Поделиться через


Требования к брандмауэру для Azure Stack HCI

Область применения: Azure Stack HCI, версии 23H2 и 22H2

В этой статье содержатся рекомендации по настройке брандмауэров для операционной системы Azure Stack HCI. Он включает требования к брандмауэру для исходящих конечных точек и внутренних правил и портов. В этой статье также содержатся сведения об использовании тегов службы Azure с брандмауэром Microsoft Defender.

В этой статье также описывается, как при необходимости использовать конфигурацию брандмауэра с высокой блокировкой для блокировки всего трафика ко всем назначениям, кроме включенных в список разрешений.

Если сеть использует прокси-сервер для доступа к Интернету, см. статью "Настройка параметров прокси-сервера для Azure Stack HCI".

Внимание

Azure Express Route и Приватный канал Azure не поддерживаются для Azure Stack HCI версии 23H2 или любого из его компонентов, так как доступ к общедоступным конечным точкам, необходимым для Azure Stack HCI версии 23H2, невозможно.

Требования к брандмауэру для исходящих конечных точек

Открытие портов 80 и 443 для исходящего сетевого трафика в брандмауэре организации соответствует требованиям к подключению операционной системы Azure Stack HCI для подключения к Azure и Центру обновления Майкрософт.

Azure Stack HCI необходимо периодически подключаться к Azure для:

  • Известные IP-адреса Azure
  • Направление исходящего трафика
  • Порты 80 (HTTP) и 443 (HTTPS)

Внимание

Azure Stack HCI не поддерживает проверку HTTPS. Убедитесь, что проверка HTTPS отключена по сетевому пути для Azure Stack HCI, чтобы предотвратить ошибки подключения.

Как показано на следующей схеме, Azure Stack HCI может получить доступ к Azure с помощью нескольких брандмауэров.

На схеме показан доступ к конечным точкам тега службы Azure Stack HCI через порт 443 (HTTPS) брандмауэров.

Обязательные URL-адреса брандмауэра для развертываний Azure Stack HCI 23H2

Начиная с Azure Stack HCI версии 23H2, все кластеры автоматически позволяют инфраструктуре Azure Resource Bridge и AKS использовать агент Arc для серверов для подключения к плоскости управления Azure. Наряду со списком конкретных конечных точек HCI в следующей таблице, конечные точки Azure Resource Bridge в Azure Stack HCI, конечные точки AKS в Azure Stack HCI и конечные точки серверов с поддержкой Azure Arc должны быть включены в список разрешений брандмауэра.

Для объединенного списка конечных точек восточной части США, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:

Для западной Европы консолидированный список конечных точек, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:

Для Восточной Австралии консолидированный список конечных точек, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:

Для центрального центра Канады консолидированный список конечных точек, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:

Для Центральной Индии консолидированный список конечных точек, включая HCI, серверы с поддержкой Arc, используется ARB и AKS:

Требования к брандмауэру для дополнительных служб Azure

В зависимости от дополнительных служб Azure, которые вы включаете для Azure Stack HCI, может потребоваться внести дополнительные изменения конфигурации брандмауэра. Дополнительные сведения о требованиях брандмауэра для каждой службы Azure см. по следующим ссылкам:

Требования к брандмауэру для внутренних правил и портов

Убедитесь, что правильные сетевые порты открыты между всеми узлами сервера, как на сайте, так и между сайтами для растянутых кластеров (функции растянутого кластера доступны только в Azure Stack HCI версии 22H2.). Вам потребуется соответствующие правила брандмауэра, чтобы разрешить ICMP, SMB (порт 445, а также порт 5445 для SMB Direct при использовании iWARP RDMA) и двунаправленный трафик WS-MAN (порт 5985) между всеми серверами в кластере.

При использовании мастера создания кластера в Windows Admin Center для создания кластера мастер автоматически открывает соответствующие порты брандмауэра на каждом сервере в кластере для отказоустойчивой кластеризации, Hyper-V и реплики хранилища. Если на каждом сервере используется другой брандмауэр, откройте порты, как описано в следующих разделах:

Управление ОС Azure Stack HCI

Убедитесь, что следующие правила брандмауэра настроены в локальном брандмауэре для управления ОС Azure Stack HCI, включая лицензирование и выставление счетов.

Правило Действие Источник Назначение Service Порты
Разрешить входящий и исходящий трафик из службы Azure Stack HCI на серверах кластера Разрешить Серверы кластера Серверы кластера TCP 30301

Windows Admin Center;

Убедитесь, что в локальном брандмауэре для Windows Admin Center настроены следующие правила брандмауэра.

Правило Действие Источник Назначение Service Порты
Предоставление доступа к Azure и Центру обновления Майкрософт Разрешить Windows Admin Center; Azure Stack HCI TCP 445
Использование удаленного управления Windows (WinRM) 2.0
для HTTP-подключений для выполнения команд
на удаленных серверах Windows
Разрешить Windows Admin Center; Azure Stack HCI TCP 5985
Использование WinRM 2.0 для выполнения подключений HTTPS
команды на удаленных серверах Windows
Разрешить Windows Admin Center; Azure Stack HCI TCP 5986

Примечание.

При установке Windows Admin Center при выборе параметра "Использовать WinRM" по протоколу HTTPS требуется только порт 5986.

Active Directory

Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для Active Directory (локальный центр безопасности).

Правило Действие Источник Назначение Service Порты
Разрешить входящие и исходящие подключения к веб-службам Active Directory (ADWS) и службе шлюза управления Active Directory Разрешить Службы Active Directory Azure Stack HCI TCP 9389

Отказоустойчивая кластеризация

Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для отказоустойчивой кластеризации.

Правило Действие Источник Назначение Service Порты
Разрешить проверку отказоустойчивого кластера Разрешить Система управления Серверы кластера TCP 445
Разрешить динамическое выделение портов RPC Разрешить Система управления Серверы кластера TCP Не менее 100 портов
выше порта 5000
Разрешить удаленный вызов процедуры (RPC) Разрешить Система управления Серверы кластера TCP 135
Разрешить администратору кластера Разрешить Система управления Серверы кластера UDP 137
Разрешить службу кластеров Разрешить Система управления Серверы кластера UDP 3343
Разрешить службу кластеров (требуется во время
операция присоединения сервера.)
Разрешить Система управления Серверы кластера TCP 3343
Разрешить ICMPv4 и ICMPv6
Для проверки отказоустойчивого кластера
Разрешить Система управления Серверы кластера Недоступно Недоступно

Примечание.

Система управления включает любой компьютер, с которого планируется администрировать кластер, используя такие средства, как Windows Admin Center, Windows PowerShell или System Center диспетчер виртуальных машин.

Hyper-V

Убедитесь, что в локальном брандмауэре для Hyper-V настроены следующие правила брандмауэра.

Правило Действие Источник Назначение Service Порты
Разрешить обмен данными между кластерами Разрешить Система управления Сервер Hyper-V TCP 445
Разрешить сопоставление конечных точек RPC и WMI Разрешить Система управления Сервер Hyper-V TCP 135
Разрешить http-подключение Разрешить Система управления Сервер Hyper-V TCP 80
Разрешить подключение HTTPS Разрешить Система управления Сервер Hyper-V TCP 443
Разрешить динамическую миграцию Разрешить Система управления Сервер Hyper-V TCP 6600
Разрешить службу управления виртуальными машинами Разрешить Система управления Сервер Hyper-V TCP 2179
Разрешить динамическое выделение портов RPC Разрешить Система управления Сервер Hyper-V TCP Не менее 100 портов
выше порта 5000

Примечание.

Откройте диапазон портов выше порта 5000, чтобы разрешить динамическое выделение портов RPC. Порты ниже 5000 уже могут использоваться другими приложениями и могут привести к конфликтам с приложениями DCOM. Предыдущий опыт показывает, что необходимо открыть не менее 100 портов, так как несколько системных служб используют эти порты RPC для взаимодействия друг с другом. Дополнительные сведения см. в статье "Настройка динамического распределения портов RPC для работы с брандмауэрами".

Реплика хранилища (растянутый кластер)

Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для реплики хранилища (растянутый кластер).

Правило Действие Источник Назначение Service Порты
Разрешить блок сообщений сервера
Протокол SMB
Разрешить Растянутые серверы кластера Растянутые серверы кластера TCP 445
Разрешить управление веб-службами
(WS-MAN)
Разрешить Растянутые серверы кластера Растянутые серверы кластера TCP 5985
Разрешить ICMPv4 и ICMPv6
(при использовании Test-SRTopology
Командлет PowerShell)
Разрешить Растянутые серверы кластера Растянутые серверы кластера Недоступно Недоступно

Обновление брандмауэра Microsoft Defender

В этом разделе показано, как настроить брандмауэр Microsoft Defender для разрешения IP-адресов, связанных с тегом службы для подключения к операционной системе. Тег службы представляет группу IP-адресов из данной службы Azure. Корпорация Майкрософт управляет IP-адресами, включенными в тег службы, и автоматически обновляет тег службы по мере изменения IP-адресов, чтобы обеспечить минимальное обновление. Дополнительные сведения см. в разделе тегов службы виртуальной сети.

  1. Скачайте JSON-файл из следующего ресурса на целевой компьютер под управлением операционной системы: диапазоны IP-адресов Azure и теги службы — общедоступное облако.

  2. Чтобы открыть JSON-файл, используйте следующую команду PowerShell:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Получите список диапазонов IP-адресов для заданного тега службы, например AzureResourceManager тега службы:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Импортируйте список IP-адресов во внешний корпоративный брандмауэр, если с ним используется список разрешений.

  5. Создайте правило брандмауэра для каждого сервера в кластере, чтобы разрешить исходящий трафик 443 (HTTPS) в список диапазонов IP-адресов:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Следующие шаги

Дополнительные сведения см. также в следующих разделах:

  • Раздел "Брандмауэр Windows" и "Порты WinRM 2.0" установки и настройки удаленного управления Windows