Udostępnij za pośrednictwem


Publikowanie usług Azure Stack Hub w centrum danych

Usługa Azure Stack Hub konfiguruje wirtualne adresy IP (VIP) dla ról infrastruktury. Te adresy VIP są przydzielane z puli publicznych adresów IP. Każdy adres VIP jest zabezpieczony za pomocą listy kontroli dostępu (ACL) w warstwie sieci zdefiniowanej programowo. Listy ACL są również używane w przełącznikach fizycznych (TORs i BMC) w celu dalszego wzmacniania funkcjonalności rozwiązania. Wpis DNS jest tworzony dla każdego punktu końcowego w zewnętrznej strefie DNS określonej w czasie wdrażania. Na przykład portal użytkowników jest przypisany wpis hosta DNS portalu. <region>.<fqdn>.

Na poniższym diagramie architektury przedstawiono różne warstwy sieciowe i listy ACL:

Diagram przedstawiający różne warstwy sieciowe i listy ACL

Porty i adresy URL

Aby usługi Azure Stack Hub (takie jak portale, azure Resource Manager, DNS itd.) były dostępne dla sieci zewnętrznych, należy zezwolić na ruch przychodzący do tych punktów końcowych dla określonych adresów URL, portów i protokołów.

W przypadku wdrożenia, w którym przezroczyste pasma serwera proxy do tradycyjnego serwera proxy lub zapora chroni rozwiązanie, należy zezwolić na określone porty i adresy URL zarówno dla komunikacji przychodzącej , jak i wychodzącej . Obejmują one porty i adresy URL tożsamości, platformę handlową, poprawkę i aktualizację, rejestrację i dane użycia.

Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do błędów usługi podczas uzyskiwania dostępu do punktów końcowych.

Porty i protokoły (przychodzące)

Zestaw adresów VIP infrastruktury jest wymagany do publikowania punktów końcowych usługi Azure Stack Hub w sieciach zewnętrznych. Tabela Punkt końcowy (VIP) zawiera każdy punkt końcowy, wymagany port i protokół. Zapoznaj się z dokumentacją wdrażania określonego dostawcy zasobów dla punktów końcowych, które wymagają dodatkowych dostawców zasobów, takich jak dostawca zasobów SQL.

Adresy VIP infrastruktury wewnętrznej nie są wyświetlane, ponieważ nie są wymagane do publikowania usługi Azure Stack Hub. Adresy VIP użytkowników są dynamiczne i definiowane przez samych użytkowników bez kontroli operatora usługi Azure Stack Hub.

Po dodaniu hosta rozszerzenia porty z zakresu od 12495 do 30015 nie są wymagane.

Punkt końcowy (VIP) Rekord A hosta DNS Protokół Porty
AD FS Programu adfs. <region>.<Fqdn> HTTPS 443
Portal (administrator) Administratorportal. <region>.<Fqdn> HTTPS 443
Hostowanie administracyjne *.adminhosting.<region>.<Fqdn> HTTPS 443
Azure Resource Manager (administrator) Administracja. <region>.<Fqdn> HTTPS 443
Portal (użytkownik) Portal. <region>.<Fqdn> HTTPS 443
Azure Resource Manager (użytkownik) Zarządzania. <region>.<Fqdn> HTTPS 443
Graph Wykres. <region>.<Fqdn> HTTPS 443
Lista odwołania certyfikatów Crl.region<.<>Fqdn> HTTP 80
DNS *. <region>.<Fqdn> TCP & UDP 53
Hosting *.Hosting.<region>.<Fqdn> HTTPS 443
Key Vault (użytkownik) *.Vault. <region>.<Fqdn> HTTPS 443
Key Vault (administrator) *.adminvault. <region>.<Fqdn> HTTPS 443
Kolejka magazynu *.Kolejki. <region>.<Fqdn> HTTP
HTTPS
80
443
Tabela magazynu *.Tabeli. <region>.<Fqdn> HTTP
HTTPS
80
443
Storage Blob *.Blob. <region>.<Fqdn> HTTP
HTTPS
80
443
Dostawca zasobów SQL sqladapter.dbadapter. <region>.<Fqdn> HTTPS 44300-44304
Dostawca zasobów MySQL mysqladapter.dbadapter. <region>.<Fqdn> HTTPS 44300-44304
App Service *.appservice. <region>.<Fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <region>.<Fqdn> TCP 443 (HTTPS)
api.appservice. <region>.<Fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. <region>.<Fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Bramy sieci VPN Protokół IP 50 & UDP Encapsulation Security Payload (ESP) IPSec & UDP 500 i 4500

Porty i adresy URL (wychodzące)

Usługa Azure Stack Hub obsługuje tylko przezroczyste serwery proxy. W przypadku wdrożenia z przezroczystym łączem serwera proxy do tradycyjnego serwera proxy należy zezwolić na porty i adresy URL w poniższej tabeli na potrzeby komunikacji wychodzącej. Aby uzyskać więcej informacji na temat konfigurowania przezroczystych serwerów proxy, zobacz Przezroczysty serwer proxy dla usługi Azure Stack Hub.

Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do błędów usługi podczas uzyskiwania dostępu do punktów końcowych. Maksymalny obsługiwany limit czasu komunikacji z punktami końcowymi wymaganymi dla tożsamości wynosi 60s.

Uwaga

Usługa Azure Stack Hub nie obsługuje korzystania z usługi ExpressRoute w celu uzyskania dostępu do usług platformy Azure wymienionych w poniższej tabeli, ponieważ usługa ExpressRoute może nie być w stanie kierować ruchu do wszystkich punktów końcowych.

Przeznaczenie Docelowy adres URL Protokół/porty Sieć źródłowa Wymaganie
Tożsamość
Umożliwia usłudze Azure Stack Hub łączenie się z identyfikatorem Microsoft Entra na potrzeby uwierzytelniania usługi & Użytkownika.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure w Chinach — 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure (Niemcy)
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Publiczny adres VIP — /27
Sieć infrastruktury publicznej
Obowiązkowe dla połączonego wdrożenia.
Syndykacja w witrynie Marketplace
Umożliwia pobieranie elementów do usługi Azure Stack Hub z witryny Marketplace i udostępnianie ich wszystkim użytkownikom przy użyciu środowiska usługi Azure Stack Hub.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure w Chinach — 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Skorzystaj z instrukcji dotyczących scenariusza bez połączenia , aby przekazać obrazy do usługi Azure Stack Hub.
Aktualizacja & poprawek
Po nawiązaniu połączenia z punktami końcowymi aktualizacji oprogramowania i poprawek usługi Azure Stack Hub są wyświetlane jako dostępne do pobrania.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Instrukcje dotyczące połączenia z odłączonym wdrożeniem umożliwiają ręczne pobranie i przygotowanie aktualizacji.
Rejestracja
Umożliwia zarejestrowanie usługi Azure Stack Hub na platformie Azure w celu pobrania Azure Marketplace elementów i skonfigurowania raportowania danych handlowych z powrotem do firmy Microsoft.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure w Chinach — 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Możesz użyć scenariusza rozłączonego na potrzeby rejestracji w trybie offline.
Użycie
Umożliwia operatorom usługi Azure Stack Hub skonfigurowanie wystąpienia usługi Azure Stack Hub w celu raportowania danych użycia na platformie Azure.
Azure
https://*.trafficmanager.net
https://*.cloudapp.azure.com
Azure Government
https://*.usgovtrafficmanager.net
https://*.cloudapp.usgovcloudapi.net
Azure w Chinach — 21Vianet
https://*.trafficmanager.cn
https://*.cloudapp.chinacloudapi.cn
HTTPS 443 Publiczny adres VIP — /27 Wymagane dla modelu licencjonowania opartego na użyciu usługi Azure Stack Hub.
Windows Defender
Umożliwia dostawcy zasobów aktualizacji pobieranie definicji oprogramowania chroniącego przed złośliwym kodem i aktualizacji aparatu wiele razy dziennie.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Publiczny adres VIP — /27
Sieć infrastruktury publicznej
Niewymagane. Możesz użyć scenariusza rozłączonego, aby zaktualizować pliki sygnatur oprogramowania antywirusowego.
NTP
Umożliwia usłudze Azure Stack Hub łączenie się z serwerami czasu.
(Adres IP serwera NTP dostarczonego do wdrożenia) UDP 123 Publiczny adres VIP — /27 Wymagane
DNS
Umożliwia usłudze Azure Stack Hub łączenie się z usługą przesyłania dalej serwera DNS.
(Adres IP serwera DNS dostarczonego do wdrożenia) TCP & UDP 53 Publiczny adres VIP — /27 Wymagane
SYSLOG
Umożliwia usłudze Azure Stack Hub wysyłanie komunikatów dziennika systemowego na potrzeby monitorowania lub zabezpieczeń.
(Adres IP serwera SYSLOG udostępniony do wdrożenia) TCP 6514,
UDP 514
Publiczny adres VIP — /27 Opcjonalne
Listy crl
Umożliwia usłudze Azure Stack Hub weryfikowanie certyfikatów i sprawdzanie odwołanych certyfikatów.
Adres URL w obszarze Punkty dystrybucji listy CRL na certyfikatach HTTP 80 Publiczny adres VIP — /27 Wymagane
Listy crl
Umożliwia usłudze Azure Stack Hub weryfikowanie certyfikatów i sprawdzanie odwołanych certyfikatów.
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Publiczny adres VIP — /27 Niewymagane. Zdecydowanie zalecane najlepsze rozwiązanie w zakresie zabezpieczeń.
LDAP
Umożliwia usłudze Azure Stack Hub komunikację z lokalną usługą Microsoft Active Directory.
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph TCP & UDP 389 Publiczny adres VIP — /27 Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS.
LDAP SSL
Umożliwia usłudze Azure Stack Hub komunikację zaszyfrowaną z lokalną usługą Microsoft Active Directory.
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph TCP 636 Publiczny adres VIP — /27 Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS.
LDAP GC
Umożliwia usłudze Azure Stack Hub komunikowanie się z serwerami wykazu globalnego firmy Microsoft.
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph TCP 3268 Publiczny adres VIP — /27 Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS.
LDAP GC SSL
Umożliwia usłudze Azure Stack Hub komunikację zaszyfrowaną z serwerami wykazu globalnego usługi Microsoft Active Directory.
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph TCP 3269 Publiczny adres VIP — /27 Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS.
AD FS
Umożliwia usłudze Azure Stack Hub komunikowanie się z lokalnymi usługami AD FS.
Punkt końcowy metadanych usług AD FS udostępniony na potrzeby integracji z usługami AD FS TCP 443 Publiczny adres VIP — /27 Opcjonalny. Zaufanie dostawcy oświadczeń usług AD FS można utworzyć przy użyciu pliku metadanych.
Zbieranie dzienników diagnostycznych
Umożliwia usłudze Azure Stack Hub proaktywne lub ręczne wysyłanie dzienników przez operatora do pomocy technicznej firmy Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Dzienniki można zapisywać lokalnie.
Zdalna obsługa
Umożliwia specjalistom pomocy technicznej firmy Microsoft szybsze rozwiązywanie problemów dzięki możliwości zdalnego dostępu do urządzenia w celu wykonywania ograniczonych operacji rozwiązywania problemów i naprawy.
https://edgesupprd.trafficmanager.net
https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com
https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com
https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com
https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com
https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com
*.servicebus.windows.net
HTTPS 443 Publiczny adres VIP — /27 Niewymagane.
Telemetria
Umożliwia usłudze Azure Stack Hub wysyłanie danych telemetrycznych do firmy Microsoft.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
Począwszy od wersji 2108, wymagane są również następujące punkty końcowe:
https://*.blob.core.windows.net/
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/
HTTPS 443 Publiczny adres VIP — /27 Wymagane, gdy włączono telemetrię usługi Azure Stack Hub.

Adresy URL ruchu wychodzącego są zrównoważone przy użyciu usługi Azure Traffic Manager w celu zapewnienia najlepszej możliwej łączności na podstawie lokalizacji geograficznej. Dzięki adresom URL ze zrównoważonym obciążeniem firma Microsoft może aktualizować i zmieniać punkty końcowe zaplecza bez wpływu na klientów. Firma Microsoft nie udostępnia listy adresów IP dla adresów URL o zrównoważonym obciążeniu. Użyj urządzenia, które obsługuje filtrowanie według adresu URL, a nie według adresu IP.

Wychodzący system DNS jest wymagany przez cały czas; czym różni się źródło, które wysyła zapytanie do zewnętrznego systemu DNS i jakiego typu integracja tożsamości została wybrana. Podczas wdrażania połączonego scenariusza dysk DVM, który znajduje się w sieci kontrolera BMC, wymaga dostępu wychodzącego. Jednak po wdrożeniu usługa DNS przechodzi do składnika wewnętrznego, który będzie wysyłać zapytania za pośrednictwem publicznego adresu VIP. W tym czasie można usunąć wychodzący dostęp DNS za pośrednictwem sieci BMC, ale publiczny adres VIP dostępu do tego serwera DNS musi pozostać lub inne uwierzytelnianie zakończy się niepowodzeniem.

Następne kroki

Wymagania dotyczące infrastruktury kluczy publicznych usługi Azure Stack Hub