Persyaratan firewall untuk Azure Local
Berlaku untuk: Azure Local 2311.2 dan yang lebih baru
Topik ini menyediakan panduan tentang cara mengonfigurasi firewall untuk sistem operasi Azure Stack HCI. Ini mencakup persyaratan firewall untuk titik akhir koneksi keluar, serta aturan dan port internal. Artikel ini juga menyediakan informasi tentang cara menggunakan tag layanan Azure dengan firewall Pertahanan Microsoft.
Artikel ini juga menjelaskan cara menggunakan konfigurasi firewall yang sangat terkunci secara opsional untuk memblokir semua lalu lintas ke semua tujuan kecuali yang disertakan dalam daftar izin Anda.
Jika jaringan Anda menggunakan server proksi untuk akses internet, lihat Mengonfigurasi pengaturan proksi untuk Azure Local.
Penting
Azure Express Route dan Azure Private Link tidak didukung untuk Azure Local atau komponen apa pun karena tidak dimungkinkan untuk mengakses titik akhir publik yang diperlukan untuk Azure Local.
Persyaratan firewall untuk titik akhir keluar
Membuka port 80 dan 443 untuk lalu lintas jaringan keluar di firewall organisasi Anda memenuhi persyaratan konektivitas untuk sistem operasi Azure Stack HCI agar terhubung dengan Azure dan Microsoft Update.
Azure Local perlu menyambungkan secara berkala ke Azure untuk:
- IP Azure yang terkenal
- Arah keluar
- Port 80 (HTTP) dan 443 (HTTPS)
Penting
Azure Local tidak mendukung inspeksi HTTPS. Pastikan bahwa inspeksi HTTPS dinonaktifkan di sepanjang jalur jaringan Anda untuk Azure Local untuk mencegah kesalahan konektivitas apa pun. Ini termasuk penggunaan Entra ID restriksi penyewa v1 yang tidak didukung untuk komunikasi jaringan manajemen Jaringan Lokal Azure.
Seperti yang ditunjukkan dalam diagram berikut, Azure Local dapat mengakses Azure menggunakan lebih dari satu firewall yang berpotensi.
URL firewall yang diperlukan untuk penyebaran Azure Lokal
Instans Azure Local secara otomatis mengaktifkan infrastruktur Azure Resource Bridge dan AKS dan menggunakan agen Arc for Servers untuk menyambungkan ke sarana kontrol Azure. Bersama dengan daftar titik akhir khusus HCI pada tabel berikut, titik akhir Azure Resource Bridge di Azure Local, titik akhir AKS di Azure Lokal, dan titik akhir server yang diaktifkan Azure Arc harus disertakan dalam daftar izinkan firewall Anda.
Untuk daftar titik akhir terkonsolidasi untuk AS Timur yang menyertakan server Azure Local, Arc-enabled, ARB, dan AKS, gunakan:
Untuk daftar titik akhir terkonsolidasi untuk Eropa Barat yang menyertakan server Azure Local, dengan dukungan Arc, ARB, dan AKS, gunakan:
Untuk daftar titik akhir terkonsolidasi untuk Australia Timur yang mencakup server Lokal Azure, Arc yang diaktifkan, ARB, dan AKS, gunakan:
Untuk daftar titik akhir terkonsolidasi untuk Kanada Central yang menyertakan server Lokal Azure, Arc yang diaktifkan, ARB, dan AKS, gunakan:
Untuk daftar titik akhir terkonsolidasi untuk India Central yang menyertakan server Lokal Azure, server yang diaktifkan Arc, ARB, dan AKS, gunakan:
Untuk daftar titik akhir terkonsolidasi untuk Asia Tenggara yang mencakup server Lokal Azure, Arc yang diaktifkan, ARB, dan AKS, gunakan:
Untuk daftar titik akhir terkonsolidasi untuk Jepang Timur yang mencakup azure Local, server berkemampuan Arc, ARB, dan AKS, gunakan:
Untuk daftar endpoint terkonsolidasi untuk Amerika Serikat Tengah Selatan yang mencakup Azure Lokal, server yang diaktifkan Arc, ARB, dan AKS, gunakan:
Persyaratan firewall untuk layanan Azure tambahan
Bergantung pada layanan Azure tambahan yang Anda aktifkan untuk Azure Local, Anda mungkin perlu membuat perubahan konfigurasi firewall tambahan. Lihat tautan berikut untuk informasi tentang persyaratan firewall untuk setiap layanan Azure:
- Agen Azure Monitor
- Portal Azure
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Agen Pemantauan Microsoft (MMA) dan Agen Analitik Log
- Qualys
- Dukungan jarak jauh
- Windows Admin Center
- Windows Admin Center pada portal Azure
Persyaratan firewall untuk port dan aturan internal
Pastikan bahwa port jaringan yang tepat terbuka di antara semua simpul, baik dalam situs maupun antar situs untuk instans yang direntangkan (fungsionalitas instans yang direntangkan hanya tersedia di Azure Stack HCI, versi 22H2). Anda akan memerlukan aturan firewall yang sesuai untuk mengizinkan lalu lintas dua arah ICMP, SMB (port 445, ditambah port 5445 untuk SMB Direct jika menggunakan iWARP RDMA), dan WS-MAN (port 5985) antara semua simpul dalam kluster.
Saat menggunakan Wizard Pembuatan di Pusat Admin Windows untuk membuat kluster, Wizard tersebut secara otomatis membuka port firewall yang diperlukan pada setiap server di kluster untuk Pengklusteran Failover, Hyper-V, dan Replika Penyimpanan. Jika Anda menggunakan firewall yang berbeda di setiap komputer, buka port seperti yang dijelaskan di bagian berikut:
Manajemen OS Azure Stack HCI
Pastikan bahwa aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk manajemen OS Azure Stack HCI, termasuk lisensi dan penagihan.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Pelabuhan |
|---|---|---|---|---|---|
| Mengizinkan lalu lintas masuk/keluar ke dan dari layanan Azure Local di komputer Lokal Azure | Izinkan | Node instans | Node instans | TCP | 30301 |
Pusat Admin Windows
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Pusat Admin Windows.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Pelabuhan-pelabuhan |
|---|---|---|---|---|---|
| Menyediakan akses ke Azure dan Microsoft Update | Izinkan | Pusat Admin Windows | Azure Local | TCP | 445 |
| Menggunakan Windows Remote Management (WinRM) 2.0 untuk koneksi HTTP untuk menjalankan perintah di server Windows jarak jauh |
Izinkan | Pusat Admin Windows | Azure Local | TCP | 5985 |
| Menggunakan WinRM 2.0 untuk koneksi HTTPS untuk menjalankan perintah di server Windows jarak jauh |
Izinkan | Pusat Admin Windows | Azure Local | TCP | 5986 |
Catatan
Saat menginstal Pusat Admin Windows, jika Anda memilih pengaturan Gunakan WinRM melalui HTTPS saja, maka port 5986 diperlukan.
Direktori Aktif
Pastikan bahwa aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Direktori Aktif (otoritas keamanan lokal).
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Pelabuhan |
|---|---|---|---|---|---|
| Mengizinkan konektivitas masuk/keluar ke Layanan Web Direktori Aktif (ADWS) dan Layanan Gateway Manajemen Direktori Aktif | Izinkan | Layanan Direktori Aktif | Azure Local | TCP | 9389 |
Protokol Waktu Jaringan
Pastikan bahwa aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Protokol Waktu Jaringan (NTP).
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Pelabuhan |
|---|---|---|---|---|---|
| Izinkan konektivitas masuk/keluar ke server Network Time Protocol (NTP). Server ini bisa menjadi pengontrol domain Active Directory atau perangkat NTP. | Izinkan | Azure Local | Server Protokol Waktu Jaringan (NTP/SNTP) | UDP | 123 |
Pengklusteran Failover
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Failover Clustering.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Pelabuhan-pelabuhan |
|---|---|---|---|---|---|
| Izinkan validasi Failover Cluster | Izinkan | Sistem manajemen | Node instans | TCP | 445 |
| Izinkan alokasi port dinamis RPC | Izinkan | Sistem manajemen | Instans node | TCP | Minimum dari 100 port di atas port 5000 |
| Mengizinkan Panggilan Prosedur Jarak Jauh (Remote Procedure Call/RPC) | Izinkan | Sistem manajemen | Node instans | TCP | 135 |
| Izinkan Administrator Kluster | Izinkan | Sistem manajemen | Node instans | UDP | 137 |
| Izinkan Layanan Kluster | Izinkan | Sistem manajemen | Node instans | UDP | 3343 |
| Izinkan Layanan Kluster (Diperlukan selama operasi gabungan server.) |
Izinkan | Sistem manajemen | Instans node | TCP | 3343 |
| Izinkan ICMPv4 dan ICMPv6 untuk validasi Failover Cluster |
Izinkan | Sistem manajemen | Node instans | n/a | n/a |
Catatan
Sistem manajemen mencakup komputer apa pun yang Anda rencanakan untuk mengelola sistem, menggunakan alat seperti Windows Admin Center, Windows PowerShell, atau System Center Virtual Machine Manager.
Hyper-V
Pastikan aturan firewall berikut dikonfigurasi di firewall lokal Anda untuk Hyper-V.
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Pelabuhan-pelabuhan |
|---|---|---|---|---|---|
| Izinkan komunikasi kluster | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 445 |
| Izinkan RPC Endpoint Mapper dan WMI | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 135 |
| Izinkan konektivitas HTTP | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 80 |
| Izinkan konektivitas HTTPS | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 443 |
| Izinkan Migrasi Langsung | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 6600 |
| Izinkan Layanan Pengelolaan VM | Izinkan | Sistem manajemen | Server Hyper-V | TCP | 2179 |
| Izinkan alokasi port dinamis RPC | Izinkan | Sistem manajemen | Server Hyper-V | TCP | Sebanyak 100 port-port di atas port 5000 |
Catatan
Buka berbagai port di atas port 5000 untuk memungkinkan alokasi port dinamis RPC. Port di bawah 5000 mungkin sudah digunakan oleh aplikasi lain dan dapat menyebabkan konflik dengan aplikasi DCOM. Pengalaman sebelumnya menunjukkan bahwa minimal 100 port harus dibuka, karena beberapa layanan sistem bergantung pada port RPC ini untuk berkomunikasi dengan satu sama lain. Untuk informasi selengkapnya, lihat Cara mengonfigurasi alokasi port dinamis RPC untuk bekerja dengan firewall.
Storage Replica (kluster yang meluas)
Pastikan bahwa aturan firewall berikut dikonfigurasi di firewall berbasis lokal Anda untuk Replika Penyimpanan (instans diperluas).
| Aturan | Perbuatan | Sumber | Tujuan | Layanan | Pelabuhan-pelabuhan |
|---|---|---|---|---|---|
| Izinkan Server Message Block Protokol (SMB) |
Izinkan | Node instans yang direntangkan | Node instans yang direntangkan | TCP | 445 |
| Izinkan Manajemen Layanan Web (WS-MAN) |
Izinkan | Node instance yang diperluas | Node instans yang direntangkan | TCP | 5985 |
| Izinkan ICMPv4 dan ICMPv6 (jika menggunakan Test-SRTopologyPowerShell cmdlet) |
Izinkan | Node instans yang direntangkan | Node instansi yang diperpanjang | n/a | n/a |
Memperbarui firewall Microsoft Defender
Bagian ini menunjukkan cara mengonfigurasi Microsoft Defender Firewall untuk memungkinkan alamat IP yang terkait dengan tag layanan terhubung dengan sistem operasi: Tag layanan mewakili sekelompok alamat IP dari layanan Azure tertentu. Microsoft mengelola alamat IP yang disertakan dalam tag layanan, dan secara otomatis memperbarui tag layanan saat alamat IP berubah untuk menjaga pembaruan seminimal mungkin. Untuk mempelajari lebih lanjut, lihat Tag layanan jaringan virtual.
Unduh file JSON dari sumber daya berikut ke komputer target yang menjalankan sistem operasi: Azure IP Ranges and Service Tags – Public Cloud.
Gunakan perintah PowerShell berikut untuk membuka file JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonDapatkan daftar rentang alamat IP untuk tag layanan tertentu, seperti
AzureResourceManagertag layanan:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImpor daftar alamat IP ke firewall perusahaan eksternal Anda, jika Anda menggunakan daftar izin dengannya.
Buat aturan firewall untuk setiap simpul dalam sistem untuk mengizinkan lalu lintas keluar 443 (HTTPS) ke daftar rentang alamat IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Langkah berikutnya
Untuk informasi selengkapnya, lihat juga:
- Bagian Windows Firewall dan port WinRM 2.0 dalam Instalasi dan Konfigurasi untuk Windows Remote Management.
- Tentang penyebaran Azure Lokal.