Firewallvereisten voor Azure Stack HCI
Van toepassing op: Azure Stack HCI, versies 23H2 en 22H2
Dit artikel bevat richtlijnen voor het configureren van firewalls voor het Azure Stack HCI-besturingssysteem. Het bevat firewallvereisten voor uitgaande eindpunten en interne regels en poorten. Het artikel bevat ook informatie over het gebruik van Azure-servicetags met Microsoft Defender firewall.
Als uw netwerk gebruikmaakt van een proxyserver voor internettoegang, raadpleegt u Proxy-instellingen configureren voor Azure Stack HCI.
Belangrijk
Azure Private Link wordt niet ondersteund voor Azure Stack HCI versie 23H2 of een van de onderdelen ervan.
Firewallvereisten voor uitgaande eindpunten
Het openen van poort 443 voor uitgaand netwerkverkeer op de firewall van uw organisatie voldoet aan de connectiviteitsvereisten voor het besturingssysteem om verbinding te maken met Azure en Microsoft Update. Als uw uitgaande firewall is beperkt, raden we u aan de URL's en poorten op te geven die worden beschreven in de sectie Aanbevolen firewall-URL's van dit artikel.
Azure Stack HCI moet periodiek verbinding maken met Azure. Toegang is beperkt tot:
- Bekende Ip-adressen van Azure
- Uitgaande richting
- Poort 443 (HTTPS)
Belangrijk
Azure Stack HCI biedt geen ondersteuning voor HTTPS-inspectie. Zorg ervoor dat HTTPS-inspectie is uitgeschakeld op uw netwerkpad voor Azure Stack HCI om eventuele verbindingsfouten te voorkomen.
Zoals in het volgende diagram wordt weergegeven, heeft Azure Stack HCI mogelijk toegang tot Azure met behulp van meer dan één firewall.
In dit artikel wordt beschreven hoe u eventueel een sterk vergrendelde firewallconfiguratie kunt gebruiken om al het verkeer naar alle bestemmingen te blokkeren, met uitzondering van de bestemmingen die zijn opgenomen in uw acceptatielijst.
Vereiste firewall-URL's
De volgende tabel bevat een lijst met vereiste firewall-URL's. Zorg ervoor dat u deze URL's opneemt in uw acceptatielijst.
Volg ook de vereiste firewallvereisten voor AKS in Azure Stack HCI.
Notitie
De Azure Stack HCI-firewallregels zijn de minimale eindpunten die vereist zijn voor HciSvc-connectiviteit en bevatten geen jokertekens. De volgende tabel bevat momenteel url's met jokertekens, die in de toekomst mogelijk worden bijgewerkt naar nauwkeurige eindpunten.
| Service | URL | Poort | Notities |
|---|---|---|---|
| Azure Stack HCI Updates downloaden | fe3.delivery.mp.microsoft.com | 443 | Voor het bijwerken van Azure Stack HCI versie 23H2. |
| Azure Stack HCI Updates downloaden | tlu.dl.delivery.mp.microsoft.com | 80 | Voor het bijwerken van Azure Stack HCI versie 23H2. |
| Detectie van Azure Stack HCI Updates | aka.ms | 443 | Voor het omzetten van adressen voor het detecteren van Azure Stack HCI versie 23H2 en Solution Builder-extensie Updates. |
| Detectie van Azure Stack HCI Updates | redirectiontool.trafficmanager.net | 443 | Onderliggende service die het bijhouden van gebruiksgegevens implementeert voor de aka.ms omleidingskoppelingen. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Voor Active Directory-instantie en gebruikt voor verificatie, token ophalen en validatie. |
| Azure Stack HCI | graph.windows.net | 443 | Voor Graph en gebruikt voor verificatie, ophalen van tokens en validatie. |
| Azure Stack HCI | management.azure.com | 443 | Voor Resource Manager en gebruikt tijdens de eerste bootstrapping van het cluster naar Azure voor registratiedoeleinden en om de registratie van het cluster ongedaan te maken. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Voor gegevensvlak dat diagnostische gegevens pusht en wordt gebruikt in de Azure Portal-pijplijn en factureringsgegevens pusht. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Voor gegevensvlak dat wordt gebruikt in de licentieverlening en bij het pushen van waarschuwingen en factureringsgegevens. Alleen vereist voor Azure Stack HCI, versie 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Vorige URL voor gegevensvlak. Deze URL is onlangs gewijzigd. Klanten die hun cluster hebben geregistreerd met behulp van deze oude URL, moeten deze ook toestaan op de acceptatielijst. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Voor Arc VM-containerregister in Azure Stack HCI. Alleen vereist voor Azure Stack HCI, versie 23H2. |
| Arc voor servers | aka.ms | 443 | Voor het oplossen van het downloadscript tijdens de installatie. |
| Arc voor servers | download.microsoft.com | 443 | Voor het downloaden van het Windows-installatiepakket. |
| Arc voor servers | login.windows.net | 443 | Voor Microsoft Entra ID |
| Arc voor servers | login.microsoftonline.com | 443 | Voor Microsoft Entra ID |
| Arc voor servers | pas.windows.net | 443 | Voor Microsoft Entra ID |
| Arc voor servers | management.azure.com | 443 | Azure Resource Manager de Arc Server-resource maken of verwijderen |
| Arc voor servers | guestnotificationservice.azure.com | 443 | Voor de meldingsservice voor extensie- en connectiviteitsscenario's |
| Arc voor servers | *.his.arc.azure.com | 443 | Voor metagegevens en hybride identiteitsservices |
| Arc voor servers | *.guestconfiguration.azure.com | 443 | Voor extensiebeheer en gastconfiguratieservices |
| Arc voor servers | *.guestnotificationservice.azure.com | 443 | Voor meldingsservice voor extensie- en connectiviteitsscenario's |
| Arc voor servers | azgn*.servicebus.windows.net | 443 | Voor meldingsservice voor extensie- en connectiviteitsscenario's |
| Arc voor servers | *.servicebus.windows.net | 443 | Voor Windows Admin Center- en SSH-scenario's |
| Arc voor servers | *.waconazure.com | 443 | Voor Windows Admin Center connectiviteit |
| Arc voor servers | *.blob.core.windows.net | 443 | Voor downloadbron voor serverextensies met Azure Arc |
Download het spreadsheet met firewall-URL's voor een uitgebreide lijst met alle firewall-URL's.
Aanbevolen firewall-URL's
De volgende tabel bevat een lijst met aanbevolen firewall-URL's. Als uw uitgaande firewall is beperkt, raden we u aan de URL's en poorten die in deze sectie worden beschreven, op te slaan in uw acceptatielijst.
Notitie
De Azure Stack HCI-firewallregels zijn de minimaal vereiste eindpunten voor HciSvc-connectiviteit en bevatten geen jokertekens. De volgende tabel bevat momenteel url's met jokertekens, die in de toekomst kunnen worden bijgewerkt naar nauwkeurige eindpunten.
| Service | URL | Poort | Notities |
|---|---|---|---|
| Azure Benefits op Azure Stack HCI | crl3.digicert.com | 80 | Hiermee kan de platform attestation-service op Azure Stack HCI een controle van de certificaatintrekkingslijst uitvoeren om te garanderen dat VM's inderdaad worden uitgevoerd in Azure-omgevingen. |
| Azure Benefits op Azure Stack HCI | crl4.digicert.com | 80 | Hiermee kan de platform attestation-service op Azure Stack HCI een controle van de certificaatintrekkingslijst uitvoeren om te garanderen dat VM's inderdaad worden uitgevoerd in Azure-omgevingen. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Voor het verkrijgen van de Az.StackHCI PowerShell-module, die is vereist voor clusterregistratie. U kunt de PowerShell-module Az.StackHCI ook handmatig downloaden en installeren vanuit PowerShell Gallery. |
| Clustercloudwitness | *.blob.core.windows.net | 443 | Voor firewalltoegang tot de Azure Blob-container, als u ervoor kiest om een cloudwitness als clusterwitness te gebruiken, is dit optioneel. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | download.windowsupdate.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | download.microsoft.com | 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | wustat.windows.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | go.microsoft.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.windowsupdate.com | 80 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen. |
Firewallvereisten voor aanvullende Azure-services
Afhankelijk van de aanvullende Azure-services die u inschakelt op HCI, moet u mogelijk aanvullende wijzigingen in de firewallconfiguratie aanbrengen. Raadpleeg de volgende koppelingen voor informatie over firewallvereisten voor elke Azure-service:
- AKS op Azure Stack HCI
- Servers met Azure Arc
- Netwerkvereisten voor Azure Arc-resourcebrug
- Azure Monitor-agent
- Azure-portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) en Log Analytics Agent
- Qualys
- Ondersteuning op afstand
- Windows Admin Center
- Windows Admin Center in Azure Portal
Firewallvereisten voor interne regels en poorten
Zorg ervoor dat de juiste netwerkpoorten zijn geopend tussen alle serverknooppunten, zowel binnen een site als tussen sites voor stretched clusters (stretched cluster-functionaliteit is alleen beschikbaar in Azure Stack HCI, versie 22H2.). U hebt de juiste firewallregels nodig om bidirectioneel verkeer tussen alle servers in het cluster toe te staan tussen ICMP, SMB (poort 445, plus poort 5445 voor SMB Direct als u iWARP RDMA gebruikt) en WS-MAN (poort 5985).
Wanneer u de wizard Cluster maken in Windows Admin Center gebruikt om het cluster te maken, opent de wizard automatisch de juiste firewallpoorten op elke server in het cluster voor failoverclustering, Hyper-V en Opslagreplica. Als u op elke server een andere firewall gebruikt, opent u de poorten zoals beschreven in de volgende secties:
Beheer van azure Stack HCI-besturingssysteem
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Azure Stack HCI OS-beheer, inclusief licenties en facturering.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Inkomend/uitgaand verkeer naar en van de Azure Stack HCI-service op clusterservers toestaan | Toestaan | Clusterservers | Clusterservers | TCP | 30301 |
Windows Admin Center
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Windows Admin Center.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Toegang bieden tot Azure en Microsoft Update | Toestaan | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Windows Remote Management (WinRM) 2.0 gebruiken voor HTTP-verbindingen om opdrachten uit te voeren op externe Windows-servers |
Toestaan | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| WinRM 2.0 gebruiken voor het uitvoeren van HTTPS-verbindingen opdrachten op externe Windows-servers |
Toestaan | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Notitie
Als u tijdens het installeren van Windows Admin Center de instelling Alleen WinRM via HTTPS gebruiken selecteert, is poort 5986 vereist.
Failoverclustering
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor failoverclustering.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Failoverclustervalidatie toestaan | Toestaan | Beheersysteem | Clusterservers | TCP | 445 |
| Dynamische RPC-poorttoewijzing toestaan | Toestaan | Beheersysteem | Clusterservers | TCP | Minimaal 100 poorten boven poort 5000 |
| Externe procedureaanroep (RPC) toestaan | Toestaan | Beheersysteem | Clusterservers | TCP | 135 |
| Clusterbeheerder toestaan | Toestaan | Beheersysteem | Clusterservers | UDP | 137 |
| Clusterservice toestaan | Toestaan | Beheersysteem | Clusterservers | UDP | 3343 |
| Clusterservice toestaan (vereist tijdens een bewerking voor serverdeelname.) |
Toestaan | Beheersysteem | Clusterservers | TCP | 3343 |
| ICMPv4 en ICMPv6 toestaan voor validatie van failovercluster |
Toestaan | Beheersysteem | Clusterservers | n.v.t. | n.v.t. |
Notitie
Het beheersysteem omvat elke computer van waaruit u het cluster wilt beheren, met behulp van hulpprogramma's zoals Windows Admin Center, Windows PowerShell of System Center Virtual Machine Manager.
Hyper-V
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Hyper-V.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Clustercommunicatie toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 445 |
| RPC-eindpunttoewijzing en WMI toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 135 |
| HTTP-connectiviteit toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 80 |
| HTTPS-connectiviteit toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 443 |
| Livemigratie toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 6600 |
| VM-beheerservice toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 2179 |
| Dynamische RPC-poorttoewijzing toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | Minimaal 100 poorten boven poort 5000 |
Notitie
Open een reeks poorten boven poort 5000 om dynamische RPC-poorttoewijzing toe te staan. Poorten lager dan 5000 zijn mogelijk al in gebruik door andere toepassingen en kunnen conflicten met DCOM-toepassingen veroorzaken. Uit de eerdere ervaring blijkt dat er minimaal 100 poorten moeten worden geopend, omdat verschillende systeemservices afhankelijk zijn van deze RPC-poorten om met elkaar te communiceren. Zie Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls voor meer informatie.
Opslagreplica (stretched cluster)
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Opslagreplica (stretched cluster).
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Serverberichtblokkering toestaan (SMB)-protocol |
Toestaan | Stretched cluster servers | Stretched cluster servers | TCP | 445 |
| Web-Services-Management toestaan (WS-MAN) |
Toestaan | Stretched cluster servers | Stretched cluster servers | TCP | 5985 |
| ICMPv4 en ICMPv6 toestaan (als u de Test-SRTopologyPowerShell-cmdlet) |
Toestaan | Stretched cluster servers | Stretched cluster servers | n.v.t. | n.v.t. |
Microsoft Defender firewall bijwerken
In deze sectie wordt beschreven hoe u Microsoft Defender firewall configureert zodat IP-adressen die zijn gekoppeld aan een servicetag, verbinding kunnen maken met het besturingssysteem. Een servicetag vertegenwoordigt een groep IP-adressen van een bepaalde Azure-service. Microsoft beheert de IP-adressen die zijn opgenomen in de servicetag en werkt de servicetag automatisch bij wanneer IP-adressen worden gewijzigd om updates tot een minimum te beperken. Zie Servicetags voor virtuele netwerken voor meer informatie.
Download het JSON-bestand van de volgende resource naar de doelcomputer waarop het besturingssysteem wordt uitgevoerd: Azure IP-bereiken en servicetags – openbare cloud.
Gebruik de volgende PowerShell-opdracht om het JSON-bestand te openen:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonHaal de lijst met IP-adresbereiken op voor een bepaalde servicetag, zoals de servicetag AzureResourceManager:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImporteer de lijst met IP-adressen in uw externe bedrijfsfirewall, als u er een acceptatielijst mee gebruikt.
Maak een firewallregel voor elke server in het cluster om uitgaand 443-verkeer (HTTPS) naar de lijst met IP-adresbereiken toe te staan:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Volgende stappen
Zie ook voor meer informatie:
- De sectie Windows Firewall- en WinRM 2.0-poorten van Installatie en configuratie voor Windows Remote Management
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor