettivamente in esecuzione in ambienti Azure. |
Azure Stack HCI | *.powershellgallery.com | 443 | Per ottenere il modulo PowerShell Az.StackHCI, necessario per la registrazione del cluster. In alternativa, è possibile scaricare e installare manualmente il modulo PowerShell Az.StackHCI da PowerShell Gallery. |
Controllo cloud del cluster | *.blob.core.windows.net | 443 | Per l'accesso firewall al contenitore BLOB di Azure, se si sceglie di usare un cloud di controllo come server di controllo del cluster, che è facoltativo. |
Microsoft Update | windowsupdate.microsoft.com | 80 | Per Microsoft Update, che consente al sistema operativo di ricevere gli aggiornamenti. |
Microsoft Update | download.windowsupdate.com | 80 | Per Microsoft Update, che consente al sistema operativo di ricevere gli aggiornamenti. |
Microsoft Update | *.download.windowsupdate.com | 80 | Per Microsoft Update, che consente al sistema operativo di ricevere gli aggiornamenti. |
Microsoft Update | download.microsoft.com | 443 | Per Microsoft Update, che consente al sistema operativo di ricevere gli aggiornamenti. |
Microsoft Update | wustat.windows.com | 80 | Per Microsoft Update, che consente al sistema operativo di ricevere gli aggiornamenti. |
Microsoft Update | ntservicepack.microsoft.com | 80 | Per Microsoft Update, che consente al sistema operativo di ricevere gli aggiornamenti. |
Microsoft Update | go.microsoft.com | 80 | Per Microsoft Update, che consente al sistema operativo di ricevere gli aggiornamenti. |
Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Per Microsoft Update, che consente al sistema operativo di ricevere gli aggiornamenti. |
Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Per Microsoft Update, che consente al sistema operativo di ricevere aggiornamenti. |
Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Per Microsoft Update, che consente al sistema operativo di ricevere aggiornamenti. |
Microsoft Update | *.windowsupdate.com | 80 | Per Microsoft Update, che consente al sistema operativo di ricevere aggiornamenti. |
Microsoft Update | *.update.microsoft.com | 80, 443 | Per Microsoft Update, che consente al sistema operativo di ricevere aggiornamenti. |
Requisiti del firewall per servizi di Azure aggiuntivi
A seconda dei servizi di Azure aggiuntivi abilitati in HCI, potrebbe essere necessario apportare modifiche aggiuntive alla configurazione del firewall. Per informazioni sui requisiti del firewall per ogni servizio di Azure, vedere i collegamenti seguenti:
- Servizio Azure Kubernetes in Azure Stack HCI
- Server abilitati per Azure Arc
- Requisiti di rete del bridge delle risorse di Azure Arc
- Agente di Monitoraggio di Azure
- Azure portal
- Azure Site Recovery
- Desktop virtuale Azure
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) e Log Analytics Agent
- Qualys
- Supporto remoto
- Windows Admin Center
- Windows Admin Center in portale di Azure
Requisiti del firewall per regole e porte interne
Assicurarsi che le porte di rete appropriate siano aperte tra tutti i nodi del server sia all'interno di un sito che tra i siti per i cluster estesi (la funzionalità del cluster estesa è disponibile solo in Azure Stack HCI, versione 22H2.). Sono necessarie regole del firewall appropriate per consentire ICMP, SMB (porta 445 e porta 5445 per SMB Direct se si usa iWARP RDMA) e WS-MAN (porta 5985) traffico bidirezionale tra tutti i server nel cluster.
Quando si usa la Creazione guidata cluster in Windows Admin Center per creare il cluster, la procedura guidata apre automaticamente le porte firewall appropriate in ogni server del cluster per cluster di failover, Hyper-V e Replica di archiviazione. Se si usa un firewall diverso in ogni server, aprire le porte come descritto nelle sezioni seguenti:
Gestione del sistema operativo HCI di Azure Stack
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per la gestione del sistema operativo Azure Stack HCI, incluse le licenze e la fatturazione.
Regola | Azione | Source (Sorgente) | Destination | Servizio | Porte |
---|---|---|---|---|---|
Consentire il traffico in ingresso/in uscita da e verso il servizio Azure Stack HCI nei server del cluster | Allow | Server cluster | Server cluster | TCP | 30301 |
Windows Admin Center
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Windows Admin Center.
Regola | Azione | Source (Sorgente) | Destination | Servizio | Porte |
---|---|---|---|---|---|
Fornire l'accesso ad Azure e Microsoft Update | Allow | Windows Admin Center | Azure Stack HCI | TCP | 445 |
Usare Gestione remota Windows (WinRM) 2.0 per le connessioni HTTP da eseguire i comandi nei server Windows remoti |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
Usare WinRM 2.0 per le connessioni HTTPS da eseguire comandi nei server Windows remoti |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Nota
Durante l'installazione di Windows Admin Center, se si seleziona l'impostazione Usa WinRM su HTTPS, è necessaria la porta 5986.
Clustering di failover
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per il clustering di failover.
Regola | Azione | Source (Sorgente) | Destination | Servizio | Porte |
---|---|---|---|---|---|
Consenti convalida del cluster di failover | Allow | Sistema di gestione | Server cluster | TCP | 445 |
Consenti allocazione dinamica della porta RPC | Allow | Sistema di gestione | Server cluster | TCP | Minimo di 100 porte sopra la porta 5000 |
Consenti chiamata alla procedura remota (RPC) | Allow | Sistema di gestione | Server cluster | TCP | 135 |
Consenti amministratore cluster | Allow | Sistema di gestione | Server cluster | UDP | 137 |
Consenti servizio cluster | Allow | Sistema di gestione | Server cluster | UDP | 3343 |
Consenti servizio cluster (obbligatorio durante un'operazione di join del server. |
Allow | Sistema di gestione | Server cluster | TCP | 3343 |
Consenti ICMPv4 e ICMPv6 per la convalida del cluster di failover |
Allow | Sistema di gestione | Server cluster | n/d | n/d |
Nota
Il sistema di gestione include qualsiasi computer da cui si prevede di amministrare il cluster, usando strumenti come Windows Admin Center, Windows PowerShell o System Center Virtual Machine Manager.
Hyper-V
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Hyper-V.
Regola | Azione | Source (Sorgente) | Destination | Servizio | Porte |
---|---|---|---|---|---|
Consenti la comunicazione del cluster | Allow | Sistema di gestione | Server Hyper-V | TCP | 445 |
Consenti mapper endpoint RPC e WMI | Allow | Sistema di gestione | Server Hyper-V | TCP | 135 |
Consenti connettività HTTP | Allow | Sistema di gestione | Server Hyper-V | TCP | 80 |
Consenti connettività HTTPS | Allow | Sistema di gestione | Server Hyper-V | TCP | 443 |
Consenti migrazione in tempo reale | Allow | Sistema di gestione | Server Hyper-V | TCP | 6600 |
Consenti servizio gestione macchine virtuali | Allow | Sistema di gestione | Server Hyper-V | TCP | 2179 |
Consenti allocazione dinamica della porta RPC | Allow | Sistema di gestione | Server Hyper-V | TCP | Minimo di 100 porte sopra la porta 5000 |
Nota
Aprire un intervallo di porte sopra la porta 5000 per consentire l'allocazione dinamica della porta RPC. Le porte inferiori a 5000 potrebbero essere già in uso da altre applicazioni e potrebbero causare conflitti con le applicazioni DCOM. L'esperienza precedente mostra che è necessario aprire almeno 100 porte, perché diversi servizi di sistema si basano su queste porte RPC per comunicare tra loro. Per altre informazioni, vedere Come configurare l'allocazione dinamica delle porte RPC per usare i firewall.
Replica di archiviazione (cluster esteso)
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Replica di archiviazione (cluster esteso).
Regola | Azione | Source (Sorgente) | Destination | Servizio | Porte |
---|---|---|---|---|---|
Consenti blocco messaggi server Protocollo (SMB) |
Allow | Server cluster estesi | Server cluster estesi | TCP | 445 |
Consenti Services-Management Web (WS-MAN) |
Allow | Server cluster estesi | Server cluster estesi | TCP | 5985 |
Consenti ICMPv4 e ICMPv6 (se si usa il Test-SRTopology Cmdlet di PowerShell) |
Allow | Server cluster estesi | Server cluster estesi | n/d | n/d |
Aggiornare Microsoft Defender firewall
Questa sezione illustra come configurare Microsoft Defender firewall per consentire agli indirizzi IP associati a un tag di servizio di connettersi al sistema operativo. Un tag di servizio rappresenta un gruppo di indirizzi IP da un determinato servizio di Azure. Microsoft gestisce gli indirizzi IP inclusi nel tag del servizio e aggiorna automaticamente il tag del servizio quando gli indirizzi IP cambiano per mantenere gli aggiornamenti al minimo. Per altre informazioni, vedere Tag del servizio di rete virtuale.
Scaricare il file JSON dalla risorsa seguente nel computer di destinazione che esegue il sistema operativo: Intervalli IP di Azure e Tag di servizio - Cloud pubblico.
Usare il comando di PowerShell seguente per aprire il file JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
Ottenere l'elenco degli intervalli di indirizzi IP per un tag di servizio specifico, ad esempio il tag di servizio "AzureResourceManager":
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
Importare l'elenco di indirizzi IP nel firewall aziendale esterno, se si usa un elenco elementi consentiti.
Creare una regola del firewall per ogni server nel cluster per consentire il traffico 443 (HTTPS) in uscita all'elenco di intervalli di indirizzi IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Passaggi successivi
Per ulteriori informazioni, vedere anche:
- Sezione Porte di Windows Firewall e WinRM 2.0 di Installazione e configurazione per Gestione remota Windows
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per