Firewallvereisten voor Azure Stack HCI
Van toepassing op: Azure Stack HCI, versies 21H2 en 20H2
Dit onderwerp bevat richtlijnen voor het configureren van firewalls voor het Azure Stack HCI besturingssysteem. Het bevat connectiviteitsvereisten en aanbevelingen en legt uit hoe servicetags IP-adressen groepeert in Microsoft Azure die het besturingssysteem nodig heeft. Het onderwerp bevat ook stappen voor het bijwerken Microsoft Defender Firewall en informatie over het instellen van een proxyserver.
Connectiviteitsvereisten en aanbevelingen
Het openen van poort 443 voor uitgaand netwerkverkeer op de firewall van uw organisatie voldoet aan de connectiviteitsvereisten voor het besturingssysteem om verbinding te maken met Azure en Microsoft Update. Als uw uitgaande firewall is beperkt, raden we u aan de URL's en poorten op te nemen die worden beschreven in de allowlist-sectie Met aanbevelingen voor connectiviteit van dit onderwerp.
Azure-connectiviteitsvereisten
Azure Stack HCI moet periodiek verbinding maken met Azure. Toegang is beperkt tot:
- Bekende Azure-IP's
- Uitgaande richting
- Poort 443 (HTTPS)
In dit onderwerp wordt beschreven hoe u eventueel een firewallconfiguratie met hoge vergrendelde toegang kunt gebruiken om al het verkeer naar alle bestemmingen te blokkeren, met uitzondering van de firewalls die zijn opgenomen in uw allowlist.
Zoals u in het volgende diagram kunt zien, Azure Stack HCI toegang tot Azure met behulp van meer dan één firewall.
Microsoft Update connectiviteitsvereisten
Als er een bedrijfsfirewall tussen het besturingssysteem en internet is, moet u die firewall mogelijk configureren om ervoor te zorgen dat het besturingssysteem updates kan verkrijgen. Voor het verkrijgen van updates Microsoft Update, gebruikt het besturingssysteem poort 443 voor het HTTPS-protocol. Hoewel de meeste bedrijfsfirewalls dit type verkeer toestaan, beperken sommige bedrijven de toegang tot internet vanwege hun beveiligingsbeleid. Als uw bedrijf de toegang beperkt, moet u autorisatie verkrijgen om internettoegang tot de volgende URL's toe te staan:
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- http://download.windowsupdate.com
- https://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
- http://go.microsoft.com
- http://dl.delivery.mp.microsoft.com
- https://dl.delivery.mp.microsoft.com
Netwerkfirewallregels en poortvereisten
Zorg ervoor dat de juiste netwerkpoorten zijn geopend tussen alle serverknooppunten, zowel binnen een site als tussen sites (voor stretched clusters). U hebt de juiste firewallregels nodig om ICMP, SMB (poort 445, plus poort 5445 voor SMB Direct als u iWARP RDMA gebruikt) en WS-MAN (poort 5985) bi-directioneel verkeer tussen alle servers in het cluster toe te staan.
Wanneer u de wizard Cluster maken in Windows-beheercentrum gebruikt om het cluster te maken, opent de wizard automatisch de juiste firewallpoorten op elke server in het cluster voor failoverclustering, Hyper-V en Storage Replica. Als u op elke server een andere firewall gebruikt, opent u de poorten in de volgende secties:
Windows Admin Center
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Windows-beheercentrum.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Toegang bieden tot Azure en Microsoft Update | Toestaan | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Gebruik Windows Remote Management (WinRM) 2.0 voor HTTP-verbindingen om opdrachten uit te voeren op externe Windows servers |
Toestaan | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| WinRM 2.0 gebruiken om HTTPS-verbindingen uit te voeren opdrachten op externe Windows servers |
Toestaan | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Notitie
Als u tijdens Windows beheercentrum de instelling Alleen WinRM via HTTPS gebruiken selecteert, is poort 5986 vereist.
Failoverclustering
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor failoverclustering.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Validatie van failovercluster toestaan | Toestaan | Windows Admin Center | Clusterservers | TCP | 445 |
| Dynamische RPC-poorttoewijzing toestaan | Toestaan | Windows Admin Center | Clusterservers | TCP | Minimaal 100 poorten boven poort 5000 |
| Remote Procedure Call (RPC) toestaan | Toestaan | Windows Admin Center | Clusterservers | TCP | 135 |
| Clusterbeheerder toestaan | Toestaan | Windows Admin Center | Clusterservers | TCP | 137 |
| Clusterservice toestaan | Toestaan | Windows Admin Center | Clusterservers | UDP | 3343 |
| Clusterservice toestaan (vereist tijdens een bewerking voor server-join.) |
Toestaan | Windows Admin Center | Clusterservers | TCP | 3343 |
| ICMPv4 en ICMPv6 toestaan voor validatie van failovercluster |
Toestaan | Windows Admin Center | Clusterservers | n.v.t. | n.v.t. |
Notitie
Open een bereik van poorten boven poort 5000 om dynamische RPC-poorttoewijzing toe te staan. Poorten lager dan 5000 worden mogelijk al gebruikt door andere toepassingen en kunnen conflicten veroorzaken met DCOM-toepassingen. Uit eerdere ervaring blijkt dat er minimaal 100 poorten moeten worden geopend, omdat verschillende systeemservices afhankelijk zijn van deze RPC-poorten om met elkaar te communiceren. Voor meer informatie. Zie Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls.
