Requisitos de firewall para o Azure Stack HCI
Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2
Este artigo fornece diretrizes sobre como configurar firewalls para o sistema operacional do Azure Stack HCI. Ele inclui requisitos de firewall para pontos de extremidade de saída e regras internas e portas. O artigo também fornece informações sobre como usar marcas de serviço do Azure com Microsoft Defender firewall.
Se sua rede usar um servidor proxy para acesso à Internet, consulte Definir configurações de proxy para o Azure Stack HCI.
Importante
Link Privado do Azure não tem suporte para o Azure Stack HCI, versão 23H2 ou qualquer um de seus componentes.
Requisitos de firewall para pontos de extremidade de saída
Abrir a porta 443 para o tráfego de rede de saída no firewall da sua organização atende aos requisitos de conectividade para que o sistema operacional se conecte ao Azure e ao Microsoft Update. Se o firewall de saída for restrito, recomendamos incluir as URLs e as portas descritas na seção URLs de firewall recomendadas deste artigo.
O Azure Stack HCI precisa se conectar periodicamente ao Azure. O acesso é limitado apenas a:
- IPs do Azure conhecidos
- Direção de saída
- Porta 443 (HTTPS)
Importante
O Azure Stack HCI não dá suporte à inspeção HTTPS. Verifique se a inspeção HTTPS está desabilitada ao longo do caminho de rede do Azure Stack HCI para evitar erros de conectividade.
Conforme mostrado no diagrama a seguir, o Azure Stack HCI acessa o Azure usando mais de um firewall potencialmente.
Este artigo descreve como usar opcionalmente uma configuração de firewall altamente bloqueada para bloquear todo o tráfego para todos os destinos, exceto aqueles incluídos em sua lista de permitidos.
URLs de firewall necessárias
A tabela a seguir fornece uma lista de URLs de firewall necessárias. Inclua essas URLs na lista de permitidos.
Siga também os requisitos de firewall necessários para o AKS no Azure Stack HCI.
Observação
As regras de firewall do Azure Stack HCI são os pontos de extremidade mínimos necessários para conectividade HciSvc e não contêm curingas. No entanto, a tabela a seguir atualmente contém URLs curinga, que podem ser atualizadas em pontos de extremidade precisos no futuro.
| Serviço | URL | Porta | Observações |
|---|---|---|---|
| Download Atualizações do Azure Stack HCI | fe3.delivery.mp.microsoft.com | 443 | Para atualizar o Azure Stack HCI, versão 23H2. |
| Download Atualizações do Azure Stack HCI | tlu.dl.delivery.mp.microsoft.com | 80 | Para atualizar o Azure Stack HCI, versão 23H2. |
| Descoberta de Atualizações do Azure Stack HCI | aka.ms | 443 | Para resolver endereços para descobrir o Azure Stack HCI, versão 23H2 e Extensão do Construtor de Soluções Atualizações. |
| Descoberta de Atualizações do Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Serviço subjacente que implementa o acompanhamento de dados de uso para os links de redirecionamento aka.ms. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Para a Autoridade do Active Directory e usado para autenticação, busca de token e validação. |
| Azure Stack HCI | graph.windows.net | 443 | Para o Graph e usado para autenticação, busca de token e validação. |
| Azure Stack HCI | management.azure.com | 443 | Por Resource Manager e usado durante a inicialização inicial do cluster para o Azure para fins de registro e cancelar o registro do cluster. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Para o plano de dados que envia diagnóstico dados e é usado no pipeline de portal do Azure e envia dados de cobrança por push. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Para o plano de dados usado no licenciamento e no envio por push de alertas e dados de cobrança. Necessário apenas para o Azure Stack HCI, versão 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | URL anterior do plano de dados. Essa URL foi alterada recentemente, os clientes que registraram o cluster usando essa URL antiga também devem fazer a lista de permitidos. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Para o registro de contêiner de VM do Arc no Azure Stack HCI. Necessário apenas para o Azure Stack HCI, versão 23H2. |
| Arc For Servers | aka.ms | 443 | Para resolver o script de download durante a instalação. |
| Arc For Servers | download.microsoft.com | 443 | Para baixar o pacote de instalação do Windows. |
| Arc For Servers | login.windows.net | 443 | Para Microsoft Entra ID |
| Arc For Servers | login.microsoftonline.com | 443 | Para Microsoft Entra ID |
| Arc For Servers | pas.windows.net | 443 | Para Microsoft Entra ID |
| Arc For Servers | management.azure.com | 443 | Para o Azure Resource Manager criar ou excluir o recurso do Servidor Arc |
| Arc For Servers | guestnotificationservice.azure.com | 443 | Para o serviço de notificação para cenários de extensão e conectividade |
| Arc For Servers | *.his.arc.azure.com | 443 | Para metadados e serviços de identidade híbrida |
| Arc For Servers | *.guestconfiguration.azure.com | 443 | Para serviços de configuração de convidado e gerenciamento de extensão |
| Arc For Servers | *.guestnotificationservice.azure.com | 443 | Para o serviço de notificação para cenários de extensão e conectividade |
| Arc For Servers | azgn*.servicebus.windows.net | 443 | Para o serviço de notificação para cenários de extensão e conectividade |
| Arc For Servers | *.servicebus.windows.net | 443 | Para casos do Windows Admin Center e do SSH |
| Arc For Servers | *.waconazure.com | 443 | Para conectividade com o Windows Admin Center |
| Arc For Servers | *.blob.core.windows.net | 443 | Para obter a origem do download para extensões de servidores habilitados para Azure Arc |
Para obter uma lista abrangente de todas as URLs de firewall, baixe a planilha urls de firewall.
URLs de firewall recomendadas
A tabela a seguir fornece uma lista de URLs de firewall recomendadas. Se o firewall de saída for restrito, recomendamos incluir as URLs e portas descritas nesta seção para sua lista de permissões.
Observação
As regras de firewall do Azure Stack HCI são os pontos de extremidade mínimos necessários para conectividade HciSvc e não contêm curingas. No entanto, a tabela a seguir contém atualmente URLs curinga, que podem ser atualizadas em pontos de extremidade precisos no futuro.
| Serviço | URL | Porta | Observações |
|---|---|---|---|
| Benefícios do Azure no Azure Stack HCI | crl3.digicert.com | 80 | Permite que o serviço de atestado de plataforma no Azure Stack HCI execute uma lista de revogação de certificados marcar para fornecer garantia de que as VMs estão realmente em execução em ambientes do Azure. |
| Benefícios do Azure no Azure Stack HCI | crl4.digicert.com | 80 | Permite que o serviço de atestado de plataforma no Azure Stack HCI execute uma lista de revogação de certificados marcar para fornecer garantia de que as VMs estão realmente em execução em ambientes do Azure. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Para obter o módulo do PowerShell Az.StackHCI, que é necessário para o registro de cluster. Como alternativa, você pode baixar e instalar o módulo do PowerShell Az.StackHCI manualmente de Galeria do PowerShell. |
| Testemunha de Nuvem do Cluster | *.blob.core.windows.net | 443 | Para acesso de firewall ao contêiner de blobs do Azure, se optar por usar uma testemunha de nuvem como testemunha de cluster, o que é opcional. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | download.windowsupdate.com | 80 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | download.microsoft.com | 443 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | wustat.windows.com | 80 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | go.microsoft.com | 80 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | *.windowsupdate.com | 80 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o sistema operacional receba atualizações. |
Requisitos de firewall para serviços adicionais do Azure
Dependendo dos serviços adicionais do Azure habilitados no HCI, talvez seja necessário fazer alterações adicionais na configuração do firewall. Consulte os seguintes links para obter informações sobre os requisitos de firewall para cada serviço do Azure:
- AKS no Azure Stack HCI
- Servidores habilitados para Azure Arc
- Requisitos de rede da ponte de recursos do Azure Arc
- Agente do Azure Monitor
- Azure portal
- Azure Site Recovery
- Área de Trabalho Virtual do Azure
- Microsoft Defender
- Agente de Monitoramento da Microsoft (MMA) e Agente do Log Analytics
- Qualys
- Suporte remoto
- Windows Admin Center
- Windows Admin Center em portal do Azure
Requisitos de firewall para portas e regras internas
Verifique se as portas de rede adequadas estão abertas entre todos os nós de servidor dentro de um site e entre sites para clusters estendidos (a funcionalidade de cluster estendido só está disponível no Azure Stack HCI, versão 22H2.). Você precisará de regras de firewall apropriadas para permitir o tráfego bidirecional ICMP, SMB (porta 445, mais a porta 5445 para SMB Direct se estiver usando o RDMA iWARP) e o tráfego bidirecional WS-MAN (porta 5985) entre todos os servidores no cluster.
Ao usar o assistente de Criação de Cluster no Windows Admin Center para criar o cluster, o assistente abre automaticamente as portas de firewall apropriadas em cada servidor no cluster para Clustering de Failover, Hyper-V e Réplica de Armazenamento. Se você estiver usando um firewall diferente em cada servidor, abra as portas conforme descrito nas seções a seguir:
Gerenciamento do sistema operacional Azure Stack HCI
Verifique se as regras de firewall a seguir estão configuradas no firewall local para o gerenciamento do sistema operacional Azure Stack HCI, incluindo licenciamento e cobrança.
| Regra | Ação | Fonte | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir tráfego de entrada/saída de e para o serviço Azure Stack HCI em servidores de cluster | Allow | Servidores clusterizados | Servidores clusterizados | TCP | 30301 |
Windows Admin Center
Verifique se as regras de firewall a seguir estão configuradas no firewall local para Windows Admin Center.
| Regra | Ação | Fonte | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Fornecer acesso ao Azure e ao Microsoft Update | Allow | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Usar o WinRM (Gerenciamento Remoto do Windows) 2.0 para conexões HTTP para executar comandos em servidores Windows remotos |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Usar o WinRM 2.0 para conexões HTTPS a serem executadas comandos em servidores Windows remotos |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Observação
Durante a instalação Windows Admin Center, se você selecionar a configuração Usar WinRM somente por HTTPS, a porta 5986 será necessária.
Clustering de failover
Verifique se as regras de firewall a seguir estão configuradas no firewall local para Clustering de Failover.
| Regra | Ação | Fonte | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir validação do cluster de failover | Allow | Sistema de gerenciamento | Servidores clusterizados | TCP | 445 |
| Permitir alocação de porta dinâmica RPC | Allow | Sistema de gerenciamento | Servidores clusterizados | TCP | Mínimo de 100 portas acima da porta 5000 |
| Permitir RPC (Chamada de Procedimento Remoto) | Allow | Sistema de gerenciamento | Servidores clusterizados | TCP | 135 |
| Permitir Administrador de Cluster | Allow | Sistema de gerenciamento | Servidores clusterizados | UDP | 137 |
| Permitir Serviço de Cluster | Allow | Sistema de gerenciamento | Servidores clusterizados | UDP | 3343 |
| Permitir Serviço de Cluster (Obrigatório durante uma operação de junção de servidor.) |
Allow | Sistema de gerenciamento | Servidores clusterizados | TCP | 3343 |
| Permitir ICMPv4 e ICMPv6 para validação do cluster de failover |
Allow | Sistema de gerenciamento | Servidores clusterizados | n/d | N/D |
Observação
O sistema de gerenciamento inclui qualquer computador do qual você planeja administrar o cluster, usando ferramentas como Windows Admin Center, Windows PowerShell ou System Center Virtual Machine Manager.
Hyper-V
Verifique se as regras de firewall a seguir estão configuradas no firewall local do Hyper-V.
| Regra | Ação | Fonte | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir comunicação de cluster | Allow | Sistema de gerenciamento | Servidor Hyper-V | TCP | 445 |
| Permitir Mapeador de Ponto de Extremidade RPC e WMI | Allow | Sistema de gerenciamento | Servidor Hyper-V | TCP | 135 |
| Permitir conectividade HTTP | Allow | Sistema de gerenciamento | Servidor Hyper-V | TCP | 80 |
| Permitir conectividade HTTPS | Allow | Sistema de gerenciamento | Servidor Hyper-V | TCP | 443 |
| Permitir Migração Dinâmica | Allow | Sistema de gerenciamento | Servidor Hyper-V | TCP | 6600 |
| Permitir Serviço de Gerenciamento de VM | Allow | Sistema de gerenciamento | Servidor Hyper-V | TCP | 2179 |
| Permitir alocação de porta dinâmica RPC | Allow | Sistema de gerenciamento | Servidor Hyper-V | TCP | Mínimo de 100 portas acima da porta 5000 |
Observação
Abra um intervalo de portas acima da porta 5000 para permitir a alocação de porta dinâmica RPC. Portas abaixo de 5000 podem já estar em uso por outros aplicativos e podem causar conflitos com aplicativos DCOM. A experiência anterior mostra que um mínimo de 100 portas devem ser abertas, pois vários serviços do sistema dependem dessas portas RPC para se comunicarem entre si. Para obter mais informações, consulte Como configurar a alocação de porta dinâmica RPC para trabalhar com firewalls.
Réplica de armazenamento (cluster estendido)
Verifique se as regras de firewall a seguir estão configuradas no firewall local para a Réplica de Armazenamento (cluster estendido).
| Regra | Ação | Fonte | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir Bloco de Mensagens do Servidor Protocolo (SMB) |
Allow | Servidores de cluster estendidos | Servidores de cluster estendidos | TCP | 445 |
| Permitir Services-Management web (WS-MAN) |
Allow | Servidores de cluster estendidos | Servidores de cluster estendidos | TCP | 5985 |
| Permitir ICMPv4 e ICMPv6 (se estiver usando o Test-SRTopologyCmdlet do PowerShell) |
Allow | Servidores de cluster estendidos | Servidores de cluster estendidos | n/d | n/d |
Atualizar Microsoft Defender firewall
Esta seção mostra como configurar Microsoft Defender firewall para permitir que endereços IP associados a uma marca de serviço se conectem ao sistema operacional. Uma marca de serviço representa um grupo de endereços IP de um determinado serviço do Azure. A Microsoft gerencia os endereços IP incluídos na marca de serviço e atualiza automaticamente a marca de serviço à medida que os endereços IP mudam para manter as atualizações no mínimo. Para saber mais, confira Marcas de serviço de rede virtual.
Baixe o arquivo JSON do seguinte recurso para o computador de destino que executa o sistema operacional: Intervalos de IP do Azure e Marcas de Serviço – Nuvem Pública.
Use o seguinte comando do PowerShell para abrir o arquivo JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonObtenha a lista de intervalos de endereços IP para uma determinada marca de serviço, como a marca de serviço "AzureResourceManager":
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImporte a lista de endereços IP para o firewall corporativo externo, se você estiver usando uma lista de permitidos com ele.
Crie uma regra de firewall para cada servidor no cluster para permitir o tráfego HTTPS (443 de saída) para a lista de intervalos de endereços IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Próximas etapas
Para obter mais informações, consulte também:
- A seção Firewall do Windows e portas WinRM 2.0 de Instalação e configuração para o Gerenciamento Remoto do Windows
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de