Azure Stack HCI에 대한 방화벽 요구 사항
적용 대상: Azure Stack HCI, 버전 23H2 및 22H2
이 문서에서는 Azure Stack HCI 운영 체제에 대한 방화벽을 구성하는 방법에 대한 지침을 제공합니다. 여기에는 아웃바운드 엔드포인트 및 내부 규칙 및 포트에 대한 방화벽 요구 사항이 포함됩니다. 또한 이 문서에서는 Microsoft Defender 방화벽에서 Azure 서비스 태그를 사용하는 방법에 대한 정보를 제공합니다.
네트워크에서 인터넷 액세스를 위해 프록시 서버를 사용하는 경우 Azure Stack HCI에 대한 프록시 설정 구성을 참조하세요.
중요
Azure Private Link Azure Stack HCI, 버전 23H2 또는 해당 구성 요소에 대해 지원되지 않습니다.
아웃바운드 엔드포인트에 대한 방화벽 요구 사항
organization 방화벽에서 아웃바운드 네트워크 트래픽에 대한 포트 443을 여는 것은 운영 체제가 Azure 및 Microsoft Update에 연결하기 위한 연결 요구 사항을 충족합니다. 아웃바운드 방화벽이 제한된 경우 이 문서의 권장 방화벽 URL 섹션에 설명된 URL 및 포트를 포함하는 것이 좋습니다.
Azure Stack HCI는 주기적으로 Azure에 연결해야 합니다. 액세스는 다음으로만 제한됩니다.
- 잘 알려진 Azure IP
- 아웃바운드 방향
- 포트 443(HTTPS)
중요
Azure Stack HCI는 HTTPS 검사를 지원하지 않습니다. 연결 오류를 방지하기 위해 Azure Stack HCI에 대한 네트워킹 경로를 따라 HTTPS 검사를 사용하지 않도록 설정해야 합니다.
다음 다이어그램과 같이 Azure Stack HCI는 잠재적으로 둘 이상의 방화벽을 사용하여 Azure에 액세스합니다.
이 문서에서는 선택적으로 매우 잠긴 방화벽 구성을 사용하여 허용 목록에 포함된 트래픽을 제외한 모든 대상에 대한 모든 트래픽을 차단하는 방법을 설명합니다.
필수 방화벽 URL
다음 표에서는 필수 방화벽 URL 목록을 제공합니다. 이러한 URL을 허용 목록에 포함해야 합니다.
또한 Azure Stack HCI의 AKS에 필요한 방화벽 요구 사항을 따르세요.
참고
Azure Stack HCI 방화벽 규칙은 HciSvc 연결에 필요한 최소 엔드포인트이며 와일드카드를 포함하지 않습니다. 그러나 다음 표에는 현재 와일드카드 URL이 포함되어 있으며 나중에 정확한 엔드포인트로 업데이트될 수 있습니다.
| 서비스 | URL | 포트 | 메모 |
|---|---|---|---|
| Azure Stack HCI 업데이트 다운로드 | fe3.delivery.mp.microsoft.com | 443 | Azure Stack HCI 버전 23H2를 업데이트합니다. |
| Azure Stack HCI 업데이트 다운로드 | tlu.dl.delivery.mp.microsoft.com | 80 | Azure Stack HCI 버전 23H2를 업데이트합니다. |
| Azure Stack HCI 업데이트 검색 | aka.ms | 443 | 주소를 확인하여 Azure Stack HCI, 버전 23H2 및 솔루션 빌더 확장을 검색하려면 업데이트. |
| Azure Stack HCI 업데이트 검색 | redirectiontool.trafficmanager.net | 443 | aka.ms 리디렉션 링크에 대한 사용량 현황 데이터 추적을 구현하는 기본 서비스입니다. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Active Directory 기관 및 인증, 토큰 페치 및 유효성 검사에 사용됩니다. |
| Azure Stack HCI | graph.windows.net | 443 | Graph의 경우 인증, 토큰 가져오기 및 유효성 검사에 사용됩니다. |
| Azure Stack HCI | management.azure.com | 443 | 등록 목적 및 클러스터 등록 취소를 위해 클러스터를 Azure로 초기 부트스트랩하는 동안 사용되는 Resource Manager. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | 진단 데이터를 푸시하고 Azure Portal 파이프라인에서 사용하고 청구 데이터를 푸시하는 데이터 평면의 경우 |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | 라이선스 및 경고 및 청구 데이터 푸시에 사용되는 데이터 평면의 경우 Azure Stack HCI 버전 23H2에만 필요합니다. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | 데이터 평면의 이전 URL입니다. 이 URL이 최근에 변경되었습니다. 이 이전 URL을 사용하여 클러스터를 등록한 고객도 허용 목록을 지정해야 합니다. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Azure Stack HCI의 Arc VM 컨테이너 레지스트리. Azure Stack HCI 버전 23H2에만 필요합니다. |
| 서버용 Arc | aka.ms | 443 | 설치하는 동안 다운로드 스크립트를 확인합니다. |
| 서버용 Arc | download.microsoft.com | 443 | Windows 설치 패키지를 다운로드하는 경우 |
| 서버용 Arc | login.windows.net | 443 | Microsoft Entra ID |
| 서버용 Arc | login.microsoftonline.com | 443 | Microsoft Entra ID |
| 서버용 Arc | pas.windows.net | 443 | Microsoft Entra ID |
| 서버용 Arc | management.azure.com | 443 | Azure Resource Manager Arc Server 리소스를 만들거나 삭제하는 경우 |
| 서버용 Arc | guestnotificationservice.azure.com | 443 | 확장 및 연결 시나리오에 대한 알림 서비스의 경우 |
| 서버용 Arc | *.his.arc.azure.com | 443 | 메타데이터 및 하이브리드 ID 서비스의 경우 |
| 서버용 Arc | *.guestconfiguration.azure.com | 443 | 확장 관리 및 게스트 구성 서비스의 경우 |
| 서버용 Arc | *.guestnotificationservice.azure.com | 443 | 확장 및 연결 시나리오에 대한 알림 서비스 |
| 서버용 Arc | azgn*.servicebus.windows.net | 443 | 확장 및 연결 시나리오에 대한 알림 서비스 |
| 서버용 Arc | \*.servicebus.windows.net | 443 | Windows Admin Center 및 SSH 시나리오의 경우 |
| 서버용 Arc | *.waconazure.com | 443 | Windows Admin Center 연결의 경우 |
| 서버용 Arc | \*.blob.core.windows.net | 443 | Azure Arc 지원 서버 확장에 대한 다운로드 원본의 경우 |
모든 방화벽 URL의 포괄적인 목록을 보려면 방화벽 URL 스프레드시트를 다운로드합니다.
권장 방화벽 URL
다음 표에서는 권장되는 방화벽 URL 목록을 제공합니다. 아웃바운드 방화벽이 제한된 경우 이 섹션에 설명된 URL 및 포트를 허용 목록에 포함하는 것이 좋습니다.
참고
Azure Stack HCI 방화벽 규칙은 HciSvc 연결에 필요한 최소 엔드포인트이며 와일드카드를 포함하지 않습니다. 그러나 다음 표에는 현재 와일드카드 URL이 포함되어 있으며 나중에 정확한 엔드포인트로 업데이트될 수 있습니다.
| 서비스 | URL | 포트 | 메모 |
|---|---|---|---|
| Azure Stack HCI의 Azure 이점 | crl3.digicert.com | 80 | Azure Stack HCI의 플랫폼 증명 서비스가 인증서 해지 목록 검사 수행하여 VM이 실제로 Azure 환경에서 실행되고 있음을 보증할 수 있도록 합니다. |
| Azure Stack HCI의 Azure 이점 | crl4.digicert.com | 80 | Azure Stack HCI의 플랫폼 증명 서비스가 인증서 해지 목록 검사 수행하여 VM이 실제로 Azure 환경에서 실행되고 있음을 보증할 수 있도록 합니다. |
| Azure Stack HCI | *.powershellgallery.com | 443 | 클러스터 등록에 필요한 Az.StackHCI PowerShell 모듈을 가져오려면 또는 PowerShell 갤러리 Az.StackHCI PowerShell 모듈을 수동으로 다운로드하여 설치할 수 있습니다. |
| 클러스터 클라우드 감시 | \*.blob.core.windows.net | 443 | Azure Blob 컨테이너에 대한 방화벽 액세스의 경우 클라우드 감시를 클러스터 감시로 사용하도록 선택하는 경우 선택 사항입니다. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | download.windowsupdate.com | 80 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | *.download.windowsupdate.com | 80 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | download.microsoft.com | 443 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | wustat.windows.com | 80 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | go.microsoft.com | 80 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | *.windowsupdate.com | 80 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | MICROSOFT 업데이트의 경우 OS에서 업데이트를 받을 수 있습니다. |
추가 Azure 서비스에 대한 방화벽 요구 사항
HCI에서 사용하도록 설정하는 추가 Azure 서비스에 따라 추가 방화벽 구성을 변경해야 할 수 있습니다. 각 Azure 서비스에 대한 방화벽 요구 사항에 대한 자세한 내용은 다음 링크를 참조하세요.
- Azure Stack HCI의 AKS
- Azure Arc 지원 서버
- Azure Arc 리소스 브리지 네트워크 요구 사항
- Azure Monitor 에이전트
- Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- MMA(Microsoft Monitoring Agent) 및 Log Analytics 에이전트
- Qualys
- 원격 지원
- Windows Admin Center
- Azure Portal Windows Admin Center
내부 규칙 및 포트에 대한 방화벽 요구 사항
사이트 내의 모든 서버 노드와 확장된 클러스터에 대한 사이트 간에 적절한 네트워크 포트가 열려 있는지 확인합니다(확장된 클러스터 기능은 Azure Stack HCI 버전 22H2에서만 사용할 수 있음). 클러스터의 모든 서버 간에 ICMP, SMB(iWARP RDMA를 사용하는 경우 포트 445 및 SMB Direct용 포트 5445) 및 WS-MAN(포트 5985) 양방향 트래픽을 허용하려면 적절한 방화벽 규칙이 필요합니다.
Windows Admin Center 클러스터 만들기 마법사를 사용하여 클러스터를 만드는 경우 마법사는 장애 조치(failover) 클러스터링, Hyper-V 및 스토리지 복제본을 위해 클러스터의 각 서버에서 적절한 방화벽 포트를 자동으로 엽니다. 각 서버에서 다른 방화벽을 사용하는 경우 다음 섹션에 설명된 대로 포트를 엽니다.
Azure Stack HCI OS 관리
라이선스 및 청구를 포함하여 Azure Stack HCI OS 관리를 위해 온-프레미스 방화벽에 다음 방화벽 규칙이 구성되어 있는지 확인합니다.
| 규칙 | 작업 | 원본 | 대상 | 서비스 | 포트 |
|---|---|---|---|---|---|
| 클러스터 서버에서 Azure Stack HCI 서비스로의 인바운드/아웃바운드 트래픽 허용 | 허용 | 클러스터 서버 | 클러스터 서버 | TCP | 30301 |
Windows Admin Center
Windows Admin Center 위해 온-프레미스 방화벽에 다음 방화벽 규칙이 구성되어 있는지 확인합니다.
| 규칙 | 작업 | 원본 | 대상 | 서비스 | 포트 |
|---|---|---|---|---|---|
| Azure 및 Microsoft 업데이트에 대한 액세스 제공 | 허용 | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| WinRM(Windows 원격 관리) 2.0 사용 HTTP 연결에서 명령을 실행하려면 원격 Windows 서버에서 |
허용 | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| HTTPS 연결에 WinRM 2.0을 사용하여 실행 원격 Windows 서버의 명령 |
허용 | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
참고
Windows Admin Center 설치하는 동안 HTTPS를 통해 WinRM만 사용 설정을 선택하면 포트 5986이 필요합니다.
장애 조치(Failover) 클러스터링
장애 조치(failover) 클러스터링을 위해 온-프레미스 방화벽에 다음 방화벽 규칙이 구성되어 있는지 확인합니다.
| 규칙 | 작업 | 원본 | 대상 | 서비스 | 포트 |
|---|---|---|---|---|---|
| 장애 조치(failover) 클러스터 유효성 검사 허용 | 허용 | 관리 시스템 | 클러스터 서버 | TCP | 445 |
| RPC 동적 포트 할당 허용 | 허용 | 관리 시스템 | 클러스터 서버 | TCP | 최소 100 포트 포트 5000 이상 |
| RPC(원격 프로시저 호출 허용) | 허용 | 관리 시스템 | 클러스터 서버 | TCP | 135 |
| 클러스터 관리자 허용 | 허용 | 관리 시스템 | 클러스터 서버 | UDP | 137 |
| 클러스터 서비스 허용 | 허용 | 관리 시스템 | 클러스터 서버 | UDP | 3343 |
| 클러스터 서비스 허용(동안 필요) 서버 조인 작업입니다.) |
허용 | 관리 시스템 | 클러스터 서버 | TCP | 3343 |
| ICMPv4 및 ICMPv6 허용 장애 조치(failover) 클러스터 유효성 검사용 |
허용 | 관리 시스템 | 클러스터 서버 | 해당 없음 | 해당 없음 |
참고
관리 시스템에는 Windows Admin Center, Windows PowerShell 또는 System Center Virtual Machine Manager 같은 도구를 사용하여 클러스터를 관리하려는 모든 컴퓨터가 포함됩니다.
Hyper-V
Hyper-V용 온-프레미스 방화벽에 다음 방화벽 규칙이 구성되어 있는지 확인합니다.
| 규칙 | 작업 | 원본 | 대상 | 서비스 | 포트 |
|---|---|---|---|---|---|
| 클러스터 통신 허용 | 허용 | 관리 시스템 | Hyper-V 서버 | TCP | 445 |
| RPC 엔드포인트 매퍼 및 WMI 허용 | 허용 | 관리 시스템 | Hyper-V 서버 | TCP | 135 |
| HTTP 연결 허용 | 허용 | 관리 시스템 | Hyper-V 서버 | TCP | 80 |
| HTTPS 연결 허용 | 허용 | 관리 시스템 | Hyper-V 서버 | TCP | 443 |
| 실시간 마이그레이션 허용 | 허용 | 관리 시스템 | Hyper-V 서버 | TCP | 6600 |
| VM 관리 서비스 허용 | 허용 | 관리 시스템 | Hyper-V 서버 | TCP | 2179 |
| RPC 동적 포트 할당 허용 | 허용 | 관리 시스템 | Hyper-V 서버 | TCP | 최소 100 포트 포트 5000 이상 |
참고
RPC 동적 포트 할당을 허용하려면 포트 5000 이상의 포트 범위를 엽니다. 5000 미만의 포트는 이미 다른 애플리케이션에서 사용 중일 수 있으며 DCOM 애플리케이션과 충돌을 일으킬 수 있습니다. 이전 환경에서는 여러 시스템 서비스가 이러한 RPC 포트를 사용하여 서로 통신하기 때문에 최소 100개의 포트를 열어야 함을 보여 줍니다. 자세한 내용은 방화벽을 사용하도록 RPC 동적 포트 할당을 구성하는 방법을 참조하세요.
스토리지 복제본(확장된 클러스터)
스토리지 복제본(확장된 클러스터)에 대한 온-프레미스 방화벽에 다음 방화벽 규칙이 구성되어 있는지 확인합니다.
| 규칙 | 작업 | 원본 | 대상 | 서비스 | 포트 |
|---|---|---|---|---|---|
| 서버 메시지 블록 허용 (SMB) 프로토콜 |
허용 | 확장된 클러스터 서버 | 확장된 클러스터 서버 | TCP | 445 |
| 웹 Services-Management 허용 (WS-MAN) |
허용 | 확장된 클러스터 서버 | 확장된 클러스터 서버 | TCP | 5985 |
| ICMPv4 및 ICMPv6 허용 (를 사용하는 경우 Test-SRTopologyPowerShell cmdlet) |
허용 | 확장된 클러스터 서버 | 확장된 클러스터 서버 | 해당 없음 | 해당 없음 |
Microsoft Defender 방화벽 업데이트
이 섹션에서는 서비스 태그와 연결된 IP 주소가 운영 체제에 연결할 수 있도록 Microsoft Defender 방화벽을 구성하는 방법을 보여 줍니다. 서비스 태그는 지정된 Azure 서비스의 IP 주소 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함된 IP 주소를 관리하고 IP 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 업데이트를 최소한으로 유지합니다. 자세한 내용은 가상 네트워크 서비스 태그를 참조하세요.
다음 리소스에서 운영 체제를 실행하는 대상 컴퓨터로 JSON 파일을 다운로드 합니다. Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드.
다음 PowerShell 명령을 사용하여 JSON 파일을 엽니다.
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json"AzureResourceManager" 서비스 태그와 같이 지정된 서비스 태그에 대한 IP 주소 범위 목록을 가져옵니다.
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes허용 목록을 사용하는 경우 IP 주소 목록을 외부 회사 방화벽으로 가져옵니다.
IP 주소 범위 목록에 대한 아웃바운드 443(HTTPS) 트래픽을 허용하도록 클러스터의 각 서버에 대한 방화벽 규칙을 만듭니다.
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
다음 단계
자세한 내용은 다음 항목을 참조하십시오.
- Windows 원격 관리에 대한 설치 및 구성의 Windows 방화벽 및 WinRM 2.0 포트 섹션
피드백
출시 예정: 2024년 내내 콘텐츠 피드백 메커니즘인 GitHub 문제를 단계적으로 폐지하고 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 https://aka.ms/ContentUserFeedback을 참조하세요.
다음에 대한 사용자 의견 제출 및 보기