Azure 本機的防火牆需求
適用於:Azure 本機版本 23H2 和 22H2
本文提供如何設定 Azure Stack HCI 操作系統防火牆的指引。 其中包含輸出端點和內部規則和埠的防火牆需求。 本文也提供如何使用 Azure 服務標籤搭配 Microsoft Defender 防火牆的資訊。
本文也說明如何選擇性地使用高度鎖定的防火牆組態來封鎖所有目的地的流量,但允許清單中所包含的流量除外。
如果您的網路使用 Proxy 伺服器進行因特網存取,請參閱 設定 Azure 本機的 Proxy 設定。
重要
Azure Local 版本 23H2 或其任何元件不支援 Azure Express Route 和 Azure Private Link,因為無法存取 Azure Local 23H2 版所需的公用端點。
輸出端點的防火牆需求
在組織的防火牆上開啟輸出網路流量的埠 80 和 443,符合 Azure Stack HCI 操作系統與 Azure 和 Microsoft Update 連線的連線需求。
Azure 本機需要定期連線到 Azure,以便:
- 已知的 Azure IP
- 輸出方向
- 連接埠 80 (HTTP) 和 443 (HTTPS)
重要
Azure 本機不支援 HTTPS 檢查。 請確定 Azure 本機的網路路徑已停用 HTTPS 檢查,以防止任何連線錯誤。
如下圖所示,Azure 本機可以使用一個以上的防火牆來存取 Azure。
Azure 本機版本 23H2 部署的必要防火牆 URL
從 Azure 本機版本 23H2 開始,所有叢集都會自動啟用 Azure 資源網橋和 AKS 基礎結構,並使用 Arc for Servers 代理程式連線到 Azure 控制平面。 除了下表上的 HCI 特定端點清單外, Azure 本機 端點上的 Azure 資源網橋、 Azure 本機 端點上的 AKS 和 已啟用 Azure Arc 的伺服器端點必須包含在防火牆的允許清單中。
如需美國東部端點的合併清單,其中包含 Azure 本機、已啟用 Arc 的伺服器、ARB 和 AKS,請使用:
如需包含 Azure 本機、已啟用 Arc 的伺服器、ARB 和 AKS 的西歐端點匯總清單,請使用:
如需澳大利亞東部端點的合併清單,其中包含 Azure 本機、已啟用 Arc 的伺服器、ARB 和 AKS,請使用:
如需包含 Azure 本機、已啟用 Arc 的伺服器、ARB 和 AKS 的加拿大中部端點匯總清單,請使用:
如需包含 Azure 本機、已啟用 Arc 的伺服器、ARB 和 AKS 的印度中部端點匯總清單,請使用:
其他 Azure 服務的防火牆需求
視您為 Azure 本機啟用的其他 Azure 服務而定,您可能需要進行其他防火牆設定變更。 如需每個 Azure 服務的防火牆需求資訊,請參閱下列連結:
- Azure 監視器代理程式
- Azure 入口網站
- Azure Site Recovery
- Azure 虛擬桌面
- Microsoft Defender
- Microsoft監視代理程式 (MMA) 和 Log Analytics 代理程式
- Qualys
- 遠程支援
- Windows Admin Center
- Azure 入口網站 中的 Windows Admin Center
內部規則和埠的防火牆需求
請確定在月臺內和延伸實例的網站之間開啟適當的網路埠(延展實例功能僅適用於 Azure 本機版本 22H2。)。 您需要適當的防火牆規則,才能允許ICMP、SMB(埠 445,以及使用iWARP RDMA的SMB直接傳輸埠 5445),以及 WS-MAN (埠 5985) 叢集中所有節點之間的雙向流量。
使用 Windows Admin Center 中的建立精靈 建立叢集時,精靈會自動在叢集中的每個伺服器上開啟適當的防火牆埠,以進行故障轉移叢集、Hyper-V 和記憶體複本。 如果您在每部計算機上使用不同的防火牆,請開啟埠,如下列各節所述:
Azure Stack HCI OS 管理
請確定您的內部部署防火牆中已設定下列防火牆規則,以進行 Azure Stack HCI OS 管理,包括授權和計費。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許 Azure 本機實例機器上的 Azure 本地服務輸入和輸出流量 | 允許 | 實例節點 | 實例節點 | TCP | 30301 |
Windows Admin Center
請確定 Windows Admin Center 的內部部署防火牆中已設定下列防火牆規則。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 提供 Azure 和 Microsoft Update 的存取權 | 允許 | Windows Admin Center | Azure 本機 | TCP | 445 |
| 使用 Windows 遠端管理 (WinRM) 2.0 用於執行命令的 HTTP 連線 在遠端 Windows 伺服器上 |
允許 | Windows Admin Center | Azure 本機 | TCP | 5985 |
| 使用 WinRM 2.0 進行 HTTPS 連線來執行 遠端 Windows 伺服器上的命令 |
允許 | Windows Admin Center | Azure 本機 | TCP | 5986 |
注意
安裝 Windows Admin Center 時,如果您選取 [僅 透過 HTTPS 使用 WinRM] 設定,則需要埠 5986。
Active Directory
請確定 Active Directory 的內部部署防火牆中已設定下列防火牆規則(本機安全性授權單位)。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許對 Active Directory Web 服務 (ADWS) 和 Active Directory 管理閘道服務的輸入/輸出連線 | 允許 | Active Directory 服務 | Azure 本機 | TCP | 9389 |
容錯移轉叢集
請確定您的內部部署防火牆中已針對故障轉移叢集設定下列防火牆規則。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許故障轉移叢集驗證 | 允許 | 管理系統 | 實例節點 | TCP | 445 |
| 允許 RPC 動態埠配置 | 允許 | 管理系統 | 實例節點 | TCP | 至少 100 個埠 高於埠 5000 |
| 允許遠端程序呼叫 (RPC) | 允許 | 管理系統 | 實例節點 | TCP | 135 |
| 允許叢集管理員 | 允許 | 管理系統 | 實例節點 | UDP | 137 |
| 允許叢集服務 | 允許 | 管理系統 | 實例節點 | UDP | 3343 |
| 允許叢集服務(在期間為必要專案 伺服器聯結作業。) |
允許 | 管理系統 | 實例節點 | TCP | 3343 |
| 允許ICMPv4和ICMPv6 用於故障轉移叢集驗證 |
允許 | 管理系統 | 實例節點 | n/a | n/a |
注意
管理系統包含您打算從中管理系統的任何計算機,使用 Windows Admin Center、Windows PowerShell 或 System Center Virtual Machine Manager 等工具。
Hyper-V
請確定 Hyper-V 的內部部署防火牆中已設定下列防火牆規則。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許叢集通訊 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 445 |
| 允許 RPC 端點對應程式和 WMI | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 135 |
| 允許 HTTP 連線 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 80 |
| 允許 HTTPS 連線 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 443 |
| 允許即時移轉 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 6600 |
| 允許 VM 管理服務 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 2179 |
| 允許 RPC 動態埠配置 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 至少 100 個埠 高於埠 5000 |
注意
開啟埠 5000 以上的埠範圍,以允許 RPC 動態埠配置。 低於 5000 的埠可能已由其他應用程式使用,而且可能會與 DCOM 應用程式發生衝突。 先前的體驗顯示至少應該開啟 100 個埠,因為數個系統服務依賴這些 RPC 埠彼此通訊。 如需詳細資訊,請參閱 如何設定 RPC 動態埠配置以使用防火牆。
記憶體複本 (延展式叢集)
請確定您的內部部署防火牆中已針對記憶體複本設定下列防火牆規則(延展實例)。
| 規則 | 動作 | 來源 | Destination | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許伺服器消息塊 (SMB) 通訊協定 |
允許 | 延展實例節點 | 延展實例節點 | TCP | 445 |
| 允許 Web 服務管理 (WS-MAN) |
允許 | 延展實例節點 | 延展實例節點 | TCP | 5985 |
| 允許ICMPv4和ICMPv6 (如果使用 Test-SRTopologyPowerShell Cmdlet) |
允許 | 延展實例節點 | 延展實例節點 | n/a | n/a |
更新 Microsoft Defender 防火牆
本節說明如何設定 Microsoft Defender 防火牆,以允許與服務卷標相關聯的 IP 位址與操作系統連線。 服務標籤代表來自指定 Azure 服務的 IP 位址群組。 Microsoft管理服務標籤中包含的 IP 位址,並在 IP 位址變更時自動更新服務標籤,以將更新保持在最小值。 若要深入瞭解,請參閱 虛擬網路服務標籤。
將 JSON 檔案從下列資源下載到執行作業系統的目標計算機: Azure IP 範圍和服務標籤 – 公用雲端。
使用下列 PowerShell 命令來開啟 JSON 檔案:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json取得指定服務標籤的 IP 位址範圍清單,例如
AzureResourceManager服務標籤:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes如果您使用允許清單,請將IP位址清單匯入至外部公司防火牆。
為系統中的每個節點建立防火牆規則,以允許輸出 443 (HTTPS) 流量進入IP位址範圍清單:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
下一步
如需詳細資訊,請參閱:
- Windows 遠端管理的安裝和設定的 Windows 防火牆和 WinRM 2.0 埠區段
- 請參閱 關於 Azure 本機版本 23H2 部署