Azure 本地服務的防火牆需求
適用於:Azure Local 2311.2 和更新版本
本文提供如何設定 Azure Stack HCI 操作系統防火牆的指引。 它包括對外端點的防火牆需求以及內部規則和埠。 本文也提供如何使用 Azure 服務標籤搭配 Microsoft Defender 防火牆的資訊。
本文也說明如何選擇性地使用高度鎖定的防火牆組態來封鎖所有目的地的流量,但允許清單中所包含的流量除外。
如果您的網路使用 Proxy 伺服器進行因特網存取,請參閱 設定 Azure 本機的 Proxy 設定。
重要
Azure Local 或其任何元件都不支援 Azure Express Route 和 Azure Private Link,因為無法存取 Azure Local 所需的公用端點。
輸出端點的防火牆需求
在組織的防火牆上開啟輸出網路流量的埠 80 和 443,符合 Azure Stack HCI 操作系統與 Azure 和 Microsoft Update 連線的連線需求。
Azure 本地需要定期連線到 Azure,以便:
- 知名的 Azure IP位址
- 往外方向
- 連接埠 80 (HTTP) 和 443 (HTTPS)
重要
Azure 本地化功能不支援 HTTPS 檢測。 請確保在 Azure Local 的網路路徑中停用 HTTPS 檢查,以避免連線錯誤。 這包括使用 Entra ID 租戶限制 v1,但 Azure 本機管理網路通訊不支援此限制。
如下圖所示,Azure Local 可以透過多個防火牆來存取 Azure。
Azure 本機部署所需的防火牆 URL
Azure 本機實例會自動啟用 Azure Resource Bridge 和 AKS 基礎結構,並使用 Arc for Servers 代理程式連線到 Azure 控制平台。 除了下表上的 HCI 特定端點清單外, Azure 本機 端點上的 Azure 資源網橋、 Azure 本機 端點上的 AKS 和 已啟用 Azure Arc 的伺服器端點必須包含在防火牆的允許清單中。
如需包含 Azure Local、已啟用 Arc 的伺服器、ARB 和 AKS 的美國東部端點綜合清單,請使用:
如需包含 Azure 本機、已啟用 Arc 的伺服器、ARB 和 AKS 的西歐端點匯總清單,請使用:
- 適用於 Azure 本機 的西歐必要端點
如需澳大利亞東部端點的合併清單,其中包含 Azure 本機、已啟用 Arc 的伺服器、ARB 和 AKS,請使用:
如需包含 Azure 區域、已啟用 Arc 的伺服器、ARB 和 AKS 的 Canada Central 端點匯總清單,請使用:
如需包含 Azure 本地、已啟用 Arc 的伺服器、ARB 和 AKS 的印度中部端點匯總清單,請使用:
如需包含 Azure Local、已啟用 Arc 的伺服器、ARB 和 AKS 之東南亞端點的合併清單,請使用:
- Azure 本機 的東南亞必要端點
如需包含 Azure Local、Arc 啟用的伺服器、ARB 和 AKS 的日本東部端點的綜合清單,請使用:
若要查看美國中南部的端點匯總清單,其中包含 Azure 本機、已啟用 Arc 的伺服器、ARB 和 AKS,請使用:
- Azure 本機 美國中南部的必要端點
其他 Azure 服務的防火牆需求
視您為 Azure 本機啟用的其他 Azure 服務而定,您可能需要進行其他防火牆設定變更。 如需每個 Azure 服務的防火牆需求資訊,請參閱下列連結:
- Azure 監視器代理程式
- Azure 入口網站
- Azure Site Recovery
- Azure 虛擬桌面
- Microsoft Defender
- Microsoft 監視代理程式(MMA)和 Log Analytics 代理程式
- Qualys
- 遠程支援
- Windows Admin Center
- Azure 入口網站 中的 Windows Admin Center
內部規則和端口的防火牆需求
請確保在所有節點之間開啟適當的網路埠,不論是在單一網站內部還是在延伸實例的不同網站之間(延展式實例功能僅適用於 Azure Stack HCI 版本 22H2)。 您需要適當的防火牆規則,才能允許ICMP、SMB(埠 445,以及使用iWARP RDMA的SMB直接傳輸埠 5445),以及 WS-MAN (埠 5985) 叢集中所有節點之間的雙向流量。
使用 Windows Admin Center 中的建立精靈 建立叢集時,精靈會自動在叢集中的每個伺服器上開啟適當的防火牆埠,以進行故障轉移叢集、Hyper-V 和記憶體複本。 如果您在每部計算機上使用不同的防火牆,請開啟埠,如下列各節所述:
Azure Stack HCI OS 管理
請確定您的內部部署防火牆中已設定下列防火牆規則,以進行 Azure Stack HCI OS 管理,包括授權和計費。
| 規則 | 動作 | 來源 | 目的地 | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許 Azure 本機電腦與 Azure Local 服務之間的輸入和輸出流量 | 允許 | 實例節點 | 實例節點 | TCP | 30301 |
Windows 管理中心
請確定 Windows Admin Center 的內部部署防火牆中已設定下列防火牆規則。
| 規則 | 動作 | 來源 | 目的地 | 服務 | 連接埠(端口) |
|---|---|---|---|---|---|
| 提供 Azure 和 Microsoft Update 的存取權 | 允許 | Windows Admin Center | Azure 區域 | TCP | 445 |
| 使用 Windows 遠端管理 (WinRM) 2.0 用於執行命令的 HTTP 連線 在遠端 Windows 伺服器上 |
允許 | Windows Admin Center | Azure 本機 | TCP | 5985 |
| 使用 WinRM 2.0 進行 HTTPS 連線來執行 遠端 Windows 伺服器上的命令 |
允許 | Windows 管理中心 | Azure 本地環境 | TCP | 5986 |
注意
安裝 Windows Admin Center 時,如果您選取 [僅 透過 HTTPS 使用 WinRM] 設定,則需要埠 5986。
Active Directory
請確定 Active Directory 的內部部署防火牆中已設定下列防火牆規則(本機安全性授權單位)。
| 規則 | 動作 | 來源 | 目的地 | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許對 Active Directory Web 服務 (ADWS) 和 Active Directory 管理閘道服務的輸入/輸出連線 | 允許 | Active Directory 服務 | Azure 地區 | TCP | 9389 |
網路時間通訊協定
請確定網路時間通訊協定 (NTP) 的內部部署防火牆中已設定下列防火牆規則。
| 規則 | 動作 | 來源 | 目的地 | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許網路時間通訊協定 (NTP) 伺服器的輸入/輸出連線。 此伺服器可以是 Active Directory 域控制器或 NTP 設備。 | 允許 | Azure 本地 | 網路時間通訊協定 (NTP/SNTP) 伺服器 | UDP | 123 |
容錯叢集
請確定您的內部部署防火牆中已針對故障轉移叢集設定下列防火牆規則。
| 規則 | 動作 | 來源 | 目的地 | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許故障轉移叢集驗證 | 允許 | 管理系統 | 實例節點 | TCP | 445 |
| 允許 RPC 動態埠配置 | 允許 | 管理系統 | 實例節點 | TCP | 至少 100 個埠 高於埠 5000 |
| 允許遠端程序呼叫 (RPC) | 允許 | 管理系統 | 實例節點 | TCP | 135 |
| 允許叢集管理員 | 允許 | 管理系統 | 實例節點 | UDP | 137 |
| 允許叢集服務 | 允許 | 管理系統 | 實例節點 | UDP | 3343 |
| 必需期間允許叢集服務 伺服器聯結作業。) |
允許 | 管理系統 | 實例節點 | TCP | 3343 |
| 允許ICMPv4和ICMPv6 用於故障轉移叢集驗證 |
允許 | 管理系統 | 實例節點 | n/a | n/a |
注意
管理系統包含您打算從中管理系統的任何計算機,使用 Windows Admin Center、Windows PowerShell 或 System Center Virtual Machine Manager 等工具。
Hyper-V
請確定 Hyper-V 的內部部署防火牆中已設定下列防火牆規則。
| 規則 | 動作 | 來源 | 目的地 | 服務 | 端口 |
|---|---|---|---|---|---|
| 允許叢集通訊 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 445 |
| 允許 RPC 端點對應程式和 WMI | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 135 |
| 允許 HTTP 連線 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 80 |
| 允許 HTTPS 連線 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 443 |
| 允許即時移轉 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 6600 |
| 允許 VM 管理服務 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 2179 |
| 允許 RPC 動態埠配置 | 允許 | 管理系統 | Hyper-V 伺服器 | TCP | 至少 100 個埠 高於埠 5000 |
注意
開啟埠 5000 以上的埠範圍,以允許 RPC 動態埠配置。 低於 5000 的埠可能已由其他應用程式使用,而且可能會與 DCOM 應用程式發生衝突。 先前的體驗顯示至少應該開啟 100 個埠,因為數個系統服務依賴這些 RPC 埠彼此通訊。 如需詳細資訊,請參閱 如何設定 RPC 動態埠配置以配合防火牆設定。
記憶體複本 (延展式叢集)
請確定您的內部部署防火牆中已針對記憶體複本設定下列防火牆規則(延展實例)。
| 規則 | 動作 | 來源 | 目的地 | 服務 | 連接埠 |
|---|---|---|---|---|---|
| 允許伺服器消息塊 (SMB) 通訊協定 |
允許 | 延展實例節點 | 延展實例節點 | TCP | 445 |
| 允許 Web 服務管理 (WS-MAN) |
允許 | 延展實例節點 | 延展實例節點 | TCP | 5985 |
| 允許ICMPv4和ICMPv6 (如果使用 Test-SRTopologyPowerShell Cmdlet) |
允許 | 延展實例節點 | 延展實例節點 | n/a | n/a |
更新 Microsoft Defender 防火牆
本節說明如何設定 Microsoft Defender 防火牆,以允許與服務卷標相關聯的 IP 位址與操作系統連線。 服務標籤代表來自指定 Azure 服務的 IP 位址群組。 Microsoft管理服務標籤中包含的 IP 位址,並在 IP 位址變更時自動更新服務標籤,以將更新保持在最小值。 若要深入瞭解,請參閱 虛擬網路服務標籤。
將 JSON 檔案從下列資源下載到執行作業系統的目標計算機: Azure IP 範圍和服務標籤 – 公用雲端。
使用下列 PowerShell 命令來開啟 JSON 檔案:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json取得指定服務標籤的 IP 位址範圍清單,例如
AzureResourceManager服務標籤:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes如果您使用允許清單,請將 IP 位址清單匯入到您的外部企業防火牆。
為系統中的每個節點建立防火牆規則,以允許輸出 443 (HTTPS) 流量進入IP位址範圍清單:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
下一步
如需詳細資訊,請參閱:
- Windows 遠端管理中有關 Windows 防火牆和 WinRM 2.0 埠的一節,安裝和配置。
- 關於 Azure 本機部署。