Güvenlik duvarı gereksinimleri Azure Stack HCI
Uygulama: Azure Stack HCI, sürüm 21H2 ve 20H2
Bu konu, işletim sistemi için güvenlik duvarlarını yapılandırma hakkında Azure Stack HCI sağlar. Bağlantı gereksinimlerini ve önerilerini içerir ve hizmet etiketlerinin işletim sisteminin erişmesi gereken Microsoft Azure ip adreslerini nasıl grupla olduğunu açıklar. Bu konu ayrıca sunucuyu Microsoft Defender Güvenlik Duvarı adımlarını ve ara sunucu ayarlama hakkında bilgi sağlar.
Bağlantı gereksinimleri ve öneriler
Kuruluş güvenlik duvarında giden ağ trafiği için 443 bağlantı noktasının açılması, işletim sisteminin Azure'a ve güvenlik duvarına bağlanmasına Microsoft Update. Giden güvenlik duvarınız kısıtlanmışsa, bu konunun Bağlantı önerileri izin verme listesi bölümünde açıklanan URL'leri ve bağlantı noktalarını dahil edin.
Azure bağlantı gereksinimleri
Azure Stack HCI Azure'a düzenli aralıklarla bağlanması gerekir. Erişim yalnızca şu şekilde sınırlıdır:
- İyi bilinen Azure IP'leri
- Giden yönü
- Bağlantı noktası 443 (HTTPS)
Bu konu, izin verme listenize dahil olanlar dışında tüm hedeflere gelen tüm trafiği engellemek için isteğe bağlı olarak yüksek oranda kilitli bir güvenlik duvarı yapılandırmasını nasıl kullanabileceğinizi açıklar.
Aşağıdaki diyagramda gösterildiği gibi, Azure Stack HCI birden fazla güvenlik duvarı kullanarak Azure'a erişebilirsiniz.
Microsoft Update gereksinimleri
İşletim sistemi ile İnternet arasında kurumsal bir güvenlik duvarı varsa, işletim sisteminin güncelleştirmeleri edinene kadar bu güvenlik duvarını yapılandırmanız gerekebilir. İşletim sistemi, Microsoft Update https protokolü için 443 bağlantı noktasını kullanır. Çoğu şirket güvenlik duvarı bu tür trafiğe izin verse de, bazı şirketler güvenlik ilkeleri nedeniyle İnternet erişimini kısıtlar. Şirket erişimi kısıtlarsa, aşağıdaki URL'lere İnternet erişimine izin vermek için yetkilendirme elde etmek gerekir:
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- http://download.windowsupdate.com
- https://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
- http://go.microsoft.com
- http://dl.delivery.mp.microsoft.com
- https://dl.delivery.mp.microsoft.com
Ağ güvenlik duvarı kuralları ve bağlantı noktası gereksinimleri
Hem site içindeki hem de siteler arasında (esnetilmiş kümeler için) tüm sunucu düğümleri arasında düzgün ağ bağlantı noktalarının açık olduğundan emin olun. Kümedeki tüm sunucular arasında ICMP, SMB (bağlantı noktası 445 ve iWARP RDMA kullanıyorsanız Doğrudan Erişimli SMB için 5445 bağlantı noktası) ve WS-MAN (bağlantı noktası 5985) trafiğine izin vermek için uygun güvenlik duvarı kurallarına ihtiyacınız vardır.
Kümeyi oluşturmak için Windows Yönetim Merkezi'nde Küme Oluşturma sihirbazı kullanılırken, sihirbaz otomatik olarak Yük Devretme Kümelemi, Hyper-V ve Depolama Çoğaltması için kümenin her bir sunucusunda uygun güvenlik duvarı bağlantı noktalarını açar. Her sunucuda farklı bir güvenlik duvarı kullanıyorsanız, aşağıdaki bölümlerde bağlantı noktalarını açın:
Windows Yönetim Merkezi
Yönetim Merkezi'nde aşağıdaki güvenlik duvarı kurallarının şirket içi güvenlik duvarında yapılandırıldığından Windows olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı noktaları |
|---|---|---|---|---|---|
| Azure'a ve Microsoft Update | İzin Ver | Windows Yönetim Merkezi | Azure Stack HCI | TCP | 445 |
| Uzaktan Windows (WinRM) 2.0 kullanma HTTP bağlantılarının komut çalıştırması için uzak Windows sunucularında |
İzin Ver | Windows Yönetim Merkezi | Azure Stack HCI | TCP | 5985 |
| HTTPS bağlantılarının çalışması için WinRM 2.0 kullanın uzak sunucularda Windows komutları |
İzin Ver | Windows Yönetim Merkezi | Azure Stack HCI | TCP | 5986 |
Not
Yönetim Merkezi Windows i yüklerken, WinRM'yi yalnızca HTTPS üzerinden kullan ayarını belirtirseniz 5986 bağlantı noktası gereklidir.
Yük Devretme Kümelemesi
Yük Devretme Kümesi için şirket içi güvenlik duvarında aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı noktaları |
|---|---|---|---|---|---|
| Yük Devretme Kümesi doğrulamasına izin ver | İzin Ver | Windows Yönetim Merkezi | Küme sunucuları | TCP | 445 |
| RPC dinamik bağlantı noktası ayırmaya izin ver | İzin Ver | Windows Yönetim Merkezi | Küme sunucuları | TCP | En az 100 bağlantı noktası yukarıdaki bağlantı noktası 5000 |
| Uzaktan Yordam Çağrısına İzin Ver (RPC) | İzin Ver | Windows Yönetim Merkezi | Küme sunucuları | TCP | 135 |
| Küme Yöneticisine İzin Ver | İzin Ver | Windows Yönetim Merkezi | Küme sunucuları | TCP | 137 |
| Küme Hizmetine İzin Ver | İzin Ver | Windows Yönetim Merkezi | Küme sunucuları | UDP | 3343 |
| Küme Hizmetine İzin Ver (Şu süre boyunca gereklidir: bir sunucu birleştirme işlemi.) |
İzin Ver | Windows Yönetim Merkezi | Küme sunucuları | TCP | 3343 |
| ICMPv4 ve ICMPv6'ya izin ver Yük Devretme Kümesi doğrulaması için |
İzin Ver | Windows Yönetim Merkezi | Küme sunucuları | yok | yok |
Not
RPC dinamik bağlantı noktası ayırmaya izin vermek için 5000 bağlantı noktası üzerinde bir bağlantı noktası aralığı açın. 5000'in altındaki bağlantı noktaları başka uygulamalar tarafından zaten kullanıyor olabilir ve DCOM uygulamalarıyla çakışmalara neden olabilir. Önceki deneyim, birkaç sistem hizmeti birbirleriyle iletişim kurmak için bu RPC bağlantı noktalarına bağlı olduğundan en az 100 bağlantı noktasının açılması gerektiğini gösterir. Daha fazla bilgi için. Bkz. RPC dinamik bağlantı noktası ayırmayı güvenlik duvarları ile çalışacak şekilde yapılandırma.
Hyper-V
Hyper-V için şirket içi güvenlik duvarında aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı noktaları |
|---|---|---|---|---|---|
| Küme iletişimlerine izin ver | İzin Ver | Windows Yönetim Merkezi | Hyper-V sunucusu | TCP | 445 |
| RPC Uç Nokta Eşleyicisi ve WMI'ye İzin Ver | İzin Ver | Windows Yönetim Merkezi | Hyper-V sunucusu | TCP | 135 |
| HTTP bağlantısına izin ver | İzin Ver | Windows Yönetim Merkezi | Hyper-V sunucusu | TCP | 80 |
| HTTPS bağlantısına izin ver | İzin Ver | Windows Yönetim Merkezi | Hyper-V sunucusu | TCP | 443 |
| İzin Dinamik Geçiş | İzin Ver | Windows Yönetim Merkezi | Hyper-V sunucusu | TCP | 6600 |
| VM Yönetim Hizmetine İzin Ver | İzin Ver | Windows Yönetim Merkezi | Hyper-V sunucusu | TCP | 2179 |
| RPC dinamik bağlantı noktası ayırmaya izin ver | İzin Ver | Windows Yönetim Merkezi | Hyper-V sunucusu | TCP | En az 100 bağlantı noktası yukarıdaki bağlantı noktası 5000 |
Depolama Çoğaltma (esnetilmiş küme)
Depolama Çoğaltma (esnetilmiş küme) için şirket içi güvenlik duvarında aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı noktaları |
|---|---|---|---|---|---|
| Sunucu İleti Bloğuna İzin Ver (SMB) protokolü |
İzin Ver | Esnetilmiş küme sunucuları | Esnetilmiş küme sunucuları | TCP | 445 |
| Web uygulamasına izin Services-Management (WS-MAN) |
İzin Ver | Esnetilmiş küme sunucuları | Esnetilmiş küme sunucuları | TCP | 5985 |
| ICMPv4 ve ICMPv6'ya izin ver (kullanıyorsanız Test-SRTopologyPowerShell cmdlet 'i) |
İzin Ver | Uzatılmış küme sunucuları | Uzatılmış küme sunucuları | yok | yok |
Bağlantı önerileri
Giden güvenlik duvarınız kısıtlanıyorsa, bu bölümdeki aşağıdaki URL 'Leri ve bağlantı noktalarını allowlist 'nize eklemeniz önerilir.
| Açıklama | URL | Bağlantı noktası | Yön |
|---|---|---|---|
| Proxy atlama için Azure portal URL 'SI | *.aadcdn.microsoftonline-p.com |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.aka.ms |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.applicationinsights.io |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.azure.com |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.azure.net |
80,443 | Giden |
| Azure Stack HCı bulut hizmeti | *.azurefd.net |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.azure-api.net |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.azuredatalakestore.net |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.azureedge.net |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.loganalytics.io |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.microsoft.com |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.microsoftonline.com |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.microsoftonline-p.com |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.msauth.net |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.msftauth.net |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.trafficmanager.net |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.visualstudio.com |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.windows.net |
80,443 | Giden |
| Proxy atlama için Azure portal URL 'SI | *.windows-int.net |
80,443 | Giden |
| Windows Update | *.windowsupdate.com |
80,443 | Giden |
| Microsoft Office | www.office.com |
80,443 | Giden |
| Azure yönetim görevleri için Azure Otomasyonu hizmeti | *.azure-automation.net |
80,443 | Giden |
| Held ikililerini indirmek için aracı | *.helm.sh |
443 | Giden |
| Kubernetes ikililerini indirmek için Cloud Init hizmeti | storage.googleapis.com |
443 | Giden |
| Azure clı 'yı indirmek için yönetim merkezi Windows | aka.ms/installazurecliwindows |
443 | Giden |
| Kapsayıcı görüntülerini indirmek için Kubernetes hizmeti | ecpacr.azurecr.io |
443 | Giden |
| Azure Arc aracılarını desteklemek için TCP | git://:9418 |
9.418 | Giden |
| PowerShell Galerisi merkezi depo | *.powershellgallery.com |
80,443 | Giden |
| Birden çok teknolojiyi destekleyen Web barındırma platformu | *.azurewebsites.net |
443 | Giden |
| Content Delivery Network (CDN) indirmeleri | *.msecnd.net |
443 | Giden |
Bu bağlantı önerileri ve diğerleri hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:
- Güvenlik duvarınız Azure portal ara sunucunuzda url'lere izin verme
- Azure Arc ağ yapılandırması
- PowerShell Galerisi NuGet ve diğerleri gibi bileşenleri yüklemek için URL'ler
- Azure Kubernetes Service, Google API'leri, Helm ve daha fazlası için bkz. Azure Stack HCI üzerinde Azure Kubernetes Service bağlantı noktası ve URL gereksinimleri
Hizmet etiketleriyle çalışma
Hizmet etiketi, belirli bir Azure hizmetinin IP adresi grubunu temsil eder. Microsoft, hizmet etiketine dahil edilen IP adreslerini yönetir ve GÜNCELLEŞTIRMEleri en düşük düzeyde tutmak için IP adresleri değiştiklerinde hizmet etiketini otomatik olarak günceller. Daha fazla bilgi için bkz. Sanal ağ hizmeti etiketleri.
Önemli
Giden bağlantı dış şirket güvenlik duvarınız veya ara sunucunuz tarafından kısıtlanmışsa, aşağıdaki tabloda listelenen URL'lerin engellenmiş olduğundan emin olun. İlgili bilgiler için, etkin sunucular aracılarının genel bakış bölümündeki "Ağ Azure Arc" bölümüne bakın.
Gerekli uç nokta günlük erişimi (Azure kaydı sonrasında)
Azure, hizmet etiketleri kullanılarak düzenlenen Azure hizmetleri için iyi bilinen IP adreslerini sürdürür. Azure, her hizmet için tüm IP adreslerinin haftalık bir JSON dosyasını yayımlar. IP adresleri sık sık değişmez, ancak yılda birkaç kez değişir. Aşağıdaki tablo, işletim sisteminin erişmesi gereken hizmet etiketi uç noktalarını gösterir.
| Description | IP aralığı için hizmet etiketi | URL | Azure Çin URL'si |
|---|---|---|---|
| Azure Active Directory | AzureActiveDirectory | https://login.microsoftonline.comhttps://graph.microsoft.comhttps://graph.windows.net |
https://login.partner.microsoftonline.cnhttps://microsoftgraph.chinacloudapi.cnhttps://graph.chinacloudapi.cn |
| Azure Resource Manager | AzureResourceManager | https://management.azure.com |
https://management.chinacloudapi.cn |
| Azure Stack HCI Cloud Service | AzureFrontDoor.Frontend AzureCloud.ChinaEast2 (Azure Çin) |
https://azurestackhci.azurefd.net |
https://dp.stackhci.azure.cn |
| Azure Arc | AzureArcInfrastructure AzureTrafficManager |
Kullanmak istediğiniz işleve bağlıdır: Karma Kimlik Hizmeti: *.his.arc.azure.comKonuk Yapılandırması: *.guestconfiguration.azure.comNot: Daha fazla işleve olanak sağladığımız için daha fazla URL'yi beklemeniz gerekir. |
Çok yakında. |
Güncelleştirme Microsoft Defender Güvenlik Duvarı
Bu bölümde, bir hizmet Microsoft Defender Güvenlik Duvarı ip adreslerinin işletim sistemine bağlanmasına izin verecek şekilde yapılandırmayı gösterir:
JSON dosyasını aşağıdaki kaynaktan işletim sistemini çalıştıran hedef bilgisayara indirin: Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut.
JSON dosyasını açmak için aşağıdaki PowerShell komutunu kullanın:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json"AzureResourceManager" hizmet etiketi gibi, verilen bir hizmet etiketi için IP adresi aralıklarının listesini alır:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesBir izin verme listesi kullanıyorsanız, IP adresi listesini dış şirket güvenlik duvarınıza aktarın.
IP adresi aralıkları listesine giden 443 (HTTPS) trafiğine izin vermek için kümede her sunucu için bir güvenlik duvarı kuralı oluşturun:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Tek kullanımlık Azure kaydı için ek uç nokta
Azure kayıt işlemi sırasında, Windows Yönetim Merkezi'ni çalıştırarak veya bunu kullanırken, cmdlet Az ve AzureAD gibi gerekli PowerShell modüllerinin en son sürümüne sahip olduğunu doğrulamak için PowerShell Galerisi ile iletişim kurmaya Register-AzStackHCI çalışır.
Uygulama PowerShell Galerisi Azure'da barındırılmaktadır ancak şu anda bunun için bir hizmet etiketi yok. cmdlet'ini İnternet erişiminden dolayı bir sunucu düğümünden çalıştıramazsanız, modülleri yönetim bilgisayarınıza indirmenizi ve ardından cmdlet'i çalıştırmak istediğiniz sunucu düğümüne el ile aktarmanızı Register-AzStackHCI öneririz.
Proxy sunucusu ayarlama
Bu bölümde, kümeniz için bir proxy sunucusu ayarlamayı gösterir.
Not
Windows Merkezi proxy ayarları ve Azure Stack HCI ara sunucu ayarları ayrıdır. Küme Azure Stack HCI ayarlarını değiştirmek, Azure'a Windows, uzantıları indirme gibi Yönetim Merkezi giden trafiğini etkilemez.
Bu bölümdeki komutları çalıştırmak için WinInetProxy modülünü yükleyin. Modül ve yükleme hakkında bilgi için bkz. PowerShell Galerisi | WinInetProxy 0.1.0.
Azure Stack HCI için bir ara sunucu ayarlamak için, kümede her sunucuda yönetici olarak aşağıdaki PowerShell komutunu çalıştırın:
Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer webproxy1.com:9090
Ara sunucu yapılandırmayı kullanıcı başına değil sunucu genelinde yapmak için bayrağını kullanın. Bu ProxySettingsPerUser 0 varsayılan değerdir.
Proxy yapılandırmasını kaldırmak için PowerShell komutunu bağımsız değişkenler Set-WinInetProxy olmadan çalıştırın.
Sonraki adımlar
Daha fazla bilgi için bkz.
- Uzaktan Windows için Yükleme ve yapılandırma'nın Güvenlik Duvarı ve WinRM 2.0 Windows bölümü