Publikování služeb Azure Stack Hub ve vašem datacentru – Modular Data Center (MDC)

Azure Stack Hub nastavuje virtuální IP adresy (VIPs) pro své role infrastruktury. Tyto VIRTUÁLNÍ IP adresy se přidělují z veřejného fondu IP adres. Každá virtuální IP adresa je zabezpečená pomocí seznamu řízení přístupu (ACL) v softwarově definované síťové vrstvě. Seznamy ACL se také používají napříč fyzickými přepínači (TOR a BMC) k dalšímu posílení řešení. Pro každý koncový bod v externí zóně DNS, která je zadaná v době nasazení, se vytvoří položka DNS. Například uživatelskému portálu se přiřadí položka hostitele DNS portálu. <oblast>.< fqdn>.

Následující diagram architektury znázorňuje různé síťové vrstvy a seznamy ACL:

Diagram showing different network layers and ACLs

Porty a adresy URL

Pokud chcete, aby byly služby Azure Stack Hub (jako portály, Azure Resource Manager, DNS atd.) dostupné pro externí sítě, musíte povolit příchozí provoz do těchto koncových bodů pro konkrétní adresy URL, porty a protokoly.

V nasazení, kde transparentní odesílání proxy serveru na tradiční proxy server nebo brána firewall chrání řešení, musíte povolit konkrétní porty a adresy URL pro příchozí i odchozí komunikaci. Patří sem porty a adresy URL pro identitu, marketplace, opravu a aktualizaci, registraci a data o využití.

Zachycování provozu SSL se nepodporuje a může vést k selháním služeb při přístupu ke koncovým bodům.

Porty a protokoly (příchozí)

K publikování koncových bodů služby Azure Stack Hub do externích sítí se vyžaduje sada virtuálních IP adres infrastruktury. Tabulka Endpoint (VIP) zobrazuje každý koncový bod, požadovaný port a protokol. Projděte si dokumentaci ke konkrétnímu nasazení poskytovatele prostředků pro koncové body, které vyžadují další poskytovatele prostředků, jako je SQL poskytovatel prostředků.

Interní IP adresy infrastruktury nejsou uvedené, protože nejsou potřeba k publikování služby Azure Stack Hub. Virtuální IP adresy uživatelů jsou dynamické a definované samotnými uživateli bez kontroly operátorem služby Azure Stack Hub.

Poznámka

IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá port UDP 500 a 4500 a port TCP 50. Brány firewall tyto porty neotevře vždy, takže síť VPN IKEv2 nemusí být schopná procházet proxy servery a brány firewall.

S přidáním hostitele rozšíření se porty v rozsahu 12495–30015 nevyžadují.

Koncový bod (VIP) Záznam hostitele DNS A Protokol Porty
AD FS Adfs. <oblast>.< Fqdn> HTTPS 443
Portál (správce) Adminportal. <oblast>.< Fqdn> HTTPS 443
Adminhosting *.adminhosting.< oblast>.< Fqdn> HTTPS 443
Azure Resource Manager (správce) Správa. <oblast>.< Fqdn> HTTPS 443
Portál (uživatel) Portál. <oblast>.< Fqdn> HTTPS 443
Azure Resource Manager (uživatel) Správa. <oblast>.< Fqdn> HTTPS 443
Graph Graph. <oblast>.< Fqdn> HTTPS 443
Seznam odvolaných certifikátů Crl.region<.<> Fqdn> HTTP 80
DNS *. <oblast>.< Fqdn> TCP & UDP 53
Hostování *.hosting.< oblast>.< Fqdn> HTTPS 443
Key Vault (uživatel) *.vault. <oblast>.< Fqdn> HTTPS 443
Key Vault (správce) *.adminvault. <oblast>.< Fqdn> HTTPS 443
Fronta úložiště *.queue. <oblast>.< Fqdn> HTTP
HTTPS
80
443
tabulka Storage *.table. <oblast>.< Fqdn> HTTP
HTTPS
80
443
Storage Blob *.blob. <oblast>.< Fqdn> HTTP
HTTPS
80
443
poskytovatel prostředků SQL sqladapter.dbadapter. <oblast>.< Fqdn> HTTPS 44300-44304
Poskytovatel prostředků MySQL mysqladapter.dbadapter. <oblast>.< Fqdn> HTTPS 44300-44304
App Service *.appservice. <oblast>.< Fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <oblast>.< Fqdn> TCP 443 (HTTPS)
api.appservice. <oblast>.< Fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. <oblast>.< Fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Brány VPN Gateway Podívejte se na nejčastější dotazy ke službě VPN Gateway.

Porty a adresy URL (odchozí)

Azure Stack Hub podporuje pouze transparentní proxy servery. V nasazení s transparentním odesíláním proxy serveru na tradiční proxy server musíte povolit porty a adresy URL v následující tabulce pro odchozí komunikaci. Další informace o konfiguraci transparentních proxy serverů najdete v tématu [Transparentní proxy server pro Azure Stack Hub](.. /.. /operator/azure-stack-transparent-proxy.md).

Zachytávání provozu SSL se nepodporuje a může vést k selháním služeb při přístupu ke koncovým bodům. Maximální podporovaný časový limit pro komunikaci s koncovými body vyžadovanými pro identitu je 60s.

Poznámka

Azure Stack Hub nepodporuje použití ExpressRoute k dosažení služeb Azure uvedených v následující tabulce, protože ExpressRoute nemusí být schopen směrovat provoz do všech koncových bodů.

Účel Cílová adresa URL Protokol / porty Zdrojová síť Požadavek
Identita
Umožňuje službě Azure Stack Hub připojit se k Azure Active Directory pro ověřování uživatelských & služeb.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure (Německo)
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Veřejná VIRTUÁLNÍ IP adresa – /27
Síť veřejné infrastruktury
Povinné pro připojené nasazení.
Syndikace Marketplace
Umožňuje stahovat položky do služby Azure Stack Hub z Marketplace a zpřístupnit je všem uživatelům pomocí prostředí Služby Azure Stack Hub.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 Veřejná VIRTUÁLNÍ IP adresa – /27 Nevyžadují se. Pomocí pokynů k odpojeným scénářům nahrajte image do služby Azure Stack Hub.
Aktualizace oprav &
Při připojení ke koncovým bodům aktualizace se aktualizace softwaru a opravy hotfix služby Azure Stack Hub zobrazí jako dostupné ke stažení.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Veřejná VIRTUÁLNÍ IP adresa – /27 Nevyžadují se. K ručnímu stažení a přípravě aktualizace použijte pokyny pro odpojené připojení k nasazení .
Registrace
Umožňuje zaregistrovat službu Azure Stack Hub do Azure, abyste si stáhli Azure Marketplace položky a nastavili sestavy obchodních dat zpět do Microsoftu.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
HTTPS 443 Veřejná VIRTUÁLNÍ IP adresa – /27 Nevyžadují se. Pro offline registraci můžete použít odpojený scénář.
Použití
Umožňuje operátorům služby Azure Stack Hub nakonfigurovat instanci služby Azure Stack Hub tak, aby hlásili data o využití do Azure.
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
HTTPS 443 Veřejná VIRTUÁLNÍ IP adresa – /27 Vyžaduje se pro model licencování založený na spotřebě služby Azure Stack Hub.
Windows Defender
Umožňuje poskytovateli prostředků aktualizace stahovat antimalwarové definice a aktualizace modulu několikrát denně.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Veřejná VIRTUÁLNÍ IP adresa – /27
Síť veřejné infrastruktury
Nevyžadují se. Odpojený scénář můžete použít k aktualizaci souborů antivirového podpisu.
NTP
Umožňuje službě Azure Stack Hub připojit se k časovým serverům.
(IP adresa serveru NTP poskytovaná pro nasazení) UDP 123 Veřejná VIRTUÁLNÍ IP adresa – /27 Vyžadováno
DNS
Umožňuje službě Azure Stack Hub připojit se k předávání serverů DNS.
(IP adresa serveru DNS poskytovaná pro nasazení) TCP & UDP 53 Veřejná VIRTUÁLNÍ IP adresa – /27 Vyžadováno
SYSLOG
Umožňuje službě Azure Stack Hub odesílat zprávu syslogu pro účely monitorování nebo zabezpečení.
(IP adresa serveru SYSLOG poskytovaná pro nasazení) TCP 6514,
UDP 514
Veřejná VIRTUÁLNÍ IP adresa – /27 Volitelné
SEZNAMU CRL
Umožňuje službě Azure Stack Hub ověřovat certifikáty a kontrolovat odvolané certifikáty.
(Adresa URL v distribučních bodech seznamu CRL na vašem certifikátu)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Veřejná VIRTUÁLNÍ IP adresa – /27 Nevyžadují se. Osvědčený postup zabezpečení se důrazně doporučuje.
LDAP
Umožňuje službě Azure Stack Hub komunikovat s místní službou Microsoft Active Directory.
Doménová struktura služby Active Directory poskytovaná pro integraci Graph TCP & UDP 389 Veřejná VIRTUÁLNÍ IP adresa – /27 Vyžadováno při nasazení služby Azure Stack Hub pomocí služby AD FS.
LDAP SSL
Umožňuje službě Azure Stack Hub komunikovat šifrovaně s místní službou Microsoft Active Directory.
Doménová struktura služby Active Directory poskytovaná pro integraci Graph TCP 636 Veřejná VIRTUÁLNÍ IP adresa – /27 Vyžadováno při nasazení služby Azure Stack Hub pomocí služby AD FS.
Uvolňování paměti PROTOKOLU LDAP
Umožňuje službě Azure Stack Hub komunikovat se servery Microsoft Active Global Catalog.
Doménová struktura služby Active Directory poskytovaná pro integraci Graph TCP 3268 Veřejná VIRTUÁLNÍ IP adresa – /27 Vyžadováno při nasazení služby Azure Stack Hub pomocí služby AD FS.
LDAP GC SSL
Umožňuje službě Azure Stack Hub komunikovat šifrované se servery globálního katalogu Microsoft Active Directory.
Doménová struktura služby Active Directory poskytovaná pro integraci Graph TCP 3269 Veřejná VIRTUÁLNÍ IP adresa – /27 Vyžadováno při nasazení služby Azure Stack Hub pomocí služby AD FS.
AD FS
Umožňuje službě Azure Stack Hub komunikovat s místní službou AD FS.
Koncový bod metadat služby AD FS zadaný pro integraci služby AD FS TCP 443 Veřejná VIRTUÁLNÍ IP adresa – /27 Nepovinný parametr. Vztah důvěryhodnosti zprostředkovatele deklarací identity služby AD FS lze vytvořit pomocí souboru metadat.
Shromažďování diagnostických protokolů
Umožňuje službě Azure Stack Hub odesílat protokoly buď proaktivně, nebo ručně operátorem na podporu Microsoftu.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Veřejná VIRTUÁLNÍ IP adresa – /27 Nevyžadují se. Protokoly můžete ukládat místně.

Odchozí adresy URL jsou s vyrovnáváním zatížení s využitím Azure Traffic Manageru k zajištění nejlepšího možného připojení na základě zeměpisné polohy. S adresami URL s vyrovnáváním zatížení může Microsoft aktualizovat a měnit koncové body back-endu, aniž by to mělo vliv na zákazníky. Microsoft nesdílí seznam IP adres pro adresy URL s vyrovnáváním zatížení. Použijte zařízení, které podporuje filtrování podle adresy URL, a ne podle IP adresy.

Odchozí DNS se vyžaduje vždy; liší se tím, že se zdroj dotazuje na externí DNS a jaký typ integrace identity byl zvolen. Během nasazování pro připojený scénář potřebuje DVM, který se nachází v síti řadiče pro správu základní desky, odchozí přístup. Po nasazení se ale služba DNS přesune do interní komponenty, která bude odesílat dotazy prostřednictvím veřejné virtuální IP adresy. V té době je možné odchozí přístup DNS prostřednictvím sítě řadiče pro správu základní desky odebrat, ale veřejný přístup virtuální IP adresy k ho serveru DNS musí zůstat nebo jinak ověření selže.

Další kroky

Požadavky na pki služby Azure Stack Hub