Wymagania dotyczące zapory dla rozwiązania Azure Stack HCI
Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2
Ten artykuł zawiera wskazówki dotyczące konfigurowania zapór dla systemu operacyjnego Azure Stack HCI. Obejmuje ona wymagania dotyczące zapory dla wychodzących punktów końcowych oraz reguł i portów wewnętrznych. Artykuł zawiera również informacje na temat używania tagów usługi platformy Azure z zaporą Microsoft Defender.
Jeśli sieć używa serwera proxy na potrzeby dostępu do Internetu, zobacz Konfigurowanie ustawień serwera proxy dla usługi Azure Stack HCI.
Ważne
Azure Private Link nie jest obsługiwana w przypadku usługi Azure Stack HCI w wersji 23H2 ani żadnego z jego składników.
Wymagania dotyczące zapory dla wychodzących punktów końcowych
Otwarcie portu 443 dla wychodzącego ruchu sieciowego w zaporze organizacji spełnia wymagania dotyczące łączności dla systemu operacyjnego w celu nawiązania połączenia z platformą Azure i usługą Microsoft Update. Jeśli zapora ruchu wychodzącego jest ograniczona, zalecamy dołączenie adresów URL i portów opisanych w sekcji Zalecane adresy URL zapory w tym artykule.
Usługa Azure Stack HCI musi okresowo łączyć się z platformą Azure. Dostęp jest ograniczony tylko do:
- Dobrze znane adresy IP platformy Azure
- Kierunek ruchu wychodzącego
- Port 443 (HTTPS)
Ważne
Rozwiązanie Azure Stack HCI nie obsługuje inspekcji protokołu HTTPS. Upewnij się, że inspekcja protokołu HTTPS jest wyłączona wzdłuż ścieżki sieciowej usługi Azure Stack HCI, aby zapobiec wszelkim błędom łączności.
Jak pokazano na poniższym diagramie, rozwiązanie Azure Stack HCI uzyskuje dostęp do platformy Azure przy użyciu więcej niż jednej zapory.
W tym artykule opisano, jak opcjonalnie użyć konfiguracji zapory o wysokim poziomie blokady, aby zablokować cały ruch do wszystkich miejsc docelowych z wyjątkiem tych uwzględnionych na liście dozwolonych.
Wymagane adresy URL zapory
Poniższa tabela zawiera listę wymaganych adresów URL zapory. Pamiętaj, aby uwzględnić te adresy URL na liście dozwolonych.
Postępuj zgodnie z wymaganymi wymaganiami zapory dla usługi AKS w usłudze Azure Stack HCI.
Uwaga
Reguły zapory rozwiązania Azure Stack HCI są minimalnymi punktami końcowymi wymaganymi do łączności hciSvc i nie zawierają symboli wieloznacznych. Jednak poniższa tabela zawiera obecnie wieloznaczne adresy URL, które mogą zostać zaktualizowane do dokładnych punktów końcowych w przyszłości.
| Usługa | Adres URL | Port | Uwagi |
|---|---|---|---|
| Pobieranie Aktualizacje usługi Azure Stack HCI | fe3.delivery.mp.microsoft.com | 443 | Aby zaktualizować rozwiązanie Azure Stack HCI, wersja 23H2. |
| Pobieranie Aktualizacje usługi Azure Stack HCI | tlu.dl.delivery.mp.microsoft.com | 80 | Aby zaktualizować rozwiązanie Azure Stack HCI, wersja 23H2. |
| Odnajdywanie Aktualizacje usługi Azure Stack HCI | aka.ms | 443 | Rozpoznawanie adresów w celu odnalezienia rozwiązania Azure Stack HCI w wersji 23H2 i rozszerzenia narzędzia Solution Builder Aktualizacje. |
| Odnajdywanie Aktualizacje usługi Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Podstawowa usługa, która implementuje śledzenie danych użycia dla linków przekierowania aka.ms. |
| Azure Stack HCI | login.microsoftonline.com | 443 | W przypadku urzędu usługi Active Directory i używanego do uwierzytelniania, pobierania tokenu i walidacji. |
| Azure Stack HCI | graph.windows.net | 443 | W przypadku programu Graph i używanego do uwierzytelniania, pobierania tokenu i walidacji. |
| Azure Stack HCI | management.azure.com | 443 | W przypadku Resource Manager i używanych podczas początkowego uruchamiania klastra na platformie Azure na potrzeby rejestracji i wyrejestrowania klastra. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | W przypadku płaszczyzny danych, która wypycha dane diagnostyczne i używane w potoku Azure Portal i wypycha dane rozliczeniowe. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | W przypadku płaszczyzny danych używanej w licencjonowaniu oraz wypychania danych dotyczących alertów i rozliczeń. Wymagane tylko dla usługi Azure Stack HCI w wersji 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Poprzedni adres URL płaszczyzny danych. Ten adres URL został ostatnio zmieniony. Klienci, którzy zarejestrowali swój klaster przy użyciu tego starego adresu URL, również muszą ją dodać do listy dozwolonych. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | W przypadku rejestru kontenerów maszyn wirtualnych usługi Arc w usłudze Azure Stack HCI. Wymagane tylko dla usługi Azure Stack HCI w wersji 23H2. |
| Usługa Arc dla serwerów | aka.ms | 443 | Do rozpoznawania skryptu pobierania podczas instalacji. |
| Usługa Arc dla serwerów | download.microsoft.com | 443 | Aby pobrać pakiet instalacyjny systemu Windows. |
| Usługa Arc dla serwerów | login.windows.net | 443 | Dla Tożsamość Microsoft Entra |
| Usługa Arc dla serwerów | login.microsoftonline.com | 443 | Dla Tożsamość Microsoft Entra |
| Usługa Arc dla serwerów | pas.windows.net | 443 | W przypadku Tożsamość Microsoft Entra |
| Arc dla serwerów | management.azure.com | 443 | Aby usługa Azure Resource Manager utworzyć lub usunąć zasób serwera Arc |
| Arc dla serwerów | guestnotificationservice.azure.com | 443 | W przypadku usługi powiadomień dla scenariuszy rozszerzeń i łączności |
| Arc dla serwerów | *.his.arc.azure.com | 443 | W przypadku metadanych i usług tożsamości hybrydowych |
| Arc dla serwerów | *.guestconfiguration.azure.com | 443 | W przypadku usług zarządzania rozszerzeniami i konfiguracji gościa |
| Arc dla serwerów | *.guestnotificationservice.azure.com | 443 | W przypadku usługi powiadomień dla scenariuszy rozszerzeń i łączności |
| Arc dla serwerów | azgn*.servicebus.windows.net | 443 | W przypadku usługi powiadomień dla scenariuszy rozszerzeń i łączności |
| Arc dla serwerów | *.servicebus.windows.net | 443 | W przypadku scenariuszy Windows Admin Center i SSH |
| Arc dla serwerów | *.waconazure.com | 443 | W przypadku łączności Windows Admin Center |
| Arc dla serwerów | *.blob.core.windows.net | 443 | Źródło pobierania rozszerzeń serwerów z obsługą usługi Azure Arc |
Aby uzyskać kompleksową listę wszystkich adresów URL zapory, pobierz arkusz kalkulacyjny Adresy URL zapory.
Zalecane adresy URL zapory
Poniższa tabela zawiera listę zalecanych adresów URL zapory. Jeśli zapora ruchu wychodzącego jest ograniczona, zalecamy dołączenie adresów URL i portów opisanych w tej sekcji do listy dozwolonych.
Uwaga
Reguły zapory usługi Azure Stack HCI są minimalnymi punktami końcowymi wymaganymi do łączności hciSvc i nie zawierają symboli wieloznacznych. Poniższa tabela zawiera jednak obecnie adresy URL symboli wieloznacznych, które mogą zostać zaktualizowane do dokładnych punktów końcowych w przyszłości.
| Usługa | Adres URL | Port | Uwagi |
|---|---|---|---|
| Korzyści platformy Azure w usłudze Azure Stack HCI | crl3.digicert.com | 80 | Umożliwia usłudze zaświadczania platformy w usłudze Azure Stack HCI przeprowadzenie sprawdzania listy odwołania certyfikatów w celu zapewnienia, że maszyny wirtualne rzeczywiście działają w środowiskach platformy Azure. |
| Korzyści platformy Azure w usłudze Azure Stack HCI | crl4.digicert.com | 80 | Umożliwia usłudze zaświadczania platformy w usłudze Azure Stack HCI przeprowadzenie sprawdzania listy odwołania certyfikatów w celu zapewnienia, że maszyny wirtualne rzeczywiście działają w środowiskach platformy Azure. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Aby uzyskać moduł Az.StackHCI programu PowerShell, który jest wymagany do rejestracji klastra. Alternatywnie możesz pobrać i zainstalować moduł Az.StackHCI Programu PowerShell ręcznie z Galeria programu PowerShell. |
| Monitor chmury klastra | *.blob.core.windows.net | 443 | Aby uzyskać dostęp do zapory do kontenera obiektów blob platformy Azure, jeśli zdecydujesz się użyć monitora w chmurze jako monitora klastra, który jest opcjonalny. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | download.windowsupdate.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | *.download.windowsupdate.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | download.microsoft.com | 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | wustat.windows.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | go.microsoft.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | *.windowsupdate.com | 80 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | W przypadku usługi Microsoft Update, która umożliwia systemowi operacyjnemu odbieranie aktualizacji. |
Wymagania dotyczące zapory dla dodatkowych usług platformy Azure
W zależności od dodatkowych usług platformy Azure, które są włączone w rozwiązaniu HCI, może być konieczne wprowadzenie dodatkowych zmian konfiguracji zapory. Zapoznaj się z następującymi linkami, aby uzyskać informacje na temat wymagań dotyczących zapory dla każdej usługi platformy Azure:
- AKS on Azure Stack HCI
- Serwery z obsługą usługi Azure Arc
- Wymagania sieciowe mostka zasobów usługi Azure Arc
- Agent usługi Azure Monitor
- Witryna Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Program Microsoft Monitoring Agent (MMA) i agent usługi Log Analytics
- Qualys
- Zdalna obsługa
- Windows Admin Center
- Windows Admin Center w usłudze Azure Portal
Wymagania dotyczące zapory dla reguł wewnętrznych i portów
Upewnij się, że odpowiednie porty sieciowe są otwarte między wszystkimi węzłami serwera w ramach lokacji i między lokacjami dla klastrów rozproszony (funkcja klastra rozproszonego jest dostępna tylko w usłudze Azure Stack HCI w wersji 22H2). Potrzebujesz odpowiednich reguł zapory, aby zezwolić na ruch dwukierunkowy ICMP, SMB (port 445 oraz port 5445 dla protokołu SMB Direct w przypadku używania funkcji iWARP RDMA) oraz dwukierunkowego ruchu WS-MAN (port 5985) między wszystkimi serwerami w klastrze.
W przypadku używania kreatora tworzenia klastra w Windows Admin Center do utworzenia klastra kreator automatycznie otwiera odpowiednie porty zapory na każdym serwerze w klastrze dla klastra trybu failover, funkcji Hyper-V i repliki magazynu. Jeśli używasz innej zapory na każdym serwerze, otwórz porty zgodnie z opisem w poniższych sekcjach:
Zarządzanie systemem operacyjnym Azure Stack HCI
Upewnij się, że następujące reguły zapory zostały skonfigurowane w lokalnej zaporze na potrzeby zarządzania systemem operacyjnym Azure Stack HCI, w tym licencjonowaniem i rozliczeniami.
| Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na ruch przychodzący/wychodzący do i z usługi Azure Stack HCI na serwerach klastra | Zezwalaj | Serwery klastra | Serwery klastra | TCP | 30301 |
Windows Admin Center
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla Windows Admin Center.
| Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
|---|---|---|---|---|---|
| Zapewnianie dostępu do platformy Azure i usługi Microsoft Update | Zezwalaj | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Używanie zdalnego zarządzania systemem Windows (WinRM) 2.0 dla połączeń HTTP do uruchamiania poleceń na zdalnych serwerach z systemem Windows |
Zezwalaj | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Uruchamianie połączeń HTTPS przy użyciu usługi WinRM 2.0 polecenia na zdalnych serwerach z systemem Windows |
Zezwalaj | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Uwaga
Podczas instalowania Windows Admin Center, jeśli wybierzesz ustawienie Użyj usługi WinRM tylko za pośrednictwem protokołu HTTPS, wymagany jest port 5986.
Klaster trybu failover
Upewnij się, że następujące reguły zapory zostały skonfigurowane w lokalnej zaporze dla klastra trybu failover.
| Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na walidację klastra trybu failover | Zezwalaj | System zarządzania | Serwery klastra | TCP | 445 |
| Zezwalaj na dynamiczną alokację portów RPC | Zezwalaj | System zarządzania | Serwery klastra | TCP | Co najmniej 100 portów powyżej portu 5000 |
| Zezwalaj na zdalne wywołanie procedury (RPC) | Zezwalaj | System zarządzania | Serwery klastra | TCP | 135 |
| Zezwalaj administratorowi klastra | Zezwalaj | System zarządzania | Serwery klastra | UDP | 137 |
| Zezwalaj na usługę klastra | Zezwalaj | System zarządzania | Serwery klastra | UDP | 3343 |
| Zezwalaj na usługę klastra (wymaganą podczas operacja sprzężenia serwera). |
Zezwalaj | System zarządzania | Serwery klastra | TCP | 3343 |
| Zezwalaj na protokół ICMPv4 i ICMPv6 sprawdzanie poprawności klastra trybu failover |
Zezwalaj | System zarządzania | Serwery klastra | nie dotyczy | nie dotyczy |
Uwaga
System zarządzania obejmuje dowolny komputer, z którego planujesz administrować klastrem, przy użyciu narzędzi, takich jak Windows Admin Center, Windows PowerShell lub System Center Virtual Machine Manager.
Hyper-V
Upewnij się, że następujące reguły zapory zostały skonfigurowane w lokalnej zaporze dla funkcji Hyper-V.
| Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na komunikację klastra | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 445 |
| Zezwalaj na maper punktów końcowych RPC i WMI | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 135 |
| Zezwalaj na łączność HTTP | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 80 |
| Zezwalaj na łączność HTTPS | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 443 |
| Zezwalaj na migrację na żywo | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 6600 |
| Zezwalaj na usługę zarządzania maszynami wirtualnymi | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | 2179 |
| Zezwalaj na dynamiczną alokację portów RPC | Zezwalaj | System zarządzania | Serwer funkcji Hyper-V | TCP | Co najmniej 100 portów powyżej portu 5000 |
Uwaga
Otwórz zakres portów powyżej portu 5000, aby umożliwić dynamiczną alokację portów RPC. Porty poniżej 5000 mogą być już używane przez inne aplikacje i mogą powodować konflikty z aplikacjami DCOM. Poprzednie środowisko pokazuje, że należy otworzyć co najmniej 100 portów, ponieważ kilka usług systemowych korzysta z tych portów RPC do komunikowania się ze sobą. Aby uzyskać więcej informacji, zobacz How to configure RPC dynamic port allocation to work with firewalls (Jak skonfigurować alokację portów dynamicznych RPC do pracy z zaporami).
Replika magazynu (klaster rozproszony)
Upewnij się, że w lokalnej zaporze skonfigurowano następujące reguły zapory dla repliki magazynu (klastra rozproszonego).
| Reguła | Akcja | Element źródłowy | Element docelowy | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na blokowanie komunikatów serwera Protokół (SMB) |
Zezwalaj | Serwery klastra rozproszonego | Serwery klastra rozproszonego | TCP | 445 |
| Zezwalaj na Services-Management sieci Web (WS-MAN) |
Zezwalaj | Serwery klastra rozproszonego | Serwery klastra rozproszonego | TCP | 5985 |
| Zezwalaj na protokół ICMPv4 i ICMPv6 (jeśli używasz Test-SRTopologyPolecenie cmdlet programu PowerShell) |
Zezwalaj | Serwery klastra rozproszonego | Serwery klastra rozproszonego | nie dotyczy | nie dotyczy |
Aktualizowanie zapory Microsoft Defender
W tej sekcji pokazano, jak skonfigurować zaporę Microsoft Defender, aby zezwolić adresom IP skojarzonym z tagiem usługi na nawiązywanie połączenia z systemem operacyjnym. Tag usługi reprezentuje grupę adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza adresami IP zawartymi w tagu usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów IP, aby zachować aktualizacje do minimum. Aby dowiedzieć się więcej, zobacz Tagi usługi sieci wirtualnej.
Pobierz plik JSON z następującego zasobu na komputer docelowy z systemem operacyjnym: Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna.
Użyj następującego polecenia programu PowerShell, aby otworzyć plik JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonPobierz listę zakresów adresów IP dla danego tagu usługi, takiego jak tag usługi "AzureResourceManager":
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesZaimportuj listę adresów IP do zewnętrznej zapory firmowej, jeśli używasz z nią listy dozwolonych.
Utwórz regułę zapory dla każdego serwera w klastrze, aby zezwolić na ruch wychodzący 443 (HTTPS) do listy zakresów adresów IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Następne kroki
Aby uzyskać więcej informacji, zobacz również:
- Sekcja Porty Zapory systemu Windows i usługi WinRM 2.0 w temacie Instalacja i konfiguracja zdalnego zarządzania systemem Windows
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla