Azure Stack HCI 的防火牆需求
適用於:Azure Stack HCI 版本 23H2 和 22H2
本文提供如何為 Azure Stack HCI 作業系統設定防火牆的指導。 內容包含輸出端點、內部規則和連接埠的防火牆需求。 本文也提供如何使用 Azure 服務標籤搭配 Microsoft Defender 防火牆的資訊。
如果您的網路使用 Proxy 伺服器進行因特網存取,請參閱 設定 Azure Stack HCI 的 Proxy 設定。
重要
Azure Stack HCI 版本 23H2 或其任何元件不支援 Azure Private Link。
輸出端點的防火牆需求
在組織的防火牆上為輸出網路流量開啟連接埠 443,以符合連線需求,讓作業系統與 Azure 和 Microsoft Update 連線。 如果您的輸出防火牆受到限制,建議包含本文中建議的防火牆 URL 一節所述的 URL 和連接埠。
Azure Stack HCI 需要定期連線到 Azure。 僅限存取:
- 已知的 Azure IP
- 輸出方向
- 通訊埠 443 (HTTPS)
重要
Azure Stack HCI 不支援 HTTPS 檢查。 請確定 Azure Stack HCI 的網路路徑已停用 HTTPS 檢查,以防止任何連線錯誤。
如下圖所示,Azure Stack HCI 可能會使用多個防火牆來存取 Azure。
本文章描述如何選擇性地使用高度封鎖的防火牆設定,封鎖除了允許清單中所包含項目以外的所有目的地全部流量。
必要的防火牆 URL
下列表格提供必要防火牆 URL 的清單。 請務必將這些 URL 包含在您的允許清單中。
另請遵循 Azure Stack HCI 上 AKS 的必要防火牆需求。
注意
Azure Stack HCI 防火牆規則是 HciSvc 連線所需的最低端點,而且不包含通配符。 不過,下表目前包含通配符 URL,未來可能會更新為精確的端點。
| 服務 | URL | 連接埠 | 備註 |
|---|---|---|---|
| Azure Stack HCI 匯報 下載 | fe3.delivery.mp.microsoft.com | 443 | 若要更新 Azure Stack HCI 版本 23H2。 |
| Azure Stack HCI 匯報 下載 | tlu.dl.delivery.mp.microsoft.com | 80 | 若要更新 Azure Stack HCI 版本 23H2。 |
| Azure Stack HCI 匯報 探索 | aka.ms | 443 | 若要解析位址以探索 Azure Stack HCI 版本 23H2 和解決方案產生器擴充功能,匯報。 |
| Azure Stack HCI 匯報 探索 | redirectiontool.trafficmanager.net | 443 | 實作 aka.ms 重新導向連結使用量數據追蹤的基礎服務。 |
| Azure Stack HCI | login.microsoftonline.com | 443 | 針對 Active Directory 授權單位,並用於驗證、權杖擷取和驗證。 |
| Azure Stack HCI | graph.windows.net | 443 | 針對 Graph,並用於驗證、權杖擷取和驗證。 |
| Azure Stack HCI | management.azure.com | 443 | 針對 Resource Manager,並在叢集初始啟動程序引導至 Azure 期間使用,以進行註冊,以及取消註冊叢集。 |
| Azure Stack HCI | dp.stackhci.azure.com | 443 | 針對推送診斷數據並在 Azure 入口網站 管線中使用的數據平面,並推送計費數據。 |
| Azure Stack HCI | *.platform.edge.azure.com | 443 | 適用於授權中使用的數據平面,以及推送警示和計費數據。 僅適用於 Azure Stack HCI 版本 23H2。 |
| Azure Stack HCI | azurestackhci.azurefd.net | 443 | 數據平面的先前 URL。 此 URL 最近已變更,使用這個舊 URL 註冊叢集的客戶也必須允許將它列入清單。 |
| Azure Stack HCI | hciarcvmscontainerregistry.azurecr.io | 443 | 針對 Azure Stack HCI 上的 Arc VM 容器登錄。 僅適用於 Azure Stack HCI 版本 23H2。 |
| 適用於伺服器的 Arc | aka.ms | 443 | 若要在安裝期間解析下載文本。 |
| 適用於伺服器的 Arc | download.microsoft.com | 443 | 下載 Windows 安裝套件。 |
| 適用於伺服器的 Arc | login.windows.net | 443 | 針對 Microsoft Entra ID |
| 適用於伺服器的 Arc | login.microsoftonline.com | 443 | 針對 Microsoft Entra ID |
| 適用於伺服器的 Arc | pas.windows.net | 443 | 針對 Microsoft Entra ID |
| 適用於伺服器的 Arc | management.azure.com | 443 | 若要讓 Azure Resource Manager 建立或刪除 Arc Server 資源 |
| 適用於伺服器的 Arc | guestnotificationservice.azure.com | 443 | 針對擴充功能和連線案例的通知服務 |
| 適用於伺服器的 Arc | *.his.arc.azure.com | 443 | 針對元數據和混合式身分識別服務 |
| 適用於伺服器的 Arc | *.guestconfiguration.azure.com | 443 | 針對延伸模組管理和客體設定服務 |
| 適用於伺服器的 Arc | *.guestnotificationservice.azure.com | 443 | 針對擴充功能和連線案例的通知服務 |
| 適用於伺服器的 Arc | azgn*.servicebus.windows.net | 443 | 針對擴充功能和連線案例的通知服務 |
| 適用於伺服器的 Arc | *.servicebus.windows.net | 443 | 用於 Windows Admin Center 和 SSH 案例 |
| 適用於伺服器的 Arc | *.waconazure.com | 443 | 適用於 Windows Admin Center 連線 |
| 適用於伺服器的 Arc | *.blob.core.windows.net | 443 | 適用於已啟用 Azure Arc 的伺服器擴充功能的下載來源 |
如需所有防火牆 URL 的完整清單,請下載 防火牆 URL 電子表格。
建議的防火牆 URL
下列表格提供建議的防火牆 URL 清單。 如果您的輸出防火牆受到限制,我們建議將本節中的 URL 和連接埠新增至允許清單。
注意
Azure Stack HCI 防火牆規則是 HciSvc 連線所需的最低端點,而且不包含通配符。 不過,下表目前包含通配符 URL,未來可能會更新為精確的端點。
| 服務 | URL | 連接埠 | 備註 |
|---|---|---|---|
| Azure Stack HCI 上的 Azure 權益 | crl3.digicert.com | 80 | 讓 Azure Stack HCI 上的平臺證明服務能夠執行憑證撤銷清單檢查,以確保 VM 確實在 Azure 環境中執行。 |
| Azure Stack HCI 上的 Azure 權益 | crl4.digicert.com | 80 | 讓 Azure Stack HCI 上的平臺證明服務能夠執行憑證撤銷清單檢查,以確保 VM 確實在 Azure 環境中執行。 |
| Azure Stack HCI | *.powershellgallery.com | 443 | 若要取得 Az.StackHCI PowerShell 模組,這是叢集註冊的必要專案。 或者,您可以從 PowerShell 資源庫 手動下載並安裝 Az.StackHCI PowerShell 模組。 |
| 叢集雲端見證 | *.blob.core.windows.net | 443 | 針對 Azure Blob 容器的防火牆存取,如果您選擇使用雲端見證作為叢集見證,這是選擇性的。 |
| Microsoft Update | windowsupdate。microsoft。com | 80 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | download.windowsupdate.com | 80 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | *.download.windowsupdate.com | 80 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | download.microsoft.com | 443 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | wustat.windows.com | 80 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | ntservicepack.microsoft.com | 80 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | go.microsoft.com | 80 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | dl.delivery.mp.microsoft.com | 80,443 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | *.delivery.mp.microsoft.com | 80,443 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | *.windowsupdate.microsoft.com | 80,443 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | *.windowsupdate.com | 80 | 針對 Microsoft Update,可讓作業系統接收更新。 |
| Microsoft Update | *.update.microsoft.com | 80,443 | 針對 Microsoft Update,可讓作業系統接收更新。 |
其他 Azure 服務的防火牆需求
根據您在 HCI 上啟用的其他 Azure 服務,可能需要進行額外的防火牆設定變更。 如需每個 Azure 服務的防火牆需求相關信息,請參閱下列連結:
- Azure Stack HCI 上的 AKS
- 已啟用 Azure Arc 的伺服器 (英文)
- Azure Arc 資源網橋網路需求
- Azure 監視器代理程式
- Azure 入口網站
- Azure Site Recovery
- Azure 虛擬桌面
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) 和 Log Analytics 代理程式
- Qualys
- 遠端支援
- Windows Admin Center
- Azure 入口網站中的 Windows Admin Center
內部規則和連接埠的防火牆需求
請確定月臺內的所有伺服器節點和延展式叢集 (延展式叢集功能的網站之間,都已開啟適當的網路埠,僅適用於 Azure Stack HCI 版本 22H2.) 。 您將需要適當的防火牆規則,以允許叢集中所有伺服器之間的 ICMP、SMB (連接埠 445,加上用於 SMB 直接傳輸的連接埠 5445 (如果使用 iWARP RDMA)),以及 WS-MAN (連接埠 5985) 雙向流量。
使用 Windows Admin Center 中的 [建立叢集精靈] 來建立叢集時,精靈會自動在叢集中的每部伺服器上,為容錯移轉叢集、Hyper-V 和儲存體複本開啟適當的防火牆連接埠。 如果您要在每部伺服器上使用不同的防火牆,請開啟下列各節中所描述的連接埠:
Azure Stack HCI OS 管理
請確定您的內部部署防火牆中已設定下列防火牆規則,以進行 Azure Stack HCI OS 管理,包括授權和計費。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許叢集伺服器上的 Azure Stack HCI 服務輸入和輸出流量 | Allow | 叢集伺服器 | 叢集伺服器 | TCP | 30301 |
Windows Admin Center
確定您的內部部署防火牆中已針對 Windows Admin Center 設定下列防火牆規則。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 提供 Azure 和 Microsoft Update 的存取權 | Allow | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| 使用 Windows 遠端管理 (WinRM) 2.0 進行 HTTP 連線,以在遠端 Windows 伺服器上執行命令 |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| 使用 WinRM 2.0 進行 HTTPS 連線,以在遠端 Windows 伺服器上執行命令 |
Allow | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
注意
安裝 Windows Admin Center 時,如果您選取 [Use WinRM over HTTPS only] \(僅使用 WinRM over HTTPS\) 設定,則需要連接埠 5986。
容錯移轉叢集
確定您的內部部署防火牆中已針對容錯移轉叢集設定下列防火牆規則。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許容錯移轉叢集驗證 | Allow | 管理系統 | 叢集伺服器 | TCP | 445 |
| 允許 RPC 動態連接埠配置 | Allow | 管理系統 | 叢集伺服器 | TCP | 最少 100 個連接埠 高於連接埠 5000 |
| 允許遠端程序呼叫 (RPC) | Allow | 管理系統 | 叢集伺服器 | TCP | 135 |
| 允許叢集系統管理員 | Allow | 管理系統 | 叢集伺服器 | UDP | 137 |
| 允許叢集服務 | Allow | 管理系統 | 叢集伺服器 | UDP | 3343 |
| 允許叢集服務 (在伺服器 聯結作業期間為必要)。 |
Allow | 管理系統 | 叢集伺服器 | TCP | 3343 |
| 允許 ICMPv4 和 ICMPv6 用於容錯移轉叢集驗證 |
Allow | 管理系統 | 叢集伺服器 | n/a | n/a |
注意
管理系統會包含任何您想從中管理叢集的電腦,並使用 Windows Admin Center、Windows PowerShell 或 System Center Virtual Machine Manager 等工具。
Hyper-V
確定您的內部部署防火牆中已針對 Hyper-V 設定下列防火牆規則。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許叢集通訊 | Allow | 管理系統 | Hyper-V 伺服器 | TCP | 445 |
| 允許 RPC 端點對應程式和 WMI | Allow | 管理系統 | Hyper-V 伺服器 | TCP | 135 |
| 允許 HTTP 連線 | Allow | 管理系統 | Hyper-V 伺服器 | TCP | 80 |
| 允許 HTTPS 連線 | Allow | 管理系統 | Hyper-V 伺服器 | TCP | 443 |
| 允許即時移轉 | Allow | 管理系統 | Hyper-V 伺服器 | TCP | 6600 |
| 允許 VM 管理服務 | Allow | 管理系統 | Hyper-V 伺服器 | TCP | 2179 |
| 允許 RPC 動態連接埠配置 | Allow | 管理系統 | Hyper-V 伺服器 | TCP | 最少 100 個連接埠 高於連接埠 5000 |
注意
開啟高於連接埠 5000 的連接埠範圍,以允許 RPC 動態連接埠配置。 低於 5000 的連接埠可能已由其他應用程式使用中,且可能會導致與 DCOM 應用程式發生衝突。 先前的體驗顯示最少應開啟 100 個連接埠,因為有數項系統服務依賴這些 RPC 連接埠來彼此通訊。 如需詳細資訊,請參閱如何設定 RPC 動態連接埠配置以使用防火牆。
儲存體複本 (延展式叢集)
確定您的內部部署防火牆中已針對儲存體複本 (延展式叢集) 設定下列防火牆規則。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許伺服器訊息區 (SMB) 通訊協定 |
Allow | 延展式叢集伺服器 | 延展式叢集伺服器 | TCP | 445 |
| 允許 Web 服務管理 (WS-MAN) |
Allow | 延展式叢集伺服器 | 延展式叢集伺服器 | TCP | 5985 |
| 允許 ICMPv4 和 ICMPv6 (如果使用 Test-SRTopologyPowerShell Cmdlet) |
Allow | 延展式叢集伺服器 | 延展式叢集伺服器 | n/a | n/a |
更新 Microsoft Defender 防火牆
本節說明如何設定 Microsoft Defender 防火牆,以允許與服務標籤建立關聯的 IP 位址與作業系統連線。 「服務標籤」代表來自指定 Azure 服務的一組 IP 位址。 Microsoft 會管理服務標籤中包含的 IP 位址,並在 IP 位址變更時自動更新服務標籤,以保持最少的更新。 若要深入了解,請參閱虛擬網路服務標籤。
從下列資源將 JSON 檔案下載到執行作業系統的目標電腦:Azure IP 範圍和服務標籤 - 公用雲端 (英文)。
使用下列 PowerShell 命令以開啟 JSON 檔案:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json取得指定服務標籤的 IP 位址範圍清單,例如 "AzureResourceManager" 服務標籤:
$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes將 IP 位址清單匯入外部公司防火牆 (如果您正在搭配使用允許清單)。
為叢集中的每部伺服器建立防火牆規則,以允許 IP 位址範圍清單的輸出 443 (HTTPS) 流量:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
下一步
如需詳細資訊,請參閱:
- Windows 遠端管理的安裝和設定的<Windows 防火牆和 WinRM 2.0 連接埠>一節
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應