Megosztás a következőn keresztül:


Az Azure Local tűzfalkövetelményei

A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók

Ez a cikk útmutatást nyújt az Azure Stack HCI operációs rendszer tűzfalainak konfigurálásához. Tűzfalkövetelményeket tartalmaz a kimenő végpontokra, valamint a belső szabályokra és portokra vonatkozóan. A cikk az Azure-szolgáltatáscímkék Microsoft Defender tűzfallal való használatáról is tartalmaz információkat.

Ez a cikk azt is ismerteti, hogyan tilthatja le az összes célhelyre érkező összes forgalmat egy szigorúan zárolt tűzfalkonfigurációval, kivéve az engedélyezési listán szereplőket.

Ha a hálózat proxykiszolgálót használ az internet-hozzáféréshez, tekintse meg az Azure Local proxybeállításainak konfigurálását.

Fontos

Az Azure Express Route és az Azure Private Link nem támogatott az Azure Local vagy annak bármely összetevője esetében, mivel nem érhető el az Azure Localhoz szükséges nyilvános végpontok.

A kimenő végpontok tűzfalkövetelményei

A 80-s és a 443-as port megnyitása a kimenő hálózati forgalom számára a szervezet tűzfalán megfelel az Azure Stack HCI operációs rendszerének az Azure-hoz és a Microsoft Update-hez való csatlakozásra vonatkozó csatlakozási követelményeinek.

Az Azure Localnak rendszeresen csatlakoznia kell az Azure-hoz a következő célokra:

  • Jól ismert Azure IP-címek
  • Kimenő irány
  • a 80-as és a 443-as port (HTTP és HTTPS)

Fontos

Az Azure Local nem támogatja a HTTPS-ellenőrzést. A csatlakozási hibák elkerülése érdekében győződjön meg arról, hogy a HTTPS-ellenőrzés le van tiltva az Azure Local hálózati útvonala mentén. Ez magában foglalja az Entra ID bérlőkorlátozások v1 használatát, amelyek nem támogatottak az Azure Helyi menedzsment hálózati kommunikációhoz.

Az alábbi ábrán látható módon az Azure Local több tűzfallal is elérheti az Azure-t.

Az ábra az Azure Local hozzáférési szolgáltatáscímkéinek végpontjait mutatja be a tűzfalak 443-ai porton (HTTPS) keresztül.

Az Azure Local-környezetekhez szükséges tűzfal URL-címek

Az Azure Local-példányok automatikusan engedélyezik az Azure Resource Bridge és az AKS-infrastruktúrát, és az Arc for Servers-ügynök használatával csatlakoznak az Azure vezérlősíkhoz. Az alábbi táblázatban szereplő HCI-specifikus végpontok listájával együtt szerepelnie kell a tűzfal engedélyezési listájában az Azure Resource Bridge on Azure Local végpontokon, az Azure Local-végpontokon futó AKS-nek és az Azure Arc-kompatibilis kiszolgálók végpontjainak.

Az USA keleti régióihoz tartozó végpontok összesített listája, amely tartalmazza az Azure Local, Arc-kompatibilis kiszolgálókat, az ARB-t és az AKS-t, használja a következőket:

Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó nyugat-európai végpontok összesített listájához használja a következőt:

Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó kelet-ausztráliai végpontok összesített listájához használja a következőket:

Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó Canada Central végpontjainak összevont listájához használja a következőket:

Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó India Central végpontjainak összevont listájához használja a következőket:

Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó délkelet-ázsiai végpontok összesített listájához használja a következőket:

Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó Kelet-Japán végpontok összevont listájához használja a következőket:

Az USA déli középső régiójának végpontjainak összesített listája, amely magában foglalja az Azure Local, az Arc-kompatibilis kiszolgálókat, az ARB-t és az AKS-t, használja a következőket:

További Azure-szolgáltatások tűzfalkövetelményei

Az Azure Local számára engedélyezett további Azure-szolgáltatásoktól függően előfordulhat, hogy további tűzfalkonfigurációs módosításokat kell végrehajtania. Az egyes Azure-szolgáltatások tűzfalkövetelményével kapcsolatos információkért tekintse meg az alábbi hivatkozásokat:

Belső szabályok és portok tűzfalkövetelményei

Győződjön meg arról, hogy a megfelelő hálózati portok nyitva vannak az összes csomópont között, mind a helyeken, mind a kinyújtott példányok helyei között (a kiterjesztett példányok funkciói csak az Azure Stack HCI 22H2-es verziójában érhetők el). Az ICMP, az SMB (445-ös port, valamint az SMB Direct 5445-ös portja iWARP RDMA használata esetén), valamint a WS-MAN (5985-ös port) kétirányú forgalmának engedélyezéséhez megfelelő tűzfalszabályokra van szükség a fürt összes csomópontja között.

Amikor a Windows Admin Centerben a Létrehozási varázsló használatával hozza létre a fürtöt, a varázsló automatikusan megnyitja a megfelelő tűzfalportokat a fürt minden szerverén a Feladatátvételi fürtözés, a Hyper-V és a Tárreplikáció számára. Ha minden gépen más tűzfalat használ, nyissa meg a portokat az alábbi szakaszokban leírtak szerint:

Azure Stack HCI operációs rendszer felügyelete

Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a helyszíni tűzfalban az Azure Stack HCI operációs rendszer felügyeletéhez, beleértve a licencelést és a számlázást is.

Szabály Művelet Forrás Cél Szolgáltatás Portok
Bejövő/kimenő forgalom engedélyezése az Azure Helyi szolgáltatásba és onnan az Azure Helyi gépeken Engedélyezés Példánycsomópontok Példánycsomópontok TCP 30301

Windows Admin Center

Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a Windows Felügyeleti központ helyszíni tűzfalában.

Szabály Művelet Forrás Cél Szolgáltatás Portok
Hozzáférés biztosítása az Azure-hoz és a Microsoft Update-hez Engedélyezés Windows Admin Center Helyi Azure TCP 445
Használja a Windows Remote Management (WinRM) 2.0-t
HTTP-kapcsolatok parancsok futtatásához
távoli Windows-kiszolgálókon
Engedélyezés Windows Admin Center Helyi Azure TCP 5985
HTTPS-kapcsolatok futtatásához használja a WinRM 2.0-t
parancsok távoli Windows-kiszolgálókon
Engedélyezés Windows Adminisztrációs Központ Helyi Azure TCP 5986

Feljegyzés

A Windows Felügyeleti központ telepítésekor, ha a WinRM használata csak HTTPS-en keresztül beállítást választja, akkor az 5986-os portra van szükség.

Active Directory

Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak az Active Directory helyszíni tűzfalában (helyi biztonsági szolgáltató).

Szabály Művelet Forrás Cél Szolgáltatás Portok
Bejövő/kimenő kapcsolat engedélyezése az Active Directory webszolgáltatásokhoz (ADWS) és az Active Directory Felügyeleti átjáró szolgáltatáshoz Engedélyezés Active Directory-szolgáltatások Helyi Azure TCP 9389

Hálózati időprotokoll

Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalban a Network Time Protocol (NTP) számára.

Szabály Akció Forrás Cél Szolgáltatás Portok
Engedélyezze a bejövő/kimenő kapcsolatot a Hálózati idő protokoll (NTP) kiszolgálóval. Ez a kiszolgáló lehet Active Directory-tartományvezérlő vagy NTP-berendezés. Engedélyezés Helyi Azure Hálózati idő protokoll (NTP/SNTP) kiszolgáló UDP 123

Klaszterezés meghibásodás esetén

Győződjön meg arról, hogy a helyszíni tűzfalon a következő tűzfalszabályok konfigurálva vannak a feladatátvételi fürtözéshez.

Szabály Művelet Forrás Cél Szolgáltatás Portok
Feladatátvevő fürt érvényesítésének engedélyezése Engedélyezés Felügyeleti rendszer Példánycsomópontok TCP 445
Dinamikus RPC-portfoglalás engedélyezése Engedélyezés Felügyeleti rendszer Példánycsomópontok TCP Legalább 100 port
az 5000-s port felett
Távoli eljáráshívás engedélyezése (RPC) Engedélyezés Felügyeleti rendszer Példánycsomópontok TCP 135
Klaszteradminisztrátor engedélyezése Engedélyezés Felügyeleti rendszer Példánycsomópontok UDP 137
Fürtszolgáltatás engedélyezése Engedélyezés Felügyeleti rendszer Példánycsomópontok UDP 3343
Fürtszolgáltatás engedélyezése (a szükséges időszak alatt)
egy szerver csatlakozási művelet.
Engedélyezés Felügyeleti rendszer Példánycsomópontok TCP 3343
ICMPv4 és ICMPv6 engedélyezése
átállási fürt validálásához
Engedélyezés Felügyeleti rendszer Példánycsomópontok n.a. n.a.

Feljegyzés

A felügyeleti rendszer tartalmazza azokat a számítógépeket, amelyekről a rendszer felügyeletét tervezi, olyan eszközökkel, mint a Windows Felügyeleti központ, a Windows PowerShell vagy a System Center Virtual Machine Manager.

Hyper-V

Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a Hyper-V helyszíni tűzfalában.

Szabály Tevékenység Forrás Cél Szolgáltatás Portok
A fürtkommunikáció engedélyezése Engedélyezés Felügyeleti rendszer Hyper-V-kiszolgáló TCP 445
RPC-végpontleképező és WMI engedélyezése Engedélyezés Felügyeleti rendszer Hyper-V-kiszolgáló TCP 135
HTTP-kapcsolat engedélyezése Engedélyezés Felügyeleti rendszer Hyper-V-kiszolgáló TCP 80
HTTPS-kapcsolat engedélyezése Engedélyezés Felügyeleti rendszer Hyper-V-kiszolgáló TCP 443
Élő áttelepítés engedélyezése Engedélyezés Felügyeleti rendszer Hyper-V-kiszolgáló TCP 6600
Virtuálisgép-kezelési szolgáltatás engedélyezése Engedélyezés Felügyeleti rendszer Hyper-V-kiszolgáló TCP 2179
Dinamikus RPC-portfoglalás engedélyezése Engedélyezés Felügyeleti rendszer Hyper-V-kiszolgáló TCP Legalább 100 port
az 5000-s port felett

Feljegyzés

Nyisson meg egy porttartományt az 5000-s port felett az RPC dinamikus portfoglalásának engedélyezéséhez. Az 5000 alatti portokat már más alkalmazások is használhatják, és ütközéseket okozhatnak a DCOM-alkalmazásokkal. A korábbi tapasztalatok azt mutatják, hogy legalább 100 portot kell megnyitni, mivel számos rendszerszolgáltatás ezekre az RPC-portokra támaszkodik az egymással való kommunikációhoz. További információ: Az RPC dinamikus portfoglalásának konfigurálása a tűzfalak használatához.

Storage Replica (kiterjesztett klaszter)

Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalon a Storage Replica (kiterjesztett példány) esetében.

Szabály Művelet Forrás Cél Szolgáltatás Portok
Kiszolgálói üzenetblokk engedélyezése
(SMB) protokoll
Engedélyezés Kinyújtott példánycsomópontok Kinyújtott példánycsomópontok TCP 445
Webszolgáltatások kezelésének engedélyezése
(WS-MAN)
Engedélyezés Kinyújtott példánycsomópontok Kinyújtott példánycsomópontok TCP 5985
ICMPv4 és ICMPv6 engedélyezése
(ha a Test-SRTopology használatával)
PowerShell parancsmag)
Engedélyezés Kinyújtott példánycsomópontok Kinyújtott példányszintű csomópontok nem alkalmazható n.a.

A Microsoft Defender tűzfalának frissítése

Ez a szakasz bemutatja, hogyan konfigurálhatja a Microsoft Defender tűzfalat úgy, hogy a szolgáltatáscímkéhez társított IP-címek kapcsolódhassanak az operációs rendszerhez. A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címeinek egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímkében szereplő IP-címeket, és automatikusan frissíti a szolgáltatáscímkét, ahogy az IP-címek megváltoznak, hogy a frissítések minimálisan megmaradjanak. További információ: Virtuális hálózati szolgáltatáscímkék.

  1. Töltse le a JSON-fájlt a következő erőforrásból az operációs rendszert futtató célszámítógépre: Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő.

  2. A JSON-fájl megnyitásához használja a következő PowerShell-parancsot:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Lekérheti egy adott szolgáltatáscímke IP-címtartományainak listáját, például a AzureResourceManager szolgáltatáscímkét:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importálja az IP-címek listáját a külső vállalati tűzfalra, ha engedélyezési listát használ vele.

  5. Hozzon létre egy tűzfalszabályt a rendszer minden csomópontja számára, amely engedélyezi a kimenő 443-ra (HTTPS) irányuló forgalmat az IP-címtartományok listájára:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Következő lépések

További információkért lásd még: