Publicación de servicios de Azure Stack Hub en el centro de datos
Azure Stack Hub configura direcciones IP virtuales (VIP) para sus roles de infraestructura. Estas VIP se asignan desde el grupo de direcciones IP públicas. Cada VIP está protegida con una lista de control de acceso (ACL) en el nivel de red definido por software. Las ACL también se usan en los conmutadores físicos (Tor y BMC) para proteger aún más la solución. Se crea una entrada DNS para cada punto de conexión de la zona DNS externa que se haya especificado durante la implementación. Por ejemplo, el portal de usuarios se asigna a la entrada de host de DNS de portal.<region>.<fqdn>.
En el siguiente diagrama de arquitectura se muestran los diferentes niveles de red y ACL:
Puertos y direcciones URL
Para que los servicios de Azure Stack Hub (como los portales, Azure Resource Manager, DNS, etc.) estén disponible para las redes externas, debe permitir el tráfico entrante en estos puntos de conexión procedente de direcciones URL, puertos y protocolos específicos.
En una implementación en la que un proxy transparente establece un vínculo superior a un servidor proxy tradicional o un firewall protege la solución, debe permitir puertos y direcciones URL concretos para la comunicación entrante y saliente. Aquí se incluyen puertos y direcciones URL de identidad, productos de Marketplace, revisiones y actualizaciones y datos de uso.
No se admite la interceptación de tráfico SSL y puede provocar errores de servicio cuando se accede a los puntos de conexión.
Puertos y protocolos (de entrada)
Se requiere un conjunto de direcciones IP virtuales de infraestructura para publicar puntos de conexión de Azure Stack Hub en redes externas. La tabla Punto de conexión (VIP) se muestra cada punto de conexión, el puerto requerido y el protocolo. Consulte la documentación de implementación de proveedor de recursos específica para los puntos de conexión que requieren proveedores de recursos adicionales, como el proveedor de recursos de SQL.
Las direcciones IP virtuales de infraestructura interna no se indican porque no son necesarias para la publicación de Azure Stack Hub. Las direcciones IP virtuales de usuario son dinámicas y están definidas por los propios usuarios, sin ningún control por parte del operador de Azure Stack Hub.
Con la adición del host de extensiones, no se requieren puertos en el intervalo 12495-30015.
Punto de conexión (VIP) | Registro de host DNS A | Protocolo | Puertos |
---|---|---|---|
AD FS | Adfs.<región>.<fqdn> | HTTPS | 443 |
Portal (administrador) | Adminportal.<region>.<fqdn> | HTTPS | 443 |
Adminhosting | *.adminhosting.<región>.<fqdn> | HTTPS | 443 |
Azure Resource Manager (administrador) | Adminmanagement.<región>.<fqdn> | HTTPS | 443 |
Portal (usuario) | Portal.<region>.<fqdn> | HTTPS | 443 |
Azure Resource Manager (usuario) | Management.<región>.<fqdn> | HTTPS | 443 |
Grafo | Graph.<region>.<fqdn> | HTTPS | 443 |
Lista de revocación de certificados | Crl.<región>.<fqdn> | HTTP | 80 |
DNS | *.<región>.<fqdn> | TCP y UDP | 53 |
Hospedaje | *.hosting.<región>.<fqdn> | HTTPS | 443 |
Key Vault (usuario) | *.vault.<region>.<fqdn> | HTTPS | 443 |
Key Vault (administrador) | *.adminvault.<region>.<fqdn> | HTTPS | 443 |
Cola de almacenamiento | *.queue.<region>.<fqdn> | HTTP HTTPS |
80 443 |
Tabla de almacenamiento | *.table.<region>.<fqdn> | HTTP HTTPS |
80 443 |
Storage Blob | *.blob.<region>.<fqdn> | HTTP HTTPS |
80 443 |
Proveedor de recursos SQL | sqladapter.dbadapter.<región>.<fqdn> | HTTPS | 44300-44304 |
Proveedor de recursos MySQL | mysqladapter.dbadapter.<región>.<fqdn> | HTTPS | 44300-44304 |
App Service | *.appservice.región>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
*.scm.appservice.región>.<fqdn> | TCP | 443 (HTTPS) | |
api.appservice.región>.<fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
ftp.appservice.región>.<fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
Puertas de enlace de VPN | Protocolo IP 50 y UDP | IPSec y UDP 500 y 4500 de carga de seguridad de encapsulación |
Puertos y direcciones URL (de salida)
Azure Stack Hub solo admite servidores proxy transparentes. En una implementación en la que un proxy transparente establece un vínculo superior a un servidor proxy tradicional, debe permitir los siguientes puertos y direcciones URL para la comunicación saliente. Para más información sobre la configuración de servidores proxy transparentes, consulte Proxy transparente para Azure Stack Hub.
No se admite la interceptación de tráfico SSL y puede provocar errores de servicio cuando se accede a los puntos de conexión. El tiempo de expiración máximo admitido para comunicarse con los puntos de conexión necesarios para la identidad es de 60 s.
Nota
Azure Stack Hub no admite el uso de ExpressRoute para acceder a los servicios de Azure que se enumeran en la tabla siguiente porque ExpressRoute no puede enrutar el tráfico a todos los puntos de conexión.
Propósito | Dirección URL de destino | Protocolo / puertos | Red de origen | Requisito |
---|---|---|---|---|
Identidad Permite que Azure Stack Hub se conecte al identificador de Microsoft Entra para la autenticación del servicio de & de usuario. |
Azurelogin.windows.net login.microsoftonline.com graph.windows.net https://secure.aadcdn.microsoftonline-p.com www.office.com ManagementServiceUri = https://management.core.windows.net ARMUri = https://management.azure.com https://*.msftauth.net https://*.msauth.net https://*.msocdn.com Azure Government https://login.microsoftonline.us/ https://graph.windows.net/ Azure China 21Vianet https://login.chinacloudapi.cn/ https://graph.chinacloudapi.cn/ Azure Alemania https://login.microsoftonline.de/ https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
VIP pública - /27 Red de la infraestructura pública |
Obligatorio para una implementación conectada. |
Redifusión de Marketplace Le permite descargar elementos de Marketplace en Azure Stack Hub y hacer que estén disponibles para todos los usuarios mediante el entorno de Azure Stack Hub. |
Azurehttps://management.azure.com https://*.blob.core.windows.net https://*.azureedge.net Azure Government https://management.usgovcloudapi.net/ https://*.blob.core.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn/ http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | VIP pública - /27 | No se requiere. Use las instrucciones de escenarios desconectados para cargar imágenes en Azure Stack Hub. |
Revisión y actualización Cuando se conecta a los puntos de conexión de actualización, las actualizaciones y revisiones aparecen como disponibles para su descarga. |
https://*.azureedge.net https://aka.ms/azurestackautomaticupdate |
HTTPS 443 | VIP pública - /27 | No se requiere. Utilice las instrucciones de conexión de la implementación desconectada para descargar y preparar manualmente la actualización. |
Registro Le permite registrar Azure Stack Hub en Azure para descargar elementos de Marketplace de Azure y configurar informes de datos comerciales para Microsoft. |
Azurehttps://management.azure.com Azure Government https://management.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | VIP pública - /27 | No se requiere. Puede usar el escenario desconectado para el registro sin conexión. |
Uso Permite a los operadores de Azure Stack Hub configurar su instancia de Azure Stack Hub para informar de los datos de uso a Azure. |
Azurehttps://*.trafficmanager.net https://*.cloudapp.azure.com Azure Government https://*.usgovtrafficmanager.net https://*.cloudapp.usgovcloudapi.net Azure China 21Vianet https://*.trafficmanager.cn https://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | VIP pública - /27 | Se requiere para el modelo de licencias basado en el consumo de Azure Stack Hub. |
Windows Defender Permite al proveedor de recursos de actualización descargar las definiciones de antimalware y las actualizaciones del motor varias veces al día. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com *.update.microsoft.com *.download.microsoft.com https://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | VIP pública - /27 Red de la infraestructura pública |
No se requiere. Puede usar el escenario desconectado para actualizar los archivos de firma de antivirus. |
NTP Permite a Azure Stack Hub conectarse a los servidores horarios. |
(Se proporciona la dirección IP del servidor NTP para la implementación) | UDP 123 | VIP pública - /27 | Obligatorio |
DNS Permite a Azure Stack Hub conectarse al reenviador del servidor DNS. |
(Se proporciona la dirección IP del servidor DNS para la implementación) | TCP y UDP 53 | VIP pública - /27 | Obligatorio |
SYSLOG Permite que Azure Stack Hub envíe un mensaje de syslog con fines de supervisión o seguridad. |
(Se proporciona la dirección IP del servidor de SYSLOG para la implementación) | TCP 6514, UDP 514 |
VIP pública - /27 | Opcional |
CRL Permite que Azure Stack Hub valide los certificados y compruebe si hay certificados revocados. |
Dirección URL de los puntos de distribución de CRL de los certificados | HTTP 80 | VIP pública - /27 | Obligatorio |
CRL Permite que Azure Stack Hub valide los certificados y compruebe si hay certificados revocados. |
http://crl.microsoft.com/pki/crl/products http://mscrl.microsoft.com/pki/mscorp http://www.microsoft.com/pki/certs http://www.microsoft.com/pki/mscorp http://www.microsoft.com/pkiops/crl http://www.microsoft.com/pkiops/certs |
HTTP 80 | VIP pública - /27 | No se requiere. Procedimiento recomendado de seguridad. |
LDAP Permite que Azure Stack Hub se comunique con Microsoft Active Directory local. |
Bosque de Active Directory proporcionado para la integración con Graph | TCP y UDP 389 | VIP pública - /27 | Obligatorio cuando se implementa Azure Stack Hub mediante AD FS. |
SSL de LDAP Permite que Azure Stack Hub se comunique de forma cifrada con Microsoft Active Directory local. |
Bosque de Active Directory proporcionado para la integración con Graph | TCP 636 | VIP pública - /27 | Obligatorio cuando se implementa Azure Stack Hub mediante AD FS. |
GC DE LDAP Permite que Azure Stack Hub se comunique con los servidores de catálogo global de Microsoft Active Directory. |
Bosque de Active Directory proporcionado para la integración con Graph | TCP 3268 | VIP pública - /27 | Obligatorio cuando se implementa Azure Stack Hub mediante AD FS. |
SSL de GC de LDAP Permite que Azure Stack Hub se comunique de forma cifrada con los servidores de catálogo global de Microsoft Active Directory. |
Bosque de Active Directory proporcionado para la integración con Graph | TCP 3269 | VIP pública - /27 | Obligatorio cuando se implementa Azure Stack Hub mediante AD FS. |
AD FS Permite que Azure Stack Hub se comunique con AD FS local. |
Punto de conexión de metadatos de AD FS proporcionado para la integración con AD FS | TCP 443 | VIP pública - /27 | Opcional. El proveedor de notificaciones de AD FS se puede crear mediante un archivo de metadatos. |
Recopilación de registros de diagnóstico Permite que Azure Stack Hub envíe registros de forma proactiva o manual mediante un operador al servicio de soporte técnico de Microsoft. |
https://*.blob.core.windows.net https://azsdiagprdlocalwestus02.blob.core.windows.net https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | VIP pública - /27 | No se requiere. Puede guardar los registros localmente. |
Soporte técnico remoto Permite a los profesionales de soporte técnico de Microsoft resolver casos de soporte técnico más rápidamente al permitir el acceso al dispositivo de forma remota para realizar operaciones limitadas de solución de problemas y reparación. |
https://edgesupprd.trafficmanager.net https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com *.servicebus.windows.net |
HTTPS 443 | VIP pública - /27 | No se requiere. |
Telemetría Permite a Azure Stack Hub enviar datos de telemetría a Microsoft. |
https://settings-win.data.microsoft.com https://login.live.com *.events.data.microsoft.com A partir de la versión 2108, también se requieren los siguientes puntos de conexión: https://*.blob.core.windows.net/ https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | VIP pública - /27 | Se requiere cuando la telemetría de Azure Stack Hub está habilitada. |
Las direcciones URL de salida tienen equilibrio de carga mediante Azure Traffic Manager para proporcionar la mejor conectividad posible basada en la ubicación geográfica. Con las direcciones URL con equilibrio de carga, Microsoft puede actualizar y cambiar los puntos de conexión de back-end sin que ello afecte a los usuarios. Microsoft no comparte la lista de direcciones IP para las direcciones URL con equilibrio de carga. Debe usar un dispositivo que admita el filtrado por dirección URL, en lugar de por dirección IP.
El DNS de salida se necesita en todo momento, lo que varía es el origen que consulta el DNS externo y el tipo de integración de identidad que se ha elegido. Durante la implementación de un escenario conectado, el DVM que se encuentra en la red de BMC necesita acceso de salida. Pero después de la implementación, el servicio DNS se traslada a un componente interno que enviará las consultas a través de una dirección IP virtual pública. En ese momento, se puede quitar el acceso DNS de salida a través de la red BMC, pero el acceso de la IP virtual pública a ese servidor DNS debe permanecer o, de lo contrario, la autenticación producirá un error.