Firewallvereisten voor Azure Stack HCI
Van toepassing op: Azure Stack HCI, versies 23H2 en 22H2
Dit artikel bevat richtlijnen voor het configureren van firewalls voor het Azure Stack HCI-besturingssysteem. Het omvat firewallvereisten voor uitgaande eindpunten en interne regels en poorten. Het artikel bevat ook informatie over het gebruik van Azure-servicetags met Microsoft Defender-firewall.
In dit artikel wordt ook beschreven hoe u optioneel een maximaal vergrendelde firewallconfiguratie kunt gebruiken om al het verkeer naar alle bestemmingen te blokkeren, met uitzondering van die in uw acceptatielijst.
Als uw netwerk gebruikmaakt van een proxyserver voor internettoegang, raadpleegt u Proxy-instellingen configureren voor Azure Stack HCI.
Belangrijk
Azure Express Route en Azure Private Link worden niet ondersteund voor Azure Stack HCI, versie 23H2 of een van de bijbehorende onderdelen, omdat het niet mogelijk is om toegang te krijgen tot de openbare eindpunten die vereist zijn voor Azure Stack HCI, versie 23H2.
Firewallvereisten voor uitgaande eindpunten
Poort 443 openen voor uitgaand netwerkverkeer op de firewall van uw organisatie voldoet aan de connectiviteitsvereisten voor het Azure Stack HCI-besturingssysteem om verbinding te maken met Azure en Microsoft Update. Als uw uitgaande firewall is beperkt, raden we u aan de URL's en poorten op te slaan die worden beschreven in de sectie Aanbevolen firewall-URL's van dit artikel.
Azure Stack HCI moet periodiek verbinding maken met Azure. Toegang is alleen beperkt tot:
- Bekende Azure-IP's
- Richting uitgaand
- Poort 443 (HTTPS)
Belangrijk
Azure Stack HCI biedt geen ondersteuning voor HTTPS-inspectie. Zorg ervoor dat HTTPS-inspectie is uitgeschakeld op uw netwerkpad voor Azure Stack HCI om connectiviteitsfouten te voorkomen.
Zoals wordt weergegeven in het volgende diagram, heeft Azure Stack HCI toegang tot Azure met meer dan één firewall.
Vereiste firewall-URL's
Vanaf Azure Stack HCI, versie 23H2, schakelen alle clusters automatisch de Infrastructuur van Azure Resource Bridge en AKS in en maakt gebruik van de Arc for Servers-agent om verbinding te maken met het Azure-besturingsvlak. Naast de lijst met HCI-specifieke eindpunten in de volgende tabel, moeten de Azure Resource Bridge op Azure Stack HCI-eindpunten , de AKS op Azure Stack HCI-eindpunten en de eindpunten van servers met Azure Arc worden opgenomen in de acceptatielijst van uw firewall.
Gebruik deze lijst voor een geconsolideerde lijst met eindpunten bij de implementatie in VS - oost:
Gebruik deze lijst voor een geconsolideerde lijst met eindpunten bij de implementatie in West-Europa:
Gebruik deze lijst voor een geconsolideerde lijst met eindpunten bij de implementatie in Australië - oost:
De volgende tabel bevat een lijst met vereiste firewall-URL's. Zorg ervoor dat u deze URL's opneemt in uw acceptatielijst.
Notitie
De Firewallregels van Azure Stack HCI in deze tabel zijn de minimale eindpunten die vereist zijn voor de connectiviteit van de HciSvc-systeemservice en bevatten geen jokertekens. De volgende tabel bevat momenteel url's met jokertekens, die in de toekomst mogelijk worden bijgewerkt naar exacte eindpunten.
| Service | URL | Poort | Opmerkingen |
|---|---|---|---|
| Azure Stack HCI-updates downloaden | fe3.delivery.mp.microsoft.com | 443 | Voor het bijwerken van Azure Stack HCI, versie 23H2. |
| Azure Stack HCI-updates downloaden | tlu.dl.delivery.mp.microsoft.com | 80 | Voor het bijwerken van Azure Stack HCI, versie 23H2. |
| Detectie van Azure Stack HCI-updates | aka.ms | 443 | Voor het oplossen van adressen voor het detecteren van Azure Stack HCI, versie 23H2 en Solution Builder-extensie-updates. |
| Detectie van Azure Stack HCI-updates | redirectiontool.trafficmanager.net | 443 | Onderliggende service waarmee gebruiksgegevens worden bijgehouden voor de aka.ms-omleidingskoppelingen. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Voor Active Directory-instantie en gebruikt voor verificatie, ophalen van tokens en validatie. |
| Azure Stack HCI | graph.windows.net | 443 | Voor Graph en gebruikt voor verificatie, ophalen van tokens en validatie. |
| Azure Stack HCI | management.azure.com | 443 | Voor Resource Manager en gebruikt tijdens het initiële opstarten van het cluster naar Azure voor registratiedoeleinden en om de registratie van het cluster ongedaan te maken. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Voor het gegevensvlak dat diagnostische gegevens pusht en wordt gebruikt in de Pijplijn van Azure Portal en factureringsgegevens pusht. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Voor het gegevensvlak dat wordt gebruikt in de licentieverlening en bij het pushen van waarschuwingen en factureringsgegevens. Alleen vereist voor Azure Stack HCI, versie 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Vorige URL voor het gegevensvlak. Deze URL is onlangs gewijzigd. Als u uw cluster hebt geregistreerd met behulp van deze oude URL, moet u het cluster ook toestaan. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Voor het containerregister van arc-VM's in Azure Stack HCI. Alleen vereist voor Azure Stack HCI, versie 23H2. |
| Azure Key Vault | *.vault.azure.net/* | 443 | Toegang tot key vault voor toegang tot Azure Stack HCI-implementatiegeheimen. Vervang de eerste * door de naam van de sleutelkluis die u wilt gebruiken en de 2e * door de geheime namen. Alleen vereist voor Azure Stack HCI, versie 23H2. |
| Arc voor servers | aka.ms | 443 | Voor het oplossen van het downloadscript tijdens de installatie. |
| Arc voor servers | download.microsoft.com | 443 | Voor het downloaden van het Windows-installatiepakket. |
| Arc voor servers | login.windows.net | 443 | Voor Microsoft Entra-id |
| Arc voor servers | login.microsoftonline.com | 443 | Voor Microsoft Entra-id |
| Arc voor servers | pas.windows.net | 443 | Voor Microsoft Entra-id |
| Arc voor servers | management.azure.com | 443 | Azure Resource Manager kan de Arc Server-resource maken of verwijderen |
| Arc voor servers | guestnotificationservice.azure.com | 443 | Voor de meldingsservice voor uitbreidings- en connectiviteitsscenario's |
| Arc voor servers | *.his.arc.azure.com | 443 | Voor metagegevens en hybride identiteitsservices |
| Arc voor servers | *.guestconfiguration.azure.com | 443 | Voor extensiebeheer en gastconfiguratieservices |
| Arc voor servers | *.guestnotificationservice.azure.com | 443 | Voor meldingsservice voor uitbreidings- en connectiviteitsscenario's |
| Arc voor servers | azgn*.servicebus.windows.net | 443 | Voor meldingsservice voor uitbreidings- en connectiviteitsscenario's |
| Arc voor servers | *.servicebus.windows.net | 443 | Voor Windows-beheercentrum- en SSH-scenario's |
| Arc voor servers | *.waconazure.com | 443 | Voor Windows Admin Center-connectiviteit |
| Arc voor servers | *.blob.core.windows.net | 443 | Voor downloadbron voor serversextensies met Azure Arc |
Download het spreadsheet met firewall-URL's voor een uitgebreide lijst met alle firewall-URL's.
Aanbevolen firewall-URL's
De volgende tabel bevat een lijst met aanbevolen firewall-URL's. Als uw uitgaande firewall is beperkt, raden we u aan de URL's en poorten die in deze sectie worden beschreven, op te slaan in uw acceptatielijst.
Notitie
De Azure Stack HCI-firewallregels zijn de minimale eindpunten die vereist zijn voor de connectiviteit van de HciSvc-systeemservice en bevatten geen jokertekens. De volgende tabel bevat momenteel url's met jokertekens, die in de toekomst mogelijk worden bijgewerkt naar exacte eindpunten.
| Service | URL | Poort | Opmerkingen |
|---|---|---|---|
| Azure Benefits op Azure Stack HCI | crl3.digicert.com | 80 | Hiermee kan de Platform Attestation-service in Azure Stack HCI een controle op de certificaatintrekkingslijst uitvoeren om te garanderen dat VM's inderdaad worden uitgevoerd in Azure-omgevingen. |
| Azure Benefits op Azure Stack HCI | crl4.digicert.com | 80 | Hiermee kan de Platform Attestation-service in Azure Stack HCI een controle op de certificaatintrekkingslijst uitvoeren om te garanderen dat VM's inderdaad worden uitgevoerd in Azure-omgevingen. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Voor het verkrijgen van de Az.StackHCI PowerShell-module, die is vereist voor clusterregistratie. U kunt ook de Az.StackHCI PowerShell-module handmatig downloaden en installeren vanuit PowerShell Gallery. |
| Clustercloudwitness | *.blob.core.windows.net | 443 | Voor firewalltoegang tot de Azure Blob-container, als u ervoor kiest om een cloudwitness te gebruiken als clusterwitness, wat optioneel is. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | download.windowsupdate.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | download.microsoft.com | 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | wustat.windows.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | go.microsoft.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.windowsupdate.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
Firewallvereisten voor aanvullende Azure-services
Afhankelijk van aanvullende Azure-services die u inschakelt voor Azure Stack HCI, moet u mogelijk aanvullende wijzigingen aanbrengen in de firewallconfiguratie. Raadpleeg de volgende koppelingen voor informatie over firewallvereisten voor elke Azure-service:
- Azure Monitor-agent
- Azure-portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) en Log Analytics-agent
- Qualys
- Externe ondersteuning
- Windows-beheercentrum
- Windows Admin Center in Azure Portal
Firewallvereisten voor interne regels en poorten
Zorg ervoor dat de juiste netwerkpoorten zijn geopend tussen alle serverknooppunten, zowel binnen een site als tussen sites voor stretched clusters (functionaliteit voor stretched cluster is alleen beschikbaar in Azure Stack HCI, versie 22H2.). U hebt de juiste firewallregels nodig om ICMP, SMB (poort 445, plus poort 5445 voor SMB Direct toe te staan als u iWARP RDMA gebruikt) en WS-MAN (poort 5985) bidirectioneel verkeer tussen alle servers in het cluster.
Wanneer u de wizard Cluster maken in het Windows-beheercentrum gebruikt om het cluster te maken, opent de wizard automatisch de juiste firewallpoorten op elke server in het cluster voor failoverclustering, Hyper-V en Opslagreplica. Als u een andere firewall op elke server gebruikt, opent u de poorten zoals beschreven in de volgende secties:
Azure Stack HCI OS-beheer
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Azure Stack HCI-besturingssysteembeheer, inclusief licenties en facturering.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Inkomend/uitgaand verkeer naar en van de Azure Stack HCI-service op clusterservers toestaan | Toestaan | Clusterservers | Clusterservers | TCP | 30301 |
Windows Admin Center
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Het Windows-beheercentrum.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Toegang bieden tot Azure en Microsoft Update | Toestaan | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Windows Remote Management (WinRM) 2.0 gebruiken voor HTTP-verbindingen om opdrachten uit te voeren op externe Windows-servers |
Toestaan | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| WinRM 2.0 gebruiken voor HTTPS-verbindingen om uit te voeren opdrachten op externe Windows-servers |
Toestaan | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Notitie
Als u tijdens het installeren van Het Windows-beheercentrum de instelling WinRM via HTTPS gebruiken selecteert, is poort 5986 vereist.
Failoverclustering
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor failoverclustering.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Validatie van failovercluster toestaan | Toestaan | Beheersysteem | Clusterservers | TCP | 445 |
| Dynamische RPC-poorttoewijzing toestaan | Toestaan | Beheersysteem | Clusterservers | TCP | Minimaal 100 poorten boven poort 5000 |
| Remote Procedure Call (RPC) toestaan | Toestaan | Beheersysteem | Clusterservers | TCP | 135 |
| Clusterbeheerder toestaan | Toestaan | Beheersysteem | Clusterservers | UDP | 137 |
| Clusterservice toestaan | Toestaan | Beheersysteem | Clusterservers | UDP | 3343 |
| Clusterservice toestaan (vereist tijdens een bewerking voor serverdeelname.) |
Toestaan | Beheersysteem | Clusterservers | TCP | 3343 |
| ICMPv4 en ICMPv6 toestaan voor validatie van failovercluster |
Toestaan | Beheersysteem | Clusterservers | N.v.t. | N.v.t. |
Notitie
Het beheersysteem bevat een computer van waaruit u het cluster wilt beheren, met behulp van hulpprogramma's zoals Windows Admin Center, Windows PowerShell of System Center Virtual Machine Manager.
Hyper-V
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Hyper-V.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Clustercommunicatie toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 445 |
| RPC-eindpunttoewijzing en WMI toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 135 |
| HTTP-connectiviteit toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 80 |
| HTTPS-connectiviteit toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 443 |
| Livemigratie toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 6600 |
| VM-beheerservice toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 2179 |
| Dynamische RPC-poorttoewijzing toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | Minimaal 100 poorten boven poort 5000 |
Notitie
Open een bereik van poorten boven poort 5000 om dynamische RPC-poorttoewijzing toe te staan. Poorten onder de 5000 zijn mogelijk al in gebruik door andere toepassingen en kunnen conflicten veroorzaken met DCOM-toepassingen. Uit eerdere ervaring blijkt dat er minimaal 100 poorten moeten worden geopend, omdat verschillende systeemservices afhankelijk zijn van deze RPC-poorten om met elkaar te communiceren. Zie Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls voor meer informatie.
Opslagreplica (stretched cluster)
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Opslagreplica (stretched cluster).
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Serverberichtblok toestaan (SMB)-protocol |
Toestaan | Stretched clusterservers | Stretched clusterservers | TCP | 445 |
| Webservicesbeheer toestaan (WS-MAN) |
Toestaan | Stretched clusterservers | Stretched clusterservers | TCP | 5985 |
| ICMPv4 en ICMPv6 toestaan (als u de Test-SRTopologyPowerShell-cmdlet) |
Toestaan | Stretched clusterservers | Stretched clusterservers | N.v.t. | N.v.t. |
Microsoft Defender-firewall bijwerken
In deze sectie wordt beschreven hoe u de Firewall van Microsoft Defender configureert om IP-adressen toe te staan die zijn gekoppeld aan een servicetag om verbinding te maken met het besturingssysteem. Een servicetag vertegenwoordigt een groep IP-adressen van een bepaalde Azure-service. Microsoft beheert de IP-adressen die zijn opgenomen in de servicetag en werkt de servicetag automatisch bij wanneer IP-adressen veranderen om updates tot een minimum te beperken. Zie Servicetags voor virtueel netwerk voor meer informatie.
Download het JSON-bestand van de volgende resource naar de doelcomputer waarop het besturingssysteem wordt uitgevoerd: Azure IP Ranges and Service Tags – Public Cloud.
Gebruik de volgende PowerShell-opdracht om het JSON-bestand te openen:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonHaal de lijst met IP-adresbereiken op voor een bepaalde servicetag, zoals de
AzureResourceManagerservicetag:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImporteer de lijst met IP-adressen naar uw externe bedrijfsfirewall als u er een acceptatielijst mee gebruikt.
Maak een firewallregel voor elke server in het cluster om uitgaand 443 (HTTPS)-verkeer naar de lijst met IP-adresbereiken toe te staan:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Volgende stappen
Zie ook voor meer informatie:
- De sectie Windows Firewall- en WinRM 2.0-poorten van installatie en configuratie voor Windows Remote Management
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor