Azure Stack HCI için güvenlik duvarı gereksinimleri

Şunlar için geçerlidir: Azure Stack HCI, sürüm 21H2 ve 20H2

Bu makalede, Azure Stack HCI işletim sistemi için güvenlik duvarlarını yapılandırma hakkında yönergeler sağlanır. Giden uç noktalar için güvenlik duvarı gereksinimlerini, iç kuralları ve bağlantı noktalarını içerir. Makalede ayrıca ara sunucu ayarlama ve Microsoft Defender güvenlik duvarı ile Azure hizmet etiketlerini kullanma hakkında bilgi sağlanır.

Giden uç noktalar için güvenlik duvarı gereksinimleri

Kuruluşunuzun güvenlik duvarında giden ağ trafiği için 443 numaralı bağlantı noktasını açmak, işletim sisteminin Azure ve Microsoft Update'e bağlanması için bağlantı gereksinimlerini karşılar. Giden güvenlik duvarınız kısıtlıysa, bu makalenin Önerilen güvenlik duvarı URL'leri bölümünde açıklanan URL'leri ve bağlantı noktalarını eklemenizi öneririz.

Azure Stack HCI'nin düzenli aralıklarla Azure'a bağlanması gerekir. Erişim yalnızca aşağıdakiler ile sınırlıdır:

  • Tanınmış Azure IP'leri
  • Giden yön
  • Bağlantı noktası 443 (HTTPS)

Bu makalede, izin verilenler listesi dışında tüm hedeflere gelen trafiği engellemek için isteğe bağlı olarak yüksek oranda kilitli bir güvenlik duvarı yapılandırmasının nasıl kullanılacağı açıklanmaktadır.

Aşağıdaki diyagramda gösterildiği gibi, Azure Stack HCI potansiyel olarak birden fazla güvenlik duvarı kullanarak Azure'a erişir.

Diyagram, Azure Stack HCI'nin güvenlik duvarlarının 443 numaralı bağlantı noktası (HTTPS) aracılığıyla hizmet etiketi uç noktalarına erişmesini gösterir.

Aşağıdaki bölümlerde küme oluşturma, kayıt ve faturalama, Microsoft Update ve bulut kümesi tanığı gibi Azure Stack HCI çekirdek bileşenleri için gerekli ve önerilen URL'lerin birleştirilmiş listeleri sağlanır. URL'leri doğrudan kopyalayıp izin verilenler listenize yapıştırmak için JSON sekmesini kullanabilirsiniz.

Sonraki bölümlerde Azure Stack HCI çekirdek bileşenlerinin güvenlik duvarı gereksinimleri hakkında ek ayrıntılar ve ek Azure hizmetleri için güvenlik duvarı gereksinimleri (isteğe bağlı) sağlanır.

Gerekli güvenlik duvarı URL'leri

Bu bölümde gerekli güvenlik duvarı URL'lerinin listesi sağlanır. Bu URL'leri izin verilenler listenize eklediğinizden emin olun.

Aşağıdaki tabloda gerekli güvenlik duvarı URL'lerinin listesi sağlanır.

URL Bağlantı noktası Notlar
https://login.microsoftonline.com (Azure Genel)
https://login.chinacloudapi.cn/ (Azure Çin)
https://login.microsoftonline.us (Azure Gov)
443 Active Directory Yetkilisi için ve kimlik doğrulaması, belirteç getirme ve doğrulama için kullanılır. Hizmet Etiketi: AzureActiveDirectory.
https://graph.windows.net/ (Azure Genel, Azure Gov)
https://graph.chinacloudapi.cn/ (Azure Çin)
443 Graph için ve kimlik doğrulaması, belirteç getirme ve doğrulama için kullanılır. Hizmet Etiketi: AzureActiveDirectory.
https://management.azure.com/ (Azure Genel)
https://management.chinacloudapi.cn/ (Azure Çin)
https://management.usgovcloudapi.net/ (Azure Gov)
443 Resource Manager için ve kümenin Azure'a ilk önyüklemesi sırasında kayıt amacıyla kullanılır ve kümenin kaydını silmek için kullanılır. Hizmet Etiketi: AzureResourceManager.
https://dp.stackhci.azure.com/ (Azure Genel)
https://dp.stackhci.azure.cn (Azure Çin)
https://dp.azurestackchi.azure.us (Azure Gov)
443 Tanılama verilerini göndererek Portal işlem hattında kullanılan ve faturalama verilerini gönderen Dataplane için.

Not: Azure Genel için Veri Düzlemi URL'si güncelleştirildi. Daha önce bu URL şöyleydi: https://azurestackhci.azurefd.net. Kümenizi zaten eski URL ile kaydettiyseniz, eski URL'yi de izin verilenler listesine almalısınız.

Bu bölümde önerilen güvenlik duvarı URL'lerinin listesi sağlanır. Giden güvenlik duvarınız kısıtlıysa, bu bölümde açıklanan URL'leri ve bağlantı noktalarını izin verilenler listenize eklemenizi öneririz.

Aşağıdaki tabloda önerilen güvenlik duvarı URL'lerinin listesi sağlanır.

URL Bağlantı noktası Notlar
http://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://go.microsoft.com
http://dl.delivery.mp.microsoft.com
80 İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için.
https://*.windowsupdate.microsoft.com
https://*.update.microsoft.com
https://download.microsoft.com
https://dl.delivery.mp.microsoft.com
443 İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için.
*.blob.core.windows.net OR [myblobstorage].blob.core.windows.net 443 Küme Bulut Tanığı için. Küme tanığı olarak bir bulut tanığı kullanmak.
*.powershellgallery.com VEYA yükleme modülü https://www.powershellgallery.com/packages/Az.StackHCI 443 Küme kaydı için gereken Az.StackHCI PowerShell modülünü edinmek için.

Küme oluşturma

Azure Stack HCI kümenizi oluşturmak için Windows Admin Center veya PowerShell kullanıyorsanız başka güvenlik duvarı kuralı gerekmez.

Küme kaydı ve faturalama

Küme kaydı, Azure Stack HCI işletim sistemine dahil olmayan Az.StackHCI PowerShell modülünü gerektirir. Windows Admin Center veya PowerShell kullanıyorsanız *.powershellgallery.com engelini kaldırmanız veya Az.StackHCI PowerShell modülünü PowerShell Galerisi'dan el ile indirip yüklemeniz gerekir.

İsteğe bağlı olarak, kayıt için Arc for Servers aracısını indirin. Bu gerekli değildir, ancak kümenizi Azure portal yönetmek veya Arc hizmetlerini kullanmak için önerilir. Kayıt için Arc for Servers aracısını indirmek için URL uç noktalarını izin-listelemelisiniz.

Azure Arc özellikli sunuculara fiziksel sunucu veya sanal makine eklemek için Bağlı Makine aracısını kullanmaya yönelik ağ gereksinimleri hakkında bilgi için bkz . Bağlı Makine aracısı ağ gereksinimleri.

Microsoft Update

Azure Stack HCI işletim sistemi ile İnternet arasında kurumsal bir güvenlik duvarı varsa, işletim sisteminin güncelleştirmeleri alabilmesi için bu güvenlik duvarını yapılandırmanız gerekebilir. İşletim sistemi, Microsoft Update'ten güncelleştirmeleri almak için HTTPS protokolü için 443 numaralı bağlantı noktasını kullanır. Çoğu şirket güvenlik duvarı bu tür trafiğe izin verse de, bazı şirketler güvenlik ilkeleri nedeniyle İnternet erişimini kısıtlar. Şirketiniz erişimi kısıtlıyorsa Önerilen güvenlik duvarı URL'leri bölümünde açıklanan URL'leri ve bağlantı noktalarını izin verilenler listenize eklemenizi öneririz.

Küme Bulut Tanığı

Bu isteğe bağlıdır. Küme tanığı olarak bir bulut tanığı kullanmayı seçerseniz, Azure blob kapsayıcısına güvenlik duvarı erişimine izin vermelisiniz, örneğin, [myblobstorage].blob.core.windows.net.

Ek Azure hizmetleri için güvenlik duvarı gereksinimleri (isteğe bağlı)

HCI'de etkinleştirdiğiniz ek Azure hizmetlerine bağlı olarak ek güvenlik duvarı yapılandırma değişiklikleri yapmanız gerekebilir. Her Azure hizmeti için güvenlik duvarı gereksinimleri hakkında bilgi için aşağıdaki bağlantılara bakın.

İç kurallar ve bağlantı noktaları için güvenlik duvarı gereksinimleri

Uygun ağ bağlantı noktalarının hem site içindeki tüm sunucu düğümleri arasında hem de siteler arasında (esnetilmiş kümeler için) açık olduğundan emin olun. Kümedeki tüm sunucular arasında ICMP, SMB (iWARP RDMA kullanıyorsanız Doğrudan Erişimli SMB için bağlantı noktası 445 ve bağlantı noktası 5445) ve WS-MAN (bağlantı noktası 5985) trafiğine izin vermek için uygun güvenlik duvarı kurallarına ihtiyacınız vardır.

Kümeyi oluşturmak için Windows Admin Center'de Küme Oluşturma sihirbazını kullanırken, sihirbaz kümedeki her sunucuda Yük Devretme Kümelemesi, Hyper-V ve Depolama Çoğaltması için uygun güvenlik duvarı bağlantı noktalarını otomatik olarak açar. Her sunucuda farklı bir güvenlik duvarı kullanıyorsanız, bağlantı noktalarını aşağıdaki bölümlerde açıklandığı gibi açın:

Windows Yönetim Merkezi

Aşağıdaki güvenlik duvarı kurallarının Windows Admin Center için şirket içi güvenlik duvarınızda yapılandırıldığından emin olun.

Kural Eylem Kaynak Hedef Hizmet Bağlantı noktaları
Azure ve Microsoft Update'e erişim sağlama İzin Ver Windows Yönetim Merkezi Azure Stack HCI TCP 445
Windows Uzaktan Yönetimi (WinRM) 2.0'ı kullanma
komutları çalıştırmak için HTTP bağlantıları için
uzak Windows sunucularında
İzin Ver Windows Yönetim Merkezi Azure Stack HCI TCP 5985
HTTPS bağlantıları çalıştırmak için WinRM 2.0 kullanma
uzak Windows sunucularındaki komutlar
İzin Ver Windows Yönetim Merkezi Azure Stack HCI TCP 5986

Not

Windows Admin Center yüklerken WinRM'yi yalnızca HTTPS üzerinden kullan ayarını seçerseniz 5986 numaralı bağlantı noktası gerekir.

Yük Devretme Kümelemesi

Yük Devretme Kümelemesi için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.

Kural Eylem Kaynak Hedef Hizmet Bağlantı noktaları
Yük Devretme Kümesi doğrulamasına izin ver İzin Ver Yönetim sistemi Küme sunucuları TCP 445
RPC dinamik bağlantı noktası ayırmaya izin ver İzin Ver Yönetim sistemi Küme sunucuları TCP En az 100 bağlantı noktası
5000 numaralı bağlantı noktasının üzerinde
Uzaktan Yordam Çağrısına İzin Ver (RPC) İzin Ver Yönetim sistemi Küme sunucuları TCP 135
Küme Yöneticisine İzin Ver İzin Ver Yönetim sistemi Küme sunucuları TCP 137
Küme Hizmetine İzin Ver İzin Ver Yönetim sistemi Küme sunucuları UDP 3343
Küme Hizmetine İzin Ver (Şu süre boyunca gereklidir:
sunucu birleştirme işlemi.)
İzin Ver Yönetim sistemi Küme sunucuları TCP 3343
ICMPv4 ve ICMPv6'ya izin ver
Yük Devretme Kümesi doğrulaması için
İzin Ver Yönetim sistemi Küme sunucuları yok yok

Not

Yönetim sistemi, Windows Admin Center, Windows PowerShell veya System Center Virtual Machine Manager gibi araçları kullanarak kümeyi yönetmeyi planladığınız tüm bilgisayarları içerir.

Hyper-V

Hyper-V için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.

Kural Eylem Kaynak Hedef Hizmet Bağlantı noktaları
Küme iletişimlerine izin ver İzin Ver Yönetim sistemi Hyper-V sunucusu TCP 445
RPC Uç Nokta Eşleyicisi ve WMI'ya İzin Ver İzin Ver Yönetim sistemi Hyper-V sunucusu TCP 135
HTTP bağlantısına izin ver İzin Ver Yönetim sistemi Hyper-V sunucusu TCP 80
HTTPS bağlantısına izin ver İzin Ver Yönetim sistemi Hyper-V sunucusu TCP 443
Dinamik Geçişe İzin Ver İzin Ver Yönetim sistemi Hyper-V sunucusu TCP 6600
VM Yönetim Hizmetine İzin Ver İzin Ver Yönetim sistemi Hyper-V sunucusu TCP 2179
RPC dinamik bağlantı noktası ayırmaya izin ver İzin Ver Yönetim sistemi Hyper-V sunucusu TCP En az 100 bağlantı noktası
5000 numaralı bağlantı noktasının üzerinde

Not

RPC dinamik bağlantı noktası ayırmaya izin vermek için 5000 numaralı bağlantı noktasının üzerinde bir bağlantı noktası aralığı açın. 5000'in altındaki bağlantı noktaları diğer uygulamalar tarafından zaten kullanılıyor olabilir ve DCOM uygulamalarıyla çakışmalara neden olabilir. Önceki deneyim, birkaç sistem hizmeti birbiriyle iletişim kurmak için bu RPC bağlantı noktalarına bağlı olduğundan en az 100 bağlantı noktasının açılması gerektiğini gösteriyor. Daha fazla bilgi için bkz . Rpc dinamik bağlantı noktası ayırmayı güvenlik duvarlarıyla çalışacak şekilde yapılandırma.

Depolama Çoğaltması (esnetilmiş küme)

Depolama Çoğaltması (esnetilmiş küme) için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.

Kural Eylem Kaynak Hedef Hizmet Bağlantı noktaları
Sunucu İleti Bloğuna İzin Ver
(SMB) protokolü
İzin Ver Esnetilmiş küme sunucuları Esnetilmiş küme sunucuları TCP 445
Web Services-Management İzin Ver
(WS-MAN)
İzin Ver Esnetilmiş küme sunucuları Esnetilmiş küme sunucuları TCP 5985
ICMPv4 ve ICMPv6'ya İzin Ver
(kullanıyorsanız Test-SRTopology
PowerShell cmdlet'i)
İzin Ver Esnetilmiş küme sunucuları Esnetilmiş küme sunucuları yok yok

Ara sunucu ayarlama

Not

Windows Admin Center ara sunucu ayarları ve Azure Stack HCI proxy ayarları ayrıdır. Azure Stack HCI kümesi proxy ayarlarının değiştirilmesi, Azure'a bağlanma, uzantıları indirme gibi Windows Admin Center giden trafiği etkilemez. Bu bölümdeki komutları çalıştırmak için WinInetProxy modülünü yükleyin. Modül ve nasıl yükleneceği hakkında bilgi için bkz. PowerShell Galerisi | WinInetProxy 0.1.0.

Azure Stack HCI için bir proxy sunucusu ayarlamak için, kümedeki her sunucuda yönetici olarak aşağıdaki PowerShell komutunu çalıştırın:

Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090

ProxySettingsPerUser0 Varsayılan olan kullanıcı başına yerine proxy yapılandırmasının sunucu genelinde olmasını sağlamak için bayrağını kullanın.

Ara sunucu yapılandırmasını kaldırmak için PowerShell komutunu Set-WinInetProxy bağımsız değişkenler olmadan çalıştırın.

Ara sunucuları yapılandırma hakkında bilgi için aşağıdaki makalelere bakın:

Microsoft Defender güvenlik duvarını güncelleştirme

Bu bölümde, bir hizmet etiketiyle ilişkili IP adreslerinin işletim sistemine bağlanmasına izin vermek için Microsoft Defender güvenlik duvarının nasıl yapılandırılır gösterilmektedir. Hizmet etiketi, belirli bir Azure hizmetinden bir grup IP adresini temsil eder. Microsoft, hizmet etiketine dahil edilen IP adreslerini yönetir ve güncelleştirmeleri en düşük düzeyde tutmak için IP adresleri değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Daha fazla bilgi için bkz. Sanal ağ hizmet etiketleri.

  1. JSON dosyasını aşağıdaki kaynaktan işletim sistemini çalıştıran hedef bilgisayara indirin: Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut.

  2. JSON dosyasını açmak için aşağıdaki PowerShell komutunu kullanın:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. "AzureResourceManager" hizmet etiketi gibi belirli bir hizmet etiketi için IP adresi aralıklarının listesini alın:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. İzin verilenler listesi kullanıyorsanız IP adreslerinin listesini dış şirket güvenlik duvarınıza aktarın.

  5. IP adresi aralıkları listesine giden 443 (HTTPS) trafiğe izin vermek için kümedeki her sunucu için bir güvenlik duvarı kuralı oluşturun:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Sonraki adımlar

Daha fazla bilgi için ayrıca bkz: