Firewallvereisten voor Azure Stack HCI

Van toepassing op: Azure Stack HCI, versies 21H2 en 20H2

Dit onderwerp bevat richtlijnen voor het configureren van firewalls voor het Azure Stack HCI besturingssysteem. Het bevat connectiviteitsvereisten en aanbevelingen en legt uit hoe servicetags IP-adressen groepeert in Microsoft Azure die het besturingssysteem nodig heeft. Het onderwerp bevat ook stappen voor het bijwerken Microsoft Defender Firewall en informatie over het instellen van een proxyserver.

Connectiviteitsvereisten en aanbevelingen

Het openen van poort 443 voor uitgaand netwerkverkeer op de firewall van uw organisatie voldoet aan de connectiviteitsvereisten voor het besturingssysteem om verbinding te maken met Azure en Microsoft Update. Als uw uitgaande firewall is beperkt, raden we u aan de URL's en poorten op te nemen die worden beschreven in de allowlist-sectie Met aanbevelingen voor connectiviteit van dit onderwerp.

Azure-connectiviteitsvereisten

Azure Stack HCI moet periodiek verbinding maken met Azure. Toegang is beperkt tot:

  • Bekende Azure-IP's
  • Uitgaande richting
  • Poort 443 (HTTPS)

In dit onderwerp wordt beschreven hoe u eventueel een firewallconfiguratie met hoge vergrendelde toegang kunt gebruiken om al het verkeer naar alle bestemmingen te blokkeren, met uitzondering van de firewalls die zijn opgenomen in uw allowlist.

Zoals u in het volgende diagram kunt zien, Azure Stack HCI toegang tot Azure met behulp van meer dan één firewall.

Diagram met Azure Stack HCI toegang tot servicetag-eindpunten via poort 443 (HTTPS) van firewalls.

Microsoft Update connectiviteitsvereisten

Als er een bedrijfsfirewall tussen het besturingssysteem en internet is, moet u die firewall mogelijk configureren om ervoor te zorgen dat het besturingssysteem updates kan verkrijgen. Voor het verkrijgen van updates Microsoft Update, gebruikt het besturingssysteem poort 443 voor het HTTPS-protocol. Hoewel de meeste bedrijfsfirewalls dit type verkeer toestaan, beperken sommige bedrijven de toegang tot internet vanwege hun beveiligingsbeleid. Als uw bedrijf de toegang beperkt, moet u autorisatie verkrijgen om internettoegang tot de volgende URL's toe te staan:

  • http://windowsupdate.microsoft.com
  • http://*.windowsupdate.microsoft.com
  • https://*.windowsupdate.microsoft.com
  • http://*.update.microsoft.com
  • https://*.update.microsoft.com
  • http://*.windowsupdate.com
  • http://download.windowsupdate.com
  • https://download.microsoft.com
  • http://*.download.windowsupdate.com
  • http://wustat.windows.com
  • http://ntservicepack.microsoft.com
  • http://go.microsoft.com
  • http://dl.delivery.mp.microsoft.com
  • https://dl.delivery.mp.microsoft.com

Netwerkfirewallregels en poortvereisten

Zorg ervoor dat de juiste netwerkpoorten zijn geopend tussen alle serverknooppunten, zowel binnen een site als tussen sites (voor stretched clusters). U hebt de juiste firewallregels nodig om ICMP, SMB (poort 445, plus poort 5445 voor SMB Direct als u iWARP RDMA gebruikt) en WS-MAN (poort 5985) bi-directioneel verkeer tussen alle servers in het cluster toe te staan.

Wanneer u de wizard Cluster maken in Windows-beheercentrum gebruikt om het cluster te maken, opent de wizard automatisch de juiste firewallpoorten op elke server in het cluster voor failoverclustering, Hyper-V en Storage Replica. Als u op elke server een andere firewall gebruikt, opent u de poorten in de volgende secties:

Windows Admin Center

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Windows-beheercentrum.

Regel Actie Bron Doel Service Poorten
Toegang bieden tot Azure en Microsoft Update Toestaan Windows Admin Center Azure Stack HCI TCP 445
Gebruik Windows Remote Management (WinRM) 2.0
voor HTTP-verbindingen om opdrachten uit te voeren
op externe Windows servers
Toestaan Windows Admin Center Azure Stack HCI TCP 5985
WinRM 2.0 gebruiken om HTTPS-verbindingen uit te voeren
opdrachten op externe Windows servers
Toestaan Windows Admin Center Azure Stack HCI TCP 5986

Notitie

Als u tijdens Windows beheercentrum de instelling Alleen WinRM via HTTPS gebruiken selecteert, is poort 5986 vereist.

Failoverclustering

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor failoverclustering.

Regel Actie Bron Doel Service Poorten
Validatie van failovercluster toestaan Toestaan Windows Admin Center Clusterservers TCP 445
Dynamische RPC-poorttoewijzing toestaan Toestaan Windows Admin Center Clusterservers TCP Minimaal 100 poorten
boven poort 5000
Remote Procedure Call (RPC) toestaan Toestaan Windows Admin Center Clusterservers TCP 135
Clusterbeheerder toestaan Toestaan Windows Admin Center Clusterservers TCP 137
Clusterservice toestaan Toestaan Windows Admin Center Clusterservers UDP 3343
Clusterservice toestaan (vereist tijdens
een bewerking voor server-join.)
Toestaan Windows Admin Center Clusterservers TCP 3343
ICMPv4 en ICMPv6 toestaan
voor validatie van failovercluster
Toestaan Windows Admin Center Clusterservers n.v.t. n.v.t.

Notitie

Open een bereik van poorten boven poort 5000 om dynamische RPC-poorttoewijzing toe te staan. Poorten lager dan 5000 worden mogelijk al gebruikt door andere toepassingen en kunnen conflicten veroorzaken met DCOM-toepassingen. Uit eerdere ervaring blijkt dat er minimaal 100 poorten moeten worden geopend, omdat verschillende systeemservices afhankelijk zijn van deze RPC-poorten om met elkaar te communiceren. Voor meer informatie. Zie Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls.

Hyper-V

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Hyper-V.

Regel Actie Bron Doel Service Poorten
Clustercommunicatie toestaan Toestaan Windows Admin Center Hyper-V-server TCP 445
RPC Endpoint Mapper en WMI toestaan Toestaan Windows Admin Center Hyper-V-server TCP 135
HTTP-connectiviteit toestaan Toestaan Windows Admin Center Hyper-V-server TCP 80
HTTPS-connectiviteit toestaan Toestaan Windows Admin Center Hyper-V-server TCP 443
Toestaan Livemigratie Toestaan Windows Admin Center Hyper-V-server TCP 6600
VM-beheerservice toestaan Toestaan Windows Admin Center Hyper-V-server TCP 2179
Dynamische RPC-poorttoewijzing toestaan Toestaan Windows Admin Center Hyper-V-server TCP Minimaal 100 poorten
boven poort 5000

Storage Replica (stretched cluster)

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Storage Replica (stretched cluster).

Regel Actie Bron Doel Service Poorten
Toestaan Server Message Block
(SMB)-protocol
Toestaan Stretched clusterservers Stretched clusterservers TCP 445
Web-Services-Management
(WS-MAN)
Toestaan Stretched clusterservers Stretched clusterservers TCP 5985
ICMPv4 en ICMPv6 toestaan
(als u de Test-SRTopology
PowerShell-cmdlet)
Toestaan Stretched clusterservers Stretched clusterservers n.v.t. n.v.t.

Aanbevelingen voor connectiviteit

Als uw uitgaande firewall is beperkt, raden we u aan de volgende URL's en poorten in deze sectie aan uw allowlist toe te voegen.

Beschrijving URL Poort Richting
Azure Portal URL voor proxy-bypass *.aadcdn.microsoftonline-p.com 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.aka.ms 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.applicationinsights.io 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.azure.com 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.azure.net 80.443 Uitgaand
Azure Stack HCI Cloud Service *.azurefd.net 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.azure-api.net 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.azuredatalakestore.net 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.azureedge.net 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.loganalytics.io 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.microsoft.com 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.microsoftonline.com 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.microsoftonline-p.com 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.msauth.net 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.msftauth.net 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.trafficmanager.net 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.visualstudio.com 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.windows.net 80.443 Uitgaand
Azure Portal URL voor proxy-bypass *.windows-int.net 80.443 Uitgaand
Windows Update *.windowsupdate.com 80.443 Uitgaand
Microsoft Office www.office.com 80.443 Uitgaand
Azure Automation service voor Azure-beheertaken *.azure-automation.net 80.443 Uitgaand
Agent voor het downloaden van binaire Helm-bestanden *.helm.sh 443 Uitgaand
Cloud Init-service voor het downloaden van binaire Kubernetes-bestanden storage.googleapis.com 443 Uitgaand
Windows-beheercentrum om Azure CLI te downloaden aka.ms/installazurecliwindows 443 Uitgaand
Kubernetes-service voor het downloaden van containerafbeeldingen ecpacr.azurecr.io 443 Uitgaand
TCP ter ondersteuning van Azure Arc agents git://:9418 9,418 Uitgaand
PowerShell Gallery centrale opslagplaats *.powershellgallery.com 80.443 Uitgaand
Webhostingplatform dat ondersteuning biedt voor meerdere technologieën *.azurewebsites.net 443 Uitgaand
Content Delivery Network downloads (CDN) *.msecnd.net 443 Uitgaand

Zie de volgende bronnen voor meer informatie over deze aanbevelingen voor connectiviteit:

Werken met servicetags

Een servicetag vertegenwoordigt een groep IP-adressen van een bepaalde Azure-service. Microsoft beheert de IP-adressen die zijn opgenomen in de servicetag en werkt de servicetag automatisch bij wanneer IP-adressen worden gewijzigd om updates tot een minimum te beperken. Zie Servicetags voor virtuele netwerken voor meer informatie.

Belangrijk

Als de uitgaande connectiviteit wordt beperkt door uw externe bedrijfsfirewall of proxyserver, moet u ervoor zorgen dat de URL's in de onderstaande tabel niet worden geblokkeerd. Zie de sectie 'Netwerkconfiguratie' van Overzicht van Azure Arc serversagent voor gerelateerde informatie.

Vereiste dagelijkse toegang tot eindpunten (na Azure-registratie)

Azure onderhoudt bekende IP-adressen voor Azure-services die zijn geordend met behulp van servicetags. Azure publiceert een wekelijks JSON-bestand met alle IP-adressen voor elke service. De IP-adressen veranderen niet vaak, maar ze veranderen wel een paar keer per jaar. In de volgende tabel ziet u de servicetag-eindpunten die het besturingssysteem nodig heeft.

Description Servicetag voor IP-bereik URL Azure China URL
Azure Active Directory AzureActiveDirectory https://login.microsoftonline.com
https://graph.microsoft.com
https://graph.windows.net
https://login.partner.microsoftonline.cn
https://microsoftgraph.chinacloudapi.cn
https://graph.chinacloudapi.cn
Azure Resource Manager AzureResourceManager https://management.azure.com https://management.chinacloudapi.cn
Azure Stack HCI cloudservice AzureFrontDoor.Frontend
AzureCloud.ChinaEast2 (Azure China)
https://azurestackhci.azurefd.net https://dp.stackhci.azure.cn
Azure Arc AzureArcInfrastructure
AzureTrafficManager
Afhankelijk van de functionaliteit die u wilt gebruiken:
Hybride identiteitsservice: *.his.arc.azure.com
Gastconfiguratie: *.guestconfiguration.azure.com
Opmerking: Verwacht meer URL's als we meer functionaliteit inschakelen.
Binnenkort beschikbaar.

Werk Microsoft Defender Firewall

In deze sectie ziet u hoe u Microsoft Defender Firewall ip-adressen die zijn gekoppeld aan een servicetag, verbinding te laten maken met het besturingssysteem:

  1. Download het JSON-bestand van de volgende resource naar de doelcomputer met het besturingssysteem: Azure IP Ranges and Service Tags – Public Cloud.

  2. Gebruik de volgende PowerShell-opdracht om het JSON-bestand te openen:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Haal de lijst met IP-adresbereiken op voor een bepaalde servicetag, zoals de servicetag AzureResourceManager:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importeer de lijst met IP-adressen naar uw externe bedrijfsfirewall als u er een allowlist bij gebruikt.

  5. Maak een firewallregel voor elke server in het cluster om uitgaand 443(HTTPS)-verkeer naar de lijst met IP-adresbereiken toe te staan:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Extra eindpunt voor een een time-time Azure-registratie

Tijdens het Azure-registratieproces, wanneer u het Windows-beheercentrum gebruikt, probeert de cmdlet contact op te nemen met de PowerShell Gallery om te controleren of u de nieuwste versie van de vereiste Register-AzStackHCI PowerShell-modules hebt, zoals Az en AzureAD.

Hoewel de PowerShell Gallery wordt gehost in Azure, is er momenteel geen servicetag voor. Als u de cmdlet niet kunt uitvoeren vanaf een server-knooppunt vanwege geen toegang tot internet, raden we u aan de modules te downloaden naar uw beheercomputer en deze vervolgens handmatig over te dragen naar het server-knooppunt waar u de Register-AzStackHCI cmdlet wilt uitvoeren.

Een proxyserver instellen

In deze sectie ziet u hoe u een proxyserver voor uw cluster in kunt stellen.

Notitie

Windows proxyinstellingen van het beheercentrum en Azure Stack HCI proxy-instellingen zijn gescheiden. Het Azure Stack HCI van de proxy-instellingen van het cluster heeft geen invloed op het uitgaande verkeer van Windows Het beheercentrum, zoals verbinding maken met Azure, extensies downloaden, en meer.

Installeer de module WinInetProxy om de opdrachten in deze sectie uit te voeren. Zie voor meer informatie over de module en hoe u deze installeert PowerShell Gallery | WinInetProxy 0.1.0.

Als u een proxyserver voor Azure Stack HCI wilt instellen, moet u de volgende PowerShell-opdracht uitvoeren als beheerder op elke server in het cluster:

Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090

Gebruik de vlag om de proxyconfiguratie voor de hele server te ProxySettingsPerUser 0 maken in plaats van per gebruiker. Dit is de standaardinstelling.

Als u de proxyconfiguratie wilt verwijderen, moet u de PowerShell-opdracht uitvoeren Set-WinInetProxy zonder argumenten.

Volgende stappen

Zie voor meer informatie ook: