Sdílet prostřednictvím


Požadavky na bránu firewall pro místní Azure

Platí pro: Místní Azure verze 23H2 a 22H2

Tento článek obsahuje pokyny ke konfiguraci bran firewall pro operační systém Azure Stack HCI. Zahrnuje požadavky brány firewall pro odchozí koncové body a interní pravidla a porty. Článek obsahuje také informace o používání značek služeb Azure s bránou firewall v programu Microsoft Defender.

Tento článek také popisuje, jak volitelně použít vysoce uzamčenou konfiguraci brány firewall k blokování veškerého provozu do všech cílů kromě těch, které jsou součástí seznamu povolených.

Pokud vaše síť používá proxy server pro přístup k internetu, přečtěte si téma Konfigurace nastavení proxy serveru pro Místní Azure.

Důležité

Azure ExpressRoute a Azure Private Link nejsou podporované pro místní Azure verze 23H2 ani žádné její komponenty, protože není možné přistupovat k veřejným koncovým bodům požadovaným pro místní Azure verze 23H2.

Požadavky brány firewall pro odchozí koncové body

Otevření portů 80 a 443 pro odchozí síťový provoz v bráně firewall vaší organizace splňuje požadavky na připojení operačního systému Azure Stack HCI pro připojení k Azure a službě Microsoft Update.

Místní Azure se musí pravidelně připojovat k Azure pro:

  • Známé IP adresy Azure
  • Směr odchozích přenosů
  • Porty 80 (HTTP) a 443 (HTTPS)

Důležité

Azure Local nepodporuje kontrolu HTTPS. Ujistěte se, že je kontrola HTTPS na cestě k síti pro Azure Local zakázaná, aby se zabránilo chybám připojení.

Jak je znázorněno v následujícím diagramu, Azure Local má přístup k Azure pomocí více než jedné brány firewall, která může potenciálně využívat.

Diagram znázorňuje koncové body značek služeb místního přístupu k Azure prostřednictvím portu 443 (HTTPS) bran firewall.

Požadované adresy URL brány firewall pro místní nasazení Azure verze 23H2

Počínaje místním Azure verze 23H2 všechny clustery automaticky umožňují připojení agenta Arc for Servers k řídicí rovině Azure. Spolu se seznamem koncových bodů specifických pro HCI v následující tabulce musí být do seznamu povolených bran firewall zahrnutý most prostředků Azure v místních koncových bodech Azure, AKS na místních koncových bodech Azure a koncových bodů serverů s podporou Azure Arc.

Konsolidovaný seznam koncových bodů pro USA – východ, který zahrnuje místní servery Azure, servery s podporou Arc, ARB a AKS, použijte:

Pro konsolidovaný seznam koncových bodů pro západní Evropu, které zahrnují místní servery Azure, servery s podporou arc, ARB a AKS, použijte:

Konsolidovaný seznam koncových bodů pro Austrálie – východ, který zahrnuje místní servery s podporou Arc, ARB a AKS, použijte:

Konsolidovaný seznam koncových bodů pro Kanada – střed, který obsahuje místní servery s podporou Arc, ARB a AKS, použijte:

Konsolidovaný seznam koncových bodů pro Indie – střed, který zahrnuje místní azure, servery s podporou arc, ARB a AKS, použijte:

Požadavky brány firewall pro další služby Azure

V závislosti na dalších službách Azure, které povolíte pro místní Azure, možná budete muset provést další změny konfigurace brány firewall. Informace o požadavcích brány firewall pro každou službu Azure najdete na následujících odkazech:

Požadavky brány firewall pro interní pravidla a porty

Ujistěte se, že jsou mezi všemi uzly otevřené správné síťové porty, a to jak v lokalitě, tak mezi lokalitami pro roztažené instance (funkce roztažené instance jsou dostupné jenom v Místním Azure verze 22H2.) Abyste povolili obousměrný provoz protokolu ICMP, SMB (port 445 a port 5445 pro SMB Direct, pokud používáte RDMA iWARP) a obousměrný provoz WS-MAN (port 5985) mezi všemi uzly v clusteru, budete potřebovat příslušná pravidla brány firewall.

Když k vytvoření clusteru použijete průvodce vytvořením v Centru pro správu Windows, průvodce automaticky otevře příslušné porty brány firewall na každém serveru v clusteru pro clustering s podporou převzetí služeb při selhání, Hyper-V a repliku úložiště. Pokud na každém počítači používáte jinou bránu firewall, otevřete porty, jak je popsáno v následujících částech:

Správa operačního systému Azure Stack HCI

Ujistěte se, že jsou v místní bráně firewall nakonfigurovaná následující pravidla brány firewall pro správu operačního systému Azure Stack HCI, včetně licencování a fakturace.

Pravidlo Akce Zdroj Cíl Služba Porty
Povolení příchozího a odchozího provozu do a z místní služby Azure na počítačích místních instancí Azure Povolit Uzly instancí Uzly instancí TCP 30301

Windows Admin Center

Ujistěte se, že jsou v místní bráně firewall pro Windows Admin Center nakonfigurovaná následující pravidla brány firewall.

Pravidlo Akce Zdroj Cíl Služba Porty
Poskytnutí přístupu k Azure a službě Microsoft Update Povolit Windows Admin Center Místní azure TCP 445
Použití vzdálené správy systému Windows (WinRM) 2.0
pro připojení HTTP ke spouštění příkazů
na vzdálených serverech Windows
Povolit Windows Admin Center Místní azure TCP 5985
Použití WinRM 2.0 pro spuštění připojení HTTPS
příkazy na vzdálených serverech Windows
Povolit Windows Admin Center Místní azure TCP 5986

Poznámka:

Pokud při instalaci Windows Admin Center vyberete nastavení Použít WinRM jenom přes HTTPS, bude potřeba port 5986.

Active Directory

Ujistěte se, že jsou v místní bráně firewall nakonfigurovaná následující pravidla brány firewall pro službu Active Directory (místní autorita zabezpečení).

Pravidlo Akce Zdroj Cíl Služba Porty
Povolení příchozího nebo odchozího připojení k webovým službám Active Directory (ADWS) a službě brány pro správu služby Active Directory Povolit Active Directory Services Místní azure TCP 9389

Clustering s podporou převzetí služeb při selhání

Ujistěte se, že jsou v místní bráně firewall nakonfigurovaná následující pravidla brány firewall pro clustering s podporou převzetí služeb při selhání.

Pravidlo Akce Zdroj Cíl Služba Porty
Povolit ověřování clusteru s podporou převzetí služeb při selhání Povolit Systém pro správu Uzly instancí TCP 445
Povolit dynamické přidělování portů RPC Povolit Systém pro správu Uzly instancí TCP Minimálně 100 portů
vyšší než port 5000
Povolit vzdálené volání procedur (RPC) Povolit Systém pro správu Uzly instancí TCP 135
Povolit správce clusteru Povolit Systém pro správu Uzly instancí UDP 137
Povolit službu clusteru Povolit Systém pro správu Uzly instancí UDP 3343
Povolit službu clusteru (vyžaduje se během
operace připojení k serveru.)
Povolit Systém pro správu Uzly instancí TCP 3343
Povolit ICMPv4 a ICMPv6
pro ověřování clusteru s podporou převzetí služeb při selhání
Povolit Systém pro správu Uzly instancí Není k dispozici Není k dispozici

Poznámka:

Systém pro správu zahrnuje jakýkoli počítač, ze kterého chcete systém spravovat, pomocí nástrojů, jako jsou Windows Admin Center, Windows PowerShell nebo System Center Virtual Machine Manager.

Hyper-V

Ujistěte se, že jsou v místní bráně firewall pro Hyper-V nakonfigurovaná následující pravidla brány firewall.

Pravidlo Akce Zdroj Cíl Služba Porty
Povolit komunikaci clusteru Povolit Systém pro správu Server Hyper-V TCP 445
Povolit mapování koncových bodů RPC a rozhraní WMI Povolit Systém pro správu Server Hyper-V TCP 135
Povolit připojení HTTP Povolit Systém pro správu Server Hyper-V TCP 80
Povolit připojení HTTPS Povolit Systém pro správu Server Hyper-V TCP 443
Povolit migraci za provozu Povolit Systém pro správu Server Hyper-V TCP 6600
Povolit službu správy virtuálních počítačů Povolit Systém pro správu Server Hyper-V TCP 2179
Povolit dynamické přidělování portů RPC Povolit Systém pro správu Server Hyper-V TCP Minimálně 100 portů
vyšší než port 5000

Poznámka:

Otevřete rozsah portů nad portem 5000 a povolte dynamické přidělování portů RPC. Porty nižší než 5000 už můžou být používané jinými aplikacemi a můžou způsobit konflikty s aplikacemi DCOM. Předchozí prostředí ukazuje, že by se mělo otevřít minimálně 100 portů, protože několik systémových služeb spoléhá na tyto porty RPC ke vzájemné komunikaci. Další informace naleznete v tématu Konfigurace dynamického přidělování portů RPC pro práci s branami firewall.

Replika úložiště (roztažený cluster)

Ujistěte se, že jsou v místní bráně firewall nakonfigurovaná následující pravidla brány firewall pro repliku úložiště (roztažená instance).

Pravidlo Akce Zdroj Cíl Služba Porty
Povolit blokování zpráv serveru
Protokol SMB (SMB)
Povolit Uzly roztažené instance Uzly roztažené instance TCP 445
Povolit správu webových služeb
(WS-MAN)
Povolit Uzly roztažené instance Uzly roztažené instance TCP 5985
Povolit ICMPv4 a ICMPv6
(pokud používáte Test-SRTopology
Rutina PowerShellu)
Povolit Uzly roztažené instance Uzly roztažené instance Není k dispozici Není k dispozici

Aktualizace brány firewall v programu Microsoft Defender

Tato část ukazuje, jak nakonfigurovat bránu firewall v programu Microsoft Defender tak, aby umožňovala připojení IP adres přidružených ke značce služby pro připojení k operačnímu systému. Značka služby představuje skupinu IP adres z dané služby Azure. Společnost Microsoft spravuje IP adresy zahrnuté do značky služby a automaticky aktualizuje značku služby jako IP adresy, aby se zachovaly aktualizace na minimum. Další informace najdete v tématu Značky služeb virtuální sítě.

  1. Stáhněte soubor JSON z následujícího prostředku do cílového počítače s operačním systémem: Rozsahy IP adres Azure a značky služeb – veřejný cloud.

  2. K otevření souboru JSON použijte následující příkaz PowerShellu:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Získejte seznam rozsahů IP adres pro danou značku služby, například AzureResourceManager značku služby:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importujte seznam IP adres do externí podnikové brány firewall, pokud s ní používáte seznam povolených adres.

  5. Vytvořte pravidlo brány firewall pro každý uzel v systému, které povolí odchozí provoz 443 (HTTPS) do seznamu rozsahů IP adres:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Další kroky

Další informace najdete také: