Firewallvereisten voor Azure Stack HCI

Artikel
06/16/2022
12 minuten om te lezen

Van toepassing op: Azure Stack HCI, versies 21H2 en 20H2

Dit artikel bevat richtlijnen voor het configureren van firewalls voor het Azure Stack HCI-besturingssysteem. Het omvat firewallvereisten voor uitgaande eindpunten en interne regels en poorten. Het artikel bevat ook informatie over het instellen van een proxyserver en het gebruik van Azure-servicetags met Microsoft Defender-firewall.

Firewallvereisten voor uitgaande eindpunten

Poort 443 openen voor uitgaand netwerkverkeer op de firewall van uw organisatie voldoet aan de connectiviteitsvereisten voor het besturingssysteem om verbinding te maken met Azure en Microsoft Update. Als uw uitgaande firewall is beperkt, raden we u aan de URL's en poorten op te slaan die worden beschreven in de sectie Aanbevolen firewall-URL's van dit artikel.

Azure Stack HCI moet periodiek verbinding maken met Azure. Toegang is alleen beperkt tot:

Bekende Azure-IP-adressen
Uitgaande richting
Poort 443 (HTTPS)

In dit artikel wordt beschreven hoe u eventueel een zeer vergrendelde firewallconfiguratie gebruikt om al het verkeer naar alle bestemmingen te blokkeren, met uitzondering van die in uw acceptatielijst.

Zoals wordt weergegeven in het volgende diagram, opent Azure Stack HCI azure met behulp van meer dan één firewall mogelijk.

De volgende secties bevatten geconsolideerde lijsten met vereiste en aanbevolen URL's voor de Azure Stack HCI-kernonderdelen, waaronder het maken van clusters, registratie en facturering, Microsoft Update en cloudclusterwitness. U kunt het JSON-tabblad gebruiken om de URL's rechtstreeks in uw acceptatielijst te kopiëren en plakken.

De volgende secties bevatten aanvullende informatie over de firewallvereisten van Azure Stack HCI-kernonderdelen, gevolgd door firewallvereisten voor aanvullende Azure-services (optioneel).

Vereiste firewall-URL's

Deze sectie bevat een lijst met vereiste firewall-URL's. Zorg ervoor dat u deze URL's opneemt in uw acceptatielijst.

Tabel
JSON

De volgende tabel bevat een lijst met vereiste firewall-URL's.

URL	Poort	Notities
https://login.microsoftonline.com (Openbaar in Azure) https://login.chinacloudapi.cn/ (Azure China) https://login.microsoftonline.us (Azure Gov)	443	Voor Active Directory Authority en gebruikt voor verificatie, ophalen van tokens en validatie. Servicetag: AzureActiveDirectory.
https://graph.windows.net/ (Openbaar in Azure, Azure Gov) https://graph.chinacloudapi.cn/ (Azure China)	443	Voor Graph en gebruikt voor verificatie, ophalen van tokens en validatie. Servicetag: AzureActiveDirectory.
https://management.azure.com/ (Openbaar in Azure) https://management.chinacloudapi.cn/ (Azure China) https://management.usgovcloudapi.net/ (Azure Gov)	443	Voor Resource Manager en gebruikt tijdens de eerste bootstrapping van het cluster naar Azure voor registratiedoeleinden en om de registratie van het cluster ongedaan te maken. Servicetag: AzureResourceManager.
https://dp.stackhci.azure.com/ (Openbaar in Azure) https://dp.stackhci.azure.cn (Azure China) https://dp.azurestackchi.azure.us (Azure Gov)	443	Voor Dataplane die diagnostische gegevens pusht en wordt gebruikt in de portalpijplijn en factureringsgegevens pusht. Opmerking: de Dataplane-URL voor Azure Public is bijgewerkt. Voorheen was deze URL: https://azurestackhci.azurefd.net. Als u uw cluster al hebt geregistreerd bij de oude URL, moet u ook de oude URL toestaan.

Hier volgen de vereiste firewall-URL's in de JSON-indeling. Gebruik de knop Kopiëren om deze inhoud naar uw acceptatielijst te kopiëren en te plakken.

[{ 
        "URL": "https://login.microsoftonline.com", 
        "Port": "443", 
        "Notes": “(Azure Public) For Active Directory Authority and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.“ 
    }, 
    { 
        "URL": "https://login.chinacloudapi.cn/", 
        "Port": "443", 
        "Notes": “(Azure China) For Active Directory Authority and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.“ 
    }, 
    { 
        "URL": "https://login.microsoftonline.us", 
        "Port": "443", 
        "Notes": “(Azure Gov) For Active Directory Authority and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.“ 
    }, 
    { 
        "URL": "https://graph.windows.net/", 
        "Port": "443", 
        "Notes": “(Azure Public, Azure Gov) For Graph and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.” 
    }, 
    { 
        "URL": "https://graph.chinacloudapi.cn/", 
        "Port": "443", 
        "Notes": “(Azure China) For Graph and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.” 
    }, 
    { 
        "URL": "https://management.azure.com/", 
        "Port": "443", 
        "Notes": “(Azure Public) For Resource Manager and used during initial bootstrapping of the cluster to Azure for registration purposes and to unregister the cluster. Service Tag: AzureResourceManager.” 
    }, 
    { 
        "URL": "https://management.chinacloudapi.cn/", 
        "Port": "443", 
        "Notes": “(Azure China) For Resource Manager and used during initial bootstrapping of the cluster to Azure for registration purposes and to unregister the cluster. Service Tag: AzureResourceManager.” 
    }, 
    { 
        "URL": "https://management.usgovcloudapi.net/", 
        "Port": "443", 
        "Notes": “(Azure Gov) For Resource Manager and used during initial bootstrapping of the cluster to Azure for registration purposes and to unregister the cluster. Service Tag: AzureResourceManager.” 
    }, 
    { 
        "URL": "https://dp.stackhci.azure.com (Azure Public)", 
        "Port": "443", 
        "Notes": “(Azure Public) For Dataplane which pushes up diagnostics data, is used in the Portal pipeline, and pushes billing data. Note that this URL has been updated. Previously, this URL was: https://azurestackhci.azurefd.net. If you've already registered your cluster with the old URL, you must allowlist the old URL as well.” 
    }, 
    { 
        "URL": "https://dp.stackhci.azure.cn", 
        "Port": "443", 
        "Notes": “(Azure China) For Dataplane which pushes up diagnostics data, is used in the Portal pipeline, and pushes billing data.” 
    }, 
    { 
        "URL": "https://dp.azurestackchi.azure.us", 
        "Port": "443", 
        "Notes": “(Azure Gov) For Dataplane which pushes up diagnostics data, is used in the Portal pipeline, and pushes billing data.” 
     }]

Aanbevolen firewall-URL's

Deze sectie bevat een lijst met aanbevolen firewall-URL's. Als uw uitgaande firewall is beperkt, raden we u aan de URL's en poorten die in deze sectie worden beschreven, op te slaan in uw acceptatielijst.

Tabel
Json

De volgende tabel bevat een lijst met aanbevolen firewall-URL's.

URL	Poort	Notities
http://.windowsupdate.microsoft.com https://.windowsupdate.microsoft.com http://.update.microsoft.com https://.update.microsoft.com http://.windowsupdate.com http://download.windowsupdate.com https://download.microsoft.com http://.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com http://go.microsoft.com http://dl.delivery.mp.microsoft.com https://dl.delivery.mp.microsoft.com	443	Voor Microsoft Update, waarmee het besturingssysteem updates kan ontvangen.
*.blob.core.windows.net OR [myblobstorage].blob.core.windows.net	443	Voor clustercloudwitness. Een cloudwitness gebruiken als clusterwitness.
*.powershellgallery.com OR-installatiemodule op https://www.powershellgallery.com/packages/Az.StackHCI	443	Voor het verkrijgen van de Az.StackHCI PowerShell-module, die is vereist voor clusterregistratie.

Hier volgen de aanbevolen firewall-URL's in de JSON-indeling. Gebruik de knop Kopiëren om deze inhoud naar uw acceptatielijst te kopiëren en te plakken.

[{ 
        "URL": "http://*.windowsupdate.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://*.windowsupdate.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://*.update.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://*.update.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://*.windowsupdate.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://download.windowsupdate.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://download.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://*.download.windowsupdate.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://wustat.windows.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://ntservicepack.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://go.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://dl.delivery.mp.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://dl.delivery.mp.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "*.blob.core.windows.net", 
        "Port": "443", 
        "Notes": “Alternatively, [myblobstorage].blob.core.windows.net for the blob storage account for the cluster witness. For Cluster Cloud Witness.” 
    }, 
    { 
        "URL": "*.powershellgallery.com", 
        "Port": "443", 
        "Notes": “Alternatively, download the Az.StackHCI PowerShell module at https://www.powershellgallery.com/packages/Az.StackHCI. For HCI Registration.” 
    }]

Cluster maken

U hebt geen andere firewallregels nodig als u Windows Admin Center of PowerShell gebruikt om uw Azure Stack HCI-cluster te maken.

Clusterregistratie en facturering

Voor clusterregistratie is de Az.StackHCI PowerShell-module vereist, die niet is opgenomen in het Azure Stack HCI-besturingssysteem. Als u Windows Admin Center of PowerShell gebruikt, moet u *.powershellgallery.com deblokkeren of de Az.StackHCI PowerShell-module handmatig downloaden en installeren vanuit PowerShell Gallery.

Download eventueel de Arc for Servers-agent voor registratie. Dit is niet vereist, maar wordt aanbevolen om uw cluster te beheren vanuit de Azure Portal of Arc-services te gebruiken. U moet de URL-eindpunten toestaan om de Arc for Servers-agent voor registratie te downloaden.

Zie De netwerkvereisten voor de Connected Machine-agent voor informatie over netwerkvereisten voor het onboarden van een fysieke server of virtuele machine naar servers met Azure Arc.

Microsoft Update

Als er een bedrijfsfirewall is tussen het Azure Stack HCI-besturingssysteem en internet, moet u mogelijk die firewall configureren om ervoor te zorgen dat het besturingssysteem updates kan verkrijgen. Voor het verkrijgen van updates van Microsoft Update gebruikt het besturingssysteem poort 443 voor het HTTPS-protocol. Hoewel de meeste bedrijfsfirewalls dit type verkeer toestaan, beperken sommige bedrijven internettoegang vanwege hun beveiligingsbeleid. Als uw bedrijf de toegang beperkt, raden we u aan de URL's en poorten op te slaan die worden beschreven in de sectie Aanbevolen firewall-URL's naar uw acceptatielijst.

Clustercloudwitness

Dit is optioneel. Als u ervoor kiest om een cloudwitness te gebruiken als clusterwitness, moet u bijvoorbeeld firewalltoegang tot de Azure Blob-container \[myblobstorage\].blob.core.windows.nettoestaan.

Firewallvereisten voor aanvullende Azure-services (optioneel)

Afhankelijk van aanvullende Azure-services die u inschakelt voor HCI, moet u mogelijk aanvullende wijzigingen aanbrengen in de firewallconfiguratie. Raadpleeg de volgende koppelingen voor informatie over firewallvereisten voor elke Azure-service.

Firewallvereisten voor interne regels en poorten

Zorg ervoor dat de juiste netwerkpoorten zijn geopend tussen alle serverknooppunten binnen een site en tussen sites (voor stretched clusters). U hebt de juiste firewallregels nodig om ICMP, SMB (poort 445, plus poort 5445 voor SMB direct toe te staan als u iWARP RDMA gebruikt) en WS-MAN (poort 5985) bidirectioneel verkeer tussen alle servers in het cluster.

Wanneer u de wizard Cluster maken in Windows Admin Center gebruikt om het cluster te maken, opent de wizard automatisch de juiste firewallpoorten op elke server in het cluster voor failoverclustering, Hyper-V en Storage Replica. Als u een andere firewall op elke server gebruikt, opent u de poorten zoals beschreven in de volgende secties:

Windows Admin Center

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Windows Admin Center.

Regel	Actie	Bron	Doel	Service	Poorten
Toegang bieden tot Azure en Microsoft Update	Toestaan	Windows Admin Center	Azure Stack HCI	TCP	445
Windows Remote Management (WinRM) 2.0 gebruiken voor HTTP-verbindingen om opdrachten uit te voeren op externe Windows servers	Toestaan	Windows Admin Center	Azure Stack HCI	TCP	5985
WinRM 2.0 gebruiken voor HTTPS-verbindingen om uit te voeren opdrachten op externe Windows-servers	Toestaan	Windows Admin Center	Azure Stack HCI	TCP	5986

Notitie

Als u tijdens het installeren van Windows Admin Center de instelling WinRM gebruiken via HTTPS selecteert, is poort 5986 vereist.

Failoverclustering

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor failoverclustering.

Regel	Actie	Bron	Doel	Service	Poorten
Failoverclustervalidatie toestaan	Toestaan	Beheersysteem	Clusterservers	TCP	445
Dynamische RPC-poorttoewijzing toestaan	Toestaan	Beheersysteem	Clusterservers	TCP	Minimaal 100 poorten boven poort 5000
RPC (Remote Procedure Call) toestaan	Toestaan	Beheersysteem	Clusterservers	TCP	135
Clusterbeheerder toestaan	Toestaan	Beheersysteem	Clusterservers	TCP	137
Clusterservice toestaan	Toestaan	Beheersysteem	Clusterservers	UDP	3343
Clusterservice toestaan (vereist tijdens een bewerking voor serverdeelname.)	Toestaan	Beheersysteem	Clusterservers	TCP	3343
ICMPv4 en ICMPv6 toestaan voor validatie van failovercluster	Toestaan	Beheersysteem	Clusterservers	n.v.t.	n.v.t.

Notitie

Het beheersysteem bevat een computer waaruit u het cluster wilt beheren, met behulp van hulpprogramma's zoals Windows Admin Center, Windows PowerShell of System Center Virtual Machine Manager.

Hyper-V

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Hyper-V.

Regel	Actie	Bron	Doel	Service	Poorten
Clustercommunicatie toestaan	Toestaan	Beheersysteem	Hyper-V-server	TCP	445
RPC-eindpunttoewijzing en WMI toestaan	Toestaan	Beheersysteem	Hyper-V-server	TCP	135
HTTP-connectiviteit toestaan	Toestaan	Beheersysteem	Hyper-V-server	TCP	80
HTTPS-connectiviteit toestaan	Toestaan	Beheersysteem	Hyper-V-server	TCP	443
Livemigratie toestaan	Toestaan	Beheersysteem	Hyper-V-server	TCP	6600
VM Management-service toestaan	Toestaan	Beheersysteem	Hyper-V-server	TCP	2179
Dynamische RPC-poorttoewijzing toestaan	Toestaan	Beheersysteem	Hyper-V-server	TCP	Minimaal 100 poorten boven poort 5000

Notitie

Open een bereik van poorten boven poort 5000 om RPC dynamische poorttoewijzing toe te staan. Poorten onder de 5000 zijn mogelijk al in gebruik door andere toepassingen en kunnen conflicten veroorzaken met DCOM-toepassingen. Vorige ervaring laat zien dat minimaal 100 poorten moeten worden geopend, omdat verschillende systeemservices afhankelijk zijn van deze RPC-poorten om met elkaar te communiceren. Zie Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls voor meer informatie.

Storage Replica (stretched cluster)

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Storage Replica (stretched cluster).

Regel	Actie	Bron	Doel	Service	Poorten
Serverberichtblok toestaan (SMB)-protocol	Toestaan	Stretched clusterservers	Stretched clusterservers	TCP	445
Web-Services-Management toestaan (WS-MAN)	Toestaan	Stretched clusterservers	Stretched clusterservers	TCP	5985
ICMPv4 en ICMPv6 toestaan (als u de `Test-SRTopology` PowerShell-cmdlet)	Toestaan	Stretched clusterservers	Stretched clusterservers	n.v.t.	n.v.t.

Een proxyserver instellen

Notitie

Windows Admin Center proxy-instellingen en Azure Stack HCI-proxyinstellingen zijn gescheiden. Het wijzigen van proxy-instellingen voor Azure Stack HCI-clusters heeft geen invloed op Windows Admin Center uitgaand verkeer, zoals verbinding maken met Azure, het downloaden van extensies, enzovoort. Installeer de WinInetProxy-module om de opdrachten in deze sectie uit te voeren. Zie PowerShell Gallery | voor informatie over de module en hoe u deze installeert WinInetProxy 0.1.0.

Als u een proxyserver wilt instellen voor Azure Stack HCI, voert u de volgende PowerShell-opdracht uit als beheerder op elke server in het cluster:

Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090

Gebruik de ProxySettingsPerUser0 vlag om de proxyconfiguratieserverbreed te maken in plaats van per gebruiker. Dit is de standaardinstelling.

Als u de proxyconfiguratie wilt verwijderen, voert u de PowerShell-opdracht Set-WinInetProxy uit zonder argumenten.

Raadpleeg de volgende artikelen voor informatie over het configureren van proxyservers:

Zie Proxyserverinstellingen configureren op AKS in Azure Stack HCI als u een proxyserver wilt configureren in AKS op Azure Stack HCI.
Als u de HTTPS-PROXY-omgeving correct wilt configureren met AKS-HCI, raadpleegt u Proxy instellen voor Azure Stack HCI- en Windows Server-clusters met proxy-instellingen voor de hele machine.
Als u een proxy voor Arc voor servers wilt configureren, raadpleegt u de sectie Proxy-instellingen bijwerken of verwijderen in Het beheren en onderhouden van de Connected Machine-agent.
Als u een proxy wilt configureren voor Microsoft Monitoring Agent (MMA), raadpleegt u de sectie Netwerkvereisten in het overzichtsartikel van de Log Analytics-agent.

Microsoft Defender-firewall bijwerken

In deze sectie wordt beschreven hoe u de Microsoft Defender-firewall configureert om IP-adressen toe te staan die zijn gekoppeld aan een servicetag om verbinding te maken met het besturingssysteem. Een servicetag vertegenwoordigt een groep IP-adressen van een bepaalde Azure-service. Microsoft beheert de IP-adressen die zijn opgenomen in de servicetag en werkt de servicetag automatisch bij wanneer IP-adressen veranderen om updates tot een minimum te beperken. Zie Servicetags voor virtuele netwerken voor meer informatie.

Download het JSON-bestand van de volgende resource naar de doelcomputer waarop het besturingssysteem wordt uitgevoerd: Azure IP Ranges and Service Tags – Public Cloud.

Gebruik de volgende PowerShell-opdracht om het JSON-bestand te openen:

$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json

Haal de lijst met IP-adresbereiken voor een bepaalde servicetag op, zoals de servicetag AzureResourceManager:
```
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
```
Importeer de lijst met IP-adressen naar uw externe bedrijfsfirewall als u er een acceptatielijst mee gebruikt.

Maak een firewallregel voor elke server in het cluster om uitgaand 443 (HTTPS)-verkeer naar de lijst met IP-adresbereiken toe te staan:

New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True

Volgende stappen

Zie ook voor meer informatie:

De sectie Windows Firewall- en WinRM 2.0-poorten van installatie en configuratie voor Windows Extern beheer