Wymagania dotyczące zapory dla usługi Azure Local
Dotyczy: Azure Local 2311.2 i nowsze
Ten artykuł zawiera wskazówki dotyczące konfigurowania zapór dla systemu operacyjnego Azure Stack HCI. Obejmuje ona wymagania zapory dotyczące wychodzących punktów końcowych i wewnętrznych reguł i portów. Artykuł zawiera również informacje na temat używania tagów usługi platformy Azure z zaporą Microsoft Defender.
W tym artykule opisano również, jak opcjonalnie użyć konfiguracji zapory o wysokiej blokadzie, aby zablokować cały ruch do wszystkich miejsc docelowych, z wyjątkiem tych, które znajdują się na liście dozwolonych.
Jeśli sieć używa serwera proxy do uzyskiwania dostępu do Internetu, zobacz Konfigurowanie ustawień serwera proxy dla usługi Azure Local.
Ważne
Usługa Azure Express Route i usługa Azure Private Link nie są obsługiwane w przypadku platformy Azure lokalnie ani żadnego z jej składników, ponieważ nie można uzyskać dostępu do publicznych punktów końcowych wymaganych przez platformę Azure Lokalnie.
Wymagania dotyczące zapory dla wychodzących punktów końcowych
Otwieranie portów 80 i 443 dla ruchu wychodzącego w zaporze organizacji spełnia wymagania dotyczące łączności dla systemu operacyjnego Azure Stack HCI w celu nawiązania połączenia z platformą Azure i usługą Microsoft Update.
Usługa Azure Local musi okresowo łączyć się z platformą Azure w celu:
- Dobrze znane adresy IP platformy Azure
- Kierunek ruchu wychodzącego
- Port 80 (HTTP) i 443 (HTTPS)
Ważne
Usługa Azure Local nie obsługuje inspekcji protokołu HTTPS. Upewnij się, że inspekcja protokołu HTTPS jest wyłączona wzdłuż ścieżki sieciowej dla usługi Azure Local, aby zapobiec błędom łączności. Obejmuje to użycie Entra ID restrykcje dzierżawy w wersji 1, które nie są obsługiwane w przypadku komunikacji sieciowej lokalnej administracji Azure.
Jak pokazano na poniższym diagramie, Azure Local może uzyskać dostęp do platformy Azure przy użyciu więcej niż jednej zapory.
Diagram pokazuje, jak Azure Local uzyskuje dostęp do punktów końcowych tagu usługi przez port 443 (HTTPS) zapór sieciowych.
Wymagane adresy URL zapory sieciowej dla lokalnych wdrożeń platformy Azure
Lokalne instancje Azure automatycznie włączają Azure Resource Bridge oraz infrastrukturę AKS, a także używają agenta Arc dla Serwerów do łączenia się z płaszczyzną kontrolną Azure. Oprócz listy punktów końcowych specyficznych dla rozwiązania HCI w poniższej tabeli, punkty końcowe Azure Resource Bridge na Azure Local, punkty końcowe AKS na Azure Local oraz punkty końcowe serwerów z obsługą Azure Arc muszą być uwzględnione na liście dozwolonych w zaporze.
W przypadku skonsolidowanej listy punktów końcowych dla Wschodnich Stanów Zjednoczonych, które obejmują Azure Local, serwery z obsługą Arc, ARB i AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Europy Zachodniej obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Australii Wschodniej, która obejmuje serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
Aby uzyskać skonsolidowaną listę punktów końcowych dla Kanady Środkowej, która obejmuje Azure Local, serwery z obsługą usługi Arc, usługi ARB i usługi AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Indii Środkowych, które obejmują serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Azji Południowo-Wschodniej obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Japonii Wschodniej obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla południowo-środkowych stanów USA, które obejmują serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
Wymagania dotyczące zapory dla dodatkowych usług platformy Azure
W zależności od dodatkowych usług platformy Azure, które są włączone dla usługi Azure Local, może być konieczne wprowadzenie dodatkowych zmian konfiguracji zapory. Zapoznaj się z następującymi linkami, aby uzyskać informacje na temat wymagań zapory dla każdej usługi platformy Azure:
- Azure Monitor Agent
- Portal Azure
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Agent monitorujący Microsoft (MMA) i agent analizy dzienników
- Qualys
- Zdalna obsługa
- Centrum administracyjne systemu Windows
- Centrum administracyjne systemu Windows w witrynie Azure Portal
Wymagania dotyczące zapory dla reguł i portów wewnętrznych
Upewnij się, że odpowiednie porty sieciowe są otwarte między wszystkimi węzłami, zarówno w obrębie lokacji, jak i między lokacjami dla wystąpień rozprosonych (funkcja wystąpienia rozproszonego jest dostępna tylko w usłudze Azure Stack HCI w wersji 22H2). Potrzebujesz odpowiednich reguł zapory, aby umożliwić dwukierunkowy ruch między wszystkimi węzłami w klastrze dla ICMP, SMB (port 445 i port 5445 dla SMB Direct, jeśli używasz iWARP RDMA) oraz WS-MAN (port 5985).
Podczas korzystania z Kreatora tworzenia w Windows Admin Center do utworzenia klastra, kreator automatycznie otwiera odpowiednie porty zapory na każdym serwerze w klastrze na potrzeby klastrowania awaryjnego, funkcji Hyper-V i replikacji magazynu. Jeśli używasz innej zapory na każdej maszynie, otwórz porty zgodnie z opisem w poniższych sekcjach:
Zarządzanie systemem operacyjnym azure Stack HCI
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze na potrzeby zarządzania systemem operacyjnym Azure Stack HCI, w tym licencjonowania i rozliczeń.
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na ruch przychodzący/wychodzący do i z usługi lokalnej platformy Azure na maszynach lokalnych platformy Azure | Zezwól | Węzły wystąpienia | Węzły wystąpienia | TCP | 30301 |
Windows Admin Center (Centrum administracji Windows)
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla Windows Admin Center.
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zapewnianie dostępu do platformy Azure i usługi Microsoft Update | Zezwól | Windows Admin Center (Centrum administracji Windows) | Lokalna platforma Azure | TCP | 445 |
| Używanie zdalnego zarządzania systemem Windows (WinRM) 2.0 do uruchamiania poleceń za pomocą połączeń HTTP na zdalnych serwerach z systemem Windows |
Zezwól | Windows Admin Center (Centrum administracji Windows) | Lokalna platforma Azure | TCP | 5985 |
| Uruchamianie połączeń HTTPS przy użyciu usługi WinRM 2.0 polecenia na zdalnych serwerach z systemem Windows |
Zezwól | Windows Admin Center (Centrum administracji Windows) | Lokalna platforma Azure | TCP | 5986 |
Uwaga
Podczas instalowania Centrum administracyjnego systemu Windows, jeśli wybierzesz ustawienie Użyj usługi WinRM tylko za pośrednictwem protokołu HTTPS, wymagany jest port 5986.
Active Directory
Upewnij się, że następujące reguły zapory są skonfigurowane w Twojej lokalnej zaporze dla usługi Active Directory (lokalny urząd zabezpieczeń).
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na łączność przychodzącą/wychodzącą z usługami sieci Web Active Directory (ADWS) i usługą bramy zarządzania usługą Active Directory | Zezwól | Usługi Active Directory | Lokalna platforma Azure | TCP | 9389 |
Protokół czasu sieciowego
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla protokołu NTP (Network Time Protocol).
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na łączność przychodzącą/wychodzącą z serwerem protokołu NTP (Network Time Protocol). Ten serwer może być kontrolerami domeny usługi Active Directory lub urządzeniem NTP. | Zezwól | Lokalna platforma Azure | Serwer protokołu NTP/SNTP (Network Time Protocol) | UDP | 123 |
Klaster awaryjny
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla klastra trybu failover.
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na walidację klastra trybu failover | Zezwól | System zarządzania | Węzły instancji | TCP | 445 |
| Zezwalaj na dynamiczną alokację portów RPC | Zezwól | System zarządzania | Węzły instancji | TCP | Co najmniej 100 portów powyżej portu 5000 |
| Zezwalaj na zdalne wywołanie procedury (RPC) | Zezwól | System zarządzania | Węzły instancji | TCP | 135 |
| Zezwól administratorowi klastra | Zezwól | System zarządzania | Węzły instancji | UDP | 137 |
| Zezwalaj na usługę klastra | Zezwól | System zarządzania | Węzły instancji | UDP | 3343 |
| Zezwalaj na usługę klastra (wymagana podczas konfiguracji) operacja dołączenia serwera. |
Zezwól | System zarządzania | Węzły instancji | TCP | 3343 |
| Zezwalaj na protokoły ICMPv4 i ICMPv6 weryfikacji klastra przełączenia awaryjnego |
Zezwól | System zarządzania | Węzły wystąpienia | nie dotyczy | nie dotyczy |
Uwaga
System zarządzania obejmuje dowolny komputer, z którego planujesz administrować systemem, przy użyciu narzędzi, takich jak Windows Admin Center, Windows PowerShell lub System Center Virtual Machine Manager.
Hyper-V
Upewnij się, że następujące reguły zapory sieciowej są skonfigurowane na swojej lokalnej zaporze dla Hyper-V.
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na komunikację klastra | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 445 |
| Zezwalaj na mapowanie punktów końcowych RPC i WMI | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 135 |
| Zezwalaj na łączność HTTP | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 80 |
| Zezwalaj na łączność HTTPS | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 443 |
| Zezwalaj na migrację na żywo | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 6600 |
| Zezwalaj na usługę zarządzania maszynami wirtualnymi | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 2179 |
| Zezwalaj na dynamiczną alokację portów RPC | Zezwól | System zarządzania | Serwer Hyper-V | TCP | Co najmniej 100 portów powyżej portu 5000 |
Uwaga
Otwórz zakres portów powyżej portu 5000, aby zezwolić na dynamiczną alokację portów RPC. Porty poniżej 5000 mogą już być używane przez inne aplikacje i mogą powodować konflikty z aplikacjami DCOM. Poprzednie doświadczenie pokazuje, że należy otworzyć co najmniej 100 portów, ponieważ kilka usług systemowych korzysta z tych portów RPC do wzajemnej komunikacji. Aby uzyskać więcej informacji, zobacz How to configure RPC dynamic port allocation to work with firewalls (Jak skonfigurować alokację portu dynamicznego RPC do pracy z zaporami).
Replika magazynu (klaster rozproszony)
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla Storage Replica (rozciągnięte wystąpienie).
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na blokowanie komunikatów serwera Protokół (SMB) |
Zezwól | Rozciągnięte węzły instancji | Rozciągnięte węzły instancji | TCP | 445 |
| Zezwalaj na zarządzanie usługami sieci Web (WS-MAN) |
Zezwól | Rozciągnięte węzły instancji | Wydłużone węzły instancji | TCP | 5985 |
| Zezwalaj na protokoły ICMPv4 i ICMPv6 (jeśli używasz Test-SRTopologyCmdlet programu PowerShell) |
Zezwól | Rozciągnięte węzły instancji | Rozciągnięte węzły instancji | nie dotyczy | nie dotyczy |
Aktualizowanie zapory usługi Microsoft Defender
W tej sekcji pokazano, jak skonfigurować zaporę Microsoft Defender, aby zezwolić na nawiązywanie połączenia z systemem operacyjnym adresów IP skojarzonych z tagiem usługi. Tag usługi reprezentuje grupę adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza adresami IP zawartymi w tagu usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów IP w celu zachowania aktualizacji do minimum. Aby dowiedzieć się więcej, zobacz Tagi usługi sieci wirtualnej.
Pobierz plik JSON z następującego zasobu na komputer docelowy z systemem operacyjnym: Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna.
Użyj następującego polecenia programu PowerShell, aby otworzyć plik JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonPobierz listę zakresów adresów IP dla danego tagu usługi, na przykład
AzureResourceManagertag usługi:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesZaimportuj listę adresów IP do zewnętrznej zapory firmowej, jeśli używasz z nią listy dozwolonych.
Utwórz regułę zapory dla każdego węzła w systemie, aby zezwolić na ruch wychodzący 443 (HTTPS) do listy zakresów adresów IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Następne kroki
Aby uzyskać więcej informacji, zobacz również:
- Sekcja dotycząca portów Zapory systemu Windows oraz usługi WinRM 2.0 w części dotyczącej instalacji i konfiguracji zdalnego zarządzania systemem Windows.
- Informacje o lokalnym wdrożeniu platformy Azure.