Требования к брандмауэру для локальной среды Azure
Область применения: локальная версия Azure, версии 23H2 и 22H2
В этой статье содержатся рекомендации по настройке брандмауэров для операционной системы Azure Stack HCI. Он включает требования к брандмауэру для исходящих конечных точек и внутренних правил и портов. В этой статье также содержатся сведения об использовании тегов службы Azure с брандмауэром Microsoft Defender.
В этой статье также описывается, как при необходимости использовать конфигурацию брандмауэра с высокой блокировкой для блокировки всего трафика ко всем назначениям, кроме включенных в список разрешений.
Если сеть использует прокси-сервер для доступа к Интернету, см. статью "Настройка параметров прокси-сервера для локальной службы Azure".
Внимание
Azure Express Route и Приватный канал Azure не поддерживаются для локальной версии Azure, версии 23H2 или любого из его компонентов, так как доступ к общедоступным конечным точкам, необходимым для локальной версии Azure, версии 23H2 невозможно.
Требования к брандмауэру для исходящих конечных точек
Открытие портов 80 и 443 для исходящего сетевого трафика в брандмауэре организации соответствует требованиям к подключению операционной системы Azure Stack HCI для подключения к Azure и Центру обновления Майкрософт.
Локальные службы Azure должны периодически подключаться к Azure для:
- Известные IP-адреса Azure
- Направление исходящего трафика
- Порты 80 (HTTP) и 443 (HTTPS)
Внимание
Локальная служба Azure не поддерживает проверку HTTPS. Убедитесь, что проверка HTTPS отключена по сетевому пути для Локальной службы Azure, чтобы предотвратить ошибки подключения.
Как показано на следующей схеме, локальный azure может получить доступ к Azure с помощью нескольких брандмауэров.
Необходимые URL-адреса брандмауэра для локальных развертываний Azure версии 23H2
Начиная с локальной версии 23H2, все кластеры автоматически позволяют инфраструктуре Azure Resource Bridge и AKS использовать агент Arc для серверов для подключения к плоскости управления Azure. Наряду со списком конкретных конечных точек HCI в следующей таблице , мост ресурсов Azure в локальных конечных точках Azure, AKS на локальных конечных точках Azure и конечные точки серверов с поддержкой Azure Arc должны быть включены в список разрешений брандмауэра.
Для консолидированного списка конечных точек для восточной части США, включающих локальные, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для консолидированного списка конечных точек для Западной Европы, включающих локальные, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для консолидированного списка конечных точек для Восточной Австралии, включающих локальные, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для консолидированного списка конечных точек для Канады Central, включающих локальные, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для консолидированного списка конечных точек для Индии Central, включающих локальные, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Требования к брандмауэру для дополнительных служб Azure
В зависимости от дополнительных служб Azure, которые вы включаете для локальной среды Azure, может потребоваться внести дополнительные изменения конфигурации брандмауэра. Дополнительные сведения о требованиях брандмауэра для каждой службы Azure см. по следующим ссылкам:
- Агент Azure Monitor
- Портал Azure
- Azure Site Recovery
- Виртуальный рабочий стол Azure
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) и Log Analytics Agent
- Qualys
- Удаленная поддержка
- Windows Admin Center;
- Центр администрирования Windows в портал Azure
Требования к брандмауэру для внутренних правил и портов
Убедитесь, что правильные сетевые порты открыты между всеми узлами, как на сайте, так и между сайтами для растянутых экземпляров (функции растянутого экземпляра доступны только в локальной версии Azure версии 22H2.). Вам потребуется соответствующие правила брандмауэра, чтобы разрешить ICMP, SMB (порт 445, а также порт 5445 для SMB Direct при использовании iWARP RDMA), а также двунаправленный трафик WS-MAN (порт 5985) между всеми узлами в кластере.
При использовании мастера создания в Windows Admin Center для создания кластера мастер автоматически открывает соответствующие порты брандмауэра на каждом сервере в кластере для отказоустойчивой кластеризации, Hyper-V и реплики хранилища. Если на каждом компьютере используется другой брандмауэр, откройте порты, как описано в следующих разделах:
Управление ОС Azure Stack HCI
Убедитесь, что следующие правила брандмауэра настроены в локальном брандмауэре для управления ОС Azure Stack HCI, включая лицензирование и выставление счетов.
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить входящий и исходящий трафик из локальной службы Azure на компьютерах локального экземпляра Azure | Разрешить | Узлы экземпляров | Узлы экземпляров | TCP | 30301 |
Windows Admin Center;
Убедитесь, что в локальном брандмауэре для Windows Admin Center настроены следующие правила брандмауэра.
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Предоставление доступа к Azure и Центру обновления Майкрософт | Разрешить | Windows Admin Center; | Azure Локально | TCP | 445 |
| Использование удаленного управления Windows (WinRM) 2.0 для HTTP-подключений для выполнения команд на удаленных серверах Windows |
Разрешить | Windows Admin Center; | Azure Локально | TCP | 5985 |
| Использование WinRM 2.0 для выполнения подключений HTTPS команды на удаленных серверах Windows |
Разрешить | Windows Admin Center; | Azure Локально | TCP | 5986 |
Примечание.
При установке Windows Admin Center при выборе параметра "Использовать WinRM" по протоколу HTTPS требуется только порт 5986.
Active Directory
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для Active Directory (локальный центр безопасности).
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить входящие и исходящие подключения к веб-службам Active Directory (ADWS) и службе шлюза управления Active Directory | Разрешить | Службы Active Directory | Azure Локально | TCP | 9389 |
Отказоустойчивая кластеризация
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для отказоустойчивой кластеризации.
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить проверку отказоустойчивого кластера | Разрешить | Система управления | Узлы экземпляров | TCP | 445 |
| Разрешить динамическое выделение портов RPC | Разрешить | Система управления | Узлы экземпляров | TCP | Не менее 100 портов выше порта 5000 |
| Разрешить удаленный вызов процедуры (RPC) | Разрешить | Система управления | Узлы экземпляров | TCP | 135 |
| Разрешить администратору кластера | Разрешить | Система управления | Узлы экземпляров | UDP | 137 |
| Разрешить службу кластеров | Разрешить | Система управления | Узлы экземпляров | UDP | 3343 |
| Разрешить службу кластеров (требуется во время операция присоединения сервера.) |
Разрешить | Система управления | Узлы экземпляров | TCP | 3343 |
| Разрешить ICMPv4 и ICMPv6 Для проверки отказоустойчивого кластера |
Разрешить | Система управления | Узлы экземпляров | Недоступно | Недоступно |
Примечание.
Система управления включает любой компьютер, с которого планируется администрировать систему, используя такие средства, как Windows Admin Center, Windows PowerShell или System Center диспетчер виртуальных машин.
Hyper-V
Убедитесь, что в локальном брандмауэре для Hyper-V настроены следующие правила брандмауэра.
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить обмен данными между кластерами | Разрешить | Система управления | Сервер Hyper-V | TCP | 445 |
| Разрешить сопоставление конечных точек RPC и WMI | Разрешить | Система управления | Сервер Hyper-V | TCP | 135 |
| Разрешить http-подключение | Разрешить | Система управления | Сервер Hyper-V | TCP | 80 |
| Разрешить подключение HTTPS | Разрешить | Система управления | Сервер Hyper-V | TCP | 443 |
| Разрешить динамическую миграцию | Разрешить | Система управления | Сервер Hyper-V | TCP | 6600 |
| Разрешить службу управления виртуальными машинами | Разрешить | Система управления | Сервер Hyper-V | TCP | 2179 |
| Разрешить динамическое выделение портов RPC | Разрешить | Система управления | Сервер Hyper-V | TCP | Не менее 100 портов выше порта 5000 |
Примечание.
Откройте диапазон портов выше порта 5000, чтобы разрешить динамическое выделение портов RPC. Порты ниже 5000 уже могут использоваться другими приложениями и могут привести к конфликтам с приложениями DCOM. Предыдущий опыт показывает, что необходимо открыть не менее 100 портов, так как несколько системных служб используют эти порты RPC для взаимодействия друг с другом. Дополнительные сведения см. в статье "Настройка динамического распределения портов RPC для работы с брандмауэрами".
Реплика хранилища (растянутый кластер)
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для реплики хранилища (растянутый экземпляр).
| Правило | Действие | Источник | Назначение | Service | Порты |
|---|---|---|---|---|---|
| Разрешить блок сообщений сервера Протокол SMB |
Разрешить | Узлы растянутого экземпляра | Узлы растянутого экземпляра | TCP | 445 |
| Разрешить управление веб-службами (WS-MAN) |
Разрешить | Узлы растянутого экземпляра | Узлы растянутого экземпляра | TCP | 5985 |
| Разрешить ICMPv4 и ICMPv6 (при использовании Test-SRTopologyКомандлет PowerShell) |
Разрешить | Узлы растянутого экземпляра | Узлы растянутого экземпляра | Недоступно | Недоступно |
Обновление брандмауэра Microsoft Defender
В этом разделе показано, как настроить брандмауэр Microsoft Defender для разрешения IP-адресов, связанных с тегом службы для подключения к операционной системе. Тег службы представляет группу IP-адресов из данной службы Azure. Корпорация Майкрософт управляет IP-адресами, включенными в тег службы, и автоматически обновляет тег службы по мере изменения IP-адресов, чтобы обеспечить минимальное обновление. Дополнительные сведения см. в разделе тегов службы виртуальной сети.
Скачайте JSON-файл из следующего ресурса на целевой компьютер под управлением операционной системы: диапазоны IP-адресов Azure и теги службы — общедоступное облако.
Чтобы открыть JSON-файл, используйте следующую команду PowerShell:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonПолучите список диапазонов IP-адресов для заданного тега службы, например
AzureResourceManagerтега службы:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesИмпортируйте список IP-адресов во внешний корпоративный брандмауэр, если с ним используется список разрешений.
Создайте правило брандмауэра для каждого узла в системе, чтобы разрешить исходящий трафик 443 (HTTPS) в список диапазонов IP-адресов:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Следующие шаги
Дополнительные сведения см. также в следующих разделах:
- Раздел "Брандмауэр Windows" и "Порты WinRM 2.0" установки и настройки удаленного управления Windows
- Дополнительные сведения о локальном развертывании Azure версии 23H2