Azure Stack Hub-szolgáltatások közzététele az adatközpontban
Az Azure Stack Hub virtuális IP-címeket (VIP-ket) állít be az infrastruktúra-szerepköreihez. Ezek a VIRTUÁLIS IP-címek a nyilvános IP-címkészletből vannak lefoglalva. Minden vipera hozzáférés-vezérlési listával (ACL) van védve a szoftveralapú hálózati rétegben. Az ACL-eket a fizikai kapcsolókon (TOR-ok és BMC-k) is használják a megoldás további megerősítéséhez. A rendszer létrehoz egy DNS-bejegyzést a külső DNS-zónában lévő minden végponthoz, amely az üzembe helyezés időpontjában van megadva. A felhasználói portálhoz például hozzá van rendelve a portál DNS-gazdagép-bejegyzése. <régióban>.<fqdn>.
Az alábbi architektúradiagram a különböző hálózati rétegeket és ACL-eket mutatja be:
Portok és URL-címek
Ha elérhetővé szeretné tenni az Azure Stack Hub-szolgáltatásokat (például a portálokat, az Azure Resource Manager, a DNS-t stb.) a külső hálózatok számára, engedélyeznie kell a végpontokra irányuló bejövő forgalmat adott URL-címekhez, portokhoz és protokollokhoz.
Olyan üzemelő példányban, ahol egy hagyományos proxykiszolgálóra vagy tűzfalra irányuló transzparens proxy-kimenő kapcsolat védi a megoldást, engedélyeznie kell bizonyos portokat és URL-címeket a bejövő és a kimenő kommunikációhoz is. Ezek közé tartoznak az identitáshoz, a piactérhez, a javításhoz és frissítéshez, a regisztrációhoz és a használati adatokhoz tartozó portok és URL-címek.
Az SSL-forgalom elfogása nem támogatott , és szolgáltatáshibákhoz vezethet a végpontok elérésekor.
Portok és protokollok (bejövő)
Az Azure Stack Hub-végpontok külső hálózatokon való közzétételéhez infrastruktúra-IP-címekre van szükség. Az Endpoint (VIP) tábla megjeleníti az egyes végpontokat, a szükséges portot és protokollt. Tekintse meg a további erőforrás-szolgáltatókat (például az SQL-erőforrás-szolgáltatót) igénylő végpontok adott erőforrás-szolgáltatói üzembehelyezési dokumentációját.
A belső infrastruktúra-IP-címek nem szerepelnek a listában, mert nem szükségesek az Azure Stack Hub közzétételéhez. A felhasználói IP-címek dinamikusak, és maguk a felhasználók határozzák meg, az Azure Stack Hub operátora nem szabályozható.
A bővítménygazda hozzáadásával a 12495–30015 közötti tartományba tartozó portok nem szükségesek.
| Végpont (VIP) | DNS-gazdagép A rekordja | Protokoll | Portok |
|---|---|---|---|
| AD FS | Adfs. <régióban>.<Fqdn> | HTTPS | 443 |
| Portál (rendszergazda) | Rendszergazdai jelentés. <régióban>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<régióban>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (rendszergazda) | Felügyelet. <régióban>.<Fqdn> | HTTPS | 443 |
| Portál (felhasználó) | Portál. <régióban>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (felhasználó) | Kezelése. <régióban>.<Fqdn> | HTTPS | 443 |
| Graph | Grafikon. <régióban>.<Fqdn> | HTTPS | 443 |
| Visszavont tanúsítványok listája | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <régióban>.<Fqdn> | TCP & UDP | 53 |
| Üzemeltetés | *.Hosting.<régióban>.<Fqdn> | HTTPS | 443 |
| Key Vault (felhasználó) | *.Vault. <régióban>.<Fqdn> | HTTPS | 443 |
| Key Vault (rendszergazda) | *.adminvault. <régióban>.<Fqdn> | HTTPS | 443 |
| Tárolási üzenetsor | *.Várólista. <régióban>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Table | *.Táblázat. <régióban>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Blob | *.Blob. <régióban>.<Fqdn> | HTTP HTTPS |
80 443 |
| SQL-erőforrás-szolgáltató | sqladapter.dbadapter. <régióban>.<Fqdn> | HTTPS | 44300-44304 |
| MySQL-erőforrás-szolgáltató | mysqladapter.dbadapter. <régióban>.<Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <régióban>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <régióban>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <régióban>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <régióban>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN-átjárók | IP Protocol 50 & UDP | Beágyazás biztonsági hasznos adat (ESP) IPSec & UDP 500 és 4500 |
Portok és URL-címek (kimenő)
Az Azure Stack Hub csak transzparens proxykiszolgálók használatát támogatja. A hagyományos proxykiszolgálóra irányuló transzparens proxykapcsolatú üzemelő példányokban engedélyeznie kell a portokat és URL-címeket az alábbi táblázatban a kimenő kommunikációhoz. További információ a transzparens proxykiszolgálók konfigurálásáról: Transzparens proxy az Azure Stack Hubhoz.
Az SSL-forgalom elfogása nem támogatott , és szolgáltatáshibákhoz vezethet a végpontok elérésekor. Az identitáshoz szükséges végpontokkal való kommunikáció maximális támogatott időtúllépése 60-as.
Megjegyzés
Az Azure Stack Hub nem támogatja az ExpressRoute használatát az alábbi táblázatban felsorolt Azure-szolgáltatások eléréséhez, mert előfordulhat, hogy az ExpressRoute nem tudja az összes végpontra irányítani a forgalmat.
| Cél | Cél URL-címe | Protokoll/portok | Forráshálózat | Követelmény |
|---|---|---|---|---|
|
Identitás Lehetővé teszi, hogy az Azure Stack Hub Microsoft Entra-azonosítóhoz csatlakozzon a felhasználói & szolgáltatás hitelesítéséhez. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Germany https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Nyilvános VIRTUÁLIS IP-cím – /27 Nyilvános infrastruktúra hálózata |
Csatlakoztatott üzembe helyezés esetén kötelező. |
|
Marketplace-szindikáció Lehetővé teszi, hogy elemeket töltsön le az Azure Stack Hubba a Marketplace-ről, és elérhetővé tegye őket az Azure Stack Hub-környezetet használó összes felhasználó számára. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Nyilvános VIRTUÁLIS IP-cím – /27 | Nem szükségesek. A leválasztott forgatókönyv utasításait követve töltsön fel képeket az Azure Stack Hubba. |
|
Javítás & frissítés Amikor frissítési végpontokhoz csatlakozik, az Azure Stack Hub szoftverfrissítései és gyorsjavításai letölthetőként jelennek meg. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Nyilvános VIRTUÁLIS IP-cím – /27 | Nem szükségesek. A leválasztott üzembehelyezési kapcsolatra vonatkozó utasítások segítségével manuálisan töltheti le és készítheti elő a frissítést. |
|
Regisztráció Lehetővé teszi, hogy regisztrálja az Azure Stack Hubot az Azure-ban Azure Marketplace elemek letöltéséhez és a Microsoftnak való kereskedelmi adatjelentés beállításához. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Nyilvános VIRTUÁLIS IP-cím – /27 | Nem szükségesek. A kapcsolat nélküli regisztrációhoz használhatja a leválasztott forgatókönyvet. |
|
Használat Lehetővé teszi, hogy az Azure Stack Hub-operátorok úgy konfigurálják az Azure Stack Hub-példányukat, hogy használati adatokat jelentsenek az Azure-nak. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Nyilvános VIRTUÁLIS IP-cím – /27 | Az Azure Stack Hub használatalapú licencelési modelljéhez szükséges. |
|
Windows Defender Lehetővé teszi, hogy a frissítési erőforrás-szolgáltató naponta többször is letöltse a kártevőirtó-definíciókat és a motorfrissítéseket. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Nyilvános VIRTUÁLIS IP-cím – /27 Nyilvános infrastruktúra hálózata |
Nem szükségesek. A leválasztott forgatókönyv használatával frissítheti a víruskereső aláírásfájljait. |
|
NTP Lehetővé teszi, hogy az Azure Stack Hub csatlakozzon az időkiszolgálókhoz. |
(Az üzembe helyezéshez megadott NTP-kiszolgáló IP-címe) | UDP 123 | Nyilvános VIRTUÁLIS IP-cím – /27 | Kötelező |
|
DNS Lehetővé teszi, hogy az Azure Stack Hub csatlakozzon a DNS-kiszolgálótovábbítóhoz. |
(AZ üzembe helyezéshez megadott DNS-kiszolgáló IP-címe) | TCP & UDP 53 | Nyilvános VIRTUÁLIS IP-cím – /27 | Kötelező |
|
SYSLOG Lehetővé teszi, hogy az Azure Stack Hub rendszernapló-üzenetet küldjön monitorozási vagy biztonsági célokra. |
(Az üzembe helyezéshez megadott SYSLOG-kiszolgáló IP-címe) | TCP 6514, UDP 514 |
Nyilvános VIRTUÁLIS IP-cím – /27 | Választható |
|
CRL Lehetővé teszi, hogy az Azure Stack Hub érvényesítse a tanúsítványokat, és ellenőrizze a visszavont tanúsítványokat. |
URL-cím a tanúsítványok CRL-terjesztési pontjai alatt | HTTP 80 | Nyilvános VIRTUÁLIS IP-cím – /27 | Kötelező |
|
CRL Lehetővé teszi, hogy az Azure Stack Hub érvényesítse a tanúsítványokat, és ellenőrizze a visszavont tanúsítványokat. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Nyilvános VIRTUÁLIS IP-cím – /27 | Nem szükségesek. Ajánlott biztonsági eljárások. |
|
LDAP Lehetővé teszi, hogy az Azure Stack Hub kommunikáljon a helyszíni Microsoft Active Directoryval. |
A Graph-integrációhoz biztosított Active Directory-erdő | TCP & UDP 389 | Nyilvános VIRTUÁLIS IP-cím – /27 | Az Azure Stack Hub AD FS használatával történő üzembe helyezésekor szükséges. |
|
LDAP SSL Lehetővé teszi, hogy az Azure Stack Hub titkosított módon kommunikáljon a helyszíni Microsoft Active Directoryval. |
A Graph-integrációhoz biztosított Active Directory-erdő | TCP 636 | Nyilvános VIRTUÁLIS IP-cím – /27 | Az Azure Stack Hub AD FS használatával történő üzembe helyezésekor szükséges. |
|
LDAP GC Lehetővé teszi, hogy az Azure Stack Hub kommunikáljon a Microsoft Active Global Catalog-kiszolgálókkal. |
A Graph-integrációhoz biztosított Active Directory-erdő | TCP 3268 | Nyilvános VIRTUÁLIS IP-cím – /27 | Az Azure Stack Hub AD FS használatával történő üzembe helyezésekor szükséges. |
|
LDAP GC SSL Lehetővé teszi, hogy az Azure Stack Hub titkosított módon kommunikáljon a Microsoft Active Directory globáliskatalógus-kiszolgálóival. |
A Graph-integrációhoz biztosított Active Directory-erdő | TCP 3269 | Nyilvános VIRTUÁLIS IP-cím – /27 | Az Azure Stack Hub AD FS használatával történő üzembe helyezésekor szükséges. |
|
AD FS Lehetővé teszi, hogy az Azure Stack Hub kommunikáljon a helyszíni AD FS-sel. |
Az AD FS-integrációhoz biztosított AD FS-metaadat-végpont | TCP 443 | Nyilvános VIRTUÁLIS IP-cím – /27 | Választható. Az AD FS jogcímszolgáltatói megbízhatósága metaadatfájllal hozható létre. |
|
Diagnosztikai naplók gyűjtése Lehetővé teszi, hogy az Azure Stack Hub proaktívan vagy manuálisan küldjön naplókat egy operátornak a Microsoft ügyfélszolgálatának. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Nyilvános VIRTUÁLIS IP-cím – /27 | Nem szükségesek. A naplókat helyileg is mentheti. |
|
Távoli támogatás Lehetővé teszi, hogy a Microsoft támogatási szakemberei gyorsabban oldják meg a támogatási eseteket azáltal, hogy lehetővé teszik az eszköz távoli elérését korlátozott hibaelhárítási és javítási műveletek végrehajtásához. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | Nyilvános VIRTUÁLIS IP-cím – /27 | Nem szükségesek. |
|
Telemetria Lehetővé teszi, hogy az Azure Stack Hub telemetriai adatokat küldjön a Microsoftnak. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comA 2108-es verziótól kezdve a következő végpontokra is szükség van: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Nyilvános VIRTUÁLIS IP-cím – /27 | Az Azure Stack Hub telemetriai adatainak engedélyezése esetén szükséges. |
A kimenő URL-címek terheléselosztása az Azure Traffic Managerrel történik, hogy a földrajzi hely alapján a lehető legjobb kapcsolatot nyújtsuk. Elosztott terhelésű URL-címek esetén a Microsoft az ügyfelek befolyásolása nélkül frissítheti és módosíthatja a háttérbeli végpontokat. A Microsoft nem osztja meg az elosztott terhelésű URL-címek IP-címeinek listáját. Ip-cím helyett URL-cím szerinti szűrést támogató eszközt használjon.
A kimenő DNS-t mindig kötelező megadni; a külső DNS-t lekérdező forrás és az identitásintegráció típusa változó. A csatlakoztatott forgatókönyv üzembe helyezése során a BMC-hálózaton található DVM-nek kimenő hozzáférésre van szüksége. Az üzembe helyezés után azonban a DNS-szolgáltatás egy belső összetevőre kerül, amely lekérdezéseket küld egy nyilvános VIRTUÁLIS IP-címen keresztül. Ekkor a BMC-hálózaton keresztüli kimenő DNS-hozzáférés eltávolítható, de a DNS-kiszolgáló nyilvános VIP-hozzáférésének meg kell maradnia, különben a hitelesítés sikertelen lesz.