데이터 센터에 Azure Stack Hub 서비스 게시
Azure Stack Hub는 인프라 역할에 대한 VIP(가상 IP 주소)를 설정합니다. 이러한 VIP는 공용 IP 주소 풀에서 할당됩니다. 각 VIP는 소프트웨어 정의 네트워크 계층의 ACL(액세스 제어 목록)으로 보호됩니다. ACL은 솔루션을 더욱 강화하기 위해 실제 스위치(TOR 및 BMC)에서도 사용됩니다. 배포 시 지정된 외부 DNS 영역의 각 엔드포인트에 대해 DNS 항목이 만들어집니다. 예를 들어 사용자 포털에는 포털의 DNS 호스트 항목이 할당됩니다. <지역.<>fqdn>.
다음 아키텍처 다이어그램은 다양한 네트워크 계층 및 ACL을 보여 줍니다.
포트 및 URL
외부 네트워크에서 Azure Stack Hub 서비스(예: 포털, Azure Resource Manager, DNS 등)를 사용할 수 있도록 하려면 특정 URL, 포트 및 프로토콜에 대해 이러한 엔드포인트에 대한 인바운드 트래픽을 허용해야 합니다.
기존 프록시 서버 또는 방화벽에 대한 투명한 프록시 업링크가 솔루션을 보호하는 배포에서는 인바운드 및 아웃바운드 통신 모두에 대해 특정 포트 및 URL을 허용해야 합니다. 여기에는 ID, 마켓플레이스, 패치 및 업데이트, 등록 및 사용량 현황 데이터에 대한 포트 및 URL이 포함됩니다.
SSL 트래픽 차단은 지원되지 않으며 엔드포인트에 액세스할 때 서비스 오류가 발생할 수 있습니다.
포트 및 프로토콜(인바운드)
Azure Stack Hub 엔드포인트를 외부 네트워크에 게시하려면 인프라 VIP 집합이 필요합니다. 엔드포인트(VIP) 테이블에는 각 엔드포인트, 필수 포트 및 프로토콜이 표시됩니다. SQL 리소스 공급자와 같은 추가 리소스 공급자가 필요한 엔드포인트에 대한 특정 리소스 공급자 배포 설명서를 참조하세요.
내부 인프라 VIP는 Azure Stack Hub를 게시할 필요가 없으므로 나열되지 않습니다. 사용자 VIP는 Azure Stack Hub 연산자가 제어하지 않고 동적이며 사용자 자체에 의해 정의됩니다.
확장 호스트를 추가하면 12495-30015 범위의 포트가 필요하지 않습니다.
| 엔드포인트(VIP) | DNS 호스트 A 레코드 | 프로토콜 | 포트 |
|---|---|---|---|
| AD FS | Adfs. <지역.<>Fqdn> | HTTPS | 443 |
| 포털(관리자) | 관리 포트입니다. <지역.<>Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<지역.><Fqdn> | HTTPS | 443 |
| Azure Resource Manager(관리자) | 관리 관리. <지역.<>Fqdn> | HTTPS | 443 |
| 포털(사용자) | 포털. <지역.<>Fqdn> | HTTPS | 443 |
| Azure Resource Manager(사용자) | 관리. <지역.<>Fqdn> | HTTPS | 443 |
| 그래프 | 그래프. <지역.<>Fqdn> | HTTPS | 443 |
| 인증서 해지 목록 | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <지역.<>Fqdn> | TCP & UDP | 53 |
| Hosting | *.호스팅.<지역.><Fqdn> | HTTPS | 443 |
| Key Vault(사용자) | *.볼트. <지역.<>Fqdn> | HTTPS | 443 |
| Key Vault(관리자) | *.adminvault. <지역.<>Fqdn> | HTTPS | 443 |
| 스토리지 큐 | *.큐. <지역.<>Fqdn> | HTTP HTTPS |
80 443 |
| 스토리지 테이블 | *.테이블. <지역.<>Fqdn> | HTTP HTTPS |
80 443 |
| 스토리지 Blob | *.Blob. <지역.<>Fqdn> | HTTP HTTPS |
80 443 |
| SQL 리소스 공급자 | sqladapter.dbadapter. <지역.<>Fqdn> | HTTPS | 44300-44304 |
| MySQL 리소스 공급자 | mysqladapter.dbadapter. <지역.<>Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <지역.<>Fqdn> | TCP | 80(HTTP) 443(HTTPS) 8172(MSDeploy) |
| *.scm.appservice. <지역.<>Fqdn> | TCP | 443(HTTPS) | |
| api.appservice. <지역.<>Fqdn> | TCP | 443(HTTPS) 44300(Azure Resource Manager) |
|
| ftp.appservice. <지역.<>Fqdn> | TCP, UDP | 21, 1021, 10001-10100(FTP) 990(FTPS) |
|
| VPN Gateway | IP 프로토콜 50 & UDP | 캡슐화 ESP(보안 페이로드) IPSec & UDP 500 및 4500 |
포트 및 URL(아웃바운드)
Azure Stack Hub는 투명한 프록시 서버만 지원합니다. 기존 프록시 서버에 대한 투명한 프록시 업링크가 있는 배포에서는 아웃바운드 통신에 대해 다음 표의 포트 및 URL을 허용해야 합니다. 투명한 프록시 서버를 구성하는 방법에 대한 자세한 내용은 Azure Stack Hub에 대한 투명한 프록시를 참조하세요.
