Brandväggskrav för Azure Local
Gäller för: Azure Local 2311.2 och senare
Den här artikeln innehåller vägledning om hur du konfigurerar brandväggar för Azure Stack HCI-operativsystemet. Den innehåller brandväggskrav för utgående slutpunkter och interna regler och portar. Artikeln innehåller också information om hur du använder Azure-tjänsttaggar med Microsoft Defender-brandväggen.
Den här artikeln beskriver också hur du kan använda en mycket låst brandväggskonfiguration för att blockera all trafik till alla mål förutom de som ingår i listan över tillåtna.
Om nätverket använder en proxyserver för Internetåtkomst läser du Konfigurera proxyinställningar för Azure Local.
Viktigt!
Azure Express Route och Azure Private Link stöds inte för Azure Local eller någon av dess komponenter eftersom det inte går att komma åt de offentliga slutpunkter som krävs för Azure Local.
Brandväggskrav för utgående slutpunkter
Att öppna portarna 80 och 443 för utgående nätverkstrafik i organisationens brandvägg uppfyller anslutningskraven för att Azure Stack HCI-operativsystemet ska kunna ansluta till Azure och Microsoft Update.
Azure Local måste regelbundet ansluta till Azure för:
- Välkända Azure-IP-adresser
- Utgående riktning
- Portarna 80 (HTTP) och 443 (HTTPS)
Viktigt!
Azure Local stöder inte HTTPS-inspektion. Kontrollera att HTTPS-inspektionen är inaktiverad längs nätverkssökvägen för Azure Local för att förhindra anslutningsfel. Detta omfattar användning av Entra-ID klientbegränsningar v1 som inte stöds för nätverkskommunikation i Azure Local Management.
Som du ser i följande diagram kan Azure Local komma åt Azure med hjälp av mer än en brandvägg potentiellt.
Nödvändiga brandväggs-URL:er för lokala Azure-distributioner
Azure Local-instanser aktiverar automatiskt Azure Resource Bridge- och AKS-infrastruktur och använder Arc for Servers-agenten för att ansluta till Azure-kontrollplanet. Tillsammans med listan över HCI-specifika slutpunkter i följande tabell måste Azure Resource Bridge på lokala Azure-slutpunkter, AKS på lokala Azure-slutpunkter och Azure Arc-aktiverade serverslutpunkter ingå i listan över tillåtna brandväggar.
Använd följande för en konsoliderad lista över slutpunkter för Östra USA, som inkluderar Azure Local, Arc-aktiverade servrar, ARB och AKS:
För en konsoliderad lista över slutpunkter för Västeuropa som inkluderar Azure Local, Arc-aktiverade servrar, ARB och AKS, använd:
För en konsoliderad lista över slutpunkter för Australien Öst som inkluderar Azure Local, Arc-aktiverade servrar, ARB och AKS kan du använda:
För en konsoliderad lista över slutpunkter för Canada Central som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS använder du:
För en konsoliderad lista över slutpunkter för India Central som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS använder du:
För en konsoliderad lista över slutpunkter för Sydostasien som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS använder du:
För en konsoliderad lista över slutpunkter för Japan East som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS, använd:
För en konsoliderad lista över slutpunkter i södra centrala USA som innehåller Azure Local, Arc-aktiverade servrar, ARB och AKS, använd:
Brandväggskrav för ytterligare Azure-tjänster
Beroende på ytterligare Azure-tjänster som du aktiverar för Azure Local kan du behöva göra ytterligare ändringar i brandväggskonfigurationen. Se följande länkar för information om brandväggskrav för varje Azure-tjänst:
- Azure Monitor Agent
- Azure-portalen
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) och Log Analytics Agent
- Qualys
- Fjärrstöd
- Administrationscenter för Windows
- Administrationscenter för Windows i Azure Portal
Brandväggskrav för interna regler och portar
Se till att rätt nätverksportar är öppna mellan alla noder, både på en plats och mellan platser för sträckta instanser (stretchinstansfunktioner är endast tillgängliga i Azure Stack HCI, version 22H2). Du behöver lämpliga brandväggsregler för att tillåta ICMP, SMB (port 445, plus port 5445 för SMB Direct om du använder iWARP RDMA) och dubbelriktad trafik med WS-MAN (port 5985) mellan alla noder i klustret.
När du använder guiden Skapa i Administrationscenter för Windows för att skapa klustret öppnar guiden automatiskt lämpliga brandväggsportar på varje server i klustret för redundansklustring, Hyper-V och Lagringsreplik. Om du använder en annan brandvägg på varje dator öppnar du portarna enligt beskrivningen i följande avsnitt:
Azure Stack HCI OS-hantering
Se till att följande brandväggsregler har konfigurerats i din lokala brandvägg för Azure Stack HCI OS-hantering, inklusive licensiering och fakturering.
| Regel | Åtgärd | Källa | Destination | Tjänst | Hamnar |
|---|---|---|---|---|---|
| Tillåt inkommande/utgående trafik till och från Den lokala Azure-tjänsten på lokala Azure-datorer | Tillåt | Instansnoder | Instansnoder | TCP | 30301 |
Windows Admin Center
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Windows Admin Center.
| Regel | Åtgärd | Källa | Destination | Tjänst | Hamnar |
|---|---|---|---|---|---|
| Ge åtkomst till Azure och Microsoft Update | Tillåt | Windows Admin Center | Azure Local | TCP | 445 |
| Använda Windows Remote Management (WinRM) 2.0 för HTTP-anslutningar för att köra kommandon på fjärranslutna Windows-servrar |
Tillåt | Windows Admin Center | Azure Local | TCP | 5985 |
| Använda WinRM 2.0 för HTTPS-anslutningar för att köra kommandon på fjärranslutna Windows-servrar |
Tillåt | Windows Admin Center | Azure Local | TCP | 5986 |
Anteckning
När du installerar Windows Admin Center, om du väljer inställningen Använd endast WinRM över HTTPS, krävs port 5986.
Active Directory
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Active Directory (lokal säkerhetsmyndighet).
| Regel | Åtgärd | Källa | Destination | Tjänst | Hamnar |
|---|---|---|---|---|---|
| Tillåt inkommande/utgående anslutning till Active Directory Web Services (ADWS) och Active Directory Management Gateway Service | Tillåt | Active Directory Services (katalogtjänster) | Azure Local | TCP | 9389 |
Protokoll för nätverkstid
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för NTP (Network Time Protocol).
| Regel | Åtgärd | Källa | Destination | Tjänst | Hamnar |
|---|---|---|---|---|---|
| Tillåt inkommande/utgående anslutning till NTP-servern (Network Time Protocol). Den här servern kan vara Active Directory-domänkontrollanter eller en NTP-installation. | Tillåt | Azure Local | NTP/SNTP-server (Network Time Protocol) | UDP (User Datagram-protokollet) | 123 |
Failover-kluster
Kontrollera att följande brandväggsregler har konfigurerats i den lokala brandväggen för redundansklustring.
| Regel | Åtgärd | Källa | Destination | Tjänst | Hamnar |
|---|---|---|---|---|---|
| Tillåt verifiering av redundanskluster | Tillåt | Hanteringssystem | Instansnoder | TCP | 445 |
| Tillåt dynamisk RPC-portallokering | Tillåt | Hanteringssystem | Instansnoder | TCP | Minst 100 portar ovanför port 5000 |
| Tillåt fjärrproceduranrop (RPC) | Tillåt | Hanteringssystem | Instansnoder | TCP | 135 |
| Tillåt klusteradministratör | Tillåt | Hanteringssystem | Instansnoder | UDP | 137 |
| Tillåt klustertjänst | Tillåt | Hanteringssystem | Instansnoder | UDP | 3343 |
| Tillåt klustertjänst (krävs under installation) en serveranslutningsåtgärd.) |
Tillåt | Hanteringssystem | Instansnoder | TCP | 3343 |
| Tillåt ICMPv4 och ICMPv6 för validering av failoverkluster |
Tillåt | Hanteringssystem | Instansnoder | ej tillämpligt | ej tillämpligt |
Anteckning
Hanteringssystemet innehåller alla datorer som du planerar att administrera systemet från, med hjälp av verktyg som Windows Admin Center, Windows PowerShell eller System Center Virtual Machine Manager.
Hyper-V
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Hyper-V.
| Regel | Åtgärd | Källa | Destination | Tjänst | Hamnar |
|---|---|---|---|---|---|
| Tillåt klusterkommunikation | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 445 |
| Tillåt RPC-slutpunktsmappning och WMI | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 135 |
| Tillåt HTTP-anslutning | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 80 |
| Tillåt HTTPS-anslutning | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 443 |
| Tillåt direktmigrering | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 6600 |
| Tillåt hanteringstjänst för virtuella datorer | Tillåt | Hanteringssystem | Hyper-V-server | TCP | 2179 |
| Tillåt dynamisk RPC-portallokering | Tillåt | Hanteringssystem | Hyper-V-server | TCP | Minst 100 portar ovanför port 5000 |
Anteckning
Öppna ett antal portar ovanför port 5000 för att tillåta dynamisk RPC-portallokering. Portar under 5000 kanske redan används av andra program och kan orsaka konflikter med DCOM-program. Tidigare erfarenheter visar att minst 100 portar bör öppnas, eftersom flera systemtjänster förlitar sig på dessa RPC-portar för att kommunicera med varandra. Mer information finns i Konfigurera dynamisk RPC-portallokering så att den fungerar med brandväggar.
Lagringsreplik (utsträckta kluster)
Kontrollera att följande brandväggsregler har konfigurerats i din lokala brandvägg för Storage Replica (sträckt instans).
| Regel | Åtgärd | Källa | Destination | Tjänst | Hamnar |
|---|---|---|---|---|---|
| Tillåt servermeddelandeblockering Protokoll (SMB) |
Tillåt | Utsträckta instansnoder | Utsträckta instansnoder | TCP | 445 |
| Tillåt hantering av webbtjänster (WS-MAN) |
Tillåt | Utsträckta instansnoder | Utsträckta instansnoder | TCP | 5985 |
| Tillåt ICMPv4 och ICMPv6 (om du använder Test-SRTopologyPowerShell cmdlet) |
Tillåt | Utsträckta instansnoder | Utsträckta instansnoder | ej tillämpligt | ej tillämpligt |
Uppdatera Microsoft Defender-brandväggen
Det här avsnittet visar hur du konfigurerar Microsoft Defender-brandväggen så att IP-adresser som är associerade med en tjänsttagg kan ansluta till operativsystemet. En tjänsttagg representerar en grupp IP-adresser från en viss Azure-tjänst. Microsoft hanterar IP-adresserna som ingår i tjänsttaggen och uppdaterar automatiskt tjänsttaggen när IP-adresser ändras för att hålla uppdateringarna till ett minimum. Mer information finns i Tjänsttaggar för virtuellt nätverk.
Ladda ned JSON-filen från följande resurs till måldatorn som kör operativsystemet: Azure IP-intervall och tjänsttaggar – offentligt moln.
Använd följande PowerShell-kommando för att öppna JSON-filen:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonHämta listan över IP-adressintervall för en viss tjänsttagg, till exempel
AzureResourceManagertjänsttaggen:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImportera listan över IP-adresser till din externa företagsbrandvägg om du använder en tillåtslista.
Skapa en brandväggsregel för varje nod i systemet för att tillåta utgående 443-trafik (HTTPS) till listan över IP-adressintervall:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Nästa steg
Mer information finns också:
- Avsnittet Windows-brandväggen och WinRM 2.0-portarna i Installation och konfiguration för Windows Remote Management.
- Om Azure lokal distribution.