Delen via


Firewallvereisten voor Azure Local

Van toepassing op: Azure Local 2311.2 en hoger

Dit artikel bevat richtlijnen voor het configureren van firewalls voor het Azure Stack HCI-besturingssysteem. Het omvat firewallvereisten voor uitgaande eindpunten en interne regels en poorten. Het artikel bevat ook informatie over het gebruik van Azure-servicetags met Microsoft Defender-firewall.

In dit artikel wordt ook beschreven hoe u optioneel een maximaal vergrendelde firewallconfiguratie kunt gebruiken om al het verkeer naar alle bestemmingen te blokkeren, met uitzondering van die in uw acceptatielijst.

Als uw netwerk gebruikmaakt van een proxyserver voor internettoegang, raadpleegt u Proxy-instellingen configureren voor Azure Local.

Belangrijk

Azure Express Route en Azure Private Link worden niet ondersteund voor Azure Local of een van de bijbehorende onderdelen, omdat het niet mogelijk is om toegang te krijgen tot de openbare eindpunten die vereist zijn voor Azure Local.

Firewallvereisten voor uitgaande eindpunten

Poorten 80 en 443 openen voor uitgaand netwerkverkeer op de firewall van uw organisatie voldoet aan de connectiviteitsvereisten voor het Azure Stack HCI-besturingssysteem om verbinding te maken met Azure en Microsoft Update.

Azure Local moet periodiek verbinding maken met Azure voor:

  • Bekende Azure-IP's
  • Uitgaande richting
  • Poorten 80 (HTTP) en 443 (HTTPS)

Belangrijk

Azure Local biedt geen ondersteuning voor HTTPS-inspectie. Zorg ervoor dat HTTPS-inspectie is uitgeschakeld op uw netwerkpad voor Azure Local om connectiviteitsfouten te voorkomen. Dit omvat het gebruik van Entra ID tenantbeperkingen v1 die niet worden ondersteund voor de netwerkcommunicatie van het lokale beheer van Azure.

Zoals wordt weergegeven in het volgende diagram, heeft Azure Local toegang tot Azure met meer dan één firewall.

Diagram laat zien dat Azure Local servicetag-eindpunten benadert via poort 443 (HTTPS) van firewalls.

Vereiste firewall-URL's voor lokale Azure-implementaties

Met Azure Local-instanties worden Azure Resource Bridge-infrastructuur en AKS-infrastructuur automatisch ingeschakeld en wordt de Arc for Servers-agent gebruikt om verbinding te maken met het Azure-besturingsvlak. Naast de lijst met HCI-specifieke eindpunten in de volgende tabel, moeten de Azure Resource Bridge op lokale Azure-eindpunten, de AKS op Lokale Azure-eindpunten en de eindpunten van servers met Azure Arc worden opgenomen in de acceptatielijst van uw firewall.

Voor een geconsolideerde lijst met eindpunten voor VS - oost die Azure Local, Servers met Arc, ARB en AKS bevat, gebruikt u:

Gebruik voor een geconsolideerde lijst met eindpunten voor West-Europa met Azure Local, Arc-ingeschakelde servers, ARB en AKS:

Gebruik voor een geconsolideerde lijst met eindpunten voor Australië Oost, waaronder Azure Local, Arc-ingeschakelde servers, ARB en AKS:

Gebruik voor een geconsolideerde lijst van eindpunten in Canada Central, inclusief Azure Local, Arc-ingeschakelde servers, ARB en AKS:

Gebruik voor een geconsolideerde lijst met eindpunten voor India Central die Azure Local, Arc-servers, ARB en AKS omvat:

Gebruik voor een geconsolideerde lijst met eindpunten voor Zuidoost-Azië die Azure Local, Arc-ingeschakelde servers, ARB en AKS omvat:

Gebruik voor een geconsolideerde lijst met eindpunten voor Japan Oost met Azure Local, Arc-ingeschakelde servers, ARB en AKS:

Gebruik voor een geconsolideerde lijst met eindpunten voor Zuid-Centraal VS, inclusief Azure Local, servers met Arc, ARB en AKS:

Firewallvereisten voor aanvullende Azure-services

Afhankelijk van aanvullende Azure-services die u inschakelt voor Azure Local, moet u mogelijk aanvullende wijzigingen aanbrengen in de firewallconfiguratie. Raadpleeg de volgende koppelingen voor informatie over firewallvereisten voor elke Azure-service:

Firewallvereisten voor interne regels en poorten

Zorg ervoor dat de juiste netwerkpoorten zijn geopend tussen alle knooppunten, zowel binnen een site als tussen sites voor stretched instances (functionaliteit voor stretched instances is alleen beschikbaar in Azure Stack HCI, versie 22H2). U hebt de juiste firewallregels nodig om ICMP, SMB (poort 445, plus poort 5445 voor SMB Direct toe te staan als u iWARP RDMA gebruikt) en WS-MAN (poort 5985) bidirectioneel verkeer tussen alle knooppunten in het cluster.

Wanneer u de Creatiewizard in het Windows Beheercentrum gebruikt om het cluster te maken, opent de wizard automatisch de juiste firewallpoorten op elke server in het cluster voor failover-clustering, Hyper-V en Opslagreplica. Als u een andere firewall op elke computer gebruikt, opent u de poorten zoals beschreven in de volgende secties:

Azure Stack HCI OS-beheer

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Azure Stack HCI-besturingssysteembeheer, inclusief licenties en facturering.

Regel Actie Bron Bestemming Dienst Poorten
Inkomend/uitgaand verkeer naar en van de lokale Azure-service op lokale Azure-machines toestaan Toestaan Exemplaarknooppunten Instanceknooppunten TCP 30301

Windows Admin Center

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Het Windows-beheercentrum.

Regel Actie Bron Bestemming Dienst Poorten
Toegang bieden tot Azure en Microsoft Update Toestaan Windows Admin Center Azure Lokaal TCP 445
Windows Remote Management (WinRM) 2.0 gebruiken
voor HTTP-verbindingen om opdrachten uit te voeren
op externe Windows-servers
Toestaan Windows Admin Center Azure Lokaal TCP 5985
WinRM 2.0 gebruiken voor HTTPS-verbindingen om uit te voeren
opdrachten op externe Windows-servers
Toestaan Windows Admin Center Azure Lokaal TCP 5986

Notitie

Als u tijdens het installeren van Het Windows-beheercentrum de instelling WinRM via HTTPS gebruiken selecteert, is poort 5986 vereist.

Active Directory

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Active Directory (lokale beveiligingsinstantie).

Regel Actie Bron Bestemming Dienstverlening Poorten
Binnenkomende/uitgaande connectiviteit met de Active Directory-webservices (ADWS) en Active Directory Management Gateway Service toestaan Toestaan Active Directory-diensten Azure Local TCP 9389

Netwerktijdprotocol

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Network Time Protocol (NTP).

Regel Actie Bron Bestemming Service Poorten
Binnenkomende/uitgaande connectiviteit met de NTP-server (Network Time Protocol) toestaan. Deze server kan Active Directory-domeincontrollers of een NTP-apparaat zijn. Toestaan Azure Lokaal NTP/SNTP-server (Network Time Protocol) UDP 123

Failoverclustering

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor failoverclustering.

Regel Actie Bron Bestemming Dienst Poorten
Toestaan van validatie van failovercluster Toestaan Beheersysteem Exemplaarknooppunten TCP 445
Dynamische RPC-poorttoewijzing toestaan Toestaan Beheersysteem Instantieknooppunten TCP Minimaal 100 poorten
boven poort 5000
Remote Procedure Call (RPC) toestaan Toestaan Beheersysteem Instantieknooppunten TCP 135
Clusterbeheerder toestaan Toestaan Beheersysteem Instantieknooppunten UDP 137
Clusterservice toestaan Toestaan Beheersysteem Instantieknopen UDP 3343
De clusterservice toestaan (is vereist tijdens
een bewerking voor serververbinding.
Toestaan Beheersysteem Instantieknooppunten TCP 3343
ICMPv4 en ICMPv6 toestaan
voor de validatie van een failovercluster
Toestaan Beheersysteem Instantieknopen n.v.t. n.v.t.

Notitie

Het beheersysteem bevat elke computer waarop u het systeem wilt beheren, met behulp van hulpprogramma's zoals Windows Admin Center, Windows PowerShell of System Center Virtual Machine Manager.

Hyper-V

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor Hyper-V.

Regel Actie Bron Bestemming Dienst Poorten
Clustercommunicatie toestaan Toestaan Beheersysteem Hyper-V-server TCP 445
RPC-eindpunttoewijzing en WMI toestaan Toestaan Beheersysteem Hyper-V-server TCP 135
HTTP-connectiviteit toestaan Toestaan Beheersysteem Hyper-V-server TCP 80
HTTPS-connectiviteit toestaan Toestaan Beheersysteem Hyper-V-server TCP 443
Livemigratie toestaan Toestaan Beheersysteem Hyper-V-server TCP 6600
VM-beheerservice toestaan Toestaan Beheersysteem Hyper-V-server TCP 2179
Dynamische RPC-poorttoewijzing toestaan Toestaan Beheersysteem Hyper-V-server TCP Minimaal 100 poorten
boven poort 5000

Notitie

Open een bereik van poorten boven poort 5000 om dynamische RPC-poorttoewijzing toe te staan. Poorten onder de 5000 zijn mogelijk al in gebruik door andere toepassingen en kunnen conflicten veroorzaken met DCOM-toepassingen. Uit eerdere ervaring blijkt dat er minimaal 100 poorten moeten worden geopend, omdat verschillende systeemservices afhankelijk zijn van deze RPC-poorten om met elkaar te communiceren. Zie Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls voor meer informatie.

Opslagreplica (uitgerekt cluster)

Zorg ervoor dat de volgende firewallregels zijn geconfigureerd in uw on-premises firewall voor OpslagReplica (uitgebreide instantie).

Regel Actie Bron Bestemming Dienst Poorten
Serverberichtblok toestaan
(SMB)-protocol
Toestaan Gestrekte Instance-knooppunten Uitgerekte instantieknooppunten TCP 445
Webservicesbeheer toestaan
(WS-MAN)
Toestaan Uitgerekte instantie-knooppunten Uitgerekte instantie-knooppunten TCP 5985
ICMPv4 en ICMPv6 toestaan
(als u de Test-SRTopology
PowerShell-cmdlet)
Toestaan Uitgerekte instantieknooppunten Uitgerekte instantie-knooppunten n.v.t. n.v.t.

Microsoft Defender-firewall bijwerken

In deze sectie wordt beschreven hoe u de Firewall van Microsoft Defender configureert om IP-adressen toe te staan die zijn gekoppeld aan een servicetag om verbinding te maken met het besturingssysteem. Een servicetag vertegenwoordigt een groep IP-adressen van een bepaalde Azure-service. Microsoft beheert de IP-adressen die zijn opgenomen in de servicetag en werkt de servicetag automatisch bij wanneer IP-adressen veranderen om updates tot een minimum te beperken. Zie Servicetags voor virtueel netwerk voor meer informatie.

  1. Download het JSON-bestand van de volgende resource naar de doelcomputer waarop het besturingssysteem wordt uitgevoerd: Azure IP Ranges and Service Tags – Public Cloud.

  2. Gebruik de volgende PowerShell-opdracht om het JSON-bestand te openen:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Haal de lijst met IP-adresbereiken op voor een bepaalde servicetag, zoals de AzureResourceManager servicetag:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importeer de lijst met IP-adressen naar uw externe bedrijfsfirewall als u er een acceptatielijst mee gebruikt.

  5. Maak een firewallregel voor elk knooppunt in het systeem om uitgaand 443 (HTTPS)-verkeer naar de lijst met IP-adresbereiken toe te staan:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Volgende stappen

Zie ook voor meer informatie: