Brandväggskrav för Azure Stack HCI
Gäller för: Azure Stack HCI, version 23H2 och 22H2
Den här artikeln innehåller vägledning om hur du konfigurerar brandväggar för Azure Stack HCI-operativsystemet. Den innehåller brandväggskrav för utgående slutpunkter och interna regler och portar. Artikeln innehåller också information om hur du använder Azure-tjänsttaggar med Microsoft Defender brandvägg.
Om ditt nätverk använder en proxyserver för internetåtkomst läser du Konfigurera proxyinställningar för Azure Stack HCI.
Viktigt
Azure Private Link stöds inte för Azure Stack HCI, version 23H2 eller någon av dess komponenter.
Brandväggskrav för utgående slutpunkter
Om du öppnar port 443 för utgående nätverkstrafik i organisationens brandvägg uppfyller du anslutningskrav för att operativsystemet ska kunna ansluta till Azure och Microsoft Update. Om den utgående brandväggen är begränsad rekommenderar vi att du inkluderar URL:er och portar som beskrivs i avsnittet Rekommenderade brandväggs-URL:er i den här artikeln.
Azure Stack HCI måste regelbundet ansluta till Azure. Åtkomsten är endast begränsad till:
- Välkända Azure-IP-adresser
- Utgående riktning
- Port 443 (HTTPS)
Viktigt
Azure Stack HCI stöder inte HTTPS-inspektion. Kontrollera att HTTPS-inspektionen är inaktiverad längs nätverkssökvägen för Azure Stack HCI för att förhindra anslutningsfel.
Som du ser i följande diagram kommer Azure Stack HCI åt Azure med mer än en brandvägg potentiellt.
Den här artikeln beskriver hur du kan använda en mycket låst brandväggskonfiguration för att blockera all trafik till alla mål förutom de som ingår i listan över tillåtna.
Nödvändiga brandväggs-URL:er
Följande tabell innehåller en lista över nödvändiga brandväggs-URL:er. Se till att inkludera dessa URL:er i listan över tillåtna adresser.
Följ även de nödvändiga brandväggskraven för AKS på Azure Stack HCI.
Anteckning
Azure Stack HCI-brandväggsreglerna är de minsta slutpunkter som krävs för HciSvc-anslutning och innehåller inte jokertecken. Följande tabell innehåller för närvarande jokertecken-URL:er, som kan uppdateras till exakta slutpunkter i framtiden.
| Tjänst | URL | Port | Kommentarer |
|---|---|---|---|
| Nedladdning av Azure Stack HCI-Uppdateringar | fe3.delivery.mp.microsoft.com | 443 | För uppdatering av Azure Stack HCI version 23H2. |
| Nedladdning av Azure Stack HCI-Uppdateringar | tlu.dl.delivery.mp.microsoft.com | 80 | För uppdatering av Azure Stack HCI version 23H2. |
| Azure Stack HCI-Uppdateringar identifiering | aka.ms | 443 | För att matcha adresser för att identifiera Azure Stack HCI, version 23H2 och Solution Builder Extension Uppdateringar. |
| Azure Stack HCI-Uppdateringar identifiering | redirectiontool.trafficmanager.net | 443 | Underliggande tjänst som implementerar spårning av användningsdata för aka.ms omdirigeringslänkar. |
| Azure Stack HCI | login.microsoftonline.com | 443 | För Active Directory-utfärdare och används för autentisering, tokenhämtning och validering. |
| Azure Stack HCI | graph.windows.net | 443 | För Graph och används för autentisering, tokenhämtning och validering. |
| Azure Stack HCI | management.azure.com | 443 | För Resource Manager och används under inledande start av klustret till Azure i registreringssyfte och för att avregistrera klustret. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | För dataplan som push-överför diagnostikdata och används i Azure Portal pipeline och push-överför faktureringsdata. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | För dataplanet som används i licensiering och push-överföring av aviseringar och faktureringsdata. Krävs endast för Azure Stack HCI, version 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Föregående URL för dataplanet. Den här URL:en har nyligen ändrats, kunder som har registrerat sitt kluster med den här gamla URL:en måste också tillåta den. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | För Arc VM-containerregistret på Azure Stack HCI. Krävs endast för Azure Stack HCI, version 23H2. |
| Arc för servrar | aka.ms | 443 | För att lösa nedladdningsskriptet under installationen. |
| Arc för servrar | download.microsoft.com | 443 | För att ladda ned Windows-installationspaketet. |
| Arc för servrar | login.windows.net | 443 | För Microsoft Entra ID |
| Arc för servrar | login.microsoftonline.com | 443 | För Microsoft Entra ID |
| Arc för servrar | pas.windows.net | 443 | För Microsoft Entra ID |
| Arc för servrar | management.azure.com | 443 | För att Azure Resource Manager ska kunna skapa eller ta bort Arc Server-resursen |
| Arc för servrar | guestnotificationservice.azure.com | 443 | För meddelandetjänsten för tilläggs- och anslutningsscenarier |
| Arc för servrar | *.his.arc.azure.com | 443 | För metadata och hybrididentitetstjänster |
| Arc för servrar | *.guestconfiguration.azure.com | 443 | För tilläggshantering och gästkonfigurationstjänster |
| Arc för servrar | *.guestnotificationservice.azure.com | 443 | För meddelandetjänst för tilläggs- och anslutningsscenarier |
| Arc för servrar | azgn*.servicebus.windows.net | 443 | För meddelandetjänst för tilläggs- och anslutningsscenarier |
| Arc för servrar | *.servicebus.windows.net | 443 | För scenarier med Windows Admin Center och SSH |
| Arc för servrar | *.waconazure.com | 443 | För Windows Admin Center-anslutning |
| Arc för servrar | *.blob.core.windows.net | 443 | För nedladdningskälla för Azure Arc-aktiverade servertillägg |
En omfattande lista över alla brandväggs-URL:er finns i kalkylbladet med brandväggs-URL:er.
Rekommenderade brandväggs-URL:er
Följande tabell innehåller en lista över rekommenderade brandväggs-URL:er. Om den utgående brandväggen är begränsad rekommenderar vi att du inkluderar url:er och portar som beskrivs i det här avsnittet i listan över tillåtna.
Anteckning
Azure Stack HCI-brandväggsreglerna är de minsta slutpunkter som krävs för HciSvc-anslutning och innehåller inte jokertecken. Följande tabell innehåller för närvarande jokertecken-URL:er, som kan uppdateras till exakta slutpunkter i framtiden.
| Tjänst | URL | Port | Kommentarer |
|---|---|---|---|
| Azure-förmåner på Azure Stack HCI | crl3.digicert.com | 80 | Gör det möjligt för plattformsattesteringstjänsten på Azure Stack HCI att utföra en kontroll av listan över återkallade certifikat för att säkerställa att virtuella datorer verkligen körs i Azure-miljöer. |
| Azure-förmåner på Azure Stack HCI | crl4.digicert.com | 80 | Gör det möjligt för plattformsattesteringstjänsten på Azure Stack HCI att utföra en kontroll av listan över återkallade certifikat för att säkerställa att virtuella datorer verkligen körs i Azure-miljöer. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Hämta Az.StackHCI PowerShell-modulen, som krävs för klusterregistrering. Du kan också ladda ned och installera Az.StackHCI PowerShell-modulen manuellt från PowerShell-galleriet. |
| Klustermolnvittne | *.blob.core.windows.net | 443 | För brandväggsåtkomst till Azure Blob-containern, om du väljer att använda ett molnvittne som klustervittne, vilket är valfritt. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | download.windowsupdate.com | 80 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | *.download.windowsupdate.com | 80 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | download.microsoft.com | 443 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | wustat.windows.com | 80 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | go.microsoft.com | 80 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | *.windowsupdate.com | 80 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | För Microsoft Update, som gör att operativsystemet kan ta emot uppdateringar. |
Brandväggskrav för ytterligare Azure-tjänster
Beroende på ytterligare Azure-tjänster som du aktiverar på HCI kan du behöva göra ytterligare ändringar i brandväggskonfigurationen. Se följande länkar för information om brandväggskrav för varje Azure-tjänst:
- AKS på Azure Stack HCI
- Azure Arc-aktiverade servrar
- Nätverkskrav för Azure Arc-resursbryggan
- Azure Monitor-agent
- Azure-portalen
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) och Log Analytics Agent
- Qualys
- Fjärrsupport
- Windows Admin Center
- Windows Admin Center i Azure Portal
Brandväggskrav för interna regler och portar
Se till att rätt nätverksportar är öppna mellan alla servernoder både på en plats och mellan platser för stretchkluster (stretchklusterfunktionen är endast tillgänglig i Azure Stack HCI, version 22H2.). Du behöver lämpliga brandväggsregler för att tillåta ICMP, SMB (port 445, plus port 5445 för SMB Direct om du använder iWARP RDMA) och dubbelriktad trafik med WS-MAN (port 5985) mellan alla servrar i klustret.
När du använder guiden Skapa kluster i Windows Admin Center för att skapa klustret öppnar guiden automatiskt lämpliga brandväggsportar på varje server i klustret för redundansklustring, Hyper-V och Lagringsreplik. Om du använder en annan brandvägg på varje server öppnar du portarna enligt beskrivningen i följande avsnitt:
Hantering av Azure Stack HCI OS
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Azure Stack HCI OS-hantering, inklusive licensiering och fakturering.
| Regel | Åtgärd | Källa | Mål | Tjänst | Portar |
|---|---|---|---|---|---|
| Tillåt inkommande/utgående trafik till och från Azure Stack HCI-tjänsten på klusterservrar | Tillåt | Klusterservrar | Klusterservrar | TCP | 30301 |
Windows Admin Center
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Windows Admin Center.
| Regel | Åtgärd | Källa | Mål | Tjänst | Portar |
|---|---|---|---|---|---|
| Ge åtkomst till Azure och Microsoft Update | Tillåt | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Använda Windows Remote Management (WinRM) 2.0 för HTTP-anslutningar för att köra kommandon på fjärranslutna Windows-servrar |
Tillåt | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Använda WinRM 2.0 för HTTPS-anslutningar för att köra kommandon på fjärranslutna Windows-servrar |
Tillåt | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Anteckning
När du installerar Windows Admin Center krävs port 5986 om du väljer inställningen Använd Endast WinRM över HTTPS.
Redundanskluster
Kontrollera att följande brandväggsregler har konfigurerats i den lokala brandväggen för redundansklustring.
| Regel | Åtgärd | Källa | Mål | Tjänst | Portar |
|---|---|---|---|---|---|
| Tillåt validering av redundanskluster | Tillåt | Hanteringssystem | Klusterservrar | TCP | 445 |
| Tillåt dynamisk RPC-portallokering | Tillåt | Hanteringssystem | Klusterservrar | TCP | Minst 100 portar ovanför port 5000 |
| Tillåt RPC (Remote Procedure Call) | Tillåt | Hanteringssystem | Klusterservrar | TCP | 135 |
| Tillåt klusteradministratör | Tillåt | Hanteringssystem | Klusterservrar | UDP | 137 |
| Tillåt klustertjänst | Tillåt | Hanteringssystem | Klusterservrar | UDP | 3343 |
| Tillåt klustertjänst (krävs under en serveranslutningsåtgärd.) |
Tillåt | Hanteringssystem | Klusterservrar | TCP | 3343 |
| Tillåt ICMPv4 och ICMPv6 för validering av redundanskluster |
Tillåt | Hanteringssystem | Klusterservrar | saknas | saknas |
Anteckning
Hanteringssystemet innehåller alla datorer som du planerar att administrera klustret från, med hjälp av verktyg som Windows Admin Center, Windows PowerShell eller System Center Virtual Machine Manager.
Hyper-V
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Hyper-V.
| Regel | Åtgärd | Källa | Mål | Tjänst | Portar |
|---|---|---|---|---|---|
| Tillåt klusterkommunikation | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 445 |
| Tillåt RPC-slutpunktsmappning och WMI | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 135 |
| Tillåt HTTP-anslutning | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 80 |
| Tillåt HTTPS-anslutning | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 443 |
| Tillåt direktmigrering | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 6600 |
| Tillåt hanteringstjänst för virtuella datorer | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 2179 |
| Tillåt dynamisk RPC-portallokering | Tillåt | Hanteringssystem | Hyper-V-server | TCP | Minst 100 portar ovanför port 5000 |
Anteckning
Öppna ett portintervall ovanför port 5000 för att tillåta dynamisk RPC-portallokering. Portar under 5000 kanske redan används av andra program och kan orsaka konflikter med DCOM-program. Tidigare erfarenheter visar att minst 100 portar bör öppnas, eftersom flera systemtjänster förlitar sig på dessa RPC-portar för att kommunicera med varandra. Mer information finns i Så här konfigurerar du dynamisk RPC-portallokering för att fungera med brandväggar.
Lagringsreplik (stretchkluster)
Kontrollera att följande brandväggsregler har konfigurerats i den lokala brandväggen för Storage Replica (stretchkluster).
| Regel | Åtgärd | Källa | Mål | Tjänst | Portar |
|---|---|---|---|---|---|
| Tillåt blockering av servermeddelande (SMB)-protokoll |
Tillåt | Stretchade klusterservrar | Stretchade klusterservrar | TCP | 445 |
| Tillåt Services-Management (WS-MAN) |
Tillåt | Stretchade klusterservrar | Stretchade klusterservrar | TCP | 5985 |
| Tillåt ICMPv4 och ICMPv6 (om du använder Test-SRTopologyPowerShell-cmdlet) |
Tillåt | Stretchade klusterservrar | Stretchade klusterservrar | saknas | saknas |
Uppdatera Microsoft Defender brandvägg
Det här avsnittet visar hur du konfigurerar Microsoft Defender brandvägg så att IP-adresser som är associerade med en tjänsttagg kan ansluta till operativsystemet. En tjänsttagg representerar en grupp MED IP-adresser från en viss Azure-tjänst. Microsoft hanterar IP-adresserna som ingår i tjänsttaggen och uppdaterar automatiskt tjänsttaggen när IP-adresser ändras för att hålla uppdateringarna till ett minimum. Mer information finns i Tjänsttaggar för virtuella nätverk.
Ladda ned JSON-filen från följande resurs till måldatorn som kör operativsystemet: Azure IP-intervall och tjänsttaggar – offentligt moln.
Använd följande PowerShell-kommando för att öppna JSON-filen:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonHämta listan över IP-adressintervall för en viss tjänsttagg, till exempel tjänsttaggen "AzureResourceManager":
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportera listan med IP-adresser till den externa företagsbrandväggen om du använder en tillåten lista med den.
Skapa en brandväggsregel för varje server i klustret för att tillåta utgående 443-trafik (HTTPS) till listan över IP-adressintervall:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Nästa steg
Mer information finns i även:
- Avsnittet Windows-brandväggen och WinRM 2.0-portar i Installation och konfiguration för Windows Remote Management
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för