Configuration requise pour le pare-feu pour Azure Local
S’applique à : Azure Local, versions 23H2 et 22H2
Cet article fournit des conseils sur la façon de configurer des pare-feu pour le système d’exploitation Azure Stack HCI. Il inclut les exigences de pare-feu pour les points de terminaison sortants et les règles et ports internes. L’article fournit également des informations sur l’utilisation des balises de service Azure avec le pare-feu Microsoft Defender.
Cet article explique également comment utiliser éventuellement une configuration de pare-feu hautement verrouillée pour bloquer tout le trafic vers toutes les destinations, sauf celles incluses dans votre liste d’autorisation.
Si votre réseau utilise un serveur proxy pour l’accès à Internet, consultez Configurer les paramètres de proxy pour Azure Local.
Important
Azure Express Route et Azure Private Link ne sont pas pris en charge pour Azure Local, version 23H2 ou l’un de ses composants, car il n’est pas possible d’accéder aux points de terminaison publics requis pour Azure Local version 23H2.
Exigences de pare-feu pour les points de terminaison sortants
L’ouverture des ports 80 et 443 pour le trafic réseau sortant sur le pare-feu de votre organisation répond aux exigences de connectivité du système d’exploitation Azure Stack HCI pour se connecter à Azure et Microsoft Update.
Azure Local doit se connecter régulièrement à Azure pour :
- Adresses IP Azure connues
- Direction sortante
- Ports 80 (HTTP) et 443 (HTTPS)
Important
Azure Local ne prend pas en charge l’inspection HTTPS. Assurez-vous que l’inspection HTTPS est désactivée le long de votre chemin de mise en réseau pour Azure Local afin d’éviter toute erreur de connectivité.
Comme illustré dans le diagramme suivant, Azure Local peut accéder à Azure à l’aide de plusieurs pare-feu potentiellement.
URL de pare-feu requises pour les déploiements Azure Local, version 23H2
À compter d’Azure Local, version 23H2, tous les clusters activent automatiquement l’infrastructure Azure Resource Bridge et AKS et utilisent l’agent Arc for Servers pour se connecter au plan de contrôle Azure. En plus de la liste des points de terminaison spécifiques À HCI dans le tableau suivant, azure Resource Bridge sur les points de terminaison locaux Azure, AKS sur les points de terminaison locaux Azure et les points de terminaison de serveurs avec Azure Arc doivent être inclus dans la liste verte de votre pare-feu.
Pour obtenir la liste consolidée des points de terminaison pour les ÉTATS-Unis Est qui incluent les serveurs Azure Local, Arc, ARB et AKS, utilisez :
Pour obtenir une liste consolidée de points de terminaison pour l’Europe Ouest qui inclut des serveurs Azure Local, Arc, ARB et AKS, utilisez :
Pour obtenir une liste consolidée de points de terminaison pour l’Australie Est qui inclut des serveurs Azure Local, Arc, ARB et AKS, utilisez :
Pour obtenir une liste consolidée de points de terminaison pour Le Canada Central qui inclut des serveurs Azure Local, Arc, ARB et AKS, utilisez :
Pour obtenir une liste consolidée de points de terminaison pour l’Inde Central qui inclut des serveurs Azure Local, Arc, ARB et AKS, utilisez :
Exigences de pare-feu pour les services Azure supplémentaires
En fonction des services Azure supplémentaires que vous activez pour Azure Local, vous devrez peut-être apporter des modifications supplémentaires à la configuration du pare-feu. Reportez-vous aux liens suivants pour plus d’informations sur les exigences de pare-feu pour chaque service Azure :
- Agent Azure Monitor
- Azure portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) et Log Analytics Agent
- Qualys
- Prise en charge à distance
- Windows Admin Center
- Windows Admin Center dans Portail Azure
Exigences de pare-feu pour les règles et ports internes
Vérifiez que les ports réseau appropriés sont ouverts entre tous les nœuds, à la fois au sein d’un site et entre les sites pour les instances étendues (la fonctionnalité d’instance étendue est disponible uniquement dans Azure Local, version 22H2.). Vous aurez besoin de règles de pare-feu appropriées pour autoriser ICMP, SMB (port 445, plus le port 5445 pour SMB Direct si vous utilisez iWARP RDMA) et le trafic bidirectionnel WS-MAN (port 5985) entre tous les nœuds du cluster.
Lorsque vous utilisez l’Assistant Création dans Windows Admin Center pour créer le cluster, l’Assistant ouvre automatiquement les ports de pare-feu appropriés sur chaque serveur du cluster pour le clustering de basculement, Hyper-V et le réplica de stockage. Si vous utilisez un pare-feu différent sur chaque ordinateur, ouvrez les ports comme décrit dans les sections suivantes :
Gestion du système d’exploitation Azure Stack HCI
Vérifiez que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour la gestion du système d’exploitation Azure Stack HCI, notamment les licences et la facturation.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser le trafic entrant/sortant vers et depuis le service local Azure sur les machines d’instance locale Azure | Autoriser | Nœuds d’instance | Nœuds d’instance | TCP | 30301 |
Windows Admin Center
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour Windows Admin Center.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Fournir l’accès à Azure et Microsoft Update | Autoriser | Windows Admin Center | Azure Local | TCP | 445 |
| Utiliser Windows Remote Management (WinRM) 2.0 pour les connexions HTTP pour exécuter des commandes sur les serveurs Windows à distance |
Autoriser | Windows Admin Center | Azure Local | TCP | 5985 |
| Utiliser WinRM 2.0 pour les connexions HTTPS pour exécuter des commandes sur les serveurs Windows à distance |
Autoriser | Windows Admin Center | Azure Local | TCP | 5986 |
Remarque
Lors de l’installation de Windows Admin Center, si vous sélectionnez le paramètre Use WinRM over HTTPS only (Utiliser WinRM sur HTTPS uniquement), le port 5986 est requis.
Active Directory
Vérifiez que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour Active Directory (autorité de sécurité locale).
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser la connectivité entrante/sortante aux services web Active Directory (ADWS) et au service de passerelle de gestion Active Directory | Autoriser | Services Active Directory | Azure Local | TCP | 9389 |
Clustering de basculement
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour le clustering de basculement.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser la validation du cluster de basculement | Autoriser | Système de gestion | Nœuds d’instance | TCP | 445 |
| Autoriser l’allocation de port dynamique RPC | Autoriser | Système de gestion | Nœuds d’instance | TCP | Minimum de 100 ports au-dessus du port 5000 |
| Autoriser l’appel de procédure distante (RPC) | Autoriser | Système de gestion | Nœuds d’instance | TCP | 135 |
| Autoriser l’administrateur de cluster | Autoriser | Système de gestion | Nœuds d’instance | UDP | 137 |
| Autoriser le service de cluster | Autoriser | Système de gestion | Nœuds d’instance | UDP | 3343 |
| Autoriser le service de cluster (requis pendant une opération de jonction de serveur.) |
Autoriser | Système de gestion | Nœuds d’instance | TCP | 3343 |
| Autoriser ICMPv4 et ICMPv6 pour la validation du cluster de basculement |
Autoriser | Système de gestion | Nœuds d’instance | n/a | n/a |
Remarque
Le système de gestion inclut tout ordinateur à partir duquel vous envisagez d’administrer le système, à l’aide d’outils tels que Windows Admin Center, Windows PowerShell ou System Center Virtual Machine Manager.
Hyper-V
Assurez-vous que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour Hyper-V.
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser la communication intra-cluster | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 445 |
| Autoriser le mappeur de point de terminaison RPC et WMI | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 135 |
| Autoriser la connectivité HTTP | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 80 |
| Autoriser la connectivité HTTPS | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 443 |
| Autoriser la migration dynamique | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 6600 |
| Autoriser le service de gestion des machines virtuelles | Autoriser | Système de gestion | Serveur Hyper-V | TCP | 2179 |
| Autoriser l’allocation de port dynamique RPC | Autoriser | Système de gestion | Serveur Hyper-V | TCP | Minimum de 100 ports au-dessus du port 5000 |
Remarque
Ouvrez une plage de ports au-dessus du port 5000 pour autoriser l’allocation de port dynamique RPC. Les ports inférieurs à 5000 peuvent déjà être utilisés par d’autres applications et provoquer des conflits avec les applications DCOM. L’expérience précédente montre qu’un minimum de 100 ports doivent être ouverts, car plusieurs services système s’appuient sur ces ports RPC pour communiquer entre eux. Pour plus d’informations, consultez Comment configurer l’allocation de port dynamique RPC avec des pare-feu.
Réplica de stockage (cluster étendu)
Vérifiez que les règles de pare-feu suivantes sont configurées dans votre pare-feu local pour le réplica de stockage (instance étendue).
| Règle | Action | Source | Destination | Service | Ports |
|---|---|---|---|---|---|
| Autoriser le protocole SMB (Server Message Block) |
Autoriser | Nœuds d’instance étendus | Nœuds d’instance étendus | TCP | 445 |
| Autoriser Web Services Management (WS-MAN) |
Autoriser | Nœuds d’instance étendus | Nœuds d’instance étendus | TCP | 5985 |
| Autoriser ICMPv4 et ICMPv6 (si vous utilisez l’applet de commande PowerShell Test-SRTopology) |
Autoriser | Nœuds d’instance étendus | Nœuds d’instance étendus | n/a | n/a |
Mettre à jour le pare-feu Microsoft Defender
Cette section montre comment configurer le pare-feu Microsoft Defender pour permettre aux adresses IP qui sont associées à une étiquette de service de se connecter au système d’exploitation. Une étiquette de service représente un groupe d’adresses IP d’un service Azure donné. Microsoft gère les adresses IP incluses dans l’étiquette de service, et met automatiquement à jour l’étiquette de service à mesure que les adresses IP changent, afin de limiter les mises à jour au minimum. Pour plus d’informations, consultez Étiquette de service de réseau virtuel.
Téléchargez le fichier JSON à partir de la ressource suivante sur l’ordinateur cible exécutant le système d’exploitation : Plages d’adresses IP Azure et balises de service – Cloud public.
Utilisez la commande PowerShell suivante pour ouvrir le fichier JSON :
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonObtenez la liste des plages d’adresses IP pour une balise de service donnée, telle que la balise de
AzureResourceManagerservice :$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportez la liste des adresses IP sur votre pare-feu d’entreprise externe, si vous utilisez une liste verte.
Créez une règle de pare-feu pour chaque nœud du système pour autoriser le trafic sortant 443 (HTTPS) vers la liste des plages d’adresses IP :
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Étapes suivantes
Pour plus d'informations, consultez également :
- La section consacrée au Pare-feu Windows et aux ports WinRM 2.0 de la rubrique Installation et configuration de l’administration à distance de Windows
- Voir à propos du déploiement d’Azure Local version 23H2