Brandväggskrav för Azure Stack HCI
Gäller för: Azure Stack HCI, version 23H2 och 22H2
Den här artikeln innehåller vägledning om hur du konfigurerar brandväggar för Azure Stack HCI-operativsystemet. Den innehåller brandväggskrav för utgående slutpunkter och interna regler och portar. Artikeln innehåller också information om hur du använder Azure-tjänsttaggar med Microsoft Defender-brandväggen.
Den här artikeln beskriver också hur du kan använda en mycket låst brandväggskonfiguration för att blockera all trafik till alla mål förutom de som ingår i listan över tillåtna.
Om nätverket använder en proxyserver för Internetåtkomst läser du Konfigurera proxyinställningar för Azure Stack HCI.
Viktigt!
Azure Express Route och Azure Private Link stöds inte för Azure Stack HCI, version 23H2 eller någon av dess komponenter eftersom det inte går att komma åt de offentliga slutpunkter som krävs för Azure Stack HCI version 23H2.
Brandväggskrav för utgående slutpunkter
Att öppna portarna 80 och 443 för utgående nätverkstrafik i organisationens brandvägg uppfyller anslutningskraven för att Azure Stack HCI-operativsystemet ska kunna ansluta till Azure och Microsoft Update.
Azure Stack HCI måste regelbundet ansluta till Azure för:
- Välkända Azure-IP-adresser
- Utgående riktning
- Portarna 80 (HTTP) och 443 (HTTPS)
Viktigt!
Azure Stack HCI stöder inte HTTPS-inspektion. Kontrollera att HTTPS-inspektionen är inaktiverad längs nätverkssökvägen för Azure Stack HCI för att förhindra anslutningsfel.
Som du ser i följande diagram kan Azure Stack HCI komma åt Azure med mer än en brandvägg.
Nödvändiga brandväggs-URL:er för Azure Stack HCI 23H2-distributioner
Från och med Azure Stack HCI, version 23H2, aktiverar alla kluster automatiskt Azure Resource Bridge- och AKS-infrastruktur och använder Arc for Servers-agenten för att ansluta till Azure-kontrollplanet. Tillsammans med listan över HCI-specifika slutpunkter i följande tabell måste Azure Resource Bridge på Azure Stack HCI-slutpunkter , AKS på Azure Stack HCI-slutpunkter och Slutpunkter för Azure Arc-aktiverade servrar ingå i listan över tillåtna brandväggar.
För usa, östra använder en konsoliderad lista över slutpunkter, inklusive HCI, Arc-aktiverade servrar, ARB och AKS:
För europa, västra använder konsoliderad lista över slutpunkter, inklusive HCI, Arc-aktiverade servrar, ARB och AKS:
För Australien, östra används en konsoliderad lista över slutpunkter, inklusive HCI, Arc-aktiverade servrar, ARB och AKS:
För Kanada central konsoliderad lista över slutpunkter, inklusive HCI, Arc-aktiverade servrar, ANVÄNDER ARB och AKS:
Brandväggskrav för ytterligare Azure-tjänster
Beroende på ytterligare Azure-tjänster som du aktiverar för Azure Stack HCI kan du behöva göra ytterligare ändringar i brandväggskonfigurationen. Se följande länkar för information om brandväggskrav för varje Azure-tjänst:
- Azure Monitor-agent
- Azure-portalen
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) och Log Analytics Agent
- Qualys
- Fjärrstöd
- Administrationscenter för Windows
- Windows Admin Center i Azure-portalen
Brandväggskrav för interna regler och portar
Kontrollera att rätt nätverksportar är öppna mellan alla servernoder, både på en plats och mellan platser för stretchkluster (stretchklusterfunktioner är endast tillgängliga i Azure Stack HCI, version 22H2.). Du behöver lämpliga brandväggsregler för att tillåta dubbelriktad trafik mellan ICMP, SMB (port 445 och port 5445 för SMB Direct om du använder iWARP RDMA) och WS-MAN (port 5985) mellan alla servrar i klustret.
När du använder guiden Skapa kluster i Windows Administrationscenter för att skapa klustret öppnar guiden automatiskt lämpliga brandväggsportar på varje server i klustret för redundanskluster, Hyper-V och Lagringsreplik. Om du använder en annan brandvägg på varje server öppnar du portarna enligt beskrivningen i följande avsnitt:
Azure Stack HCI OS-hantering
Se till att följande brandväggsregler har konfigurerats i din lokala brandvägg för Azure Stack HCI OS-hantering, inklusive licensiering och fakturering.
Regel | Åtgärd | Källa | Mål | Tjänst | Hamnar |
---|---|---|---|---|---|
Tillåt inkommande/utgående trafik till och från Azure Stack HCI-tjänsten på klusterservrar | Tillåt | Klusterservrar | Klusterservrar | TCP | 30301 |
Windows Admin Center
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Windows Admin Center.
Regel | Åtgärd | Källa | Mål | Tjänst | Hamnar |
---|---|---|---|---|---|
Ge åtkomst till Azure och Microsoft Update | Tillåt | Windows Admin Center | Azure Stack HCI | TCP | 445 |
Använda Windows Remote Management (WinRM) 2.0 för HTTP-anslutningar för att köra kommandon på fjärranslutna Windows-servrar |
Tillåt | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
Använda WinRM 2.0 för HTTPS-anslutningar för att köra kommandon på fjärranslutna Windows-servrar |
Tillåt | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Kommentar
När du installerar Windows Admin Center krävs port 5986 om du väljer inställningen Använd Endast WinRM via HTTPS.
Redundanskluster
Kontrollera att följande brandväggsregler har konfigurerats i den lokala brandväggen för redundansklustring.
Regel | Åtgärd | Källa | Mål | Tjänst | Hamnar |
---|---|---|---|---|---|
Tillåt verifiering av redundanskluster | Tillåt | Hanteringssystem | Klusterservrar | TCP | 445 |
Tillåt dynamisk RPC-portallokering | Tillåt | Hanteringssystem | Klusterservrar | TCP | Minst 100 portar över port 5000 |
Tillåt fjärrproceduranrop (RPC) | Tillåt | Hanteringssystem | Klusterservrar | TCP | 135 |
Tillåt klusteradministratör | Tillåt | Hanteringssystem | Klusterservrar | UDP | 137 |
Tillåt klustertjänst | Tillåt | Hanteringssystem | Klusterservrar | UDP | 3343 |
Tillåt klustertjänst (krävs under en serveranslutningsåtgärd.) |
Tillåt | Hanteringssystem | Klusterservrar | TCP | 3343 |
Tillåt ICMPv4 och ICMPv6 för validering av redundanskluster |
Tillåt | Hanteringssystem | Klusterservrar | saknas | saknas |
Kommentar
Hanteringssystemet innehåller alla datorer som du planerar att administrera klustret från med hjälp av verktyg som Windows Admin Center, Windows PowerShell eller System Center Virtual Machine Manager.
Hyper-V
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Hyper-V.
Regel | Åtgärd | Källa | Mål | Tjänst | Hamnar |
---|---|---|---|---|---|
Tillåt klusterkommunikation | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 445 |
Tillåt RPC-slutpunktsmappning och WMI | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 135 |
Tillåt HTTP-anslutning | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 80 |
Tillåt HTTPS-anslutning | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 443 |
Tillåt direktmigrering | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 6600 |
Tillåt hanteringstjänst för virtuella datorer | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 2179 |
Tillåt dynamisk RPC-portallokering | Tillåt | Hanteringssystem | Hyper-V-server | TCP | Minst 100 portar över port 5000 |
Kommentar
Öppna ett antal portar ovanför port 5000 för att tillåta dynamisk RPC-portallokering. Portar under 5000 kanske redan används av andra program och kan orsaka konflikter med DCOM-program. Tidigare erfarenheter visar att minst 100 portar bör öppnas, eftersom flera systemtjänster förlitar sig på dessa RPC-portar för att kommunicera med varandra. Mer information finns i Konfigurera dynamisk RPC-portallokering så att den fungerar med brandväggar.
Lagringsreplik (stretchkluster)
Kontrollera att följande brandväggsregler har konfigurerats i den lokala brandväggen för Storage Replica (stretchkluster).
Regel | Åtgärd | Källa | Mål | Tjänst | Hamnar |
---|---|---|---|---|---|
Tillåt servermeddelandeblockering Protokoll (SMB) |
Tillåt | Stretchade klusterservrar | Stretchade klusterservrar | TCP | 445 |
Tillåt hantering av webbtjänster (WS-MAN) |
Tillåt | Stretchade klusterservrar | Stretchade klusterservrar | TCP | 5985 |
Tillåt ICMPv4 och ICMPv6 (om du använder Test-SRTopology PowerShell-cmdlet) |
Tillåt | Stretchade klusterservrar | Stretchade klusterservrar | saknas | saknas |
Uppdatera Microsoft Defender-brandväggen
Det här avsnittet visar hur du konfigurerar Microsoft Defender-brandväggen så att IP-adresser som är associerade med en tjänsttagg kan ansluta till operativsystemet. En tjänsttagg representerar en grupp IP-adresser från en viss Azure-tjänst. Microsoft hanterar IP-adresserna som ingår i tjänsttaggen och uppdaterar automatiskt tjänsttaggen när IP-adresser ändras för att hålla uppdateringarna till ett minimum. Mer information finns i Tjänsttaggar för virtuellt nätverk.
Ladda ned JSON-filen från följande resurs till måldatorn som kör operativsystemet: Azure IP-intervall och tjänsttaggar – offentligt moln.
Använd följande PowerShell-kommando för att öppna JSON-filen:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
Hämta listan över IP-adressintervall för en viss tjänsttagg, till exempel
AzureResourceManager
tjänsttaggen:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
Importera listan med IP-adresser till den externa företagsbrandväggen om du använder en tillåtna lista med den.
Skapa en brandväggsregel för varje server i klustret för att tillåta utgående 443-trafik (HTTPS) till listan över IP-adressintervall:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Nästa steg
Mer information finns också:
- Avsnittet Windows-brandväggen och WinRM 2.0-portarna i Installation och konfiguration för Windows Fjärrhantering