Brandväggskrav för Azure Stack HCI
Gäller för: Azure Stack HCI, versionerna 21H2 och 20H2
Det här avsnittet innehåller råd om hur du konfigurerar brandväggar för Azure Stack HCI operativsystemet. Den innehåller anslutningskrav och rekommendationer och förklarar hur tjänsttaggar grupperar IP-adresser i Microsoft Azure som operativsystemet behöver åtkomst till. Avsnittet innehåller också steg för att Microsoft Defender-brandväggen och information om hur du ställer in en proxyserver.
Anslutningskrav och rekommendationer
Att öppna port 443 för utgående nätverkstrafik i organisationens brandvägg uppfyller anslutningskraven för att operativsystemet ska kunna ansluta till Azure och Microsoft Update. Om den utgående brandväggen är begränsad rekommenderar vi att du inkluderar URL:er och portar som beskrivs i listan över tillåtna anslutningsrekommendationer i det här avsnittet.
Anslutningskrav för Azure
Azure Stack HCI måste regelbundet ansluta till Azure. Åtkomsten är begränsad till endast:
- Välkända Azure-IP-adresser
- Utgående riktning
- Port 443 (HTTPS)
Det här avsnittet beskriver hur du om du vill använda en mycket låst brandväggskonfiguration för att blockera all trafik till alla mål utom de som ingår i din lista över tillåtna.
Som du ser i följande diagram har Azure Stack HCI åtkomst till Azure med hjälp av fler än en brandvägg.
Microsoft Update anslutningskrav
Om det finns en företagsbrandvägg mellan operativsystemet och Internet kan du behöva konfigurera brandväggen för att säkerställa att operativsystemet kan hämta uppdateringar. För att hämta uppdateringar Microsoft Update använder operativsystemet port 443 för HTTPS-protokollet. Även om de flesta företagsbrandvägger tillåter den här typen av trafik begränsar vissa företag Internetåtkomsten på grund av deras säkerhetsprinciper. Om ditt företag begränsar åtkomsten måste du få auktorisering för att tillåta Internetåtkomst till följande webbadresser:
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- http://download.windowsupdate.com
- https://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
- http://go.microsoft.com
- http://dl.delivery.mp.microsoft.com
- https://dl.delivery.mp.microsoft.com
Brandväggsregler och portkrav för nätverk
Se till att rätt nätverksportar är öppna mellan alla servernoder både inom en plats och mellan platser (för stretchkluster). Du behöver lämpliga brandväggsregler för att tillåta dubbelriktad trafik med ICMP, SMB (port 445 plus port 5445 för SMB Direct om du använder iWARP RDMA) och WS-MAN (port 5985) mellan alla servrar i klustret.
När du använder guiden Skapa kluster i administrationscentret för Windows för att skapa klustret öppnar guiden automatiskt lämpliga brandväggsportar på varje server i klustret för redundansklustring, Hyper-V och Storage Replica. Om du använder olika brandväggar på varje server öppnar du portarna i följande avsnitt:
Windows Admin Center
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Windows Administrationscenter.
| Regel | Åtgärd | Källa | Mål | Tjänst | Portar |
|---|---|---|---|---|---|
| Ge åtkomst till Azure och Microsoft Update | Tillåt | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Använda Windows Remote Management (WinRM) 2.0 för HTTP-anslutningar för att köra kommandon på Windows fjärrservrar |
Tillåt | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Använda WinRM 2.0 för att köra HTTPS-anslutningar kommandon på Windows fjärrservrar |
Tillåt | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Anteckning
Om du Windows inställningen Använd endast WinRM över HTTPS när du installerar administrationscentret krävs port 5986.
Redundanskluster
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för redundansklustring.
| Regel | Åtgärd | Källa | Mål | Tjänst | Portar |
|---|---|---|---|---|---|
| Tillåt verifiering av redundanskluster | Tillåt | Windows Admin Center | Klusterservrar | TCP | 445 |
| Tillåt dynamisk RPC-portallokering | Tillåt | Windows Admin Center | Klusterservrar | TCP | Minst 100 portar ovanför port 5000 |
| Tillåt RPC (Remote Procedure Call) | Tillåt | Windows Admin Center | Klusterservrar | TCP | 135 |
| Tillåt klusteradministratör | Tillåt | Windows Admin Center | Klusterservrar | TCP | 137 |
| Tillåt klustertjänst | Tillåt | Windows Admin Center | Klusterservrar | UDP | 3343 |
| Tillåt klustertjänst (krävs under en serverkopplingsåtgärd.) |
Tillåt | Windows Admin Center | Klusterservrar | TCP | 3343 |
| Tillåt ICMPv4 och ICMPv6 för verifiering av redundanskluster |
Tillåt | Windows Admin Center | Klusterservrar | saknas | saknas |
Anteckning
Öppna ett portintervall över port 5000 för att tillåta dynamisk RPC-portallokering. Portar under 5 000 kanske redan används av andra program och kan orsaka konflikter med DCOM-program. Tidigare erfarenhet visar att minst 100 portar bör öppnas, eftersom flera systemtjänster förlitar sig på dessa RPC-portar för att kommunicera med varandra. Mer information. Se Så här konfigurerar du dynamisk RPC-portallokering så att den fungerar med brandväggar.
Hyper-V
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Hyper-V.
| Regel | Åtgärd | Källa | Mål | Tjänst | Portar |
|---|---|---|---|---|---|
| Tillåt klusterkommunikation | Tillåt | Windows Admin Center | Hyper-V-server | TCP | 445 |
| Tillåt RPC-slutpunktsmappning och WMI | Tillåt | Windows Admin Center | Hyper-V-server | TCP | 135 |
| Tillåt HTTP-anslutning | Tillåt | Windows Admin Center | Hyper-V-server | TCP | 80 |
| Tillåt HTTPS-anslutning | Tillåt | Windows Admin Center | Hyper-V-server | TCP | 443 |
| Tillåt direktmigrering | Tillåt | Windows Admin Center | Hyper-V-server | TCP | 6600 |
| Tillåt VM-hanteringstjänst | Tillåt | Windows Admin Center | Hyper-V-server | TCP | 2179 |
| Tillåt dynamisk RPC-portallokering | Tillåt | Windows Admin Center | Hyper-V-server | TCP | Minst 100 portar ovanför port 5000 |
Storage Replik (stretchkluster)
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Storage Replica (stretchkluster).
| Regel | Åtgärd | Källa | Mål | Tjänst | Portar |
|---|---|---|---|---|---|
| Tillåt Server Message Block (SMB)-protokoll |
Tillåt | Stretchklusterservrar | Stretchklusterservrar | TCP | 445 |
| Tillåt Services-Management (WS-MAN) |
Tillåt | Stretchklusterservrar | Stretchklusterservrar | TCP | 5985 |
| Tillåt ICMPv4 och ICMPv6 (om du använder Test-SRTopologyPowerShell-cmdlet) |
Tillåt | Stretchklusterservrar | Stretchklusterservrar | saknas | saknas |
Anslutningsrekommendationer
Om din utgående brandvägg är begränsad rekommenderar vi att du lägger till följande URL:er och portar i det här avsnittet i listan över tillåtna.
| Beskrivning | URL | Port | Riktning |
|---|---|---|---|
| Azure Portal URL för kringgå proxy | *.aadcdn.microsoftonline-p.com |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.aka.ms |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.applicationinsights.io |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.azure.com |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.azure.net |
80 443 | Utgående |
| Azure Stack HCI Cloud Service | *.azurefd.net |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.azure-api.net |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.azuredatalakestore.net |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.azureedge.net |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.loganalytics.io |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.microsoft.com |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.microsoftonline.com |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.microsoftonline-p.com |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.msauth.net |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.msftauth.net |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.trafficmanager.net |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.visualstudio.com |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.windows.net |
80 443 | Utgående |
| Azure Portal URL för kringgå proxy | *.windows-int.net |
80 443 | Utgående |
| Windows Update | *.windowsupdate.com |
80 443 | Utgående |
| Microsoft Office | www.office.com |
80 443 | Utgående |
| Azure Automation för Azure-hanteringsuppgifter | *.azure-automation.net |
80 443 | Utgående |
| Agent för att ladda ned Helm-binärfiler | *.helm.sh |
443 | Utgående |
| Cloud Init-tjänsten för att ladda ned Kubernetes-binärfiler | storage.googleapis.com |
443 | Utgående |
| Windows Administrationscenter för att ladda ned Azure CLI | aka.ms/installazurecliwindows |
443 | Utgående |
| Kubernetes-tjänsten för att ladda ned containeravbildningar | ecpacr.azurecr.io |
443 | Utgående |
| TCP för att stödja Azure Arc agenter | git://:9418 |
9,418 | Utgående |
| PowerShell-galleriet central lagringsplats | *.powershellgallery.com |
80 443 | Utgående |
| Webbvärdplattform som stöder flera tekniker | *.azurewebsites.net |
443 | Utgående |
| Content Delivery Network (CDN) | *.msecnd.net |
443 | Utgående |
Mer information om anslutningsrekommendationerna och andra finns i följande resurser:
- Tillåt Azure Portal url:er på brandväggen eller proxyservern
- Azure Arc nätverkskonfiguration
- PowerShell-galleriet URL:er för att installera komponenter, till exempel NuGet och andra
- Information om åtkomst till Azure Kubernetes Service, Google-API:er, Helm med mera finns i Azure Kubernetes Service på Azure Stack HCI för nätverksportar och URL-krav
Arbeta med tjänsttaggar
En tjänsttagg representerar en grupp med IP-adresser från en viss Azure-tjänst. Microsoft hanterar IP-adresserna som ingår i tjänsttaggen och uppdaterar automatiskt tjänsttaggen när IP-adresserna ändras för att hålla uppdateringar till ett minimum. Mer information finns i Tjänsttaggar för virtuellt nätverk.
Viktigt
Om den utgående anslutningen begränsas av din externa företagsbrandvägg eller proxyserver ska du se till att url:erna som anges i tabellen nedan inte blockeras. Mer information finns i avsnittet "Nätverkskonfiguration" i Översikt över Azure Arc-aktiverad serveragent.
Obligatorisk daglig slutpunktsåtkomst (efter Azure-registrering)
Azure har välkända IP-adresser för Azure-tjänster som ordnas med hjälp av tjänsttaggar. Azure publicerar en veckovis JSON-fil med alla IP-adresser för varje tjänst. IP-adresserna ändras inte ofta, men de ändras några gånger per år. I följande tabell visas de tjänsttaggslutpunkter som operativsystemet behöver åtkomst till.
| Description | Tjänsttagg för IP-intervall | URL | Webbadress till Azure Kina |
|---|---|---|---|
| Azure Active Directory | AzureActiveDirectory | https://login.microsoftonline.comhttps://graph.microsoft.comhttps://graph.windows.net |
https://login.partner.microsoftonline.cnhttps://microsoftgraph.chinacloudapi.cnhttps://graph.chinacloudapi.cn |
| Azure Resource Manager | AzureResourceManager | https://management.azure.com |
https://management.chinacloudapi.cn |
| Azure Stack HCI Cloud Service | AzureFrontDoor.Frontend AzureCloud.ChinaEast2 (Azure China) |
https://azurestackhci.azurefd.net |
https://dp.stackhci.azure.cn |
| Azure Arc | AzureArcInfrastructure AzureTrafficManager |
Beror på vilka funktioner du vill använda: Hybrididentitetstjänst: *.his.arc.azure.comGästkonfiguration: *.guestconfiguration.azure.comObservera: Förvänta dig fler URL:er när vi aktiverar fler funktioner. |
Kommer snart. |
Uppdatera Microsoft Defender-brandväggen
Det här avsnittet visar hur du konfigurerar Microsoft Defender-brandväggen att tillåta IP-adresser som är associerade med en tjänsttagg för att ansluta till operativsystemet:
Ladda ned JSON-filen från följande resurs till måldatorn som kör operativsystemet: Azure IP-intervall och tjänsttaggar – offentligt moln.
Använd följande PowerShell-kommando för att öppna JSON-filen:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonHämta listan över IP-adressintervall för en viss tjänsttagg, till exempel tjänsttaggen "AzureResourceManager":
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportera listan över IP-adresser till din externa företagsbrandvägg om du använder en lista över tillåtna med den.
Skapa en brandväggsregel för varje server i klustret för att tillåta utgående 443-trafik (HTTPS) till listan över IP-adressintervall:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Ytterligare slutpunkt för Azure-registrering en gång
När du kör antingen eller använder Windows Admin Center under Azure-registreringen försöker cmdleten kontakta PowerShell-galleriet för att kontrollera att du har den senaste versionen av de PowerShell-moduler som krävs, till exempel Register-AzStackHCI Az och AzureAD.
Även om PowerShell-galleriet finns i Azure finns det för närvarande ingen tjänsttagg för den. Om du inte kan köra cmdleten från en servernod på grund av ingen Internetåtkomst rekommenderar vi att du laddar ned modulerna till hanteringsdatorn och sedan överför dem manuellt till servernoden där du vill köra Register-AzStackHCI cmdleten.
Konfigurera en proxyserver
Det här avsnittet visar hur du ställer in en proxyserver för klustret.
Anteckning
Windows proxyinställningar och proxyinställningar Azure Stack HCI Administrationscenter är separata. Att Azure Stack HCI inställningar för klusterproxy påverkar inte utgående trafik Windows Administrationscenter, till exempel att ansluta till Azure, ladda ned tillägg och så vidare.
Installera WinInetProxy-modulen för att köra kommandona i det här avsnittet. Information om modulen och hur du installerar den finns i PowerShell-galleriet | WinInetProxy 0.1.0.
Om du vill konfigurera en proxyserver Azure Stack HCI kör du följande PowerShell-kommando som administratör på varje server i klustret:
Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090
Använd flaggan ProxySettingsPerUser 0 för att göra proxykonfigurationen serveromfattande i stället för per användare, vilket är standardinställningen.
Om du vill ta bort proxykonfigurationen kör du PowerShell-kommandot Set-WinInetProxy utan argument.
Nästa steg
Mer information finns i:
- Avsnittet Windows Firewall och WinRM 2.0-portar i Installation och konfiguration Windows Fjärrhantering