Firewallanforderungen für Azure Stack HCI
Gilt für: Azure Stack HCI, Versionen 23H2 und 22H2
In diesem Artikel finden Sie einen Leitfaden zum Konfigurieren von Firewalls für das Azure Stack HCI-Betriebssystem. Er enthält Firewallanforderungen für ausgehende Endpunkte und interne Regeln und Ports. Der Artikel enthält auch Informationen zur Verwendung von Azure-Diensttags mit der Microsoft Defender-Firewall.
In diesem Artikel wird auch beschrieben, wie Sie optional eine stark gesperrte Firewallkonfiguration verwenden, um den gesamten Datenverkehr für alle Ziele außer den in Ihrer Zulassungsliste enthaltenen Zielen zu blockieren.
Wenn Ihr Netzwerk einen Proxyserver für den Internetzugriff verwendet, lesen Sie " Konfigurieren von Proxyeinstellungen für Azure Stack HCI".
Wichtig
Azure Express Route und Azure Private Link werden für Azure Stack HCI, Version 23H2 oder eine seiner Komponenten nicht unterstützt, da es nicht möglich ist, auf die öffentlichen Endpunkte zuzugreifen, die für Azure Stack HCI, Version 23H2 erforderlich sind.
Firewallanforderungen für ausgehende Endpunkte
Das Öffnen von Ports 80 und 443 für ausgehenden Netzwerkdatenverkehr in der Firewall Ihrer Organisation erfüllt die Konnektivitätsanforderungen für das Azure Stack HCI-Betriebssystem, um eine Verbindung mit Azure und Microsoft Update herzustellen.
Azure Stack HCI muss regelmäßig eine Verbindung mit Azure herstellen, damit:
- Bekannte Azure-IP-Adressen
- Ausgehender Datenverkehr
- Ports 80 (HTTP) und 443 (HTTPS)
Wichtig
Azure Stack HCI unterstützt keine HTTPS-Inspektion. Stellen Sie sicher, dass die HTTPS-Überprüfung entlang Ihres Netzwerkpfads für Azure Stack HCI deaktiviert ist, um Verbindungsfehler zu verhindern.
Wie im folgenden Diagramm gezeigt, kann Azure Stack HCI mit mehr als einer Firewall potenziell auf Azure zugreifen.
Erforderliche Firewall-URLs für Azure Stack HCI 23H2-Bereitstellungen
Ab Azure Stack HCI, Version 23H2, aktiviert alle Cluster automatisch die Azure Resource Bridge- und AKS-Infrastruktur und verwendet den Arc for Servers-Agent, um eine Verbindung mit azure-Steuerungsebene herzustellen. Zusammen mit der Liste der HCI-spezifischen Endpunkte in der folgenden Tabelle müssen die Azure Resource Bridge auf Azure Stack HCI-Endpunkten, die AKS auf Azure Stack HCI-Endpunkten und die Azure Arc-fähigen Serverendpunkte in der Zulassungsliste Ihrer Firewall enthalten sein.
Für ost-US konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:
Für westeuropäische konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:
Für Australien Ost konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:
Für Kanada Central konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:
Für Zentralindien konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:
Firewallanforderungen für zusätzliche Azure-Dienste
Je nach zusätzlichen Azure-Diensten, die Sie für Azure Stack HCI aktivieren, müssen Sie möglicherweise zusätzliche Firewallkonfigurationsänderungen vornehmen. Unter den folgenden Links finden Sie Informationen zu Firewallanforderungen für jeden Azure-Dienst:
- Azure Monitor-Agent
- Azure portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) und Log Analytics Agent
- Qualys
- Remoteunterstützung
- Windows Admin Center
- Windows Admin Center in Azure-Portal
Firewallanforderungen für interne Regeln und Ports
Stellen Sie sicher, dass die richtigen Netzwerkports zwischen allen Serverknoten geöffnet sind, sowohl innerhalb eines Standorts als auch zwischen Standorten für gestreckte Cluster (gestreckte Clusterfunktionen sind nur in Azure Stack HCI, Version 22H2, verfügbar.) Sie benötigen geeignete Firewallregeln zum Zulassen von ICMP- und SMB-Datenverkehr (Port 445 plus Port 5445 für SMB Direct bei Verwendung von iWARP RDMA) sowie von bidirektionalem WS-MAN-Datenverkehr (Port 5985) zwischen allen Servern im Cluster.
Wenn Sie den Clustererstellungs-Assistenten in Windows Admin Center zum Erstellen des Clusters verwenden, öffnet der Assistent automatisch die entsprechenden Firewallports auf jedem Server im Cluster für Failoverclustering, Hyper-V und Speicherreplikat. Wenn Sie auf den einzelnen Servern unterschiedliche Firewalls verwenden, öffnen Sie die in den folgenden Abschnitten beschriebenen Ports:
Azure Stack HCI-Betriebssystemverwaltung
Stellen Sie sicher, dass die folgenden Firewallregeln in Ihrer lokalen Firewall für die Verwaltung des Azure Stack HCI-Betriebssystems konfiguriert sind, einschließlich Lizenzierung und Abrechnung.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Eingehenden/ausgehenden Datenverkehr auf Clusterservern und vom Azure Stack HCI-Dienst zulassen | Zulassen | Clusterserver | Clusterserver | TCP | 30301 |
Windows Admin Center
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Windows Admin Center konfiguriert sind.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Gewähren des Zugriffs auf Azure und Microsoft Update | Zulassen | Windows Admin Center | Azure Stack HCI | TCP | 445 |
| Verwenden der Windows-Remoteverwaltung (WinRM) 2.0 für die HTTP-Verbindungen zum Ausführen von Befehlen auf Remote-Windows-Servern |
Zulassen | Windows Admin Center | Azure Stack HCI | TCP | 5985 |
| Verwenden von WinRM 2.0 für HTTPS-Verbindungen für die Ausführung von Befehlen auf Remote-Windows-Servern |
Zulassen | Windows Admin Center | Azure Stack HCI | TCP | 5986 |
Hinweis
Wenn Sie bei der Installation des Windows Admin Center die Einstellung Use WinRM over HTTPS only (Nur WinRM bei HTTPS verwenden) auswählen, ist Port 5986 erforderlich.
Active Directory
Stellen Sie sicher, dass die folgenden Firewallregeln in Ihrer lokalen Firewall für Active Directory (lokale Sicherheitsautorität) konfiguriert sind.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Eingehende/ausgehende Konnektivität mit den Active Directory-Webdiensten (ADWS) und dem Active Directory-Verwaltungsgatewaydienst zulassen | Zulassen | Active Directory-Dienste | Azure Stack HCI | TCP | 9389 |
Failoverclustering
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Failoverclustering konfiguriert sind.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen der Failovercluster-Überprüfung | Zulassen | Verwaltungssystem | Clusterserver | TCP | 445 |
| Zulassen der dynamischen RPC-Portzuordnung | Zulassen | Verwaltungssystem | Clusterserver | TCP | Mindestens 100 Ports Ports über 5000 |
| Zulassen von Remote Procedure Call (RPC) | Zulassen | Verwaltungssystem | Clusterserver | TCP | 135 |
| Zulassen eines Clusteradministrators | Zulassen | Verwaltungssystem | Clusterserver | UDP | 137 |
| Zulassen eines Clusterdiensts | Zulassen | Verwaltungssystem | Clusterserver | UDP | 3343 |
| Zulassen eines Clusterdiensts (erforderlich während eines Server-Verbindungsvorgangs.) |
Zulassen | Verwaltungssystem | Clusterserver | TCP | 3343 |
| Zulassen von ICMPv4 und ICMPv6 für die Failovercluster-Überprüfung |
Zulassen | Verwaltungssystem | Clusterserver | Nicht zutreffend | Nicht zutreffend |
Hinweis
Das Verwaltungssystem enthält jeden Computer, von dem Aus Sie den Cluster verwalten möchten, unter Verwendung von Tools wie Windows Admin Center, Windows PowerShell oder System Center Virtual Machine Manager.
Hyper-V
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Hyper-V konfiguriert sind.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen von Clusterinterner Kommunikation | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 445 |
| Zulassen von RPC-Endpunktzuordnung und WMI | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 135 |
| Zulassen von HTTP-Konnektivität | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 80 |
| Zulassen von HTTPS-Konnektivität | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 443 |
| Zulassen von Livemigration | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 6600 |
| Zulassen von Verwaltungsdienst für virtuelle Maschinen | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | 2179 |
| Zulassen der dynamischen RPC-Portzuordnung | Zulassen | Verwaltungssystem | Hyper-V-Server | TCP | Mindestens 100 Ports Ports über 5000 |
Hinweis
Öffnen Sie einen Bereich von Ports über Port 5000, um die dynamische RPC-Portzuordnung zuzulassen. Ports unter 5000 werden möglicherweise bereits von anderen Anwendungen verwendet und können Konflikte mit DCOM-Anwendungen verursachen. Frühere Erfahrungen haben gezeigt, dass mindestens 100 Ports geöffnet sein sollten, da mehrere Systemdienste von diesen RPC-Ports abhängig sind, um miteinander kommunizieren zu können. Weitere Informationen finden Sie unterKonfigurieren der dynamischen RPC-Portzuweisung für den Firewall-Einsatz.
Speicherreplikat (Stretched-Cluster)
Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Speicherreplikat (Stretched-Cluster) konfiguriert sind.
| Regel | Aktion | Quelle | Destination | Dienst | Ports |
|---|---|---|---|---|---|
| Zulassen von Server Message Block SMB-Protokoll |
Zulassen | Server für Stretched Cluster | Server für Stretched Cluster | TCP | 445 |
| Zulassen von Webdienstverwaltung (WS-MAN) |
Zulassen | Server für Stretched Cluster | Server für Stretched Cluster | TCP | 5985 |
| Zulassen von ICMPv4 und ICMPv6 (bei der Verwendung des Test-SRTopologyPowerShell-Cmdlet) |
Zulassen | Server für Stretched Cluster | Server für Stretched Cluster | Nicht zutreffend | Nicht zutreffend |
Aktualisieren der Microsoft Defender-Firewall
In diesem Abschnitt erfahren Sie, wie Sie die Microsoft Defender-Firewall so konfigurieren, dass IP-Adressen, die einem Diensttag zugeordnet sind, eine Verbindung mit dem Betriebssystem herstellen können. Ein Diensttag steht für eine Gruppe von IP-Adressen eines bestimmten Azure-Diensts. Microsoft verwaltet die im Diensttag eingeschlossenen IP-Adressen und aktualisiert das Diensttag automatisch, wenn sich IP-Adressen ändern, damit möglichst wenige Updates erforderlich sind. Weitere Informationen finden Sie unter Diensttags in virtuellen Netzwerken.
Laden Sie die JSON-Datei aus der folgenden Ressource auf den Zielcomputer herunter, auf dem das Betriebssystem ausgeführt wird: Azure IP Ranges and Service Tags – Public Cloud.
Verwenden Sie den folgenden PowerShell-Befehl zum Öffnen der JSON-Datei:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonRufen Sie die Liste der IP-Adressbereiche für ein bestimmtes Diensttag ab, z. B. das
AzureResourceManagerDiensttag:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportieren Sie die Liste der IP-Adressen in Ihre externe Unternehmens-Firewall, wenn Sie eine zugehörige Liste „Zulassen“ verwenden.
Erstellen Sie für jeden Server im Cluster eine Firewallregel, um ausgehenden Datenverkehr für Port 443 (HTTPS) für die Liste der IP-Adressbereiche zuzulassen:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Nächste Schritte
Weitere Informationen finden Sie auch unter:
- Abschnitt „Ports für die Windows-Firewall und WinRM 2.0“ im Artikel Installation und Konfiguration der Windows-Remoteverwaltung