Požadavky na bránu firewall pro Azure Stack HCI
Platí pro: Azure Stack HCI, verze 21H2 a 20H2
V tomto tématu najdete pokyny ke konfiguraci bran firewall pro operační systém Azure Stack HCI. zahrnuje požadavky na připojení a doporučení a vysvětluje, jak značky služby seskupují IP adresy skupin v Microsoft Azure, které operační systém potřebuje k přístupu. V tématu najdete také postup aktualizace firewallu v programu Microsoft Defender a informace o tom, jak nastavit proxy server.
Požadavky na připojení a doporučení
Otevření portu 443 pro odchozí síťový provoz v bráně firewall vaší organizace splňuje požadavky na připojení, které operační systém připojí k Azure a Microsoft Update. Pokud je vaše odchozí brána firewall omezená, doporučujeme zahrnout adresy URL a porty popsané v části doporučení k připojení povolených v tomto tématu.
Požadavky na připojení Azure
Azure Stack HCI se musí pravidelně připojovat k Azure. Přístup je omezený jenom na:
- Dobře známé IP adresy Azure
- Odchozí směr
- Port 443 (HTTPS)
Toto téma popisuje, jak volitelně použít vysoce uzamčenou konfiguraci brány firewall k blokování všech přenosů do všech cílů kromě těch, které jsou zahrnuté v povolených.
Jak je znázorněno v následujícím diagramu, Azure Stack rozhraní HCI přistupuje k Azure pomocí více než jedné brány firewall potenciálně.
Požadavky na připojení Microsoft Update
Pokud je mezi operačním systémem a internetem podnikovou bránu firewall, bude pravděpodobně nutné nakonfigurovat tuto bránu firewall, aby zajistila, že operační systém bude moci získat aktualizace. K získání aktualizací z Microsoft Update používá operační systém port 443 pro protokol HTTPS. I když většina podnikových bran firewall povoluje tento typ přenosu, některé společnosti omezují přístup k Internetu z důvodu jejich zásad zabezpečení. Pokud vaše společnost omezuje přístup, budete muset získat autorizaci, která povolí přístup k Internetu pro následující adresy URL:
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- http://download.windowsupdate.com
- https://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
- http://go.microsoft.com
- http://dl.delivery.mp.microsoft.com
- https://dl.delivery.mp.microsoft.com
Pravidla brány firewall sítě a požadavky na porty
Ujistěte se, že jsou mezi všemi uzly serveru v lokalitě i mezi lokalitami (pro roztažené clustery) otevřené správné síťové porty. Budete potřebovat patřičná pravidla brány firewall, která umožní obousměrné přenosy protokolu ICMP, SMB (port 445, plus port 5445 pro funkci SMB Direct v případě použití iWARP RDMA) a WS-MAN (port 5985) mezi všemi servery v clusteru.
při vytváření clusteru pomocí průvodce vytvořením clusteru v Windows centru pro správu se automaticky otevře příslušný port brány firewall na každém serveru v clusteru pro clustering s podporou převzetí služeb při selhání, Hyper-V a Storage repliky. Pokud na každém serveru používáte jinou bránu firewall, otevřete porty v následujících částech:
Windows Admin Center
zajistěte, aby v místní bráně firewall pro centrum pro správu Windows byla nakonfigurovaná následující pravidla brány firewall.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Poskytnutí přístupu k Azure a Microsoft Update | Povolit | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| použít Vzdálená správa systému Windows (WinRM) 2,0 pro připojení HTTP ke spouštění příkazů na vzdálených Windows serverech |
Povolit | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Pro spuštění připojení HTTPS použijte WinRM 2,0. příkazy na vzdálených Windows serverech |
Povolit | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Poznámka
pokud při instalaci centra pro správu Windows vyberete nastavení použít pouze WinRM přes HTTPS , pak se vyžaduje port 5986.
Clustering s podporou převzetí služeb při selhání
Zajistěte, aby v místní bráně firewall pro clustering s podporou převzetí služeb při selhání byly nakonfigurované následující pravidla brány firewall.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolení ověření clusteru s podporou převzetí služeb při selhání | Povolit | Windows Admin Center | Clusterové servery | TCP | 445 |
| Povolení dynamického přidělování portů RPC | Povolit | Windows Admin Center | Clusterové servery | TCP | Minimálně 100 portů nad port 5000 |
| Povolení vzdáleného volání procedur (RPC) | Povolit | Windows Admin Center | Clusterové servery | TCP | 135 |
| Povolení Správce clusteru | Povolit | Windows Admin Center | Clusterové servery | TCP | 137 |
| Povolení Clusterové služby | Povolit | Windows Admin Center | Clusterové servery | UDP | 3343 |
| Povolte Clusterovou službu (požadováno během operace připojení k serveru.) |
Povolit | Windows Admin Center | Clusterové servery | TCP | 3343 |
| Povolení ICMPv4 a ICMPv6 pro ověření clusteru s podporou převzetí služeb při selhání |
Povolit | Windows Admin Center | Clusterové servery | Není k dispozici | Není k dispozici |
Poznámka
Otevřete rozsah portů nad port 5000, aby se povolilo dynamické přidělování portů RPC. Porty nižší než 5000 mohou být již používány jinými aplikacemi a mohou způsobit konflikty s aplikacemi DCOM. Předchozí prostředí ukazuje, že by se mělo otevřít minimálně 100 portů, protože některé systémové služby na těchto portech RPC spoléhají vzájemně komunikují. Další informace. Podívejte se, jak nakonfigurovat dynamické přidělování portů RPC pro práci s branami firewall.
Hyper-V
Zajistěte, aby v místní bráně firewall pro Hyper-V byla nakonfigurovaná následující pravidla brány firewall.
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolení komunikace clusteru | Povolit | Windows Admin Center | Server Hyper-V | TCP | 445 |
| Povolení mapovače koncových bodů RPC a rozhraní WMI | Povolit | Windows Admin Center | Server Hyper-V | TCP | 135 |
| Povolení připojení HTTP | Povolit | Windows Admin Center | Server Hyper-V | TCP | 80 |
| Povolení připojení HTTPS | Povolit | Windows Admin Center | Server Hyper-V | TCP | 443 |
| Povolení Migrace za provozu | Povolit | Windows Admin Center | Server Hyper-V | TCP | 6600 |
| Povolení služby správy virtuálních počítačů | Povolit | Windows Admin Center | Server Hyper-V | TCP | 2179 |
| Povolení dynamického přidělování portů RPC | Povolit | Windows Admin Center | Server Hyper-V | TCP | Minimálně 100 portů nad port 5000 |
Storage replika (roztaženého clusteru)
zajistěte, aby v místní bráně firewall byla nakonfigurovaná následující pravidla brány firewall pro Storage repliky (roztaženého clusteru).
| Pravidlo | Akce | Zdroj | Cíl | Služba | Porty |
|---|---|---|---|---|---|
| Povolení blokování zpráv serveru Protokol SMB |
Povolit | Roztažené servery clusteru | Roztažené servery clusteru | TCP | 445 |
| Povolení webového Services-Management (WS-MAN) |
Povolit | Roztažené servery clusteru | Roztažené servery clusteru | TCP | 5985 |
| Povolení ICMPv4 a ICMPv6 (Pokud používáte Test-SRTopologyRutina PowerShellu) |
Povolit | Roztažené servery clusteru | Roztažené servery clusteru | Není k dispozici | Není k dispozici |
Doporučení pro připojení
Pokud je vaše odchozí brána firewall omezená, doporučujeme do této části Přidat následující adresy URL a porty do vaší povolených.
| Popis | URL | Port | Směr |
|---|---|---|---|
| Adresa URL pro obejití proxy serveru Azure Portal | *.aadcdn.microsoftonline-p.com |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.aka.ms |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.applicationinsights.io |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.azure.com |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.azure.net |
80,443 | Odchozí |
| Cloudová služba Azure Stack HCI | *.azurefd.net |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.azure-api.net |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.azuredatalakestore.net |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.azureedge.net |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.loganalytics.io |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.microsoft.com |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.microsoftonline.com |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.microsoftonline-p.com |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.msauth.net |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.msftauth.net |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.trafficmanager.net |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.visualstudio.com |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.windows.net |
80,443 | Odchozí |
| Adresa URL pro obejití proxy serveru Azure Portal | *.windows-int.net |
80,443 | Odchozí |
| Windows Update | *.windowsupdate.com |
80,443 | Odchozí |
| Microsoft Office | www.office.com |
80,443 | Odchozí |
| Služba Azure Automation pro úlohy správy Azure | *.azure-automation.net |
80,443 | Odchozí |
| Agent ke stažení binárních souborů Helm | *.helm.sh |
443 | Odchozí |
| Služba Cloud init ke stažení binárních souborů Kubernetes | storage.googleapis.com |
443 | Odchozí |
| centrum pro správu Windows ke stažení Azure CLI | aka.ms/installazurecliwindows |
443 | Odchozí |
| Služba Kubernetes ke stažení imagí kontejneru | ecpacr.azurecr.io |
443 | Odchozí |
| Protokol TCP pro podporu agentů ARC Azure | git://:9418 |
9 418 | Odchozí |
| Galerie prostředí PowerShell centrální úložiště | *.powershellgallery.com |
80,443 | Odchozí |
| Platforma pro hostování webů, která podporuje více technologií | *.azurewebsites.net |
443 | Odchozí |
| soubory ke stažení Content Delivery Network (CDN) | *.msecnd.net |
443 | Odchozí |
Další informace o těchto doporučeních pro připojení a dalších prostředcích najdete v následujících zdrojích informací:
- Povolení adres URL Azure Portal v bráně firewall nebo proxy server
- Síťová konfigurace ARC Azure
- Galerie prostředí PowerShell adresy url pro instalaci součástí NuGet a dalších
- Přístup ke službě Azure Kubernetes, Google API, Helm a dalším službám najdete v tématu Azure Kubernetes Service na Azure Stack síťovém portu HCI a požadavcích na adresu URL .
Práce s visačkami služeb
Značka služby představuje skupinu IP adres z dané služby Azure. Společnost Microsoft spravuje IP adresy, které jsou součástí značky služby, a automaticky aktualizuje označení služby jako IP adresy, aby byly aktualizace minimální. Další informace najdete v tématu značky služby virtuální sítě.
Důležité
Pokud je odchozí připojení omezeno externí firemní bránou firewall nebo proxy server, ujistěte se, že adresy URL uvedené v následující tabulce nejsou blokované. Související informace najdete v části "konfigurace sítě" v tématu Přehled agenta serverů s podporou ARC Azure.
Denní přístup k požadovanému koncovému bodu (po registraci Azure)
Azure udržuje správné známé IP adresy pro služby Azure, které jsou organizované pomocí značek služeb. Azure publikuje týdenní soubor JSON všech IP adres pro každou službu. IP adresy se často nemění, ale mění se několik časů za rok. V následující tabulce jsou uvedeny koncové body značek služby, které operační systém potřebuje k přístupu.
| Popis | Značka služby pro rozsah IP adres | URL | Adresa URL pro Azure Čína |
|---|---|---|---|
| Azure Active Directory | AzureActiveDirectory | https://login.microsoftonline.comhttps://graph.microsoft.comhttps://graph.windows.net |
https://login.partner.microsoftonline.cnhttps://microsoftgraph.chinacloudapi.cnhttps://graph.chinacloudapi.cn |
| Azure Resource Manager | AzureResourceManager | https://management.azure.com |
https://management.chinacloudapi.cn |
| Cloudová služba Azure Stack HCI | AzureFrontDoor. front-end AzureCloud. ChinaEast2 (Azure Čína) |
https://azurestackhci.azurefd.net |
https://dp.stackhci.azure.cn |
| Azure Arc | AzureArcInfrastructure AzureTrafficManager |
Závisí na funkcích, které chcete použít: Služba hybridní identity: *.his.arc.azure.comKonfigurace hosta: *.guestconfiguration.azure.comPoznámka: Při povolování více funkcí je očekáváno více adres URL. |
Připravujeme. |
Aktualizovat firewall v programu Microsoft Defender
V této části se dozvíte, jak nakonfigurovat bránu firewall v programu Microsoft Defender tak, aby povolovala IP adresy přidružené ke značce služby pro připojení k operačnímu systému:
Stáhněte soubor JSON z následujícího prostředku do cílového počítače, na kterém běží operační systém: rozsahy IP adres Azure a značky služeb – veřejný cloud.
K otevření souboru JSON použijte následující příkaz prostředí PowerShell:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonZíská seznam rozsahů IP adres pro danou značku služby, jako je například značka služby AzureResourceManager:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesPokud k tomu používáte povolených, importujte seznam IP adres k externí podnikové bráně firewall.
Vytvořte pravidlo brány firewall pro každý server v clusteru, abyste povolili odchozí přenosy 443 (HTTPS) do seznamu rozsahů IP adres:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Dodatečný koncový bod pro jednorázovou registraci Azure
když v rámci procesu registrace do Azure spustíte buď Register-AzStackHCI nebo použijete centrum pro správu Windows, rutina se pokusí kontaktovat Galerie prostředí PowerShell a ověřit, jestli máte nejnovější verzi požadovaných modulů powershellu, třeba Az a AzureAD.
I když je Galerie prostředí PowerShell hostovaný v Azure, pro ni aktuálně není k dispozici žádný příznak služby. Pokud nemůžete spustit Register-AzStackHCI rutinu z uzlu serveru z důvodu nedostatku přístupu k Internetu, doporučujeme stáhnout moduly do počítače pro správu a pak je ručně přenést do uzlu serveru, kde chcete spustit rutinu.
Nastavení proxy server
V této části se dozvíte, jak nastavit proxy server pro váš cluster.
Poznámka
Windows nastavení proxy centra pro správu a Azure Stack nastavení proxy HCI jsou oddělené. změna Azure Stack nastavení proxy serveru clusteru HCI neovlivní Windows odchozího provozu centra pro správu, jako je připojení k Azure, stahování rozšíření atd.
Pokud chcete spustit příkazy v této části, nainstalujte modul WinInetProxy. Informace o modulu a o tom, jak ho nainstalovat, najdete v tématu Galerie prostředí PowerShell | WinInetProxy 0.1.0.
Pokud chcete nastavit proxy server pro Azure Stack HCI, spusťte následující příkaz PowerShellu jako správce na každém serveru v clusteru:
Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090
Pomocí ProxySettingsPerUser 0 příznaku nastavte pro server proxy v rozsahu pro jednotlivé uživatele, což je výchozí nastavení.
Pokud chcete odebrat konfiguraci proxy serveru, spusťte příkaz PowerShell Set-WinInetProxy bez argumentů.
Další kroky
Další informace najdete v tématu také:
- oddíl Windows brány Firewall a WinRM 2,0 pro instalaci a konfiguraci pro Vzdálená správa systému Windows