Azure 本地防火墙要求
适用于:Azure 本地版本 23H2 和 22H2
本文提供了有关如何为 Azure Stack HCI 操作系统配置防火墙的指导。 其中包括出站终结点以及内部规则和端口的防火墙要求。 本文还提供了有关如何将 Azure 服务标记与 Microsoft Defender 防火墙配合使用的信息。
本文还介绍了如何选择使用高度锁定的防火墙配置来阻止前往所有目标的流量(包含在允许列表中的除外)。
如果网络使用代理服务器进行 Internet 访问,请参阅 “配置 Azure 本地”的代理设置。
重要
Azure 本地版本 23H2 或其任何组件不支持 Azure Express Route 和 Azure 专用链接,因为无法访问 Azure 本地版本 23H2 所需的公共终结点。
出站终结点的防火墙要求
在组织的防火墙上为出站网络流量打开端口 80 和 443 可满足 Azure Stack HCI 操作系统与 Azure 和 Microsoft 更新进行连接的连接要求。
Azure 本地需要定期连接到 Azure,以便:
- 众所周知的 Azure IP
- 出站方向
- 端口 80 (HTTP) 和 443 (HTTPS)
重要
Azure 本地不支持 HTTPS 检查。 请确保在 Azure Local 的网络路径上禁用 HTTPS 检查,以防止出现任何连接错误。
如下图所示,Azure 本地可以使用多个防火墙访问 Azure。
Azure 本地版本 23H2 部署所需的防火墙 URL
从 Azure 本地版本 23H2 开始,所有群集会自动启用 Azure 资源桥和 AKS 基础结构,并使用 Arc for Servers 代理连接到 Azure 控制平面。 除了下表上的 HCI 特定终结点列表, Azure 本地 终结点上的 Azure 资源桥、 Azure 本地 终结点上的 AKS 和 已启用 Azure Arc 的服务器 终结点必须包含在防火墙的允许列表中。
对于包括 Azure 本地、已启用 Arc 的服务器、ARB 和 AKS 在内的美国东部终结点的合并列表,请使用:
有关包括 Azure 本地、已启用 Arc 的服务器、ARB 和 AKS 在内的西欧终结点的合并列表,请使用:
有关澳大利亚东部(包括 Azure 本地、已启用 Arc 的服务器、ARB 和 AKS)的合并终结点列表,请使用:
有关包含 Azure 本地、已启用 Arc 的服务器、ARB 和 AKS 的加拿大 Central 的终结点的合并列表,请使用:
有关包含 Azure 本地、已启用 Arc 的服务器、ARB 和 AKS 的印度中部终结点的合并列表,请使用:
其他 Azure 服务的防火墙要求
根据为 Azure 本地启用的其他 Azure 服务,可能需要进行其他防火墙配置更改。 有关每个 Azure 服务的防火墙要求的信息,请参阅以下链接:
- Azure Monitor 代理
- Azure 门户
- Azure Site Recovery
- Azure 虚拟桌面
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) 和 Log Analytics 代理
- Qualys
- 远程支持
- Windows 管理中心
- Azure 门户中的 Windows Admin Center
内部规则和端口的防火墙要求
确保在站点内和拉伸实例的站点之间(拉伸实例功能仅在 Azure 本地版本 22H2 中可用)之间的所有节点之间打开正确的网络端口。 你需要适当的防火墙规则,以允许 ICMP、SMB(端口 445 以及端口 5445(如果使用 iWARP RDMA)和 WS-MAN(端口 5985)群集中的所有节点之间的双向流量。
使用 Windows Admin Center 中的“创建”向导 创建群集时,向导会自动在群集中的每个服务器上打开相应的防火墙端口,以便故障转移群集、Hyper-V 和存储副本。 如果在每台计算机上使用不同的防火墙,请打开端口,如以下部分所述:
Azure Stack HCI OS 管理
请确保在本地防火墙中配置用于管理 Azure Stack HCI OS(包括许可和计费)的以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许进出 Azure 本地实例计算机上的 Azure 本地服务的入站/出站流量 | 允许 | 实例节点 | 实例节点 | TCP | 30301 |
Windows Admin Center
确保在 Windows Admin Center 的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 提供对 Azure 和 Microsoft 更新的访问权限 | Allow | Windows 管理中心 | Azure 本地 | TCP | 445 |
| 对 HTTP 连接使用 Windows 远程管理 (WinRM) 2.0, 以在远程 Windows 服务器上 运行命令 |
Allow | Windows 管理中心 | Azure 本地 | TCP | 5985 |
| 对 HTTPS 连接使用 WinRM 2.0, 以在远程 Windows 服务器上运行命令 |
Allow | Windows 管理中心 | Azure 本地 | TCP | 5986 |
注意
在安装 Windows Admin Center 时,如果选择“仅通过 HTTPS 使用 WinRM”设置,则需要端口 5986。
Active Directory
确保在 Active Directory(本地安全机构)的本地防火墙中配置以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许与 Active Directory Web 服务 (ADWS) 和 Active Directory 管理网关服务的入站/出站连接 | 允许 | Active Directory 服务 | Azure 本地 | TCP | 9389 |
故障转移群集
确保在故障转移群集的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许故障转移群集验证 | Allow | 管理系统 | 实例节点 | TCP | 445 |
| 允许 RPC 动态端口分配 | Allow | 管理系统 | 实例节点 | TCP | 至少 100 个端口 高于端口 5000 |
| 允许远程过程调用 (RPC) | Allow | 管理系统 | 实例节点 | TCP | 135 |
| 允许群集管理员 | Allow | 管理系统 | 实例节点 | UDP | 137 |
| 允许群集服务 | Allow | 管理系统 | 实例节点 | UDP | 3343 |
| 允许群集服务(在服务器加入操作 期间是必需的。) |
Allow | 管理系统 | 实例节点 | TCP | 3343 |
| 允许 ICMPv4 和 ICMPv6 来进行故障转移群集验证 |
Allow | 管理系统 | 实例节点 | n/a | 不适用 |
注意
管理系统包括你计划从中管理系统的任何计算机,使用 Windows Admin Center、Windows PowerShell 或 System Center Virtual Machine Manager 等工具。
Hyper-V
确保在 Hyper-V 的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许群集通信 | Allow | 管理系统 | Hyper-V Server | TCP | 445 |
| 允许 RPC 端点映射程序和 WMI | Allow | 管理系统 | Hyper-V Server | TCP | 135 |
| 允许 HTTP 连接 | Allow | 管理系统 | Hyper-V Server | TCP | 80 |
| 允许 HTTPS 连接 | Allow | 管理系统 | Hyper-V Server | TCP | 443 |
| 允许实时迁移 | Allow | 管理系统 | Hyper-V Server | TCP | 6600 |
| 允许 VM 管理服务 | Allow | 管理系统 | Hyper-V Server | TCP | 2179 |
| 允许 RPC 动态端口分配 | Allow | 管理系统 | Hyper-V Server | TCP | 至少 100 个端口 高于端口 5000 |
注意
打开一系列高于端口 5000 的端口,以允许 RPC 动态端口分配。 低于 5000 的端口可能已被其他应用程序使用,可能导致与 DCOM 应用程序发生冲突。 以前的经验显示,至少应打开 100 个端口,原因是多个系统服务依赖于这些 RPC 端口来彼此通信。 有关详细信息,请参阅如何配置与防火墙一起使用的 RPC 动态端口分配。
存储副本(拉伸群集)
确保在本地防火墙中为存储副本(延伸实例)配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许服务器消息块 (SMB) 协议 |
允许 | 拉伸实例节点 | 拉伸实例节点 | TCP | 445 |
| 允许 Web 服务管理 (WS-MAN) |
允许 | 拉伸实例节点 | 拉伸实例节点 | TCP | 5985 |
| 允许 ICMPv4 和 ICMPv6 (如果在使用 Test-SRTopologyPowerShell cmdlet) |
允许 | 拉伸实例节点 | 拉伸实例节点 | n/a | 不适用 |
更新 Microsoft Defender 防火墙
本部分介绍了如何将 Microsoft Defender 防火墙配置为允许与服务标记关联的 IP 地址连接到操作系统。 服务标记代表给定 Azure 服务中的一组 IP 地址。 Microsoft 会管理服务标记中包含的 IP 地址,并且会在 IP 地址更改时自动更新服务标记,使更新量保持在最低水平。 若要了解详细信息,请参阅虚拟网络服务标记。
将来自以下资源的 JSON 文件下载到运行操作系统的目标计算机中:Azure IP 范围和服务标记 - 高能公有云。
使用以下 PowerShell 命令打开 JSON 文件:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json获取给定服务标记(例如
AzureResourceManager服务标记)的 IP 地址范围列表:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes将 IP 地址列表导入到外部公司防火墙(如果你在防火墙中使用允许列表)。
为系统中每个节点创建防火墙规则,以允许出站 443 (HTTPS) 流量流向 IP 地址范围列表:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
后续步骤
有关详细信息,请参阅:
- Windows 远程管理的安装和配置的 Windows 防火墙和 WinRM 2.0 端口部分
- 请参阅 关于 Azure 本地版本 23H2 部署