Azure Stack HCI のファイアウォール要件
適用対象: Azure Stack HCI、バージョン 23H2、22H2、21H2
この記事では、Azure Stack HCI オペレーティング システム用にファイアウォールを構成する方法に関するガイダンスを提供します。 送信エンドポイントと内部規則およびポートのファイアウォール要件も記載されています。 また、この記事では、Microsoft Defender ファイアウォールで Azure サービス タグを使用する方法についても説明します。
ネットワークでインターネット アクセスにプロキシ サーバーを使用している場合は、「 Azure Stack HCI のプロキシ設定を構成する」を参照してください。
送信エンドポイントのファイアウォール要件
組織のファイアウォールで送信ネットワーク トラフィック用にポート 443 を開くことで、オペレーティング システムが Azure および Microsoft Update に接続するための接続要件を満たします。 送信ファイアウォールが制限されている場合は、この記事の「推奨されるファイアウォール URL」セクションで説明している URL とポートを含めることをお勧めします。
Azure Stack HCI は、定期的に Azure に接続する必要があります。 アクセスは次にのみ制限されています。
- 既知の Azure IP
- 送信方向
- ポート 443 (HTTPS)
重要
Azure Stack HCI では、HTTPS 検査はサポートされていません。 接続エラーを防ぐために、Azure Stack HCI のネットワーク パスに沿って HTTPS 検査が無効になっていることを確認します。
以下の図に示すように、Azure Stack HCI は複数のファイアウォールを使用して Azure にアクセスする可能性があります。
この記事では、許可リストに含まれているものを除くすべての送信先へのすべてのトラフィックをブロックするために、頻繁にロックダウンされるファイアウォールの構成を必要に応じて使用する方法について説明します。
必須のファイアウォール URL
次の表に、必須のファイアウォール URL の一覧を示します。 これらの URL は必ず許可リストに含めてください。
注意
Azure Stack HCI ファイアウォール規則は、HciSvc 接続に必要な最小エンドポイントであり、ワイルドカードは含まれません。 ただし、現在、次の表にはワイルドカード URL が含まれており、将来正確なエンドポイントに更新される可能性があります。
| サービス | URL | Port | Notes |
|---|---|---|---|
| Azure Stack HCI 更新ダウンロード | fe3.delivery.mp.microsoft.com | 443 | Azure Stack HCI バージョン 23H2 を更新する場合。 |
| Azure Stack HCI 更新ダウンロード | tlu.dl.delivery.mp.microsoft.com | 80 | Azure Stack HCI バージョン 23H2 を更新する場合。 |
| Azure Stack HCI | login.microsoftonline.com | 443 | Active Directory 機関向け。認証、トークンのフェッチ、検証に使用されます。 |
| Azure Stack HCI | graph.windows.net | 443 | Graph 用。認証、トークンのフェッチ、検証に使用されます。 |
| Azure Stack HCI | management.azure.com | 443 | Resource Manager 用。登録目的でのクラスターの Azure への初期ブートストラップ時およびクラスターの登録解除に使用されます。 |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | 診断データをプッシュするデータプレーン用。ポータル パイプラインで使用し、課金データをプッシュします。 |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Dataplane の以前の URL。 この URL は最近変更されました。この古い URL を使用してクラスターを登録したお客様も許可リストに登録する必要があります。 |
| Arc For Servers | aka.ms | 443 | インストール中にダウンロード スクリプトを解決するため。 |
| Arc For Servers | download.microsoft.com | 443 | Windows インストール パッケージをダウンロードする場合。 |
| Arc For Servers | login.windows.net | 443 | Microsoft Entra ID の場合 |
| Arc For Servers | login.microsoftonline.com | 443 | Microsoft Entra ID の場合 |
| Arc For Servers | pas.windows.net | 443 | Microsoft Entra ID の場合 |
| Arc For Servers | management.azure.com | 443 | Azure Resource Managerで Arc Server リソースを作成または削除する場合 |
| Arc For Servers | guestnotificationservice.azure.com | 443 | 拡張機能と接続のシナリオの通知サービスの場合 |
| Arc For Servers | *.his.arc.azure.com | 443 | メタデータとハイブリッド ID サービスの場合 |
| Arc For Servers | *.guestconfiguration.azure.com | 443 | 拡張機能管理とゲスト構成サービスの場合 |
| Arc For Servers | *.guestnotificationservice.azure.com | 443 | 拡張機能と接続のシナリオの通知サービスの場合 |
| Arc For Servers | azgn*.servicebus.windows.net | 443 | 拡張機能と接続のシナリオの通知サービスの場合 |
| Arc For Servers | *.servicebus.windows.net | 443 | Windows Admin Center と SSH のシナリオの場合 |
| Arc For Servers | *.waconazure.com | 443 | Windows Admin Center接続の場合 |
| Arc For Servers | *.blob.core.windows.net | 443 | Azure Arc 対応サーバー拡張機能のダウンロード ソース |
すべてのファイアウォール URL の包括的な一覧については、 ファイアウォール URL スプレッドシートをダウンロードします。
推奨されるファイアウォール URL
次の表に、推奨されるファイアウォール URL の一覧を示します。 送信ファイアウォールが制限されている場合には、このセクションで説明されている URL とポートを許可リストに含めることをお勧めします。
注意
Azure Stack HCI ファイアウォール規則は、HciSvc 接続に必要な最小エンドポイントであり、ワイルドカードは含まれません。 ただし、現在、次の表にはワイルドカード URL が含まれており、将来正確なエンドポイントに更新される可能性があります。
| サービス | URL | Port | Notes |
|---|---|---|---|
| Azure Stack HCI での Azure 特典 | crl3.digicert.com | 80 | Azure Stack HCI 上のプラットフォーム構成証明サービスが証明書失効リストチェックを実行して、VM が実際に Azure 環境で実行されていることを保証できるようにします。 |
| Azure Stack HCI での Azure 特典 | crl4.digicert.com | 80 | Azure Stack HCI 上のプラットフォーム構成証明サービスが証明書失効リストチェックを実行して、VM が実際に Azure 環境で実行されていることを保証できるようにします。 |
| Azure Stack HCI | *.powershellgallery.com | 443 | クラスターの登録に必要な Az.StackHCI PowerShell モジュールを取得するため。 または、PowerShell ギャラリーから Az.StackHCI PowerShell モジュールを手動でダウンロードしてインストールすることもできます。 |
| クラスター クラウド監視 | *.blob.core.windows.net | 443 | Azure BLOB コンテナーへのファイアウォール アクセスの場合、クラスター監視としてクラウド監視を使用することを選択した場合は省略可能です。 |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | download.windowsupdate.com | 80 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | *.download.windowsupdate.com | 80 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | download.microsoft.com | 443 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | wustat.windows.com | 80 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | go.microsoft.com | 80 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80、443 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | *.delivery.mp.microsoft.com | 80、443 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | *.windowsupdate.microsoft.com | 80、443 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | *.windowsupdate.com | 80 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
| Microsoft Update | *.update.microsoft.com | 80、443 | Microsoft Update 用。OS が更新プログラムを受信できるようにします。 |
追加の Azure サービスのファイアウォール要件
HCI で有効にする追加の Azure サービスによっては、追加のファイアウォール構成の変更が必要になる場合があります。 各 Azure サービスのファイアウォール要件については、次のリンクを参照してください。
- Azure Stack HCI 上の AKS
- Azure Arc 対応サーバー
- Azure Arc VM の管理
- Azure Monitor エージェント
- Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) と Log Analytics エージェント
- Qualys
- リモート サポート
- Windows Admin Center
- Azure portalのWindows Admin Center
内部の規則とポートのファイアウォール要件
サイト内およびサイト間 (ストレッチ クラスターの場合) の両方のすべてのサーバー ノード間で、適切なネットワーク ポートが開いていることを確認します。 ファイアウォールには、クラスター内のすべてのサーバー間で ICMP、SMB (ポート 445、および iWARP RDMA を使用する場合は SMB ダイレクト用のポート 5445)、WS-MAN (ポート 5985) の双方向トラフィックを許可する適切な規則が必要になります。
Windows Admin Center で [クラスターの作成] ウィザードを使用してクラスターを作成すると、クラスター内の各サーバーで、フェールオーバー クラスタリング、Hyper-V、記憶域レプリカ用の該当するファイアウォール ポートがウィザードによって自動的に開かれます。 各サーバーで異なるファイアウォールを使用している場合は、以降のセクションで説明されているポートを開きます。
Azure Stack HCI OS の管理
ライセンスや課金など、Azure Stack HCI OS 管理用のオンプレミス ファイアウォールで次のファイアウォール規則が構成されていることを確認します。
| ルール | アクション | source | 宛先 | サービス | Port |
|---|---|---|---|---|---|
| クラスター サーバー上の Azure Stack HCI サービスとの間の受信/送信トラフィックを許可する | Allow | クラスター サーバー | クラスター サーバー | TCP | 30301 |
Windows Admin Center
Windows Admin Center 用に、オンプレミスのファイアウォールで次のファイアウォール規則が構成されていることを確認します。
| ルール | アクション | source | 宛先 | サービス | Port |
|---|---|---|---|---|---|
| Azure と Microsoft Update へのアクセスを提供する | Allow | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Windows リモート管理 (WinRM) 2.0 を HTTP 接続で使用してコマンドを実行する (リモートの Windows サーバーで) |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| WinRM 2.0 を HTTPS 接続で使用して リモートの Windows サーバーでコマンドを実行する |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
注意
Windows Admin Center のインストールの間に、設定 [Use WinRM over HTTPS only](WinRM over HTTPS のみを使用する) を選択した場合、ポート 5986 が必要になります。
フェールオーバー クラスタリング
フェールオーバー クラスタリング用に、オンプレミスのファイアウォールで次のファイアウォール規則が構成されていることを確認します。
| ルール | アクション | source | 宛先 | サービス | Port |
|---|---|---|---|---|---|
| フェールオーバー クラスター検証の許可 | Allow | 管理システム | クラスター サーバー | TCP | 445 |
| RPC の動的ポート割り当ての許可 | Allow | 管理システム | クラスター サーバー | TCP | 少なくとも 100 個のポート (ポート 5000 より上の範囲) |
| リモート プロシージャ コール (RPC) の許可 | Allow | 管理システム | クラスター サーバー | TCP | 135 |
| クラスター アドミニストレーターの許可 | Allow | 管理システム | クラスター サーバー | UDP | 137 |
| クラスター サービスの許可 | Allow | 管理システム | クラスター サーバー | UDP | 3343 |
| クラスター サービスの許可 (サーバーの 参加操作で必要) |
Allow | 管理システム | クラスター サーバー | TCP | 3343 |
| ICMPv4 および ICMPv6 の許可 (フェールオーバー クラスター検証のため) |
Allow | 管理システム | クラスター サーバー | 該当なし | 該当なし |
注意
管理システムには、Windows Admin Center、Windows PowerShell、System Center Virtual Machine Manager などのツールを使用したクラスターの管理を計画しているコンピューターが含まれています。
Hyper-V
Hyper-V 用に、オンプレミスのファイアウォールで次のファイアウォール規則が構成されていることを確認します。
| ルール | アクション | source | 宛先 | サービス | Port |
|---|---|---|---|---|---|
| クラスター通信の許可 | Allow | 管理システム | Hyper-V サーバー | TCP | 445 |
| RPC エンドポイント マッパーと WMI の許可 | Allow | 管理システム | Hyper-V サーバー | TCP | 135 |
| HTTP 接続の許可 | Allow | 管理システム | Hyper-V サーバー | TCP | 80 |
| HTTPS 接続の許可 | Allow | 管理システム | Hyper-V サーバー | TCP | 443 |
| ライブ マイグレーションの許可 | Allow | 管理システム | Hyper-V サーバー | TCP | 6600 |
| VM 管理サービスの許可 | Allow | 管理システム | Hyper-V サーバー | TCP | 2179 |
| RPC の動的ポート割り当ての許可 | Allow | 管理システム | Hyper-V サーバー | TCP | 少なくとも 100 個のポート (ポート 5000 より上の範囲) |
注意
RPC の動的ポート割り当てを許可するために、ポート 5000 より上の範囲のポートを開きます。 5000 より下のポートは、他のアプリケーションで既に使用されている場合があり、DCOM アプリケーションとの競合が発生する可能性があります。 これまでの経験から、少なくとも 100 個のポートを開く必要があることが分かっています。複数のシステム サービスがこれらの RPC ポートに依存して、相互に通信しているためです。 詳細については、「ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法」を参照してください。
記録域レプリカ (ストレッチ クラスター)
記録域レプリカ (ストレッチ クラスター) 用に、オンプレミスのファイアウォールで次のファイアウォール規則が構成されていることを確認します。
| ルール | アクション | source | 宛先 | サービス | Port |
|---|---|---|---|---|---|
| サーバー メッセージ ブロック (SMB) プロトコルの許可 |
Allow | ストレッチ クラスター サーバー | ストレッチ クラスター サーバー | TCP | 445 |
| Web Services-Management の許可 (WS-MAN) |
Allow | ストレッチ クラスター サーバー | ストレッチ クラスター サーバー | TCP | 5985 |
| ICMPv4 および ICMPv6 の許可 (次を使用する場合: Test-SRTopologyPowerShell コマンドレット) |
Allow | ストレッチ クラスター サーバー | ストレッチ クラスター サーバー | 該当なし | 該当なし |
Microsoft Defender ファイアウォールを更新する
このセクションでは、サービス タグに関連付けられた IP アドレスでオペレーティング システムに接続できるように Microsoft Defender ファイアウォールを構成する方法を示します。 "サービス タグ" は、指定された Azure サービスからの IP アドレスのグループを表します。 Microsoft では、サービス タグに含まれる IP アドレスを管理し、IP アドレスが変更されるとサービス タグを自動的に更新して更新を最小限に抑えるようにしています。 詳細については、「仮想ネットワーク サービス タグ」を参照してください。
次のリソースから、オペレーティング システムを実行しているターゲット コンピューターに JSON ファイルをダウンロードします: Azure IP 範囲とサービス タグ – パブリック クラウド。
次の PowerShell コマンドを使用して JSON ファイルを開きます。
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json"AzureResourceManager" サービス タグなど、特定のサービス タグの IP アドレス範囲の一覧を取得します。
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes許可リストを使用する場合は、外部の企業のファイアウォールに IP アドレスの一覧をインポートします。
クラスター内の各サーバーに対してファイアウォール規則を作成し、IP アドレス範囲の一覧への送信 443 (HTTPS) トラフィックを許可します。
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
次のステップ
詳細については、次のトピックも参照してください。
- 「Windows リモート管理のインストールと構成」の「Windows ファイアウォールと WinRM 2.0 のポート」セクション