Configure firewalls para Azure Stack HCIConfigure firewalls for Azure Stack HCI

Aplica-se a: Azure Stack HCI, versão 20H2Applies to: Azure Stack HCI, version 20H2

Este tópico fornece orientações sobre como configurar firewalls para o sistema operativo Azure Stack HCI.This topic provides guidance on how to configure firewalls for the Azure Stack HCI operating system. Inclui requisitos de conectividade e explica como o grupo de etiquetas de serviço endereça endereços IP do grupo em Azure que o sistema operativo precisa de aceder.It includes connectivity requirements, and explains how service tags group IP addresses in Azure that the operating system needs to access. O tópico também fornece passos para atualizar o Microsoft Defender Firewall.The topic also provides steps to update Microsoft Defender Firewall.

Requisitos de conectividadeConnectivity requirements

O Azure Stack HCI precisa de se ligar periodicamente ao Azure.Azure Stack HCI needs to periodically connect to Azure. O acesso é limitado apenas a:Access is limited to only:

  • Bem conhecidoS IPs AzureWell-known Azure IPs
  • Direção de saídaOutbound direction
  • Porta 443 (HTTPS)Port 443 (HTTPS)

Para mais informações, consulte a secção "Conectividade HCI stack Azure Stack" da Azure Stack HCI FAQFor more information, see the "Azure Stack HCI connectivity" section of the Azure Stack HCI FAQ

Este tópico descreve como utilizar opcionalmente uma configuração de firewall altamente bloqueada para bloquear todo o tráfego para todos os destinos, exceto os incluídos na sua lista de autorizações.This topic describes how to optionally use a highly locked-down firewall configuration to block all traffic to all destinations except those included on your allow list.

Importante

Se a conectividade de saída for restringida pelo seu firewall corporativo externo ou servidor proxy, certifique-se de que os URLs listados na tabela abaixo não estão bloqueados.If outbound connectivity is restricted by your external corporate firewall or proxy server, ensure that the URLs listed in the table below are not blocked. Para obter informações relacionadas, consulte a secção "Configuração de rede" do agente de servidores ativado pelo Arco Azure.For related information, see the "Networking configuration" section of Overview of Azure Arc enabled servers agent.

Como mostrado abaixo, Azure Stack HCI acessa Azure usando mais de uma firewall potencialmente.As shown below, Azure Stack HCI accesses Azure using more than one firewall potentially.

O diagrama mostra que o Azure Stack HCI acede aos pontos finais da tag de serviço através do Porto 443 (HTTPS) das firewalls.

Trabalhar com etiquetas de serviçoWorking with service tags

Uma etiqueta de serviço representa um grupo de endereços IP de um determinado serviço Azure.A service tag represents a group of IP addresses from a given Azure service. A Microsoft gere os endereços IP incluídos na etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços IP mudam para manter as atualizações ao mínimo.Microsoft manages the IP addresses included in the service tag, and automatically updates the service tag as IP addresses change to keep updates to a minimum. Para saber mais, consulte as etiquetas de serviço de rede Virtual.To learn more, see Virtual network service tags.

Acesso diário de ponto final obrigatório (após o registo do Azure)Required endpoint daily access (after Azure registration)

O Azure mantém endereços IP bem conhecidos para serviços Azure que são organizados usando tags de serviço.Azure maintains well-known IP addresses for Azure services that are organized using service tags. A Azure publica um ficheiro JSON semanal de todos os endereços IP para cada serviço.Azure publishes a weekly JSON file of all the IP addresses for every service. Os endereços IP não mudam frequentemente, mas mudam algumas vezes por ano.The IP addresses don’t change often, but they do change a few times per year. A tabela a seguir mostra os pontos finais da etiqueta de serviço a que o sistema operativo precisa de aceder.The following table shows the service tag endpoints that the operating system needs to access.

DescriptionDescription Etiqueta de serviço para gama IPService tag for IP range URLURL
Azure Active DirectoryAzure Active Directory AzureActiveDirectoryAzureActiveDirectory https://login.microsoftonline.com
https://graph.microsoft.com
Azure Resource ManagerAzure Resource Manager AzureResourceManagerAzureResourceManager https://management.azure.com
Serviço de nuvem HCI da Pilha AzureAzure Stack HCI Cloud Service AzureFrontDoor.FrontendAzureFrontDoor.Frontend https://azurestackhci.azurefd.net
Azure ArcAzure Arc Estrutura AzureArcInfraAzureArcInfrastructure
AzureTrafficManagerAzureTrafficManager
Depende da funcionalidade que pretende utilizar:Depends on the functionality you want to use:
Serviço de Identidade Híbrida: *.his.arc.azure.comHybrid Identity Service: *.his.arc.azure.com
Configuração do hóspede: *.guestconfiguration.azure.comGuest Configuration: *.guestconfiguration.azure.com
Nota: Espere mais URLs à medida que ativamos mais funcionalidade.Note: Expect more URLs as we enable more functionality.

Atualizar Microsoft Defender FirewallUpdate Microsoft Defender Firewall

Esta secção mostra como configurar o Microsoft Defender Firewall para permitir que os endereços IP associados a uma etiqueta de serviço se conectem com o sistema operativo:This section shows how to configure Microsoft Defender Firewall to allow IP addresses associated with a service tag to connect with the operating system:

  1. Descarregue o ficheiro JSON do seguinte recurso para o computador-alvo que executa o sistema operativo: Azure IP Ranges and Service Tags – Public Cloud.Download the JSON file from the following resource to the target computer running the operating system: Azure IP Ranges and Service Tags – Public Cloud.

  2. Utilize o seguinte comando PowerShell para abrir o ficheiro JSON:Use the following PowerShell command to open the JSON file:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Obtenha a lista de intervalos de endereços IP para uma determinada etiqueta de serviço, como a etiqueta de serviço "AzureResourceManager":Get the list of IP address ranges for a given service tag, such as the “AzureResourceManager” service tag:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importe a lista de endereços IP para o seu firewall corporativo externo, se estiver a utilizar uma lista de autorizações com ele.Import the list of IP addresses to your external corporate firewall, if you're using an allow list with it.

  5. Crie uma regra de firewall para cada servidor do cluster para permitir o tráfego de saída 443 (HTTPS) para a lista de intervalos de endereços IP:Create a firewall rule for each server in the cluster to allow outbound 443 (HTTPS) traffic to the list of IP address ranges:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Ponto final adicional para o registo único do AzureAdditional endpoint for one-time Azure registration

Durante o processo de registo Azure, quando executar Register-AzStackHCI ou utilizar o Windows Admin Center, o cmdlet tenta contactar a PowerShell Gallery para verificar se tem a versão mais recente dos módulos PowerShell necessários, como a Az e a AzureAD.During the Azure registration process, when you run either Register-AzStackHCI or use Windows Admin Center, the cmdlet tries to contact the PowerShell Gallery to verify that you have the latest version of required PowerShell modules, such as Az and AzureAD. Embora a PowerShell Gallery esteja hospedada em Azure, atualmente não existe uma etiqueta de serviço para isso.Although the PowerShell Gallery is hosted on Azure, currently there isn't a service tag for it. Se não conseguir executar o Register-AzStackHCI cmdlet a partir de um nó de servidor por falta de acesso à Internet, recomendamos o descarregamento dos módulos para o seu computador de gestão e, em seguida, transferindo-os manualmente para o nó do servidor onde pretende executar o cmdlet.If you can't run the Register-AzStackHCI cmdlet from a server node because of no internet access, we recommend downloading the modules to your management computer, and then manually transferring them to the server node where you want to run the cmdlet.

Passos seguintesNext steps

Para mais informações, consulte também:For more information, see also: