Azure Stack Hub-services publiceren in uw datacenter
Azure Stack Hub stelt virtuele IP-adressen (VIP's) in voor de bijbehorende infrastructuurrollen. Deze VIP's worden toegewezen vanuit de openbare IP-adresgroep. Elk VIP wordt beveiligd met een toegangsbeheerlijst (ACL) in de software-gedefinieerde netwerklaag. ACL's worden ook gebruikt op de fysieke switches (TOR's en BMC's) om de oplossing verder te beperken. Er wordt een DNS-vermelding gemaakt voor elk eindpunt in de externe DNS-zone die is opgegeven tijdens de implementatie. De gebruikersportal krijgt bijvoorbeeld de DNS-hostvermelding van de portal toegewezen. <regio>.<fqdn>.
In het volgende architectuurdiagram ziet u de verschillende netwerklagen en ACL's:
Poorten en URL's
Als u Azure Stack Hub-services (zoals de portals, Azure Resource Manager, DNS, enzovoort) beschikbaar wilt maken voor externe netwerken, moet u binnenkomend verkeer naar deze eindpunten toestaan voor specifieke URL's, poorten en protocollen.
In een implementatie waarbij een transparante proxy uplinkt naar een traditionele proxyserver of een firewall de oplossing beveiligt, moet u specifieke poorten en URL's toestaan voor zowel binnenkomende als uitgaande communicatie. Deze omvatten poorten en URL's voor identiteit, de marketplace, patch en update, registratie en gebruiksgegevens.
Onderschepping van SSL-verkeer wordt niet ondersteund en kan leiden tot servicefouten bij het openen van eindpunten.
Poorten en protocollen (inkomend)
Een set infrastructuur-VIP's is vereist voor het publiceren van Azure Stack Hub-eindpunten naar externe netwerken. In de tabel Eindpunt (VIP) ziet u elk eindpunt, de vereiste poort en het protocol. Raadpleeg de documentatie voor de implementatie van specifieke resourceproviders voor eindpunten waarvoor extra resourceproviders zijn vereist, zoals de SQL-resourceprovider.
VIP's voor interne infrastructuur worden niet vermeld omdat ze niet vereist zijn voor het publiceren van Azure Stack Hub. VIP's van gebruikers zijn dynamisch en gedefinieerd door de gebruikers zelf, zonder controle door de Azure Stack Hub-operator.
Met de toevoeging van de extensiehost zijn poorten in het bereik van 12495-30015 niet vereist.
| Eindpunt (VIP) | DNS-host A-record | Protocol | Poorten |
|---|---|---|---|
| AD FS | Adfs. <regio>.<Fqdn> | HTTPS | 443 |
| Portal (beheerder) | Adminportal. <regio>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<regio>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (beheerder) | Beheer van beheerders. <regio>.<Fqdn> | HTTPS | 443 |
| Portal (gebruiker) | Portal. <regio>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (gebruiker) | Management. <regio>.<Fqdn> | HTTPS | 443 |
| Graph | Grafiek. <regio>.<Fqdn> | HTTPS | 443 |
| Certificaatintrekkingslijst | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <regio>.<Fqdn> | TCP & UDP | 53 |
| Hosting | *.Hosting.<regio>.<Fqdn> | HTTPS | 443 |
| Key Vault (gebruiker) | *.Kluis. <regio>.<Fqdn> | HTTPS | 443 |
| Key Vault (beheerder) | *.adminvault. <regio>.<Fqdn> | HTTPS | 443 |
| Opslagwachtrij | *.Wachtrij. <regio>.<Fqdn> | HTTP HTTPS |
80 443 |
| Opslagtabel | *.Tabel. <regio>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Blob | *.Blob. <regio>.<Fqdn> | HTTP HTTPS |
80 443 |
| SQL-resourceprovider | sqladapter.dbadapter. <regio>.<Fqdn> | HTTPS | 44300-44304 |
| MySQL-resourceprovider | mysqladapter.dbadapter. <regio>.<Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <regio>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <regio>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <regio>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <regio>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN-gateways | IP Protocol 50 & UDP | Encapsulation Security Payload (ESP) IPSec & UDP 500 en 4500 |
Poorten en URL's (uitgaand)
Azure Stack Hub ondersteunt alleen transparante proxyservers. In een implementatie met een transparante proxy-uplink naar een traditionele proxyserver moet u de poorten en URL's in de volgende tabel toestaan voor uitgaande communicatie. Zie Transparante proxy voor Azure Stack Hub voor meer informatie over het configureren van transparante proxyservers.
Onderschepping van SSL-verkeer wordt niet ondersteund en kan leiden tot servicefouten bij het openen van eindpunten. De maximaal ondersteunde time-out om te communiceren met eindpunten die vereist zijn voor identiteit is 60.
Notitie
Azure Stack Hub biedt geen ondersteuning voor het gebruik van ExpressRoute om de Azure-services te bereiken die in de volgende tabel worden vermeld, omdat ExpressRoute mogelijk niet in staat is om verkeer naar alle eindpunten te routeren.
| Doel | Doel-URL | Protocol/poorten | Bronnetwerk | Vereiste |
|---|---|---|---|---|
|
Identiteit Hiermee kan Azure Stack Hub verbinding maken met Microsoft Entra-id voor gebruikersverificatie & Service. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Duitsland https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Openbaar VIP - /27 Openbare infrastructuur Netwerk |
Verplicht voor een verbonden implementatie. |
|
Marketplace-syndicatie Hiermee kunt u items downloaden naar Azure Stack Hub van de Marketplace en deze beschikbaar maken voor alle gebruikers die de Azure Stack Hub-omgeving gebruiken. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Openbaar VIP - /27 | Niet vereist. Gebruik de instructies voor het niet-verbonden scenario om installatiekopieën te uploaden naar Azure Stack Hub. |
|
Patch & Update Wanneer u verbinding hebt met update-eindpunten, worden Azure Stack Hub-software-updates en hotfixes weergegeven als beschikbaar om te downloaden. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Openbaar VIP - /27 | Niet vereist. Gebruik de instructies voor de verbinding met de niet-verbonden implementatie om de update handmatig te downloaden en voor te bereiden. |
|
Registratie Hiermee kunt u Azure Stack Hub registreren bij Azure om Azure Marketplace items te downloaden en commercegegevensrapportage naar Microsoft in te stellen. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Openbaar VIP - /27 | Niet vereist. U kunt het niet-verbonden scenario gebruiken voor offlineregistratie. |
|
Gebruik Hiermee kunnen Azure Stack Hub-operators hun Azure Stack Hub-exemplaar configureren om gebruiksgegevens te rapporteren aan Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Openbaar VIP - /27 | Vereist voor een licentiemodel op basis van gebruik van Azure Stack Hub. |
|
Windows Defender Hiermee kan de updateresourceprovider antimalwaredefinities en engine-updates meerdere keren per dag downloaden. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Openbaar VIP - /27 Openbare infrastructuur Netwerk |
Niet vereist. U kunt het niet-verbonden scenario gebruiken om antivirushandtekeningsbestanden bij te werken. |
|
NTP Hiermee kan Azure Stack Hub verbinding maken met tijdservers. |
(IP van NTP-server opgegeven voor implementatie) | UDP 123 | Openbaar VIP - /27 | Vereist |
|
DNS Hiermee kan Azure Stack Hub verbinding maken met de DNS-server doorstuurserver. |
(IP van DNS-server die is opgegeven voor implementatie) | TCP & UDP 53 | Openbaar VIP - /27 | Vereist |
|
SYSLOG Hiermee kan Azure Stack Hub syslog-berichten verzenden voor bewakings- of beveiligingsdoeleinden. |
(IP-adres van SYSLOG-server opgegeven voor implementatie) | TCP 6514, UDP 514 |
Openbare VIP - /27 | Optioneel |
|
CRL Hiermee kan Azure Stack Hub certificaten valideren en controleren op ingetrokken certificaten. |
URL onder CRL-distributiepunten op uw certificaten | HTTP 80 | Openbare VIP - /27 | Vereist |
|
CRL Hiermee kan Azure Stack Hub certificaten valideren en controleren op ingetrokken certificaten. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Openbare VIP - /27 | Niet vereist. Aanbevolen best practice voor beveiliging. |
|
LDAP Hiermee kan Azure Stack Hub communiceren met Microsoft Active Directory on-premises. |
Active Directory-forest beschikbaar voor Graph-integratie | TCP & UDP 389 | Openbare VIP - /27 | Vereist wanneer Azure Stack Hub wordt geïmplementeerd met behulp van AD FS. |
|
LDAP SSL Hiermee kan Azure Stack Hub versleuteld communiceren met Microsoft Active Directory on-premises. |
Active Directory-forest beschikbaar voor Graph-integratie | TCP 636 | Openbare VIP - /27 | Vereist wanneer Azure Stack Hub wordt geïmplementeerd met behulp van AD FS. |
|
LDAP GC Hiermee kan Azure Stack Hub communiceren met Microsoft Active Global Catalog-servers. |
Active Directory-forest beschikbaar voor Graph-integratie | TCP 3268 | Openbare VIP - /27 | Vereist wanneer Azure Stack Hub wordt geïmplementeerd met behulp van AD FS. |
|
LDAP GC SSL Hiermee kan Azure Stack Hub versleuteld communiceren met Microsoft Active Directory Global Catalog-servers. |
Active Directory-forest beschikbaar voor Graph-integratie | TCP 3269 | Openbare VIP - /27 | Vereist wanneer Azure Stack Hub wordt geïmplementeerd met behulp van AD FS. |
|
AD FS Hiermee kan Azure Stack Hub communiceren met on-premises AD FS. |
AD FS-metagegevenseindpunt opgegeven voor AD FS-integratie | TCP 443 | Openbare VIP - /27 | Optioneel. De vertrouwensrelatie van de AD FS-claimprovider kan worden gemaakt met behulp van een metagegevensbestand. |
|
Diagnostische logboekverzameling Hiermee kan Azure Stack Hub logboeken proactief of handmatig door een operator verzenden naar Microsoft-ondersteuning. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Openbare VIP - /27 | Niet vereist. U kunt logboeken lokaal opslaan. |
|
Ondersteuning op afstand Hiermee kunnen microsoft-ondersteuningsmedewerkers ondersteuningsaanvragen sneller oplossen door op afstand toegang tot het apparaat toe te geven en beperkte probleemoplossings- en herstelbewerkingen uit te voeren. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | Openbare VIP - /27 | Niet vereist. |
|
Telemetrie Hiermee kan Azure Stack Hub telemetriegegevens naar Microsoft verzenden. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comVanaf versie 2108 zijn ook de volgende eindpunten vereist: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Openbare VIP - /27 | Vereist wanneer Azure Stack Hub-telemetrie is ingeschakeld. |
Uitgaande URL's worden verdeeld met behulp van Azure Traffic Manager om de best mogelijke connectiviteit te bieden op basis van geografische locatie. Met URL's met gelijke taakverdeling kan Microsoft back-endeindpunten bijwerken en wijzigen zonder dat dit gevolgen heeft voor klanten. Microsoft deelt de lijst met IP-adressen voor de URL's met gelijke taakverdeling niet. Gebruik een apparaat dat filteren op URL ondersteunt in plaats van op IP.
Uitgaande DNS is te allen tijde vereist; Wat varieert, is de bron die query's uitvoert op de externe DNS en welk type identiteitsintegratie is gekozen. Tijdens de implementatie voor een verbonden scenario heeft de DVM die zich in het BMC-netwerk bevindt uitgaande toegang nodig. Maar na de implementatie wordt de DNS-service verplaatst naar een intern onderdeel dat query's verzendt via een openbaar VIP. Op dat moment kan de uitgaande DNS-toegang via het BMC-netwerk worden verwijderd, maar de openbare VIP-toegang tot die DNS-server moet blijven, anders mislukt de verificatie.