Requisiti del firewall per Azure Local
Si applica a: Locale di Azure, versioni 23H2 e 22H2
Questo articolo fornisce indicazioni su come configurare i firewall per il sistema operativo Azure Stack HCI. Include i requisiti del firewall per gli endpoint in uscita e le regole e le porte interne. L'articolo fornisce anche informazioni su come usare i tag del servizio di Azure con il firewall di Microsoft Defender.
Questo articolo descrive anche come usare facoltativamente una configurazione del firewall altamente bloccata per bloccare tutto il traffico verso tutte le destinazioni, ad eccezione di quelle incluse nell'elenco elementi consentiti.
Se la rete usa un server proxy per l'accesso a Internet, vedere Configurare le impostazioni proxy per Azure Local.If your network uses a proxy server for Internet access, see Configure proxy settings for Azure Local.
Importante
Azure ExpressRoute e collegamento privato di Azure non sono supportati per Azure Local, version 23H2 o uno dei relativi componenti poiché non è possibile accedere agli endpoint pubblici necessari per Azure Local, versione 23H2.
Requisiti del firewall per gli endpoint in uscita
L'apertura delle porte 80 e 443 per il traffico di rete in uscita nel firewall dell'organizzazione soddisfa i requisiti di connettività per il sistema operativo Azure Stack HCI per connettersi con Azure e Microsoft Update.
Azure Locale deve connettersi periodicamente ad Azure per:
- Indirizzi IP di Azure noti
- Direzione in uscita
- Porte 80 (HTTP) e 443 (HTTPS)
Importante
Azure Local non supporta l'ispezione HTTPS. Assicurarsi che l'ispezione HTTPS sia disabilitata lungo il percorso di rete per Azure Local per evitare eventuali errori di connettività.
Come illustrato nel diagramma seguente, Azure Local può accedere ad Azure usando potenzialmente più firewall.
URL del firewall necessari per le distribuzioni locali di Azure, versione 23H2
A partire da Locale di Azure, versione 23H2, tutti i cluster abilitano automaticamente l'infrastruttura di Azure Resource Bridge e il servizio Azure Kubernetes e usano l'agente Arc for Servers per connettersi al piano di controllo di Azure. Insieme all'elenco di endpoint specifici di HCI nella tabella seguente, il bridge di risorse di Azure negli endpoint locali di Azure, il servizio Azure Kubernetes negli endpoint locali di Azure e gli endpoint dei server abilitati per Azure Arc devono essere inclusi nell'elenco elementi consentiti del firewall.
Per un elenco consolidato di endpoint per Stati Uniti orientali che includono server abilitati per Azure Locale, Arc, ARB e servizio Azure Kubernetes, usare:
Per un elenco consolidato di endpoint per l'Europa occidentale che include i server abilitati per Azure Locale, Arc, ARB e servizio Azure Kubernetes, usare:
Per un elenco consolidato di endpoint per l'Australia orientale che include i server abilitati per Azure Locale, Arc, ARB e servizio Azure Kubernetes, usare:
Per un elenco consolidato di endpoint per Canada Central che include server abilitati per Azure locale, Arc, ARB e servizio Azure Kubernetes, usare:
Per un elenco consolidato di endpoint per India Central che include server abilitati per Azure locale, Arc, ARB e servizio Azure Kubernetes, usare:
Requisiti del firewall per servizi di Azure aggiuntivi
A seconda dei servizi di Azure aggiuntivi abilitati per Azure Locale, potrebbe essere necessario apportare altre modifiche alla configurazione del firewall. Per informazioni sui requisiti del firewall per ogni servizio di Azure, vedere i collegamenti seguenti:
- Agente di Monitoraggio di Azure
- Azure portal
- Azure Site Recovery
- Desktop virtuale Azure
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) e Log Analytics Agent
- Qualys
- Supporto remoto
- Windows Admin Center
- Windows Admin Center in portale di Azure
Requisiti del firewall per le regole e le porte interne
Assicurarsi che le porte di rete appropriate siano aperte tra tutti i nodi, sia all'interno di un sito che tra siti per le istanze estese (la funzionalità dell'istanza estesa è disponibile solo in Locale di Azure versione 22H2). Sono necessarie regole del firewall appropriate per consentire ICMP, SMB (porta 445, più la porta 5445 per SMB diretto se si usa iWARP RDMA) e il traffico bidirezionale WS-MAN (porta 5985) tra tutti i nodi del cluster.
Quando si usa la Creazione guidata in Windows Admin Center per creare il cluster, la procedura guidata apre automaticamente le porte del firewall appropriate in ogni server del cluster per Clustering di failover, Hyper-V e Replica di archiviazione. Se si usa un firewall diverso in ogni computer, aprire le porte come descritto nelle sezioni seguenti:
Gestione del sistema operativo Azure Stack HCI
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per la gestione del sistema operativo Azure Stack HCI, incluse le licenze e la fatturazione.
| Regola | Azione | Source (Sorgente) | Destination | Service | Porti |
|---|---|---|---|---|---|
| Consentire il traffico in ingresso/in uscita da e verso il servizio locale di Azure nei computer dell'istanza locale di Azure | Consenti | Nodi dell'istanza | Nodi dell'istanza | TCP | 30301 |
Windows Admin Center
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Windows Admin Center.
| Regola | Azione | Source (Sorgente) | Destination | Service | Porti |
|---|---|---|---|---|---|
| Fornire l'accesso ad Azure e Microsoft Update | Consenti | Windows Admin Center | Locale di Azure | TCP | 445 |
| Usare Gestione remota Windows (WinRM) 2.0 per le connessioni HTTP per l'esecuzione di comandi nei server Windows remoti |
Consenti | Windows Admin Center | Locale di Azure | TCP | 5985 |
| Usare WinRM 2.0 per le connessioni HTTPS da eseguire comandi nei server Windows remoti |
Consenti | Windows Admin Center | Locale di Azure | TCP | 5986 |
Nota
Durante l'installazione di Windows Admin Center, se si seleziona l'impostazione Usa WinRM solo su HTTPS, è necessaria la porta 5986.
Active Directory
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Active Directory (autorità di sicurezza locale).
| Regola | Azione | Source (Sorgente) | Destination | Service | Porti |
|---|---|---|---|---|---|
| Consentire la connettività in ingresso/in uscita ai servizi Web Active Directory (ADWS) e al servizio Gateway di gestione Active Directory | Consenti | Servizi di Active Directory | Locale di Azure | TCP | 9389 |
Clustering di failover
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per il clustering di failover.
| Regola | Azione | Source (Sorgente) | Destination | Service | Porti |
|---|---|---|---|---|---|
| Consenti convalida cluster di failover | Consenti | Sistema di gestione | Nodi dell'istanza | TCP | 445 |
| Consenti allocazione di porte dinamiche RPC | Consenti | Sistema di gestione | Nodi dell'istanza | TCP | Minimo 100 porte sopra la porta 5000 |
| Allow Remote Procedure Call (RPC) | Consenti | Sistema di gestione | Nodi dell'istanza | TCP | 135 |
| Consenti amministratore cluster | Consenti | Sistema di gestione | Nodi dell'istanza | UDP | 137 |
| Consenti servizio cluster | Consenti | Sistema di gestione | Nodi dell'istanza | UDP | 3343 |
| Consenti servizio cluster (obbligatorio durante un'operazione di aggiunta al server. |
Consenti | Sistema di gestione | Nodi dell'istanza | TCP | 3343 |
| Consenti ICMPv4 e ICMPv6 per la convalida del cluster di failover |
Consenti | Sistema di gestione | Nodi dell'istanza | n/d | n/d |
Nota
Il sistema di gestione include qualsiasi computer da cui si prevede di amministrare il sistema, usando strumenti come Windows Admin Center, Windows PowerShell o System Center Virtual Machine Manager.
Hyper-V
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Hyper-V.
| Regola | Azione | Source (Sorgente) | Destination | Service | Porti |
|---|---|---|---|---|---|
| Consenti comunicazione cluster | Consenti | Sistema di gestione | Server Hyper-V | TCP | 445 |
| Consenti mapper endpoint RPC e WMI | Consenti | Sistema di gestione | Server Hyper-V | TCP | 135 |
| Consenti connettività HTTP | Consenti | Sistema di gestione | Server Hyper-V | TCP | 80 |
| Consenti connettività HTTPS | Consenti | Sistema di gestione | Server Hyper-V | TCP | 443 |
| Consenti migrazione in tempo reale | Consenti | Sistema di gestione | Server Hyper-V | TCP | 6600 |
| Consenti servizio di gestione delle macchine virtuali | Consenti | Sistema di gestione | Server Hyper-V | TCP | 2179 |
| Consenti allocazione di porte dinamiche RPC | Consenti | Sistema di gestione | Server Hyper-V | TCP | Minimo 100 porte sopra la porta 5000 |
Nota
Aprire un intervallo di porte sopra la porta 5000 per consentire l'allocazione di porte dinamiche RPC. Le porte inferiori a 5000 potrebbero essere già in uso da altre applicazioni e potrebbero causare conflitti con le applicazioni DCOM. L'esperienza precedente mostra che devono essere aperte almeno 100 porte, perché diversi servizi di sistema si basano su queste porte RPC per comunicare tra loro. Per altre informazioni, vedere Come configurare l'allocazione di porte dinamiche RPC per l'uso con i firewall.
Replica archiviazione (cluster esteso)
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Replica archiviazione (istanza estesa).
| Regola | Azione | Source (Sorgente) | Destination | Service | Porti |
|---|---|---|---|---|---|
| Consenti blocco messaggi server Protocollo (SMB) |
Consenti | Nodi dell'istanza estesa | Nodi dell'istanza estesa | TCP | 445 |
| Consenti gestione dei servizi Web (WS-MAN) |
Consenti | Nodi dell'istanza estesa | Nodi dell'istanza estesa | TCP | 5985 |
| Consenti ICMPv4 e ICMPv6 (se si usa Test-SRTopologyCmdlet di PowerShell) |
Consenti | Nodi dell'istanza estesa | Nodi dell'istanza estesa | n/d | n/d |
Aggiornare il firewall di Microsoft Defender
Questa sezione illustra come configurare il firewall di Microsoft Defender per consentire agli indirizzi IP associati a un tag di servizio di connettersi al sistema operativo. Un tag di servizio rappresenta un gruppo di indirizzi IP da un determinato servizio di Azure. Microsoft gestisce gli indirizzi IP inclusi nel tag del servizio e aggiorna automaticamente il tag del servizio quando gli indirizzi IP cambiano per mantenere gli aggiornamenti minimi. Per altre informazioni, vedere Tag del servizio di rete virtuale.
Scaricare il file JSON dalla risorsa seguente nel computer di destinazione che esegue il sistema operativo: Intervalli IP di Azure e Tag di servizio - Cloud pubblico.
Usare il comando di PowerShell seguente per aprire il file JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonOttenere l'elenco di intervalli di indirizzi IP per un tag di servizio specifico, ad esempio il tag del
AzureResourceManagerservizio:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportare l'elenco di indirizzi IP nel firewall aziendale esterno, se si usa un elenco elementi consentiti.
Creare una regola del firewall per ogni nodo del sistema per consentire il traffico 443 (HTTPS) in uscita all'elenco di intervalli di indirizzi IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Passaggi successivi
Per ulteriori informazioni, vedere anche:
- Sezione Porte windows Firewall e WinRM 2.0 di Installazione e configurazione per Gestione remota Windows
- Vedere Informazioni sulla distribuzione locale di Azure versione 23H2