Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: Azure Local 2311.2 i nowsze
Ten artykuł zawiera wskazówki dotyczące konfigurowania zapór dla systemu operacyjnego Azure Stack HCI. Obejmuje ona wymagania zapory dotyczące wychodzących punktów końcowych i wewnętrznych reguł i portów. Artykuł zawiera również informacje na temat używania tagów usługi platformy Azure z zaporą Microsoft Defender.
W tym artykule opisano również, jak opcjonalnie użyć konfiguracji zapory o wysokiej blokadzie, aby zablokować cały ruch do wszystkich miejsc docelowych, z wyjątkiem tych, które znajdują się na liście dozwolonych.
Ważne
Zakresy usługi Azure Arc Private Link nie są obsługiwane przez usługę Azure Local. Punkty końcowe usługi Arc (.his.arc.azure.com,.guestconfiguration.azure.com i *.dp.kubernetesconfiguration.azure.com) muszą zawsze rozpoznawać publiczne adresy IP z węzłów lokalnych platformy Azure, maszyny wirtualnej usługi ARB i serwera proxy, jeśli są używane. Korzystanie z prywatnych punktów końcowych innych usług PaaS niż te w ramach zakresów Arc Private Link jest możliwe, o ile routing jest skonfigurowany tak, by przekierować ruch przez Azure Express Route lub sieć VPN typu lokacja-lokacja, aby dotrzeć do prywatnych punktów końcowych w sieci VNET platformy Azure. Dodatkowe nazwy FQDN dla prywatnych punktów końcowych mogą być konieczne do dodania na listę wykluczeń serwera proxy podczas rejestracji za pomocą Azure Arc na lokalnych maszynach. Przed zarejestrowaniem węzłów w usłudze Arc upewnij się, że planujesz ciąg listy obejścia serwera proxy.
Wymagania dotyczące zapory dla wychodzących punktów końcowych
Otwieranie portów 80 i 443 dla ruchu wychodzącego w zaporze organizacji spełnia wymagania dotyczące łączności dla systemu operacyjnego Azure Stack HCI w celu nawiązania połączenia z platformą Azure i usługą Microsoft Update.
Usługa Azure Local musi okresowo łączyć się z platformą Azure w celu:
- Dobrze znane adresy IP platformy Azure
- Kierunek ruchu wychodzącego
- Port 80 (HTTP) i 443 (HTTPS)
Ważne
Usługa Azure Local nie obsługuje inspekcji protokołu HTTPS. Upewnij się, że inspekcja protokołu HTTPS jest wyłączona wzdłuż ścieżki sieciowej dla usługi Azure Local, aby zapobiec błędom łączności. Obejmuje to korzystanie z ograniczeń dzierżawy Entra ID w wersji 1, które nie są obsługiwane w przypadku komunikacji sieciowej zarządzania lokalnego platformy Azure.
Jak pokazano na poniższym diagramie, Azure Local może uzyskać dostęp do platformy Azure przy użyciu więcej niż jednej zapory.
Diagram pokazuje, jak Azure Local uzyskuje dostęp do punktów końcowych tagu usługi przez port 443 (HTTPS) zapór sieciowych.
Wymagane adresy URL zapory sieciowej dla lokalnych wdrożeń platformy Azure
Lokalne wystąpienia Azure automatycznie włączają infrastrukturę Azure Resource Bridge i usługi AKS oraz używają agenta „Arc for Servers” do łączenia się z płaszczyzną sterowania platformy Azure. Oprócz listy punktów końcowych specyficznych dla rozwiązania HCI w poniższej tabeli mostek zasobów platformy Azure w lokalnych punktach końcowych platformy Azure, usłudze AKS w lokalnych punktach końcowych platformy Azure i punktach końcowych serwerów z obsługą usługi Azure Arc należy uwzględnić na liście dozwolonych zapory.
W przypadku skonsolidowanej listy punktów końcowych dla Wschodnich Stanów Zjednoczonych, które obejmują Azure Local, serwery z obsługą Arc, ARB i AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Europy Zachodniej obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Australii Wschodniej, która obejmuje serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
Aby uzyskać skonsolidowaną listę punktów końcowych dla Kanady Środkowej, która obejmuje Azure Local, serwery z obsługą usługi Arc, usługi ARB i usługi AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Indii Środkowych, które obejmują serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Azji Południowo-Wschodniej obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla Japonii Wschodniej obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
W przypadku skonsolidowanej listy punktów końcowych dla południowo-środkowych stanów USA, które obejmują serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
Wymagane adresy URL zapory dla usługi Azure Local w regionach usługi Azure Government
W przypadku skonsolidowanej listy punktów końcowych dla US Gov Wirginii obejmującej serwery lokalne platformy Azure, serwery z obsługą usługi Arc, usługę ARB i usługę AKS, użyj:
Wymagania dotyczące zapory dla OEM
W zależności od producenta OEM używanego dla usługi Azure Local może być konieczne otwarcie dodatkowych punktów końcowych w zaporze.
Wymagane punkty końcowe dla lokalnych wdrożeń usługi Azure przez DataON
Wymagane punkty końcowe firmy Dell dla wdrożeń lokalnych platformy Azure
Wymagane punkty końcowe HPE dla wdrożeń lokalnych platformy Azure
Wymagane punkty końcowe Hitachi dla wdrożeń lokalnych platformy Azure
Niezbędne punkty końcowe Lenovo dla lokalnych wdrożeń platformy Azure
Wymagania dotyczące zapory dla dodatkowych usług platformy Azure
W zależności od dodatkowych usług platformy Azure, które są włączone dla usługi Azure Local, może być konieczne wprowadzenie dodatkowych zmian konfiguracji zapory. Zapoznaj się z następującymi linkami, aby uzyskać informacje na temat wymagań zapory dla każdej usługi platformy Azure:
- Azure Monitor Agent
- Portal Azure
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) i Agent usługi Log Analytics
- Qualys
- Zdalna obsługa
- Centrum administracyjne systemu Windows
- Centrum administracyjne systemu Windows w witrynie Azure Portal
Wymagania dotyczące zapory sieciowej dla reguł i portów wewnętrznych
Upewnij się, że odpowiednie porty sieciowe są otwarte między wszystkimi węzłami, zarówno w obrębie lokacji, jak i między lokacjami dla wystąpień rozprosonych (funkcja wystąpienia rozproszonego jest dostępna tylko w usłudze Azure Stack HCI w wersji 22H2). Potrzebujesz odpowiednich reguł zapory, aby umożliwić dwukierunkowy ruch między wszystkimi węzłami w klastrze dla ICMP, SMB (port 445 i port 5445 dla SMB Direct, jeśli używasz iWARP RDMA) oraz WS-MAN (port 5985).
Podczas korzystania z Kreatora tworzenia w Centrum administracyjnym systemu Windows w celu utworzenia klastra, kreator automatycznie otwiera odpowiednie porty zapory na każdym serwerze w klastrze dla klastrowania przełączania awaryjnego, Hyper-V oraz Storage Replica. Jeśli używasz innej zapory na każdej maszynie, otwórz porty zgodnie z opisem w poniższych sekcjach:
Zarządzanie systemem operacyjnym azure Stack HCI
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze na potrzeby zarządzania systemem operacyjnym Azure Stack HCI, w tym licencjonowania i rozliczeń.
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na ruch przychodzący/wychodzący do i z usługi lokalnej platformy Azure na maszynach lokalnych platformy Azure | Zezwól | Węzły wystąpienia | Węzły wystąpienia | TCP | 30301 |
Windows Admin Center
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla Windows Admin Center.
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zapewnianie dostępu do platformy Azure i usługi Microsoft Update | Zezwól | Windows Admin Center | Azure lokalnie | TCP | 445 |
| Używanie zdalnego zarządzania systemem Windows (WinRM) 2.0 do uruchamiania poleceń za pomocą połączeń HTTP na zdalnych serwerach z systemem Windows |
Zezwól | Windows Admin Center | Azure lokalnie | TCP | 5985 |
| Uruchamianie połączeń HTTPS przy użyciu usługi WinRM 2.0 polecenia na zdalnych serwerach z systemem Windows |
Zezwól | Windows Admin Center | Azure lokalnie | TCP | 5986 |
Uwaga
Podczas instalowania Centrum administracyjnego systemu Windows, jeśli wybierzesz ustawienie Użyj usługi WinRM tylko za pośrednictwem protokołu HTTPS , wymagany jest port 5986.
Active Directory
Upewnij się, że następujące reguły zapory są skonfigurowane w Twojej lokalnej zaporze dla usługi Active Directory (lokalny urząd zabezpieczeń).
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na łączność przychodzącą/wychodzącą z usługami sieci Web Active Directory (ADWS) i usługą bramy zarządzania usługą Active Directory | Zezwól | Azure lokalnie | Usługi Active Directory | TCP | 9389 |
Protokół czasu sieciowego
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla protokołu NTP (Network Time Protocol).
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na łączność przychodzącą/wychodzącą z serwerem protokołu NTP (Network Time Protocol). Ten serwer może być kontrolerami domeny usługi Active Directory lub urządzeniem NTP. | Zezwól | Azure lokalnie | Serwer protokołu NTP/SNTP (Network Time Protocol) | protokół UDP | 123 |
Klaster awaryjny
Upewnij się, że następujące reguły zapory są skonfigurowane w zaporze lokalnej dla klastrowania awaryjnego.
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na walidację klastra failover | Zezwól | System zarządzania | Węzły wystąpienia | TCP | 445 |
| Zezwalaj na dynamiczną alokację portów RPC | Zezwól | System zarządzania | Węzły wystąpienia | TCP | Co najmniej 100 portów powyżej portu 5000 |
| Zezwalaj na zdalne wywołanie procedury (RPC) | Zezwól | System zarządzania | Węzły wystąpienia | TCP | 135 |
| Zezwól administratorowi klastra | Zezwól | System zarządzania | Węzły wystąpienia | protokół UDP | 137 |
| Zezwalaj na usługę klastra | Zezwól | System zarządzania | Węzły wystąpienia | protokół UDP | 3343 |
| Zezwalaj na usługę klastra (wymagana podczas konfiguracji) operacja dołączenia serwera. |
Zezwól | System zarządzania | Węzły wystąpienia | TCP | 3343 |
| Zezwalaj na protokoły ICMPv4 i ICMPv6 weryfikacji klastra przełączenia awaryjnego |
Zezwól | System zarządzania | Węzły wystąpienia | nie dotyczy | nie dotyczy |
Uwaga
System zarządzania obejmuje dowolny komputer, z którego planujesz administrować systemem, przy użyciu narzędzi, takich jak Windows Admin Center, Windows PowerShell lub System Center Virtual Machine Manager.
Hyper-V
Upewnij się, że następujące reguły zapory sieciowej są skonfigurowane na swojej lokalnej zaporze dla Hyper-V.
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na komunikację klastra | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 445 |
| Zezwalaj na mapowanie punktów końcowych RPC i WMI | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 135 |
| Zezwalaj na łączność HTTP | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 80 |
| Zezwalaj na łączność HTTPS | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 443 |
| Zezwalaj na migrację na żywo | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 6600 |
| Zezwalaj na usługę zarządzania maszynami wirtualnymi | Zezwól | System zarządzania | Serwer Hyper-V | TCP | 2179 |
| Zezwalaj na dynamiczną alokację portów RPC | Zezwól | System zarządzania | Serwer Hyper-V | TCP | Co najmniej 100 portów powyżej portu 5000 |
Uwaga
Otwórz zakres portów powyżej portu 5000, aby zezwolić na dynamiczną alokację portów RPC. Porty poniżej 5000 mogą już być używane przez inne aplikacje i mogą powodować konflikty z aplikacjami DCOM. Poprzednie doświadczenie pokazuje, że należy otworzyć co najmniej 100 portów, ponieważ kilka usług systemowych korzysta z tych portów RPC do wzajemnej komunikacji. Aby uzyskać więcej informacji, zobacz How to configure RPC dynamic port allocation to work with firewalls (Jak skonfigurować alokację portu dynamicznego RPC do pracy z zaporami).
Replika magazynu (rozciągnięty klaster)
Upewnij się, że następujące reguły zapory są skonfigurowane w lokalnej zaporze dla Storage Replica (rozciągnięte wystąpienie).
| Reguła | Akcja | Źródło | Cel | Usługa | Porty |
|---|---|---|---|---|---|
| Zezwalaj na blokowanie komunikatów serwera Protokół (SMB) |
Zezwól | Rozciągnięte węzły instancji | Rozciągnięte węzły instancji | TCP | 445 |
| Zezwalaj na zarządzanie usługami sieci Web (WS-MAN) |
Zezwól | Rozciągnięte węzły instancji | Rozciągnięte węzły instancji | TCP | 5985 |
| Zezwalaj na protokoły ICMPv4 i ICMPv6 (jeśli używasz Test-SRTopologyCmdlet programu PowerShell) |
Zezwól | Rozciągnięte węzły instancji | Rozciągnięte węzły instancji | nie dotyczy | nie dotyczy |
Aktualizowanie zapory usługi Microsoft Defender
W tej sekcji pokazano, jak skonfigurować zaporę Microsoft Defender, aby zezwolić na nawiązywanie połączenia z systemem operacyjnym adresów IP skojarzonych z tagiem usługi. Tag usługi reprezentuje grupę adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza adresami IP zawartymi w tagu usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów IP w celu zachowania aktualizacji do minimum. Aby dowiedzieć się więcej, zobacz Tagi usługi sieci wirtualnej.
Pobierz plik JSON z następującego zasobu na komputer docelowy z systemem operacyjnym: Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna.
Użyj następującego polecenia programu PowerShell, aby otworzyć plik JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonPobierz listę zakresów adresów IP dla danego tagu usługi, na przykład
AzureResourceManagertag usługi:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesZaimportuj listę adresów IP do zewnętrznej zapory sieciowej firmowej, jeśli używasz z nią listy dozwolonych adresów.
Utwórz regułę zapory dla każdego węzła w systemie, aby zezwolić na ruch wychodzący 443 (HTTPS) do listy zakresów adresów IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Następne kroki
Aby uzyskać więcej informacji, zobacz również:
- Sekcja dotycząca portów Zapory systemu Windows i usługi WinRM 2.0 w Instalacji i konfiguracji zdalnego zarządzania systemem Windows.
- Informacje o wdrożeniu lokalnym platformy Azure.