Requisiti del firewall per Azure Local
Si applica a: Azure Local 2311.2 e versioni successive
Questo articolo fornisce indicazioni su come configurare i firewall per il sistema operativo Azure Stack HCI. Include i requisiti del firewall per gli endpoint in uscita e le regole e le porte interne. L'articolo fornisce anche informazioni su come usare i tag del servizio di Azure con il firewall di Microsoft Defender.
Questo articolo descrive anche come usare facoltativamente una configurazione del firewall altamente bloccata per bloccare tutto il traffico verso tutte le destinazioni, ad eccezione di quelle incluse nell'elenco elementi consentiti.
Se la rete usa un server proxy per l'accesso a Internet, vedere Configurare le impostazioni proxy per Azure Local.If your network uses a proxy server for Internet access, see Configure proxy settings for Azure Local.
Importante
Azure ExpressRoute e Collegamento privato di Azure non sono supportati per Azure Local o per i relativi componenti perché non è possibile accedere agli endpoint pubblici necessari per Azure Local.
Requisiti del firewall per gli endpoint in uscita
L'apertura delle porte 80 e 443 per il traffico di rete in uscita nel firewall dell'organizzazione soddisfa i requisiti di connettività per il sistema operativo Azure Stack HCI per connettersi con Azure e Microsoft Update.
Azure Locale deve connettersi periodicamente ad Azure per:
- Indirizzi IP di Azure noti
- Direzione in uscita
- Porte 80 (HTTP) e 443 (HTTPS)
Importante
Azure Local non supporta l'ispezione HTTPS. Assicurarsi che l'ispezione HTTPS sia disabilitata lungo il percorso di rete per Azure Local per evitare eventuali errori di connettività. Ciò include l'uso di Entra ID restrizioni del tenant v1 che non è supportato per la comunicazione di rete di gestione locale di Azure.
Come illustrato nel diagramma seguente, Azure Local può accedere ad Azure usando potenzialmente più firewall.
URL del firewall necessari per le distribuzioni locali di Azure
Le istanze locali di Azure abilitano automaticamente il bridge di risorse di Azure e l'infrastruttura del servizio Azure Kubernetes e usano l'agente Arc for Servers per connettersi al piano di controllo di Azure. Insieme all'elenco di endpoint specifici di HCI nella tabella seguente, il Azure Resource Bridge negli endpoint di Azure Locale, gli endpoint AKS negli endpoint di Azure Locale e gli endpoint dei server abilitati per Azure Arc devono essere inclusi nell'elenco di permisso del firewall.
Per un elenco consolidato di endpoint per l'Est degli Stati Uniti che includono Azure Locale, server abilitati ad Arc, ARB e AKS, usare:
Per un elenco consolidato di endpoint per l'Europa occidentale che include Azure Locale, server abilitati per Arc, ARB e Azure Kubernetes Service (AKS), usare:
Per un elenco consolidato di endpoint per Australia East che include Azure Local, server abilitati Arc, ARB e AKS (Azure Kubernetes Service), usare:
Per un elenco consolidato di endpoint per il Canada Central che include Azure Locale, server abilitati per Arc, ARB e Azure Kubernetes Service, usare:
Per un elenco consolidato di endpoint per India Central che include Azure Local, server abilitati per Arc, ARB e Azure Kubernetes Service, usare:
Per un elenco consolidato di endpoint per l'Asia sud-orientale che include Azure Local, server abilitati per Arc, ARB e Azure Kubernetes Service, usare:
Per un elenco consolidato di endpoint per il Giappone orientale, che include Azure Locale, server abilitati Arc, ARB e AKS, usare:
- endpoint obbligatori in Giappone orientale per l' locale di Azure
Per un elenco consolidato di endpoint per il Sud centrale degli Stati Uniti che include Azure Local, server abilitati Arc, ARB e AKS (Azure Kubernetes Service), utilizzare:
Requisiti del firewall per servizi di Azure aggiuntivi
A seconda dei servizi di Azure aggiuntivi abilitati per Azure Locale, potrebbe essere necessario apportare altre modifiche alla configurazione del firewall. Per informazioni sui requisiti del firewall per ogni servizio di Azure, vedere i collegamenti seguenti:
- Agente di Monitoraggio di Azure
- Azure portal
- Azure Site Recovery
- Azure Desktop virtuale
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) e Log Analytics Agent
- Qualys
- Supporto remoto
- Windows Admin Center
- Windows Admin Center nel portale di Azure
Requisiti del firewall per le regole e le porte interne
Assicurarsi che le porte di rete appropriate siano aperte tra tutti i nodi, sia all'interno di un sito che tra siti per le istanze estese (la funzionalità dell'istanza estesa è disponibile solo in Azure Stack HCI versione 22H2). Sono necessarie regole del firewall appropriate per consentire ICMP, SMB (porta 445, più la porta 5445 per SMB diretto se si usa iWARP RDMA) e il traffico bidirezionale WS-MAN (porta 5985) tra tutti i nodi del cluster.
Quando si usa la Creazione guidata in Windows Admin Center per creare il cluster, la procedura guidata apre automaticamente le porte del firewall appropriate in ogni server del cluster per Clustering di failover, Hyper-V e Replica di archiviazione. Se si usa un firewall diverso in ogni computer, aprire le porte come descritto nelle sezioni seguenti:
Gestione del sistema operativo Azure Stack HCI
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per la gestione del sistema operativo Azure Stack HCI, incluse le licenze e la fatturazione.
| Regola | Azione | Source (Sorgente) | Destinazione | Servizio | Porti |
|---|---|---|---|---|---|
| Consentire il traffico in ingresso/in uscita da e verso il servizio locale di Azure nei computer locali di Azure | Consenti | Nodi dell'istanza | Nodi dell'istanza | TCP | 30301 |
Centro Amministrazione Windows
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Windows Admin Center.
| Regola | Azione | Source (Sorgente) | Destinazione | Servizio | Porti |
|---|---|---|---|---|---|
| Fornire l'accesso ad Azure e Microsoft Update | Consenti | Windows Admin Center (Centro di Amministrazione di Windows) | Azure locale | TCP | 445 |
| Usare Gestione remota Windows (WinRM) 2.0 per le connessioni HTTP per l'esecuzione di comandi sui server Windows remoti |
Consenti | Windows Admin Center | Locale di Azure | TCP | 5985 |
| Usare WinRM 2.0 per le connessioni HTTPS da eseguire comandi nei server Windows remoti |
Consenti | Windows Admin Center (Centro di amministrazione di Windows) | Azure Local | TCP | 5986 |
Nota
Durante l'installazione di Windows Admin Center, se si seleziona l'impostazione Usa WinRM solo su HTTPS, è necessaria la porta 5986.
Active Directory
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Active Directory (autorità di sicurezza locale).
| Regola | Azione | Fonte | Destinazione | Servizio | Porti |
|---|---|---|---|---|---|
| Consentire la connettività in ingresso/in uscita ai servizi Web Active Directory (ADWS) e al servizio Gateway di gestione Active Directory | Consenti | Servizi di Active Directory | Azure Locale | TCP | 9389 |
Protocollo ora di rete
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per il protocollo NTP (Network Time Protocol).
| Regola | Azione | Sorgente | Destinazione | Servizio | Porte |
|---|---|---|---|---|---|
| Consentire la connettività in ingresso/in uscita al server NTP (Network Time Protocol). Questo server può essere controller di dominio Active Directory o un'appliance NTP. | Consenti | Locale di Azure | Server NTP/SNTP (Network Time Protocol) | UDP | 123 |
Clustering di failover
Assicurati che le seguenti regole del firewall siano configurate nel firewall della tua sede per il clustering di failover.
| Regola | Azione | Sorgente | Destinazione | Servizio | Porti |
|---|---|---|---|---|---|
| Consenti la convalida del cluster di failover | Consenti | Sistema di gestione | Nodi dell'istanza | TCP | 445 |
| Consenti allocazione di porte dinamiche RPC | Consenti | Sistema di gestione | Nodi dell'istanza | TCP | Un minimo di 100 porte sopra la porta 5000 |
| Consenti la chiamata di procedura remota (RPC) | Consenti | Sistema di gestione | Nodi dell'istanza | TCP | 135 |
| Consenti l'amministratore cluster | Consenti | Sistema di gestione | Nodi dell'istanza | UDP | 137 |
| Consenti servizio cluster | Consenti | Sistema di gestione | Nodi dell'istanza | UDP | 3343 |
| Consenti servizio cluster (obbligatorio durante un'operazione di associazione al server. |
Consenti | Sistema di gestione | Nodi dell'istanza | TCP | 3343 |
| Consenti ICMPv4 e ICMPv6 per la convalida del cluster di failover |
Consenti | Sistema di gestione | Nodi dell'istanza | n/a | n/d |
Nota
Il sistema di gestione include qualsiasi computer da cui si prevede di amministrare il sistema, usando strumenti come Windows Admin Center, Windows PowerShell o System Center Virtual Machine Manager.
Hyper-V
Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Hyper-V.
| Regola | Azione | Source (Sorgente) | Destinazione | Servizio | Porte |
|---|---|---|---|---|---|
| Consenti comunicazione del cluster | Consenti | Sistema di gestione | Server Hyper-V | TCP | 445 |
| Consenti mapper endpoint RPC e WMI | Consenti | Sistema di gestione | Server Hyper-V | TCP | 135 |
| Consenti connettività HTTP | Consenti | Sistema di gestione | Server Hyper-V | TCP | 80 |
| Consenti connettività HTTPS | Consenti | Sistema di gestione | Server Hyper-V | TCP | 443 |
| Consenti migrazione in tempo reale | Consenti | Sistema di gestione | Server Hyper-V | TCP | 6600 |
| Consenti servizio di gestione delle macchine virtuali | Consenti | Sistema di gestione | Server Hyper-V | TCP | 2179 |
| Consenti allocazione di porte dinamiche RPC | Consenti | Sistema di gestione | Server Hyper-V | TCP | Un minimo di 100 porte sopra la porta 5000 |
Nota
Aprire un intervallo di porte sopra la porta 5000 per consentire l'allocazione di porte dinamiche RPC. Le porte inferiori a 5000 potrebbero essere già in uso da altre applicazioni e potrebbero causare conflitti con le applicazioni DCOM. L'esperienza precedente mostra che devono essere aperte almeno 100 porte, perché diversi servizi di sistema si basano su queste porte RPC per comunicare tra loro. Per altre informazioni, vedere Come configurare l'allocazione di porte dinamiche RPC per l'uso con i firewall.
Replica di archiviazione (cluster esteso)
Assicurarsi che le seguenti regole del firewall siano configurate nel firewall locale per Replica di Archiviazione (Istanza Estesa).
| Regola | Azione | Source (Sorgente) | Destinazione | Servizio | Porte |
|---|---|---|---|---|---|
| Consenti blocco messaggi server Protocollo (SMB) |
Consenti | Nodi dell'istanza estesa | Nodi dell'istanza estesa | TCP | 445 |
| Consenti gestione dei servizi Web (WS-MAN) |
Consenti | Nodi dell'istanza estesa | Nodi dell'istanza estesa | TCP | 5985 |
| Consenti ICMPv4 e ICMPv6 (se si usa Test-SRTopologyCmdlet di PowerShell) |
Consenti | Nodi dell'istanza estesa | Nodi dell'istanza estesa | n/a | N/D |
Aggiornare il firewall di Microsoft Defender
Questa sezione illustra come configurare il firewall di Microsoft Defender per consentire agli indirizzi IP associati a un tag di servizio di connettersi al sistema operativo. Un tag di servizio rappresenta un gruppo di indirizzi IP da un determinato servizio di Azure. Microsoft gestisce gli indirizzi IP inclusi nel tag del servizio e aggiorna automaticamente il tag del servizio quando gli indirizzi IP cambiano per mantenere gli aggiornamenti minimi. Per altre informazioni, vedere Tag del servizio di rete virtuale.
Scaricare il file JSON dalla risorsa seguente nel computer di destinazione che esegue il sistema operativo: Intervalli IP di Azure e Tag di servizio - Cloud pubblico.
Usare il comando di PowerShell seguente per aprire il file JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonOttenere l'elenco di intervalli di indirizzi IP per un tag di servizio specifico, ad esempio il tag del
AzureResourceManagerservizio:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportare l'elenco di indirizzi IP nel firewall aziendale esterno, se si utilizza un elenco di approvazione.
Creare una regola del firewall per ogni nodo del sistema per consentire il traffico in uscita sulla porta 443 (HTTPS) verso l'elenco di intervalli di indirizzi IP.
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Passaggi successivi
Per ulteriori informazioni, vedere anche:
- La sezione Porte Windows Firewall e WinRM 2.0 di Installazione e configurazione per Windows Remote Management.
- Informazioni sulla distribuzione locale di Azure.