Azure Yerel için güvenlik duvarı gereksinimleri
Şunlar için geçerlidir: Azure Yerel 2311.2 ve üzeri
Bu makalede, Azure Stack HCI işletim sistemi için güvenlik duvarlarını yapılandırma hakkında yönergeler sağlanır. Giden uç noktalar, iç kurallar ve bağlantı noktaları için güvenlik duvarı gereksinimlerini içerir. Makale ayrıca Azure hizmet etiketlerini Microsoft Defender güvenlik duvarıyla kullanma hakkında da bilgi sağlar.
Bu makalede ayrıca, izin verilenler listenize dahil olanlar dışında tüm hedeflere giden trafiği engellemek için isteğe bağlı olarak yüksek oranda kilitlenmiş bir güvenlik duvarı yapılandırmasının nasıl kullanılacağı açıklanır.
Ağınız İnternet erişimi için bir ara sunucu kullanıyorsa bkz . Azure Yerel için ara sunucu ayarlarını yapılandırma.
Önemli
Azure Yerel için gerekli genel uç noktalara erişmek mümkün olmadığından Azure Express Route ve Azure Özel Bağlantı, Azure Yerel veya bileşenlerinin hiçbirinde desteklenmez.
Giden uç noktalar için güvenlik duvarı gereksinimleri
Kuruluşunuzun güvenlik duvarında giden ağ trafiği için 80 ve 443 bağlantı noktalarını açmak, Azure Stack HCI işletim sisteminin Azure ve Microsoft Update ile bağlanması için bağlantı gereksinimlerini karşılar.
Azure Local'ın belirli aralıklarla Azure'a bağlanması gerekir:
- İyi bilinen Azure IP'leri
- Giden yön
- 80 (HTTP) ve 443 (HTTPS) bağlantı noktaları
Önemli
Azure Yerel, HTTPS incelemeyi desteklemez. Bağlantı hatalarını önlemek için Azure Yerel ağ yolunuz boyunca HTTPS incelemesinin devre dışı bırakıldığından emin olun. Buna Azure Yerel yönetim ağı iletişimi için desteklenmeyen v1 Entra Id kiracı kısıtlamaları v1 kullanımı dahildir.
Aşağıdaki diyagramda gösterildiği gibi Azure Yerel, potansiyel olarak birden fazla güvenlik duvarı kullanarak Azure'a erişebilir.
Azure Yerel dağıtımları için gerekli güvenlik duvarı URL'leri
Azure Yerel örnekleri, Azure Kaynak Köprüsü ve AKS altyapısını otomatik olarak etkinleştirir ve Azure denetim düzlemine bağlanmak için Sunucular için Arc aracısını kullanır. Aşağıdaki tabloda yer alan HCI'ye özgü uç noktaların listesiyle birlikte, Azure Yerel uç noktalarındaki Azure Kaynak Köprüsü, Azure Yerel uç noktalarındaki AKS ve Azure Arc özellikli sunucu uç noktaları güvenlik duvarınızın izin verilenler listesine eklenmelidir.
Azure Yerel, Arc özellikli sunucular, ARB ve AKS içeren Doğu ABD uç noktalarının birleştirilmiş listesi için şunu kullanın:
- Azure Yerel için Doğu ABD'de gerekli uç noktaları
Batı Avrupa için Azure Yerel, Arc özellikli sunucular, ARB ve AKS içeren uç noktaların birleştirilmiş listesi için şunu kullanın:
- Azure Yerel için Batı Avrupa'da gerekli uç noktalar
Azure Yerel, Arc özellikli sunucular, ARB ve AKS içeren Doğu Avustralya uç noktalarının birleştirilmiş listesi için şunu kullanın:
Azure Yerel, Arc özellikli sunucular, ARB ve AKS içeren Canada Central uç noktalarının birleştirilmiş listesi için şunu kullanın:
- Azure Yerel için Canada Central'da gerekli uç noktalar
Azure Yerel, Arc özellikli sunucular, ARB ve AKS içeren Hindistan Orta uç noktalarının birleştirilmiş listesi için şunu kullanın:
Azure Yerel, Arc özellikli sunucular, ARB ve AKS içeren Güneydoğu Asya uç noktalarının birleştirilmiş listesi için şunu kullanın:
- Azure Yerel için Güneydoğu Asya'da gerekli uç noktalar
Doğu Japonya'da Azure Yerel, Arc özellikli sunucular, ARB ve AKS içeren uç noktaların birleştirilmiş listesi için şunu kullanın:
- Azure Yerel için Doğu Japonya'da gerekli uç noktalar
Orta Güney ABD'de Azure Yerel, Arc özellikli sunucular, ARB ve AKS içeren uç noktaların birleştirilmiş listesi için şunu kullanın:
Ek Azure hizmetleri için güvenlik duvarı gereksinimleri
Azure Yerel için etkinleştirdiğiniz ek Azure hizmetlerine bağlı olarak, ek güvenlik duvarı yapılandırma değişiklikleri yapmanız gerekebilir. Her Azure hizmeti için güvenlik duvarı gereksinimleri hakkında bilgi için aşağıdaki bağlantılara bakın:
- Azure İzleyici Aracısı
- Azure portalı
- Azure Site Recovery
- Azure Sanal Masaüstü
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) ve Log Analytics Aracısı
- Qualys
- Uzaktan destek
- Windows Yönetim Merkezi
- Azure portalında Windows Yönetim Merkezi
İç kurallar ve bağlantı noktaları için güvenlik duvarı gereksinimleri
Hem site içinde hem de esnetilmiş örnekler için siteler arasında tüm düğümler arasında doğru ağ bağlantı noktalarının açık olduğundan emin olun (esnetilmiş örnek işlevselliği yalnızca Azure Stack HCI, sürüm 22H2'de kullanılabilir). Tüm kümedeki düğümler arasında ICMP, SMB (bağlantı noktası 445 ve iWARP RDMA kullanıyorsanız SMB Direct için 5445 numaralı bağlantı noktası) ve WS-MAN (bağlantı noktası 5985) çift yönlü trafiğine izin vermek için uygun güvenlik duvarı kurallarına ihtiyacınız olacaktır.
Kümeyi oluşturmak için Windows Yönetim Merkezi'nde Oluşturma sihirbazını kullanırken, sihirbaz kümedeki her sunucuda Yük Devretme Kümelemesi, Hyper-V ve Depolama Çoğaltması için uygun güvenlik duvarı bağlantı noktalarını otomatik olarak açar. Her makinede farklı bir güvenlik duvarı kullanıyorsanız, bağlantı noktalarını aşağıdaki bölümlerde açıklandığı gibi açın:
Azure Stack HCI işletim sistemi yönetimi
Azure Stack HCI işletim sistemi yönetimi için şirket içi güvenlik duvarınızda lisanslama ve faturalama dahil olmak üzere aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Varış Noktası | Hizmet | Limanlar |
|---|---|---|---|---|---|
| Azure Yerel makinelerinde Azure Yerel hizmetine gelen/giden trafiğe izin ver | İzin Ver | Örneklem düğümleri | Örnek düğümleri | TCP | 30301 |
Windows Yönetim Merkezi
Windows Yönetim Merkezi için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Portlar |
|---|---|---|---|---|---|
| Azure ve Microsoft Update'e erişim sağlama | İzin Ver | Windows Yönetim Merkezi | Azure Yerel | TCP | 445 |
| Windows Uzaktan Yönetimi (WinRM) 2.0'ı kullanma komutları çalıştırmak için HTTP bağlantıları için uzak Windows sunucularında |
İzin Ver | Windows Yönetim Merkezi | Azure Yerel | TCP | 5985 |
| HTTPS bağlantılarının çalışması için WinRM 2.0 kullanma uzak Windows sunucularındaki komutlar |
İzin Ver | Windows Yönetim Merkezi | Azure Yerel | TCP | 5986 |
Not
Windows Yönetim Merkezi'ni yüklerken Yalnızca HTTPS üzerinden WinRM kullan ayarını seçerseniz 5986 numaralı bağlantı noktası gerekir.
Active Directory
Active Directory (yerel güvenlik yetkilisi) için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Portlar |
|---|---|---|---|---|---|
| Active Directory Web hizmetleri (ADWS) ve Active Directory Yönetim Ağ Geçidi Hizmeti'ne gelen/giden bağlantıya izin ver | İzin Ver | Active Directory Hizmetleri | Azure Yerel | TCP | 9389 |
Ağ Süresi Protokolü
Ağ Süresi Protokolü (NTP) için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı Noktaları |
|---|---|---|---|---|---|
| Ağ Zaman Protokolü (NTP) sunucusuna gelen/giden bağlantıya izin verin. Bu sunucu Active Directory etki alanı denetleyicileri veya bir NTP gereci olabilir. | İzin Ver | Azure Yerel | Ağ Zaman Protokolü (NTP/SNTP) sunucusu | Kullanıcı Datagram Protokolü (UDP) | 123 |
Yük Devretme Kümelemesi
Yük Devretme Kümelemesi için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Portlar |
|---|---|---|---|---|---|
| Yük Devretme Kümesi doğrulama işlemini etkinleştir | İzin Ver | Yönetim sistemi | Örnek düğümleri | TCP | 445 |
| RPC bağlantı noktalarının dinamik olarak ayrılmasına izin ver | İzin Ver | Yönetim sistemi | Örnek düğümleri | TCP | En az 100 bağlantı noktası 5000 numaralı bağlantı noktasının üzerinde |
| Uzaktan Yordam Çağrısına İzin Ver (RPC) | İzin Ver | Yönetim sistemi | Örnek düğümleri | TCP | 135 |
| Küme Yöneticisine İzin Ver | İzin Ver | Yönetim sistemi | Örnek düğümleri | UDP | 137 |
| Küme Hizmetine İzin Ver | İzin Ver | Yönetim sistemi | Örnek düğümleri | UDP | 3343 |
| Küme Hizmeti'ne İzin Ver (Gerektiği süre boyunca) sunucu birleştirme işlemi.) |
İzin Ver | Yönetim sistemi | Örnek düğümleri | TCP | 3343 |
| ICMPv4 ve ICMPv6'ya İzin Ver Yük Devretme Kümesi doğrulaması için |
İzin Ver | Yönetim sistemi | Örnek düğümleri | yok | yok |
Not
Yönetim sistemi, Windows Admin Center, Windows PowerShell veya System Center Virtual Machine Manager gibi araçları kullanarak sistemi yönetmeyi planladığınız tüm bilgisayarları içerir.
Hyper-V
Hyper-V için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Limanlar |
|---|---|---|---|---|---|
| Küme iletişimlerine izin ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 445 |
| RPC Uç Nokta Eşleyicisi ve WMI'ye İzin Ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 135 |
| HTTP bağlantısına izin ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 80 |
| HTTPS bağlantısına izin ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 443 |
| Canlı Geçişe İzin Ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 6600 |
| VM Yönetim Hizmetine İzin Ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | 2179 |
| RPC dinamik port ayırımına izin ver | İzin Ver | Yönetim sistemi | Hyper-V sunucusu | TCP | En az 100 bağlantı noktası 5000 numaralı bağlantı noktasının üzerinde |
Not
RPC dinamik bağlantı noktası ayırmaya izin vermek için 5000 numaralı bağlantı noktasının üzerinde bir bağlantı noktası aralığı açın. 5000'in altındaki bağlantı noktaları diğer uygulamalar tarafından zaten kullanılıyor olabilir ve DCOM uygulamalarıyla çakışmalara neden olabilir. Önceki deneyim, birkaç sistem hizmeti birbiriyle iletişim kurmak için bu RPC bağlantı noktalarına bağlı olduğundan en az 100 bağlantı noktasının açılması gerektiğini gösterir. Daha fazla bilgi için bkz RPC dinamik bağlantı noktası ayırmayı güvenlik duvarlarıyla çalışacak şekilde yapılandırma.
Storage Replica (yayılmış küme)
Depolama Çoğaltması (esnetilmiş örnek) için şirket içi güvenlik duvarınızda aşağıdaki güvenlik duvarı kurallarının yapılandırıldığından emin olun.
| Kural | Eylem | Kaynak | Hedef | Hizmet | Bağlantı Noktaları |
|---|---|---|---|---|---|
| Sunucu Mesaj Bloğuna İzin Ver (SMB) protokolü |
İzin Ver | Genişletilmiş örnek düğümleri | Uzatılmış örnek düğümleri | TCP | 445 |
| Web Hizmetleri Yönetimine İzin Ver (WS-MAN) |
İzin Ver | Esnetilmiş örnek düğümleri | Esnetilmiş örnek düğümleri | TCP | 5985 |
| ICMPv4 ve ICMPv6'ya İzin Ver Eğer Test-SRTopology etiketini kullanıyorsanız,PowerShell cmdlet'i |
İzin Ver | Esnetilmiş örnek düğümleri | Esnetilmiş örnek düğümleri | yok | mevcut değil |
Microsoft Defender güvenlik duvarını güncelleştirme
Bu bölümde, Microsoft Defender güvenlik duvarının bir hizmet etiketiyle ilişkili IP adreslerinin işletim sistemine bağlanmasına izin verecek şekilde nasıl yapılandırılır gösterilmektedir. Hizmet etiketi, belirli bir Azure hizmetinden bir grup IP adresini temsil eder. Microsoft, hizmet etiketine dahil edilen IP adreslerini yönetir ve güncelleştirmeleri en düşük düzeyde tutmak için IP adresleri değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Daha fazla bilgi edinmek için bkz . Sanal ağ hizmet etiketleri.
Aşağıdaki kaynaktan JSON dosyasını işletim sistemini çalıştıran hedef bilgisayara indirin: Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut.
JSON dosyasını açmak için aşağıdaki PowerShell komutunu kullanın:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonBelirli bir hizmet etiketi için IP adresi aralıklarının listesini alın, örnek olarak
AzureResourceManagerhizmet etiketi:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesİzin verilenler listesi kullanıyorsanız IP adreslerinin listesini dış şirket güvenlik duvarınıza aktarın.
Ip adresi aralıkları listesine giden 443 (HTTPS) trafiğine izin vermek için sistemdeki her düğüm için bir güvenlik duvarı kuralı oluşturun:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Sonraki adımlar
Daha fazla bilgi için bkz:
- Windows Uzaktan Yönetim için Yükleme ve Yapılandırmaiçindeki Windows Güvenlik Duvarı ve WinRM 2.0 bağlantı noktaları ile ilgili bölüm.
- Azure Yerel Dağıtım Hakkında.