Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье содержатся рекомендации по настройке брандмауэров для операционной системы Azure Stack HCI. Он включает требования к брандмауэру для исходящих конечных точек и внутренних правил и портов. В этой статье также содержатся сведения об использовании тегов службы Azure с брандмауэром Microsoft Defender.
В этой статье также описывается, как при необходимости использовать конфигурацию брандмауэра с высокой блокировкой для блокировки всего трафика ко всем назначениям, кроме включенных в список разрешений.
Внимание
Области приватного канала Azure Arc не поддерживаются локальной службой Azure. Конечные точки Arc (.his.arc.azure.com,.guestconfiguration.azure.com и *.dp.kubernetesconfiguration.azure.com) всегда должны разрешаться на общедоступные IP-адреса из локальных узлов Azure, виртуальной машины ARB и прокси-сервера при использовании. Использование других частных конечных точек служб PaaS, отличных от областей приватного канала Arc, возможно, если маршрутизация настроена для отправки трафика через Azure ExpressRoute или VPN 'сеть-сеть' для доступа к частным конечным точкам виртуальной сети Azure. Дополнительные полные доменные имена (FQDN) частных конечных точек может потребоваться добавить в список обхода прокси-сервера во время регистрации локальных машин Azure Arc. Прежде чем регистрировать узлы в Arc, заранее настраивайте строку списка исключений прокси-сервера.
Требования к брандмауэру для исходящих конечных точек
Открытие портов 80 и 443 для исходящего сетевого трафика в брандмауэре организации соответствует требованиям к подключению операционной системы Azure Stack HCI для подключения к Azure и Центру обновления Майкрософт.
Локальные службы Azure должны периодически подключаться к Azure для:
- Известные IP-адреса Azure
- Направление исходящего трафика
- Порты 80 (HTTP) и 443 (HTTPS)
Внимание
Локальная служба Azure не поддерживает проверку HTTPS. Убедитесь, что проверка HTTPS отключена по сетевому пути для Локальной службы Azure, чтобы предотвратить ошибки подключения. Это включает в себя использование ограничений клиента Entra ID версии 1, которые не поддерживаются для обмена данными между сетями локального управления Azure.
Как показано на следующей схеме, локальная версия Azure может получить доступ к Azure потенциально через несколько брандмауэров.
Необходимые URL-адреса брандмауэра для локальных развертываний Azure
Локальные экземпляры Azure автоматически позволяют включить инфраструктуру Azure Resource Bridge и AKS и использовать агент Arc для серверов для подключения к плоскости управления Azure. Наряду со списком HCI-специфических конечных точек в следующей таблице, конечные точки моста ресурсов Azure на Azure Local, конечные точки AKS на Azure Local и конечные точки серверов с поддержкой Azure Arc должны быть включены в разрешённый список вашего брандмауэра.
Для консолидированного списка конечных точек для Восточного США, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для получения консолидированного списка конечных точек для Западной Европы, включая Azure Local, серверы с поддержкой Arc, ARB и AKS, следует использовать следующее:
Для получения консолидированного списка конечных точек для Восточной Австралии, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующую информацию:
Для получения консолидированного списка конечных точек для Центральной Канады, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, воспользуйтесь следующим:
Для получения консолидированного списка конечных точек для Центральной Индии, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для получения консолидированного списка конечных точек для Юго-Восточной Азии, включающего Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для получения консолидированного списка конечных точек для Восточной Японии, который включает Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Для консолидированного списка конечных точек для южного центра США, включая локальные Azure, серверы с поддержкой Arc, ARB и AKS, используйте следующее:
Необходимые URL-адреса брандмауэра для локальной службы Azure в регионах Azure для государственных организаций
Для консолидированного списка конечных точек для US Gov Вирджинии, который включает Azure Local, серверы с поддержкой Arc, ARB и AKS, используйте следующий список:
Требования к брандмауэру для изготовителей оборудования
В зависимости от изготовителя оборудования, используемого для локального использования Azure, может потребоваться открыть дополнительные конечные точки в брандмауэре.
Необходимые конечные точки DataON для локальных развертываний Azure
Требуемые конечные точки Dell для локальных развертываний Azure
Необходимые конечные точки HPE для локальных развертываний на Azure
Требуемые конечные точки для локальных развертываний Azure
Необходимые конечные устройства для локальных развертываний Lenovo в Azure
Требования к брандмауэру для дополнительных служб Azure
В зависимости от дополнительных служб Azure, которые вы включаете для локальной среды Azure, может потребоваться внести дополнительные изменения конфигурации брандмауэра. Дополнительные сведения о требованиях брандмауэра для каждой службы Azure см. по следующим ссылкам:
- Агент Azure Monitor
- Портал Azure
- Azure Site Recovery
- Виртуальный рабочий стол Azure
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) и Log Analytics Agent
- Qualys
- Удаленная поддержка
- Windows Admin Center;
- Центр администрирования Windows на портале Azure
Требования к брандмауэру для внутренних правил и портов
Убедитесь, что правильные сетевые порты открыты между всеми узлами, как на сайте, так и между сайтами для растянутых экземпляров (функции растянутого экземпляра доступны только в Azure Stack HCI версии 22H2). Вам потребуется соответствующие правила брандмауэра, чтобы разрешить ICMP, SMB (порт 445, а также порт 5445 для SMB Direct при использовании iWARP RDMA), а также двунаправленный трафик WS-MAN (порт 5985) между всеми узлами в кластере.
При использовании мастера создания кластеров в Windows Admin Center для создания кластера, мастер автоматически открывает соответствующие порты брандмауэра на каждом сервере в кластере для отказоустойчивого кластерирования, Hyper-V и репликации хранилища. Если на каждом компьютере используется другой брандмауэр, откройте порты, как описано в следующих разделах:
Управление ОС Azure Stack HCI
Убедитесь, что следующие правила брандмауэра настроены в локальном брандмауэре для управления ОС Azure Stack HCI, включая лицензирование и выставление счетов.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить входящий и исходящий трафик из локальной службы Azure на локальных компьютерах Azure | Разрешить | Узлы экземпляров | Узлы экземпляров | Протокол tcp | 30301 |
| Разрешить сетевой трафик ICMP к шлюзу по умолчанию | Разрешить | Диапазон IP-адресов локальной инфраструктуры Azure | Шлюз подсети инфраструктуры по умолчанию | ICMP | N/A |
Windows Admin Center;
Убедитесь, что в локальном брандмауэре для Windows Admin Center настроены следующие правила брандмауэра.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Предоставление доступа к Azure и Центру обновления Майкрософт | Разрешить | Windows Admin Center; | Локальная служба Azure | Протокол tcp | 445 |
| Использование удаленного управления Windows (WinRM) 2.0 для HTTP-подключений для выполнения команд на удаленных серверах Windows |
Разрешить | Windows Admin Center; | Локальная служба Azure | Протокол tcp | 5985 |
| Использование WinRM 2.0 для выполнения подключений HTTPS команды на удаленных серверах Windows |
Разрешить | Windows Admin Center; | Локальная служба Azure | Протокол tcp | 5986 |
Примечание.
При установке Windows Admin Center, если выбрать параметр "Использовать WinRM только через HTTPS", тогда требуется порт 5986.
Active Directory
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для Active Directory (локальный центр безопасности).
| Порт источника клиента | Конечный порт | Действие | Служба AD |
|---|---|---|---|
| 49152-65535/UDP | 123/UDP | Разрешить | W32Time |
| 49152-65535/TCP | 135/TCP | Разрешить | Сопоставитель конечных точек RPC |
| 49152-65535/TCP | 464/TCP/UDP | Разрешить | Изменение пароля в Kerberos |
| 49152-65535/TCP | 49152-65535/TCP | Разрешить | RPC для LSA, SAM, сетевого входа в систему (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | Разрешить | LDAP |
| 49152-65535/TCP | 636/TCP | Разрешить | LDAP (SSL) |
| 49152-65535/TCP | 3268/TCP | Разрешить | LDAP GC |
| 49152-65535/TCP | 3269/TCP | Разрешить | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | Разрешить | DNS |
| 49152-65535/TCP | 49152-65535/TCP | Разрешить | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Разрешить | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | Разрешить | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | Разрешить | DFSR RPC (*) |
| 49152-65535/TCP | 9389/TCP | Разрешить | Веб-службы Active Directory (ADWS) |
Протокол сетевого времени
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для протокола NTP.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить входящие и исходящие подключения к серверу NTP. Этот сервер может быть контроллерами домена Active Directory или устройством NTP. | Разрешить | Локальная служба Azure | Сервер протокола сетевого времени (NTP/SNTP) | UDP | 123 |
Отказоустойчивый кластер
Убедитесь, что в локальном брандмауэре настроены следующие правила брандмауэра для отказоустойчивой кластеризации.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить проверку отказоустойчивого кластера | Разрешить | Система управления | Узлы экземпляров | Протокол tcp | 445 |
| Разрешить динамическое выделение портов RPC | Разрешить | Система управления | Узлы экземпляров | Протокол tcp | Не менее 100 портов выше порта 5000 |
| Разрешить удаленный вызов процедуры (RPC) | Разрешить | Система управления | Узлы экземпляров | Протокол tcp | 135 |
| Разрешить администратору кластера | Разрешить | Система управления | Узлы экземпляров | UDP | 137 |
| Разрешить кластерную службу | Разрешить | Система управления | Узлы экземпляров | UDP | 3343 |
| Разрешить службу кластеров (требуется во время установки) операция подключения к серверу.) |
Разрешить | Система управления | Узлы экземпляров | Протокол tcp | 3343 |
| Разрешить ICMPv4 и ICMPv6 Для проверки отказоустойчивости кластера |
Разрешить | Система управления | Узлы экземпляров | Недоступно | Недоступно |
Примечание.
Система управления включает любой компьютер, с которого планируется администрировать систему, используя такие средства, как Windows Admin Center, Windows PowerShell или System Center диспетчер виртуальных машин.
Hyper-V
Убедитесь, что в локальном брандмауэре для Hyper-V настроены следующие правила брандмауэра.
| Правило | Действие | Источник | Назначение | Сервис | Порты |
|---|---|---|---|---|---|
| Разрешить обмен данными между кластерами | Разрешить | Система управления | Сервер Hyper-V | Протокол tcp | 445 |
| Разрешить сопоставитель конечных точек RPC и WMI | Разрешить | Система управления | Сервер Hyper-V | Протокол tcp | 135 |
| Разрешить http-подключение | Разрешить | Система управления | Сервер Hyper-V | Протокол tcp | 80 |
| Разрешить подключение HTTPS | Разрешить | Система управления | Сервер Hyper-V | Протокол tcp | 443 |
| Разрешить миграцию в реальном времени | Разрешить | Система управления | Сервер Hyper-V | Протокол tcp | 6600 |
| Разрешить службу управления виртуальными машинами | Разрешить | Система управления | Сервер Hyper-V | Протокол tcp | 2179 |
| Разрешить динамическое выделение портов RPC | Разрешить | Система управления | Сервер Hyper-V | Протокол tcp | Не менее 100 портов выше порта 5000 |
Примечание.
Откройте диапазон портов выше порта 5000, чтобы разрешить динамическое выделение портов RPC. Порты ниже 5000 уже могут использоваться другими приложениями и могут привести к конфликтам с приложениями DCOM. Предыдущий опыт показывает, что необходимо открыть не менее 100 портов, так как несколько системных служб используют эти порты RPC для взаимодействия друг с другом. Дополнительные сведения см. в статье "Настройка динамического распределения портов RPC для работы с брандмауэрами".
Обновление брандмауэра Microsoft Defender
В этом разделе показано, как настроить брандмауэр Microsoft Defender для разрешения IP-адресов, связанных с тегом службы для подключения к операционной системе. Тег службы представляет группу IP-адресов из данной службы Azure. Корпорация Майкрософт управляет IP-адресами, включенными в тег службы, и автоматически обновляет тег службы по мере изменения IP-адресов, чтобы обеспечить минимальное обновление. Дополнительные сведения см. в разделе теги службы виртуальной сети.
Скачайте JSON-файл из следующего ресурса на целевой компьютер под управлением операционной системы: диапазоны IP-адресов Azure и теги службы — общедоступное облако.
Чтобы открыть JSON-файл, используйте следующую команду PowerShell:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonПолучите список диапазонов IP-адресов для заданного тега службы, например
AzureResourceManagerтега службы:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesИмпортируйте список IP-адресов во внешний корпоративный брандмауэр, если с ним используется список разрешений.
Создайте правило брандмауэра для каждого узла в системе, чтобы разрешить исходящий трафик 443 (HTTPS) в список диапазонов IP-адресов:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Следующие шаги
Дополнительные сведения см. также в следующих разделах:
- Раздел портов Брандмауэра Windows и WinRM 2.0 в Установка и настройка для удаленного управления Windows.
- О локальном развертывании Azure.