Requisiti del firewall per Azure Stack HCI

Si applica a: Azure Stack HCI, versioni 21H2 e 20H2

Questo articolo fornisce indicazioni su come configurare i firewall per il sistema operativo Azure Stack HCI. Include i requisiti del firewall per gli endpoint in uscita e le regole e le porte interne. L'articolo fornisce anche informazioni su come configurare un server proxy e su come usare i tag di servizio di Azure con Microsoft Defender firewall.

Requisiti del firewall per gli endpoint in uscita

L'apertura della porta 443 per il traffico di rete in uscita nel firewall dell'organizzazione soddisfa i requisiti di connettività per il sistema operativo da connettere con Azure e Microsoft Update. Se il firewall in uscita è limitato, è consigliabile includere gli URL e le porte descritti nella sezione URL del firewall consigliati di questo articolo.

Azure Stack HCI deve connettersi periodicamente ad Azure. L'accesso è limitato solo a:

  • Indirizzi IP di Azure noti
  • Direzione in uscita
  • Porta 443 (HTTPS)

Questo articolo descrive come usare facoltativamente una configurazione del firewall altamente bloccata per bloccare tutto il traffico a tutte le destinazioni, ad eccezione di quelle incluse nell'elenco consentito.

Come illustrato nel diagramma seguente, Azure Stack HCI accede ad Azure usando più firewall potenzialmente.

Diagramma che mostra Azure Stack HCI che accede agli endpoint dei tag di servizio tramite la porta 443 (HTTPS) dei firewall.

Le sezioni seguenti forniscono elenchi consolidati di URL obbligatori e consigliati per i componenti di base di Azure Stack HCI, che includono la creazione del cluster, la registrazione e la fatturazione, Microsoft Update e il server di controllo del cluster cloud. È possibile usare la scheda JSON per copiare e incollare direttamente gli URL nell'elenco allowlist.

Le sezioni successive forniscono altri dettagli sui requisiti del firewall dei componenti core di Azure Stack HCI, seguiti dai requisiti del firewall per altri servizi di Azure (facoltativo).

URL del firewall necessari

In questa sezione viene fornito un elenco di URL del firewall necessari. Assicurarsi di includere questi URL all'elenco allowlist.

La tabella seguente fornisce un elenco di URL del firewall necessari.

URL Porta Note
https://login.microsoftonline.com (Pubblico di Azure)
https://login.chinacloudapi.cn/ (Azure Cina)
https://login.microsoftonline.us (Azure Gov)
443 Per l'autorità di Active Directory e usata per l'autenticazione, il recupero dei token e la convalida. Tag del servizio: AzureActiveDirectory.
https://graph.windows.net/ (Azure Public, Azure Gov)
https://graph.chinacloudapi.cn/ (Azure Cina)
443 Per Graph e usato per l'autenticazione, il recupero del token e la convalida. Tag del servizio: AzureActiveDirectory.
https://management.azure.com/ (Pubblico di Azure)
https://management.chinacloudapi.cn/ (Azure Cina)
https://management.usgovcloudapi.net/ (Azure Gov)
443 Per Resource Manager e usati durante l'avvio iniziale del cluster in Azure per scopi di registrazione e per annullare la registrazione del cluster. Tag del servizio: AzureResourceManager.
https://dp.stackhci.azure.com/ (Pubblico di Azure)
https://dp.stackhci.azure.cn (Azure Cina)
https://dp.azurestackchi.azure.us (Azure Gov)
443 Per Dataplane che esegue il push dei dati di diagnostica e usati nella pipeline del portale e esegue il push dei dati di fatturazione.

Nota: l'URL di Dataplane per Azure Public è stato aggiornato. In precedenza, questo URL era: https://azurestackhci.azurefd.net. Se il cluster è già stato registrato con l'URL precedente, è necessario consentire anche l'URL precedente.

In questa sezione viene fornito un elenco di URL del firewall consigliati. Se il firewall in uscita è limitato, è consigliabile includere gli URL e le porte descritte in questa sezione all'elenco consentito.

La tabella seguente fornisce un elenco di URL del firewall consigliati.

URL Porta Note
http://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://go.microsoft.com
http://dl.delivery.mp.microsoft.com
80 Per Microsoft Update, che consente al sistema operativo di ricevere aggiornamenti.
https://*.windowsupdate.microsoft.com
https://*.update.microsoft.com
https://download.microsoft.com
https://dl.delivery.mp.microsoft.com
443 Per Microsoft Update, che consente al sistema operativo di ricevere aggiornamenti.
*.blob.core.windows.net OR [myblobstorage].blob.core.windows.net 443 Per Server di controllo cloud del cluster. Per usare un server di controllo cloud come server di controllo del cluster.
*.powershellgallery.com modulo di installazione OR in https://www.powershellgallery.com/packages/Az.StackHCI 443 Per ottenere il modulo Az.StackHCI PowerShell, necessario per la registrazione del cluster.

Creazione del cluster

Non sono necessarie altre regole del firewall se si usa Windows Admin Center o PowerShell per creare il cluster Azure Stack HCI.

Registrazione e fatturazione del cluster

La registrazione del cluster richiede il modulo Az.StackHCI PowerShell, che non è incluso nel sistema operativo Azure Stack HCI. Se si usa Windows Admin Center o PowerShell, è necessario sbloccare *.powershellgallery.com o scaricare e installare manualmente il modulo Az.StackHCI PowerShell da PowerShell Gallery.

Facoltativamente, scaricare l'agente Arc for Server per la registrazione. Non è necessario, ma è consigliabile gestire il cluster dal portale di Azure o usare i servizi Arc. È necessario consentire l'elenco degli endpoint URL per scaricare l'agente Arc for Server per la registrazione.

Per informazioni sui requisiti di rete per l'uso dell'agente macchina connessa per eseguire l'onboarding di un server fisico o di una macchina virtuale nei server abilitati per Azure Arc, vedere Requisiti di rete dell'agente macchina connessa.

Microsoft Update

Se è presente un firewall aziendale tra il sistema operativo Azure Stack HCI e Internet, potrebbe essere necessario configurare tale firewall per garantire che il sistema operativo possa ottenere aggiornamenti. Per ottenere aggiornamenti da Microsoft Update, il sistema operativo usa la porta 443 per il protocollo HTTPS. Anche se la maggior parte dei firewall aziendali consente questo tipo di traffico, alcune aziende limitano l'accesso a Internet a causa dei loro criteri di sicurezza. Se l'azienda limita l'accesso, è consigliabile includere gli URL e le porte descritti nella sezione URL del firewall consigliati all'elenco di consenti.

Server di controllo cloud del cluster

Questo indirizzo è facoltativo. Se si sceglie di usare un server di controllo cloud come server di controllo del cluster, è necessario consentire l'accesso del firewall al contenitore BLOB di Azure, ad esempio [myblobstorage].blob.core.windows.net.

Requisiti del firewall per servizi di Azure aggiuntivi (facoltativo)

A seconda dei servizi di Azure aggiuntivi abilitati in HCI, potrebbe essere necessario apportare modifiche aggiuntive alla configurazione del firewall. Per informazioni sui requisiti del firewall per ogni servizio di Azure, vedere i collegamenti seguenti.

Requisiti del firewall per regole e porte interne

Assicurarsi che le porte di rete appropriate siano aperte tra tutti i nodi del server sia all'interno di un sito che tra i siti (per i cluster estesi). Sono necessarie regole del firewall appropriate per consentire ICMP, SMB (porta 445, oltre alla porta 5445 per SMB Direct se si usa iWARP RDMA) e WS-MAN (porta 5985) traffico bidirezionale tra tutti i server nel cluster.

Quando si usa la Creazione guidata cluster in Windows Admin Center per creare il cluster, la procedura guidata apre automaticamente le porte firewall appropriate in ogni server nel cluster per clustering di failover, Hyper-V e Replica di archiviazione. Se si usa un firewall diverso in ogni server, aprire le porte come descritto nelle sezioni seguenti:

Windows Admin Center

Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Windows Admin Center.

Regola Azione Source (Sorgente) Destination Servizio Porte
Fornire l'accesso ad Azure e Microsoft Update Allow Windows Admin Center Azure Stack HCI TCP 445
Usare Gestione remota Windows (WinRM) 2.0
per le connessioni HTTP da eseguire i comandi
nei server Windows remoti
Allow Windows Admin Center Azure Stack HCI TCP 5985
Usare WinRM 2.0 per le connessioni HTTPS da eseguire
comandi nei server Windows remoti
Allow Windows Admin Center Azure Stack HCI TCP 5986

Nota

Durante l'installazione di Windows Admin Center, se si seleziona l'impostazione Usa WinRM su HTTPS, è necessaria la porta 5986.

Clustering di failover

Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per il clustering di failover.

Regola Azione Source (Sorgente) Destination Servizio Porte
Consenti convalida del cluster di failover Allow Sistema di gestione Server cluster TCP 445
Consenti allocazione dinamica della porta RPC Allow Sistema di gestione Server cluster TCP Minimo di 100 porte
sopra la porta 5000
Consenti chiamata alla procedura remota (RPC) Allow Sistema di gestione Server cluster TCP 135
Consenti amministratore cluster Allow Sistema di gestione Server cluster TCP 137
Consenti servizio cluster Allow Sistema di gestione Server cluster UDP 3343
Consenti servizio cluster (obbligatorio durante
un'operazione di join del server.
Allow Sistema di gestione Server cluster TCP 3343
Consenti ICMPv4 e ICMPv6
per la convalida del cluster di failover
Allow Sistema di gestione Server del cluster n/d n/d

Nota

Il sistema di gestione include qualsiasi computer da cui si prevede di amministrare il cluster, usando strumenti come Windows Admin Center, Windows PowerShell o System Center Virtual Machine Manager.