Hyper-V
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Hyper-V.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Clustercommunicatie toestaan | Toestaan | Windows Admin Center | Hyper-V-server | TCP | 445 |
| RPC Endpoint Mapper en WMI toestaan | Toestaan | Windows Admin Center | Hyper-V-server | TCP | 135 |
| HTTP-connectiviteit toestaan | Toestaan | Windows Admin Center | Hyper-V-server | TCP | 80 |
| HTTPS-connectiviteit toestaan | Toestaan | Windows Admin Center | Hyper-V-server | TCP | 443 |
| Toestaan Livemigratie | Toestaan | Windows Admin Center | Hyper-V-server | TCP | 6600 |
| VM-beheerservice toestaan | Toestaan | Windows Admin Center | Hyper-V-server | TCP | 2179 |
| Dynamische RPC-poorttoewijzing toestaan | Toestaan | Windows Admin Center | Hyper-V-server | TCP | Minimaal 100 poorten boven poort 5000 |
Storage Replica (stretched cluster)
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Storage Replica (stretched cluster).
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Toestaan Server Message Block (SMB)-protocol |
Toestaan | Stretched clusterservers | Stretched clusterservers | TCP | 445 |
| Web-Services-Management (WS-MAN) |
Toestaan | Stretched clusterservers | Stretched clusterservers | TCP | 5985 |
| ICMPv4 en ICMPv6 toestaan (als u de Test-SRTopologyPowerShell-cmdlet) |
Toestaan | Stretched clusterservers | Stretched clusterservers | n.v.t. | n.v.t. |
Aanbevelingen voor connectiviteit
Als uw uitgaande firewall is beperkt, raden we u aan de volgende URL's en poorten in deze sectie aan uw allowlist toe te voegen.
| Beschrijving | URL | Poort | Richting |
|---|---|---|---|
| Azure Portal URL voor proxy-bypass | *.aadcdn.microsoftonline-p.com |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.aka.ms |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.applicationinsights.io |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.azure.com |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.azure.net |
80.443 | Uitgaand |
| Azure Stack HCI Cloud Service | *.azurefd.net |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.azure-api.net |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.azuredatalakestore.net |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.azureedge.net |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.loganalytics.io |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.microsoft.com |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.microsoftonline.com |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.microsoftonline-p.com |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.msauth.net |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.msftauth.net |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.trafficmanager.net |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.visualstudio.com |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.windows.net |
80.443 | Uitgaand |
| Azure Portal URL voor proxy-bypass | *.windows-int.net |
80.443 | Uitgaand |
| Windows Update | *.windowsupdate.com |
80.443 | Uitgaand |
| Microsoft Office | www.office.com |
80.443 | Uitgaand |
| Azure Automation service voor Azure-beheertaken | *.azure-automation.net |
80.443 | Uitgaand |
| Agent voor het downloaden van binaire Helm-bestanden | *.helm.sh |
443 | Uitgaand |
| Cloud Init-service voor het downloaden van binaire Kubernetes-bestanden | storage.googleapis.com |
443 | Uitgaand |
| Windows-beheercentrum om Azure CLI te downloaden | aka.ms/installazurecliwindows |
443 | Uitgaand |
| Kubernetes-service voor het downloaden van containerafbeeldingen | ecpacr.azurecr.io |
443 | Uitgaand |
| TCP ter ondersteuning van Azure Arc agents | git://:9418 |
9,418 | Uitgaand |
| PowerShell Gallery centrale opslagplaats | *.powershellgallery.com |
80.443 | Uitgaand |
| Webhostingplatform dat ondersteuning biedt voor meerdere technologieën | *.azurewebsites.net |
443 | Uitgaand |
| Content Delivery Network downloads (CDN) | *.msecnd.net |
443 | Uitgaand |
Zie de volgende bronnen voor meer informatie over deze aanbevelingen voor connectiviteit:
- De URL'Azure Portal voor de firewall of proxyserver toestaan
- Azure Arc netwerkconfiguratie configureren
- PowerShell Gallery URL's voor het installeren van onderdelen zoals een NuGet en andere
- Voor toegang tot de Azure Kubernetes Service, Google API's, Helm en meer, zie Azure Kubernetes Service op Azure Stack HCI netwerkpoort en URL-vereisten
Werken met servicetags
Een servicetag vertegenwoordigt een groep IP-adressen van een bepaalde Azure-service. Microsoft beheert de IP-adressen die zijn opgenomen in de servicetag en werkt de servicetag automatisch bij wanneer IP-adressen worden gewijzigd om updates tot een minimum te beperken. Zie Servicetags voor virtuele netwerken voor meer informatie.
Belangrijk
Als de uitgaande connectiviteit wordt beperkt door uw externe bedrijfsfirewall of proxyserver, moet u ervoor zorgen dat de URL's in de onderstaande tabel niet worden geblokkeerd. Zie de sectie 'Netwerkconfiguratie' van Overzicht van Azure Arc serversagent voor gerelateerde informatie.
Vereiste dagelijkse toegang tot eindpunten (na Azure-registratie)
Azure onderhoudt bekende IP-adressen voor Azure-services die zijn geordend met behulp van servicetags. Azure publiceert een wekelijks JSON-bestand met alle IP-adressen voor elke service. De IP-adressen veranderen niet vaak, maar ze veranderen wel een paar keer per jaar. In de volgende tabel ziet u de servicetag-eindpunten die het besturingssysteem nodig heeft.
| Description | Servicetag voor IP-bereik | URL | Azure China URL |
|---|---|---|---|
| Azure Active Directory | AzureActiveDirectory | https://login.microsoftonline.comhttps://graph.microsoft.comhttps://graph.windows.net |
https://login.partner.microsoftonline.cnhttps://microsoftgraph.chinacloudapi.cnhttps://graph.chinacloudapi.cn |
| Azure Resource Manager | AzureResourceManager | https://management.azure.com |
https://management.chinacloudapi.cn |
| Azure Stack HCI cloudservice | AzureFrontDoor.Frontend AzureCloud.ChinaEast2 (Azure China) |
https://azurestackhci.azurefd.net |
https://dp.stackhci.azure.cn |
| Azure Arc | AzureArcInfrastructure AzureTrafficManager |
Afhankelijk van de functionaliteit die u wilt gebruiken: Hybride identiteitsservice: *.his.arc.azure.comGastconfiguratie: *.guestconfiguration.azure.comOpmerking: Verwacht meer URL's als we meer functionaliteit inschakelen. |
Binnenkort beschikbaar. |
Werk Microsoft Defender Firewall
In deze sectie ziet u hoe u Microsoft Defender Firewall ip-adressen die zijn gekoppeld aan een servicetag, verbinding te laten maken met het besturingssysteem:
Download het JSON-bestand van de volgende resource naar de doelcomputer met het besturingssysteem: Azure IP Ranges and Service Tags – Public Cloud.
Gebruik de volgende PowerShell-opdracht om het JSON-bestand te openen:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonHaal de lijst met IP-adresbereiken op voor een bepaalde servicetag, zoals de servicetag AzureResourceManager:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImporteer de lijst met IP-adressen naar uw externe bedrijfsfirewall als u er een allowlist bij gebruikt.
Maak een firewallregel voor elke server in het cluster om uitgaand 443(HTTPS)-verkeer naar de lijst met IP-adresbereiken toe te staan:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Extra eindpunt voor een een time-time Azure-registratie
Tijdens het Azure-registratieproces, wanneer u het Windows-beheercentrum gebruikt, probeert de cmdlet contact op te nemen met de PowerShell Gallery om te controleren of u de nieuwste versie van de vereiste Register-AzStackHCI PowerShell-modules hebt, zoals Az en AzureAD.
Hoewel de PowerShell Gallery wordt gehost in Azure, is er momenteel geen servicetag voor. Als u de cmdlet niet kunt uitvoeren vanaf een server-knooppunt vanwege geen toegang tot internet, raden we u aan de modules te downloaden naar uw beheercomputer en deze vervolgens handmatig over te dragen naar het server-knooppunt waar u de Register-AzStackHCI cmdlet wilt uitvoeren.
Een proxyserver instellen
In deze sectie ziet u hoe u een proxyserver voor uw cluster in kunt stellen.
Notitie
Windows proxyinstellingen van het beheercentrum en Azure Stack HCI proxy-instellingen zijn gescheiden. Het Azure Stack HCI van de proxy-instellingen van het cluster heeft geen invloed op het uitgaande verkeer van Windows Het beheercentrum, zoals verbinding maken met Azure, extensies downloaden, en meer.
Installeer de module WinInetProxy om de opdrachten in deze sectie uit te voeren. Zie voor meer informatie over de module en hoe u deze installeert PowerShell Gallery | WinInetProxy 0.1.0.
Als u een proxyserver voor Azure Stack HCI wilt instellen, moet u de volgende PowerShell-opdracht uitvoeren als beheerder op elke server in het cluster:
Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090
Gebruik de vlag om de proxyconfiguratie voor de hele server te ProxySettingsPerUser 0 maken in plaats van per gebruiker. Dit is de standaardinstelling.
Als u de proxyconfiguratie wilt verwijderen, moet u de PowerShell-opdracht uitvoeren Set-WinInetProxy zonder argumenten.
Volgende stappen
Zie voor meer informatie ook:
- De Windows Firewall en WinRM 2.0-poorten van Installatie en configuratie voor Windows Extern beheer