데이터 센터에 Azure Stack Hub 서비스 게시

Azure Stack Hub는 인프라 역할에 대한 VIP(가상 IP 주소)를 설정합니다. 이러한 VIP는 공용 IP 주소 풀에서 할당됩니다. 각 VIP는 소프트웨어 정의 네트워크 계층의 ACL(액세스 제어 목록)으로 보호됩니다. 또한 ACL은 솔루션을 더욱 강화하기 위해 실제 스위치(TOR 및 BMC)에서 사용됩니다. 배포 시 지정된 외부 DNS 영역의 각 엔드포인트에 대해 DNS 항목이 만들어집니다. 예를 들어 사용자 포털에는 포털의 DNS 호스트 항목이 할당됩니다. <지역입니다>.< fqdn>.

다음 아키텍처 다이어그램은 다양한 네트워크 계층 및 ACL을 보여 줍니다.

Diagram showing different network layers and ACLs

포트 및 URL

외부 네트워크에서 Azure Stack Hub 서비스(예: 포털, Azure Resource Manager, DNS 등)를 사용할 수 있도록 하려면 특정 URL, 포트 및 프로토콜에 대해 이러한 엔드포인트에 대한 인바운드 트래픽을 허용해야 합니다.

기존 프록시 서버 또는 방화벽에 대한 투명 프록시 업링크가 솔루션을 보호하는 배포에서는 인바운드아웃바운드 통신 모두에 대해 특정 포트 및 URL을 허용해야 합니다. 여기에는 ID, 마켓플레이스, 패치 및 업데이트, 등록 및 사용량 현황 데이터에 대한 포트 및 URL이 포함됩니다.

SSL 트래픽 차단은 지원되지 않으며 엔드포인트에 액세스할 때 서비스 오류가 발생할 수 있습니다.

포트 및 프로토콜(인바운드)

외부 네트워크에 Azure Stack Hub 엔드포인트를 게시하려면 인프라 VIP 집합이 필요합니다. 엔드포인트(VIP) 테이블에는 각 엔드포인트, 필요한 포트 및 프로토콜이 표시됩니다. SQL 리소스 공급자와 같은 추가 리소스 공급자가 필요한 엔드포인트에 대한 특정 리소스 공급자 배포 설명서를 참조하세요.

내부 인프라 VIP는 Azure Stack Hub를 게시하는 데 필요하지 않으므로 나열되지 않습니다. 사용자 VIP는 동적이며 Azure Stack Hub 연산자가 제어하지 않고 사용자 자체에 의해 정의됩니다.

확장 호스트를 추가하면 12495-30015 범위의 포트가 필요하지 않습니다.

엔드포인트(VIP) DNS 호스트 A 레코드 프로토콜 포트
AD FS Adfs. <지역입니다>.< Fqdn> HTTPS 443
포털(관리자) Adminportal. <지역입니다>.< Fqdn> HTTPS 443
Adminhosting *.adminhosting.< 지역입니다>.< Fqdn> HTTPS 443
Azure Resource Manager(관리자) 관리 관리. <지역입니다>.< Fqdn> HTTPS 443
포털(사용자) 포털. <지역입니다>.< Fqdn> HTTPS 443
Azure Resource Manager(사용자) 관리. <지역입니다>.< Fqdn> HTTPS 443
그래프 Graph. <지역입니다>.< Fqdn> HTTPS 443
인증서 해지 목록 Crl.region<.<> Fqdn> HTTP 80
DNS *. <지역입니다>.< Fqdn> TCP & UDP 53
Hosting *.hosting.< 지역입니다>.< Fqdn> HTTPS 443
Key Vault(사용자) *.vault. <지역입니다>.< Fqdn> HTTPS 443
Key Vault(관리자) *.adminvault. <지역입니다>.< Fqdn> HTTPS 443
스토리지 큐 *.queue. <지역입니다>.< Fqdn> HTTP
HTTPS
80
443
스토리지 테이블 *.table. <지역입니다>.< Fqdn> HTTP
HTTPS
80
443
스토리지 Blob *.blob. <지역입니다>.< Fqdn> HTTP
HTTPS
80
443
SQL 리소스 공급자 sqladapter.dbadapter. <지역입니다>.< Fqdn> HTTPS 44300-44304
MySQL 리소스 공급자 mysqladapter.dbadapter. <지역입니다>.< Fqdn> HTTPS 44300-44304
App Service *.appservice. <지역.<> Fqdn> TCP 80(HTTP)
443(HTTPS)
8172(MSDeploy)
*.scm.appservice. <지역.<> Fqdn> TCP 443(HTTPS)
api.appservice. <지역.<> Fqdn> TCP 443(HTTPS)
44300(Azure Resource Manager)
ftp.appservice. <지역.<> Fqdn> TCP, UDP 21, 1021, 10001-10100(FTP)
990(FTPS)
VPN Gateway IP 프로토콜 50 & UDP ESP(Encapsulation Security Payload) IPSec & UDP 500 및 4500

포트 및 URL(아웃바운드)

Azure Stack Hub는 투명한 프록시 서버만 지원합니다. 기존 프록시 서버에 대한 투명한 프록시 업링크가 있는 배포에서는 아웃바운드 통신에 대해 다음 표의 포트 및 URL을 허용해야 합니다. 투명한 프록시 서버를 구성하는 방법에 대한 자세한 내용은 Azure Stack Hub에 대한 투명 프록시를 참조하세요.

SSL 트래픽 차단은 지원되지 않으며 엔드포인트에 액세스할 때 서비스 오류가 발생할 수 있습니다. ID에 필요한 엔드포인트와 통신하는 데 지원되는 최대 제한 시간은 60입니다.

참고

ExpressRoute가 모든 엔드포인트로 트래픽을 라우팅할 수 없기 때문에 Azure Stack Hub는 ExpressRoute를 사용하여 다음 표에 나열된 Azure 서비스에 도달하는 것을 지원하지 않습니다.

목적 대상 URL 프로토콜/포트 원본 네트워크 요구 사항
ID
Azure Stack Hub가 사용자 & 서비스 인증을 위해 Azure Active Directory 연결할 수 있습니다.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure 독일
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
공용 VIP - /27
공용 인프라 네트워크
연결된 배포의 경우 필수입니다.
Marketplace 배포
Marketplace에서 Azure Stack Hub로 항목을 다운로드하고 Azure Stack Hub 환경을 사용하여 모든 사용자가 사용할 수 있도록 할 수 있습니다.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 공용 VIP - /27 필수 아님. 연결이 끊긴 시나리오 지침을 사용하여 Azure Stack Hub에 이미지를 업로드합니다.
패치 & 업데이트
업데이트 엔드포인트에 연결되면 Azure Stack Hub 소프트웨어 업데이트 및 핫픽스가 다운로드할 수 있는 것으로 표시됩니다.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 공용 VIP - /27 필수 아님. 연결이 끊긴 배포 연결 지침을 사용하여 수동으로 업데이트를 다운로드하고 준비합니다.
등록
Azure Stack Hub를 Azure에 등록하여 Azure Marketplace 항목을 다운로드하고 Microsoft에 다시 보고하는 상거래 데이터를 설정할 수 있습니다.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 공용 VIP - /27 필수 아님. 오프라인 등록에 연결이 끊긴 시나리오를 사용할 수 있습니다.
사용 현황
Azure Stack Hub 운영자가 Azure에 사용량 현황 데이터를 보고하도록 Azure Stack Hub 인스턴스를 구성할 수 있습니다.
Azure
https://*.trafficmanager.net
https://*.cloudapp.azure.com
Azure Government
https://*.usgovtrafficmanager.net
https://*.cloudapp.usgovcloudapi.net
Azure China 21Vianet
https://*.trafficmanager.cn
https://*.cloudapp.chinacloudapi.cn
HTTPS 443 공용 VIP - /27 Azure Stack Hub 사용량 기반 라이선스 모델에 필요합니다.
Windows Defender
업데이트 리소스 공급자가 하루에 여러 번 맬웨어 방지 정의 및 엔진 업데이트를 다운로드할 수 있습니다.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 공용 VIP - /27
공용 인프라 네트워크
필수 아님. 연결이 끊긴 시나리오를 사용하여 바이러스 백신 서명 파일을 업데이트할 수 있습니다.
NTP
Azure Stack Hub에서 시간 서버에 연결할 수 있습니다.
(배포를 위해 제공된 NTP 서버의 IP) UDP 123 공용 VIP - /27 필수
DNS
Azure Stack Hub에서 DNS 서버 전달자에 연결할 수 있습니다.
(배포를 위해 제공된 DNS 서버의 IP) TCP & UDP 53 공용 VIP - /27 필수
SYSLOG
Azure Stack Hub에서 모니터링 또는 보안을 위해 syslog 메시지를 보낼 수 있습니다.
(배포에 제공된 SYSLOG 서버의 IP) TCP 6514,
UDP 514
공용 VIP - /27 선택 사항
CRL
Azure Stack Hub에서 인증서의 유효성을 검사하고 해지된 인증서를 확인할 수 있습니다.
인증서의 CRL 배포 지점 아래 URL HTTP 80 공용 VIP - /27 필수
CRL
Azure Stack Hub에서 인증서의 유효성을 검사하고 해지된 인증서를 확인할 수 있습니다.
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 공용 VIP - /27 필수 아님. 매우 권장되는 보안 모범 사례입니다.
LDAP
Azure Stack Hub가 Microsoft Active Directory 온-프레미스와 통신할 수 있습니다.
Graph 통합을 위해 제공되는 Active Directory 포리스트 TCP & UDP 389 공용 VIP - /27 AD FS를 사용하여 Azure Stack Hub를 배포할 때 필요합니다.
LDAP SSL
Azure Stack Hub가 Microsoft Active Directory 온-프레미스와 암호화된 통신을 허용합니다.
Graph 통합을 위해 제공되는 Active Directory 포리스트 TCP 636 공용 VIP - /27 AD FS를 사용하여 Azure Stack Hub를 배포할 때 필요합니다.
LDAP GC
Azure Stack Hub가 Microsoft Active Global Catalog Server와 통신할 수 있습니다.
Graph 통합을 위해 제공되는 Active Directory 포리스트 TCP 3268 공용 VIP - /27 AD FS를 사용하여 Azure Stack Hub를 배포할 때 필요합니다.
LDAP GC SSL
Azure Stack Hub가 Microsoft Active Directory 글로벌 카탈로그 서버와 암호화된 통신을 허용합니다.
Graph 통합을 위해 제공되는 Active Directory 포리스트 TCP 3269 공용 VIP - /27 AD FS를 사용하여 Azure Stack Hub를 배포할 때 필요합니다.
AD FS
Azure Stack Hub가 온-프레미스 AD FS와 통신할 수 있습니다.
AD FS 통합을 위해 제공되는 AD FS 메타데이터 엔드포인트 TCP 443 공용 VIP - /27 선택 사항입니다. AD FS 클레임 공급자 트러스트는 메타데이터 파일을 사용하여 만들 수 있습니다.
진단 로그 수집
Azure Stack Hub는 운영자가 사전에 또는 수동으로 Microsoft 지원에 로그를 보낼 수 있도록 합니다.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 공용 VIP - /27 필수 아님. 로그를 로컬로 저장할 수 있습니다.
원격 지원
Microsoft 지원 전문가는 제한된 문제 해결 및 복구 작업을 수행하기 위해 원격으로 디바이스에 대한 액세스를 허용하여 지원 사례를 더 빠르게 해결할 수 있습니다.
https://edgesupprd.trafficmanager.net
https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com
https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com
https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com
https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com
https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com
*.servicebus.windows.net
HTTPS 443 공용 VIP - /27 필수 아님.
원격 분석
Azure Stack Hub에서 원격 분석 데이터를 Microsoft에 보낼 수 있습니다.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
버전 2108부터 다음 엔드포인트도 필요합니다.
https://*.blob.core.windows.net/
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/
HTTPS 443 공용 VIP - /27 Azure Stack Hub 원격 분석을 사용할 때 필요합니다.

아웃바운드 URL은 지리적 위치에 따라 최상의 연결을 제공하기 위해 Azure Traffic Manager를 사용하여 부하가 분산됩니다. 부하가 분산된 URL을 사용하면 Microsoft는 고객에게 영향을 주지 않고 백 엔드 엔드포인트를 업데이트하고 변경할 수 있습니다. Microsoft는 부하 분산 URL에 대한 IP 주소 목록을 공유하지 않습니다. IP가 아닌 URL로 필터링을 지원하는 디바이스를 사용합니다.

항상 아웃바운드 DNS가 필요합니다. 다른 점은 외부 DNS를 쿼리하는 원본 및 선택한 ID 통합 유형입니다. 연결된 시나리오를 배포하는 동안 BMC 네트워크에 있는 DVM에는 아웃바운드 액세스가 필요합니다. 그러나 배포 후 DNS 서비스는 공용 VIP를 통해 쿼리를 보내는 내부 구성 요소로 이동합니다. 이때 BMC 네트워크를 통한 아웃바운드 DNS 액세스를 제거할 수 있지만 해당 DNS 서버에 대한 공용 VIP 액세스는 유지되어야 합니다. 그렇지 않으면 인증이 실패합니다.

다음 단계

Azure Stack Hub PKI 요구 사항