Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Azure Local 2311.2 y versiones posteriores
En este artículo se proporcionan instrucciones sobre cómo configurar firewalls para el sistema operativo de Azure Stack HCI. Incluye requisitos de firewall para los puntos de conexión de salida y las reglas y puertos internos. En el artículo también se proporciona información sobre cómo usar etiquetas de servicio de Azure con el firewall de Microsoft Defender.
En este artículo también se describe cómo usar opcionalmente una configuración de firewall altamente bloqueada para bloquear todo el tráfico a todos los destinos, excepto los incluidos en la lista de permitidos.
Si la red usa un servidor proxy para el acceso a Internet, consulte Configuración del proxy para Azure Local.
Importante
Azure ExpressRoute y Azure Private Link no son compatibles con Azure Local ni para ninguno de sus componentes, ya que no es posible acceder a los puntos de conexión públicos necesarios para Azure Local.
Requisitos de firewall para puntos de conexión de salida
La apertura de los puertos 80 y 443 para el tráfico de red saliente en el firewall de la organización cumple los requisitos de conectividad del sistema operativo Azure Stack HCI para conectarse a Azure y Microsoft Update.
Azure Local debe conectarse periódicamente a Azure para:
- Direcciones IP conocidas de Azure
- Dirección de salida
- Puertos 80 (HTTP) y 443 (HTTPS)
Importante
Azure Local no admite la inspección https. Asegúrese de que la inspección de HTTPS está deshabilitada a lo largo de la ruta de acceso de red de Azure Local para evitar errores de conectividad. Esto incluye el uso de restricciones de inquilinos v1 de Entra ID, que no son compatibles con la comunicación en la red de administración local de Azure.
Como se muestra en el diagrama siguiente, Azure Local puede acceder a Azure mediante más de un firewall potencialmente.
Direcciones URL de firewall necesarias para implementaciones locales de Azure
Las instancias locales de Azure habilitan automáticamente la infraestructura de Azure Resource Bridge y AKS y usan el agente de Arc for Servers para conectarse al plano de control de Azure. Junto con la lista de puntos de conexión específicos de HCI en la siguiente tabla, los puntos de conexión de Azure Resource Bridge en Azure Local, los puntos de conexión de AKS en Azure Local y los puntos de conexión de servidores habilitados para Azure Arc deben incluirse en la lista de permitidos del firewall.
Para obtener una lista consolidada de puntos de conexión para este de EE. UU. que incluye servidores locales de Azure, habilitados para Arc, ARB y AKS, use:
Para obtener una lista consolidada de puntos de conexión para Oeste de Europa que incluya servidores locales de Azure, habilitados para Arc, ARB y AKS, use:
Para obtener una lista consolidada de puntos de conexión para El Este de Australia que incluye servidores locales de Azure, habilitados para Arc, ARB y AKS, use:
Para obtener una lista consolidada de puntos de conexión para El Centro de Canadá que incluye servidores locales de Azure, habilitados para Arc, ARB y AKS, use:
Para obtener una lista consolidada de puntos de conexión para La India Central que incluye servidores locales de Azure, habilitados para Arc, ARB y AKS, use:
Para obtener una lista consolidada de puntos de conexión para el sudeste asiático que incluye servidores locales de Azure, habilitados para Arc, ARB y AKS, use:
Para obtener una lista consolidada de puntos de conexión para El Este de Japón que incluye servidores locales de Azure, habilitados para Arc, ARB y AKS, use:
Para obtener una lista consolidada de puntos de conexión para el Centro-Sur de EE. UU. que incluye Azure Local, servidores habilitados para Arc, ARB y AKS, use:
Direcciones URL de firewall requeridas para Azure Local en regiones de Azure del Gobierno
Para obtener una lista consolidada de puntos de conexión para US Gov Virginia que incluye servidores locales de Azure, habilitados para Arc, ARB y AKS, use:
Requisitos de firewall para oem
En función del OEM que use para Azure Local, es posible que tenga que abrir puntos de conexión adicionales en el firewall.
Puntos de conexión necesarios de DataON para las implementaciones locales de Azure
Puntos de conexión necesarios de Dell para implementaciones locales de Azure
Puntos de conexión necesarios de HPE para implementaciones locales de Azure
Puntos de conexión necesarios de Hitachi para implementaciones locales de Azure
Puntos de conexión necesarios de Lenovo para implementaciones locales de Azure
Requisitos de firewall para servicios adicionales de Azure
En función de los servicios adicionales de Azure que habilite para Azure Local, es posible que tenga que realizar cambios adicionales en la configuración del firewall. Consulte los vínculos siguientes para obtener información sobre los requisitos de firewall para cada servicio de Azure:
- Agente de Azure Monitor
- Azure Portal
- Azure Site Recovery
- Azure Virtual Desktop
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) y Log Analytics Agent
- Qualys
- Compatibilidad remota
- Windows Admin Center
- Windows Admin Center en Azure Portal
Requisitos de firewall para reglas y puertos internos
Asegúrese de que los puertos de red adecuados están abiertos entre todos los nodos, tanto dentro de un sitio como entre sitios para instancias estiradas (la funcionalidad de instancia estirada solo está disponible en Azure Stack HCI, versión 22H2). Necesitará reglas de firewall adecuadas para permitir el tráfico bidireccional icMP, SMB (puerto 445, además del puerto 5445 para SMB directo si usa iWARP RDMA) y WS-MAN (puerto 5985) entre todos los nodos del clúster.
Al utilizar el Asistente de creación en el Centro de administración de Windows para crear el clúster, el asistente abre de forma automática los puertos de firewall adecuados en cada servidor del clúster para Failover Clustering, Hyper-V y réplica de almacenamiento (Storage Replica). Si usa un firewall diferente en cada máquina, abra los puertos como se describe en las secciones siguientes:
Administración del sistema operativo de Azure Stack HCI
Asegúrese de que las siguientes reglas de firewall están configuradas en el firewall local para la administración del sistema operativo de Azure Stack HCI, incluidas las licencias y la facturación.
| Regla | Acción | Fuente | Destino | Servicio | Puertos |
|---|---|---|---|---|---|
| Permitir el tráfico entrante o saliente hacia y desde el servicio Local de Azure en máquinas locales de Azure | Permitir | Nodos de instancia | Nodos de instancia | TCP | 30301 |
Centro de Administración de Windows (Windows Admin Center)
Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local de Windows Admin Center.
| Regla | Acción | Fuente | Destino | Servicio | Puertos |
|---|---|---|---|---|---|
| Provide access to Azure and Microsoft Update (Proporcionar acceso a Azure y Microsoft Update) | Permitir | Centro de Administración de Windows (Windows Admin Center) | Azure Local | TCP | 445 |
| Usar administración remota de Windows (WinRM) 2.0 para ejecutar comandos en conexiones HTTP on remote Windows servers (Usar Windows Remote Management (WinRM) 2.0 para que las conexiones HTTP ejecuten comandos en servidores Windows remotos) |
Permitir | Centro de Administración de Windows (Windows Admin Center) | Azure Local | TCP | 5985 |
| Uso de WinRM 2.0 para conexiones HTTPS para ejecutar commands on remote Windows servers (Usar WinRM 2.0 para que las conexiones HTTPS ejecuten comandos en servidores Windows remotos) |
Permitir | Centro de Administración de Windows (Windows Admin Center) | Azure Local | TCP | 5986 |
Nota:
Al instalar Windows Admin Center, si seleccionas la opción Usar WinRM a través de HTTPS solo , se requiere el puerto 5986.
Active Directory
Asegúrese de que las siguientes reglas de firewall están configuradas en el firewall local para Active Directory (autoridad de seguridad local).
| Regla | Acción | Fuente | Destino | Servicio | Puertos |
|---|---|---|---|---|---|
| Permitir la conectividad entrante o saliente con los servicios web de Active Directory (ADWS) y el servicio de puerta de enlace de administración de Active Directory | Permitir | Azure Local | Servicios de Active Directory | TCP | 9389 |
Protocolo de tiempo de redes
Asegúrese de que las siguientes reglas de firewall están configuradas en el firewall local para el Protocolo de tiempo de red (NTP).
| Regla | Acción | Fuente | Destino | Servicio | Puertos |
|---|---|---|---|---|---|
| Permitir la conectividad entrante y saliente con el servidor NTP (Protocolo de tiempo de red). Este servidor puede ser controladores de dominio de Active Directory o un dispositivo NTP. | Permitir | Azure Local | Servidor del protocolo de tiempo de redes (NTP/SNTP) | UDP | 123 |
Clúster de conmutación por error
Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local para clústeres de conmutación por error.
| Regla | Acción | Fuente | Destino | Servicio | Puertos |
|---|---|---|---|---|---|
| Allow Failover Cluster validation (Permitir la validación de clústeres de conmutación por error) | Permitir | Sistema de administración | Nodos de instancia | TCP | 445 |
| Allow RPC dynamic port allocation (Permitir la asignación de puertos dinámicos de RPC) | Permitir | Sistema de administración | Nodos de instancia | TCP | 100 puertos como mínimo por encima del puerto 5000 |
| Allow Remote Procedure Call (RPC) (Permitir llamada a procedimiento remoto [RPC]) | Permitir | Sistema de administración | Nodos de instancia | TCP | 135 |
| Allow Cluster Administrator (Permitir administrador de clústeres) | Permitir | Sistema de administración | Nodos de instancia | UDP | 137 |
| Allow Cluster Service (Permitir servicio de clúster) | Permitir | Sistema de administración | Nodos de instancia | UDP | 3343 |
| Allow Cluster Service (necesario durante a server join operation) (Permitir servicio de clúster [obligatorio durante una operación de unión al servidor]) |
Permitir | Sistema de administración | Nodos de instancia | TCP | 3343 |
| Permitir ICMPv4 e ICMPv6 for Failover Cluster validation (Permitir ICMPv4 e ICMPv6 para la validación del clúster de conmutación por error) |
Permitir | Sistema de administración | Nodos de instancia | N/D | N/D |
Nota:
El sistema de administración incluye cualquier equipo desde el que planee administrar el sistema, mediante herramientas como Windows Admin Center, Windows PowerShell o System Center Virtual Machine Manager.
Hyper-V
Asegúrese de que las siguientes reglas de firewall estén configuradas en el firewall local de Hyper-V.
| Regla | Acción | Fuente | Destino | Servicio | Puertos |
|---|---|---|---|---|---|
| Allow cluster communication (Permitir la comunicación del clúster) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 445 |
| Allow RPC Endpoint Mapper and WMI (Permitir el asignador de puntos de conexión RPC y WMI) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 135 |
| Allow HTTP connectivity (Permitir conectividad HTTP) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 80 |
| Allow HTTPS connectivity (Permitir conectividad HTTPS) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 443 |
| Allow Live Migration (Permitir Migración en vivo) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 6600 |
| Allow VM Management Service (Permitir servicio de administración de máquinas virtuales) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 2179 |
| Allow RPC dynamic port allocation (Permitir la asignación de puertos dinámicos de RPC) | Permitir | Sistema de administración | Servidor de Hyper-V | TCP | 100 puertos como mínimo por encima del puerto 5000 |
Nota:
Abra un intervalo de puertos por encima del puerto 5000 para permitir la asignación dinámica de puertos RPC. Es posible que otras aplicaciones ya usen puertos por debajo de 5000 y podría haber conflictos con las aplicaciones DCOM. La experiencia anterior muestra que se deben abrir 100 puertos como mínimo, ya que varios servicios del sistema dependen de estos puertos RPC para comunicarse entre sí. Para obtener más información, consulte Configuración de la asignación de puertos dinámicos RPC para trabajar con firewalls.
Réplica de almacenamiento (clúster extendido)
Asegúrese de que las siguientes reglas de firewall están configuradas en el firewall local para réplica de almacenamiento (instancia estirada).
| Regla | Acción | Fuente | Destino | Servicio | Puertos |
|---|---|---|---|---|---|
| Allow Server Message Block (Permitir el protocolo Bloque de mensajes del servidor [SMB]) |
Permitir | Nodos de instancia extendidos | Nodos de instancia extendidos | TCP | 445 |
| Permitir la administración de servicios web (WS-MAN) (Permitir la administración de servicios web [WS-MAN]) |
Permitir | Nodos de instancia extendidos | Nodos de instancia extendidos | TCP | 5985 |
| Permitir ICMPv4 e ICMPv6 (si usa el Test-SRTopologyPowerShell cmdlet) (Permitir ICMPv4 e ICMPv6 [si se usa el cmdlet "Test-SRTopology"]) |
Permitir | Nodos de instancia extendidos | Nodos de instancia extendidos | N/D | N/D |
Actualización de firewall de Microsoft Defender
En esta sección se muestra cómo configurar Firewall de Microsoft Defender para permitir que las direcciones IP asociadas a una etiqueta de servicio se conecten con el sistema operativo. Una etiqueta de servicio representa un grupo de direcciones IP de un servicio de Azure determinado. Microsoft administra las direcciones IP incluidas en la etiqueta de servicio y actualiza la etiqueta automáticamente a medida que cambian las direcciones IP para reducir las actualizaciones al mínimo. Para más información, consulte Etiquetas de servicio de red virtual.
Descargue el archivo JSON del siguiente recurso al equipo de destino que ejecuta el sistema operativo: Intervalos IP de Azure y etiquetas de servicio: nube pública.
Use el siguiente comando de PowerShell para abrir el archivo JSON:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-JsonObtenga la lista de intervalos de direcciones IP de una etiqueta de servicio determinada, como la etiqueta de
AzureResourceManagerservicio:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixesImporte la lista de direcciones IP en el firewall corporativo externo, si usa una lista de permitidos con él.
Cree una regla de firewall para cada nodo del sistema para permitir el tráfico saliente 443 (HTTPS) a la lista de intervalos de direcciones IP:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
Pasos siguientes
Para obtener más información, vea también:
- La sección Firewall de Windows y puertos WinRM 2.0 de Instalación y configuración para la Administración remota de Windows.
- Acerca de la implementación local de Azure.