Udostępnij za pośrednictwem


Wymagania dotyczące zapory dla usługi Azure Local

Dotyczy: Azure Local 2311.2 i nowsze

Ten artykuł zawiera wskazówki dotyczące konfigurowania zapór dla systemu operacyjnego Azure Stack HCI. Obejmuje ona wymagania zapory dotyczące wychodzących punktów końcowych i wewnętrznych reguł i portów. Artykuł zawiera również informacje na temat używania tagów usługi platformy Azure z zaporą Microsoft Defender.

W tym artykule opisano również, jak opcjonalnie użyć konfiguracji zapory o wysokiej blokadzie, aby zablokować cały ruch do wszystkich miejsc docelowych, z wyjątkiem tych, które znajdują się na liście dozwolonych.

Jeśli sieć używa serwera proxy do uzyskiwania dostępu do Internetu, zobacz Konfigurowanie ustawień serwera proxy dla usługi Azure Local.

Ważne

Usługa Azure Express Route i usługa Azure Private Link nie są obsługiwane w przypadku platformy Azure lokalnie ani żadnego z jej składników, ponieważ nie można uzyskać dostępu do publicznych punktów końcowych wymaganych przez platformę Azure Lokalnie.

Wymagania dotyczące zapory dla wychodzących punktów końcowych

Otwieranie portów 80 i 443 dla ruchu wychodzącego w zaporze organizacji spełnia wymagania dotyczące łączności dla systemu operacyjnego Azure Stack HCI w celu nawiązania połączenia z platformą Azure i usługą Microsoft Update.

Usługa Azure Local musi okresowo łączyć się z platformą Azure w celu:

  • Dobrze znane adresy IP platformy Azure
  • Kierunek ruchu wychodzącego
  • Port 80 (HTTP) i 443 (HTTPS)

Ważne

Usługa Azure Local nie obsługuje inspekcji protokołu HTTPS. Upewnij się, że inspekcja protokołu HTTPS jest wyłączona wzdłuż ścieżki sieciowej dla usługi Azure Local, aby zapobiec błędom łączności. Obejmuje to użycie Entra ID restrykcje dzierżawy w wersji 1, które nie są obsługiwane w przypadku komunikacji sieciowej lokalnej administracji Azure.

Jak pokazano na poniższym diagramie, Azure Local może uzyskać dostęp do platformy Azure przy użyciu więcej niż jednej zapory.

Diagram pokazuje, jak Azure Local uzyskuje dostęp do punktów końcowych tagu usługi przez port 443 (HTTPS) zapór sieciowych.

Wymagane adresy URL zapory sieciowej dla lokalnych wdrożeń platformy Azure

Lokalne instancje Azure automatycznie włączają Azure Resource Bridge oraz infrastrukturę AKS, a także używają agenta Arc dla Serwerów do łączenia się z płaszczyzną kontrolną Azure. Oprócz listy punktów końcowych specyficznych dla rozwiązania HCI w poniższej tabeli, punkty końcowe Azure Resource Bridge na Azure Local, punkty końcowe AKS na Azure Local oraz punkty końcowe serwerów z obsługą Azure Arc muszą być uwzględnione na liście dozwolonych w zaporze.

W przypadku skonsolidowanej listy punktów końcowych dla Wschodnich Stanów Zjednoczonych, które obejmują Azure Local, serwery z obsługą Arc, ARB i AKS, użyj:

W przypadku skonsolidowanej listy punktów końcowych dla Europy Zachodniej obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:

W przypadku skonsolidowanej listy punktów końcowych dla Australii Wschodniej, która obejmuje serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:

Aby uzyskać skonsolidowaną listę punktów końcowych dla Kanady Środkowej, która obejmuje Azure Local, serwery z obsługą usługi Arc, usługi ARB i usługi AKS, użyj:

W przypadku skonsolidowanej listy punktów końcowych dla Indii Środkowych, które obejmują serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:

W przypadku skonsolidowanej listy punktów końcowych dla Azji Południowo-Wschodniej obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:

W przypadku skonsolidowanej listy punktów końcowych dla Japonii Wschodniej obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:

W przypadku skonsolidowanej listy punktów końcowych dla południowo-środkowych stanów USA, które obejmują serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:

Wymagania dotyczące zapory dla dodatkowych usług platformy Azure

W zależności od dodatkowych usług platformy Azure, które są włączone dla usługi Azure Local, może być konieczne wprowadzenie dodatkowych zmian konfiguracji zapory. Zapoznaj się z następującymi linkami, aby uzyskać informacje na temat wymagań zapory dla każdej usługi platformy Azure:

Wymagania dotyczące zapory dla reguł i portów wewnętrznych

Upewnij się, że odpowiednie porty sieciowe są otwarte między wszystkimi węzłami, zarówno w obrębie lokacji, jak i między lokacjami dla wystąpień rozprosonych (funkcja wystąpienia rozproszonego jest dostępna tylko w usłudze Azure Stack HCI w wersji 22H2). Potrzebujesz odpowiednich reguł zapory, aby umożliwić dwukierunkowy ruch między wszystkimi węzłami w klastrze dla ICMP, SMB (port 445 i port 5445 dla SMB Direct, jeśli używasz iWARP RDMA) oraz WS-MAN (port 5985).

Podczas korzystania z Kreatora tworzenia w Windows Admin Center do utworzenia klastra, kreator automatycznie otwiera odpowiednie porty zapory na każdym serwerze w klastrze na potrzeby klastrowania awaryjnego, funkcji Hyper-V i replikacji magazynu. Jeśli używasz innej zapory na każdej maszynie, otwórz porty zgodnie z opisem w poniższych sekcjach:

Zarządzanie systemem operacyjnym azure Stack HCI

Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze na potrzeby zarządzania systemem operacyjnym Azure Stack HCI, w tym licencjonowania i rozliczeń.

Reguła Akcja Źródło Cel Usługa Porty
Zezwalaj na ruch przychodzący/wychodzący do i z usługi lokalnej platformy Azure na maszynach lokalnych platformy Azure Zezwól Węzły wystąpienia Węzły wystąpienia TCP 30301

Windows Admin Center (Centrum administracji Windows)

Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla Windows Admin Center.

Reguła Akcja Źródło Cel Usługa Porty
Zapewnianie dostępu do platformy Azure i usługi Microsoft Update Zezwól Windows Admin Center (Centrum administracji Windows) Lokalna platforma Azure TCP 445
Używanie zdalnego zarządzania systemem Windows (WinRM) 2.0
do uruchamiania poleceń za pomocą połączeń HTTP
na zdalnych serwerach z systemem Windows
Zezwól Windows Admin Center (Centrum administracji Windows) Lokalna platforma Azure TCP 5985
Uruchamianie połączeń HTTPS przy użyciu usługi WinRM 2.0
polecenia na zdalnych serwerach z systemem Windows
Zezwól Windows Admin Center (Centrum administracji Windows) Lokalna platforma Azure TCP 5986

Uwaga

Podczas instalowania Centrum administracyjnego systemu Windows, jeśli wybierzesz ustawienie Użyj usługi WinRM tylko za pośrednictwem protokołu HTTPS, wymagany jest port 5986.

Active Directory

Upewnij się, że następujące reguły zapory są skonfigurowane w Twojej lokalnej zaporze dla usługi Active Directory (lokalny urząd zabezpieczeń).

Reguła Akcja Źródło Cel Usługa Porty
Zezwalaj na łączność przychodzącą/wychodzącą z usługami sieci Web Active Directory (ADWS) i usługą bramy zarządzania usługą Active Directory Zezwól Usługi Active Directory Lokalna platforma Azure TCP 9389

Protokół czasu sieciowego

Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla protokołu NTP (Network Time Protocol).

Reguła Akcja Źródło Cel Usługa Porty
Zezwalaj na łączność przychodzącą/wychodzącą z serwerem protokołu NTP (Network Time Protocol). Ten serwer może być kontrolerami domeny usługi Active Directory lub urządzeniem NTP. Zezwól Lokalna platforma Azure Serwer protokołu NTP/SNTP (Network Time Protocol) UDP 123

Klaster awaryjny

Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla klastra trybu failover.

Reguła Akcja Źródło Cel Usługa Porty
Zezwalaj na walidację klastra trybu failover Zezwól System zarządzania Węzły instancji TCP 445
Zezwalaj na dynamiczną alokację portów RPC Zezwól System zarządzania Węzły instancji TCP Co najmniej 100 portów
powyżej portu 5000
Zezwalaj na zdalne wywołanie procedury (RPC) Zezwól System zarządzania Węzły instancji TCP 135
Zezwól administratorowi klastra Zezwól System zarządzania Węzły instancji UDP 137
Zezwalaj na usługę klastra Zezwól System zarządzania Węzły instancji UDP 3343
Zezwalaj na usługę klastra (wymagana podczas konfiguracji)
operacja dołączenia serwera.
Zezwól System zarządzania Węzły instancji TCP 3343
Zezwalaj na protokoły ICMPv4 i ICMPv6
weryfikacji klastra przełączenia awaryjnego
Zezwól System zarządzania Węzły wystąpienia nie dotyczy nie dotyczy

Uwaga

System zarządzania obejmuje dowolny komputer, z którego planujesz administrować systemem, przy użyciu narzędzi, takich jak Windows Admin Center, Windows PowerShell lub System Center Virtual Machine Manager.

Hyper-V

Upewnij się, że następujące reguły zapory sieciowej są skonfigurowane na swojej lokalnej zaporze dla Hyper-V.

Reguła Akcja Źródło Cel Usługa Porty
Zezwalaj na komunikację klastra Zezwól System zarządzania Serwer Hyper-V TCP 445
Zezwalaj na mapowanie punktów końcowych RPC i WMI Zezwól System zarządzania Serwer Hyper-V TCP 135
Zezwalaj na łączność HTTP Zezwól System zarządzania Serwer Hyper-V TCP 80
Zezwalaj na łączność HTTPS Zezwól System zarządzania Serwer Hyper-V TCP 443
Zezwalaj na migrację na żywo Zezwól System zarządzania Serwer Hyper-V TCP 6600
Zezwalaj na usługę zarządzania maszynami wirtualnymi Zezwól System zarządzania Serwer Hyper-V TCP 2179
Zezwalaj na dynamiczną alokację portów RPC Zezwól System zarządzania Serwer Hyper-V TCP Co najmniej 100 portów
powyżej portu 5000

Uwaga

Otwórz zakres portów powyżej portu 5000, aby zezwolić na dynamiczną alokację portów RPC. Porty poniżej 5000 mogą już być używane przez inne aplikacje i mogą powodować konflikty z aplikacjami DCOM. Poprzednie doświadczenie pokazuje, że należy otworzyć co najmniej 100 portów, ponieważ kilka usług systemowych korzysta z tych portów RPC do wzajemnej komunikacji. Aby uzyskać więcej informacji, zobacz How to configure RPC dynamic port allocation to work with firewalls (Jak skonfigurować alokację portu dynamicznego RPC do pracy z zaporami).

Replika magazynu (klaster rozproszony)

Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla Storage Replica (rozciągnięte wystąpienie).

Reguła Akcja Źródło Cel Usługa Porty
Zezwalaj na blokowanie komunikatów serwera
Protokół (SMB)
Zezwól Rozciągnięte węzły instancji Rozciągnięte węzły instancji TCP 445
Zezwalaj na zarządzanie usługami sieci Web
(WS-MAN)
Zezwól Rozciągnięte węzły instancji Wydłużone węzły instancji TCP 5985
Zezwalaj na protokoły ICMPv4 i ICMPv6
(jeśli używasz Test-SRTopology
Cmdlet programu PowerShell)
Zezwól Rozciągnięte węzły instancji Rozciągnięte węzły instancji nie dotyczy nie dotyczy

Aktualizowanie zapory usługi Microsoft Defender

W tej sekcji pokazano, jak skonfigurować zaporę Microsoft Defender, aby zezwolić na nawiązywanie połączenia z systemem operacyjnym adresów IP skojarzonych z tagiem usługi. Tag usługi reprezentuje grupę adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza adresami IP zawartymi w tagu usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów IP w celu zachowania aktualizacji do minimum. Aby dowiedzieć się więcej, zobacz Tagi usługi sieci wirtualnej.

  1. Pobierz plik JSON z następującego zasobu na komputer docelowy z systemem operacyjnym: Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna.

  2. Użyj następującego polecenia programu PowerShell, aby otworzyć plik JSON:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Pobierz listę zakresów adresów IP dla danego tagu usługi, na przykład AzureResourceManager tag usługi:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Zaimportuj listę adresów IP do zewnętrznej zapory firmowej, jeśli używasz z nią listy dozwolonych.

  5. Utwórz regułę zapory dla każdego węzła w systemie, aby zezwolić na ruch wychodzący 443 (HTTPS) do listy zakresów adresów IP:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Następne kroki

Aby uzyskać więcej informacji, zobacz również: