Az Azure Local tűzfalkövetelményei
A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók
Ez a cikk útmutatást nyújt az Azure Stack HCI operációs rendszer tűzfalainak konfigurálásához. Tűzfalkövetelményeket tartalmaz a kimenő végpontokra, valamint a belső szabályokra és portokra vonatkozóan. A cikk az Azure-szolgáltatáscímkék Microsoft Defender tűzfallal való használatáról is tartalmaz információkat.
Ez a cikk azt is ismerteti, hogyan tilthatja le az összes célhelyre érkező összes forgalmat egy szigorúan zárolt tűzfalkonfigurációval, kivéve az engedélyezési listán szereplőket.
Ha a hálózat proxykiszolgálót használ az internet-hozzáféréshez, tekintse meg az Azure Local proxybeállításainak konfigurálását.
Fontos
Az Azure Express Route és az Azure Private Link nem támogatott az Azure Local vagy annak bármely összetevője esetében, mivel nem érhető el az Azure Localhoz szükséges nyilvános végpontok.
A kimenő végpontok tűzfalkövetelményei
A 80-s és a 443-as port megnyitása a kimenő hálózati forgalom számára a szervezet tűzfalán megfelel az Azure Stack HCI operációs rendszerének az Azure-hoz és a Microsoft Update-hez való csatlakozásra vonatkozó csatlakozási követelményeinek.
Az Azure Localnak rendszeresen csatlakoznia kell az Azure-hoz a következő célokra:
- Jól ismert Azure IP-címek
- Kimenő irány
- a 80-as és a 443-as port (HTTP és HTTPS)
Fontos
Az Azure Local nem támogatja a HTTPS-ellenőrzést. A csatlakozási hibák elkerülése érdekében győződjön meg arról, hogy a HTTPS-ellenőrzés le van tiltva az Azure Local hálózati útvonala mentén. Ez magában foglalja az Entra ID bérlőkorlátozások v1 használatát, amelyek nem támogatottak az Azure Helyi menedzsment hálózati kommunikációhoz.
Az alábbi ábrán látható módon az Azure Local több tűzfallal is elérheti az Azure-t.
Az Azure Local-környezetekhez szükséges tűzfal URL-címek
Az Azure Local-példányok automatikusan engedélyezik az Azure Resource Bridge és az AKS-infrastruktúrát, és az Arc for Servers-ügynök használatával csatlakoznak az Azure vezérlősíkhoz. Az alábbi táblázatban szereplő HCI-specifikus végpontok listájával együtt szerepelnie kell a tűzfal engedélyezési listájában az Azure Resource Bridge on Azure Local végpontokon, az Azure Local-végpontokon futó AKS-nek és az Azure Arc-kompatibilis kiszolgálók végpontjainak.
Az USA keleti régióihoz tartozó végpontok összesített listája, amely tartalmazza az Azure Local, Arc-kompatibilis kiszolgálókat, az ARB-t és az AKS-t, használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó nyugat-európai végpontok összesített listájához használja a következőt:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó kelet-ausztráliai végpontok összesített listájához használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó Canada Central végpontjainak összevont listájához használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó India Central végpontjainak összevont listájához használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó délkelet-ázsiai végpontok összesített listájához használja a következőket:
Az Azure Local, Arc-kompatibilis kiszolgálókat, ARB-t és AKS-t tartalmazó Kelet-Japán végpontok összevont listájához használja a következőket:
Az USA déli középső régiójának végpontjainak összesített listája, amely magában foglalja az Azure Local, az Arc-kompatibilis kiszolgálókat, az ARB-t és az AKS-t, használja a következőket:
További Azure-szolgáltatások tűzfalkövetelményei
Az Azure Local számára engedélyezett további Azure-szolgáltatásoktól függően előfordulhat, hogy további tűzfalkonfigurációs módosításokat kell végrehajtania. Az egyes Azure-szolgáltatások tűzfalkövetelményével kapcsolatos információkért tekintse meg az alábbi hivatkozásokat:
- Azure Monitor-ügynök
- Azure portál
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) és Log Analytics-ügynök
- Qualys
- Távoli támogatás
- Windows Felügyeleti központ
- Windows Felügyeleti központ az Azure Portalon
Belső szabályok és portok tűzfalkövetelményei
Győződjön meg arról, hogy a megfelelő hálózati portok nyitva vannak az összes csomópont között, mind a helyeken, mind a kinyújtott példányok helyei között (a kiterjesztett példányok funkciói csak az Azure Stack HCI 22H2-es verziójában érhetők el). Az ICMP, az SMB (445-ös port, valamint az SMB Direct 5445-ös portja iWARP RDMA használata esetén), valamint a WS-MAN (5985-ös port) kétirányú forgalmának engedélyezéséhez megfelelő tűzfalszabályokra van szükség a fürt összes csomópontja között.
Amikor a Windows Admin Centerben a Létrehozási varázsló használatával hozza létre a fürtöt, a varázsló automatikusan megnyitja a megfelelő tűzfalportokat a fürt minden szerverén a Feladatátvételi fürtözés, a Hyper-V és a Tárreplikáció számára. Ha minden gépen más tűzfalat használ, nyissa meg a portokat az alábbi szakaszokban leírtak szerint:
Azure Stack HCI operációs rendszer felügyelete
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a helyszíni tűzfalban az Azure Stack HCI operációs rendszer felügyeletéhez, beleértve a licencelést és a számlázást is.
Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
---|---|---|---|---|---|
Bejövő/kimenő forgalom engedélyezése az Azure Helyi szolgáltatásba és onnan az Azure Helyi gépeken | Engedélyezés | Példánycsomópontok | Példánycsomópontok | TCP | 30301 |
Windows Admin Center
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a Windows Felügyeleti központ helyszíni tűzfalában.
Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
---|---|---|---|---|---|
Hozzáférés biztosítása az Azure-hoz és a Microsoft Update-hez | Engedélyezés | Windows Admin Center | Helyi Azure | TCP | 445 |
Használja a Windows Remote Management (WinRM) 2.0-t HTTP-kapcsolatok parancsok futtatásához távoli Windows-kiszolgálókon |
Engedélyezés | Windows Admin Center | Helyi Azure | TCP | 5985 |
HTTPS-kapcsolatok futtatásához használja a WinRM 2.0-t parancsok távoli Windows-kiszolgálókon |
Engedélyezés | Windows Adminisztrációs Központ | Helyi Azure | TCP | 5986 |
Feljegyzés
A Windows Felügyeleti központ telepítésekor, ha a WinRM használata csak HTTPS-en keresztül beállítást választja, akkor az 5986-os portra van szükség.
Active Directory
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak az Active Directory helyszíni tűzfalában (helyi biztonsági szolgáltató).
Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
---|---|---|---|---|---|
Bejövő/kimenő kapcsolat engedélyezése az Active Directory webszolgáltatásokhoz (ADWS) és az Active Directory Felügyeleti átjáró szolgáltatáshoz | Engedélyezés | Active Directory-szolgáltatások | Helyi Azure | TCP | 9389 |
Hálózati időprotokoll
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalban a Network Time Protocol (NTP) számára.
Szabály | Akció | Forrás | Cél | Szolgáltatás | Portok |
---|---|---|---|---|---|
Engedélyezze a bejövő/kimenő kapcsolatot a Hálózati idő protokoll (NTP) kiszolgálóval. Ez a kiszolgáló lehet Active Directory-tartományvezérlő vagy NTP-berendezés. | Engedélyezés | Helyi Azure | Hálózati idő protokoll (NTP/SNTP) kiszolgáló | UDP | 123 |
Klaszterezés meghibásodás esetén
Győződjön meg arról, hogy a helyszíni tűzfalon a következő tűzfalszabályok konfigurálva vannak a feladatátvételi fürtözéshez.
Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
---|---|---|---|---|---|
Feladatátvevő fürt érvényesítésének engedélyezése | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | TCP | 445 |
Dinamikus RPC-portfoglalás engedélyezése | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | TCP | Legalább 100 port az 5000-s port felett |
Távoli eljáráshívás engedélyezése (RPC) | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | TCP | 135 |
Klaszteradminisztrátor engedélyezése | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | UDP | 137 |
Fürtszolgáltatás engedélyezése | Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | UDP | 3343 |
Fürtszolgáltatás engedélyezése (a szükséges időszak alatt) egy szerver csatlakozási művelet. |
Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | TCP | 3343 |
ICMPv4 és ICMPv6 engedélyezése átállási fürt validálásához |
Engedélyezés | Felügyeleti rendszer | Példánycsomópontok | n.a. | n.a. |
Feljegyzés
A felügyeleti rendszer tartalmazza azokat a számítógépeket, amelyekről a rendszer felügyeletét tervezi, olyan eszközökkel, mint a Windows Felügyeleti központ, a Windows PowerShell vagy a System Center Virtual Machine Manager.
Hyper-V
Győződjön meg arról, hogy a következő tűzfalszabályok konfigurálva vannak a Hyper-V helyszíni tűzfalában.
Szabály | Tevékenység | Forrás | Cél | Szolgáltatás | Portok |
---|---|---|---|---|---|
A fürtkommunikáció engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 445 |
RPC-végpontleképező és WMI engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 135 |
HTTP-kapcsolat engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 80 |
HTTPS-kapcsolat engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 443 |
Élő áttelepítés engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 6600 |
Virtuálisgép-kezelési szolgáltatás engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | 2179 |
Dinamikus RPC-portfoglalás engedélyezése | Engedélyezés | Felügyeleti rendszer | Hyper-V-kiszolgáló | TCP | Legalább 100 port az 5000-s port felett |
Feljegyzés
Nyisson meg egy porttartományt az 5000-s port felett az RPC dinamikus portfoglalásának engedélyezéséhez. Az 5000 alatti portokat már más alkalmazások is használhatják, és ütközéseket okozhatnak a DCOM-alkalmazásokkal. A korábbi tapasztalatok azt mutatják, hogy legalább 100 portot kell megnyitni, mivel számos rendszerszolgáltatás ezekre az RPC-portokra támaszkodik az egymással való kommunikációhoz. További információ: Az RPC dinamikus portfoglalásának konfigurálása a tűzfalak használatához.
Storage Replica (kiterjesztett klaszter)
Győződjön meg arról, hogy a következő tűzfalszabályok vannak konfigurálva a helyszíni tűzfalon a Storage Replica (kiterjesztett példány) esetében.
Szabály | Művelet | Forrás | Cél | Szolgáltatás | Portok |
---|---|---|---|---|---|
Kiszolgálói üzenetblokk engedélyezése (SMB) protokoll |
Engedélyezés | Kinyújtott példánycsomópontok | Kinyújtott példánycsomópontok | TCP | 445 |
Webszolgáltatások kezelésének engedélyezése (WS-MAN) |
Engedélyezés | Kinyújtott példánycsomópontok | Kinyújtott példánycsomópontok | TCP | 5985 |
ICMPv4 és ICMPv6 engedélyezése (ha a Test-SRTopology használatával)PowerShell parancsmag) |
Engedélyezés | Kinyújtott példánycsomópontok | Kinyújtott példányszintű csomópontok | nem alkalmazható | n.a. |
A Microsoft Defender tűzfalának frissítése
Ez a szakasz bemutatja, hogyan konfigurálhatja a Microsoft Defender tűzfalat úgy, hogy a szolgáltatáscímkéhez társított IP-címek kapcsolódhassanak az operációs rendszerhez. A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címeinek egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímkében szereplő IP-címeket, és automatikusan frissíti a szolgáltatáscímkét, ahogy az IP-címek megváltoznak, hogy a frissítések minimálisan megmaradjanak. További információ: Virtuális hálózati szolgáltatáscímkék.
Töltse le a JSON-fájlt a következő erőforrásból az operációs rendszert futtató célszámítógépre: Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő.
A JSON-fájl megnyitásához használja a következő PowerShell-parancsot:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
Lekérheti egy adott szolgáltatáscímke IP-címtartományainak listáját, például a
AzureResourceManager
szolgáltatáscímkét:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
Importálja az IP-címek listáját a külső vállalati tűzfalra, ha engedélyezési listát használ vele.
Hozzon létre egy tűzfalszabályt a rendszer minden csomópontja számára, amely engedélyezi a kimenő 443-ra (HTTPS) irányuló forgalmat az IP-címtartományok listájára:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Következő lépések
További információkért lásd még:
- A Windows Tűzfal és a WinRM 2.0 portok szakasza a Windows Távoli Felügyelet telepítéséhez és konfigurációjához.
- Az Azure helyi környezetbe történő üzembe helyezés.