适用于:Azure Local 2311.2 及更高版本
本文提供了有关如何为 Azure Stack HCI 操作系统配置防火墙的指导。 其中包括出站终结点以及内部规则和端口的防火墙要求。 本文还提供了有关如何将 Azure 服务标记与 Microsoft Defender 防火墙配合使用的信息。
本文还介绍如何选择性地使用高度锁定的防火墙配置来阻止流向所有目标的流量(允许列表中包含的目标除外)。
如果网络使用代理服务器进行 Internet 访问,请参阅为 Azure Local 配置代理设置。
重要
由于无法访问 Azure Local 所需的公共端点,Azure Express Route 和 Azure Private Link 不支持 Azure Local 或其任何组件。
出站终结点的防火墙要求
在组织的防火墙上为出站网络流量打开端口 80 和 443 可满足 Azure Stack HCI 操作系统与 Azure 和 Microsoft 更新进行连接的连接要求。
Azure Local 需要定期连接到 Azure,以实现以下目的:
- 众所周知的 Azure IP
- 出站方向
- 端口 80 (HTTP) 和 443 (HTTPS)
重要
Azure Local 不支持 HTTPS 检查。 确保在 Azure Local 的网络路径上禁用 HTTPS 检查,以防止出现任何连接错误。 这包括使用 Azure Local 管理网络通信不支持的 Entra ID 租户限制 v1。
如下图所示,Azure Local 可能会通过多个防火墙访问 Azure。
Azure Local 部署所需的防火墙 URL
Azure Local 实例会自动启用 Azure Resource Bridge 和 AKS 基础结构,并使用适用于服务器的 Azure Arc 代理连接到 Azure 控制平面。 除了下表中特定于 HCI 的终结点列表之外,Azure Local 的 Azure Resource Bridge 终结点、Azure Local 上的 AKS 终结点以及启用了 Azure Arc 的服务器终结点都必须包含在你的防火墙允许列表中。
对于包括 Azure Local、启用了 Arc 的服务器、ARB 和 AKS 的美国东部地区的综合终结点列表,请使用:
有关包括 Azure Local、已启用 Arc 的服务器、ARB 和 AKS 的西欧终结点的综合列表,请使用:
有关包括 Azure Local、已启用 Arc 的服务器、ARB 和 AKS 的澳大利亚东部终结点的综合列表,请使用:
有关包括 Azure Local、已启用 Arc 的服务器、ARB 和 AKS 的加拿大中部终结点的综合列表,请使用:
有关包括 Azure Local、已启用 Arc 的服务器、ARB 和 AKS 的印度中部终结点的综合列表,请使用:
有关包括 Azure Local、已启用 Arc 的服务器、ARB 和 AKS 的东南亚终结点的综合列表,请使用:
有关包括 Azure Local、已启用 Arc 的服务器、ARB 和 AKS 的日本东部终结点的综合列表,请使用:
有关包括 Azure Local、已启用 Arc 的服务器、ARB 和 AKS 的美国中南部终结点的综合列表,请使用:
Azure 政府区域中 Azure Local 所需的防火墙 URL
如需 US Gov 弗吉尼亚州(包括 Azure Local、已启用 Arc 的服务器、ARB 和 AKS)的终结点综合列表,请使用:
OEM 的防火墙要求
根据 Azure Local 使用的 OEM,可能需要在防火墙中打开其他终结点。
DataON 完成 Azure Local 部署需要的终结点
Azure 本地部署所需的 Dell 终端设备
HPE 完成 Azure Local 部署需要的终结点
Hitachi 完成 Azure Local 部署需要的终结点
Lenovo 完成 Azure Local 部署需要的终结点
其他 Azure 服务的防火墙要求
根据为 Azure Local 启用的其他 Azure 服务,可能需要对防火墙配置进行其他更改。 有关每个 Azure 服务的防火墙要求的信息,请参阅以下链接:
- Azure Monitor 代理
- Azure 门户
- Azure Site Recovery
- Azure 虚拟桌面
- Microsoft Defender
- Microsoft Monitoring Agent (MMA) 和 Log Analytics 代理
- Qualys
- 远程支持
- Windows 管理中心
- Azure 门户中的 Windows Admin Center
内部规则和端口的防火墙要求
对于拉伸实例,请确保站点内和站点间的所有节点之间的相应网络端口处于打开状态(拉伸实例功能仅在 Azure Stack HCI 版本 22H2 中可用)。 你需要适当的防火墙规则,以允许在群集中的所有节点之间进行 ICMP、SMB(端口 445;如果使用 iWARP RDMA,则还包括适用于 SMB Direct 的端口 5445)和 WS-MAN(端口 5985)双向通信。
使用 Windows Admin Center 中的群集“创建向导”来创建群集时,向导会针对故障转移群集、Hyper-V 和存储副本自动打开群集中每台服务器上的相应防火墙端口。 如果在每台计算机上使用不同的防火墙,请按照以下部分所述打开端口:
Azure Stack HCI OS 管理
请确保在本地防火墙中配置用于管理 Azure Stack HCI OS(包括许可和计费)的以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许 Azure Local 计算机上 Azure Local 服务的入站/出站流量。 | 允许 | 实例节点 | 实例节点 | TCP | 30301 |
Windows 管理中心
确保在 Windows Admin Center 的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 提供对 Azure 和 Microsoft 更新的访问权限 | 允许 | Windows 管理中心 | Azure 本地服务 | TCP | 445 |
| 对 HTTP 连接使用 Windows 远程管理 (WinRM) 2.0, 以在远程 Windows 服务器上 运行命令 |
允许 | Windows 管理中心 | Azure 本地服务 | TCP | 5985 |
| 对 HTTPS 连接使用 WinRM 2.0, 以在远程 Windows 服务器上运行命令 |
允许 | Windows 管理中心 | Azure 本地服务 | TCP | 5986 |
注意
在安装 Windows Admin Center 时,如果选择“仅通过 HTTPS 使用 WinRM”设置,则需要端口 5986。
Active Directory
确保在 Active Directory(本地安全机构)的本地防火墙中配置以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许与 Active Directory Web 服务 (ADWS) 和 Active Directory 管理网关服务的入站/出站连接 | 允许 | Azure 本地服务 | Active Directory 服务 | TCP | 9389 |
网络时间协议
确保在本地防火墙中为网络时间协议 (NTP) 配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许与网络时间协议 (NTP) 服务器建立入站/出站连接。 此服务器可以是 Active Directory 域控制器,也可以是 NTP 设备。 | 允许 | Azure 本地服务 | 网络时间协议 (NTP/SNTP) 服务器 | UDP | 123 |
故障转移群集
确保在故障转移群集的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许故障转移群集验证 | 允许 | 管理系统 | 实例节点 | TCP | 445 |
| 允许 RPC 动态端口分配 | 允许 | 管理系统 | 实例节点 | TCP | 至少 100 个端口 高于端口 5000 |
| 允许远程过程调用 (RPC) | 允许 | 管理系统 | 实例节点 | TCP | 135 |
| 允许群集管理员 | 允许 | 管理系统 | 实例节点 | UDP | 137 |
| 允许群集服务 | 允许 | 管理系统 | 实例节点 | UDP | 3343 |
| 允许群集服务(在服务器加入操作 期间是必需的。) |
允许 | 管理系统 | 实例节点 | TCP | 3343 |
| 允许 ICMPv4 和 ICMPv6 来进行故障转移群集验证 |
允许 | 管理系统 | 实例节点 | 不适用 | 不适用 |
注意
管理系统包括你计划使用 Windows Admin Center、Windows PowerShell 或 System Center Virtual Machine Manager 等工具管理系统的任何计算机。
Hyper-V
确保在 Hyper-V 的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许群集通信 | 允许 | 管理系统 | Hyper-V Server | TCP | 445 |
| 允许 RPC 端点映射程序和 WMI | 允许 | 管理系统 | Hyper-V Server | TCP | 135 |
| 允许 HTTP 连接 | 允许 | 管理系统 | Hyper-V Server | TCP | 80 |
| 允许 HTTPS 连接 | 允许 | 管理系统 | Hyper-V Server | TCP | 443 |
| 允许实时迁移 | 允许 | 管理系统 | Hyper-V Server | TCP | 6600 |
| 允许 VM 管理服务 | 允许 | 管理系统 | Hyper-V Server | TCP | 2179 |
| 允许 RPC 动态端口分配 | 允许 | 管理系统 | Hyper-V Server | TCP | 至少 100 个端口 高于端口 5000 |
注意
打开一系列高于端口 5000 的端口,以允许 RPC 动态端口分配。 低于 5000 的端口可能已被其他应用程序使用,可能导致与 DCOM 应用程序发生冲突。 以前的经验显示,至少应打开 100 个端口,原因是多个系统服务依赖于这些 RPC 端口来彼此通信。 有关详细信息,请参阅如何配置与防火墙一起使用的 RPC 动态端口分配。
存储副本(拉伸群集)
确保在存储副本(拉伸实例)的本地防火墙中配置了以下防火墙规则。
| 规则 | 操作 | 源 | 目标 | 服务 | 端口 |
|---|---|---|---|---|---|
| 允许服务器消息块 (SMB) 协议 |
允许 | 已扩展实例节点 | 已扩展实例节点 | TCP | 445 |
| 允许 Web 服务管理 (WS-MAN) |
允许 | 已扩展实例节点 | 已扩展实例节点 | TCP | 5985 |
| 允许 ICMPv4 和 ICMPv6 (如果在使用 Test-SRTopologyPowerShell cmdlet) |
允许 | 已扩展实例节点 | 已扩展实例节点 | 不适用 | 不适用 |
更新 Microsoft Defender 防火墙
本部分介绍了如何将 Microsoft Defender 防火墙配置为允许与服务标记关联的 IP 地址连接到操作系统。 服务标记代表给定 Azure 服务中的一组 IP 地址。 Microsoft 会管理服务标记中包含的 IP 地址,并且会在 IP 地址更改时自动更新服务标记,使更新量保持在最低水平。 若要了解详细信息,请参阅虚拟网络服务标记。
将来自以下资源的 JSON 文件下载到运行操作系统的目标计算机中:Azure IP 范围和服务标记 - 高能公有云。
使用以下 PowerShell 命令打开 JSON 文件:
$json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json获取给定服务标记(例如
AzureResourceManager服务标记)的 IP 地址范围列表:$IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes将 IP 地址列表导入到外部公司防火墙(如果你在防火墙中使用允许列表)。
为系统中的每个节点创建防火墙规则,以允许发往 IP 地址范围列表的出站 443 (HTTPS) 流量:
New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
后续步骤
有关详细信息,请参阅:
- Windows 远程管理的安装和配置的 Windows 防火墙和 WinRM 2.0 端口部分。
- 关于 Azure Local 部署。