Hyper-V

Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Hyper-V.

Regola Azione Source (Sorgente) Destination Servizio Porte
Consenti comunicazione cluster Allow Sistema di gestione Server Hyper-V TCP 445
Consenti mapper endpoint RPC e WMI Allow Sistema di gestione Server Hyper-V TCP 135
Consenti connettività HTTP Allow Sistema di gestione Server Hyper-V TCP 80
Consenti connettività HTTPS Allow Sistema di gestione Server Hyper-V TCP 443
Consenti migrazione in tempo reale Allow Sistema di gestione Server Hyper-V TCP 6600
Consenti servizio di gestione delle macchine virtuali Allow Sistema di gestione Server Hyper-V TCP 2179
Consenti allocazione di porte dinamiche RPC Allow Sistema di gestione Server Hyper-V TCP Minimo 100 porte
sopra la porta 5000

Nota

Aprire un intervallo di porte sopra la porta 5000 per consentire l'allocazione di porte dinamiche RPC. Le porte inferiori a 5000 potrebbero essere già in uso da altre applicazioni e potrebbero causare conflitti con le applicazioni DCOM. L'esperienza precedente mostra che devono essere aperte almeno 100 porte, perché diversi servizi di sistema si basano su queste porte RPC per comunicare tra loro. Per altre informazioni, vedere Come configurare l'allocazione di porte dinamiche RPC per l'uso con i firewall.

Replica di archiviazione (cluster esteso)

Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Replica archiviazione (cluster esteso).

Regola Azione Source (Sorgente) Destination Servizio Porte
Consenti blocco messaggi server
Protocollo (SMB)
Allow Server cluster estesi Server cluster estesi TCP 445
Consenti Services-Management Web
(WS-MAN)
Allow Server cluster estesi Server cluster estesi TCP 5985
Consenti ICMPv4 e ICMPv6
(se si usa il Test-SRTopology
Cmdlet di PowerShell)
Allow Server cluster estesi Server cluster estesi n/d n/d

Configurare un server proxy

Nota

Windows Admin Center impostazioni proxy e impostazioni proxy di Azure Stack HCI sono separate. La modifica delle impostazioni del proxy del cluster Azure Stack HCI non influisce sul traffico in uscita Windows Admin Center, ad esempio la connessione ad Azure, il download delle estensioni e così via. Installare il modulo WinInetProxy per eseguire i comandi in questa sezione. Per informazioni sul modulo e su come installarlo, vedere PowerShell Gallery | WinInetProxy 0.1.0.

Per configurare un server proxy per Azure Stack HCI, eseguire il comando di PowerShell seguente come amministratore in ogni server del cluster:

Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090

Usare il ProxySettingsPerUser0 flag per rendere il server di configurazione proxy a livello di server anziché per utente, ovvero l'impostazione predefinita.

Per rimuovere la configurazione del proxy, eseguire il comando Set-WinInetProxy di PowerShell senza argomenti.

Per informazioni su come configurare i server proxy, vedere gli articoli seguenti:

Aggiornare il firewall di Microsoft Defender

Questa sezione illustra come configurare il firewall di Microsoft Defender per consentire agli indirizzi IP associati a un tag di servizio di connettersi al sistema operativo. Un tag di servizio rappresenta un gruppo di indirizzi IP da un determinato servizio di Azure. Microsoft gestisce gli indirizzi IP inclusi nel tag di servizio e aggiorna automaticamente il tag di servizio come indirizzi IP cambiano per mantenere gli aggiornamenti al minimo. Per altre informazioni, vedere Tag del servizio di rete virtuale.

  1. Scaricare il file JSON dalla risorsa seguente al computer di destinazione che esegue il sistema operativo: Intervalli IP di Azure e Tag di servizio - Cloud pubblico.

  2. Usare il comando di PowerShell seguente per aprire il file JSON:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Ottenere l'elenco degli intervalli di indirizzi IP per un tag di servizio specificato, ad esempio il tag di servizio "AzureResourceManager":

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importare l'elenco di indirizzi IP nel firewall aziendale esterno, se si usa un elenco consentito.

  5. Creare una regola del firewall per ogni server nel cluster per consentire il traffico in uscita 443 (HTTPS) all'elenco degli intervalli di indirizzi IP:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Passaggi successivi

Per ulteriori informazioni, vedere anche: