Firewalls configureren voor Azure Stack HCIConfigure firewalls for Azure Stack HCI

Van toepassing op: Azure Stack HCI, versie 20H2Applies to: Azure Stack HCI, version 20H2

Dit onderwerp bevat richt lijnen voor het configureren van firewalls voor het HCI-besturings systeem van Azure Stack.This topic provides guidance on how to configure firewalls for the Azure Stack HCI operating system. Het bevat connectiviteits vereisten en legt uit hoe service Tags IP-adressen in azure groeperen die het besturings systeem moet gebruiken.It includes connectivity requirements, and explains how service tags group IP addresses in Azure that the operating system needs to access. Het onderwerp bevat ook stappen voor het bijwerken van micro soft Defender firewall.The topic also provides steps to update Microsoft Defender Firewall.

Connectiviteits vereistenConnectivity requirements

Azure Stack HCI moet regel matig verbinding maken met Azure.Azure Stack HCI needs to periodically connect to Azure. De toegang is beperkt tot alleen:Access is limited to only:

  • Bekende Azure Ip'sWell-known Azure IPs
  • Uitgaande richtingOutbound direction
  • Poort 443 (HTTPS)Port 443 (HTTPS)

Zie de sectie ' Azure Stack HCI Connectivity ' van de Veelgestelde vragen over Azure stack HCI voor meer informatieFor more information, see the "Azure Stack HCI connectivity" section of the Azure Stack HCI FAQ

In dit onderwerp wordt beschreven hoe u optioneel een uiterst vergrendelde firewall configuratie kunt gebruiken om al het verkeer naar alle bestemmingen te blok keren, behalve de verbindingen die zijn opgenomen in de acceptatie lijst.This topic describes how to optionally use a highly locked-down firewall configuration to block all traffic to all destinations except those included on your allow list.

Belangrijk

Als de uitgaande connectiviteit wordt beperkt door uw externe bedrijfs firewall of proxy server, controleert u of de Url's die in de onderstaande tabel staan, niet zijn geblokkeerd.If outbound connectivity is restricted by your external corporate firewall or proxy server, ensure that the URLs listed in the table below are not blocked. Zie de sectie ' netwerk configuratie ' in overzicht van de agent voor Azure Arc enabled serversvoor meer informatie.For related information, see the "Networking configuration" section of Overview of Azure Arc enabled servers agent.

Zoals hieronder wordt weer gegeven, krijgt Azure Stack HCI met meer dan één firewall mogelijk toegang tot Azure.As shown below, Azure Stack HCI accesses Azure using more than one firewall potentially.

Diagram toont Azure Stack HCI toegang tot service label-eind punten via poort 443 (HTTPS) van firewalls.

Werken met Service TagsWorking with service tags

Een servicetag vertegenwoordigt een groep IP-adressen van een bepaalde Azure-service.A service tag represents a group of IP addresses from a given Azure service. Micro soft beheert de IP-adressen die zijn opgenomen in het servicetag en werkt de servicetag automatisch bij als IP-adressen worden gewijzigd, zodat updates tot een minimum worden beperkt.Microsoft manages the IP addresses included in the service tag, and automatically updates the service tag as IP addresses change to keep updates to a minimum. Zie voor meer informatie de labels van Virtual Network-Service.To learn more, see Virtual network service tags.

Vereiste dagelijkse toegang eind punt (na registratie van Azure)Required endpoint daily access (after Azure registration)

Azure houdt bekende IP-adressen bij voor Azure-Services die zijn ingedeeld met Service tags.Azure maintains well-known IP addresses for Azure services that are organized using service tags. Azure publiceert een wekelijks JSON-bestand van alle IP-adressen voor elke service.Azure publishes a weekly JSON file of all the IP addresses for every service. De IP-adressen worden niet vaak gewijzigd, maar ze veranderen een paar keer per jaar.The IP addresses don’t change often, but they do change a few times per year. In de volgende tabel ziet u de service Tags-eind punten die het besturings systeem moet gebruiken.The following table shows the service tag endpoints that the operating system needs to access.

BeschrijvingDescription Servicetag voor IP-bereikService tag for IP range URLURL
Azure Active DirectoryAzure Active Directory AzureActiveDirectoryAzureActiveDirectory https://login.microsoftonline.com
https://graph.microsoft.com
Azure Resource ManagerAzure Resource Manager AzureResourceManagerAzureResourceManager https://management.azure.com
Azure Stack HCI-Cloud serviceAzure Stack HCI Cloud Service AzureFrontDoor. front-endAzureFrontDoor.Frontend https://azurestackhci.azurefd.net
Azure ArcAzure Arc AzureArcInfrastructureAzureArcInfrastructure
AzureTrafficManagerAzureTrafficManager
Is afhankelijk van de functionaliteit die u wilt gebruiken:Depends on the functionality you want to use:
Hybrid Identity-service: *.his.arc.azure.comHybrid Identity Service: *.his.arc.azure.com
Gast configuratie: *.guestconfiguration.azure.comGuest Configuration: *.guestconfiguration.azure.com
Opmerking: Er worden meer Url's verwacht naarmate er meer functionaliteit wordt ingeschakeld.Note: Expect more URLs as we enable more functionality.

Micro soft Defender firewall bijwerkenUpdate Microsoft Defender Firewall

In deze sectie wordt beschreven hoe u micro soft Defender firewall configureert om IP-adressen die zijn gekoppeld aan een servicetag toe te staan om verbinding te maken met het besturings systeem:This section shows how to configure Microsoft Defender Firewall to allow IP addresses associated with a service tag to connect with the operating system:

  1. Down load het JSON-bestand van de volgende bron naar de doel computer waarop het besturings systeem wordt uitgevoerd: Azure IP-bereiken en service Tags – open bare Cloud.Download the JSON file from the following resource to the target computer running the operating system: Azure IP Ranges and Service Tags – Public Cloud.

  2. Gebruik de volgende Power shell-opdracht om het JSON-bestand te openen:Use the following PowerShell command to open the JSON file:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. De lijst met IP-adresbereiken voor een bepaalde servicetag ophalen, zoals de AzureResourceManager-servicetag:Get the list of IP address ranges for a given service tag, such as the “AzureResourceManager” service tag:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importeer de lijst met IP-adressen in uw externe bedrijfs firewall als u ermee gebruikmaakt van een acceptatie lijst.Import the list of IP addresses to your external corporate firewall, if you're using an allow list with it.

  5. Maak een firewall regel voor elke server in het cluster om uitgaand 443 (HTTPS)-verkeer toe te staan voor de lijst met IP-adresbereiken:Create a firewall rule for each server in the cluster to allow outbound 443 (HTTPS) traffic to the list of IP address ranges:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Extra eind punt voor eenmalige Azure-registratieAdditional endpoint for one-time Azure registration

Wanneer u het Azure-registratie proces uitvoert Register-AzStackHCI of Windows-beheer centrum gebruikt, probeert de cmdlet contact op te nemen met de PowerShell Gallery om te controleren of u over de meest recente versie van de vereiste Power shell-modules, zoals AZ en AzureAD beschikt.During the Azure registration process, when you run either Register-AzStackHCI or use Windows Admin Center, the cmdlet tries to contact the PowerShell Gallery to verify that you have the latest version of required PowerShell modules, such as Az and AzureAD. Hoewel de PowerShell Gallery wordt gehost op Azure, is er momenteel geen service-tag.Although the PowerShell Gallery is hosted on Azure, currently there isn't a service tag for it. Als u de cmdlet niet kunt uitvoeren Register-AzStackHCI vanaf een server knooppunt omdat er geen Internet toegang is, raden we u aan de modules te downloaden naar uw beheer computer en vervolgens hand matig te verplaatsen naar het server knooppunt waar u de cmdlet wilt uitvoeren.If you can't run the Register-AzStackHCI cmdlet from a server node because of no internet access, we recommend downloading the modules to your management computer, and then manually transferring them to the server node where you want to run the cmdlet.

Volgende stappenNext steps

Zie ook voor meer informatie:For more information, see also: