Publikowanie usług Azure Stack Hub w centrum danych — Modular Data Center (MDC)

Usługa Azure Stack Hub konfiguruje wirtualne adresy IP (VIP) dla ról infrastruktury. Te adresy VIP są przydzielane z publicznej puli adresów IP. Każdy adres VIP jest zabezpieczony za pomocą listy kontroli dostępu (ACL) w warstwie sieciowej zdefiniowanej programowo. Listy ACL są również używane w przełącznikach fizycznych (TORs i BMC), aby dodatkowo zwiększyć bezpieczeństwo rozwiązania. Wpis DNS jest tworzony dla każdego punktu końcowego w zewnętrznej strefie DNS określonej w czasie wdrażania. Na przykład portal użytkowników jest przypisany do wpisu hosta DNS portalu. <region>.< nazwa fqdn>.

Na poniższym diagramie architektury przedstawiono różne warstwy sieciowe i listy ACL:

Diagram showing different network layers and ACLs

Porty i adresy URL

Aby usługi Azure Stack Hub (takie jak portale, azure Resource Manager, DNS itd.) były dostępne dla sieci zewnętrznych, należy zezwolić na ruch przychodzący do tych punktów końcowych dla określonych adresów URL, portów i protokołów.

W przypadku wdrożenia, w którym przezroczyste pasma serwera proxy do tradycyjnego serwera proxy lub zapory chroni rozwiązanie, należy zezwolić na określone porty i adresy URL zarówno dla komunikacji przychodzącej , jak i wychodzącej . Obejmują one porty i adresy URL tożsamości, platformy handlowej, poprawki i aktualizacji, rejestracji i danych użycia.

Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do niepowodzeń usługi podczas uzyskiwania dostępu do punktów końcowych.

Porty i protokoły (ruch przychodzący)

Zestaw adresów VIP infrastruktury jest wymagany do publikowania punktów końcowych usługi Azure Stack Hub w sieciach zewnętrznych. Tabela Punkt końcowy (VIP) przedstawia każdy punkt końcowy, wymagany port i protokół. Zapoznaj się z dokumentacją wdrażania określonego dostawcy zasobów dla punktów końcowych, które wymagają dodatkowych dostawców zasobów, takich jak dostawca zasobów SQL.

Wewnętrzne adresy VIP infrastruktury nie są wymienione, ponieważ nie są one wymagane do publikowania usługi Azure Stack Hub. Adresy VIP użytkownika są dynamiczne i definiowane przez samych użytkowników bez kontroli operatora usługi Azure Stack Hub.

Uwaga

Sieć VPN IKEv2 to oparte na standardach rozwiązanie sieci VPN oparte na protokole IPsec, które korzysta z portu UDP 500 i 4500 i portu TCP 50. Zapory nie zawsze otwierają te porty, więc sieć VPN IKEv2 może nie być w stanie przechodzić przez serwery proxy i zapory.

Po dodaniu hosta rozszerzenia porty w zakresie 12495-30015 nie są wymagane.

Punkt końcowy (VIP) Host DNS rekord A Protokół Porty
AD FS Programu adfs. <region>.< Fqdn> HTTPS 443
Portal (administrator) Administratorportal. <region>.< Fqdn> HTTPS 443
Hostowanie administracyjne *.adminhosting.< region>.< Fqdn> HTTPS 443
Azure Resource Manager (administrator) Adminmanagement. <region>.< Fqdn> HTTPS 443
Portal (użytkownik) Portal. <region>.< Fqdn> HTTPS 443
Azure Resource Manager (użytkownik) Zarządzania. <region>.< Fqdn> HTTPS 443
Graph Graph. <region>.< Fqdn> HTTPS 443
Lista odwołania certyfikatów Crl.region<.<> Fqdn> HTTP 80
DNS *. <region>.< Fqdn> TCP & UDP 53
Hosting *.hosting.< region>.< Fqdn> HTTPS 443
Key Vault (użytkownik) *.vault. <region>.< Fqdn> HTTPS 443
Key Vault (administrator) *.adminvault. <region>.< Fqdn> HTTPS 443
Kolejka magazynu *.queue. <region>.< Fqdn> HTTP
HTTPS
80
443
tabela Storage *.table. <region>.< Fqdn> HTTP
HTTPS
80
443
Storage Blob *.blob. <region>.< Fqdn> HTTP
HTTPS
80
443
dostawca zasobów SQL sqladapter.dbadapter. <region>.< Fqdn> HTTPS 44300-44304
Dostawca zasobów MySQL mysqladapter.dbadapter. <region>.< Fqdn> HTTPS 44300-44304
App Service *.appservice. <region>.< Fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <region>.< Fqdn> TCP 443 (HTTPS)
api.appservice. <region>.< Fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. <region>.< Fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Bramy sieci VPN Zobacz często zadawane pytania dotyczące bramy sieci VPN.

Porty i adresy URL (wychodzące)

Usługa Azure Stack Hub obsługuje tylko przezroczyste serwery proxy. We wdrożeniu z przezroczystym połączeniem serwera proxy z tradycyjnym serwerem proxy należy zezwolić na porty i adresy URL w poniższej tabeli na potrzeby komunikacji wychodzącej. Aby uzyskać więcej informacji na temat konfigurowania przezroczystych serwerów proxy, zobacz [Transparent proxy for Azure Stack Hub]((.). /.. /operator/azure-stack-transparent-proxy.md).

Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do niepowodzeń usługi podczas uzyskiwania dostępu do punktów końcowych. Maksymalny obsługiwany limit czasu komunikacji z punktami końcowymi wymaganymi dla tożsamości wynosi 60s.

Uwaga

Usługa Azure Stack Hub nie obsługuje korzystania z usługi ExpressRoute w celu uzyskania dostępu do usług platformy Azure wymienionych w poniższej tabeli, ponieważ usługa ExpressRoute może nie być w stanie kierować ruchu do wszystkich punktów końcowych.

Przeznaczenie Docelowy adres URL Protokół/porty Sieć źródłowa Wymaganie
Tożsamość
Umożliwia usłudze Azure Stack Hub łączenie się z Azure Active Directory na potrzeby uwierzytelniania usługi użytkownika&.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure (Niemcy)
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Publiczny adres VIP — /27
Sieć infrastruktury publicznej
Obowiązkowe dla połączonego wdrożenia.
Syndykacja w witrynie Marketplace
Umożliwia pobieranie elementów do usługi Azure Stack Hub z witryny Marketplace i udostępnianie ich wszystkim użytkownikom przy użyciu środowiska usługi Azure Stack Hub.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Instrukcje dotyczące scenariusza rozłączonego umożliwiają przekazywanie obrazów do usługi Azure Stack Hub.
Aktualizacja poprawek &
Po nawiązaniu połączenia z punktami końcowymi aktualizacji aktualizacje oprogramowania i poprawki usługi Azure Stack Hub są wyświetlane jako dostępne do pobrania.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Instrukcje dotyczące rozłączonego połączenia wdrożenia umożliwiają ręczne pobranie i przygotowanie aktualizacji.
Rejestracja
Umożliwia zarejestrowanie usługi Azure Stack Hub na platformie Azure w celu pobrania elementów Azure Marketplace i skonfigurowania raportowania danych handlowych z powrotem do firmy Microsoft.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Możesz użyć scenariusza rozłączonego na potrzeby rejestracji w trybie offline.
Użycie
Umożliwia operatorom usługi Azure Stack Hub skonfigurowanie wystąpienia usługi Azure Stack Hub w celu raportowania danych użycia na platformie Azure.
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
HTTPS 443 Publiczny adres VIP — /27 Wymagany dla modelu licencjonowania opartego na użyciu usługi Azure Stack Hub.
Windows Defender
Umożliwia dostawcy zasobów aktualizacji pobieranie definicji oprogramowania chroniącego przed złośliwym kodem i aktualizacji aparatu wiele razy dziennie.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Publiczny adres VIP — /27
Sieć infrastruktury publicznej
Niewymagane. Aby zaktualizować pliki sygnatur oprogramowania antywirusowego, możesz użyć scenariusza rozłączonego.
NTP
Umożliwia usłudze Azure Stack Hub łączenie się z serwerami czasu.
(Adres IP serwera NTP dostarczonego do wdrożenia) UDP 123 Publiczny adres VIP — /27 Wymagane
DNS
Umożliwia usłudze Azure Stack Hub łączenie się z usługą przesyłania dalej serwera DNS.
(Adres IP serwera DNS dostarczonego do wdrożenia) TCP & UDP 53 Publiczny adres VIP — /27 Wymagane
SYSLOG
Umożliwia usłudze Azure Stack Hub wysyłanie komunikatu dziennika systemowego na potrzeby monitorowania lub zabezpieczeń.
(Adres IP serwera SYSLOG dostarczony do wdrożenia) TCP 6514,
UDP 514
Publiczny adres VIP — /27 Opcjonalne
LISTY CRL
Umożliwia usłudze Azure Stack Hub weryfikowanie certyfikatów i sprawdzanie odwołanych certyfikatów.
(Adres URL w obszarze Punkty dystrybucji listy CRL w certyfikacie)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Publiczny adres VIP — /27 Niewymagane. Zdecydowanie zalecane najlepsze rozwiązanie w zakresie zabezpieczeń.
LDAP
Umożliwia usłudze Azure Stack Hub komunikację z lokalną usługą Microsoft Active Directory.
Las usługi Active Directory udostępniony na potrzeby integracji Graph TCP & UDP 389 Publiczny adres VIP — /27 Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS.
LDAP SSL
Umożliwia usłudze Azure Stack Hub komunikację zaszyfrowaną z lokalną usługą Microsoft Active Directory.
Las usługi Active Directory udostępniony na potrzeby integracji Graph TCP 636 Publiczny adres VIP — /27 Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS.
LDAP GC
Umożliwia usłudze Azure Stack Hub komunikację z serwerami wykazu globalnego Firmy Microsoft Active.
Las usługi Active Directory udostępniony na potrzeby integracji Graph TCP 3268 Publiczny adres VIP — /27 Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS.
LDAP GC SSL
Umożliwia usłudze Azure Stack Hub komunikację zaszyfrowaną z serwerami wykazu globalnego usługi Microsoft Active Directory.
Las usługi Active Directory udostępniony na potrzeby integracji Graph TCP 3269 Publiczny adres VIP — /27 Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS.
AD FS
Umożliwia usłudze Azure Stack Hub komunikowanie się z lokalnymi usługami AD FS.
Punkt końcowy metadanych usług AD FS udostępniony na potrzeby integracji usług AD FS TCP 443 Publiczny adres VIP — /27 Opcjonalny. Zaufanie dostawcy oświadczeń usług AD FS można utworzyć przy użyciu pliku metadanych.
Zbieranie dzienników diagnostycznych
Umożliwia usłudze Azure Stack Hub proaktywne lub ręczne wysyłanie dzienników przez operatora do pomocy technicznej firmy Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Dzienniki można zapisywać lokalnie.

Adresy URL ruchu wychodzącego są zrównoważone przy użyciu usługi Azure Traffic Manager, aby zapewnić najlepszą możliwą łączność na podstawie lokalizacji geograficznej. Dzięki adresom URL ze zrównoważonym obciążeniem firma Microsoft może aktualizować i zmieniać punkty końcowe zaplecza bez wpływu na klientów. Firma Microsoft nie udostępnia listy adresów IP dla adresów URL ze zrównoważonym obciążeniem. Użyj urządzenia obsługującego filtrowanie według adresu URL, a nie przez adres IP.

System DNS dla ruchu wychodzącego jest wymagany przez cały czas; to, co różni się od źródła zapytań dotyczących zewnętrznego systemu DNS i jakiego typu integracja tożsamości została wybrana. Podczas wdrażania połączonego scenariusza program DVM, który znajduje się w sieci BMC, wymaga dostępu wychodzącego. Jednak po wdrożeniu usługa DNS przechodzi do składnika wewnętrznego, który będzie wysyłać zapytania za pośrednictwem publicznego adresu VIP. W tym czasie można usunąć wychodzący dostęp DNS za pośrednictwem sieci BMC, ale publiczny adres VIP dostępu do tego serwera DNS musi pozostać lub inne uwierzytelnianie zakończy się niepowodzeniem.

Następne kroki

Wymagania dotyczące infrastruktury kluczy publicznych usługi Azure Stack Hub