SSL 트래픽 차단은 지원되지 않으며 엔드포인트에 액세스할 때 서비스 오류가 발생할 수 있습니다. ID에 필요한 엔드포인트와 통신하는 데 지원되는 최대 제한 시간은 60입니다.
참고
ExpressRoute가 모든 엔드포인트로 트래픽을 라우팅하지 못할 수 있으므로 Azure Stack Hub는 ExpressRoute를 사용하여 다음 표에 나열된 Azure 서비스에 도달하는 것을 지원하지 않습니다.
| 목적 | 대상 URL | 프로토콜/포트 | 원본 네트워크 | 요구 사항 |
|---|---|---|---|---|
| ID Azure Stack Hub가 사용자 & 서비스 인증을 위해 Microsoft Entra ID에 연결할 수 있습니다. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure 독일 https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
공용 VIP - /27 공용 인프라 네트워크 |
연결된 배포에 필수입니다. |
| 마켓플레이스 신디케이션 Marketplace에서 Azure Stack Hub로 항목을 다운로드하고 Azure Stack Hub 환경을 사용하여 모든 사용자가 사용할 수 있도록 할 수 있습니다. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | 공용 VIP - /27 | 필수 아님. 연결이 끊긴 시나리오 지침을 사용하여 Azure Stack Hub에 이미지를 업로드합니다. |
| 패치 & 업데이트 업데이트 엔드포인트에 연결되면 Azure Stack Hub 소프트웨어 업데이트 및 핫픽스가 다운로드 가능한 것으로 표시됩니다. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | 공용 VIP - /27 | 필수 아님. 연결이 끊긴 배포 연결 지침을 사용하여 업데이트를 수동으로 다운로드하고 준비합니다. |
| 등록 Azure Stack Hub를 Azure에 등록하여 Azure Marketplace 항목을 다운로드하고 Microsoft에 다시 보고하는 상거래 데이터를 설정할 수 있습니다. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | 공용 VIP - /27 | 필수 아님. 오프라인 등록에 연결이 끊긴 시나리오를 사용할 수 있습니다. |
| 사용 현황 Azure Stack Hub 운영자가 Azure에 사용량 현황 데이터를 보고하도록 Azure Stack Hub instance 구성할 수 있습니다. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | 공용 VIP - /27 | Azure Stack Hub 사용량 기반 라이선스 모델에 필요합니다. |
| Windows Defender 업데이트 리소스 공급자가 하루에 여러 번 맬웨어 방지 정의 및 엔진 업데이트를 다운로드할 수 있습니다. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | 공용 VIP - /27 공용 인프라 네트워크 |
필수 아님. 연결이 끊긴 시나리오를 사용하여 바이러스 백신 서명 파일을 업데이트할 수 있습니다. |
| NTP Azure Stack Hub에서 시간 서버에 연결할 수 있습니다. |
(배포를 위해 제공된 NTP 서버의 IP) | UDP 123 | 공용 VIP - /27 | 필수 |
| DNS Azure Stack Hub가 DNS 서버 전달자에 연결할 수 있도록 허용합니다. |
(배포를 위해 제공된 DNS 서버의 IP) | TCP & UDP 53 | 공용 VIP - /27 | 필수 |
| Syslog Azure Stack Hub에서 모니터링 또는 보안 목적으로 syslog 메시지를 보낼 수 있습니다. |
(배포용으로 제공되는 SYSLOG 서버의 IP) | TCP 6514, UDP 514 |
공용 VIP - /27 | 선택 사항 |
| Crl Azure Stack Hub에서 인증서의 유효성을 검사하고 해지된 인증서에 대해 검사 수 있습니다. |
인증서의 CRL 배포 지점 아래 URL | HTTP 80 | 공용 VIP - /27 | 필수 |
| Crl Azure Stack Hub에서 인증서의 유효성을 검사하고 해지된 인증서에 대해 검사 수 있습니다. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | 공용 VIP - /27 | 필수 아님. 권장되는 보안 모범 사례입니다. |
| LDAP Azure Stack Hub가 온-프레미스에서 Microsoft Active Directory와 통신할 수 있도록 허용합니다. |
Graph 통합을 위해 제공되는 Active Directory 포리스트 | TCP & UDP 389 | 공용 VIP - /27 | AD FS를 사용하여 Azure Stack Hub를 배포할 때 필요합니다. |
| LDAP SSL Azure Stack Hub가 Microsoft Active Directory 온-프레미스와 암호화된 통신을 허용합니다. |
Graph 통합을 위해 제공되는 Active Directory 포리스트 | TCP 636 | 공용 VIP - /27 | AD FS를 사용하여 Azure Stack Hub를 배포할 때 필요합니다. |
| LDAP GC Azure Stack Hub가 Microsoft Active Global Catalog Server와 통신할 수 있도록 허용합니다. |
Graph 통합을 위해 제공되는 Active Directory 포리스트 | TCP 3268 | 공용 VIP - /27 | AD FS를 사용하여 Azure Stack Hub를 배포할 때 필요합니다. |
| LDAP GC SSL Azure Stack Hub가 Microsoft Active Directory 글로벌 카탈로그 서버와 암호화된 통신을 허용합니다. |
Graph 통합을 위해 제공되는 Active Directory 포리스트 | TCP 3269 | 공용 VIP - /27 | AD FS를 사용하여 Azure Stack Hub를 배포할 때 필요합니다. |
| AD FS Azure Stack Hub가 온-프레미스 AD FS와 통신할 수 있도록 허용합니다. |
AD FS 통합을 위해 제공되는 AD FS 메타데이터 엔드포인트 | TCP 443 | 공용 VIP - /27 | 선택 사항입니다. AD FS 클레임 공급자 트러스트는 메타데이터 파일을 사용하여 만들 수 있습니다. |
| 진단 로그 수집 Azure Stack Hub가 운영자가 사전에 또는 수동으로 Microsoft 지원에 로그를 보낼 수 있도록 허용합니다. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | 공용 VIP - /27 | 필수 아님. 로그를 로컬로 저장할 수 있습니다. |
| 원격 지원 Microsoft 지원 전문가가 제한된 문제 해결 및 복구 작업을 수행하기 위해 원격으로 디바이스에 액세스할 수 있도록 허용하여 지원 사례를 더 빠르게 해결할 수 있습니다. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | 공용 VIP - /27 | 필수 아님. |
| 원격 분석 Azure Stack Hub에서 원격 분석 데이터를 Microsoft로 보낼 수 있습니다. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.com버전 2108부터 다음 엔드포인트도 필요합니다. https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | 공용 VIP - /27 | Azure Stack Hub 원격 분석을 사용할 때 필요합니다. |
아웃바운드 URL은 지리적 위치에 따라 최상의 연결을 제공하기 위해 Azure Traffic Manager를 사용하여 부하가 분산됩니다. 부하가 분산된 URL을 사용하면 Microsoft는 고객에게 영향을 주지 않고 백 엔드 엔드포인트를 업데이트하고 변경할 수 있습니다. Microsoft는 부하 분산된 URL에 대한 IP 주소 목록을 공유하지 않습니다. IP가 아닌 URL로 필터링을 지원하는 디바이스를 사용합니다.
아웃바운드 DNS는 항상 필요합니다. 다양한 것은 외부 DNS를 쿼리하는 원본과 선택한 ID 통합 유형입니다. 연결된 시나리오를 배포하는 동안 BMC 네트워크에 있는 DVM에는 아웃바운드 액세스가 필요합니다. 그러나 배포 후 DNS 서비스는 공용 VIP를 통해 쿼리를 보내는 내부 구성 요소로 이동합니다. 이때 BMC 네트워크를 통한 아웃바운드 DNS 액세스를 제거할 수 있지만 해당 DNS 서버에 대한 공용 VIP 액세스는 유지되어야 합니다. 그렇지 않으면 인증이 실패합니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기