Azure Stack HCI のファイアウォール要件

適用対象: Azure Stack HCI バージョン 21H2 および 20H2

この記事では、Azure Stack HCI オペレーティング システム用にファイアウォールを構成する方法に関するガイダンスを提供します。 送信エンドポイントと内部規則およびポートのファイアウォール要件も記載されています。 この記事では、プロキシ サーバーの設定方法と、Azure サービス タグと Microsoft Defender ファイアウォールを併用する方法についても説明します。

送信エンドポイントのファイアウォール要件

組織のファイアウォールで送信ネットワーク トラフィック用にポート 443 を開くことで、オペレーティング システムが Azure および Microsoft Update に接続するための接続要件を満たします。 送信ファイアウォールが制限されている場合は、この記事の「推奨されるファイアウォール URL」セクションで説明している URL とポートを含めることをお勧めします。

Azure Stack HCI は、定期的に Azure に接続する必要があります。 アクセスは次にのみ制限されています。

  • 既知の Azure IP
  • 送信方向
  • ポート 443 (HTTPS)

この記事では、許可リストに含まれているものを除くすべての送信先へのすべてのトラフィックをブロックするために、頻繁にロックダウンされるファイアウォールの構成を必要に応じて使用する方法について説明します。

以下の図に示すように、Azure Stack HCI は複数のファイアウォールを使用して Azure にアクセスする可能性があります。

図は、ファイアウォールのポート 443 (HTTPS) を介してサービス タグ エンドポイントにアクセスする Azure Stack HCI を示しています。

次のセクションでは、クラスターの作成、登録と課金、Microsoft Update、クラウド クラスター監視など、Azure Stack HCI コア コンポーネントに必要な URL と推奨される URL の統合リストを示します。 [JSON] タブを使用して、URL をコピーして直接許可リストに貼り付けることができます。

以降のセクションでは、Azure Stack HCI コア コンポーネントのファイアウォール要件のその他の詳細と、その後に、追加の Azure サービスのファイアウォール要件 (省略可能) の説明が続きます。

必須のファイアウォール URL

このセクションでは、必須のファイアウォール URL の一覧を示します。 これらの URL は必ず許可リストに含めてください。

次の表に、必須のファイアウォール URL の一覧を示します。

URL Port Notes
https://login.microsoftonline.com (Azure Public)
https://login.chinacloudapi.cn/ (Azure China)
https://login.microsoftonline.us (Azure Gov)
443 Active Directory 機関向け。認証、トークンのフェッチ、検証に使用されます。 サービス タグ: AzureActiveDirectory。
https://graph.windows.net/ (Azure Public、Azure Gov)
https://graph.chinacloudapi.cn/ (Azure China)
443 Graph 用。認証、トークンのフェッチ、検証に使用されます。 サービス タグ: AzureActiveDirectory。
https://management.azure.com/ (Azure Public)
https://management.chinacloudapi.cn/ (Azure China)
https://management.usgovcloudapi.net/ (Azure Gov)
443 Resource Manager 用。登録目的でのクラスターの Azure への初期ブートストラップ時およびクラスターの登録解除に使用されます。 サービス タグ: AzureResourceManager。
https://dp.stackhci.azure.com/ (Azure Public)
https://dp.stackhci.azure.cn (Azure China)
https://dp.azurestackchi.azure.us (Azure Gov)
443 診断データをプッシュするデータプレーン用。ポータル パイプラインで使用し、課金データをプッシュします。

: Azure Public のデータプレーン URL が更新されました。 以前は、この URL は https://azurestackhci.azurefd.net. でした。 クラスターを古い URL に既に登録している場合は、古い URL も許可リストに登録する必要があります。

このセクションでは、推奨されるファイアウォール URL の一覧を示します。 送信ファイアウォールが制限されている場合には、このセクションで説明されている URL とポートを許可リストに含めることをお勧めします。

次の表に、推奨されるファイアウォール URL の一覧を示します。

URL Port Notes
http://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://go.microsoft.com
http://dl.delivery.mp.microsoft.com
80 Microsoft Update 用。OS が更新プログラムを受信できるようにします。
https://*.windowsupdate.microsoft.com
https://*.update.microsoft.com
https://download.microsoft.com
https://dl.delivery.mp.microsoft.com
443 Microsoft Update 用。OS が更新プログラムを受信できるようにします。
*.blob.core.windows.net または [myblobstorage].blob.core.windows.net 443 クラスター クラウド監視用。 クラスター監視としてクラウド監視を使用するため。
*.powershellgallery.com または https://www.powershellgallery.com/packages/Az.StackHCI のモジュールをインストール 443 クラスターの登録に必要な Az.StackHCI PowerShell モジュールを取得するため。

クラスターの作成

Windows Admin Center または PowerShell を使用して Azure Stack HCI クラスターを作成する場合は、その他のファイアウォール規則は必要ありません。

クラスターの登録と課金

クラスターの登録には、Azure Stack HCI オペレーティング システムに含まれていない Az.StackHCI PowerShell モジュールが必要です。 Windows Admin Center または PowerShell を使用する場合は、*.powershellgallery.com のブロックを解除するか、PowerShell ギャラリーから Az.StackHCI PowerShell モジュールを手動でダウンロードしてインストールする必要があります。

必要に応じて、登録のために Arc for Servers エージェントをダウンロードします。 これは必須ではありませんが、Azure portal からクラスターを管理したり、Arc サービスを使用したりするために推奨されます。 登録用の Arc for Servers エージェントをダウンロードするには、URL エンドポイントを許可リストに追加する必要があります。

Connected Machine エージェントを使用して物理サーバーまたは仮想マシンを Azure Arc 対応サーバーにオンボードするためのネットワーク要件については、「Connected Machine エージェントのネットワーク要件」を参照してください。

Microsoft Update

Azure Stack HCI オペレーティング システムとインターネットの間に企業ファイアウォールがある場合、オペレーティング システムが更新プログラムを取得できるようにそのファイアウォールを構成しなければならないことがあります。 Microsoft Update から更新プログラムを取得するために、オペレーティング システムは HTTPS プロトコルに対してポート 443 を使用します。 この種類のトラフィックは、ほとんどの企業ファイアウォールによって許可されていますが、企業の中には、セキュリティ ポリシーのためにインターネットへのアクセスを制限しているところもあります。 会社でアクセスを制限している場合は、「推奨されるファイアウォール URL」セクションで説明されている URL とポートを許可リストに含めることをお勧めします。

クラスター クラウド監視

これは省略可能です。 クラスター監視としてクラウド監視を使用する場合は、Azure BLOB コンテナー ([myblobstorage].blob.core.windows.net など) へのファイアウォール アクセスを許可する必要があります。

追加の Azure サービスのファイアウォール要件 (省略可能)

HCI で有効にする追加の Azure サービスによっては、追加のファイアウォール構成の変更が必要になる場合があります。 各 Azure サービスのファイアウォール要件については、次のリンクを参照してください。

内部の規則とポートのファイアウォール要件

サイト内およびサイト間 (ストレッチ クラスターの場合) の両方のすべてのサーバー ノード間で、適切なネットワーク ポートが開いていることを確認します。 ファイアウォールには、クラスター内のすべてのサーバー間で ICMP、SMB (ポート 445、および iWARP RDMA を使用する場合は SMB ダイレクト用のポート 5445)、WS-MAN (ポート 5985) の双方向トラフィックを許可する適切な規則が必要になります。

Windows Admin Center で [クラスターの作成] ウィザードを使用してクラスターを作成すると、クラスター内の各サーバーで、フェールオーバー クラスタリング、Hyper-V、記憶域レプリカ用の該当するファイアウォール ポートがウィザードによって自動的に開かれます。 各サーバーで異なるファイアウォールを使用している場合は、以降のセクションで説明されているポートを開きます。

Windows Admin Center

Windows Admin Center 用に、オンプレミスのファイアウォールで次のファイアウォール規則が構成されていることを確認します。

ルール アクション source 宛先 サービス Port
Azure と Microsoft Update へのアクセスを提供する Allow Windows Admin Center Azure Stack HCI TCP 445
Windows リモート管理 (WinRM) 2.0 を
HTTP 接続で使用してコマンドを実行する
(リモートの Windows サーバーで)
Allow Windows Admin Center Azure Stack HCI TCP 5985
WinRM 2.0 を HTTPS 接続で使用して
リモートの Windows サーバーでコマンドを実行する
Allow Windows Admin Center Azure Stack HCI TCP 5986

注意

Windows Admin Center のインストールの間に、設定 [Use WinRM over HTTPS only](WinRM over HTTPS のみを使用する) を選択した場合、ポート 5986 が必要になります。

フェールオーバー クラスタリング

フェールオーバー クラスタリング用に、オンプレミスのファイアウォールで次のファイアウォール規則が構成されていることを確認します。

ルール アクション source 宛先 サービス Port
フェールオーバー クラスター検証の許可 Allow 管理システム クラスター サーバー TCP 445
RPC の動的ポート割り当ての許可 Allow 管理システム クラスター サーバー TCP 少なくとも 100 個のポート
(ポート 5000 より上の範囲)
リモート プロシージャ コール (RPC) の許可 Allow 管理システム クラスター サーバー TCP 135
クラスター アドミニストレーターの許可 Allow 管理システム クラスター サーバー TCP 137
クラスター サービスの許可 Allow 管理システム クラスター サーバー UDP 3343
クラスター サービスの許可 (サーバーの
参加操作で必要)
Allow 管理システム クラスター サーバー TCP 3343
ICMPv4 および ICMPv6 の許可
(フェールオーバー クラスター検証のため)
Allow 管理システム クラスター サーバー 該当なし 該当なし

注意

管理システムには、Windows Admin Center、Windows PowerShell、System Center Virtual Machine Manager などのツールを使用したクラスターの管理を計画しているコンピューターが含まれています。

Hyper-V

Hyper-V 用に、オンプレミスのファイアウォールで次のファイアウォール規則が構成されていることを確認します。

ルール アクション source 宛先 サービス Port
クラスター通信の許可 Allow 管理システム Hyper-V サーバー TCP 445
RPC エンドポイント マッパーと WMI の許可 Allow 管理システム Hyper-V サーバー TCP 135
HTTP 接続の許可 Allow 管理システム Hyper-V サーバー TCP 80
HTTPS 接続の許可 Allow 管理システム Hyper-V サーバー TCP 443
ライブ マイグレーションの許可 Allow 管理システム Hyper-V サーバー TCP 6600
VM 管理サービスの許可 Allow 管理システム Hyper-V サーバー TCP 2179
RPC の動的ポート割り当ての許可 Allow 管理システム Hyper-V サーバー TCP 少なくとも 100 個のポート
(ポート 5000 より上の範囲)

注意

RPC の動的ポート割り当てを許可するために、ポート 5000 より上の範囲のポートを開きます。 5000 より下のポートは、他のアプリケーションで既に使用されている場合があり、DCOM アプリケーションとの競合が発生する可能性があります。 これまでの経験から、少なくとも 100 個のポートを開く必要があることが分かっています。複数のシステム サービスがこれらの RPC ポートに依存して、相互に通信しているためです。 詳細については、「ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法」を参照してください。

記録域レプリカ (ストレッチ クラスター)

記録域レプリカ (ストレッチ クラスター) 用に、オンプレミスのファイアウォールで次のファイアウォール規則が構成されていることを確認します。

ルール アクション source 宛先 サービス Port
サーバー メッセージ ブロック
(SMB) プロトコルの許可
Allow ストレッチ クラスター サーバー ストレッチ クラスター サーバー TCP 445
Web Services-Management の許可
(WS-MAN)
Allow ストレッチ クラスター サーバー ストレッチ クラスター サーバー TCP 5985
ICMPv4 および ICMPv6 の許可
(次を使用する場合: Test-SRTopology
PowerShell コマンドレット)
Allow ストレッチ クラスター サーバー ストレッチ クラスター サーバー 該当なし 該当なし

プロキシ サーバーを設定する

注意

Windows Admin Center のプロキシ設定と Azure Stack HCI のプロキシ設定は別です。 Azure Stack HCI のクラスター プロキシ設定を変更しても、Windows Admin Center の送信トラフィック (Azure への接続、拡張機能のダウンロードなど) には影響しません。 このセクションのコマンドを実行するには、WinInetProxy モジュールをインストールします。 モジュールの詳細とインストール方法については、「PowerShell ギャラリー | WinInetProxy 0.1.0」を参照してください。

Azure Stack HCI のプロキシ サーバーを設定するには、クラスターの各サーバーで次の PowerShell コマンドを管理者として実行します。

Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090

ProxySettingsPerUser0 フラグを使用して、プロキシ構成をユーザーごとではなくサーバー全体に適用します。これがデフォルトです。

プロキシ構成を削除するには、引数を指定せずに PowerShell コマンド Set-WinInetProxy を実行します。

プロキシ サーバーを構成する方法については、次の記事を参照してください。

Microsoft Defender ファイアウォールを更新する

このセクションでは、サービス タグに関連付けられた IP アドレスでオペレーティング システムに接続できるように Microsoft Defender ファイアウォールを構成する方法を示します。 "サービス タグ" は、指定された Azure サービスからの IP アドレスのグループを表します。 Microsoft では、サービス タグに含まれる IP アドレスを管理し、IP アドレスが変更されるとサービス タグを自動的に更新して更新を最小限に抑えるようにしています。 詳細については、「仮想ネットワーク サービス タグ」を参照してください。

  1. 次のリソースから、オペレーティング システムを実行しているターゲット コンピューターに JSON ファイルをダウンロードします: Azure IP 範囲とサービス タグ – パブリック クラウド

  2. 次の PowerShell コマンドを使用して JSON ファイルを開きます。

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. "AzureResourceManager" サービス タグなど、特定のサービス タグの IP アドレス範囲の一覧を取得します。

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. 許可リストを使用する場合は、外部の企業のファイアウォールに IP アドレスの一覧をインポートします。

  5. クラスター内の各サーバーに対してファイアウォール規則を作成し、IP アドレス範囲の一覧への送信 443 (HTTPS) トラフィックを許可します。

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

次のステップ

詳細については、次のトピックも参照してください。