Wymagania dotyczące zapory dla usługi Azure Stack HCI
Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2
Ten artykuł zawiera wskazówki dotyczące konfigurowania zapór dla systemu operacyjnego Azure Stack HCI. Obejmuje ona wymagania zapory dotyczące wychodzących punktów końcowych i wewnętrznych reguł i portów. Artykuł zawiera również informacje na temat używania tagów usługi platformy Azure z zaporą usługi Microsoft Defender.
Jeśli sieć używa serwera proxy do uzyskiwania dostępu do Internetu, zobacz Konfigurowanie ustawień serwera proxy dla usługi Azure Stack HCI.
Ważne
Usługa Azure Express Route i usługa Azure Private Link nie są obsługiwane w przypadku usługi Azure Stack HCI w wersji 23H2 ani żadnego z jej składników, ponieważ nie można uzyskać dostępu do publicznych punktów końcowych wymaganych dla usługi Azure Stack HCI 23H2.
Wymagania dotyczące zapory dla wychodzących punktów końcowych
Otwieranie portu 443 dla ruchu wychodzącego w zaporze organizacji spełnia wymagania dotyczące łączności dla systemu operacyjnego w celu nawiązania połączenia z platformą Azure i usługą Microsoft Update. Jeśli zapora ruchu wychodzącego jest ograniczona, zalecamy dołączenie adresów URL i portów opisanych w sekcji Zalecane adresy URL zapory w tym artykule.
Rozwiązanie Azure Stack HCI musi okresowo łączyć się z platformą Azure. Dostęp jest ograniczony tylko do:
- Dobrze znane adresy IP platformy Azure
- Kierunek ruchu wychodzącego
- Port 443 (HTTPS)
Ważne
Rozwiązanie Azure Stack HCI nie obsługuje inspekcji protokołu HTTPS. Upewnij się, że inspekcja protokołu HTTPS jest wyłączona wzdłuż ścieżki sieciowej dla rozwiązania Azure Stack HCI, aby zapobiec wszelkim błędom łączności.
Jak pokazano na poniższym diagramie, usługa Azure Stack HCI uzyskuje dostęp do platformy Azure przy użyciu więcej niż jednej zapory potencjalnie.
W tym artykule opisano, jak opcjonalnie użyć konfiguracji zapory o wysokiej blokadzie, aby zablokować cały ruch do wszystkich miejsc docelowych, z wyjątkiem tych, które znajdują się na liście dozwolonych.
Wymagane adresy URL zapory
Poniższa tabela zawiera listę wymaganych adresów URL zapory. Pamiętaj, aby uwzględnić te adresy URL na liście dozwolonych.
Ponadto postępuj zgodnie z wymaganymi wymaganiami zapory dla usługi AKS w usłudze Azure Stack HCI.
Uwaga
Reguły zapory rozwiązania Azure Stack HCI są minimalnymi punktami końcowymi wymaganymi do łączności hciSvc i nie zawierają symboli wieloznacznych. Poniższa tabela zawiera jednak obecnie wieloznaczne adresy URL, które mogą zostać zaktualizowane do dokładnych punktów końcowych w przyszłości.
Usługa | URL | Port | Uwagi |
---|---|---|---|
Pobieranie aktualizacji rozwiązania Azure Stack HCI | fe3.delivery.mp.microsoft.com | 443 | Aby zaktualizować rozwiązanie Azure Stack HCI, wersja 23H2. |
Pobieranie aktualizacji rozwiązania Azure Stack HCI | tlu.dl.delivery.mp.microsoft.com | 80 | Aby zaktualizować rozwiązanie Azure Stack HCI, wersja 23H2. |
Odnajdywanie aktualizacji rozwiązania Azure Stack HCI | aka.ms | 443 | Aby rozpoznawać adresy w celu odnajdywania usługi Azure Stack HCI, wersji 23H2 i aktualizacji rozszerzeń konstruktora rozwiązań. |
Odnajdywanie aktualizacji rozwiązania Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Podstawowa usługa, która implementuje śledzenie danych użycia dla linków przekierowania aka.ms. |
Azure Stack HCI | login.microsoftonline.com | 443 | W przypadku urzędu usługi Active Directory i używanego do uwierzytelniania, pobierania tokenu i walidacji. |
Azure Stack HCI | graph.windows.net | 443 | W przypadku programu Graph i używanego do uwierzytelniania, pobierania tokenu i walidacji. |
Azure Stack HCI | management.azure.com | 443 | W przypadku usługi Resource Manager i używanej podczas początkowego uruchamiania klastra na platformie Azure na potrzeby rejestracji i wyrejestrowania klastra. |
Azure Stack HCI | dp.stackhci.azure.com | 443 | W przypadku płaszczyzny danych, która wypycha dane diagnostyczne i używane w potoku witryny Azure Portal i wypycha dane rozliczeniowe. |
Azure Stack HCI | *.platform.edge.azure.com | 443 | W przypadku płaszczyzny danych używanej w licencjonowaniu oraz wypychania danych alertów i rozliczeń. Wymagane tylko dla usługi Azure Stack HCI w wersji 23H2. |
Azure Stack HCI | azurestackhci.azurefd.net | 443 | Poprzedni adres URL płaszczyzny danych. Ten adres URL został niedawno zmieniony. Jeśli klaster został zarejestrowany przy użyciu tego starego adresu URL, musisz również go na liście dozwolonych. |
Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | W przypadku rejestru kontenerów maszyn wirtualnych usługi Arc w usłudze Azure Stack HCI. Wymagane tylko dla usługi Azure Stack HCI w wersji 23H2. |
Azure Key Vault | *.vault.azure.net/* | 443 | Dostęp do magazynu kluczy w celu uzyskania dostępu do wpisów tajnych wdrażania rozwiązania Azure Stack HCI. Zastąp pierwszy * nazwą magazynu kluczy, którego zamierzasz użyć, oraz drugą * nazwą wpisów tajnych. Wymagane tylko dla usługi Azure Stack HCI w wersji 23H2. |
Arc dla serwerów | aka.ms | 443 | Do rozpoznawania skryptu pobierania podczas instalacji. |
Arc dla serwerów | download.microsoft.com | 443 | Aby pobrać pakiet instalacyjny systemu Windows. |
Arc dla serwerów | login.windows.net | 443 | W przypadku identyfikatora entra firmy Microsoft |
Arc dla serwerów | login.microsoftonline.com | 443 | W przypadku identyfikatora entra firmy Microsoft |
Arc dla serwerów | pas.windows.net | 443 | W przypadku identyfikatora entra firmy Microsoft |
Arc dla serwerów | management.azure.com | 443 | Aby usługa Azure Resource Manager utworzyła lub usunęła zasób serwera Arc |
Arc dla serwerów | guestnotificationservice.azure.com | 443 | W przypadku usługi powiadomień dla scenariuszy rozszerzeń i łączności |
Arc dla serwerów | *.his.arc.azure.com | 443 | W przypadku usług metadanych i tożsamości hybrydowych |
Arc dla serwerów | *.guestconfiguration.azure.com | 443 | Na potrzeby zarządzania rozszerzeniami i usług konfiguracji gościa |
Arc dla serwerów | *.guestnotificationservice.azure.com | 443 | W przypadku usługi powiadomień dla scenariuszy rozszerzeń i łączności |
Arc dla serwerów | azgn*.servicebus.windows.net | 443 | W przypadku usługi powiadomień dla scenariuszy rozszerzeń i łączności |
Arc dla serwerów | *.servicebus.windows.net | 443 | W przypadku scenariuszy windows Admin Center i SSH |
Arc dla serwerów | *.waconazure.com | 443 | W przypadku łączności z usługą Windows Admin Center |
Arc dla serwerów | *.blob.core.windows.net | 443 | Źródło pobierania dla rozszerzeń serwerów z obsługą usługi Azure Arc |
Aby uzyskać kompleksową listę wszystkich adresów URL zapory, pobierz arkusz kalkulacyjny adresów URL zapory.
Zalecane adresy URL zapory
Poniższa tabela zawiera listę zalecanych adresów URL zapory. Jeśli zapora ruchu wychodzącego jest ograniczona, zalecamy dołączenie adresów URL i portów opisanych w tej sekcji do listy dozwolonych.
Uwaga
Reguły zapory rozwiązania Azure Stack HCI są minimalnymi punktami końcowymi wymaganymi do łączności hciSvc i nie zawierają symboli wieloznacznych. Poniższa tabela zawiera jednak obecnie wieloznaczne adresy URL, które mogą zostać zaktualizowane do dokładnych punktów końcowych w przyszłości.
Usługa | URL | Port | Uwagi |
---|---|---|---|
Korzyści platformy Azure w usłudze Azure Stack HCI | crl3.digicert.com | 80 | Umożliwia usłudze zaświadczania platformy w usłudze Azure Stack HCI przeprowadzenie sprawdzania listy odwołania certyfikatów w celu zapewnienia, że maszyny wirtualne rzeczywiście działają w środowiskach platformy Azure. |
Korzyści platformy Azure w usłudze Azure Stack HCI | crl4.digicert.com | 80 | Umożliwia usłudze zaświadczania platformy w usłudze Azure Stack HCI przeprowadzenie sprawdzania listy odwołania certyfikatów w celu zapewnienia, że maszyny wirtualne rzeczywiście działają w środowiskach platformy Azure. |
Azure Stack HCI | *.powershellgallery.com | 443 | Aby uzyskać moduł Az.StackHCI programu PowerShell, który jest wymagany do rejestracji klastra. Alternatywnie możesz pobrać i zainstalować moduł Az.StackHCI programu PowerShell ręcznie z Galeria programu PowerShell. |
Monitor chmury klastra | *.blob.core.windows.net | 443 | W przypadku dostępu zapory do kontenera obiektów blob platformy Azure, jeśli zdecydujesz się używać monitora w chmurze jako monitora klastra, co jest opcjonalne. |
Microsoft Update | windowsupdate.microsoft.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | download.windowsupdate.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | *.download.windowsupdate.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | download.microsoft.com | 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | wustat.windows.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | ntservicepack.microsoft.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | go.microsoft.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | *.windowsupdate.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Microsoft Update | *.update.microsoft.com | 80, 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Wymagania dotyczące zapory dla dodatkowych usług platformy Azure
W zależności od dodatkowych usług platformy Azure, które można włączyć w rozwiązaniu HCI, może być konieczne wprowadzenie dodatkowych zmian konfiguracji zapory. Zapoznaj się z następującymi linkami, aby uzyskać informacje na temat wymagań zapory dla każdej usługi platformy Azure:
- Usługa AKS w usłudze Azure Stack HCI
- Serwery z obsługą usługi Azure Arc
- Wymagania dotyczące sieci mostka zasobów usługi Azure Arc
- Azure Monitor Agent
- Witryna Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) i Agent usługi Log Analytics
- Qualys
- Zdalna obsługa
- Centrum administracyjne systemu Windows
- Centrum administracyjne systemu Windows w witrynie Azure Portal
Wymagania dotyczące zapory dla reguł i portów wewnętrznych
Upewnij się, że odpowiednie porty sieciowe są otwarte między wszystkimi węzłami serwera zarówno w lokacji, jak i między lokacjami dla klastrów rozproszony (funkcja klastra rozproszonego jest dostępna tylko w usłudze Azure Stack HCI w wersji 22H2). Potrzebne będą odpowiednie reguły zapory, aby zezwolić na ruch dwukierunkowy ICMP, SMB (port 445 i port 5445 dla protokołu SMB Direct, jeśli jest używany protokół iWARP RDMA) i WS-MAN (port 5985) dwukierunkowy ruch między wszystkimi serwerami w klastrze.
W przypadku korzystania z kreatora tworzenia klastra w centrum administracyjnym systemu Windows do utworzenia klastra kreator automatycznie otwiera odpowiednie porty zapory na każdym serwerze w klastrze na potrzeby klastrowania trybu failover, funkcji Hyper-V i repliki magazynu. Jeśli używasz innej zapory na każdym serwerze, otwórz porty zgodnie z opisem w poniższych sekcjach:
Zarządzanie systemem operacyjnym azure Stack HCI
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze na potrzeby zarządzania systemem operacyjnym Azure Stack HCI, w tym licencjonowania i rozliczeń.
Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
---|---|---|---|---|---|
Zezwalaj na ruch przychodzący/wychodzący do i z usługi Azure Stack HCI na serwerach klastra | Zezwalaj | Serwery klastra | Serwery klastra | TCP | 30301 |
Windows Admin Center
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla centrum administracyjnego systemu Windows.
Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
---|---|---|---|---|---|
Zapewnianie dostępu do platformy Azure i usługi Microsoft Update | Zezwalaj | Windows Admin Center | Azure Stack HCI | TCP | 445 |
Używanie zdalnego zarządzania systemem Windows (WinRM) 2.0 dla połączeń HTTP do uruchamiania poleceń na zdalnych serwerach z systemem Windows |
Zezwalaj | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
Uruchamianie połączeń HTTPS przy użyciu usługi WinRM 2.0 polecenia na zdalnych serwerach z systemem Windows |
Zezwalaj | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Uwaga
Podczas instalowania Centrum administracyjnego systemu Windows, jeśli wybierzesz ustawienie Użyj usługi WinRM tylko za pośrednictwem protokołu HTTPS, wymagany jest port 5986.
Klaster trybu failover
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla klastra trybu failover.
Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
---|---|---|---|---|---|
Zezwalaj na walidację klastra trybu failover | Zezwalaj | System zarządzania | Serwery klastra | TCP | 445 |
Zezwalaj na dynamiczną alokację portów RPC | Zezwalaj | System zarządzania | Serwery klastra | TCP | Co najmniej 100 portów powyżej portu 5000 |
Zezwalaj na zdalne wywołanie procedury (RPC) | Zezwalaj | System zarządzania | Serwery klastra | TCP | 135 |
Zezwalaj administratorowi klastra | Zezwalaj | System zarządzania | Serwery klastra | UDP | 137 |
Zezwalaj na usługę klastra | Zezwalaj | System zarządzania | Serwery klastra | UDP | 3343 |
Zezwalaj na usługę klastra (wymagana podczas operacja sprzężenia serwera. |
Zezwalaj | System zarządzania | Serwery klastra | TCP | 3343 |
Zezwalaj na protokoły ICMPv4 i ICMPv6 w przypadku weryfikacji klastra trybu failover |
Zezwalaj | System zarządzania | Serwery klastra | nie dotyczy | nie dotyczy |
Uwaga
System zarządzania obejmuje dowolny komputer, z którego planujesz administrować klastrem przy użyciu narzędzi, takich jak Windows Admin Center, Windows PowerShell lub System Center Virtual Machine Manager.
Hyper-V
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla funkcji Hyper-V.
Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
---|---|---|---|---|---|
Zezwalaj na komunikację klastra | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 445 |
Zezwalaj na maper punktów końcowych RPC i WMI | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 135 |
Zezwalaj na łączność HTTP | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 80 |
Zezwalaj na łączność HTTPS | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 443 |
Zezwalaj na migrację na żywo | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 6600 |
Zezwalaj na usługę zarządzania maszynami wirtualnymi | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 2179 |
Zezwalaj na dynamiczną alokację portów RPC | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | Co najmniej 100 portów powyżej portu 5000 |
Uwaga
Otwórz zakres portów powyżej portu 5000, aby zezwolić na dynamiczną alokację portów RPC. Porty poniżej 5000 mogą już być używane przez inne aplikacje i mogą powodować konflikty z aplikacjami DCOM. Poprzednie środowisko pokazuje, że należy otworzyć co najmniej 100 portów, ponieważ kilka usług systemowych polega na tych portach RPC do komunikowania się ze sobą. Aby uzyskać więcej informacji, zobacz How to configure RPC dynamic port allocation to work with firewalls (Jak skonfigurować alokację portu dynamicznego RPC do pracy z zaporami).
Replika magazynu (klaster rozproszony)
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla repliki magazynu (klastra rozproszonego).
Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
---|---|---|---|---|---|
Zezwalaj na blokowanie komunikatów serwera Protokół (SMB) |
Zezwalaj | Rozproszone serwery klastra | Rozproszone serwery klastra | TCP | 445 |
Zezwalaj na zarządzanie usługami sieci Web (WS-MAN) |
Zezwalaj | Rozproszone serwery klastra | Rozproszone serwery klastra | TCP | 5985 |
Zezwalaj na protokoły ICMPv4 i ICMPv6 (jeśli używasz Test-SRTopology Polecenie cmdlet programu PowerShell) |
Zezwalaj | Rozproszone serwery klastra | Rozproszone serwery klastra | nie dotyczy | nie dotyczy |
Aktualizowanie zapory usługi Microsoft Defender
W tej sekcji pokazano, jak skonfigurować zaporę Microsoft Defender, aby zezwolić na nawiązywanie połączenia z systemem operacyjnym adresów IP skojarzonych z tagiem usługi. Tag usługi reprezentuje grupę adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza adresami IP zawartymi w tagu usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów IP w celu zachowania aktualizacji do minimum. Aby dowiedzieć się więcej, zobacz Tagi usługi sieci wirtualnej.
Pobierz plik JSON z następującego zasobu na komputer docelowy z systemem operacyjnym: Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna.
Użyj następującego polecenia programu PowerShell, aby otworzyć plik JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
Pobierz listę zakresów adresów IP dla danego tagu usługi, na przykład tag usługi "AzureResourceManager":
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
Zaimportuj listę adresów IP do zewnętrznej zapory firmowej, jeśli używasz z nią listy dozwolonych.
Utwórz regułę zapory dla każdego serwera w klastrze, aby zezwolić na ruch wychodzący 443 (HTTPS) do listy zakresów adresów IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Następne kroki
Aby uzyskać więcej informacji, zobacz również:
- Sekcja Porty Zapory systemu Windows i usługi WinRM 2.0 w sekcji Instalacja i konfiguracja zdalnego zarządzania systemem Windows
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla