Požadavky infrastruktury přímého směrování Azure
Tento článek popisuje podrobnosti o připojení k infrastruktuře, licencování a SBC (Session Border Controller), které chcete mít na paměti při plánování nasazení přímého směrování Azure.
Požadavky na infrastrukturu
Požadavky na infrastrukturu pro podporované sbc, domény a další požadavky na síťové připojení pro nasazení přímého směrování Azure jsou uvedené v následující tabulce:
| Požadavek na infrastrukturu | Potřebujete následující: |
|---|---|
| Řadič pro ohraničení relace (SBC) | Podporovaná SBC. Další informace naleznete v tématu Podporované sbcs. |
| Telefonní kmeny připojené k SBC | Jeden nebo více telefonních kmenů připojených k SBC. Na jednom konci se SBC připojí ke službě Azure Communication Service přes přímé směrování. SBC se také může připojit k telefonním entitám třetích stran, jako jsou pobočková ústředna, analogové telefonní adaptéry. Všechny možnosti připojení veřejné telefonní sítě (PSTN) připojené k SBC fungují. (Konfigurace kmenů veřejné telefonní sítě pro SBC najdete na dodavatelích SBC nebo poskytovatelích kmenů.) |
| Předplatné Azure | Předplatné Azure, které používáte k vytvoření prostředku komunikační služby, a konfiguraci a připojení k SBC. |
| Přístupový token komunikačních služeb | K volání potřebujete platný přístupový token s oborem voip . Zobrazit přístupové tokeny |
| Veřejná IP adresa pro SBC | Veřejná IP adresa, která se dá použít k připojení k SBC. Na základě typu SBC může SBC používat překlad adres (NAT). |
| Plně kvalifikovaný název domény (FQDN) pro SBC | Další informace najdete v tématu Certifikáty A názvy domén SBC. |
| Veřejná položka DNS pro SBC | Veřejná položka DNS, která mapuje plně kvalifikovaný název domény SBC na veřejnou IP adresu. |
| Veřejný důvěryhodný certifikát pro SBC | Certifikát pro SBC, který se použije pro veškerou komunikaci s přímým směrováním Azure. Další informace najdete v tématu Certifikáty A názvy domén SBC. |
| IP adresy a porty brány firewall pro signalizaci a média PROTOKOLU SIP | SBC komunikuje s následujícími službami v cloudu: SiP Proxy, který zpracovává signalizaci Procesor médií, který zpracovává média Tyto dvě služby mají v Microsoft Cloudu samostatné IP adresy popsané dále v tomto dokumentu. |
Certifikáty A názvy domén SBC
Microsoft doporučuje požádat o certifikát pro SBC žádostí o podepsání certifikátu (CSR). Konkrétní pokyny k vygenerování CSR pro SBC najdete v pokynech k propojení nebo dokumentaci od dodavatelů SBC.
Poznámka:
Většina certifikačních autorit (CA) vyžaduje, aby velikost privátního klíče byla minimálně 2048. Mějte na paměti při generování CSR.
Certifikát musí mít plně kvalifikovaný název domény SBC jako běžný název (CN) nebo pole alternativního názvu subjektu (SAN). Certifikát by měl být vydán přímo od certifikační autority, nikoli zprostředkujícího poskytovatele.
Případně přímé směrování komunikačních služeb podporuje zástupný znak v CN a/nebo SAN a zástupný znak musí odpovídat standardnímu dokumentu RFC HTTP over TLS.
Zákazníci, kteří už používají Office 365 a mají doménu zaregistrovanou v Správa Microsoftu 365 Center, můžou používat plně kvalifikovaný název domény SBC ze stejné domény.
Příkladem by bylo použití *.contoso.com, které by odpovídalo plně kvalifikovanému názvu domény sbc.contoso.comSBC , ale neodpovídá sbc.test.contoso.com.
Poznámka:
Plně kvalifikovaný název domény SBC v přímých směrování služby Azure Communication Services se musí lišit od plně kvalifikovaného názvu domény SBC v přímém směrování Teams.
Komunikační služby důvěřují pouze certifikátům podepsaným certifikačními autoritami(CA), které jsou součástí programu Microsoft Trusted Root Certificate Program. Ujistěte se, že certifikát SBC podepsala certifikační autorita, která je součástí programu, a že rozšíření Rozšířené použití klíče (EKU) vašeho certifikátu zahrnuje ověřování serveru. Další informace:
Požadavky na program – Důvěryhodný kořenový program Microsoftu
Seznam zahrnutých certifikátů certifikační autority
Důležité
Přímé směrování služeb Azure Communication Services podporuje pouze protokol TLS 1.2. Abyste se vyhnuli dopadu na službu, ujistěte se, že jsou vaše sbcs nakonfigurované tak, aby podporovaly protokol TLS1.2, a připojte se pomocí jedné z následujících šifrovacích sad pro signalizaci PROTOKOLU SIP:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 tj. ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 tj. ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 tj. ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 tj. ECDHE-RSA-AES128-SHA256
Pro médium SRTP se podporuje pouze AES_CM_128_HMAC_SHA1_80.
Párování SBC funguje na úrovni prostředků komunikační služby. Znamená to, že můžete párovat mnoho sbc s jedním prostředkem komunikačních služeb. Přesto nemůžete spárovat jeden SBC s více než jedním prostředkem služby Communication Services. Pro párování s různými prostředky se vyžadují jedinečné plně kvalifikované názvy domén SBC.
Pokud je pro přímé připojení směrování na SBC povolená podpora vzájemného protokolu TLS (MTLS), musíte nainstalovat certifikáty Baltimore CyberTrust Root a DigiCert Global Root G2 v důvěryhodném úložišti SBC kontextu TLS přímého směrování. (Důvodem je to, že certifikáty služby Microsoftu používají jeden z těchto dvou kořenových certifikátů.) Pokud si chcete stáhnout tyto kořenové certifikáty, přečtěte si téma Řetězy šifrování Office 365. Další informace najdete v tématu Změny certifikátu TLS pro Office.
Signalizace SIP: Plně kvalifikované názvy domén
Spojovací body pro přímé směrování komunikačních služeb jsou následující tři plně kvalifikované názvy domén:
- sip.pstnhub.microsoft.com – globální plně kvalifikovaný název domény – se musí nejprve vyzkoušet. Když SBC odešle žádost o překlad tohoto názvu, servery MICROSOFT Azure DNS vrátí IP adresu, která odkazuje na primární datové centrum Azure přiřazené K SBC. Přiřazení vychází z metrik výkonu datových center a geografické blízkosti SBC. Vrácená IP adresa odpovídá primárnímu plně kvalifikovanému názvu domény.
- sip2.pstnhub.microsoft.com – sekundární plně kvalifikovaný název domény – geograficky se mapuje na druhou oblast priority.
- sip3.pstnhub.microsoft.com – terciární plně kvalifikovaný název domény – geograficky mapuje na oblast třetí priority.
Tyto tři plně kvalifikované názvy domén jsou potřeba pro:
- Poskytněte optimální prostředí (méně načtené a nejblíže k datacentru SBC přiřazené dotazováním prvního plně kvalifikovaného názvu domény).
- Poskytnutí převzetí služeb při selhání při navázání připojení z SBC k datacentru, u kterého dochází k dočasnému problému. Další informace najdete v tématu Mechanismus převzetí služeb při selhání.
Plně kvalifikované názvy domén – sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com a sip3.pstnhub.microsoft.com – se přeloží na jednu z následujících IP adres:
52.112.0.0/14 (IP addresses from 52.112.0.0 to 52.115.255.255)52.120.0.0/14 (IP addresses from 52.120.0.0 to 52.123.255.255)
Otevřete porty brány firewall pro všechny tyto rozsahy IP adres, abyste umožnili příchozí a odchozí provoz do a z adres pro signalizaci.
Signalizace SIP: Porty
Pro přímé směrování Azure pro komunikační služby použijte následující porty:
| Provoz | Z | Záměr | Zdrojový port | Cílový port |
|---|---|---|---|---|
| SIP/TLS | SIP Proxy | SBC | 1024–65535 | Definováno na SBC |
| SIP/TLS | SBC | SIP Proxy | Definováno na SBC | 5061 |
Mechanismus převzetí služeb při selhání pro signalizaci SIP
SBC vytvoří dotaz DNS pro překlad sip.pstnhub.microsoft.com. V závislosti na umístění SBC a metrikách výkonu datacentra se vybere primární datové centrum. Pokud dojde k problému primárního datacentra, pokusí se SBC sip2.pstnhub.microsoft.com, který se přeloží na druhé přiřazené datové centrum, a ve výjimečných případech, kdy datacentra ve dvou oblastech nejsou dostupná, SBC zkusí poslední plně kvalifikovaný název domény (sip3.pstnhub.microsoft.com), který poskytuje IP adresu terciárního datacentra.
Přenosy médií: ROZSAHY IP adres a portů
Provoz médií proudí do a z samostatné služby označované jako Procesor médií. RozsahyIPch
52.112.0.0/14 (IP addresses from 52.112.0.0 to 52.115.255.255)52.120.0.0/14 (IP addresses from 52.120.0.0 to 52.123.255.255)
Rozsahy portů
Rozsahy portů procesorů médií jsou uvedené v následující tabulce:
| Provoz | Z | Záměr | Zdrojový port | Cílový port |
|---|---|---|---|---|
| UDP/SRTP | Procesor médií | SBC | 49152–53247 | Definováno na SBC |
| UDP/SRTP | SBC | Procesor médií | Definováno na SBC | 49152–53247 |
Poznámka:
Microsoft doporučuje alespoň dva porty na souběžné volání SBC.
Mediální provoz: Zeměpisná oblast procesorů médií
Procesory médií jsou umístěny ve stejných datacentrech jako proxy servery SIP:
- NOAM (USA – střed, dva v datacentrech USA – západ a USA – východ)
- Evropa (ZÁPADNÍ EU, SEVERNÍ, Švédsko, Francie – střed)
- Asie (datacentrum Singapuru)
- Japonsko (datacentra JP – východ a západ)
- Austrálie (datacentra AU – východ a jihovýchod)
- LATAM (Brazílie – jih)
- Afrika (Jižní Afrika – sever)
Mediální provoz: Kodeky
Noha mezi SBC a cloudovým procesorem médií.
Rozhraní přímého směrování Azure na noze mezi řadičem pro ohraničení relace a cloudovým procesorem médií může používat následující kodeky:
- SILK, G.711, G.722, G.729
Použití konkrétního kodeku na řadiči ohraničení relace můžete vynutit vyloučením nežádoucích kodeků z nabídky.
Leg between Communication Services Calling SDK app and Cloud Media Processor
Na noze mezi cloudovým procesorem médií a aplikací SDK pro volání komunikačních služeb se používá G.722. Pracujeme na přidávání dalších kodeků na tuto nohu.
Podporované řadiče ohraničení relací (SBCS)
Další kroky
Koncepční dokumentace
- Koncept telefonie
- Telefon číselné typy ve službě Azure Communication Services
- Spárování kontroleru ohraničení relace a konfigurace hlasového směrování
- Přehled automatizace volání
- Ceny