Konfigurera brand väggar för Azure Stack HCIConfigure firewalls for Azure Stack HCI

Gäller för: Azure Stack HCI, version 20H2Applies to: Azure Stack HCI, version 20H2

Det här avsnittet innehåller anvisningar om hur du konfigurerar brand väggar för operativ systemet Azure Stack HCI.This topic provides guidance on how to configure firewalls for the Azure Stack HCI operating system. Den innehåller anslutnings krav och förklarar hur service märken grupperar IP-adresser i Azure som operativ systemet behöver ha åtkomst till.It includes connectivity requirements, and explains how service tags group IP addresses in Azure that the operating system needs to access. Avsnittet innehåller också steg för att uppdatera Microsoft Defender-brandväggen.The topic also provides steps to update Microsoft Defender Firewall.

Anslutnings kravConnectivity requirements

Azure Stack HCI måste regelbundet ansluta till Azure.Azure Stack HCI needs to periodically connect to Azure. Åtkomst är begränsad till endast:Access is limited to only:

  • Välkända Azure IP-adresserWell-known Azure IPs
  • Utgående riktningOutbound direction
  • Port 443 (HTTPS)Port 443 (HTTPS)

Mer information finns i avsnittet "Azure Stack HCI-anslutning" i vanliga frågor och svar om Azure Stack HCIFor more information, see the "Azure Stack HCI connectivity" section of the Azure Stack HCI FAQ

I det här avsnittet beskrivs hur du kan använda en mycket låst brand Väggs konfiguration för att blockera all trafik till alla destinationer förutom de som ingår i listan över tillåtna.This topic describes how to optionally use a highly locked-down firewall configuration to block all traffic to all destinations except those included on your allow list.

Viktigt

Om den utgående anslutningen begränsas av den externa företags brand väggen eller proxyservern kontrollerar du att de URL: er som anges i tabellen nedan inte är blockerade.If outbound connectivity is restricted by your external corporate firewall or proxy server, ensure that the URLs listed in the table below are not blocked. Relaterad information finns i avsnittet "nätverks konfiguration" i Översikt över Azure Arc-aktiverade Server agenter.For related information, see the "Networking configuration" section of Overview of Azure Arc enabled servers agent.

Som visas nedan kan Azure Stack HCI komma åt Azure med mer än en brand vägg.As shown below, Azure Stack HCI accesses Azure using more than one firewall potentially.

Diagrammet visar Azure Stack HCI-slutpunkter för åtkomst till tjänsten via port 443 (HTTPS) i brand väggar.

Arbeta med service märkenWorking with service tags

En service-tagg representerar en grupp med IP-adresser från en specifik Azure-tjänst.A service tag represents a group of IP addresses from a given Azure service. Microsoft hanterar IP-adresserna som ingår i tjänst tag gen och uppdaterar automatiskt tjänst tag gen som IP-adresser ändras för att hålla uppdateringar till ett minimum.Microsoft manages the IP addresses included in the service tag, and automatically updates the service tag as IP addresses change to keep updates to a minimum. Mer information finns i tjänst taggar för virtuella nätverk.To learn more, see Virtual network service tags.

Nödvändig daglig åtkomst till slut punkt (efter Azure-registrering)Required endpoint daily access (after Azure registration)

Azure upprätthåller välkända IP-adresser för Azure-tjänster som organiseras med hjälp av service märken.Azure maintains well-known IP addresses for Azure services that are organized using service tags. Azure publicerar en veckovis JSON-fil med alla IP-adresser för varje tjänst.Azure publishes a weekly JSON file of all the IP addresses for every service. IP-adresserna ändras inte ofta, men de ändras några gånger per år.The IP addresses don’t change often, but they do change a few times per year. I följande tabell visas de service tag-slutpunkter som operativ systemet behöver ha åtkomst till.The following table shows the service tag endpoints that the operating system needs to access.

BeskrivningDescription Service tag för IP-intervallService tag for IP range URLURL
Azure Active DirectoryAzure Active Directory AzureActiveDirectoryAzureActiveDirectory https://login.microsoftonline.com
https://graph.microsoft.com
Azure Resource ManagerAzure Resource Manager AzureResourceManagerAzureResourceManager https://management.azure.com
Azure Stack HCI-moln tjänstAzure Stack HCI Cloud Service AzureFrontDoor. frontendAzureFrontDoor.Frontend https://azurestackhci.azurefd.net
Azure ArcAzure Arc AzureArcInfrastructureAzureArcInfrastructure
AzureTrafficManagerAzureTrafficManager
Beror på vilka funktioner du vill använda:Depends on the functionality you want to use:
Hybrid identitets tjänst: *.his.arc.azure.comHybrid Identity Service: *.his.arc.azure.com
Gäst konfiguration: *.guestconfiguration.azure.comGuest Configuration: *.guestconfiguration.azure.com
Obs: Vi förväntar dig fler URL: er när vi aktiverar fler funktioner.Note: Expect more URLs as we enable more functionality.

Uppdatera Microsoft Defender-brandväggenUpdate Microsoft Defender Firewall

I det här avsnittet visas hur du konfigurerar Microsoft Defender-brandväggen så att IP-adresser som är kopplade till ett service tag kan ansluta till operativ systemet:This section shows how to configure Microsoft Defender Firewall to allow IP addresses associated with a service tag to connect with the operating system:

  1. Ladda ned JSON-filen från följande resurs till mål datorn som kör operativ systemet: Azure IP-intervall och service märken – offentligt moln.Download the JSON file from the following resource to the target computer running the operating system: Azure IP Ranges and Service Tags – Public Cloud.

  2. Använd följande PowerShell-kommando för att öppna JSON-filen:Use the following PowerShell command to open the JSON file:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Hämta listan över IP-adressintervall för en specifik service tag, till exempel service tag gen "AzureResourceManager":Get the list of IP address ranges for a given service tag, such as the “AzureResourceManager” service tag:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importera listan med IP-adresser till din externa företags brand vägg, om du använder en lista över tillåtna.Import the list of IP addresses to your external corporate firewall, if you're using an allow list with it.

  5. Skapa en brand Väggs regel för varje server i klustret för att tillåta utgående 443-trafik (HTTPS) till listan över IP-adressintervall:Create a firewall rule for each server in the cluster to allow outbound 443 (HTTPS) traffic to the list of IP address ranges:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Ytterligare slut punkt för Azure-registrering vid ett tillfälleAdditional endpoint for one-time Azure registration

Under Azure registrerings processen Register-AzStackHCI försöker cmdleten att kontakta PowerShell-galleriet för att kontrol lera att du har den senaste versionen av de nödvändiga PowerShell-modulerna, till exempel AZ och AzureAD, när du kör eller använder Windows administrations Center.During the Azure registration process, when you run either Register-AzStackHCI or use Windows Admin Center, the cmdlet tries to contact the PowerShell Gallery to verify that you have the latest version of required PowerShell modules, such as Az and AzureAD. Även om PowerShell-galleriet finns i Azure finns det för närvarande ingen service tag-kod för den.Although the PowerShell Gallery is hosted on Azure, currently there isn't a service tag for it. Om du inte kan köra Register-AzStackHCI cmdleten från en servernod på grund av att det inte finns någon Internet åtkomst, rekommenderar vi att du hämtar modulerna till hanterings datorn och sedan manuellt överför dem till den servernod där du vill köra cmdleten.If you can't run the Register-AzStackHCI cmdlet from a server node because of no internet access, we recommend downloading the modules to your management computer, and then manually transferring them to the server node where you want to run the cmdlet.

Nästa stegNext steps

Mer information finns i också:For more information, see also: