Compartilhar via


Requisitos de firewall para o Azure Stack HCI

Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2

Este artigo fornece diretrizes sobre como configurar firewalls para o sistema operacional Azure Stack HCI. Ele inclui requisitos de firewall para endpoints de saída e regras e portas internas. O artigo também fornece informações sobre como usar marcas de serviço do Azure com o firewall do Microsoft Defender.

Este artigo também descreve como usar opcionalmente uma configuração de firewall altamente bloqueada para bloquear todo o tráfego para todos os destinos, exceto aqueles incluídos em sua lista de permissões.

Se sua rede usar um servidor proxy para acesso à Internet, consulte Definir configurações de proxy para o Azure Stack HCI.

Importante

Não há suporte para o Azure Express Route e o Link Privado do Azure para o Azure Stack HCI, versão 23H2 ou qualquer um de seus componentes, pois não é possível acessar os pontos de extremidade públicos necessários para o Azure Stack HCI, versão 23H2.

Requisitos de firewall para endpoints de saída

A abertura das portas 80 e 443 para o tráfego de rede de saída no firewall da sua organização atende aos requisitos de conectividade para que o sistema operacional Azure Stack HCI se conecte ao Azure e ao Microsoft Update.

O Azure Stack HCI precisa se conectar periodicamente ao Azure para:

  • IPs conhecidos do Azure
  • Direção de saída
  • Portas 80 (HTTP) e 443 (HTTPS)

Importante

O Azure Stack HCI não dá suporte à inspeção HTTPS. Verifique se a inspeção HTTPS está desabilitada ao longo do caminho de rede do Azure Stack HCI para evitar erros de conectividade.

Conforme mostrado no diagrama a seguir, o Azure Stack HCI pode acessar o Azure usando mais de um firewall potencialmente.

O diagrama mostra o Azure Stack HCI acessando pontos de extremidade de marca de serviço por meio da porta 443 (HTTPS) de firewalls.

URLs de firewall necessárias para implantações do Azure Stack HCI 23H2

A partir do Azure Stack HCI, versão 23H2, todos os clusters habilitam automaticamente a infraestrutura do Azure Resource Bridge e do AKS e usam o agente do Arc for Servers para se conectar ao painel de controle do Azure. Juntamente com a lista de pontos de extremidade específicos do HCI na tabela a seguir, o Azure Resource Bridge nos pontos de extremidade do Azure Stack HCI , o AKS nos pontos de extremidade do Azure Stack HCI e os pontos de extremidade de servidores habilitados para Azure Arc devem ser incluídos na lista de permissões do firewall.

Para a lista consolidada de pontos de extremidade do Leste dos EUA, incluindo HCI, servidores habilitados para Arc, ARB e AKS, use:

Para a lista consolidada de pontos de extremidade da Europa Ocidental, incluindo HCI, servidores habilitados para Arc, ARB e AKS, use:

Para a lista consolidada de pontos de extremidade do Leste da Austrália, incluindo HCI, servidores habilitados para Arc, ARB e AKS, use:

Para a lista consolidada de pontos de extremidade do Canada Central, incluindo HCI, servidores habilitados para Arc, ARB e AKS, use:

Para a lista consolidada de pontos de extremidade da Índia Central, incluindo HCI, servidores habilitados para Arc, ARB e AKS, use:

Requisitos de firewall para serviços adicionais do Azure

Dependendo dos serviços adicionais do Azure habilitados para o Azure Stack HCI, talvez seja necessário fazer alterações adicionais na configuração do firewall. Consulte os links a seguir para obter informações sobre os requisitos de firewall para cada serviço do Azure:

Requisitos de firewall para regras internas e portas

Verifique se as portas de rede adequadas estão abertas entre todos os nós do servidor, dentro de um site e entre sites para clusters estendidos (a funcionalidade de cluster estendido só está disponível no Azure Stack HCI, versão 22H2.). Você precisará de regras de firewall apropriadas para permitir o tráfego bidirecional ICMP, SMB (porta 445, mais porta 5445 para SMB Direct se estiver usando iWARP RDMA) e WS-MAN (porta 5985) entre todos os servidores no cluster.

Ao usar o assistente de Criação de Cluster no Windows Admin Center para criar o cluster, o assistente abre automaticamente as portas de firewall apropriadas em cada servidor no cluster para Clustering de Failover, Hyper-V e Réplica de Armazenamento. Se você estiver usando um firewall diferente em cada servidor, abra as portas conforme descrito nas seções a seguir:

Gerenciamento do sistema operacional do Azure Stack HCI

Verifique se as regras de firewall a seguir estão configuradas no firewall local para o gerenciamento do sistema operacional do Azure Stack HCI, incluindo licenciamento e cobrança.

Regra Ação Origem Destino Serviço Portos
Permitir tráfego de entrada/saída de e para o serviço Azure Stack HCI em servidores de cluster Allow Servidores clusterizados Servidores clusterizados TCP 30301

Windows Admin Center

Verifique se as regras de firewall a seguir estão configuradas no firewall local para Windows Admin Center.

Regra Ação Origem Destino Serviço Portos
Fornecer acesso ao Azure e ao Microsoft Update Allow Windows Admin Center Azure Stack HCI TCP 445
Usar o WinRM (Gerenciamento Remoto do Windows) 2.0
para conexões HTTP para executar comandos
em servidores Windows remotos
Allow Windows Admin Center Azure Stack HCI TCP 5985
Usar o WinRM 2.0 para que as conexões HTTPS sejam executadas
comandos em servidores Windows remotos
Allow Windows Admin Center Azure Stack HCI TCP 5986

Observação

Ao instalar Windows Admin Center, se você selecionar a configuração Usar WinRM somente em HTTPS, a porta 5986 será necessária.

Active Directory

Verifique se as regras de firewall a seguir estão configuradas no firewall local para o Active Directory (autoridade de segurança local).

Regra Ação Origem Destino Serviço Portos
Permitir conectividade de entrada/saída com os serviços Web do Active Directory (ADWS) e o Serviço de Gateway de Gerenciamento do Active Directory Allow Serviços do Active Directory Azure Stack HCI TCP 9389

Clustering de failover

Verifique se as regras de firewall a seguir estão configuradas no firewall local para Clustering de Failover.

Regra Ação Origem Destino Serviço Portos
Permitir validação do cluster de failover Allow Sistema de gerenciamento Servidores clusterizados TCP 445
Permitir alocação dinâmica de porta RPC Allow Sistema de gerenciamento Servidores clusterizados TCP Mínimo de 100 portas
acima da porta 5000
Permitir chamada de procedimento remoto (RPC) Allow Sistema de gerenciamento Servidores clusterizados TCP 135
Permitir administrador de cluster Allow Sistema de gerenciamento Servidores clusterizados UDP 137
Permitir serviço de cluster Allow Sistema de gerenciamento Servidores clusterizados UDP 3343
Permitir Serviço de Cluster (Necessário durante
uma operação de junção do servidor.)
Allow Sistema de gerenciamento Servidores clusterizados TCP 3343
Permitir ICMPv4 e ICMPv6
para validação do Cluster de Failover
Allow Sistema de gerenciamento Servidores clusterizados N/D N/D

Observação

O sistema de gerenciamento inclui qualquer computador do qual você planeja administrar o cluster, usando ferramentas como Windows Admin Center, Windows PowerShell ou System Center Virtual Machine Manager.

Hyper-V

Verifique se as regras de firewall a seguir estão configuradas no firewall local para o Hyper-V.

Regra Ação Origem Destino Serviço Portos
Permitir comunicação de cluster Allow Sistema de gerenciamento Servidor Hyper-V TCP 445
Permitir o Mapeador de Ponto de Extremidade RPC e o WMI Allow Sistema de gerenciamento Servidor Hyper-V TCP 135
Permitir conectividade HTTP Allow Sistema de gerenciamento Servidor Hyper-V TCP 80
Permitir conectividade HTTPS Allow Sistema de gerenciamento Servidor Hyper-V TCP 443
Permitir migração ao vivo Allow Sistema de gerenciamento Servidor Hyper-V TCP 6600
Permitir serviço de gerenciamento de VM Allow Sistema de gerenciamento Servidor Hyper-V TCP 2179
Permitir alocação dinâmica de porta RPC Allow Sistema de gerenciamento Servidor Hyper-V TCP Mínimo de 100 portas
acima da porta 5000

Observação

Abra um intervalo de portas acima da porta 5000 para permitir a alocação dinâmica de portas RPC. Portas abaixo de 5000 podem já estar em uso por outros aplicativos e podem causar conflitos com aplicativos DCOM. A experiência anterior mostra que um mínimo de 100 portas devem ser abertas, porque vários serviços do sistema dependem dessas portas RPC para se comunicarem entre si. Para obter mais informações, consulte Como configurar a alocação de porta dinâmica RPC para trabalhar com firewalls.

Réplica de armazenamento (cluster estendido)

Verifique se as regras de firewall a seguir estão configuradas no firewall local para a Réplica de Armazenamento (cluster estendido).

Regra Ação Origem Destino Serviço Portos
Permitir bloqueio de mensagens do servidor
(SMB)
Allow Servidores de cluster estendidos Servidores de cluster estendidos TCP 445
Permitir gerenciamento de serviços da Web
(WS-HOMEM)
Allow Servidores de cluster estendidos Servidores de cluster estendidos TCP 5985
Permitir ICMPv4 e ICMPv6
(se estiver usando o Test-SRTopology
cmdlet do PowerShell)
Allow Servidores de cluster estendidos Servidores de cluster estendidos N/D N/D

Atualizar o firewall do Microsoft Defender

Esta seção mostra como configurar o firewall do Microsoft Defender para permitir que endereços IP associados a uma marca de serviço se conectem ao sistema operacional. Uma marca de serviço representa um grupo de endereços IP de um determinado serviço do Azure. A Microsoft gerencia os endereços IP incluídos na marca de serviço e atualiza automaticamente a marca de serviço à medida que os endereços IP mudam para manter as atualizações no mínimo. Para saber mais, consulte Marcas de serviço de rede virtual.

  1. Baixe o arquivo JSON do seguinte recurso para o computador de destino que executa o sistema operacional: Intervalos de IP e Marcas de Serviço do Azure – Nuvem Pública.

  2. Use o seguinte comando do PowerShell para abrir o arquivo JSON:

    $json = Get-Content -Path .\ServiceTags_Public_20201012.json | ConvertFrom-Json
    
  3. Obtenha a lista de intervalos de endereços IP para uma determinada marca de serviço, como a AzureResourceManager marca de serviço:

    $IpList = ($json.values | where Name -Eq "AzureResourceManager").properties.addressPrefixes
    
  4. Importe a lista de endereços IP para o firewall corporativo externo, se você estiver usando uma lista de permissões com ele.

  5. Crie uma regra de firewall para cada servidor no cluster para permitir o tráfego 443 (HTTPS) de saída para a lista de intervalos de endereços IP:

    New-NetFirewallRule -DisplayName "Allow Azure Resource Manager" -RemoteAddress $IpList -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow -Profile Any -Enabled True
    

Próximas etapas

Para obter mais informações, consulte também:

  • A seção Firewall do Windows e portas do WinRM 2.0 de Instalação e configuração do Gerenciamento Remoto do Windows