Condividi tramite


Requisiti del firewall per Azure Local

Si applica a: Azure Local 2311.2 e versioni successive

Questo articolo fornisce indicazioni su come configurare i firewall per il sistema operativo Azure Stack HCI. Include i requisiti del firewall per gli endpoint in uscita e le regole e le porte interne. L'articolo fornisce anche informazioni su come usare i tag del servizio di Azure con il firewall di Microsoft Defender.

Questo articolo descrive anche come usare facoltativamente una configurazione del firewall altamente bloccata per bloccare tutto il traffico verso tutte le destinazioni, ad eccezione di quelle incluse nell'elenco elementi consentiti.

Se la rete usa un server proxy per l'accesso a Internet, vedere Configurare le impostazioni proxy per Azure Local.If your network uses a proxy server for Internet access, see Configure proxy settings for Azure Local.

Importante

Azure ExpressRoute e Collegamento privato di Azure non sono supportati per Azure Local o per i relativi componenti perché non è possibile accedere agli endpoint pubblici necessari per Azure Local.

Requisiti del firewall per gli endpoint in uscita

L'apertura delle porte 80 e 443 per il traffico di rete in uscita nel firewall dell'organizzazione soddisfa i requisiti di connettività per il sistema operativo Azure Stack HCI per connettersi con Azure e Microsoft Update.

Azure Locale deve connettersi periodicamente ad Azure per:

  • Indirizzi IP di Azure noti
  • Direzione in uscita
  • Porte 80 (HTTP) e 443 (HTTPS)

Importante

Azure Local non supporta l'ispezione HTTPS. Assicurarsi che l'ispezione HTTPS sia disabilitata lungo il percorso di rete per Azure Local per evitare eventuali errori di connettività. Ciò include l'uso di Entra ID restrizioni del tenant v1 che non è supportato per la comunicazione di rete di gestione locale di Azure.

Come illustrato nel diagramma seguente, Azure Local può accedere ad Azure usando potenzialmente più firewall.

Diagramma che mostra gli endpoint dei tag del servizio di accesso locale di Azure tramite la porta 443 (HTTPS) dei firewall.

URL del firewall necessari per le distribuzioni locali di Azure

Le istanze locali di Azure abilitano automaticamente il bridge di risorse di Azure e l'infrastruttura del servizio Azure Kubernetes e usano l'agente Arc for Servers per connettersi al piano di controllo di Azure. Insieme all'elenco di endpoint specifici di HCI nella tabella seguente, il Azure Resource Bridge negli endpoint di Azure Locale, gli endpoint AKS negli endpoint di Azure Locale e gli endpoint dei server abilitati per Azure Arc devono essere inclusi nell'elenco di permisso del firewall.

Per un elenco consolidato di endpoint per l'Est degli Stati Uniti che includono Azure Locale, server abilitati ad Arc, ARB e AKS, usare:

Per un elenco consolidato di endpoint per l'Europa occidentale che include Azure Locale, server abilitati per Arc, ARB e Azure Kubernetes Service (AKS), usare:

Per un elenco consolidato di endpoint per Australia East che include Azure Local, server abilitati Arc, ARB e AKS (Azure Kubernetes Service), usare:

Per un elenco consolidato di endpoint per il Canada Central che include Azure Locale, server abilitati per Arc, ARB e Azure Kubernetes Service, usare:

Per un elenco consolidato di endpoint per India Central che include Azure Local, server abilitati per Arc, ARB e Azure Kubernetes Service, usare:

Per un elenco consolidato di endpoint per l'Asia sud-orientale che include Azure Local, server abilitati per Arc, ARB e Azure Kubernetes Service, usare:

Per un elenco consolidato di endpoint per il Giappone orientale, che include Azure Locale, server abilitati Arc, ARB e AKS, usare:

Per un elenco consolidato di endpoint per il Sud centrale degli Stati Uniti che include Azure Local, server abilitati Arc, ARB e AKS (Azure Kubernetes Service), utilizzare:

Requisiti del firewall per servizi di Azure aggiuntivi

A seconda dei servizi di Azure aggiuntivi abilitati per Azure Locale, potrebbe essere necessario apportare altre modifiche alla configurazione del firewall. Per informazioni sui requisiti del firewall per ogni servizio di Azure, vedere i collegamenti seguenti:

Requisiti del firewall per le regole e le porte interne

Assicurarsi che le porte di rete appropriate siano aperte tra tutti i nodi, sia all'interno di un sito che tra siti per le istanze estese (la funzionalità dell'istanza estesa è disponibile solo in Azure Stack HCI versione 22H2). Sono necessarie regole del firewall appropriate per consentire ICMP, SMB (porta 445, più la porta 5445 per SMB diretto se si usa iWARP RDMA) e il traffico bidirezionale WS-MAN (porta 5985) tra tutti i nodi del cluster.

Quando si usa la Creazione guidata in Windows Admin Center per creare il cluster, la procedura guidata apre automaticamente le porte del firewall appropriate in ogni server del cluster per Clustering di failover, Hyper-V e Replica di archiviazione. Se si usa un firewall diverso in ogni computer, aprire le porte come descritto nelle sezioni seguenti:

Gestione del sistema operativo Azure Stack HCI

Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per la gestione del sistema operativo Azure Stack HCI, incluse le licenze e la fatturazione.

Regola Azione Source (Sorgente) Destinazione Servizio Porti
Consentire il traffico in ingresso/in uscita da e verso il servizio locale di Azure nei computer locali di Azure Consenti Nodi dell'istanza Nodi dell'istanza TCP 30301

Centro Amministrazione Windows

Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Windows Admin Center.

Regola Azione Source (Sorgente) Destinazione Servizio Porti
Fornire l'accesso ad Azure e Microsoft Update Consenti Windows Admin Center (Centro di Amministrazione di Windows) Azure locale TCP 445
Usare Gestione remota Windows (WinRM) 2.0
per le connessioni HTTP per l'esecuzione di comandi
sui server Windows remoti
Consenti Windows Admin Center Locale di Azure TCP 5985
Usare WinRM 2.0 per le connessioni HTTPS da eseguire
comandi nei server Windows remoti
Consenti Windows Admin Center (Centro di amministrazione di Windows) Azure Local TCP 5986

Nota

Durante l'installazione di Windows Admin Center, se si seleziona l'impostazione Usa WinRM solo su HTTPS, è necessaria la porta 5986.

Active Directory

Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Active Directory (autorità di sicurezza locale).

Regola Azione Fonte Destinazione Servizio Porti
Consentire la connettività in ingresso/in uscita ai servizi Web Active Directory (ADWS) e al servizio Gateway di gestione Active Directory Consenti Servizi di Active Directory Azure Locale TCP 9389

Protocollo ora di rete

Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per il protocollo NTP (Network Time Protocol).

Regola Azione Sorgente Destinazione Servizio Porte
Consentire la connettività in ingresso/in uscita al server NTP (Network Time Protocol). Questo server può essere controller di dominio Active Directory o un'appliance NTP. Consenti Locale di Azure Server NTP/SNTP (Network Time Protocol) UDP 123

Clustering di failover

Assicurati che le seguenti regole del firewall siano configurate nel firewall della tua sede per il clustering di failover.

Regola Azione Sorgente Destinazione Servizio Porti
Consenti la convalida del cluster di failover Consenti Sistema di gestione Nodi dell'istanza TCP 445
Consenti allocazione di porte dinamiche RPC Consenti Sistema di gestione Nodi dell'istanza TCP Un minimo di 100 porte
sopra la porta 5000
Consenti la chiamata di procedura remota (RPC) Consenti Sistema di gestione Nodi dell'istanza TCP 135
Consenti l'amministratore cluster Consenti Sistema di gestione Nodi dell'istanza UDP 137
Consenti servizio cluster Consenti Sistema di gestione Nodi dell'istanza UDP 3343
Consenti servizio cluster (obbligatorio durante
un'operazione di associazione al server.
Consenti Sistema di gestione Nodi dell'istanza TCP 3343
Consenti ICMPv4 e ICMPv6
per la convalida del cluster di failover
Consenti Sistema di gestione Nodi dell'istanza n/a n/d

Nota

Il sistema di gestione include qualsiasi computer da cui si prevede di amministrare il sistema, usando strumenti come Windows Admin Center, Windows PowerShell o System Center Virtual Machine Manager.

Hyper-V

Assicurarsi che le regole del firewall seguenti siano configurate nel firewall locale per Hyper-V.

Regola Azione Source (Sorgente) Destinazione Servizio Porte
Consenti comunicazione del cluster Consenti Sistema di gestione Server Hyper-V TCP 445
Consenti mapper endpoint RPC e WMI Consenti Sistema di gestione Server Hyper-V TCP 135
Consenti connettività HTTP Consenti Sistema di gestione Server Hyper-V TCP 80
Consenti connettività HTTPS Consenti Sistema di gestione Server Hyper-V TCP 443
Consenti migrazione in tempo reale Consenti Sistema di gestione Server Hyper-V TCP 6600
Consenti servizio di gestione delle macchine virtuali Consenti Sistema di gestione Server Hyper-V TCP 2179
Consenti allocazione di porte dinamiche RPC Consenti Sistema di gestione Server Hyper-V TCP Un minimo di 100 porte
sopra la porta 5000

Nota

Aprire un intervallo di porte sopra la porta 5000 per consentire l'allocazione di porte dinamiche RPC. Le porte inferiori a 5000 potrebbero essere già in uso da altre applicazioni e potrebbero causare conflitti con le applicazioni DCOM. L'esperienza precedente mostra che devono essere aperte almeno 100 porte, perché diversi servizi di sistema si basano su queste porte RPC per comunicare tra loro. Per altre informazioni, vedere Come configurare l'allocazione di porte dinamiche RPC per l'uso con i firewall.

Replica di archiviazione (cluster esteso)

Assicurarsi che le seguenti regole del firewall siano configurate nel firewall locale per Replica di Archiviazione (Istanza Estesa).

Regola Azione Source (Sorgente) Destinazione Servizio Porte
Consenti blocco messaggi server
Protocollo (SMB)
Consenti Nodi dell'istanza estesa Nodi dell'istanza estesa TCP 445
Consenti gestione dei servizi Web
(WS-MAN)
Consenti Nodi dell'istanza estesa Nodi dell'istanza estesa TCP 5985
Consenti ICMPv4 e ICMPv6
(se si usa Test-SRTopology
Cmdlet di PowerShell)
Consenti Nodi dell'istanza estesa Nodi dell'istanza estesa n/a N/D

Aggiornare il firewall di Microsoft Defender

Questa sezione illustra come configurare il firewall di Microsoft Defender per consentire agli indirizzi IP associati a un tag di servizio di connettersi al sistema operativo. Un tag di servizio rappresenta un gruppo di indirizzi IP da un determinato servizio di Azure. Microsoft gestisce gli indirizzi IP inclusi nel tag del servizio e aggiorna automaticamente il tag del servizio quando gli indirizzi IP cambiano per mantenere gli aggiornamenti minimi. Per altre informazioni, vedere Tag del servizio di rete virtuale.

  1. Scaricare il file JSON dalla risorsa seguente nel computer di destinazione che esegue il sistema operativo: Intervalli IP di Azure e Tag di servizio - Cloud pubblico.

  2. Usare il comando di PowerShell seguente per aprire il file JSON:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Ottenere l'elenco di intervalli di indirizzi IP per un tag di servizio specifico, ad esempio il tag del AzureResourceManager servizio:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importare l'elenco di indirizzi IP nel firewall aziendale esterno, se si utilizza un elenco di approvazione.

  5. Creare una regola del firewall per ogni nodo del sistema per consentire il traffico in uscita sulla porta 443 (HTTPS) verso l'elenco di intervalli di indirizzi IP.

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Passaggi successivi

Per ulteriori informazioni, vedere anche: