Требования к брандмауэру для локальной среды Azure
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье содержатся рекомендации по настройке брандмауэров для операционной системы Azure Stack HCI. Он включает требования к брандмауэру для исходящих конечных точек и внутренних правил и портов. В этой статье также содержатся сведения об использовании тегов службы Azure с брандмауэром Microsoft Defender.
В этой статье также описывается, как при необходимости использовать конфигурацию брандмауэра с высокой блокировкой для блокировки всего трафика ко всем назначениям, кроме включенных в список разрешений.
Если сеть использует прокси-сервер для доступа к Интернету, см. статью "Настройка параметров прокси-сервера для локальной службы Azure".
Внимание
Azure Express Route и Приватный канал Azure не поддерживаются для локальной службы Azure или любого из его компонентов, так как доступ к общедоступным конечным точкам, необходимым для локальной службы Azure, невозможно.
Требования к брандмауэру для исходящих конечных точек
Открытие портов 80 и 443 для исходящего сетевого трафика в брандмауэре организации соответствует требованиям к подключению операционной системы Azure Stack HCI для подключения к Azure и Центру обновления Майкрософт.
Локальные службы Azure должны периодически подключаться к Azure для:
- Известные IP-адреса Azure
- Направление исходящего трафика
- Порты 80 (HTTP) и 443 (HTTPS)
Внимание
Локальная служба Azure не поддерживает проверку HTTPS. Убедитесь, что проверка HTTPS отключена по сетевому пути для Локальной службы Azure, чтобы предотвратить ошибки подключения. Это включает использование Entra ID ограничений арендатора версии 1, которые не поддерживаются для сетевого взаимодействия локального управления Azure.
Как показано на следующей схеме, локальная версия Azure может получить доступ к Azure потенциально через несколько брандмауэров.
Необходимые URL-адреса брандмауэра для локальных развертываний Azure
Локальные экземпляры Azure автоматически позволяют инфраструктуре Azure Resource Bridge и AKS использовать агент Arc для серверов для подключения к плоскости управления Azure. Наряду со списком конкретных конечных точек HCI в следующей таблице, конечные точки моста ресурсов Azure на Azure Local, конечные точки AKS на Azure Local и конечные точки серверов, подключенных к Azure Arc, должны быть включены в список разрешенных на брандмауэре.
Для консолидированного списка конечных точек для Восточного США, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для получения консолидированного списка конечных точек для Западной Европы, включая Azure Local, серверы с поддержкой Arc, ARB и AKS, следует использовать следующее:
Для получения консолидированного списка конечных точек для Восточной Австралии, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующую информацию:
Для получения консолидированного списка конечных точек для Центральной Канады, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, воспользуйтесь следующим:
Для получения консолидированного списка конечных точек для Центральной Индии, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для получения консолидированного списка конечных точек для Юго-Восточной Азии, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для получения консолидированного списка конечных точек для Восточной Японии, который включает Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для консолидированного списка конечных точек для южного центра США, включая локальные Azure, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Требования к брандмауэру для дополнительных служб Azure
В зависимости от дополнительных служб Azure, которые вы включаете для локальной среды Azure, может потребоваться внести дополнительные изменения конфигурации брандмауэра. Дополнительные сведения о требованиях брандмауэра для каждой службы Azure см. по следующим ссылкам:
- Агент Azure Monitor
- Портал Azure
- Azure Site Recovery
- Виртуальный рабочий стол Azure
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) и Log Analytics Agent
- Qualys
- Удаленная поддержка
- Windows Admin Center;
- Центр администрирования Windows на портале Azure
Требования к брандмауэру для внутренних правил и портов
Убедитесь, что правильные сетевые порты открыты между всеми узлами, как на сайте, так и между сайтами для растянутых экземпляров (функции растянутого экземпляра доступны только в Azure Stack HCI версии 22H2). Вам потребуется соответствующие правила брандмауэра, чтобы разрешить ICMP, SMB (порт 445, а также порт 5445 для SMB Direct при использовании iWARP RDMA), а также двунаправленный трафик WS-MAN (порт 5985) между всеми узлами в кластере.
При использовании мастера создания кластеров в Windows Admin Center для создания кластера, мастер автоматически открывает соответствующие порты брандмауэра на каждом сервере в кластере для отказоустойчивого кластерирования, Hyper-V и репликации хранилища. Если на каждом компьютере используется другой брандмауэр, откройте порты, как описано в следующих разделах:
Управление ОС Azure Stack HCI
Убедитесь, что следующие правила брандмауэра настроены в локальном брандмауэре для управления ОС Azure Stack HCI, включая лицензирование и выставление счетов.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить входящий и исходящий трафик из локальной службы Azure на локальных компьютерах Azure | Разрешить | Узлы экземпляров | Узлы экземпляров | TCP | 30301 |
Windows Admin Center;
Убедитесь, что в локальном брандмауэре для Windows Admin Center настроены следующие правила брандмауэра.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Предоставление доступа к Azure и Центру обновления Майкрософт | Разрешить | Windows Admin Center; | Azure Local | TCP | 445 |
| Использование удаленного управления Windows (WinRM) 2.0 для HTTP-подключений для выполнения команд на удаленных серверах Windows |
Разрешить | Windows Admin Center; | Azure локальный | TCP | 5985 |
| Использование WinRM 2.0 для выполнения подключений HTTPS команды на удаленных серверах Windows |
Разрешить | Windows Admin Center; | Azure Local | TCP | 5986 |
Примечание.
При установке Windows Admin Center, если выбрать параметр "Использовать WinRM только через HTTPS", тогда требуется порт 5986.
Active Directory
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для Active Directory (локальный центр безопасности).
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить входящие и исходящие подключения к веб-службам Active Directory (ADWS) и службе шлюза управления Active Directory | Разрешить | Службы Active Directory | Azure Local | TCP | 9389 |
Протокол сетевого времени
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для протокола NTP.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить входящие и исходящие подключения к серверу NTP. Этот сервер может быть контроллерами домена Active Directory или устройством NTP. | Разрешить | Azure Локальный | Сервер протокола сетевого времени (NTP/SNTP) | UDP | 123 |
Отказоустойчивая кластеризация
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для отказоустойчивой кластеризации.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить проверку отказоустойчивого кластера | Разрешить | Система управления | Узлы экземпляров | TCP | 445 |
| Разрешить динамическое выделение портов RPC | Разрешить | Система управления | Узлы экземпляров | TCP | Не менее 100 портов выше порта 5000 |
| Разрешить удаленный вызов процедуры (RPC) | Разрешить | Система управления | Узлы экземпляров | TCP | 135 |
| Разрешить администратору кластера | Разрешить | Система управления | Узлы экземпляров | UDP | 137 |
| Разрешить кластерную службу | Разрешить | Система управления | Узлы экземпляров | UDP | 3343 |
| Разрешить службу кластеров (требуется во время операция подключения к серверу.) |
Разрешить | Система управления | Узлы экземпляров | TCP | 3343 |
| Разрешить ICMPv4 и ICMPv6 Для проверки отказоустойчивого кластера |
Разрешить | Система управления | Узлы инстансов | Недоступно | Недоступно |
Примечание.
Система управления включает любой компьютер, с которого планируется администрировать систему, используя такие средства, как Windows Admin Center, Windows PowerShell или System Center диспетчер виртуальных машин.
Hyper-V
Убедитесь, что в локальном брандмауэре для Hyper-V настроены следующие правила брандмауэра.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить обмен данными между кластерами | Разрешить | Система управления | Сервер Hyper-V | TCP | 445 |
| Разрешить сопоставление конечных точек RPC и WMI | Разрешить | Система управления | Сервер Hyper-V | TCP | 135 |
| Разрешить http-подключение | Разрешить | Система управления | Сервер Hyper-V | TCP | 80 |
| Разрешить подключение HTTPS | Разрешить | Система управления | Сервер Hyper-V | TCP | 443 |
| Разрешить динамическую миграцию | Разрешить | Система управления | Сервер Hyper-V | TCP | 6600 |
| Разрешить службу управления виртуальными машинами | Разрешить | Система управления | Сервер Hyper-V | TCP | 2179 |
| Разрешить динамическое выделение портов RPC | Разрешить | Система управления | Сервер Hyper-V | TCP | Не менее 100 портов выше порта 5000 |
Примечание.
Откройте диапазон портов выше порта 5000, чтобы разрешить динамическое выделение портов RPC. Порты ниже 5000 уже могут использоваться другими приложениями и могут привести к конфликтам с приложениями DCOM. Предыдущий опыт показывает, что необходимо открыть не менее 100 портов, так как несколько системных служб используют эти порты RPC для взаимодействия друг с другом. Дополнительные сведения см. в статье "Настройка динамического распределения портов RPC для работы с брандмауэрами".
Реплика хранилища (растянутый кластер)
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для реплики хранилища (растянутый экземпляр).
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить блок сообщений сервера Протокол SMB |
Разрешить | Растяжённые экземплярные узлы | Растянутые узлы инстанции | TCP | 445 |
| Разрешить управление веб-службами (WS-MAN) |
Разрешить | Растянутые узлы инстанса | Растянутые узлы экземпляра | TCP | 5985 |
| Разрешить ICMPv4 и ICMPv6 (при использовании Test-SRTopologyКомандлет PowerShell) |
Разрешить | Растянутые узлы инстанса | Растянутые узлы экземпляра | Недоступно | Недоступно |
Обновление брандмауэра Microsoft Defender
В этом разделе показано, как настроить брандмауэр Microsoft Defender для разрешения IP-адресов, связанных с тегом службы для подключения к операционной системе. Тег службы представляет группу IP-адресов из данной службы Azure. Корпорация Майкрософт управляет IP-адресами, включенными в тег службы, и автоматически обновляет тег службы по мере изменения IP-адресов, чтобы обеспечить минимальное обновление. Дополнительные сведения см. в разделе теги службы виртуальной сети.
Скачайте JSON-файл из следующего ресурса на целевой компьютер под управлением операционной системы: диапазоны IP-адресов Azure и теги службы — общедоступное облако.
Чтобы открыть JSON-файл, используйте следующую команду PowerShell:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonПолучите список диапазонов IP-адресов для заданного тега службы, например
AzureResourceManagerтега службы:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesИмпортируйте список IP-адресов во внешний корпоративный брандмауэр, если с ним используется список разрешений.
Создайте правило брандмауэра для каждого узла в системе, чтобы разрешить исходящий трафик 443 (HTTPS) в список диапазонов IP-адресов:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Следующие шаги
Дополнительные сведения см. также в следующих разделах:
- Раздел портов Брандмауэра Windows и WinRM 2.0 в Установка и настройка для удаленного управления Windows.
- О локальном развертывании Azure.