Azure Stack HCI에 대 한 방화벽 구성Configure firewalls for Azure Stack HCI

적용 대상: Azure Stack HCI, 버전 20H2Applies to: Azure Stack HCI, version 20H2

이 항목에서는 Azure Stack HCI 운영 체제에 대 한 방화벽을 구성 하는 방법에 대 한 지침을 제공 합니다.This topic provides guidance on how to configure firewalls for the Azure Stack HCI operating system. 여기에는 연결 요구 사항이 포함 되어 있으며, 서비스 태그가 운영 체제에서 액세스 해야 하는 Azure의 IP 주소를 그룹화 하는 방법을 설명 합니다.It includes connectivity requirements, and explains how service tags group IP addresses in Azure that the operating system needs to access. 이 항목에서는 Microsoft Defender 방화벽을 업데이트 하는 단계에 대해서도 설명 합니다.The topic also provides steps to update Microsoft Defender Firewall.

연결 요구 사항Connectivity requirements

Azure Stack HCI는 Azure에 주기적으로 연결 해야 합니다.Azure Stack HCI needs to periodically connect to Azure. 액세스는 다음으로 제한 됩니다.Access is limited to only:

  • 잘 알려진 Azure IpWell-known Azure IPs
  • 아웃 바운드 방향Outbound direction
  • 포트 443 (HTTPS)Port 443 (HTTPS)

자세한 내용은 AZURE STACK HCI FAQ 의 "Azure Stack HCI 연결" 섹션을 참조 하세요.For more information, see the "Azure Stack HCI connectivity" section of the Azure Stack HCI FAQ

이 항목에서는 필요에 따라 항상 잠겨 있는 방화벽 구성을 사용 하 여 허용 목록에 포함 된 모든 대상에 대 한 모든 트래픽을 차단 하는 방법에 대해 설명 합니다.This topic describes how to optionally use a highly locked-down firewall configuration to block all traffic to all destinations except those included on your allow list.

중요

외부 회사 방화벽이 나 프록시 서버에서 아웃 바운드 연결을 제한 하는 경우 아래 표에 나열 된 Url이 차단 되지 않았는지 확인 합니다.If outbound connectivity is restricted by your external corporate firewall or proxy server, ensure that the URLs listed in the table below are not blocked. 관련 정보는 Azure Arc 사용 서버 에이전트 개요의 "네트워킹 구성" 섹션을 참조 하세요.For related information, see the "Networking configuration" section of Overview of Azure Arc enabled servers agent.

아래 표시 된 것 처럼 Azure Stack HCI는 둘 이상의 방화벽을 사용 하 여 Azure에 액세스 합니다.As shown below, Azure Stack HCI accesses Azure using more than one firewall potentially.

다이어그램은 방화벽의 포트 443 (HTTPS)를 통해 서비스 태그 끝점에 액세스 하는 Azure Stack HCI를 보여 줍니다.

서비스 태그 작업Working with service tags

서비스 태그 는 지정 된 Azure 서비스에서 IP 주소 그룹을 나타냅니다.A service tag represents a group of IP addresses from a given Azure service. Microsoft는 서비스 태그에 포함 된 IP 주소를 관리 하 고, IP 주소가 변경 되 면 서비스 태그를 자동으로 업데이트 하 여 최소한으로 업데이트를 유지 합니다.Microsoft manages the IP addresses included in the service tag, and automatically updates the service tag as IP addresses change to keep updates to a minimum. 자세히 알아보려면 가상 네트워크 서비스 태그를 참조 하세요.To learn more, see Virtual network service tags.

필수 끝점 일일 액세스 (Azure 등록 후)Required endpoint daily access (after Azure registration)

Azure는 서비스 태그를 사용 하 여 구성 된 Azure 서비스에 대 한 잘 알려진 IP 주소를 유지 관리 합니다.Azure maintains well-known IP addresses for Azure services that are organized using service tags. Azure는 모든 서비스에 대 한 모든 IP 주소의 주간 JSON 파일을 게시 합니다.Azure publishes a weekly JSON file of all the IP addresses for every service. IP 주소는 자주 변경 되지 않지만 매년 몇 번 변경 됩니다.The IP addresses don’t change often, but they do change a few times per year. 다음 표에서는 운영 체제에서 액세스 해야 하는 서비스 태그 끝점을 보여 줍니다.The following table shows the service tag endpoints that the operating system needs to access.

DescriptionDescription IP 범위에 대 한 서비스 태그Service tag for IP range URLURL
Azure Active DirectoryAzure Active Directory AzureActiveDirectoryAzureActiveDirectory https://login.microsoftonline.com
https://graph.microsoft.com
Azure 리소스 관리자Azure Resource Manager AzureResourceManagerAzureResourceManager https://management.azure.com
Azure Stack HCI 클라우드 서비스Azure Stack HCI Cloud Service AzureFrontDoor.FrontendAzureFrontDoor.Frontend https://azurestackhci.azurefd.net
Azure ArcAzure Arc AzureArcInfrastructureAzureArcInfrastructure
AzureTrafficManagerAzureTrafficManager
사용 하려는 기능에 따라 달라 집니다.Depends on the functionality you want to use:
하이브리드 Id 서비스: *.his.arc.azure.comHybrid Identity Service: *.his.arc.azure.com
게스트 구성: *.guestconfiguration.azure.comGuest Configuration: *.guestconfiguration.azure.com
참고: 더 많은 기능을 사용할 수 있으므로 더 많은 Url이 제공 됩니다.Note: Expect more URLs as we enable more functionality.

Microsoft Defender 방화벽 업데이트Update Microsoft Defender Firewall

이 섹션에서는 서비스 태그와 연결 된 IP 주소를 사용 하 여 운영 체제에 연결 하도록 Microsoft Defender 방화벽을 구성 하는 방법을 보여 줍니다.This section shows how to configure Microsoft Defender Firewall to allow IP addresses associated with a service tag to connect with the operating system:

  1. 다음 리소스에서 운영 체제를 실행 하는 대상 컴퓨터 ( AZURE IP 범위 및 서비스 태그 – 공용 클라우드)에 JSON 파일을 다운로드 합니다.Download the JSON file from the following resource to the target computer running the operating system: Azure IP Ranges and Service Tags – Public Cloud.

  2. 다음 PowerShell 명령을 사용 하 여 JSON 파일을 엽니다.Use the following PowerShell command to open the JSON file:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. 지정 된 서비스 태그의 IP 주소 범위 목록 (예: "AzureResourceManager" 서비스 태그)을 가져옵니다.Get the list of IP address ranges for a given service tag, such as the “AzureResourceManager” service tag:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. 허용 목록을 사용 하는 경우 외부 회사 방화벽에 대 한 IP 주소 목록을 가져옵니다.Import the list of IP addresses to your external corporate firewall, if you're using an allow list with it.

  5. IP 주소 범위 목록에 대 한 아웃 바운드 443 (HTTPS) 트래픽을 허용 하도록 클러스터의 각 서버에 대 한 방화벽 규칙을 만듭니다.Create a firewall rule for each server in the cluster to allow outbound 443 (HTTPS) traffic to the list of IP address ranges:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

일회성 Azure 등록을 위한 추가 끝점Additional endpoint for one-time Azure registration

Azure 등록 프로세스 중 하나를 실행 Register-AzStackHCI 하거나 Windows 관리 센터를 사용 하는 경우 cmdlet은 PowerShell 갤러리에 연결 하 여 Az 및 AzureAD와 같은 필수 PowerShell 모듈의 최신 버전이 있는지 확인 합니다.During the Azure registration process, when you run either Register-AzStackHCI or use Windows Admin Center, the cmdlet tries to contact the PowerShell Gallery to verify that you have the latest version of required PowerShell modules, such as Az and AzureAD. PowerShell 갤러리는 Azure에서 호스트 되지만 현재는이에 대 한 서비스 태그가 없습니다.Although the PowerShell Gallery is hosted on Azure, currently there isn't a service tag for it. Register-AzStackHCI인터넷에 액세스할 수 없기 때문에 서버 노드에서 cmdlet을 실행할 수 없는 경우 관리 컴퓨터에 모듈을 다운로드 하 여 cmdlet을 실행 하려는 서버 노드로 수동으로 전송 하는 것이 좋습니다.If you can't run the Register-AzStackHCI cmdlet from a server node because of no internet access, we recommend downloading the modules to your management computer, and then manually transferring them to the server node where you want to run the cmdlet.

다음 단계Next steps

자세한 내용은 다음 항목을 참조하십시오.For more information, see also: