Требования к брандмауэру для Azure Stack HCI

Область применения: Azure Stack HCI версий 23H2 и 22H2

В этой статье содержатся рекомендации по настройке брандмауэров для операционной системы Azure Stack HCI. Он включает требования к брандмауэру для исходящих конечных точек, а также внутренние правила и порты. В этой статье также содержатся сведения об использовании тегов службы Azure с брандмауэром Microsoft Defender.

Если ваша сеть использует прокси-сервер для доступа к Интернету, см. статью Настройка параметров прокси-сервера для Azure Stack HCI.

Требования к брандмауэру для исходящих конечных точек

Открытие порта 443 для исходящего сетевого трафика в брандмауэре организации соответствует требованиям к подключению операционной системы к Azure и Центру обновления Майкрософт. Если исходящий брандмауэр ограничен, рекомендуется включить URL-адреса и порты, описанные в разделе Рекомендуемые URL-адреса брандмауэра этой статьи.

Azure Stack HCI необходимо периодически подключаться к Azure. Доступ ограничен только следующими:

  • Известные IP-адреса Azure
  • Направление исходящего трафика
  • Порт 443 (HTTPS)

Важно!

Azure Stack HCI не поддерживает проверку HTTPS. Убедитесь, что проверка HTTPS отключена вдоль сетевого пути для Azure Stack HCI, чтобы предотвратить ошибки подключения.

Как показано на следующей схеме, Azure Stack HCI может получить доступ к Azure с помощью нескольких брандмауэров.

На схеме показано, как Azure Stack HCI обращается к конечным точкам тегов службы через порт 443 (HTTPS) брандмауэров.

В этой статье описывается, как при необходимости использовать конфигурацию брандмауэра с высокой степенью блокировки для блокировки всего трафика во все назначения, кроме включенных в список разрешений.

Необходимые URL-адреса брандмауэра

В следующей таблице приведен список необходимых URL-адресов брандмауэра. Не забудьте включить эти URL-адреса в список разрешений.

Следуйте требованиям к брандмауэру для AKS в Azure Stack HCI.

Примечание

Правила брандмауэра Azure Stack HCI — это минимальные конечные точки, необходимые для подключения HciSvc, и не содержат подстановочные знаки. Однако в следующей таблице в настоящее время содержатся URL-адреса с подстановочными знаками, которые в будущем могут быть обновлены до точных конечных точек.

Служба URL-адрес Порт Примечания
Скачивание Обновления Azure Stack HCI fe3.delivery.mp.microsoft.com 443 Для обновления Azure Stack HCI версии 23H2.
Скачивание Обновления Azure Stack HCI tlu.dl.delivery.mp.microsoft.com 80 Для обновления Azure Stack HCI версии 23H2.
Azure Stack HCI login.microsoftonline.com 443 Для центра Active Directory и используется для проверки подлинности, получения маркеров и проверки.
Azure Stack HCI graph.windows.net 443 Для Graph используется для проверки подлинности, получения маркеров и проверки.
Azure Stack HCI management.azure.com 443 Для Resource Manager и используется во время начальной начальной загрузки кластера в Azure для регистрации и отмены регистрации кластера.
Azure Stack HCI dp.stackhci.azure.com 443 Для плоскости данных, которая отправляет диагностика данные и используется в конвейере портал Azure и отправляет данные выставления счетов.
Azure Stack HCI *.platform.edge.azure.com 443 Для плоскости данных, используемой в лицензировании и отправке оповещений и данных выставления счетов. Требуется только для Azure Stack HCI версии 23H2.
Azure Stack HCI azurestackhci.azurefd.net 443 Предыдущий URL-адрес плоскости данных. Этот URL-адрес был недавно изменен, и клиенты, которые зарегистрировали свой кластер с помощью этого старого URL-адреса, также должны разрешить его.
Arc для серверов aka.ms 443 Для разрешения скрипта скачивания во время установки.
Arc для серверов download.microsoft.com 443 Для скачивания пакета установки Windows.
Arc для серверов login.windows.net 443 Для Microsoft Entra ID
Arc для серверов login.microsoftonline.com 443 Для Microsoft Entra ID
Arc для серверов pas.windows.net 443 Для Microsoft Entra ID
Arc для серверов management.azure.com 443 Создание или удаление ресурса Arc Server для Resource Manager Azure
Arc для серверов guestnotificationservice.azure.com 443 Для службы уведомлений для сценариев расширения и подключения
Arc для серверов *.his.arc.azure.com 443 Для метаданных и гибридных служб удостоверений
Arc для серверов *.guestconfiguration.azure.com 443 Для служб управления расширениями и гостевой конфигурации
Arc для серверов *.guestnotificationservice.azure.com 443 Служба уведомлений для сценариев расширения и подключения
Arc для серверов azgn*.servicebus.windows.net 443 Служба уведомлений для сценариев расширения и подключения
Arc для серверов *.servicebus.windows.net 443 Для сценариев Windows Admin Center и SSH
Arc для серверов *.waconazure.com 443 Для Windows Admin Center подключения
Arc для серверов *.blob.core.windows.net 443 Источник загрузки расширений серверов с поддержкой Azure Arc

Чтобы получить полный список всех URL-адресов брандмауэра, скачайте электронную таблицу URL-адреса брандмауэра.

В следующей таблице приведен список рекомендуемых URL-адресов брандмауэра. Если исходящий брандмауэр ограничен, рекомендуется включить URL-адреса и порты, описанные в этом разделе, в список разрешений.

Примечание

Правила брандмауэра Azure Stack HCI — это минимальные конечные точки, необходимые для подключения HciSvc, и не содержат подстановочные знаки. Однако в следующей таблице в настоящее время содержатся URL-адреса с подстановочными знаками, которые в будущем могут быть обновлены до точных конечных точек.

Служба URL-адрес Порт Примечания
Преимущества Azure в Azure Stack HCI crl3.digicert.com 80 Позволяет службе аттестации платформы в Azure Stack HCI выполнять список отзыва сертификатов проверка, чтобы гарантировать, что виртуальные машины действительно работают в средах Azure.
Преимущества Azure в Azure Stack HCI crl4.digicert.com 80 Позволяет службе аттестации платформы в Azure Stack HCI выполнять список отзыва сертификатов проверка, чтобы гарантировать, что виртуальные машины действительно работают в средах Azure.
Azure Stack HCI *.powershellgallery.com 443 Получение модуля PowerShell Az.StackHCI, необходимого для регистрации кластера. Кроме того, вы можете скачать и установить модуль PowerShell Az.StackHCI вручную из коллекция PowerShell.
Облако-свидетель кластера *.blob.core.windows.net 443 Для доступа брандмауэра к контейнеру BLOB-объектов Azure, если вы выбираете использовать облачный свидетель в качестве следящего сервера кластера, что является необязательным.
Microsoft Update windowsupdate.microsoft.com 80 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update download.windowsupdate.com 80 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update *.download.windowsupdate.com 80 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update download.microsoft.com 443 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update wustat.windows.com 80 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update ntservicepack.microsoft.com 80 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update go.microsoft.com 80 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update dl.delivery.mp.microsoft.com 80, 443 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update *.delivery.mp.microsoft.com 80, 443 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update *.windowsupdate.microsoft.com 80, 443 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update *.windowsupdate.com 80 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.
Microsoft Update *.update.microsoft.com 80, 443 Для Центра обновления Майкрософт, который позволяет ОС получать обновления.

Требования к брандмауэру для дополнительных служб Azure

В зависимости от дополнительных служб Azure, которые вы включаете в HCI, может потребоваться внести дополнительные изменения в конфигурацию брандмауэра. Сведения о требованиях к брандмауэру для каждой службы Azure см. по следующим ссылкам:

Требования к брандмауэру для внутренних правил и портов

Убедитесь, что правильные сетевые порты открыты между всеми узлами сервера как внутри сайта, так и между сайтами (для растянутых кластеров). Вам потребуются соответствующие правила брандмауэра, чтобы разрешить двунаправленный трафик ICMP, SMB (порт 445 и порт 5445 для SMB Direct при использовании iWARP RDMA) и WS-MAN (порт 5985).

При использовании мастера создания кластера в Windows Admin Center для создания кластера мастер автоматически открывает соответствующие порты брандмауэра на каждом сервере в кластере для отказоустойчивой кластеризации, Hyper-V и реплики хранилища. Если на каждом сервере используется отдельный брандмауэр, откройте порты, как описано в следующих разделах:

Управление ОС Azure Stack HCI

Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для управления ОС Azure Stack HCI, включая лицензирование и выставление счетов.

Правило Действие Источник Назначение Служба порты;
Разрешение входящего и исходящего трафика в службу Azure Stack HCI на серверах кластера Allow Серверы кластера Серверы кластера TCP 30301

Windows Admin Center;

Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для Windows Admin Center.

Правило Действие Источник Назначение Служба порты;
Предоставление доступа к Azure и Центру обновления Майкрософт Allow Windows Admin Center; Azure Stack HCI TCP 445
Использование удаленного управления Windows (WinRM) 2.0
для HTTP-подключений для выполнения команд
на удаленных серверах Windows
Allow Windows Admin Center; Azure Stack HCI TCP 5985
Использование WinRM 2.0 для httpS-подключений для запуска
команды на удаленных серверах Windows
Allow Windows Admin Center; Azure Stack HCI TCP 5986

Примечание

Если при установке Windows Admin Center выбран параметр Использовать WinRM только через HTTPS, потребуется порт 5986.

Отказоустойчивая кластеризация

Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для отказоустойчивой кластеризации.

Правило Действие Источник Назначение Служба порты;
Разрешить проверку отказоустойчивого кластера Allow Система управления Серверы кластера TCP 445
Разрешить динамическое выделение портов RPC Allow Система управления Серверы кластера TCP Не менее 100 портов
выше порта 5000
Разрешить удаленный вызов процедур (RPC) Allow Система управления Серверы кластера TCP 135
Разрешить администратору кластера Allow Система управления Серверы кластера UDP 137
Разрешить службу кластеров Allow Система управления Серверы кластера UDP 3343
Разрешить службу кластеров (требуется во время
операция присоединения к серверу.)
Allow Система управления Серверы кластера TCP 3343
Разрешить ICMPv4 и ICMPv6
для проверки отказоустойчивого кластера
Allow Система управления Серверы кластера Недоступно Недоступно

Примечание

Система управления включает любой компьютер, с которого планируется администрирование кластера, с помощью таких средств, как Windows Admin Center, Windows PowerShell или System Center Virtual Machine Manager.

Hyper-V

Убедитесь, что в локальном брандмауэре для Hyper-V настроены следующие правила брандмауэра.

Правило Действие Источник Назначение Служба порты;
Разрешить взаимодействие с кластером Allow Система управления Сервер Hyper-V TCP 445
Разрешить сопоставитель конечных точек RPC и WMI Allow Система управления Сервер Hyper-V TCP 135
Разрешить http-подключение Allow Система управления Сервер Hyper-V TCP 80
Разрешить подключение по протоколу HTTPS Allow Система управления Сервер Hyper-V TCP 443
Разрешить динамическую миграцию Allow Система управления Сервер Hyper-V TCP 6600
Разрешить службу управления виртуальными машинами Allow Система управления Сервер Hyper-V TCP 2179
Разрешить динамическое выделение портов RPC Allow Система управления Сервер Hyper-V TCP Минимум 100 портов
выше порта 5000

Примечание

Откройте диапазон портов выше порта 5000, чтобы разрешить динамическое выделение портов RPC. Порты ниже 5000 могут уже использоваться другими приложениями и могут привести к конфликтам с приложениями DCOM. Предыдущий опыт показывает, что необходимо открыть не менее 100 портов, так как несколько системных служб используют эти порты RPC для обмена данными друг с другом. Дополнительные сведения см. в статье Настройка динамического выделения портов RPC для работы с брандмауэрами.

Реплика хранилища (растянутый кластер)

Убедитесь, что в локальном брандмауэре для реплики хранилища (растянутого кластера) настроены следующие правила брандмауэра.

Правило Действие Источник Назначение Служба порты;
Разрешить блок сообщений сервера
Протокол (SMB)
Allow Растянутые серверы кластера Растянутые серверы кластера TCP 445
Разрешить веб-Services-Management
(WS-MAN)
Allow Растянутые серверы кластера Растянутые серверы кластера TCP 5985
Разрешить ICMPv4 и ICMPv6
(если используется Test-SRTopology
Командлет PowerShell)
Allow Растянутые кластерные серверы Растянутые кластерные серверы Недоступно Недоступно

Обновление брандмауэра Microsoft Defender

В этом разделе показано, как настроить брандмауэр Microsoft Defender, чтобы разрешить IP-адресам, связанным с тегом службы, подключаться к операционной системе. Тег службы представляет группу IP-адресов из заданной службы Azure. Корпорация Майкрософт управляет IP-адресами, включенными в тег службы, и автоматически обновляет тег службы по мере изменения IP-адресов, чтобы свести обновления к минимуму. Дополнительные сведения см. в статье Теги службы виртуальной сети.

  1. Скачайте JSON-файл из следующего ресурса на целевой компьютер под управлением операционной системы: Диапазоны IP-адресов Azure и Теги служб — общедоступное облако.

  2. Чтобы открыть JSON-файл, используйте следующую команду PowerShell:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Получение списка диапазонов IP-адресов для заданного тега службы, например тега службы AzureResourceManager:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Импортируйте список IP-адресов во внешний корпоративный брандмауэр, если вы используете список разрешений.

  5. Создайте правило брандмауэра для каждого сервера в кластере, чтобы разрешить исходящий трафик 443 (HTTPS) в список диапазонов IP-адресов:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Дальнейшие действия

Дополнительные сведения см. также в следующих разделах: