Terbitkan layanan Azure Stack Hub di pusat data Anda
Azure Stack Hub menyiapkan alamat IP virtual (VIP) untuk peran infrastrukturnya. VIP ini dialokasikan dari kumpulan alamat IP publik. Setiap VIP diamankan dengan daftar kontrol akses (ACL) di lapisan jaringan yang ditentukan perangkat lunak. ACL juga digunakan di seluruh sakelar fisik (TOR dan BMC) untuk lebih memperkuat solusi. Entri DNS dibuat untuk setiap titik akhir di zona DNS eksternal yang ditentukan pada saat penyebaran. Misalnya, portal pengguna diberi entri host DNS portal.<region>.<fqdn>.
Diagram arsitektural berikut menunjukkan lapisan jaringan dan ACL yang berbeda:
Port dan URL
Untuk membuat layanan Azure Stack Hub (seperti portal, Azure Resource Manager, DNS, dan sebagainya) tersedia untuk jaringan eksternal, Anda harus mengizinkan lalu lintas masuk ke titik akhir ini untuk URL, port, dan protokol tertentu.
Dalam penyebaran tempat proksi transparan terhubung ke server proksi tradisional atau firewall melindungi solusi, Anda harus mengizinkan port dan URL tertentu untuk komunikasimasuk dan keluar. Termasuk port dan URL untuk identitas, marketplace, patch dan pembaruan, pendaftaran, dan data penggunaan.
Intersepsi lalu lintas SSL tidak didukung dan dapat menyebabkan kegagalan layanan saat mengakses titik akhir.
Port dan protokol (masuk)
Satu set VIP infrastruktur diperlukan untuk menerbitkan titik akhir Azure Stack Hub ke jaringan eksternal. Tabel Titik akhir (VIP) menampilkan setiap titik akhir, port yang diperlukan, dan protokol. Lihat dokumentasi penyebaran penyedia sumber tertentu untuk titik akhir yang memerlukan penyedia sumber tambahan, seperti penyedia sumber SQL.
VIP infrastruktur internal tidak tercantum karena tidak diperlukan untuk menerbitkan Azure Stack Hub. VIP pengguna bersifat dinamis dan ditentukan oleh pengguna itu sendiri, tanpa kontrol oleh operator Azure Stack Hub.
Dengan tambahan Host Ekstensi, ports dalam rentang 12495-30015 tidak diperlukan.
| Titik akhir (VIP) | Rekaman DNS host A | Protokol | Port |
|---|---|---|---|
| Layanan Federasi Direktori Aktif | Adfs.<region>.<fqdn> | HTTPS | 443 |
| Portal (administrator) | Adminportal.<region>.<fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<region>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (administrator) | Adminmanagement.<region>.<fqdn> | HTTPS | 443 |
| Portal (pengguna) | Portal.<region>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (pengguna) | Management.<region>.<fqdn> | HTTPS | 443 |
| Graph | Graph.<region>.<fqdn> | HTTPS | 443 |
| Daftar pencabutan sertifikat | Crl.<region>.<fqdn> | HTTP | 80 |
| DNS | *.<region>.<fqdn> | TCP & UDP | 53 |
| Hosting | *.hosting.<region>.<fqdn> | HTTPS | 443 |
| Key Vault (pengguna) | *.vault.<region>.<fqdn> | HTTPS | 443 |
| Key Vault (administrator) | *.adminvault.<region>.<fqdn> | HTTPS | 443 |
| Antrean Penyimpanan | *.queue.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| Tabel Storage | *.table.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| Blob Storage | *.blob.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| Penyedia Sumber SQL | sqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
| Penyedia Sumber MySQL | mysqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice.region>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.region>.<fqdn> | TCP | 443 (HTTPS) | |
| api.appservice.region>.<fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice.region>.<fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN Gateway | Protokol IP 50 & UDP | Enkapulasi Keamanan Payload (ESP) IPSec & UDP 500 dan 4500 |
Port dan URL (keluar)
Azure Stack Hub hanya mendukung server proksi transparan. Dalam penyebaran dengan uplink proksi transparan ke server proksi tradisional, Anda harus mengizinkan port dan URL dalam tabel berikut untuk berkomunikasi keluar. Untuk informasi selengkapnya tentang mengonfigurasi server proksi transparan, lihat Proksi transparan untuk Azure Stack Hub.
Intersepsi lalu lintas SSL tidak didukung dan dapat menyebabkan kegagalan layanan saat mengakses titik akhir. Batas waktu maksimum yang didukung untuk berkomunikasi dengan titik akhir yang diperlukan untuk identitas adalah 60 detik.
Catatan
Azure Stack Hub tidak mendukung penggunaan ExpressRoute untuk menjangkau layanan Azure yang tercantum dalam tabel berikut karena ExpressRoute mungkin tidak dapat merutekan lalu lintas ke semua titik akhir.
| Tujuan | URL Tujuan | Protokol / Port | Jaringan Sumber | Persyaratan |
|---|---|---|---|---|
|
Identitas Memungkinkan Azure Stack Hub tersambung ke ID Microsoft Entra untuk autentikasi User & Service. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Germany https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
VIP Publik - /27 Jaringan Infrastruktur Publik |
Wajib untuk penyebaran yang tersambung. |
|
Sindikasi marketplace Memungkinkan Anda mengunduh item ke Azure Stack Hub dari Marketplace dan membuatnya tersedia untuk semua pengguna menggunakan lingkungan Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | VIP Publik - /27 | Tidak dibutuhkan. Gunakan instruksi skenario terputus untuk mengunggah gambar ke Azure Stack Hub. |
|
Pembaruan & Patch Ketika tersambung ke titik akhir pembaruan, pembaruan perangkat lunak Azure Stack Hub dan perbaikan ditampilkan dengan status tersedia untuk diunduh. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | VIP Publik - /27 | Tidak dibutuhkan. Gunakan instruksi koneksi penyebaran terputus untuk mengunduh dan menyiapkan pembaruan secara manual. |
|
Pendaftaran Memungkinkan Anda mendaftarkan Azure Stack Hub dengan Azure untuk mengunduh item Azure Marketplace dan mengatur pelaporan data perdagangan kembali ke Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | VIP Publik - /27 | Tidak dibutuhkan. Anda dapat menggunakan skenario terputus untuk pendaftaran offline. |
|
Penggunaan Memungkinkan operator Azure Stack Hub mengonfigurasi instans Azure Stack Hub mereka untuk melaporkan data penggunaan ke Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | VIP Publik - /27 | Diperlukan untuk model lisensi berbasis konsumsi Azure Stack Hub. |
|
Pertahanan Windows Memungkinkan penyedia sumber pembaruan untuk mengunduh definisi antimalware dan pembaruan mesin beberapa kali per hari. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | VIP Publik - /27 Jaringan Infrastruktur Publik |
Tidak dibutuhkan. Anda dapat menggunakan skenario terputus untuk memperbarui file tanda tangan antivirus. |
|
NTP Memungkinkan Azure Stack Hub tersambung ke server waktu. |
(IP server NTP disediakan untuk penyebaran) | UDP 123 | VIP Publik - /27 | Diperlukan |
|
DNS Memungkinkan Azure Stack Hub tersambung ke penerus server DNS. |
(IP server DNS disediakan untuk penyebaran) | TCP & UDP 53 | VIP Publik - /27 | Diperlukan |
|
SYSLOG Memungkinkan Azure Stack Hub mengirim pesan syslog untuk tujuan pemantauan atau keamanan. |
(IP server SYSLOG disediakan untuk penyebaran) | TCP 6514, UDP 514 |
VIP Publik - /27 | Opsional |
|
CRL Memungkinkan Azure Stack Hub memvalidasi sertifikat dan memeriksa sertifikat yang dicabut. |
URL di bawah Titik Distribusi CRL pada sertifikat Anda | HTTP 80 | VIP Publik - /27 | Diperlukan |
|
CRL Memungkinkan Azure Stack Hub memvalidasi sertifikat dan memeriksa sertifikat yang dicabut. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | VIP Publik - /27 | Tidak dibutuhkan. Praktik terbaik keamanan yang sangat direkomendasikan. |
|
LDAP Memungkinkan Azure Stack Hub untuk berkomunikasi dengan Microsoft Active Directory lokal. |
Active Directory Forest disediakan untuk integrasi Graph | TCP & UDP 389 | VIP Publik - /27 | Diperlukan saat Azure Stack Hub disebarkan menggunakan Active Directory Federation Services. |
|
LDAP SSL Memungkinkan Azure Stack Hub berkomunikasi terenkripsi dengan Microsoft Active Directory lokal. |
Active Directory Forest disediakan untuk integrasi Graph | TCP 636 | VIP Publik - /27 | Diperlukan saat Azure Stack Hub disebarkan menggunakan Active Directory Federation Services. |
|
LDAP GC Memungkinkan Azure Stack Hub berkomunikasi dengan Microsoft Active Global Catalog Servers. |
Active Directory Forest disediakan untuk integrasi Graph | TCP 3268 | VIP Publik - /27 | Diperlukan saat Azure Stack Hub disebarkan menggunakan Active Directory Federation Services. |
|
LDAP GC SSL Memungkinkan Azure Stack Hub berkomunikasi terenkripsi dengan Microsoft Active Directory Global Catalog Servers. |
Active Directory Forest disediakan untuk integrasi Graph | TCP 3269 | VIP Publik - /27 | Diperlukan saat Azure Stack Hub disebarkan menggunakan Active Directory Federation Services. |
|
AD FS Memungkinkan Azure Stack Hub berkomunikasi dengan Active Directory Federation Services lokal. |
Titik akhir metadata Active Directory Federation Services disediakan untuk integrasi Active Directory Federation Services | Protokol Kendali Transmisi 443 | VIP Publik - /27 | Opsional. Kepercayaan penyedia klaim Active Directory Federation Services dapat dibuat menggunakan file metadata. |
|
Pengumpulan log diagnostik Memungkinkan Azure Stack Hub mengirim log baik secara proaktif maupun manual oleh operator ke dukungan Microsoft. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | VIP Publik - /27 | Tidak dibutuhkan. Anda dapat menyimpan log secara lokal. |
|
Dukungan jarak jauh Memungkinkan profesional dukungan Microsoft untuk memecahkan kasus dukungan lebih cepat dengan mengizinkan akses ke perangkat dari jarak jauh untuk melakukan operasi pemecahan masalah terbatas dan perbaikan. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | VIP Publik - /27 | Tidak dibutuhkan. |
|
telemetri Memungkinkan Azure Stack Hub mengirim data telemetri ke Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comDimulai dengan versi 2108, titik akhir berikut juga diperlukan: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | VIP Publik - /27 | Diperlukan saat telemetri Azure Stack Hub diaktifkan. |
URL keluar diseimbangkan dengan menggunakan pengelola lalu lintas Azure untuk menyediakan konektivitas terbaik berdasarkan lokasi geografis. Dengan URL yang muatannya seimbang, Microsoft dapat memperbarui dan mengubah titik akhir backend tanpa memengaruhi pelanggan. Microsoft tidak membagikan daftar alamat IP untuk URL dengan muatan seimbang. Gunakan perangkat yang mendukung pemfilteran berdasarkan URL, bukan berdasarkan IP.
DNS keluar diperlukan setiap saat; yang bervariasi adalah sumber yang mengkueri DNS eksternal dan jenis integrasi identitas yang dipilih. Selama penyebaran untuk skenario yang tersambung, DVM yang berada di jaringan BMC membutuhkan akses keluar. Tetapi setelah penyebaran, layanan DNS pindah ke komponen internal yang akan mengirim kueri melalui VIP Publik. Pada saat itu, akses DNS keluar melalui jaringan BMC dapat dihapus, tetapi akses VIP Publik ke server DNS tersebut harus tetap ada atau autentikasi akan gagal.