Azure Stack HCI için güvenlik duvarı gereksinimleri
Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2 ve 22H2
Bu makalede, Azure Stack HCI işletim sistemi için güvenlik duvarlarını yapılandırma hakkında yönergeler sağlanır. Giden uç noktalar için güvenlik duvarı gereksinimlerini, iç kuralları ve bağlantı noktalarını içerir. Makale ayrıca Azure hizmet etiketlerini Microsoft Defender güvenlik duvarıyla kullanma hakkında bilgi sağlar.
Ağınız İnternet erişimi için ara sunucu kullanıyorsa bkz. Azure Stack HCI için ara sunucu ayarlarını yapılandırma.
Önemli
Azure Özel Bağlantı, Azure Stack HCI, sürüm 23H2 veya bileşenlerinin herhangi biri için desteklenmez.
Giden uç noktalar için güvenlik duvarı gereksinimleri
Kuruluşunuzun güvenlik duvarında giden ağ trafiği için 443 numaralı bağlantı noktasını açmak, işletim sisteminin Azure ve Microsoft Update'e bağlanması için bağlantı gereksinimlerini karşılar. Giden güvenlik duvarınız kısıtlıysa, bu makalenin Önerilen güvenlik duvarı URL'leri bölümünde açıklanan URL'leri ve bağlantı noktalarını eklemenizi öneririz.
Azure Stack HCI'nin düzenli aralıklarla Azure'a bağlanması gerekir. Erişim yalnızca aşağıdakiler ile sınırlıdır:
- Tanınmış Azure IP'leri
- Giden yön
- Bağlantı noktası 443 (HTTPS)
Önemli
Azure Stack HCI, HTTPS incelemeyi desteklemez. Bağlantı hatalarını önlemek için Azure Stack HCI ağ yolunuz boyunca HTTPS denetiminin devre dışı bırakıldığından emin olun.
Aşağıdaki diyagramda gösterildiği gibi, Azure Stack HCI potansiyel olarak birden fazla güvenlik duvarı kullanarak Azure'a erişir.
Bu makalede, izin verilenler listesi dışında tüm hedeflere gelen trafiği engellemek için isteğe bağlı olarak yüksek oranda kilitli bir güvenlik duvarı yapılandırmasının nasıl kullanılacağı açıklanmaktadır.
Gerekli güvenlik duvarı URL'leri
Aşağıdaki tabloda gerekli güvenlik duvarı URL'lerinin listesi sağlanır. Bu URL'leri izin verilenler listenize eklediğinizden emin olun.
Ayrıca , Azure Stack HCI üzerinde AKS için gerekli güvenlik duvarı gereksinimlerini izleyin.
Not
Azure Stack HCI güvenlik duvarı kuralları, HciSvc bağlantısı için gereken en düşük uç noktalardır ve joker karakter içermez. Ancak, aşağıdaki tabloda şu anda joker karakter URL'leri vardır ve bu URL'ler gelecekte kesin uç noktalara güncelleştirilebilir.
| Hizmet | URL | Bağlantı noktası | Notlar |
|---|---|---|---|
| Azure Stack HCI Güncelleştirmelerini indirme | fe3.delivery.mp.microsoft.com | 443 | Azure Stack HCI'yi güncelleştirmek için sürüm 23H2. |
| Azure Stack HCI Güncelleştirmelerini indirme | tlu.dl.delivery.mp.microsoft.com | 80 | Azure Stack HCI'yi güncelleştirmek için sürüm 23H2. |
| Azure Stack HCI Güncelleştirmeleri bulma | aka.ms | 443 | Azure Stack HCI, sürüm 23H2 ve Çözüm Oluşturucusu Uzantı Güncelleştirmelerini bulmak üzere adresleri çözümlemek için. |
| Azure Stack HCI Güncelleştirmeleri bulma | redirectiontool.trafficmanager.net | 443 | aka.ms yeniden yönlendirme bağlantıları için kullanım verileri izleme uygulayan temel hizmet. |
| Azure Stack HCI | login.microsoftonline.com | 443 | Active Directory Yetkilisi için ve kimlik doğrulaması, belirteç getirme ve doğrulama için kullanılır. |
| Azure Stack HCI | graph.windows.net | 443 | Graph için ve kimlik doğrulaması, belirteç getirme ve doğrulama için kullanılır. |
| Azure Stack HCI | management.azure.com | 443 | Resource Manager için ve kümenin Azure'a ilk önyüklemesi sırasında kayıt amacıyla ve kümenin kaydını kaldırmak için kullanılır. |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | Tanılama verilerini göndererek Azure portalı işlem hattında kullanılan ve faturalama verilerini göndererek veri düzlemi için. |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | Lisanslama ve uyarı gönderme ve faturalama verilerinde kullanılan veri düzlemi için. Yalnızca Azure Stack HCI, sürüm 23H2 için gereklidir. |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | Veri düzlemi için önceki URL. Bu URL kısa süre önce değiştirildi. Kümenizi bu eski URL'yi kullanarak kaydettiyseniz, kümeyi de izin verilenler listesine almalısınız. |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | Azure Stack HCI'de Arc VM kapsayıcı kayıt defteri için. Yalnızca Azure Stack HCI, sürüm 23H2 için gereklidir. |
| Azure Key Vault | *.vault.azure.com | 443 | Azure Stack HCI kimlik bilgilerine erişmek için anahtar kasasına erişim. * yerine kullanmayı planladığınız anahtar kasasının adını yazın. Yalnızca Azure Stack HCI, sürüm 23H2 için gereklidir. |
| Sunucular için Arc | aka.ms | 443 | Yükleme sırasında indirme betiğini çözümlemek için. |
| Sunucular için Arc | download.microsoft.com | 443 | Windows yükleme paketini indirmek için. |
| Sunucular için Arc | login.windows.net | 443 | Microsoft Entra Id için |
| Sunucular için Arc | login.microsoftonline.com | 443 | Microsoft Entra Id için |
| Sunucular için Arc | pas.windows.net | 443 | Microsoft Entra Id için |
| Sunucular için Arc | management.azure.com | 443 | Azure Resource Manager'ın Arc Server kaynağını oluşturması veya silmesi için |
| Sunucular için Arc | guestnotificationservice.azure.com | 443 | Uzantı ve bağlantı senaryolarına yönelik bildirim hizmeti için |
| Sunucular için Arc | *.his.arc.azure.com | 443 | Meta veriler ve karma kimlik hizmetleri için |
| Sunucular için Arc | *.guestconfiguration.azure.com | 443 | Uzantı yönetimi ve konuk yapılandırma hizmetleri için |
| Sunucular için Arc | *.guestnotificationservice.azure.com | 443 | Uzantı ve bağlantı senaryolarına yönelik bildirim hizmeti için |
| Sunucular için Arc | azgn*.servicebus.windows.net | 443 | Uzantı ve bağlantı senaryolarına yönelik bildirim hizmeti için |
| Sunucular için Arc | *.servicebus.windows.net | 443 | Windows Admin Center ve SSH senaryoları için |
| Sunucular için Arc | *.waconazure.com | 443 | Windows Admin Center bağlantısı için |
| Sunucular için Arc | *.blob.core.windows.net | 443 | Azure Arc özellikli sunucu uzantılarının indirme kaynağı için |
Tüm güvenlik duvarı URL'lerinin kapsamlı listesi için güvenlik duvarı URL'leri elektronik tablosunu indirin.
Önerilen güvenlik duvarı URL'leri
Aşağıdaki tabloda önerilen güvenlik duvarı URL'lerinin listesi sağlanır. Giden güvenlik duvarınız kısıtlıysa, bu bölümde açıklanan URL'leri ve bağlantı noktalarını izin verilenler listenize eklemenizi öneririz.
Not
Azure Stack HCI güvenlik duvarı kuralları, HciSvc bağlantısı için gereken en düşük uç noktalardır ve joker karakter içermez. Ancak, aşağıdaki tabloda şu anda joker karakter URL'leri vardır ve bu URL'ler gelecekte kesin uç noktalara güncelleştirilebilir.
| Hizmet | URL | Bağlantı noktası | Notlar |
|---|---|---|---|
| Azure Stack HCI üzerinde Azure Avantajları | crl3.digicert.com | 80 | Azure Stack HCI'deki platform kanıtlama hizmetinin, VM'lerin Gerçekten Azure ortamlarında çalıştığından emin olmak için bir sertifika iptal listesi denetimi gerçekleştirmesini sağlar. |
| Azure Stack HCI üzerinde Azure Avantajları | crl4.digicert.com | 80 | Azure Stack HCI'deki platform kanıtlama hizmetinin, VM'lerin Gerçekten Azure ortamlarında çalıştığından emin olmak için bir sertifika iptal listesi denetimi gerçekleştirmesini sağlar. |
| Azure Stack HCI | *.powershellgallery.com | 443 | Küme kaydı için gereken Az.StackHCI PowerShell modülünü edinmek için. Alternatif olarak, Az.StackHCI PowerShell modülünü PowerShell Galerisi'nden el ile indirip yükleyebilirsiniz. |
| Küme Bulut Tanığı | *.blob.core.windows.net | 443 | Azure blob kapsayıcısına güvenlik duvarı erişimi için, küme tanığı olarak bir bulut tanığı kullanmayı seçerseniz bu isteğe bağlıdır. |
| Microsoft Update | windowsupdate.microsoft.com | 80 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | download.windowsupdate.com | 80 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | *.download.windowsupdate.com | 80 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | download.microsoft.com | 443 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | wustat.windows.com | 80 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | ntservicepack.microsoft.com | 80 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | go.microsoft.com | 80 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80, 443 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | *.delivery.mp.microsoft.com | 80, 443 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | *.windowsupdate.microsoft.com | 80, 443 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | *.windowsupdate.com | 80 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
| Microsoft Update | *.update.microsoft.com | 80, 443 | İşletim sisteminin güncelleştirmeleri almasını sağlayan Microsoft Update için. |
Ek Azure hizmetleri için güvenlik duvarı gereksinimleri
HCI'de etkinleştirdiğiniz ek Azure hizmetlerine bağlı olarak ek güvenlik duvarı yapılandırma değişiklikleri yapmanız gerekebilir. Her Azure hizmeti için güvenlik duvarı gereksinimleri hakkında bilgi için aşağıdaki bağlantılara bakın:
- Azure Stack HCI üzerinde AKS
- Azure Arc özellikli sunucular
- Azure Arc kaynak köprüsü ağ gereksinimleri
- Azure İzleyici Aracısı
- Azure portalı
- Azure Site Recovery
- Azure Sanal Masaüstü
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) ve Log Analytics Aracısı
- Qualys
- Uzaktan destek
- Windows Yönetim Merkezi
- Azure portalında Windows Yönetim Merkezi
İç kurallar ve bağlantı noktaları için güvenlik duvarı gereksinimleri
Hem site içindeki tüm sunucu düğümleri hem de esnetilmiş kümeler için siteler arasında doğru ağ bağlantı noktalarının açık olduğundan emin olun (esnetilmiş küme işlevselliği yalnızca Azure Stack HCI sürüm 22H2'de kullanılabilir.) Kümedeki tüm sunucular arasında ICMP, SMB (iWARP RDMA kullanıyorsanız doğrudan erişim için 445 numaralı bağlantı noktası ve 5445 numaralı bağlantı noktası) ve WS-MAN (bağlantı noktası 5985) trafiğine izin vermek için uygun güvenlik duvarı kurallarına ihtiyacınız vardır.
Kümeyi oluşturmak için Windows Yönetim Merkezi'nde Küme Oluşturma sihirbazını kullanırken, sihirbaz kümedeki her sunucuda Yük Devretme Kümelemesi, Hyper-V ve Depolama Çoğaltması için uygun güvenlik duvarı bağlantı noktalarını otomatik olarak açar. Her sunucuda farklı bir güvenlik duvarı kullanıyorsanız, aşağıdaki bölümlerde açıklandığı gibi bağlantı noktalarını açın:
Azure Stack HCI işletim sistemi yönetimi
Lisanslama ve faturalama dahil olmak üzere Azure Stack HCI işletim sistemi yönetimi için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı noktaları |
|---|---|---|---|---|---|
| Küme sunucularında Azure Stack HCI hizmetine gelen/giden trafiğe izin ver | İzin Ver | Küme sunucuları | Küme sunucuları | TCP | 30301 |
Windows Yönetim Merkezi
Windows Yönetim Merkezi için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı noktaları |
|---|---|---|---|---|---|
| Azure ve Microsoft Update'e erişim sağlama | İzin Ver | Windows Yönetim Merkezi | Azure Stack HCI | TCP | 445 |
| Windows Uzaktan Yönetimi (WinRM) 2.0 kullanma komutları çalıştırmak için HTTP bağlantıları için uzak Windows sunucularında |
İzin Ver | Windows Yönetim Merkezi | Azure Stack HCI | TCP | 5985 |
| HTTPS bağlantılarının çalışması için WinRM 2.0 kullanma uzak Windows sunucularındaki komutlar |
İzin Ver | Windows Yönetim Merkezi | Azure Stack HCI | TCP | 5986 |
Not
Windows Admin Center'ı yüklerken Yalnızca HTTPS üzerinden WinRM kullan ayarını seçerseniz 5986 numaralı bağlantı noktası gereklidir.
Yük Devretme Kümelemesi
Yük Devretme Kümelemesi için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı noktaları |
|---|---|---|---|---|---|
| Yük Devretme Kümesi doğrulamasına izin ver | İzin Ver | Yönetim sistemi | Küme sunucuları | TCP | 445 |
| RPC dinamik bağlantı noktası ayırmaya izin ver | İzin Ver | Yönetim sistemi | Küme sunucuları | TCP | En az 100 bağlantı noktası 5000 numaralı bağlantı noktasının üzerinde |
| Uzaktan Yordam Çağrısına İzin Ver (RPC) | İzin Ver | Yönetim sistemi | Küme sunucuları | TCP | 135 |
| Küme Yöneticisine İzin Ver | İzin Ver | Yönetim sistemi | Küme sunucuları | UDP | 137 |
| Küme Hizmetine İzin Ver | İzin Ver | Yönetim sistemi | Küme sunucuları | UDP | 3343 |
| Küme Hizmetine İzin Ver (Şu süre boyunca gereklidir: sunucu birleştirme işlemi.) |
İzin Ver | Yönetim sistemi | Küme sunucuları | TCP | 3343 |
| ICMPv4 ve ICMPv6'ya izin ver Yük Devretme Kümesi doğrulaması için |
İzin Ver | Yönetim sistemi | Küme sunucuları | yok | yok |
Not
Yönetim sistemi, Windows Admin Center, Windows PowerShell veya System Center Virtual Machine Manager gibi araçları kullanarak kümeyi yönetmeyi planladığınız tüm bilgisayarları içerir.
Hyper-V
Hyper-V için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı noktaları |
|---|---|---|---|---|---|
| Küme iletişimlerine izin ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 445 |
| RPC Uç Nokta Eşleyicisi ve WMI'ye İzin Ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 135 |
| HTTP bağlantısına izin ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 80 |
| HTTPS bağlantısına izin ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 443 |
| Dinamik Geçişe İzin Ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 6600 |
| VM Yönetim Hizmeti'ne izin ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 2179 |
| RPC dinamik bağlantı noktası ayırmaya izin ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | En az 100 bağlantı noktası 5000 numaralı bağlantı noktasının üzerinde |
Not
RPC dinamik bağlantı noktası ayırmaya izin vermek için 5000 numaralı bağlantı noktasının üzerinde bir bağlantı noktası aralığı açın. 5000'in altındaki bağlantı noktaları diğer uygulamalar tarafından zaten kullanılıyor olabilir ve DCOM uygulamalarıyla çakışmalara neden olabilir. Önceki deneyim, birkaç sistem hizmeti birbiriyle iletişim kurmak için bu RPC bağlantı noktalarına güvendiğinden en az 100 bağlantı noktasının açılması gerektiğini göstermektedir. Daha fazla bilgi için bkz . Rpc dinamik bağlantı noktası ayırmayı güvenlik duvarlarıyla çalışacak şekilde yapılandırma.
Depolama Çoğaltması (esnetilmiş küme)
Depolama Çoğaltması (esnetilmiş küme) için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı noktaları |
|---|---|---|---|---|---|
| Sunucu İleti Bloğuna İzin Ver (SMB) protokolü |
İzin Ver | Esnetilmiş küme sunucuları | Esnetilmiş küme sunucuları | TCP | 445 |
| Web Services-Management İzin Ver (WS-MAN) |
İzin Ver | Esnetilmiş küme sunucuları | Esnetilmiş küme sunucuları | TCP | 5985 |
| ICMPv4 ve ICMPv6'ya İzin Ver (kullanıyorsanız Test-SRTopologyPowerShell cmdlet'i) |
İzin Ver | Esnetilmiş küme sunucuları | Esnetilmiş küme sunucuları | yok | yok |
Microsoft Defender güvenlik duvarını güncelleştirme
Bu bölümde, bir hizmet etiketiyle ilişkili IP adreslerinin işletim sistemine bağlanmasına izin vermek için Microsoft Defender güvenlik duvarının nasıl yapılandırılır gösterilmektedir. Hizmet etiketi, belirli bir Azure hizmetinden bir grup IP adresini temsil eder. Microsoft, hizmet etiketine dahil edilen IP adreslerini yönetir ve güncelleştirmeleri en düşük düzeyde tutmak için IP adresleri değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Daha fazla bilgi için bkz. Sanal ağ hizmet etiketleri.
JSON dosyasını aşağıdaki kaynaktan işletim sistemini çalıştıran hedef bilgisayara indirin: Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut.
JSON dosyasını açmak için aşağıdaki PowerShell komutunu kullanın:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json"AzureResourceManager" hizmet etiketi gibi belirli bir hizmet etiketi için IP adresi aralıklarının listesini alın:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesİzin verilenler listesi kullanıyorsanız IP adreslerinin listesini dış şirket güvenlik duvarınıza aktarın.
IP adresi aralıkları listesine giden 443 (HTTPS) trafiğe izin vermek için kümedeki her sunucu için bir güvenlik duvarı kuralı oluşturun:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Sonraki adımlar
Daha fazla bilgi için ayrıca bkz:
- Windows Uzaktan Yönetimi için yükleme ve yapılandırma bölümünün Windows Güvenlik Duvarı ve WinRM 2.0 bağlantı noktaları bölümü
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin