Configuration requise des pare-feu pour Azure Stack HCI
S’applique à : Azure Stack HCI, versions 23H2 et 22H2
Cet article fournit des conseils sur la façon de configurer des pare-feu pour le système d’exploitation Azure Stack HCI. Il inclut les exigences de pare-feu pour les points de terminaison sortants et les règles et ports internes. L’article fournit également des informations sur l’utilisation des balises de service Azure avec Microsoft Defender pare-feu.
Si votre réseau utilise un serveur proxy pour l’accès à Internet, consultez Configurer les paramètres de proxy pour Azure Stack HCI.
Important
Azure Private Link n’est pas pris en charge pour Azure Stack HCI, version 23H2 ou l’un de ses composants.
Exigences de pare-feu pour les points de terminaison sortants
Ouvrir le port 443 pour le trafic réseau sortant sur le pare-feu de votre organisation permet de répondre aux exigences de connectivité pour que le système d’exploitation se connecte à Azure et Microsoft Update. Si votre pare-feu sortant est restreint, nous vous recommandons d’inclure les URL et les ports décrits dans la section URL de pare-feu recommandées de cet article.
Azure Stack HCI doit se connecter régulièrement à Azure. L’accès est limité aux éléments suivants :
- Adresses IP Azure connues
- Direction sortante
- Port 443 (HTTPS)
Important
Azure Stack HCI ne prend pas en charge l’inspection HTTPS. Assurez-vous que l’inspection HTTPS est désactivée le long de votre chemin d’accès réseau pour Azure Stack HCI afin d’éviter toute erreur de connectivité.
Comme indiqué dans le diagramme ci-dessous, Azure Stack HCI accède à Azure en utilisant potentiellement plus d’un pare-feu.
Cet article explique comment utiliser une configuration de pare-feu très verrouillée afin, si vous le souhaitez, de bloquer tout le trafic vers toutes les destinations, sauf celles incluses dans votre liste d’autorisation.
URL de pare-feu obligatoires
Le tableau suivant fournit la liste des URL de pare-feu obligatoires. Veillez à inclure ces URL dans votre liste d’autorisation.
Suivez également les exigences de pare-feu requises pour AKS sur Azure Stack HCI.
Notes
Les règles de pare-feu Azure Stack HCI sont les points de terminaison minimaux requis pour la connectivité HciSvc et ne contiennent pas de caractères génériques. Toutefois, le tableau suivant contient actuellement des URL génériques, qui peuvent être mises à jour en points de terminaison précis à l’avenir.
| Service | URL | Port | Notes |
|---|---|---|---|
| Téléchargement Mises à jour Azure Stack HCI | fe3.delivery.mp.microsoft.com | 443 | Pour la mise à jour d’Azure Stack HCI, version 23H2. |
| Téléchargement Mises à jour Azure Stack HCI | tlu.dl.delivery.mp.microsoft.com | 80 | Pour la mise à jour d’Azure Stack HCI, version 23H2. |
| Découverte de Mises à jour Azure Stack HCI | aka.ms | 443 | Pour la résolution des adresses pour découvrir Azure Stack HCI, version 23H2 et l’extension Générateur de solutions Mises à jour. |
| Découverte de Mises à jour Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Service sous-jacent qui implémente le suivi des données d’utilisation pour les liens de redirection aka.ms. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Pour l’autorité Active Directory ; utilisé pour l’authentification, la récupération de jeton et la validation. |
| Azure Stack HCI | graph.windows.net | 443 | Pour Graph ; utilisé pour l’authentification, la récupération de jeton et la validation. |
| Azure Stack HCI | management.azure.com | 443 | Pour Resource Manager ; utilisé lors du démarrage initial du cluster pour l’inscription dans Azure et la désinscription du cluster. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Pour le plan de données qui pousse diagnostics données et est utilisé dans le pipeline de Portail Azure et envoie (push) les données de facturation. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Pour le plan de données utilisé dans les licences et dans l’envoi de données d’alerte et de facturation. Obligatoire uniquement pour Azure Stack HCI, version 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | URL précédente pour le plan de données. Cette URL a récemment été modifiée, les clients qui ont inscrit leur cluster à l’aide de cette ancienne URL doivent également l’autoriser. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Pour le registre de conteneurs de machines virtuelles Arc sur Azure Stack HCI. Obligatoire uniquement pour Azure Stack HCI, version 23H2. |
| Arc For Servers | aka.ms | 443 | Pour résoudre le script de téléchargement pendant l’installation. |
| Arc For Servers | download.microsoft.com | 443 | Pour télécharger le package d’installation de Windows. |
| Arc For Servers | login.windows.net | 443 | Pour Microsoft Entra ID |
| Arc For Servers | login.microsoftonline.com | 443 | Pour Microsoft Entra ID |
| Arc For Servers | pas.windows.net | 443 | Pour Microsoft Entra ID |
| Arc For Servers | management.azure.com | 443 | Pour Azure Resource Manager créer ou supprimer la ressource Arc Server |
| Arc For Servers | guestnotificationservice.azure.com | 443 | Pour le service de notification pour les scénarios d’extension et de connectivité |
| Arc For Servers | *.his.arc.azure.com | 443 | Pour les services de métadonnées et d’identité hybride |
| Arc For Servers | *.guestconfiguration.azure.com | 443 | Pour les services de gestion des extensions et de configuration des invités |
| Arc For Servers | *.guestnotificationservice.azure.com | 443 | Pour le service de notification pour les scénarios d’extension et de connectivité |
| Arc For Servers | azgn*.servicebus.windows.net | 443 | Pour le service de notification pour les scénarios d’extension et de connectivité |
| Arc For Servers | *.servicebus.windows.net | 443 | Pour les scénarios Windows Admin Center et SSH |
| Arc For Servers | *.waconazure.com | 443 | Pour une connectivité Windows Admin Center |
| Arc For Servers | *.blob.core.windows.net | 443 | Pour télécharger la source pour les extensions de serveurs avec Azure Arc |
Pour obtenir une liste complète de toutes les URL de pare-feu, téléchargez la feuille de calcul URL de pare-feu.
URL de pare-feu recommandées
Le tableau suivant fournit la liste des URL de pare-feu recommandées. Si votre pare-feu sortant est restreint, nous vous recommandons d’ajouter les URL et les ports décrits dans cette section à votre liste d’autorisation.
Notes
Les règles de pare-feu Azure Stack HCI sont les points de terminaison minimaux requis pour la connectivité HciSvc et ne contiennent pas de caractères génériques. Toutefois, le tableau suivant contient actuellement des URL génériques, qui peuvent être mises à jour en points de terminaison précis à l’avenir.
| Service | URL | Port | Notes |
|---|---|---|---|
| Azure Benefits sur Azure Stack HCI | crl3.digicert.com | 80 | Permet au service d’attestation de plateforme sur Azure Stack HCI d’effectuer une liste de révocation de certificats case activée pour garantir que les machines virtuelles s’exécutent bien sur les environnements Azure. |
| Azure Benefits sur Azure Stack HCI | crl4.digicert.com | 80 | Permet au service d’attestation de plateforme sur Azure Stack HCI d’effectuer une liste de révocation de certificats case activée pour garantir que les machines virtuelles s’exécutent bien sur les environnements Azure. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Pour obtenir le module PowerShell Az.StackHCI, qui est nécessaire à l’inscription du cluster. Vous pouvez également télécharger et installer manuellement le module PowerShell Az.StackHCI à partir de PowerShell Gallery. |
| Témoin cloud de cluster | *.blob.core.windows.net | 443 | Pour l’accès pare-feu au conteneur d’objets blob Azure, si vous choisissez d’utiliser un témoin cloud comme témoin de cluster, ce qui est facultatif. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | download.windowsupdate.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | download.microsoft.com | 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | wustat.windows.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | go.microsoft.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.windowsupdate.com | 80 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Pour Microsoft Update, qui permet au système d’exploitation de recevoir des mises à jour. |
Exigences de pare-feu pour les services Azure supplémentaires
Selon les services Azure supplémentaires que vous activez sur HCI, vous devrez peut-être apporter des modifications de configuration de pare-feu supplémentaires. Pour plus d’informations sur les exigences de pare-feu pour chaque service Azure, reportez-vous aux liens suivants :
- AKS sur Azure Stack HCI
- Serveurs avec Azure Arc
- Configuration réseau requise pour le pont de ressources Azure Arc
- Agent Azure Monitor
- Azure portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) et agent Log Analytics
- Qualys
- Support à distance
- Windows Admin Center
- Windows Admin Center dans Portail Azure
Exigences de pare-feu pour les règles et ports internes
Assurez-vous que les ports réseau appropriés sont ouverts entre tous les nœuds de serveur à la fois au sein d’un site et entre les sites pour les clusters étendus (la fonctionnalité de cluster étendu est disponible uniquement dans Azure Stack HCI, version 22H2.). Vous aurez besoin de règles de pare-feu appropriées pour autoriser le trafic bidirectionnel ICMP, SMB (port 445, plus port 5445 pour SMB Direct si vous utilisez RDMA iWARP) et WS-MAN (port 5985) entre tous les serveurs du cluster.
Lorsque vous utilisez l’Assistant Création d’un cluster dans Windows Admin Center pour créer le cluster, l’Assistant ouvre automatiquement les ports de pare-feu appropriés sur chaque serveur du cluster pour le clustering de basculement, Hyper-V et le réplica de stockage. Si vous utilisez un pare-feu différent sur chaque serveur, ouvrez les ports comme l’expliquent les sections suivantes :
Gestion du système d’exploitation Azure Stack HCI
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour la gestion du système d’exploitation Azure Stack HCI, y compris les licences et la facturation.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser le trafic entrant/sortant vers et depuis le service Azure Stack HCI sur les serveurs de cluster | Autoriser | Serveurs de clusters | Serveurs de clusters | TCP | 30301 |
Windows Admin Center
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour Windows Admin Center.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Fournir l’accès à Azure et Microsoft Update | Allow | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Utiliser Windows Remote Management (WinRM) 2.0 pour les connexions HTTP pour exécuter des commandes sur les serveurs Windows à distance |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Utiliser WinRM 2.0 pour les connexions HTTPS pour exécuter des commandes sur les serveurs Windows à distance |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Notes
Lors de l’installation de Windows Admin Center, si vous sélectionnez le paramètre Use WinRM over HTTPS only (Utiliser WinRM sur HTTPS uniquement), le port 5986 est requis.
Clustering de basculement
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour le clustering de basculement.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser la validation du cluster de basculement | Allow | Système de gestion | Serveurs de clusters | TCP | 445 |
| Autoriser l’allocation de port dynamique RPC | Allow | Système de gestion | Serveurs de clusters | TCP | Minimum de 100 ports au-dessus du port 5000 |
| Autoriser l’appel de procédure distante (RPC) | Allow | Système de gestion | Serveurs de clusters | TCP | 135 |
| Autoriser l’administrateur de cluster | Allow | Système de gestion | Serveurs de clusters | UDP | 137 |
| Autoriser le service de cluster | Allow | Système de gestion | Serveurs de clusters | UDP | 3343 |
| Autoriser le service de cluster (requis pendant une opération de jonction de serveur.) |
Allow | Système de gestion | Serveurs de clusters | TCP | 3343 |
| Autoriser ICMPv4 et ICMPv6 pour la validation du cluster de basculement |
Allow | Système de gestion | Serveurs de clusters | n/a | n/a |
Notes
Le système de gestion comprend tous les ordinateurs à partir desquels vous prévoyez d’administrer le cluster, à l’aide d’outils tels que Windows Admin Center, Windows PowerShell ou System Center Virtual Machine Manager.
Hyper-V
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour Hyper-V.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser la communication intra-cluster | Allow | Système de gestion | Serveur Hyper-V | TCP | 445 |
| Autoriser le mappeur de point de terminaison RPC et WMI | Allow | Système de gestion | Serveur Hyper-V | TCP | 135 |
| Autoriser la connectivité HTTP | Allow | Système de gestion | Serveur Hyper-V | TCP | 80 |
| Autoriser la connectivité HTTPS | Allow | Système de gestion | Serveur Hyper-V | TCP | 443 |
| Autoriser la migration dynamique | Allow | Système de gestion | Serveur Hyper-V | TCP | 6600 |
| Autoriser le service de gestion des machines virtuelles | Allow | Système de gestion | Serveur Hyper-V | TCP | 2179 |
| Autoriser l’allocation de port dynamique RPC | Allow | Système de gestion | Serveur Hyper-V | TCP | Minimum de 100 ports au-dessus du port 5000 |
Notes
Ouvrez une plage de ports au-dessus du port 5000 pour autoriser l’allocation de port dynamique RPC. Les ports inférieurs à 5000 peuvent déjà être utilisés par d’autres applications et provoquer des conflits avec les applications DCOM. L’expérience précédente montre qu’un minimum de 100 ports doivent être ouverts, car plusieurs services système s’appuient sur ces ports RPC pour communiquer entre eux. Pour plus d’informations, consultez Comment configurer l’allocation de port dynamique RPC avec des pare-feu.
Réplica de stockage (cluster étendu)
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour le réplica de stockage (cluster étendu).
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser le protocole SMB (Server Message Block) |
Allow | Serveurs de cluster étendu | Serveurs de cluster étendu | TCP | 445 |
| Autoriser Web Services Management (WS-MAN) |
Allow | Serveurs de cluster étendu | Serveurs de cluster étendu | TCP | 5985 |
| Autoriser ICMPv4 et ICMPv6 (si vous utilisez l’applet de commande PowerShell Test-SRTopology) |
Allow | Serveurs de cluster étendu | Serveurs de cluster étendu | n/a | n/a |
Mettre à jour le pare-feu Microsoft Defender
Cette section montre comment configurer le pare-feu Microsoft Defender pour permettre aux adresses IP qui sont associées à une étiquette de service de se connecter au système d’exploitation. Une étiquette de service représente un groupe d’adresses IP d’un service Azure donné. Microsoft gère les adresses IP incluses dans l’étiquette de service, et met automatiquement à jour l’étiquette de service à mesure que les adresses IP changent, afin de limiter les mises à jour au minimum. Pour plus d’informations, consultez Étiquette de service de réseau virtuel.
Téléchargez le fichier JSON à partir de la ressource suivante sur l’ordinateur cible exécutant le système d’exploitation : Plages d’adresses IP et étiquettes de services - Cloud public.
Utilisez la commande PowerShell suivante pour ouvrir le fichier JSON :
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonObtenez la liste des plages d’adresses IP pour une étiquette de service donnée, par exemple, « AzureResourceManager » :
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportez la liste des adresses IP sur votre pare-feu d’entreprise externe, si vous utilisez une liste verte.
Créez une règle de pare-feu pour chaque serveur du cluster afin d’autoriser le trafic sortant 443 (HTTPS) vers la liste des plages d’adresses IP :
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Étapes suivantes
Pour plus d'informations, consultez également :
- La section consacrée au Pare-feu Windows et aux ports WinRM 2.0 de la rubrique Installation et configuration de l’administration à distance de Windows
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour