Azure Stack HCI 的防火墙要求
适用于:Azure Stack HCI 版本 23H2 和 22H2
本文提供了有关如何为 Azure Stack HCI 操作系统配置防火墙的指导。 其中包括出站终结点以及内部规则和端口的防火墙要求。 本文还提供了有关如何将 Azure 服务标记与 Microsoft Defender 防火墙配合使用的信息。
本文还介绍如何选择使用高度锁定的防火墙配置来阻止除允许列表中包含的所有目标以外的所有目标的所有流量。
如果网络使用代理服务器进行 Internet 访问,请参阅为 Azure Stack HCI 配置代理设置。
重要
Azure Stack HCI 版本 23H2 或其任何组件不支持 Azure Express Route 和 Azure 专用链接,因为无法访问 Azure Stack HCI 版本 23H2 所需的公共终结点。
出站终结点的防火墙要求
为组织的防火墙上的出站网络流量打开端口 443 符合 Azure Stack HCI 操作系统连接到 Azure 的连接要求,并Microsoft更新。 如果出站防火墙受到限制,建议添加本文的防火墙 URL 部分中所述的 URL 和端口。
Azure Stack HCI 需要定期连接到 Azure。 访问权限仅限于:
- 众所周知的 Azure IP
- 出站方向
- 端口 443 (HTTPS)
重要
Azure Stack HCI 不支持 HTTPS 检查。 确保在 Azure Stack HCI 的网络路径上禁用 HTTPS 检查,以防止出现任何连接错误。
如下图所示,Azure Stack HCI 可以使用多个防火墙访问 Azure。
所需的防火墙 URL
从 Azure Stack HCI 版本 23H2 开始,所有群集会自动启用 Azure 资源桥和 AKS 基础结构,并使用 Arc for Servers 代理连接到 Azure 控制平面。 除了下表上的 HCI 特定终结点列表、Azure Stack HCI 终结点上的 Azure 资源桥、Azure Stack HCI 终结点上的 AKS 和已启用 Azure Arc 的服务器终结点,还必须包含在防火墙的允许列表中。
有关在美国东部部署时终结点的合并列表,请使用以下列表:
有关在西欧部署时终结点的合并列表,请使用以下列表:
有关在 澳大利亚 East 中部署时终结点的合并列表,请使用以下列表:
下表提供了所需的防火墙 URL 列表。 请确保在允许列表中包括这些 URL。
注意
此表上的 Azure Stack HCI 防火墙规则是 HciSvc 系统服务连接所需的最低终结点,不包含通配符。 但是,下表目前包含通配符 URL,这些 URL 将来可能会更新为精确的终结点。
| 服务 | URL | 端口 | 备注 |
|---|---|---|---|
| Azure Stack HCI 更新下载 | fe3.delivery.mp.microsoft.com | 443 | 用于更新 Azure Stack HCI 版本 23H2。 |
| Azure Stack HCI 更新下载 | tlu.dl.delivery.mp.microsoft.com | 80 | 用于更新 Azure Stack HCI 版本 23H2。 |
| Azure Stack HCI 更新发现 | aka.ms | 443 | 若要解析地址以发现 Azure Stack HCI 版本 23H2 和解决方案生成器扩展更新。 |
| Azure Stack HCI 更新发现 | redirectiontool.trafficmanager.net | 443 | 为 aka.ms 重定向链接实现使用情况数据跟踪的基础服务。 |
| Azure Stack HCI | login.microsoftonline.com | 443 | 对于 Active Directory 授权,用于身份验证、令牌提取和验证。 |
| Azure Stack HCI | graph.windows.net | 443 | 对于 Graph,用于身份验证、令牌提取和验证。 |
| Azure Stack HCI | management.azure.com | 443 | 对于资源管理器,在群集初始启动期间用于 Azure 注册和取消注册群集。 |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | 对于推送诊断数据并在Azure 门户管道中使用的数据平面,并推送计费数据。 |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | 对于许可中使用的数据平面以及推送警报和计费数据。 仅适用于 Azure Stack HCI 版本 23H2。 |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | 数据平面的上一个 URL。 此 URL 最近已更改。 如果使用此旧 URL 注册了群集,则还必须将其加入允许列表。 |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | 对于 Azure Stack HCI 上的 Arc VM 容器注册表。 仅适用于 Azure Stack HCI 版本 23H2。 |
| Azure Key Vault | *.vault.azure.net/* | 443 | 访问密钥保管库以访问 Azure Stack HCI 部署机密。 将第一个 * 替换为计划使用的密钥保管库的名称,将第 2 个 * 替换为机密名称。 仅适用于 Azure Stack HCI 版本 23H2。 |
| 用于服务器的 Arc | aka.ms | 443 | 用于在安装过程中解析下载脚本。 |
| 用于服务器的 Arc | download.microsoft.com | 443 | 用于下载 Windows 安装包。 |
| 用于服务器的 Arc | login.windows.net | 443 | 对于 Microsoft Entra ID |
| 用于服务器的 Arc | login.microsoftonline.com | 443 | 对于 Microsoft Entra ID |
| 用于服务器的 Arc | pas.windows.net | 443 | 对于 Microsoft Entra ID |
| 用于服务器的 Arc | management.azure.com | 443 | 供 Azure 资源管理器用来创建或删除 Arc 服务器资源 |
| 用于服务器的 Arc | guestnotificationservice.azure.com | 443 | 用于扩展和连接方案的通知服务 |
| 用于服务器的 Arc | *.his.arc.azure.com | 443 | 用于元数据和混合标识服务 |
| 用于服务器的 Arc | *.guestconfiguration.azure.com | 443 | 用于扩展管理和来宾配置服务 |
| 用于服务器的 Arc | *.guestnotificationservice.azure.com | 443 | 用于扩展和连接方案的通知服务 |
| 用于服务器的 Arc | azgn*.servicebus.windows.net | 443 | 用于扩展和连接方案的通知服务 |
| 用于服务器的 Arc | *.servicebus.windows.net | 443 | 对于 Windows Admin Center 和 SSH 方案 |
| 用于服务器的 Arc | *.waconazure.com | 443 | 对于 Windows Admin Center 连接 |
| 用于服务器的 Arc | \* .blob.core.windows.net | 443 | 用于已启用 Azure Arc 的服务器扩展的下载源 |
有关所有防火墙 URL 的完整列表,请下载防火墙 URL 电子表格。
建议的防火墙 URL
下表提供了建议的防火墙 URL 列表。 如果出站防火墙受到限制,建议将本部分中所述的 URL 和端口添加到允许列表中。
注意
Azure Stack HCI 防火墙规则是 HciSvc 系统服务连接所需的最低终结点,不包含通配符。 但是,下表目前包含通配符 URL,这些 URL 将来可能会更新为精确的终结点。
| 服务 | URL | 端口 | 说明 |
|---|---|---|---|
| Azure Stack HCI 上的 Azure 权益 | crl3.digicert.com | 80 | 使 Azure Stack HCI 上的平台证明服务能够执行证书吊销列表检查,以确保 VM 确实在 Azure 环境中运行。 |
| Azure Stack HCI 上的 Azure 权益 | crl4.digicert.com | 80 | 使 Azure Stack HCI 上的平台证明服务能够执行证书吊销列表检查,以确保 VM 确实在 Azure 环境中运行。 |
| Azure Stack HCI | *.powershellgallery.com | 443 | 获取群集注册所需的 Az.StackHCI PowerShell 模块。 也可从 PowerShell 库手动下载并安装 Az.StackHCI PowerShell 模块。 |
| 群集云见证 | \* .blob.core.windows.net | 443 | 用于对 Azure Blob 容器进行的防火墙访问,前提是选择使用云见证作为群集见证(可选)。 |
| Microsoft Update | windowsupdate。microsoft。com | 80 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | download.windowsupdate.com | 80 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | *.download.windowsupdate.com | 80 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | download.microsoft.com | 443 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | wustat.windows.com | 80 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | ntservicepack。microsoft。com | 80 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | go.microsoft.com | 80 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80、443 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | *.delivery.mp.microsoft.com | 80、443 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | *.windowsupdate.microsoft.com | 80、443 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | *.windowsupdate.com | 80 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
| Microsoft Update | *.update.microsoft.com | 80、443 | 对于 Microsoft 更新,它允许 OS 接收更新。 |
其他 Azure 服务的防火墙要求
根据为 Azure Stack HCI 启用的其他 Azure 服务,可能需要进行其他防火墙配置更改。 有关每个 Azure 服务的防火墙要求的信息,请参阅以下链接:
- Azure Monitor 代理
- Azure 门户
- Azure Site Recovery
- Azure 虚拟桌面
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) 和 Log Analytics 代理
- Qualys
- 远程支持
- Windows 管理中心
- Azure 门户中的 Windows Admin Center
内部规则和端口的防火墙要求
确保在站点内的所有服务器节点和拉伸群集的站点之间打开适当的网络端口(拉伸群集功能仅在 Azure Stack HCI 版本 22H2 中可用)。 你需要适当的防火墙规则,以允许在群集中的所有服务器之间进行 ICMP、SMB(端口 445;如果使用 iWARP RDMA,则还包括适用于 SMB Direct 的端口 5445)和 WS-MAN(端口 5985)双向通信。
在 Windows Admin Center 中使用 群集创建向导 创建群集时,向导会自动在群集中的每个服务器上打开相应的防火墙端口,以便故障转移群集、Hyper-V 和存储副本。 如果在每台服务器上使用不同的防火墙,请按照以下部分所述打开端口:
Azure Stack HCI OS 管理
请确保在本地防火墙中配置用于管理 Azure Stack HCI OS(包括许可和计费)的以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许进出群集服务器上的 Azure Stack HCI 服务的入站/出站流量 | Allow | 群集服务器 | 群集服务器 | TCP | 30301 |
Windows Admin Center
确保在 Windows Admin Center 的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 提供对 Azure 和 Microsoft 更新的访问权限 | Allow | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| 对 HTTP 连接使用 Windows 远程管理 (WinRM) 2.0, 以在远程 Windows 服务器上 运行命令 |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| 对 HTTPS 连接使用 WinRM 2.0, 以在远程 Windows 服务器上运行命令 |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
注意
在安装 Windows Admin Center 时,如果选择“仅通过 HTTPS 使用 WinRM”设置,则需要端口 5986。
故障转移群集
确保在故障转移群集的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许故障转移群集验证 | Allow | 管理系统 | 群集服务器 | TCP | 445 |
| 允许 RPC 动态端口分配 | Allow | 管理系统 | 群集服务器 | TCP | 至少 100 个端口 高于端口 5000 |
| 允许远程过程调用 (RPC) | Allow | 管理系统 | 群集服务器 | TCP | 135 |
| 允许群集管理员 | Allow | 管理系统 | 群集服务器 | UDP | 137 |
| 允许群集服务 | Allow | 管理系统 | 群集服务器 | UDP | 3343 |
| 允许群集服务(在服务器加入操作 期间是必需的。) |
Allow | 管理系统 | 群集服务器 | TCP | 3343 |
| 允许 ICMPv4 和 ICMPv6 来进行故障转移群集验证 |
Allow | 管理系统 | 群集服务器 | 不适用 | 不适用 |
注意
管理系统包括你计划从中管理群集的任何计算机,使用 Windows Admin Center、Windows PowerShell 或 System Center Virtual Machine Manager 等工具。
Hyper-V
确保在 Hyper-V 的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许群集通信 | Allow | 管理系统 | Hyper-V Server | TCP | 445 |
| 允许 RPC 端点映射程序和 WMI | Allow | 管理系统 | Hyper-V Server | TCP | 135 |
| 允许 HTTP 连接 | Allow | 管理系统 | Hyper-V Server | TCP | 80 |
| 允许 HTTPS 连接 | Allow | 管理系统 | Hyper-V Server | TCP | 443 |
| 允许实时迁移 | Allow | 管理系统 | Hyper-V Server | TCP | 6600 |
| 允许 VM 管理服务 | Allow | 管理系统 | Hyper-V Server | TCP | 2179 |
| 允许 RPC 动态端口分配 | Allow | 管理系统 | Hyper-V Server | TCP | 至少 100 个端口 高于端口 5000 |
注意
打开一系列高于端口 5000 的端口,以允许 RPC 动态端口分配。 低于 5000 的端口可能已被其他应用程序使用,可能导致与 DCOM 应用程序发生冲突。 以前的经验显示,至少应打开 100 个端口,原因是多个系统服务依赖于这些 RPC 端口来彼此通信。 有关详细信息,请参阅如何配置与防火墙一起使用的 RPC 动态端口分配。
存储副本(拉伸群集)
确保在存储副本(拉伸群集)的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许服务器消息块 (SMB) 协议 |
Allow | 拉伸群集服务器 | 拉伸群集服务器 | TCP | 445 |
| 允许 Web 服务管理 (WS-MAN) |
Allow | 拉伸群集服务器 | 拉伸群集服务器 | TCP | 5985 |
| 允许 ICMPv4 和 ICMPv6 (如果在使用 Test-SRTopologyPowerShell cmdlet) |
Allow | 拉伸群集服务器 | 拉伸群集服务器 | 不适用 | 不适用 |
更新 Microsoft Defender 防火墙
本部分介绍了如何将 Microsoft Defender 防火墙配置为允许与服务标记关联的 IP 地址连接到操作系统。 服务标记代表给定 Azure 服务中的一组 IP 地址。 Microsoft 会管理服务标记中包含的 IP 地址,并且会在 IP 地址更改时自动更新服务标记,使更新量保持在最低水平。 若要了解详细信息,请参阅虚拟网络服务标记。
将来自以下资源的 JSON 文件下载到运行操作系统的目标计算机中:Azure IP 范围和服务标记 - 高能公有云。
使用以下 PowerShell 命令打开 JSON 文件:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json获取给定服务标记的 IP 地址范围列表,例如
AzureResourceManager服务标记:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes将 IP 地址列表导入到外部公司防火墙(如果你在防火墙中使用允许列表)。
为群集中的每台服务器创建防火墙规则,以允许发往 IP 地址范围列表的出站 443 (HTTPS) 流量:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
后续步骤
有关详细信息,请参阅:
- Windows 远程管理的安装和配置的 Windows 防火墙和 WinRM 2.0 端口部分
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