Firewallanforderungen für Azure Stack HCI

Artikel
06/17/2022
12 Minuten Lesedauer

Gilt für: Azure Stack HCI, Versionen 21H2 und 20H2

In diesem Artikel finden Sie einen Leitfaden zum Konfigurieren von Firewalls für das Azure Stack HCI-Betriebssystem. Er enthält Firewallanforderungen für ausgehende Endpunkte und interne Regeln und Ports. Der Artikel enthält außerdem Informationen zum Einrichten eines Proxyservers und zur Verwendung von Azure-Diensttags mit der Microsoft Defender-Firewall.

Firewallanforderungen für ausgehende Endpunkte

Das Öffnen von Port 443 für ausgehenden Netzwerkverkehr in der Firewall Ihrer Organisation erfüllt die Anforderungen an die Konnektivität des Betriebssystems für die Verbindung mit Azure und Microsoft Update. Wenn Ihre ausgehende Firewall eingeschränkt ist, wird empfohlen, die im Abschnitt Empfohlene Firewall-URLs dieses Artikels beschriebenen URLs und Ports in die Positivliste einzubeziehen.

Azure Stack HCI muss regelmäßig eine Verbindung mit Azure herstellen. Der Zugriff ist auf Folgendes beschränkt:

Bekannte Azure-IP-Adressen
Ausgehender Datenverkehr
Port 443 (HTTPS)

In diesem Artikel wird erläutert, wie Sie optional eine streng gesperrte Firewallkonfiguration verwenden, damit der gesamte Datenverkehr zu allen Zielen mit Ausnahmen derjenigen blockiert wird, die in der Positivliste aufgeführt sind.

Wie in der folgenden Abbildung gezeigt kann Azure Stack HCI mithilfe von mehr als einer Firewall auf Azure zugreifen.

In den folgenden Abschnitten werden konsolidierte Listen von erforderlichen und empfohlenen URLs für die Azure Stack HCI-Kernkomponenten bereitgestellt, einschließlich Clustererstellung, Registrierung und Abrechnung, Microsoft Update und Cloudclusterzeuge. Sie können die JSON-Registerkarte verwenden, um die URLs direkt zu kopieren und in Ihre Positivliste einzufügen.

Die nachfolgenden Abschnitte enthalten zusätzliche Details zu den Firewallanforderungen von Azure Stack HCI-Kernkomponenten, gefolgt von Firewallanforderungen für zusätzliche Azure-Dienste (optional).

Erforderliche Firewall-URLs

Dieser Abschnitt enthält eine Liste der erforderlichen Firewall-URLs. Fügen Sie diese URLs in Ihre Zulassungsliste ein.

Tabelle
JSON

Die folgende Tabelle enthält eine Liste der erforderlichen Firewall-URLs.

URL	Port	Notizen
https://login.microsoftonline.com (Öffentliche Azure-Cloud) https://login.chinacloudapi.cn/ (Azure China) https://login.microsoftonline.us (Azure Gov)	443	Für die Active Directory-Autorität und für Authentifizierung, Tokenabruf und Überprüfung. Diensttag: AzureActiveDirectory
https://graph.windows.net/ (Öffentliche Azure-Cloud, Azure Gov) https://graph.chinacloudapi.cn/ (Azure China)	443	Für Graph und für Authentifizierung, Tokenabruf und Überprüfung. Diensttag: AzureActiveDirectory
https://management.azure.com/ (Öffentliche Azure-Cloud) https://management.chinacloudapi.cn/ (Azure China) https://management.usgovcloudapi.net/ (Azure Gov)	443	Für Resource Manager und während des anfänglichen Bootstrappings des Clusters in Azure für Registrierungszwecke und zum Aufheben der Registrierung des Clusters. Service Tag: AzureResourceManager.
https://dp.stackhci.azure.com/ (Öffentliche Azure-Cloud) https://dp.stackhci.azure.cn (Azure China) https://dp.azurestackchi.azure.us (Azure Gov)	443	Für die Datenebene, die Diagnosedaten pusht und in der Portal-Pipeline zum Pushen von Abrechnungsdaten. Hinweis: Die Datenebenen-URL für Azure Public wurde aktualisiert. Zuvor lautete diese URL: https://azurestackhci.azurefd.net. Wenn Sie Ihren Cluster bereits mit der alten URL registriert haben, müssen Sie die alte URL ebenfalls auf die Positivliste setzen.

Im Folgenden sind die erforderlichen Firewall-URLs im JSON-Format aufgeführt. Verwenden Sie die Schaltfläche „Kopieren“, um diesen Inhalt in Ihre Positivliste zu kopieren.

[{ 
        "URL": "https://login.microsoftonline.com", 
        "Port": "443", 
        "Notes": “(Azure Public) For Active Directory Authority and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.“ 
    }, 
    { 
        "URL": "https://login.chinacloudapi.cn/", 
        "Port": "443", 
        "Notes": “(Azure China) For Active Directory Authority and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.“ 
    }, 
    { 
        "URL": "https://login.microsoftonline.us", 
        "Port": "443", 
        "Notes": “(Azure Gov) For Active Directory Authority and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.“ 
    }, 
    { 
        "URL": "https://graph.windows.net/", 
        "Port": "443", 
        "Notes": “(Azure Public, Azure Gov) For Graph and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.” 
    }, 
    { 
        "URL": "https://graph.chinacloudapi.cn/", 
        "Port": "443", 
        "Notes": “(Azure China) For Graph and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.” 
    }, 
    { 
        "URL": "https://management.azure.com/", 
        "Port": "443", 
        "Notes": “(Azure Public) For Resource Manager and used during initial bootstrapping of the cluster to Azure for registration purposes and to unregister the cluster. Service Tag: AzureResourceManager.” 
    }, 
    { 
        "URL": "https://management.chinacloudapi.cn/", 
        "Port": "443", 
        "Notes": “(Azure China) For Resource Manager and used during initial bootstrapping of the cluster to Azure for registration purposes and to unregister the cluster. Service Tag: AzureResourceManager.” 
    }, 
    { 
        "URL": "https://management.usgovcloudapi.net/", 
        "Port": "443", 
        "Notes": “(Azure Gov) For Resource Manager and used during initial bootstrapping of the cluster to Azure for registration purposes and to unregister the cluster. Service Tag: AzureResourceManager.” 
    }, 
    { 
        "URL": "https://dp.stackhci.azure.com (Azure Public)", 
        "Port": "443", 
        "Notes": “(Azure Public) For Dataplane which pushes up diagnostics data, is used in the Portal pipeline, and pushes billing data. Note that this URL has been updated. Previously, this URL was: https://azurestackhci.azurefd.net. If you've already registered your cluster with the old URL, you must allowlist the old URL as well.” 
    }, 
    { 
        "URL": "https://dp.stackhci.azure.cn", 
        "Port": "443", 
        "Notes": “(Azure China) For Dataplane which pushes up diagnostics data, is used in the Portal pipeline, and pushes billing data.” 
    }, 
    { 
        "URL": "https://dp.azurestackchi.azure.us", 
        "Port": "443", 
        "Notes": “(Azure Gov) For Dataplane which pushes up diagnostics data, is used in the Portal pipeline, and pushes billing data.” 
     }]

Empfohlene Firewall-URLs

Dieser Abschnitt enthält eine Liste der empfohlenen Firewall-URLs. Wenn Ihre ausgehende Firewall eingeschränkt ist, empfiehlt es sich, Ihrer Positivliste die in diesem Abschnitt beschriebenen URLs und Ports hinzuzufügen.

Tabelle
Json

Die folgende Tabelle enthält eine Liste der empfohlenen Firewall-URLs.

URL	Port	Notizen
http://.windowsupdate.microsoft.com https://.windowsupdate.microsoft.com http://.update.microsoft.com https://.update.microsoft.com http://.windowsupdate.com http://download.windowsupdate.com https://download.microsoft.com http://.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com http://go.microsoft.com http://dl.delivery.mp.microsoft.com https://dl.delivery.mp.microsoft.com	443	Für Microsoft Update, damit das Betriebssystem Updates empfangen kann.
*.blob.core.windows.net ODER [meinblobstorage].blob.core.windows.net	443	Für Clustercloudzeugen. Für die Verwendung eines Cloudzeugen als Clusterzeugen.
*.powershellgallery.com ODER Installationsmodul unter https://www.powershellgallery.com/packages/Az.StackHCI	443	Um das PowerShell-Modul „Az.StackHCI“ abzurufen, das für die Clusterregistrierung erforderlich ist.

Im Folgenden sind die empfohlenen Firewall-URLs im JSON-Format aufgeführt. Verwenden Sie die Schaltfläche „Kopieren“, um diesen Inhalt in Ihre Positivliste zu kopieren.

[{ 
        "URL": "http://*.windowsupdate.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://*.windowsupdate.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://*.update.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://*.update.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://*.windowsupdate.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://download.windowsupdate.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://download.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://*.download.windowsupdate.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://wustat.windows.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://ntservicepack.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://go.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://dl.delivery.mp.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://dl.delivery.mp.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "*.blob.core.windows.net", 
        "Port": "443", 
        "Notes": “Alternatively, [myblobstorage].blob.core.windows.net for the blob storage account for the cluster witness. For Cluster Cloud Witness.” 
    }, 
    { 
        "URL": "*.powershellgallery.com", 
        "Port": "443", 
        "Notes": “Alternatively, download the Az.StackHCI PowerShell module at https://www.powershellgallery.com/packages/Az.StackHCI. For HCI Registration.” 
    }]

Clustererstellung

Sie benötigen keine anderen Firewallregeln, wenn Sie Windows Admin Center oder PowerShell verwenden, um Ihren Azure Stack HCI-Cluster zu erstellen.

Clusterregistrierung und Abrechnung

Die Clusterregistrierung erfordert das PowerShell-Modul Az.StackHCI, das nicht im Azure Stack HCI-Betriebssystem enthalten ist. Wenn Sie Windows Admin Center oder PowerShell verwenden, müssen Sie entweder die Sperre für *.powershellgallery.com aufheben oder das PowerShell-Modul „Az.StackHCI“ manuell aus dem PowerShell-Katalog installieren.

Laden Sie optional den Azure Arc für Server-Agent für die Registrierung herunter. Er ist zwar nicht erforderlich, wird aber empfohlen, damit Sie Ihren Cluster über das Azure-Portal verwalten und Arc-Dienste verwenden können. Sie müssen die URL-Endpunkte in Ihre Positivliste aufnehmen, um den Azure Arc für Server-Agent für die Registrierung herunterzuladen.

Weitere Informationen zu Netzwerkanforderungen für die Verwendung des Azure Connected Machine-Agent für das Onboarding eines physischen Servers oder einer VM auf Azure Arc-fähigen Servern finden Sie unter Netzwerkanforderungen für den Connected Machine-Agent.

Microsoft Update

Wenn zwischen dem Azure Stack HCI-Betriebssystem und dem Internet eine Unternehmensfirewall verwendet wird, müssen Sie diese Firewall möglicherweise konfigurieren, um sicherzustellen, dass das Betriebssystem Updates abrufen kann. Das Betriebssystem verwendet den Port 443 für das HTTPS-Protokoll, um Updates von Microsoft Update herunterzuladen. Die meisten Unternehmens-Firewalls lassen diese Art von Datenverkehr zu, einige begrenzen den Internetzugriff jedoch aufgrund ihrer Sicherheitsrichtlinien. Wenn Ihr Unternehmen den Zugriff beschränkt, sollten Sie die im Abschnitt Empfohlene Firewall-URLs beschriebenen URLs und Ports in Ihre Positivliste einschließen.

Clustercloudzeugen

Diese Eingabe ist optional. Wenn Sie als Clusterzeuge einen Cloudzeugen verwenden möchten, müssen Sie den Firewallzugriff auf den Azure-Blobcontainer zulassen, z. B. \[myblobstorage\].blob.core.windows.net.

Firewallanforderungen für zusätzliche Azure-Dienste (optional)

Je nach zusätzlichen Azure-Diensten, die Sie auf der HCI aktivieren, müssen Sie möglicherweise zusätzliche Änderungen der Firewallkonfiguration vornehmen. Weitere Informationen zu Firewallanforderungen für die einzelnen Azure-Dienste finden Sie unter den folgenden Links.

Firewallanforderungen für interne Regeln und Ports

Stellen Sie sicher, dass zwischen allen Serverknoten innerhalb eines Standorts und zwischen Standorten (bei Stretchingclustern) die richtigen Netzwerkports geöffnet sind. Sie benötigen geeignete Firewallregeln zum Zulassen von ICMP- und SMB-Datenverkehr (Port 445 plus Port 5445 für SMB Direct bei Verwendung von iWARP RDMA) sowie von bidirektionalem WS-MAN-Datenverkehr (Port 5985) zwischen allen Servern im Cluster.

Wenn Sie zum Erstellen des Clusters den Assistenten für die Clustererstellung in Windows Admin Center verwenden, öffnet dieser automatisch auf jedem Server im Cluster die entsprechenden Firewallports für Failoverclustering, Hyper-V und Speicherreplikate. Wenn Sie auf den einzelnen Servern unterschiedliche Firewalls verwenden, öffnen Sie die in den folgenden Abschnitten beschriebenen Ports:

Windows Admin Center

Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Windows Admin Center konfiguriert sind.

Regel	Aktion	`Source`	Destination	Dienst	Ports
Gewähren des Zugriffs auf Azure und Microsoft Update	Allow	Windows Admin Center	Azure Stack HCI	TCP	445
Verwenden der Windows-Remoteverwaltung (WinRM) 2.0 für die HTTP-Verbindungen zum Ausführen von Befehlen auf Remote-Windows-Servern	Allow	Windows Admin Center	Azure Stack HCI	TCP	5985
Verwenden von WinRM 2.0 für HTTPS-Verbindungen für die Ausführung von Befehlen auf Remote-Windows-Servern	Allow	Windows Admin Center	Azure Stack HCI	TCP	5986

Hinweis

Wenn Sie bei der Installation des Windows Admin Center die Einstellung Use WinRM over HTTPS only (Nur WinRM bei HTTPS verwenden) auswählen, ist Port 5986 erforderlich.

Failoverclustering

Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Failoverclustering konfiguriert sind.

Regel	Aktion	`Source`	Destination	Dienst	Ports
Zulassen der Failovercluster-Überprüfung	Allow	Verwaltungssystem	Clusterserver	TCP	445
Zulassen der dynamischen RPC-Portzuordnung	Allow	Verwaltungssystem	Clusterserver	TCP	Mindestens 100 Ports Ports über 5000
Zulassen von Remote Procedure Call (RPC)	Allow	Verwaltungssystem	Clusterserver	TCP	135
Zulassen eines Clusteradministrators	Allow	Verwaltungssystem	Clusterserver	TCP	137
Zulassen eines Clusterdiensts	Allow	Verwaltungssystem	Clusterserver	UDP	3343
Zulassen eines Clusterdiensts (erforderlich während eines Server-Verbindungsvorgangs.)	Allow	Verwaltungssystem	Clusterserver	TCP	3343
Zulassen von ICMPv4 und ICMPv6 für die Failovercluster-Überprüfung	Allow	Verwaltungssystem	Clusterserver	–	–

Hinweis

Das Verwaltungssystem umfasst alle Computer, von denen aus Sie den Cluster unter Verwendung von Tools wie Windows Admin Center, Windows PowerShell oder System Center Virtual Machine Manager verwalten möchten.

Hyper-V

Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Hyper-V konfiguriert sind.

Regel	Aktion	`Source`	Destination	Dienst	Ports
Zulassen von Clusterinterner Kommunikation	Allow	Verwaltungssystem	Hyper-V-Server	TCP	445
Zulassen von RPC-Endpunktzuordnung und WMI	Allow	Verwaltungssystem	Hyper-V-Server	TCP	135
Zulassen von HTTP-Konnektivität	Allow	Verwaltungssystem	Hyper-V-Server	TCP	80
Zulassen von HTTPS-Konnektivität	Allow	Verwaltungssystem	Hyper-V-Server	TCP	443
Zulassen von Livemigration	Allow	Verwaltungssystem	Hyper-V-Server	TCP	6600
Zulassen von Verwaltungsdienst für virtuelle Maschinen	Allow	Verwaltungssystem	Hyper-V-Server	TCP	2179
Zulassen der dynamischen RPC-Portzuordnung	Allow	Verwaltungssystem	Hyper-V-Server	TCP	Mindestens 100 Ports Ports über 5000

Hinweis

Öffnen Sie einen Bereich von Ports über Port 5000, um die dynamische RPC-Portzuordnung zuzulassen. Ports unter 5000 werden möglicherweise bereits von anderen Anwendungen verwendet und können Konflikte mit DCOM-Anwendungen verursachen. Frühere Erfahrungen haben gezeigt, dass mindestens 100 Ports geöffnet sein sollten, da mehrere Systemdienste von diesen RPC-Ports abhängig sind, um miteinander kommunizieren zu können. Weitere Informationen finden Sie unterKonfigurieren der dynamischen RPC-Portzuweisung für den Firewall-Einsatz.

Speicherreplikat (Stretched-Cluster)

Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Speicherreplikat (Stretched-Cluster) konfiguriert sind.

Regel	Aktion	`Source`	Destination	Dienst	Ports
Zulassen von Server Message Block SMB-Protokoll	Allow	Server für Stretched Cluster	Server für Stretched Cluster	TCP	445
Zulassen von Webdienstverwaltung (WS-MAN)	Allow	Server für Stretched Cluster	Server für Stretched Cluster	TCP	5985
Zulassen von ICMPv4 und ICMPv6 (bei der Verwendung des `Test-SRTopology` PowerShell-Cmdlet)	Allow	Server für Stretched Cluster	Server für Stretched Cluster	–	–

Einrichten eines Proxyservers

Hinweis

Proxyeinstellungen für Windows Admin Center und Azure Stack HCI erfolgen getrennt. Das Ändern der Proxyeinstellungen des Azure Stack HCI-Clusters hat keine Auswirkungen auf den ausgehenden Datenverkehr von Windows Admin Center, wie z. B. Verbinden mit Azure, Herunterladen von Erweiterungen usw. Installieren Sie das Modul WinInetProxy, um die Befehle in diesem Abschnitt auszuführen. Informationen zum Modul und seiner Installation finden Sie unter PowerShell-Katalog | WinInetProxy 0.1.0.

Führen Sie den folgenden PowerShell-Befehl als Administrator auf jedem Server im Cluster aus, um einen Proxyserver für Azure Stack HCI einzurichten:

Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090

Verwenden Sie das Flag ProxySettingsPerUser0, damit die Proxykonfiguration serverweit statt benutzerbezogen (Standardeinstellung) angewandt wird.

Wenn Sie die Proxykonfiguration entfernen möchten, führen Sie den PowerShell-Befehl Set-WinInetProxy ohne Argumente aus.

Weitere Informationen zum Konfigurieren von Proxyservern finden Sie in den folgenden Artikeln:

Informationen zum Konfigurieren eines Proxyservers für AKS in der Azure Stack HCI finden Sie unter Konfigurieren von Proxyservereinstellungen für AKS in der Azure Stack HCI.
Informationen zum ordnungsgemäßen Konfigurieren der HTTPS-PROXY-Umgebung mit AKS-HCI finden Sie unter Festlegen des Proxys für Azure Stack HCI- und Windows Server-Cluster mit computerweiten Proxyeinstellungen.
Informationen zum Konfigurieren eines Proxys für Arc for Servers finden Sie unter Verwalten des Connected Machine-Agent im Abschnitt „Aktualisieren oder Entfernen von Proxyeinstellungen“.
Informationen zum Konfigurieren eines Proxys für Microsoft Monitoring Agent (MMA) finden Sie im Übersichtsartikel zum Log Analytics-Agent im Abschnitt Netzwerkanforderungen.

Aktualisieren der Microsoft Defender-Firewall

In diesem Abschnitt erfahren Sie, wie Sie die Microsoft Defender-Firewall so konfigurieren, dass IP-Adressen, die einem Diensttag zugeordnet sind, eine Verbindung mit dem Betriebssystem herstellen können. Ein Diensttag steht für eine Gruppe von IP-Adressen eines bestimmten Azure-Diensts. Microsoft verwaltet die im Diensttag eingeschlossenen IP-Adressen und aktualisiert das Diensttag automatisch, wenn sich IP-Adressen ändern, damit möglichst wenige Updates erforderlich sind. Weitere Informationen finden Sie unter Diensttags in virtuellen Netzwerken.

Laden Sie die JSON-Datei von der folgenden Ressource auf den Zielcomputer herunter, auf dem das Betriebssystem ausgeführt wird: Azure-IP-Adressbereiche und -Diensttags – öffentliche Cloud.

Verwenden Sie den folgenden PowerShell-Befehl zum Öffnen der JSON-Datei:

$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json

Rufen Sie die Liste der IP-Adressbereiche für ein bestimmtes Diensttag (beispielsweise „AzureResourceManager“) ab:
```
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
```
Importieren Sie die Liste der IP-Adressen in Ihre externe Unternehmens-Firewall, wenn Sie eine zugehörige Liste „Zulassen“ verwenden.

Erstellen Sie für jeden Server im Cluster eine Firewallregel, um ausgehenden Datenverkehr für Port 443 (HTTPS) für die Liste der IP-Adressbereiche zuzulassen:

New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True

Nächste Schritte

Weitere Informationen finden Sie auch unter:

Abschnitt „Ports für die Windows-Firewall und WinRM 2.0“ im Artikel Installation und Konfiguration der Windows-Remoteverwaltung