Firewallanforderungen für Azure Stack HCI

Gilt für: Azure Stack HCI, Versionen 23H2 und 22H2

In diesem Artikel finden Sie einen Leitfaden zum Konfigurieren von Firewalls für das Azure Stack HCI-Betriebssystem. Er enthält Firewallanforderungen für ausgehende Endpunkte und interne Regeln und Ports. Der Artikel enthält auch Informationen zur Verwendung von Azure-Diensttags mit der Microsoft Defender-Firewall.

In diesem Artikel wird auch beschrieben, wie Sie optional eine stark gesperrte Firewallkonfiguration verwenden, um den gesamten Datenverkehr für alle Ziele außer den in Ihrer Zulassungsliste enthaltenen Zielen zu blockieren.

Wenn Ihr Netzwerk einen Proxyserver für den Internetzugriff verwendet, lesen Sie " Konfigurieren von Proxyeinstellungen für Azure Stack HCI".

Wichtig

Azure Express Route und Azure Private Link werden für Azure Stack HCI, Version 23H2 oder eine seiner Komponenten nicht unterstützt, da es nicht möglich ist, auf die öffentlichen Endpunkte zuzugreifen, die für Azure Stack HCI, Version 23H2 erforderlich sind.

Firewallanforderungen für ausgehende Endpunkte

Das Öffnen von Ports 80 und 443 für ausgehenden Netzwerkdatenverkehr in der Firewall Ihrer Organisation erfüllt die Konnektivitätsanforderungen für das Azure Stack HCI-Betriebssystem, um eine Verbindung mit Azure und Microsoft Update herzustellen.

Azure Stack HCI muss regelmäßig eine Verbindung mit Azure herstellen, damit:

  • Bekannte Azure-IP-Adressen
  • Ausgehender Datenverkehr
  • Ports 80 (HTTP) und 443 (HTTPS)

Wichtig

Azure Stack HCI unterstützt keine HTTPS-Inspektion. Stellen Sie sicher, dass die HTTPS-Überprüfung entlang Ihres Netzwerkpfads für Azure Stack HCI deaktiviert ist, um Verbindungsfehler zu verhindern.

Wie im folgenden Diagramm gezeigt, kann Azure Stack HCI mit mehr als einer Firewall potenziell auf Azure zugreifen.

Abbildung des Zugriffs auf Diensttagendpunkte durch Azure Stack HCI über Port 443 (HTTPS) der Firewalls

Erforderliche Firewall-URLs für Azure Stack HCI 23H2-Bereitstellungen

Ab Azure Stack HCI, Version 23H2, aktiviert alle Cluster automatisch die Azure Resource Bridge- und AKS-Infrastruktur und verwendet den Arc for Servers-Agent, um eine Verbindung mit azure-Steuerungsebene herzustellen. Zusammen mit der Liste der HCI-spezifischen Endpunkte in der folgenden Tabelle müssen die Azure Resource Bridge auf Azure Stack HCI-Endpunkten, die AKS auf Azure Stack HCI-Endpunkten und die Azure Arc-fähigen Serverendpunkte in der Zulassungsliste Ihrer Firewall enthalten sein.

Für ost-US konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:

Für westeuropäische konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:

Für Australien Ost konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:

Für Kanada Central konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:

Für Zentralindien konsolidierte Liste der Endpunkte, einschließlich HCI, Arc-fähigen Servern, ARB und AKS:

Firewallanforderungen für zusätzliche Azure-Dienste

Je nach zusätzlichen Azure-Diensten, die Sie für Azure Stack HCI aktivieren, müssen Sie möglicherweise zusätzliche Firewallkonfigurationsänderungen vornehmen. Unter den folgenden Links finden Sie Informationen zu Firewallanforderungen für jeden Azure-Dienst:

Firewallanforderungen für interne Regeln und Ports

Stellen Sie sicher, dass die richtigen Netzwerkports zwischen allen Serverknoten geöffnet sind, sowohl innerhalb eines Standorts als auch zwischen Standorten für gestreckte Cluster (gestreckte Clusterfunktionen sind nur in Azure Stack HCI, Version 22H2, verfügbar.) Sie benötigen geeignete Firewallregeln zum Zulassen von ICMP- und SMB-Datenverkehr (Port 445 plus Port 5445 für SMB Direct bei Verwendung von iWARP RDMA) sowie von bidirektionalem WS-MAN-Datenverkehr (Port 5985) zwischen allen Servern im Cluster.

Wenn Sie den Clustererstellungs-Assistenten in Windows Admin Center zum Erstellen des Clusters verwenden, öffnet der Assistent automatisch die entsprechenden Firewallports auf jedem Server im Cluster für Failoverclustering, Hyper-V und Speicherreplikat. Wenn Sie auf den einzelnen Servern unterschiedliche Firewalls verwenden, öffnen Sie die in den folgenden Abschnitten beschriebenen Ports:

Azure Stack HCI-Betriebssystemverwaltung

Stellen Sie sicher, dass die folgenden Firewallregeln in Ihrer lokalen Firewall für die Verwaltung des Azure Stack HCI-Betriebssystems konfiguriert sind, einschließlich Lizenzierung und Abrechnung.

Regel Aktion Quelle Destination Dienst Ports
Eingehenden/ausgehenden Datenverkehr auf Clusterservern und vom Azure Stack HCI-Dienst zulassen Zulassen Clusterserver Clusterserver TCP 30301

Windows Admin Center

Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Windows Admin Center konfiguriert sind.

Regel Aktion Quelle Destination Dienst Ports
Gewähren des Zugriffs auf Azure und Microsoft Update Zulassen Windows Admin Center Azure Stack HCI TCP 445
Verwenden der Windows-Remoteverwaltung (WinRM) 2.0
für die HTTP-Verbindungen zum Ausführen von Befehlen
auf Remote-Windows-Servern
Zulassen Windows Admin Center Azure Stack HCI TCP 5985
Verwenden von WinRM 2.0 für HTTPS-Verbindungen für die Ausführung
von Befehlen auf Remote-Windows-Servern
Zulassen Windows Admin Center Azure Stack HCI TCP 5986

Hinweis

Wenn Sie bei der Installation des Windows Admin Center die Einstellung Use WinRM over HTTPS only (Nur WinRM bei HTTPS verwenden) auswählen, ist Port 5986 erforderlich.

Active Directory

Stellen Sie sicher, dass die folgenden Firewallregeln in Ihrer lokalen Firewall für Active Directory (lokale Sicherheitsautorität) konfiguriert sind.

Regel Aktion Quelle Destination Dienst Ports
Eingehende/ausgehende Konnektivität mit den Active Directory-Webdiensten (ADWS) und dem Active Directory-Verwaltungsgatewaydienst zulassen Zulassen Active Directory-Dienste Azure Stack HCI TCP 9389

Failoverclustering

Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Failoverclustering konfiguriert sind.

Regel Aktion Quelle Destination Dienst Ports
Zulassen der Failovercluster-Überprüfung Zulassen Verwaltungssystem Clusterserver TCP 445
Zulassen der dynamischen RPC-Portzuordnung Zulassen Verwaltungssystem Clusterserver TCP Mindestens 100 Ports
Ports über 5000
Zulassen von Remote Procedure Call (RPC) Zulassen Verwaltungssystem Clusterserver TCP 135
Zulassen eines Clusteradministrators Zulassen Verwaltungssystem Clusterserver UDP 137
Zulassen eines Clusterdiensts Zulassen Verwaltungssystem Clusterserver UDP 3343
Zulassen eines Clusterdiensts (erforderlich während
eines Server-Verbindungsvorgangs.)
Zulassen Verwaltungssystem Clusterserver TCP 3343
Zulassen von ICMPv4 und ICMPv6
für die Failovercluster-Überprüfung
Zulassen Verwaltungssystem Clusterserver Nicht zutreffend Nicht zutreffend

Hinweis

Das Verwaltungssystem enthält jeden Computer, von dem Aus Sie den Cluster verwalten möchten, unter Verwendung von Tools wie Windows Admin Center, Windows PowerShell oder System Center Virtual Machine Manager.

Hyper-V

Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Hyper-V konfiguriert sind.

Regel Aktion Quelle Destination Dienst Ports
Zulassen von Clusterinterner Kommunikation Zulassen Verwaltungssystem Hyper-V-Server TCP 445
Zulassen von RPC-Endpunktzuordnung und WMI Zulassen Verwaltungssystem Hyper-V-Server TCP 135
Zulassen von HTTP-Konnektivität Zulassen Verwaltungssystem Hyper-V-Server TCP 80
Zulassen von HTTPS-Konnektivität Zulassen Verwaltungssystem Hyper-V-Server TCP 443
Zulassen von Livemigration Zulassen Verwaltungssystem Hyper-V-Server TCP 6600
Zulassen von Verwaltungsdienst für virtuelle Maschinen Zulassen Verwaltungssystem Hyper-V-Server TCP 2179
Zulassen der dynamischen RPC-Portzuordnung Zulassen Verwaltungssystem Hyper-V-Server TCP Mindestens 100 Ports
Ports über 5000

Hinweis

Öffnen Sie einen Bereich von Ports über Port 5000, um die dynamische RPC-Portzuordnung zuzulassen. Ports unter 5000 werden möglicherweise bereits von anderen Anwendungen verwendet und können Konflikte mit DCOM-Anwendungen verursachen. Frühere Erfahrungen haben gezeigt, dass mindestens 100 Ports geöffnet sein sollten, da mehrere Systemdienste von diesen RPC-Ports abhängig sind, um miteinander kommunizieren zu können. Weitere Informationen finden Sie unterKonfigurieren der dynamischen RPC-Portzuweisung für den Firewall-Einsatz.

Speicherreplikat (Stretched-Cluster)

Stellen Sie sicher, dass die folgenden Firewall-Regeln in Ihrer lokalen Firewall für Speicherreplikat (Stretched-Cluster) konfiguriert sind.

Regel Aktion Quelle Destination Dienst Ports
Zulassen von Server Message Block
SMB-Protokoll
Zulassen Server für Stretched Cluster Server für Stretched Cluster TCP 445
Zulassen von Webdienstverwaltung
(WS-MAN)
Zulassen Server für Stretched Cluster Server für Stretched Cluster TCP 5985
Zulassen von ICMPv4 und ICMPv6
(bei der Verwendung des Test-SRTopology
PowerShell-Cmdlet)
Zulassen Server für Stretched Cluster Server für Stretched Cluster Nicht zutreffend Nicht zutreffend

Aktualisieren der Microsoft Defender-Firewall

In diesem Abschnitt erfahren Sie, wie Sie die Microsoft Defender-Firewall so konfigurieren, dass IP-Adressen, die einem Diensttag zugeordnet sind, eine Verbindung mit dem Betriebssystem herstellen können. Ein Diensttag steht für eine Gruppe von IP-Adressen eines bestimmten Azure-Diensts. Microsoft verwaltet die im Diensttag eingeschlossenen IP-Adressen und aktualisiert das Diensttag automatisch, wenn sich IP-Adressen ändern, damit möglichst wenige Updates erforderlich sind. Weitere Informationen finden Sie unter Diensttags in virtuellen Netzwerken.

  1. Laden Sie die JSON-Datei aus der folgenden Ressource auf den Zielcomputer herunter, auf dem das Betriebssystem ausgeführt wird: Azure IP Ranges and Service Tags – Public Cloud.

  2. Verwenden Sie den folgenden PowerShell-Befehl zum Öffnen der JSON-Datei:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Rufen Sie die Liste der IP-Adressbereiche für ein bestimmtes Diensttag ab, z. B. das AzureResourceManager Diensttag:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importieren Sie die Liste der IP-Adressen in Ihre externe Unternehmens-Firewall, wenn Sie eine zugehörige Liste „Zulassen“ verwenden.

  5. Erstellen Sie für jeden Server im Cluster eine Firewallregel, um ausgehenden Datenverkehr für Port 443 (HTTPS) für die Liste der IP-Adressbereiche zuzulassen:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Nächste Schritte

Weitere Informationen finden Sie auch unter: