Требования к брандмауэру для Azure Stack HCI

Область применения: Azure Stack HCI, версии 21H2 и 20H2

В этой статье содержатся инструкции по настройке брандмауэров для операционной системы Azure Stack HCI. Он включает требования к брандмауэру для исходящих конечных точек, внутренних правил и портов. В этой статье также содержатся сведения о настройке прокси-сервера и использовании тегов служб Azure с брандмауэром Microsoft Defender.

Требования к брандмауэру для исходящих конечных точек

Открытие порта 443 для исходящего сетевого трафика в брандмауэре организации соответствует требованиям к подключению к операционной системе для подключения к Azure и Центру обновления Майкрософт. Если исходящий брандмауэр ограничен, рекомендуем включить URL-адреса и порты, описанные в разделе "Рекомендуемые URL-адреса брандмауэра " этой статьи.

Azure Stack HCI необходимо периодически подключаться к Azure. Доступ ограничен только следующими способами:

• Известные IP-адреса Azure
• Направление исходящего трафика
• Порт 443 (HTTPS)

В этой статье описывается, как при необходимости использовать конфигурацию брандмауэра с высокой блокировкой, чтобы блокировать весь трафик ко всем назначениям, кроме включенных в список разрешений.

Как показано на следующей схеме, Azure Stack HCI обращается к Azure с помощью нескольких потенциально брандмауэров.

В следующих разделах приведены консолидированные списки обязательных и рекомендуемых URL-адресов для основных компонентов Azure Stack HCI, которые включают создание кластера, регистрацию и выставление счетов, Центр обновления Майкрософт и облачный кластер-свидетель. Вкладку JSON можно использовать для непосредственного копирования и вставки URL-адресов в список разрешений.

В последующих разделах приводятся дополнительные сведения о требованиях к брандмауэру основных компонентов Azure Stack HCI, за которыми следуют требования к брандмауэру для дополнительных служб Azure (необязательно).

Требуемые URL-адреса брандмауэра

Этот раздел содержит список обязательных URL-адресов брандмауэра. Не забудьте включить эти URL-адреса в список разрешений.

Таблица

В следующей таблице приведен список обязательных URL-адресов брандмауэра.

URL-адрес	Порт	Примечания
https://login.microsoftonline.com (Общедоступная версия Azure) https://login.chinacloudapi.cn/ (Azure для Китая) https://login.microsoftonline.us (Azure Gov)	443	Для центра Active Directory и используется для проверки подлинности, получения маркера и проверки. Тег службы: AzureActiveDirectory.
https://graph.windows.net/ (Общедоступная версия Azure, Azure Gov) https://graph.chinacloudapi.cn/ (Azure для Китая)	443	Для Graph и используемых для проверки подлинности, получения маркера и проверки. Тег службы: AzureActiveDirectory.
https://management.azure.com/ (Общедоступная версия Azure) https://management.chinacloudapi.cn/ (Azure для Китая) https://management.usgovcloudapi.net/ (Azure Gov)	443	Для Resource Manager и использования во время начальной начальной загрузки кластера в Azure для регистрации и отмены регистрации кластера. Тег службы: AzureResourceManager.
https://dp.stackhci.azure.com/ (Общедоступная версия Azure) https://dp.stackhci.azure.cn (Azure для Китая) https://dp.azurestackchi.azure.us (Azure Gov)	443	Для плоскости данных, которая отправляет диагностические данные и используется в конвейере портала и отправляет данные о выставлении счетов. Примечание. ОБНОВЛЕН URL-адрес плана данных для общедоступной версии Azure. Ранее этот URL-адрес был следующим: https://azurestackhci.azurefd.net. Если вы уже зарегистрировали кластер со старым URL-адресом, необходимо также включить старый URL-адрес.

JSON

Ниже приведены необходимые URL-адреса брандмауэра в формате JSON. Используйте кнопку "Копировать", чтобы скопировать и вставить это содержимое в список разрешений.

[{ 
        "URL": "https://login.microsoftonline.com", 
        "Port": "443", 
        "Notes": “(Azure Public) For Active Directory Authority and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.“ 
    }, 
    { 
        "URL": "https://login.chinacloudapi.cn/", 
        "Port": "443", 
        "Notes": “(Azure China) For Active Directory Authority and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.“ 
    }, 
    { 
        "URL": "https://login.microsoftonline.us", 
        "Port": "443", 
        "Notes": “(Azure Gov) For Active Directory Authority and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.“ 
    }, 
    { 
        "URL": "https://graph.windows.net/", 
        "Port": "443", 
        "Notes": “(Azure Public, Azure Gov) For Graph and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.” 
    }, 
    { 
        "URL": "https://graph.chinacloudapi.cn/", 
        "Port": "443", 
        "Notes": “(Azure China) For Graph and used for authentication, token fetch, and validation. Service Tag: AzureActiveDirectory.” 
    }, 
    { 
        "URL": "https://management.azure.com/", 
        "Port": "443", 
        "Notes": “(Azure Public) For Resource Manager and used during initial bootstrapping of the cluster to Azure for registration purposes and to unregister the cluster. Service Tag: AzureResourceManager.” 
    }, 
    { 
        "URL": "https://management.chinacloudapi.cn/", 
        "Port": "443", 
        "Notes": “(Azure China) For Resource Manager and used during initial bootstrapping of the cluster to Azure for registration purposes and to unregister the cluster. Service Tag: AzureResourceManager.” 
    }, 
    { 
        "URL": "https://management.usgovcloudapi.net/", 
        "Port": "443", 
        "Notes": “(Azure Gov) For Resource Manager and used during initial bootstrapping of the cluster to Azure for registration purposes and to unregister the cluster. Service Tag: AzureResourceManager.” 
    }, 
    { 
        "URL": "https://dp.stackhci.azure.com (Azure Public)", 
        "Port": "443", 
        "Notes": “(Azure Public) For Dataplane which pushes up diagnostics data, is used in the Portal pipeline, and pushes billing data. Note that this URL has been updated. Previously, this URL was: https://azurestackhci.azurefd.net. If you've already registered your cluster with the old URL, you must allowlist the old URL as well.” 
    }, 
    { 
        "URL": "https://dp.stackhci.azure.cn", 
        "Port": "443", 
        "Notes": “(Azure China) For Dataplane which pushes up diagnostics data, is used in the Portal pipeline, and pushes billing data.” 
    }, 
    { 
        "URL": "https://dp.azurestackchi.azure.us", 
        "Port": "443", 
        "Notes": “(Azure Gov) For Dataplane which pushes up diagnostics data, is used in the Portal pipeline, and pushes billing data.” 
     }]

Рекомендуемые URL-адреса брандмауэра

В этом разделе представлен список рекомендуемых URL-адресов брандмауэра. Если исходящий брандмауэр ограничен, рекомендуется включить URL-адреса и порты, описанные в этом разделе, в список разрешений.

Таблица

В следующей таблице приведен список рекомендуемых URL-адресов брандмауэра.

URL-адрес	Порт	Примечания
http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com https://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com http://go.microsoft.com http://dl.delivery.mp.microsoft.com https://dl.delivery.mp.microsoft.com	443	Для Центра обновления Майкрософт, позволяющего ОС получать обновления.
*.blob.core.windows.net OR [myblobstorage].blob.core.windows.net	443	Для облачного свидетеля кластера. Использование облака-свидетеля в качестве следящего сервера кластера.
*.powershellgallery.com ИЛИ установите модуль по адресу https://www.powershellgallery.com/packages/Az.StackHCI	443	Чтобы получить модуль PowerShell Az.StackHCI, который необходим для регистрации кластера.

Json

Ниже приведены рекомендуемые URL-адреса брандмауэра в формате JSON. Используйте кнопку "Копировать", чтобы скопировать и вставить это содержимое в список разрешений.

[{ 
        "URL": "http://*.windowsupdate.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://*.windowsupdate.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://*.update.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://*.update.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://*.windowsupdate.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://download.windowsupdate.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://download.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://*.download.windowsupdate.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://wustat.windows.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://ntservicepack.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://go.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "http://dl.delivery.mp.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "https://dl.delivery.mp.microsoft.com", 
        "Port": "443", 
        "Notes": “For Microsoft Update, which allows the OS to receive updates.” 
    }, 
    { 
        "URL": "*.blob.core.windows.net", 
        "Port": "443", 
        "Notes": “Alternatively, [myblobstorage].blob.core.windows.net for the blob storage account for the cluster witness. For Cluster Cloud Witness.” 
    }, 
    { 
        "URL": "*.powershellgallery.com", 
        "Port": "443", 
        "Notes": “Alternatively, download the Az.StackHCI PowerShell module at https://www.powershellgallery.com/packages/Az.StackHCI. For HCI Registration.” 
    }]

Создание кластера

Вам не нужны другие правила брандмауэра, если для создания кластера Azure Stack HCI используется Windows Admin Center или PowerShell.

Регистрация кластера и выставление счетов

Для регистрации кластера требуется модуль PowerShell Az.StackHCI, который не входит в операционную систему Azure Stack HCI. Если вы используете Windows Admin Center или PowerShell, необходимо либо разблокировать *.powershellgallery.com, либо скачать и установить модуль PowerShell Az.StackHCI вручную из коллекция PowerShell.

При необходимости скачайте агент Arc для серверов для регистрации. Это не обязательно, но рекомендуется управлять кластером из портал Azure или использовать службы Arc. Чтобы скачать агент Arc for Servers для регистрации, необходимо разрешить список конечных точек URL-адресов.

Сведения о требованиях к сети для использования агента Connected Machine для подключения физического сервера или виртуальной машины к серверам с поддержкой Azure Arc см. в статье о требованиях к сети агента Connected Machine.

Microsoft Update

Если между операционной системой Azure Stack HCI и Интернетом существует корпоративный брандмауэр, возможно, потребуется настроить этот брандмауэр, чтобы операционная система могла получать обновления. Для получения обновлений из Центра обновления Майкрософт операционная система использует порт 443 для протокола HTTPS. Хотя большинство корпоративных брандмауэров разрешают этот тип трафика, некоторые компании ограничивают доступ к Интернету из-за их политик безопасности. Если ваша компания ограничивает доступ, мы рекомендуем включить URL-адреса и порты, описанные в разделе "Рекомендуемые URL-адреса брандмауэра" , в список разрешений.

Кластерный облачный свидетель

Водить описание не обязательно. Если вы решили использовать облачный свидетель в качестве свидетеля кластера, необходимо разрешить брандмауэру доступ к контейнеру БОЛЬШИХ двоичных объектов Azure, например \[myblobstorage\].blob.core.windows.net.

Требования к брандмауэру для дополнительных служб Azure (необязательно)

В зависимости от дополнительных служб Azure, которые вы включаете в HCI, может потребоваться внести дополнительные изменения в конфигурацию брандмауэра. Дополнительные сведения о требованиях к брандмауэру для каждой службы Azure см. по следующим ссылкам.

• AKS в Azure Stack HCI
• Arc для серверов
• Ресурсный мост Azure Arc
• Портал Azure
• Microsoft Defender
• Microsoft Monitoring Agent (MMA) и агент Log Analytics
• Qualys
• Windows Admin Center;
• Windows Admin Center на портале Azure

Требования к брандмауэру для внутренних правил и портов

Убедитесь, что между всеми узлами сервера открыты правильные сетевые порты как на сайте, так и между сайтами (для растянутых кластеров). Вам потребуются соответствующие правила брандмауэра, чтобы разрешить icMP, SMB (порт 445 и порт 5445 для SMB Direct при использовании iWARP RDMA) и двунаправленный трафик WS-MAN (порт 5985) между всеми серверами в кластере.

При использовании мастера создания кластера в Windows Admin Center для создания кластера мастер автоматически открывает соответствующие порты брандмауэра на каждом сервере кластера для отказоустойчивой кластеризации, Hyper-V и реплики служба хранилища. Если на каждом сервере используется другой брандмауэр, откройте порты, как описано в следующих разделах:

Windows Admin Center;

Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для Windows Admin Center.

Правило	Действие	Источник	Назначение	Служба	порты;
Предоставление доступа к Azure и Центру обновления Майкрософт	Allow	Windows Admin Center;	Azure Stack HCI	TCP	445
Использование Windows удаленного управления (WinRM) 2.0 для HTTP-подключений для выполнения команд на удаленных серверах Windows	Allow	Windows Admin Center;	Azure Stack HCI	TCP	5985
Использование WinRM 2.0 для выполнения подключений HTTPS команды на удаленных серверах Windows	Allow	Windows Admin Center;	Azure Stack HCI	TCP	5986

Примечание

При установке Windows Admin Center, если выбрать параметр "Использовать WinRM только по протоколу HTTPS", требуется порт 5986.

Отказоустойчивая кластеризация

Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для отказоустойчивой кластеризации.

Правило	Действие	Источник	Назначение	Служба	порты;
Разрешить проверку отказоустойчивого кластера	Allow	Система управления	Серверы кластера	TCP	445
Разрешить динамическое выделение портов RPC	Allow	Система управления	Серверы кластера	TCP	Не менее 100 портов выше порта 5000
Разрешить удаленный вызов процедуры (RPC)	Allow	Система управления	Серверы кластера	TCP	135
Разрешить администратору кластера	Allow	Система управления	Серверы кластера	TCP	137
Разрешить службу кластера	Allow	Система управления	Серверы кластера	Протокол UDP	3343
Разрешить службу кластера (требуется во время операция соединения сервера.)	Allow	Система управления	Серверы кластера	TCP	3343
Разрешить ICMPv4 и ICMPv6 для проверки отказоустойчивого кластера	Allow	Система управления	Серверы кластера	Недоступно	Недоступно

Примечание

Система управления включает любой компьютер, с которого планируется администрировать кластер, с помощью таких средств, как Windows Admin Center, Windows PowerShell или System Center Virtual Machine Manager.

Hyper-V

Убедитесь, что в локальном брандмауэре для Hyper-V настроены следующие правила брандмауэра.

Правило	Действие	Источник	Назначение	Служба	порты;
Разрешить обмен данными между кластерами	Allow	Система управления	Сервер Hyper-V	TCP	445
Разрешить сопоставление конечных точек RPC и WMI	Allow	Система управления	Сервер Hyper-V	TCP	135
Разрешить http-подключение	Allow	Система управления	Сервер Hyper-V	TCP	80
Разрешить подключение ПО HTTPS	Allow	Система управления	Сервер Hyper-V	TCP	443
Разрешить динамическую миграцию	Allow	Система управления	Сервер Hyper-V	TCP	6600
Разрешить службу управления виртуальными машинами	Allow	Система управления	Сервер Hyper-V	TCP	2179
Разрешить динамическое выделение портов RPC	Allow	Система управления	Сервер Hyper-V	TCP	Не менее 100 портов выше порта 5000

Примечание

Откройте диапазон портов выше порта 5000, чтобы разрешить динамическое выделение портов RPC. Порты ниже 5000 уже могут использоваться другими приложениями и могут привести к конфликтам с приложениями DCOM. Предыдущий интерфейс показывает, что необходимо открыть не менее 100 портов, так как несколько системных служб используют эти порты RPC для взаимодействия друг с другом. Дополнительные сведения см. в разделе "Настройка динамического распределения портов RPC для работы с брандмауэрами".

служба хранилища реплики (растянутый кластер)

Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для служба хранилища реплики (растянутого кластера).

Правило	Действие	Источник	Назначение	Служба	порты;
Разрешить блокировку сообщений сервера Протокол SMB	Allow	Растянутые серверы кластера	Растянутые серверы кластера	TCP	445
Разрешить веб-Services-Management (WS-MAN)	Allow	Растянутые серверы кластера	Растянутые серверы кластера	TCP	5985
Разрешить ICMPv4 и ICMPv6 (при использовании Test-SRTopology Командлет PowerShell)	Allow	Растянутые серверы кластера	Растянутые серверы кластера	Недоступно	Недоступно

Настройка прокси-сервера

Примечание

Windows Admin Center параметры прокси-сервера и параметры прокси-сервера Azure Stack HCI разделены. Изменение параметров прокси-сервера кластера Azure Stack HCI не влияет на Windows Admin Center исходящий трафик, например подключение к Azure, скачивание расширений и т. д. Установите модуль WinInetProxy, чтобы выполнить команды в этом разделе. Сведения о модуле и его установке см. в коллекция PowerShell | WinInetProxy 0.1.0.

Чтобы настроить прокси-сервер для Azure Stack HCI, выполните следующую команду PowerShell от имени администратора на каждом сервере в кластере:

Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090

ProxySettingsPerUser0 Используйте флаг, чтобы сделать сервер конфигурации прокси-сервера на уровне пользователя, который является значением по умолчанию.

Чтобы удалить конфигурацию прокси-сервера, выполните команду Set-WinInetProxy PowerShell без аргументов.

Сведения о настройке прокси-серверов см. в следующих статьях:

• Сведения о настройке прокси-сервера в AKS в Azure Stack HCI см. в статье "Настройка параметров прокси-сервера в AKS в Azure Stack HCI".
• Сведения о правильной настройке среды HTTPS-PROXY с помощью AKS-HCI см. в статье "Настройка прокси-сервера для Azure Stack HCI" и кластеров Windows Server с параметрами прокси-сервера на уровне компьютера.
• Сведения о настройке прокси-сервера для Arc для серверов см. в разделе "Обновление или удаление параметров прокси-сервера" в разделе "Управление агентом подключенного компьютера и его обслуживание".
• Сведения о настройке прокси-сервера для Microsoft Monitoring Agent (MMA) см. в разделе "Требования к сети" статьи обзора агента Log Analytics.

Обновление брандмауэра Microsoft Defender

В этом разделе показано, как настроить брандмауэр Microsoft Defender для разрешения IP-адресов, связанных с тегом службы, для подключения к операционной системе. Тег службы представляет группу IP-адресов из данной службы Azure. Корпорация Майкрософт управляет IP-адресами, включенными в тег службы, и автоматически обновляет тег службы по мере изменения IP-адресов, чтобы обеспечить минимальное обновление. Дополнительные сведения см. в тегах службы виртуальной сети.

1. Скачайте JSON-файл из следующего ресурса на целевой компьютер под управлением операционной системы: диапазоны IP-адресов Azure и теги служб — общедоступное облако.

2. Чтобы открыть JSON-файл, используйте следующую команду PowerShell:

   $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
   

3. Получите список диапазонов IP-адресов для заданного тега службы, например тег службы AzureResourceManager:

   $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
   

4. Импортируйте список IP-адресов во внешний корпоративный брандмауэр, если с ним используется список разрешений.

5. Создайте правило брандмауэра для каждого сервера в кластере, чтобы разрешить исходящий трафик 443 (HTTPS) в список диапазонов IP-адресов:

   New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
   

Дальнейшие действия

Дополнительные сведения см. также в следующих разделах:

• Раздел портов Windows Брандмауэр и WinRM 2.0 установки и настройки для удаленного управления Windows