Firewallvereisten voor Azure Local
Van toepassing op: Azure Local, versies 23H2 en 22H2
Dit artikel bevat richtlijnen voor het configureren van firewalls voor het Azure Stack HCI-besturingssysteem. Het omvat firewallvereisten voor uitgaande eindpunten en interne regels en poorten. Het artikel bevat ook informatie over het gebruik van Azure-servicetags met Microsoft Defender-firewall.
In dit artikel wordt ook beschreven hoe u optioneel een maximaal vergrendelde firewallconfiguratie kunt gebruiken om al het verkeer naar alle bestemmingen te blokkeren, met uitzondering van die in uw acceptatielijst.
Als uw netwerk gebruikmaakt van een proxyserver voor internettoegang, raadpleegt u Proxy-instellingen configureren voor Azure Local.
Belangrijk
Azure Express Route en Azure Private Link worden niet ondersteund voor Azure Local, versie 23H2 of een van de onderdelen, omdat het niet mogelijk is om toegang te krijgen tot de openbare eindpunten die vereist zijn voor Azure Local versie 23H2.
Firewallvereisten voor uitgaande eindpunten
Poorten 80 en 443 openen voor uitgaand netwerkverkeer op de firewall van uw organisatie voldoet aan de connectiviteitsvereisten voor het Azure Stack HCI-besturingssysteem om verbinding te maken met Azure en Microsoft Update.
Azure Local moet periodiek verbinding maken met Azure voor:
- Bekende Azure-IP's
- Richting uitgaand
- Poorten 80 (HTTP) en 443 (HTTPS)
Belangrijk
Azure Local biedt geen ondersteuning voor HTTPS-inspectie. Zorg ervoor dat HTTPS-inspectie is uitgeschakeld op uw netwerkpad voor Azure Local om connectiviteitsfouten te voorkomen. Dit omvat het gebruik van Entra ID tenantbeperkingen v1 die niet worden ondersteund voor de netwerkcommunicatie van het lokale beheer van Azure.
Zoals wordt weergegeven in het volgende diagram, heeft Azure Local toegang tot Azure met meer dan één firewall.
Vereiste firewall-URL's voor implementaties van Azure Local, versie 23H2
Vanaf Azure Local, versie 23H2, schakelt alle clusters automatisch azure Resource Bridge en AKS-infrastructuur in en gebruikt de Arc for Servers-agent om verbinding te maken met het Azure-besturingsvlak. Naast de lijst met HCI-specifieke eindpunten in de volgende tabel, moeten de Azure Resource Bridge op lokale Azure-eindpunten, de AKS op Lokale Azure-eindpunten en de eindpunten van servers met Azure Arc worden opgenomen in de acceptatielijst van uw firewall.
Voor een geconsolideerde lijst met eindpunten voor VS - oost die Azure Local, Servers met Arc, ARB en AKS bevat, gebruikt u:
Gebruik voor een geconsolideerde lijst met eindpunten voor Europa - west met Azure Local, Servers met Arc, ARB en AKS:
Gebruik voor een geconsolideerde lijst met eindpunten voor Australië - oost met Azure Local, Servers met Arc, ARB en AKS:
Gebruik voor een geconsolideerde lijst met eindpunten voor Canada Central met Azure Local, Servers met Arc, ARB en AKS:
Gebruik voor een geconsolideerde lijst met eindpunten voor India Central die Azure Local, Arc-servers, ARB en AKS omvat:
Firewallvereisten voor aanvullende Azure-services
Afhankelijk van aanvullende Azure-services die u inschakelt voor Azure Local, moet u mogelijk aanvullende wijzigingen aanbrengen in de firewallconfiguratie. Raadpleeg de volgende koppelingen voor informatie over firewallvereisten voor elke Azure-service:
- Azure Monitor-agent
- Azure-portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) en Log Analytics-agent
- Qualys
- Externe ondersteuning
- Windows-beheercentrum
- Windows Admin Center in Azure Portal
Firewallvereisten voor interne regels en poorten
Zorg ervoor dat de juiste netwerkpoorten zijn geopend tussen alle knooppunten, zowel binnen een site als tussen sites voor stretched instances (functionaliteit voor stretched instances is alleen beschikbaar in Azure Local, versie 22H2.). U hebt de juiste firewallregels nodig om ICMP, SMB (poort 445, plus poort 5445 voor SMB Direct toe te staan als u iWARP RDMA gebruikt) en WS-MAN (poort 5985) bidirectioneel verkeer tussen alle knooppunten in het cluster.
Wanneer u de wizard Maken in het Windows-beheercentrum gebruikt om het cluster te maken, opent de wizard automatisch de juiste firewallpoorten op elke server in het cluster voor failoverclustering, Hyper-V en Opslagreplica. Als u een andere firewall op elke computer gebruikt, opent u de poorten zoals beschreven in de volgende secties:
Azure Stack HCI OS-beheer
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Azure Stack HCI-besturingssysteembeheer, inclusief licenties en facturering.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Binnenkomend/uitgaand verkeer naar en van de Lokale Azure-service op Azure Local Instance-machines toestaan | Toestaan | Exemplaarknooppunten | Exemplaarknooppunten | TCP | 30301 |
Windows Admin Center
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Het Windows-beheercentrum.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Toegang bieden tot Azure en Microsoft Update | Toestaan | Windows Admin Center | Lokaal in Azure | TCP | 445 |
| Windows Remote Management (WinRM) 2.0 gebruiken voor HTTP-verbindingen om opdrachten uit te voeren op externe Windows-servers |
Toestaan | Windows Admin Center | Lokaal in Azure | TCP | 5985 |
| WinRM 2.0 gebruiken voor HTTPS-verbindingen om uit te voeren opdrachten op externe Windows-servers |
Toestaan | Windows Admin Center | Lokaal in Azure | TCP | 5986 |
Notitie
Als u tijdens het installeren van Het Windows-beheercentrum de instelling WinRM via HTTPS gebruiken selecteert, is poort 5986 vereist.
Active Directory
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Active Directory (lokale beveiligingsinstantie).
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Binnenkomende/uitgaande connectiviteit met de Active Directory-webservices (ADWS) en Active Directory Management Gateway Service toestaan | Toestaan | Active Directory Services | Lokaal in Azure | TCP | 9389 |
Netwerktijdprotocol
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Network Time Protocol (NTP).
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Binnenkomende/uitgaande connectiviteit met de NTP-server (Network Time Protocol) toestaan. Deze server kan Active Directory-domeincontrollers of een NTP-apparaat zijn. | Toestaan | Lokaal in Azure | NTP/SNTP-server (Network Time Protocol) | UDP | 123 |
Failoverclustering
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor failoverclustering.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Validatie van failovercluster toestaan | Toestaan | Beheersysteem | Exemplaarknooppunten | TCP | 445 |
| Dynamische RPC-poorttoewijzing toestaan | Toestaan | Beheersysteem | Exemplaarknooppunten | TCP | Minimaal 100 poorten boven poort 5000 |
| Remote Procedure Call (RPC) toestaan | Toestaan | Beheersysteem | Exemplaarknooppunten | TCP | 135 |
| Clusterbeheerder toestaan | Toestaan | Beheersysteem | Exemplaarknooppunten | UDP | 137 |
| Clusterservice toestaan | Toestaan | Beheersysteem | Exemplaarknooppunten | UDP | 3343 |
| Clusterservice toestaan (vereist tijdens een bewerking voor serverdeelname.) |
Toestaan | Beheersysteem | Exemplaarknooppunten | TCP | 3343 |
| ICMPv4 en ICMPv6 toestaan voor validatie van failovercluster |
Toestaan | Beheersysteem | Exemplaarknooppunten | n.v.t. | n.v.t. |
Notitie
Het beheersysteem bevat elke computer waarop u het systeem wilt beheren, met behulp van hulpprogramma's zoals Windows Admin Center, Windows PowerShell of System Center Virtual Machine Manager.
Hyper-V
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Hyper-V.
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Clustercommunicatie toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 445 |
| RPC-eindpunttoewijzing en WMI toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 135 |
| HTTP-connectiviteit toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 80 |
| HTTPS-connectiviteit toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 443 |
| Livemigratie toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 6600 |
| VM-beheerservice toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | 2179 |
| Dynamische RPC-poorttoewijzing toestaan | Toestaan | Beheersysteem | Hyper-V-server | TCP | Minimaal 100 poorten boven poort 5000 |
Notitie
Open een bereik van poorten boven poort 5000 om dynamische RPC-poorttoewijzing toe te staan. Poorten onder de 5000 zijn mogelijk al in gebruik door andere toepassingen en kunnen conflicten veroorzaken met DCOM-toepassingen. Uit eerdere ervaring blijkt dat er minimaal 100 poorten moeten worden geopend, omdat verschillende systeemservices afhankelijk zijn van deze RPC-poorten om met elkaar te communiceren. Zie Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls voor meer informatie.
Opslagreplica (stretched cluster)
Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Opslagreplica (stretched instance).
| Regel | Actie | Bron | Doel | Service | Poorten |
|---|---|---|---|---|---|
| Serverberichtblok toestaan (SMB)-protocol |
Toestaan | Stretched Instance-knooppunten | Stretched Instance-knooppunten | TCP | 445 |
| Webservicesbeheer toestaan (WS-MAN) |
Toestaan | Stretched Instance-knooppunten | Stretched Instance-knooppunten | TCP | 5985 |
| ICMPv4 en ICMPv6 toestaan (als u de Test-SRTopologyPowerShell-cmdlet) |
Toestaan | Stretched Instance-knooppunten | Stretched Instance-knooppunten | n.v.t. | n.v.t. |
Microsoft Defender-firewall bijwerken
In deze sectie wordt beschreven hoe u de Firewall van Microsoft Defender configureert om IP-adressen toe te staan die zijn gekoppeld aan een servicetag om verbinding te maken met het besturingssysteem. Een servicetag vertegenwoordigt een groep IP-adressen van een bepaalde Azure-service. Microsoft beheert de IP-adressen die zijn opgenomen in de servicetag en werkt de servicetag automatisch bij wanneer IP-adressen veranderen om updates tot een minimum te beperken. Zie Servicetags voor virtueel netwerk voor meer informatie.
Download het JSON-bestand van de volgende resource naar de doelcomputer waarop het besturingssysteem wordt uitgevoerd: Azure IP Ranges and Service Tags – Public Cloud.
Gebruik de volgende PowerShell-opdracht om het JSON-bestand te openen:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonHaal de lijst met IP-adresbereiken op voor een bepaalde servicetag, zoals de
AzureResourceManagerservicetag:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImporteer de lijst met IP-adressen naar uw externe bedrijfsfirewall als u er een acceptatielijst mee gebruikt.
Maak een firewallregel voor elk knooppunt in het systeem om uitgaand 443 (HTTPS)-verkeer naar de lijst met IP-adresbereiken toe te staan:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Volgende stappen
Zie ook voor meer informatie:
- De sectie Windows Firewall- en WinRM 2.0-poorten van installatie en configuratie voor Windows Remote Management
- Meer informatie over de implementatie van Azure Local, versie 23H2