Требования к брандмауэру для Azure Stack HCI
Область применения: Azure Stack HCI, версии 23H2 и 22H2
В этой статье содержатся рекомендации по настройке брандмауэров для операционной системы Azure Stack HCI. Он включает требования к брандмауэру для исходящих конечных точек и внутренних правил и портов. В этой статье также содержатся сведения об использовании тегов службы Azure с брандмауэром Microsoft Defender.
В этой статье также описывается, как при необходимости использовать конфигурацию брандмауэра с высокой блокировкой для блокировки всего трафика ко всем назначениям, кроме включенных в список разрешений.
Если сеть использует прокси-сервер для доступа к Интернету, см. статью "Настройка параметров прокси-сервера для Azure Stack HCI".
Внимание
Azure Express Route и Приватный канал Azure не поддерживаются для Azure Stack HCI версии 23H2 или любого из его компонентов, так как доступ к общедоступным конечным точкам, необходимым для Azure Stack HCI версии 23H2, невозможно.
Требования к брандмауэру для исходящих конечных точек
Открытие портов 80 и 443 для исходящего сетевого трафика в брандмауэре организации соответствует требованиям к подключению операционной системы Azure Stack HCI для подключения к Azure и Центру обновления Майкрософт.
Azure Stack HCI необходимо периодически подключаться к Azure для:
- Известные IP-адреса Azure
- Направление исходящего трафика
- Порты 80 (HTTP) и 443 (HTTPS)
Внимание
Azure Stack HCI не поддерживает проверку HTTPS. Убедитесь, что проверка HTTPS отключена по сетевому пути для Azure Stack HCI, чтобы предотвратить ошибки подключения.
Как показано на следующей схеме, Azure Stack HCI может получить доступ к Azure с помощью нескольких брандмауэров.
Обязательные URL-адреса брандмауэра для развертываний Azure Stack HCI 23H2
Начиная с Azure Stack HCI версии 23H2, все кластеры автоматически позволяют инфраструктуре Azure Resource Bridge и AKS использовать агент Arc для серверов для подключения к плоскости управления Azure. Наряду со списком конкретных конечных точек HCI в следующей таблице, конечные точки Azure Resource Bridge в Azure Stack HCI, конечные точки AKS в Azure Stack HCI и конечные точки серверов с поддержкой Azure Arc должны быть включены в список разрешений брандмауэра.
Для объединенного списка конечных точек восточной части США, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:
Для западной Европы консолидированный список конечных точек, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:
Для Восточной Австралии консолидированный список конечных точек, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:
Для центрального центра Канады консолидированный список конечных точек, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:
Для Центральной Индии консолидированный список конечных точек, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:
Требования к брандмауэру для дополнительных служб Azure
В зависимости от дополнительных служб Azure, которые вы включаете для Azure Stack HCI, может потребоваться внести дополнительные изменения конфигурации брандмауэра. Дополнительные сведения о требованиях брандмауэра для каждой службы Azure см. по следующим ссылкам:
- Агент Azure Monitor
- Портал Azure
- Azure Site Recovery
- Виртуальный рабочий стол Azure
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) и Log Analytics Agent
- Qualys
- Удаленная поддержка
- Windows Admin Center;
- Центр администрирования Windows в портал Azure
Требования к брандмауэру для внутренних правил и портов
Убедитесь, что правильные сетевые порты открыты между всеми узлами сервера, как на сайте, так и между сайтами для растянутых кластеров (функции растянутого кластера доступны только в Azure Stack HCI версии 22H2.). Вам потребуется соответствующие правила брандмауэра, чтобы разрешить ICMP, SMB (порт 445, а также порт 5445 для SMB Direct при использовании iWARP RDMA) и двунаправленный трафик WS-MAN (порт 5985) между всеми серверами в кластере.
При использовании мастера создания кластера в Windows Admin Center для создания кластера мастер автоматически открывает соответствующие порты брандмауэра на каждом сервере в кластере для отказоустойчивой кластеризации, Hyper-V и реплики хранилища. Если на каждом сервере используется другой брандмауэр, откройте порты, как описано в следующих разделах:
Управление ОС Azure Stack HCI
Убедитесь, что следующие правила брандмауэра настроены в локальном брандмауэре для управления ОС Azure Stack HCI, включая лицензирование и выставление счетов.
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить входящий и исходящий трафик из службы Azure Stack HCI на серверах кластера | Разрешить | Серверы кластера | Серверы кластера | TCP | 30301 |
Windows Admin Center;
Убедитесь, что в локальном брандмауэре для Windows Admin Center настроены следующие правила брандмауэра.
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Предоставление доступа к Azure и Центру обновления Майкрософт | Разрешить | Windows Admin Center; | Azure Stack HCI | TCP | 445 |
| Использование удаленного управления Windows (WinRM) 2.0 для HTTP-подключений для выполнения команд на удаленных серверах Windows |
Разрешить | Windows Admin Center; | Azure Stack HCI | TCP | 5985 |
| Использование WinRM 2.0 для выполнения подключений HTTPS команды на удаленных серверах Windows |
Разрешить | Windows Admin Center; | Azure Stack HCI | TCP | 5986 |
Примечание.
При установке Windows Admin Center при выборе параметра "Использовать WinRM" по протоколу HTTPS требуется только порт 5986.
Active Directory
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для Active Directory (локальный центр безопасности).
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить входящие и исходящие подключения к веб-службам Active Directory (ADWS) и службе шлюза управления Active Directory | Разрешить | Службы Active Directory | Azure Stack HCI | TCP | 9389 |
Отказоустойчивая кластеризация
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для отказоустойчивой кластеризации.
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить проверку отказоустойчивого кластера | Разрешить | Система управления | Серверы кластера | TCP | 445 |
| Разрешить динамическое выделение портов RPC | Разрешить | Система управления | Серверы кластера | TCP | Не менее 100 портов выше порта 5000 |
| Разрешить удаленный вызов процедуры (RPC) | Разрешить | Система управления | Серверы кластера | TCP | 135 |
| Разрешить администратору кластера | Разрешить | Система управления | Серверы кластера | UDP | 137 |
| Разрешить службу кластеров | Разрешить | Система управления | Серверы кластера | UDP | 3343 |
| Разрешить службу кластеров (требуется во время операция присоединения сервера.) |
Разрешить | Система управления | Серверы кластера | TCP | 3343 |
| Разрешить ICMPv4 и ICMPv6 Для проверки отказоустойчивого кластера |
Разрешить | Система управления | Серверы кластера | Недоступно | Недоступно |
Примечание.
Система управления включает любой компьютер, с которого планируется администрировать кластер, используя такие средства, как Windows Admin Center, Windows PowerShell или System Center диспетчер виртуальных машин.
Hyper-V
Убедитесь, что в локальном брандмауэре для Hyper-V настроены следующие правила брандмауэра.
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить обмен данными между кластерами | Разрешить | Система управления | Сервер Hyper-V | TCP | 445 |
| Разрешить сопоставление конечных точек RPC и WMI | Разрешить | Система управления | Сервер Hyper-V | TCP | 135 |
| Разрешить http-подключение | Разрешить | Система управления | Сервер Hyper-V | TCP | 80 |
| Разрешить подключение HTTPS | Разрешить | Система управления | Сервер Hyper-V | TCP | 443 |
| Разрешить динамическую миграцию | Разрешить | Система управления | Сервер Hyper-V | TCP | 6600 |
| Разрешить службу управления виртуальными машинами | Разрешить | Система управления | Сервер Hyper-V | TCP | 2179 |
| Разрешить динамическое выделение портов RPC | Разрешить | Система управления | Сервер Hyper-V | TCP | Не менее 100 портов выше порта 5000 |
Примечание.
Откройте диапазон портов выше порта 5000, чтобы разрешить динамическое выделение портов RPC. Порты ниже 5000 уже могут использоваться другими приложениями и могут привести к конфликтам с приложениями DCOM. Предыдущий опыт показывает, что необходимо открыть не менее 100 портов, так как несколько системных служб используют эти порты RPC для взаимодействия друг с другом. Дополнительные сведения см. в статье "Настройка динамического распределения портов RPC для работы с брандмауэрами".
Реплика хранилища (растянутый кластер)
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для реплики хранилища (растянутый кластер).
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить блок сообщений сервера Протокол SMB |
Разрешить | Растянутые серверы кластера | Растянутые серверы кластера | TCP | 445 |
| Разрешить управление веб-службами (WS-MAN) |
Разрешить | Растянутые серверы кластера | Растянутые серверы кластера | TCP | 5985 |
| Разрешить ICMPv4 и ICMPv6 (при использовании Test-SRTopologyКомандлет PowerShell) |
Разрешить | Растянутые серверы кластера | Растянутые серверы кластера | Недоступно | Недоступно |
Обновление брандмауэра Microsoft Defender
В этом разделе показано, как настроить брандмауэр Microsoft Defender для разрешения IP-адресов, связанных с тегом службы для подключения к операционной системе. Тег службы представляет группу IP-адресов из данной службы Azure. Корпорация Майкрософт управляет IP-адресами, включенными в тег службы, и автоматически обновляет тег службы по мере изменения IP-адресов, чтобы обеспечить минимальное обновление. Дополнительные сведения см. в разделе тегов службы виртуальной сети.
Скачайте JSON-файл из следующего ресурса на целевой компьютер под управлением операционной системы: диапазоны IP-адресов Azure и теги службы — общедоступное облако.
Чтобы открыть JSON-файл, используйте следующую команду PowerShell:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonПолучите список диапазонов IP-адресов для заданного тега службы, например
AzureResourceManagerтега службы:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesИмпортируйте список IP-адресов во внешний корпоративный брандмауэр, если с ним используется список разрешений.
Создайте правило брандмауэра для каждого сервера в кластере, чтобы разрешить исходящий трафик 443 (HTTPS) в список диапазонов IP-адресов:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Следующие шаги
Дополнительные сведения см. также в следующих разделах:
- Раздел "Брандмауэр Windows" и "Порты WinRM 2.0" установки и настройки удаленного управления Windows