Publikowanie usług Azure Stack Hub w centrum danych — Modular Data Center (MDC)
Usługa Azure Stack Hub konfiguruje wirtualne adresy IP (VIP) dla ról infrastruktury. Te adresy VIP są przydzielane z publicznej puli adresów IP. Każdy adres VIP jest zabezpieczony za pomocą listy kontroli dostępu (ACL) w warstwie sieciowej zdefiniowanej programowo. Listy ACL są również używane w przełącznikach fizycznych (TORs i BMC), aby dodatkowo zwiększyć bezpieczeństwo rozwiązania. Wpis DNS jest tworzony dla każdego punktu końcowego w zewnętrznej strefie DNS określonej w czasie wdrażania. Na przykład portal użytkowników jest przypisany do wpisu hosta DNS portalu. <region>.<nazwa fqdn>.
Na poniższym diagramie architektury przedstawiono różne warstwy sieciowe i listy ACL:
Porty i adresy URL
Aby usługi Azure Stack Hub (takie jak portale, azure Resource Manager, DNS itd.) były dostępne dla sieci zewnętrznych, należy zezwolić na ruch przychodzący do tych punktów końcowych dla określonych adresów URL, portów i protokołów.
W przypadku wdrożenia, w którym przezroczyste pasma serwera proxy do tradycyjnego serwera proxy lub zapory chroni rozwiązanie, należy zezwolić na określone porty i adresy URL zarówno dla komunikacji przychodzącej , jak i wychodzącej . Obejmują one porty i adresy URL tożsamości, platformy handlowej, poprawki i aktualizacji, rejestracji i danych użycia.
Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do niepowodzeń usługi podczas uzyskiwania dostępu do punktów końcowych.
Porty i protokoły (ruch przychodzący)
Zestaw adresów VIP infrastruktury jest wymagany do publikowania punktów końcowych usługi Azure Stack Hub w sieciach zewnętrznych. Tabela Punkt końcowy (VIP) przedstawia każdy punkt końcowy, wymagany port i protokół. Zapoznaj się z dokumentacją wdrażania określonego dostawcy zasobów dla punktów końcowych, które wymagają dodatkowych dostawców zasobów, takich jak dostawca zasobów SQL.
Wewnętrzne adresy VIP infrastruktury nie są wymienione, ponieważ nie są one wymagane do publikowania usługi Azure Stack Hub. Adresy VIP użytkownika są dynamiczne i definiowane przez samych użytkowników bez kontroli operatora usługi Azure Stack Hub.
Uwaga
Sieć VPN IKEv2 to oparte na standardach rozwiązanie sieci VPN oparte na protokole IPsec, które korzysta z portu UDP 500 i 4500 i portu TCP 50. Zapory nie zawsze otwierają te porty, więc sieć VPN IKEv2 może nie być w stanie przechodzić przez serwery proxy i zapory.
Po dodaniu hosta rozszerzenia porty w zakresie 12495-30015 nie są wymagane.
| Punkt końcowy (VIP) | Host DNS rekord A | Protokół | Porty |
|---|---|---|---|
| AD FS | Programu adfs. <region>.<Fqdn> | HTTPS | 443 |
| Portal (administrator) | Administratorportal. <region>.<Fqdn> | HTTPS | 443 |
| Hostowanie administracyjne | *.adminhosting.<region>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (administrator) | Adminmanagement. <region>.<Fqdn> | HTTPS | 443 |
| Portal (użytkownik) | Portal. <region>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (użytkownik) | Zarządzania. <region>.<Fqdn> | HTTPS | 443 |
| Graph | Wykres. <region>.<Fqdn> | HTTPS | 443 |
| Lista odwołania certyfikatów | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <region>.<Fqdn> | TCP & UDP | 53 |
| Hosting | *.Hosting.<region>.<Fqdn> | HTTPS | 443 |
| Key Vault (użytkownik) | *.Vault. <region>.<Fqdn> | HTTPS | 443 |
| Key Vault (administrator) | *.adminvault. <region>.<Fqdn> | HTTPS | 443 |
| Kolejka magazynu | *.Kolejki. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Tabela magazynu | *.Tabeli. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Blob | *.Blob. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Dostawca zasobów SQL | sqladapter.dbadapter. <region>.<Fqdn> | HTTPS | 44300-44304 |
| Dostawca zasobów MySQL | mysqladapter.dbadapter. <region>.<Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <region>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <region>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <region>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <region>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Bramy sieci VPN | Zobacz często zadawane pytania dotyczące bramy sieci VPN. | ||
Porty i adresy URL (wychodzące)
Usługa Azure Stack Hub obsługuje tylko przezroczyste serwery proxy. W przypadku wdrożenia z przezroczystym łączem serwera proxy do tradycyjnego serwera proxy należy zezwolić na porty i adresy URL w poniższej tabeli na potrzeby komunikacji wychodzącej. Aby uzyskać więcej informacji na temat konfigurowania przezroczystych serwerów proxy, zobacz [Przezroczysty serwer proxy dla usługi Azure Stack Hub]((.. /.. /operator/azure-stack-transparent-proxy.md).
Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do błędów usługi podczas uzyskiwania dostępu do punktów końcowych. Maksymalny obsługiwany limit czasu komunikacji z punktami końcowymi wymaganymi dla tożsamości wynosi 60s.
Uwaga
Usługa Azure Stack Hub nie obsługuje korzystania z usługi ExpressRoute w celu uzyskania dostępu do usług platformy Azure wymienionych w poniższej tabeli, ponieważ usługa ExpressRoute może nie być w stanie kierować ruchu do wszystkich punktów końcowych.
| Przeznaczenie | Docelowy adres URL | Protokół/porty | Sieć źródłowa | Wymaganie |
|---|---|---|---|---|
| Tożsamość Umożliwia usłudze Azure Stack Hub łączenie się z identyfikatorem Microsoft Entra na potrzeby uwierzytelniania usługi & Użytkownika. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure (Niemcy) https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Publiczny adres VIP — /27 Sieć infrastruktury publicznej |
Obowiązkowe dla połączonego wdrożenia. |
| Syndykacja w witrynie Marketplace Umożliwia pobieranie elementów do usługi Azure Stack Hub z witryny Marketplace i udostępnianie ich wszystkim użytkownikom przy użyciu środowiska usługi Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/ |
HTTPS 443 | Publiczny adres VIP — /27 | Niewymagane. Skorzystaj z instrukcji dotyczących scenariusza bez połączenia , aby przekazać obrazy do usługi Azure Stack Hub. |
| Aktualizacja & poprawek Po nawiązaniu połączenia z punktami końcowymi aktualizacji oprogramowania i poprawek usługi Azure Stack Hub są wyświetlane jako dostępne do pobrania. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Publiczny adres VIP — /27 | Niewymagane. Instrukcje dotyczące połączenia z odłączonym wdrożeniem umożliwiają ręczne pobranie i przygotowanie aktualizacji. |
| Rejestracja Umożliwia zarejestrowanie usługi Azure Stack Hub na platformie Azure w celu pobrania Azure Marketplace elementów i skonfigurowania raportowania danych handlowych z powrotem do firmy Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/ |
HTTPS 443 | Publiczny adres VIP — /27 | Niewymagane. Możesz użyć scenariusza rozłączonego na potrzeby rejestracji w trybie offline. |
| Użycie Umożliwia operatorom usługi Azure Stack Hub skonfigurowanie wystąpienia usługi Azure Stack Hub w celu raportowania danych użycia na platformie Azure. |
Azurehttps://*.trafficmanager.netAzure Government https://*.usgovtrafficmanager.net |
HTTPS 443 | Publiczny adres VIP — /27 | Wymagane dla modelu licencjonowania opartego na użyciu usługi Azure Stack Hub. |
| Windows Defender Umożliwia dostawcy zasobów aktualizacji pobieranie definicji oprogramowania chroniącego przed złośliwym kodem i aktualizacji aparatu wiele razy dziennie. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Publiczny adres VIP — /27 Sieć infrastruktury publicznej |
Niewymagane. Możesz użyć scenariusza rozłączonego, aby zaktualizować pliki sygnatur oprogramowania antywirusowego. |
| NTP Umożliwia usłudze Azure Stack Hub łączenie się z serwerami czasu. |
(Adres IP serwera NTP dostarczonego do wdrożenia) | UDP 123 | Publiczny adres VIP — /27 | Wymagane |
| DNS Umożliwia usłudze Azure Stack Hub łączenie się z usługą przesyłania dalej serwera DNS. |
(Adres IP serwera DNS dostarczonego do wdrożenia) | TCP & UDP 53 | Publiczny adres VIP — /27 | Wymagane |
| SYSLOG Umożliwia usłudze Azure Stack Hub wysyłanie komunikatów dziennika systemowego na potrzeby monitorowania lub zabezpieczeń. |
(Adres IP serwera SYSLOG udostępniony do wdrożenia) | TCP 6514, UDP 514 |
Publiczny adres VIP — /27 | Opcjonalne |
| Listy crl Umożliwia usłudze Azure Stack Hub weryfikowanie certyfikatów i sprawdzanie odwołanych certyfikatów. |
(Adres URL w obszarze Punkty dystrybucji listy CRL w certyfikacie)http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Publiczny adres VIP — /27 | Niewymagane. Zdecydowanie zalecane najlepsze rozwiązanie w zakresie zabezpieczeń. |
| LDAP Umożliwia usłudze Azure Stack Hub komunikację z lokalną usługą Microsoft Active Directory. |
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph | TCP & UDP 389 | Publiczny adres VIP — /27 | Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS. |
| LDAP SSL Umożliwia usłudze Azure Stack Hub komunikację zaszyfrowaną z lokalną usługą Microsoft Active Directory. |
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph | TCP 636 | Publiczny adres VIP — /27 | Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS. |
| LDAP GC Umożliwia usłudze Azure Stack Hub komunikowanie się z serwerami wykazu globalnego firmy Microsoft. |
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph | TCP 3268 | Publiczny adres VIP — /27 | Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS. |
| LDAP GC SSL Umożliwia usłudze Azure Stack Hub komunikację zaszyfrowaną z serwerami wykazu globalnego usługi Microsoft Active Directory. |
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph | TCP 3269 | Publiczny adres VIP — /27 | Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS. |
| AD FS Umożliwia usłudze Azure Stack Hub komunikowanie się z lokalnymi usługami AD FS. |
Punkt końcowy metadanych usług AD FS udostępniony na potrzeby integracji z usługami AD FS | TCP 443 | Publiczny adres VIP — /27 | Opcjonalny. Zaufanie dostawcy oświadczeń usług AD FS można utworzyć przy użyciu pliku metadanych. |
| Zbieranie dzienników diagnostycznych Umożliwia usłudze Azure Stack Hub proaktywne lub ręczne wysyłanie dzienników przez operatora do pomocy technicznej firmy Microsoft. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Publiczny adres VIP — /27 | Niewymagane. Dzienniki można zapisywać lokalnie. |
Adresy URL ruchu wychodzącego są zrównoważone przy użyciu usługi Azure Traffic Manager w celu zapewnienia najlepszej możliwej łączności na podstawie lokalizacji geograficznej. Dzięki adresom URL ze zrównoważonym obciążeniem firma Microsoft może aktualizować i zmieniać punkty końcowe zaplecza bez wpływu na klientów. Firma Microsoft nie udostępnia listy adresów IP dla adresów URL o zrównoważonym obciążeniu. Użyj urządzenia, które obsługuje filtrowanie według adresu URL, a nie według adresu IP.
Wychodzący system DNS jest wymagany przez cały czas; czym różni się źródło, które wysyła zapytanie do zewnętrznego systemu DNS i jakiego typu integracja tożsamości została wybrana. Podczas wdrażania połączonego scenariusza dysk DVM, który znajduje się w sieci kontrolera BMC, wymaga dostępu wychodzącego. Jednak po wdrożeniu usługa DNS przechodzi do składnika wewnętrznego, który będzie wysyłać zapytania za pośrednictwem publicznego adresu VIP. W tym czasie można usunąć wychodzący dostęp DNS za pośrednictwem sieci BMC, ale publiczny adres VIP dostępu do tego serwera DNS musi pozostać lub inne uwierzytelnianie zakończy się niepowodzeniem.
Następne kroki
Wymagania dotyczące infrastruktury kluczy publicznych usługi Azure Stack Hub
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla