Requisitos de firewall para o Azure Stack HCI
Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2
Este artigo fornece orientações sobre como configurar firewalls para o sistema operativo Azure Stack HCI. Inclui requisitos de firewall para pontos finais de saída e regras internas e portas. O artigo também fornece informações sobre como utilizar etiquetas de serviço do Azure com Microsoft Defender firewall.
Se a rede utilizar um servidor proxy para acesso à Internet, veja Configurar definições de proxy para o Azure Stack HCI.
Importante
Azure Private Link não é suportado para o Azure Stack HCI, versão 23H2 ou qualquer um dos respetivos componentes.
Requisitos de firewall para pontos finais de saída
Abrir a porta 443 para tráfego de rede de saída na firewall da sua organização cumpre os requisitos de conectividade para o sistema operativo se ligar ao Azure e ao Microsoft Update. Se a firewall de saída for restrita, recomendamos incluir os URLs e as portas descritos na secção URLs de firewall recomendados deste artigo.
O Azure Stack HCI precisa de se ligar periodicamente ao Azure. O acesso está limitado apenas a:
- IPs do Azure conhecidos
- Direção de saída
- Porta 443 (HTTPS)
Importante
O Azure Stack HCI não suporta a inspeção HTTPS. Confirme que a inspeção HTTPS está desativada ao longo do caminho de rede do Azure Stack HCI para evitar erros de conectividade.
Conforme mostrado no diagrama seguinte, o Azure Stack HCI acede ao Azure com mais do que uma firewall potencialmente.
Este artigo descreve como utilizar opcionalmente uma configuração de firewall altamente bloqueada para bloquear todo o tráfego para todos os destinos, exceto os incluídos na sua lista de permissões.
URLs de firewall necessários
A tabela seguinte fornece uma lista dos URLs de firewall necessários. Certifique-se de que inclui estes URLs na lista de permissões.
Siga também os requisitos de firewall necessários para o AKS no Azure Stack HCI.
Nota
As regras de firewall do Azure Stack HCI são os pontos finais mínimos necessários para a conectividade HciSvc e não contêm carateres universais. No entanto, a tabela seguinte contém atualmente URLs com carateres universais, que poderão ser atualizados para pontos finais precisos no futuro.
| Serviço | URL | Porta | Notas |
|---|---|---|---|
| Transferência de Atualizações do Azure Stack HCI | fe3.delivery.mp.microsoft.com | 443 | Para atualizar o Azure Stack HCI, versão 23H2. |
| Transferência de Atualizações do Azure Stack HCI | tlu.dl.delivery.mp.microsoft.com | 80 | Para atualizar o Azure Stack HCI, versão 23H2. |
| Deteção de Atualizações do Azure Stack HCI | aka.ms | 443 | Para resolver endereços para detetar o Azure Stack HCI, a versão 23H2 e a Extensão do Construtor de Soluções Atualizações. |
| Deteção de Atualizações do Azure Stack HCI | redirectiontool.trafficmanager.net | 443 | Serviço subjacente que implementa o controlo de dados de utilização para as ligações de redirecionamento aka.ms. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Para a Autoridade do Active Directory e utilizada para autenticação, obtenção de tokens e validação. |
| Azure Stack HCI | graph.windows.net | 443 | Para o Graph e utilizado para autenticação, obtenção de tokens e validação. |
| Azure Stack HCI | management.azure.com | 443 | Para Resource Manager e utilizados durante o arranque inicial do cluster para o Azure para fins de registo e para anular o registo do cluster. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Para o Plano de dados que envia dados de diagnóstico e utilizados no pipeline de portal do Azure e envia dados de faturação. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Para o Plano de dados utilizado no licenciamento e no envio de alertas e dados de faturação. Necessário apenas para o Azure Stack HCI, versão 23H2. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | URL anterior do Plano de dados. Este URL foi alterado recentemente, os clientes que registaram o cluster com este URL antigo também têm de o permitir. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Para o registo de contentor da VM do Arc no Azure Stack HCI. Necessário apenas para o Azure Stack HCI, versão 23H2. |
| Arc Para Servidores | aka.ms | 443 | Para resolver o script de transferência durante a instalação. |
| Arc Para Servidores | download.microsoft.com | 443 | Para transferir o pacote de instalação do Windows. |
| Arc Para Servidores | login.windows.net | 443 | Para Microsoft Entra ID |
| Arc Para Servidores | login.microsoftonline.com | 443 | Para Microsoft Entra ID |
| Arc Para Servidores | pas.windows.net | 443 | Para Microsoft Entra ID |
| Arc Para Servidores | management.azure.com | 443 | Para o Azure Resource Manager criar ou eliminar o recurso do Arc Server |
| Arc Para Servidores | guestnotificationservice.azure.com | 443 | Para o serviço de notificação para cenários de extensão e conectividade |
| Arc Para Servidores | *.his.arc.azure.com | 443 | Para metadados e serviços de identidade híbrida |
| Arc Para Servidores | *.guestconfiguration.azure.com | 443 | Para gestão de extensões e serviços de configuração de convidados |
| Arc Para Servidores | *.guestnotificationservice.azure.com | 443 | Para o serviço de notificação para cenários de extensão e conectividade |
| Arc Para Servidores | azgn*.servicebus.windows.net | 443 | Para o serviço de notificação para cenários de extensão e conectividade |
| Arc Para Servidores | *.servicebus.windows.net | 443 | Para cenários de Windows Admin Center e SSH |
| Arc Para Servidores | *.waconazure.com | 443 | Para conectividade Windows Admin Center |
| Arc Para Servidores | *.blob.core.windows.net | 443 | Para transferir a origem para extensões de servidores compatíveis com o Azure Arc |
Para obter uma lista completa de todos os URLs da firewall, transfira a folha de cálculo URLs da firewall.
URLs de firewall recomendados
A tabela seguinte fornece uma lista de URLs de firewall recomendados. Se a firewall de saída for restrita, recomendamos incluir os URLs e as portas descritos nesta secção na lista de permissões.
Nota
As regras de firewall do Azure Stack HCI são os pontos finais mínimos necessários para a conectividade HciSvc e não contêm carateres universais. No entanto, a tabela seguinte contém atualmente URLs universais, que podem ser atualizados para pontos finais precisos no futuro.
| Serviço | URL | Porta | Notas |
|---|---|---|---|
| Benefícios do Azure no Azure Stack HCI | crl3.digicert.com | 80 | Permite que o serviço de atestado da plataforma no Azure Stack HCI efetue uma verificação de lista de revogação de certificados para garantir que as VMs estão realmente em execução em ambientes do Azure. |
| Benefícios do Azure no Azure Stack HCI | crl4.digicert.com | 80 | Permite que o serviço de atestado da plataforma no Azure Stack HCI efetue uma verificação de lista de revogação de certificados para garantir que as VMs estão realmente em execução em ambientes do Azure. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Para obter o módulo Az.StackHCI do PowerShell, que é necessário para o registo do cluster. Em alternativa, pode transferir e instalar manualmente o módulo do PowerShell do Az.StackHCI a partir de Galeria do PowerShell. |
| Testemunho da Cloud do Cluster | *.blob.core.windows.net | 443 | Para acesso de firewall ao contentor de blobs do Azure, se optar por utilizar um testemunho de cloud como testemunha de cluster, o que é opcional. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | download.windowsupdate.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.download.windowsupdate.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | download.microsoft.com | 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | wustat.windows.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | go.microsoft.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.windowsupdate.com | 80 | Para o Microsoft Update, que permite que o SO receba atualizações. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | Para o Microsoft Update, que permite que o SO receba atualizações. |
Requisitos de firewall para serviços adicionais do Azure
Consoante os serviços adicionais do Azure que ativar no HCI, poderá ter de fazer alterações adicionais na configuração da firewall. Veja as seguintes ligações para obter informações sobre os requisitos de firewall para cada serviço do Azure:
- AKS no Azure Stack HCI
- Servidores preparados para o Azure Arc
- Requisitos de rede da bridge de recursos do Azure Arc
- Agente do Azure Monitor
- Portal do Azure
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Agente de Monitorização da Microsoft (MMA) e Agente do Log Analytics
- Qualys
- Suporte remoto
- Windows Admin Center
- Windows Admin Center no portal do Azure
Requisitos de firewall para regras e portas internas
Certifique-se de que as portas de rede adequadas estão abertas entre todos os nós de servidor, tanto num site como entre sites para clusters dispersos (a funcionalidade de cluster disperso só está disponível no Azure Stack HCI, versão 22H2.). Precisará de regras de firewall adequadas para permitir tráfego bidirecional ICMP, SMB (porta 445, mais porta 5445 para SMB Direto se utilizar RDMA iWARP) e tráfego bidirecional WS-MAN (porta 5985) entre todos os servidores no cluster.
Ao utilizar o assistente de Criação de Clusters no Windows Admin Center para criar o cluster, o assistente abre automaticamente as portas de firewall adequadas em cada servidor no cluster para Clustering de Ativação Pós-falha, Hyper-V e Réplica de Armazenamento. Se estiver a utilizar uma firewall diferente em cada servidor, abra as portas conforme descrito nas secções seguintes:
Gestão do SO do Azure Stack HCI
Certifique-se de que as seguintes regras de firewall estão configuradas na firewall no local para a gestão do SO do Azure Stack HCI, incluindo licenciamento e faturação.
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir tráfego de entrada/saída de e para o serviço Azure Stack HCI em servidores de cluster | Permitir | Servidores de cluster | Servidores de cluster | TCP | 30301 |
Windows Admin Center
Certifique-se de que as seguintes regras de firewall estão configuradas na firewall no local para Windows Admin Center.
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Fornecer acesso ao Azure e ao Microsoft Update | Permitir | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Utilizar a Gestão Remota do Windows (WinRM) 2.0 para ligações HTTP para executar comandos em servidores Windows remotos |
Permitir | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Utilizar o WinRM 2.0 para as ligações HTTPS serem executadas comandos em servidores Windows remotos |
Permitir | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Nota
Ao instalar Windows Admin Center, se selecionar a definição Utilizar Apenas WinRM através de HTTPS, é necessária a porta 5986.
Clustering de Ativação Pós-falha
Certifique-se de que as seguintes regras de firewall estão configuradas na firewall no local para Clustering de Ativação Pós-falha.
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir validação do Cluster de Ativação Pós-falha | Permitir | Sistema de gestão | Servidores de cluster | TCP | 445 |
| Permitir a alocação de portas dinâmicas RPC | Permitir | Sistema de gestão | Servidores de cluster | TCP | Mínimo de 100 portas acima da porta 5000 |
| Permitir Chamada de Procedimento Remoto (RPC) | Permitir | Sistema de gestão | Servidores de cluster | TCP | 135 |
| Permitir Administrador de Clusters | Permitir | Sistema de gestão | Servidores de cluster | UDP | 137 |
| Permitir Serviço de Cluster | Permitir | Sistema de gestão | Servidores de cluster | UDP | 3343 |
| Permitir o Serviço de Cluster (Necessário durante o uma operação de associação ao servidor.) |
Permitir | Sistema de gestão | Servidores de cluster | TCP | 3343 |
| Permitir ICMPv4 e ICMPv6 para validação do Cluster de Ativação Pós-falha |
Permitir | Sistema de gestão | Servidores de cluster | n/a | n/a |
Nota
O sistema de gestão inclui qualquer computador a partir do qual planeie administrar o cluster, utilizando ferramentas como Windows Admin Center, Windows PowerShell ou System Center Virtual Machine Manager.
Hyper-V
Certifique-se de que as seguintes regras de firewall estão configuradas na firewall no local para Hyper-V.
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir comunicação de cluster | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 445 |
| Permitir Mapeador de Pontos Finais RPC e WMI | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 135 |
| Permitir conectividade HTTP | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 80 |
| Permitir conectividade HTTPS | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 443 |
| Permitir Migração em Direto | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 6600 |
| Permitir o Serviço de Gestão de VMs | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | 2179 |
| Permitir alocação de portas dinâmicas RPC | Permitir | Sistema de gestão | Servidor Hyper-V | TCP | Mínimo de 100 portas acima da porta 5000 |
Nota
Abra um intervalo de portas acima da porta 5000 para permitir a alocação de portas dinâmicas RPC. As portas abaixo de 5000 podem já estar a ser utilizadas por outras aplicações e podem causar conflitos com aplicações DCOM. A experiência anterior mostra que deve ser aberto um mínimo de 100 portas, uma vez que vários serviços do sistema dependem destas portas RPC para comunicar entre si. Para obter mais informações, veja Como configurar a alocação de portas dinâmicas RPC para trabalhar com firewalls.
Réplica de Armazenamento (cluster disperso)
Confirme que as seguintes regras de firewall estão configuradas na firewall no local para a Réplica de Armazenamento (cluster disperso).
| Regra | Ação | Origem | Destino | Serviço | Portas |
|---|---|---|---|---|---|
| Permitir Bloco de Mensagens do Servidor Protocolo (SMB) |
Permitir | Servidores de cluster dispersos | Servidores de cluster dispersos | TCP | 445 |
| Permitir Services-Management Web (WS-MAN) |
Permitir | Servidores de cluster dispersos | Servidores de cluster dispersos | TCP | 5985 |
| Permitir ICMPv4 e ICMPv6 (se estiver a utilizar o Test-SRTopologyCmdlet do PowerShell) |
Permitir | Servidores de cluster dispersos | Servidores de cluster dispersos | n/a | n/a |
Atualizar a firewall do Microsoft Defender
Esta secção mostra como configurar Microsoft Defender firewall para permitir que os endereços IP associados a uma etiqueta de serviço se liguem ao sistema operativo. Uma etiqueta de serviço representa um grupo de endereços IP de um determinado serviço do Azure. A Microsoft gere os endereços IP incluídos na etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços IP mudam para manter as atualizações no mínimo. Para saber mais, veja Etiquetas de serviço de rede virtual.
Transfira o ficheiro JSON do seguinte recurso para o computador de destino que executa o sistema operativo: Intervalos de IP do Azure e Etiquetas de Serviço – Cloud Pública.
Utilize o seguinte comando do PowerShell para abrir o ficheiro JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonObtenha a lista de intervalos de endereços IP para uma determinada etiqueta de serviço, como a etiqueta de serviço "AzureResourceManager":
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImporte a lista de endereços IP para a firewall empresarial externa, se estiver a utilizar uma lista de permissões com a mesma.
Crie uma regra de firewall para cada servidor no cluster para permitir o tráfego de saída 443 (HTTPS) para a lista de intervalos de endereços IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Passos seguintes
Para obter mais informações, consulte também:
- A secção De firewall do Windows e portas WinRM 2.0 de Instalação e configuração para a Gestão Remota do Windows
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários