Dela via

Brandväggskrav för Azure Local

  • Artikel

Gäller för: Azure Local, version 23H2 och 22H2

Den här artikeln innehåller vägledning om hur du konfigurerar brandväggar för Azure Stack HCI-operativsystemet. Den innehåller brandväggskrav för utgående slutpunkter och interna regler och portar. Artikeln innehåller också information om hur du använder Azure-tjänsttaggar med Microsoft Defender-brandväggen.

Den här artikeln beskriver också hur du kan använda en mycket låst brandväggskonfiguration för att blockera all trafik till alla mål förutom de som ingår i listan över tillåtna.

Om nätverket använder en proxyserver för Internetåtkomst läser du Konfigurera proxyinställningar för Azure Local.

Viktigt!

Azure Express Route och Azure Private Link stöds inte för Azure Local, version 23H2 eller någon av dess komponenter eftersom det inte går att komma åt de offentliga slutpunkter som krävs för Azure Local version 23H2.

Brandväggskrav för utgående slutpunkter

Att öppna portarna 80 och 443 för utgående nätverkstrafik i organisationens brandvägg uppfyller anslutningskraven för att Azure Stack HCI-operativsystemet ska kunna ansluta till Azure och Microsoft Update.

Azure Local måste regelbundet ansluta till Azure för:

  • Välkända Azure-IP-adresser
  • Utgående riktning
  • Portarna 80 (HTTP) och 443 (HTTPS)

Viktigt!

Azure Local stöder inte HTTPS-inspektion. Kontrollera att HTTPS-inspektionen är inaktiverad längs nätverkssökvägen för Azure Local för att förhindra anslutningsfel.

Som du ser i följande diagram kan Azure Local komma åt Azure med hjälp av mer än en brandvägg potentiellt.

Diagram som visar Azure Local-åtkomst till tjänsttaggslutpunkter via port 443 (HTTPS) för brandväggar.

Nödvändiga brandväggs-URL:er för Azure Local- version 23H2-distributioner

Från och med Azure Local version 23H2 aktiverar alla kluster automatiskt Azure Resource Bridge- och AKS-infrastruktur och använder Arc for Servers-agenten för att ansluta till Azure-kontrollplanet. Tillsammans med listan över HCI-specifika slutpunkter i följande tabell måste Azure Resource Bridge på lokala Azure-slutpunkter, AKS på lokala Azure-slutpunkter och Azure Arc-aktiverade serverslutpunkter ingå i listan över tillåtna brandväggar.

För en konsoliderad lista över slutpunkter för USA, östra som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS använder du:

För en konsoliderad lista över slutpunkter för Europa, västra som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS, använder du:

För en konsoliderad lista över slutpunkter för Australien, östra som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS använder du:

För en konsoliderad lista över slutpunkter för Canada Central som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS använder du:

För en konsoliderad lista över slutpunkter för India Central som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS använder du:

Brandväggskrav för ytterligare Azure-tjänster

Beroende på ytterligare Azure-tjänster som du aktiverar för Azure Local kan du behöva göra ytterligare ändringar i brandväggskonfigurationen. Se följande länkar för information om brandväggskrav för varje Azure-tjänst:

Brandväggskrav för interna regler och portar

Kontrollera att rätt nätverksportar är öppna mellan alla noder, både på en plats och mellan platser för utsträckta instanser (funktionen för utsträckta instanser är endast tillgänglig i Azure Local, version 22H2.). Du behöver lämpliga brandväggsregler för att tillåta ICMP, SMB (port 445, plus port 5445 för SMB Direct om du använder iWARP RDMA) och dubbelriktad trafik med WS-MAN (port 5985) mellan alla noder i klustret.

När du använder guiden Skapa i Administrationscenter för Windows för att skapa klustret öppnar guiden automatiskt lämpliga brandväggsportar på varje server i klustret för redundansklustring, Hyper-V och Lagringsreplik. Om du använder en annan brandvägg på varje dator öppnar du portarna enligt beskrivningen i följande avsnitt:

Azure Stack HCI OS-hantering

Se till att följande brandväggsregler har konfigurerats i din lokala brandvägg för Azure Stack HCI OS-hantering, inklusive licensiering och fakturering.

Regel Åtgärd Källa Mål Tjänst Hamnar
Tillåt inkommande/utgående trafik till och från Den lokala Azure-tjänsten på azure-datorer för lokala instanser Tillåt Instansnoder Instansnoder TCP 30301

Windows Admin Center

Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Windows Admin Center.

Regel Åtgärd Källa Mål Tjänst Hamnar
Ge åtkomst till Azure och Microsoft Update Tillåt Windows Admin Center Azure Local TCP 445
Använda Windows Remote Management (WinRM) 2.0
för HTTP-anslutningar för att köra kommandon
på fjärranslutna Windows-servrar		 Tillåt Windows Admin Center Azure Local TCP 5985
Använda WinRM 2.0 för HTTPS-anslutningar för att köra
kommandon på fjärranslutna Windows-servrar		 Tillåt Windows Admin Center Azure Local TCP 5986

Kommentar

När du installerar Windows Admin Center krävs port 5986 om du väljer inställningen Använd Endast WinRM via HTTPS.

Active Directory

Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Active Directory (lokal säkerhetsmyndighet).

Regel Åtgärd Källa Mål Tjänst Hamnar
Tillåt inkommande/utgående anslutning till Active Directory Web Services (ADWS) och Active Directory Management Gateway Service Tillåt Active Directory Services Azure Local TCP 9389

Redundanskluster

Kontrollera att följande brandväggsregler har konfigurerats i den lokala brandväggen för redundansklustring.

Regel Åtgärd Källa Mål Tjänst Hamnar
Tillåt verifiering av redundanskluster Tillåt Hanteringssystem Instansnoder TCP 445
Tillåt dynamisk RPC-portallokering Tillåt Hanteringssystem Instansnoder TCP Minst 100 portar
över port 5000
Tillåt fjärrproceduranrop (RPC) Tillåt Hanteringssystem Instansnoder TCP 135
Tillåt klusteradministratör Tillåt Hanteringssystem Instansnoder UDP 137
Tillåt klustertjänst Tillåt Hanteringssystem Instansnoder UDP 3343
Tillåt klustertjänst (krävs under
en serveranslutningsåtgärd.)		 Tillåt Hanteringssystem Instansnoder TCP 3343
Tillåt ICMPv4 och ICMPv6
för validering av redundanskluster		 Tillåt Hanteringssystem Instansnoder saknas saknas

Kommentar

Hanteringssystemet innehåller alla datorer som du planerar att administrera systemet från, med hjälp av verktyg som Windows Admin Center, Windows PowerShell eller System Center Virtual Machine Manager.

Hyper-V

Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Hyper-V.

Regel Åtgärd Källa Mål Tjänst Hamnar
Tillåt klusterkommunikation Tillåt Hanteringssystem Hyper-V-server TCP 445
Tillåt RPC-slutpunktsmappning och WMI Tillåt Hanteringssystem Hyper-V-server TCP 135
Tillåt HTTP-anslutning Tillåt Hanteringssystem Hyper-V-server TCP 80
Tillåt HTTPS-anslutning Tillåt Hanteringssystem Hyper-V-server TCP 443
Tillåt direktmigrering Tillåt Hanteringssystem Hyper-V-server TCP 6600
Tillåt hanteringstjänst för virtuella datorer Tillåt Hanteringssystem Hyper-V-server TCP 2179
Tillåt dynamisk RPC-portallokering Tillåt Hanteringssystem Hyper-V-server TCP Minst 100 portar
över port 5000

Kommentar

Öppna ett antal portar ovanför port 5000 för att tillåta dynamisk RPC-portallokering. Portar under 5000 kanske redan används av andra program och kan orsaka konflikter med DCOM-program. Tidigare erfarenheter visar att minst 100 portar bör öppnas, eftersom flera systemtjänster förlitar sig på dessa RPC-portar för att kommunicera med varandra. Mer information finns i Konfigurera dynamisk RPC-portallokering så att den fungerar med brandväggar.

Lagringsreplik (stretchkluster)

Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Storage Replica (sträckt instans).

Regel Åtgärd Källa Mål Tjänst Hamnar
Tillåt servermeddelandeblockering
Protokoll (SMB)		 Tillåt Utsträckta instansnoder Utsträckta instansnoder TCP 445
Tillåt hantering av webbtjänster
(WS-MAN)		 Tillåt Utsträckta instansnoder Utsträckta instansnoder TCP 5985
Tillåt ICMPv4 och ICMPv6
(om du använder Test-SRTopology
PowerShell-cmdlet)		 Tillåt Utsträckta instansnoder Utsträckta instansnoder saknas saknas

Uppdatera Microsoft Defender-brandväggen

Det här avsnittet visar hur du konfigurerar Microsoft Defender-brandväggen så att IP-adresser som är associerade med en tjänsttagg kan ansluta till operativsystemet. En tjänsttagg representerar en grupp IP-adresser från en viss Azure-tjänst. Microsoft hanterar IP-adresserna som ingår i tjänsttaggen och uppdaterar automatiskt tjänsttaggen när IP-adresser ändras för att hålla uppdateringarna till ett minimum. Mer information finns i Tjänsttaggar för virtuellt nätverk.

  1. Ladda ned JSON-filen från följande resurs till måldatorn som kör operativsystemet: Azure IP-intervall och tjänsttaggar – offentligt moln.

  2. Använd följande PowerShell-kommando för att öppna JSON-filen:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json

  3. Hämta listan över IP-adressintervall för en viss tjänsttagg, till exempel AzureResourceManager tjänsttaggen:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes

  4. Importera listan med IP-adresser till den externa företagsbrandväggen om du använder en tillåtna lista med den.

  5. Skapa en brandväggsregel för varje nod i systemet för att tillåta utgående 443-trafik (HTTPS) till listan över IP-adressintervall:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True

Nästa steg

Mer information finns också: