Publikowanie usług Azure Stack Hub w centrum danych
Usługa Azure Stack Hub konfiguruje wirtualne adresy IP (VIP) dla ról infrastruktury. Te adresy VIP są przydzielane z puli publicznych adresów IP. Każdy adres VIP jest zabezpieczony za pomocą listy kontroli dostępu (ACL) w warstwie sieci zdefiniowanej programowo. Listy ACL są również używane w przełącznikach fizycznych (TORs i BMC) w celu dalszego wzmacniania funkcjonalności rozwiązania. Wpis DNS jest tworzony dla każdego punktu końcowego w zewnętrznej strefie DNS określonej w czasie wdrażania. Na przykład portal użytkowników jest przypisany wpis hosta DNS portalu. <region>.<fqdn>.
Na poniższym diagramie architektury przedstawiono różne warstwy sieciowe i listy ACL:
Porty i adresy URL
Aby usługi Azure Stack Hub (takie jak portale, azure Resource Manager, DNS itd.) były dostępne dla sieci zewnętrznych, należy zezwolić na ruch przychodzący do tych punktów końcowych dla określonych adresów URL, portów i protokołów.
W przypadku wdrożenia, w którym przezroczyste pasma serwera proxy do tradycyjnego serwera proxy lub zapora chroni rozwiązanie, należy zezwolić na określone porty i adresy URL zarówno dla komunikacji przychodzącej , jak i wychodzącej . Obejmują one porty i adresy URL tożsamości, platformę handlową, poprawkę i aktualizację, rejestrację i dane użycia.
Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do błędów usługi podczas uzyskiwania dostępu do punktów końcowych.
Porty i protokoły (przychodzące)
Zestaw adresów VIP infrastruktury jest wymagany do publikowania punktów końcowych usługi Azure Stack Hub w sieciach zewnętrznych. Tabela Punkt końcowy (VIP) zawiera każdy punkt końcowy, wymagany port i protokół. Zapoznaj się z dokumentacją wdrażania określonego dostawcy zasobów dla punktów końcowych, które wymagają dodatkowych dostawców zasobów, takich jak dostawca zasobów SQL.
Adresy VIP infrastruktury wewnętrznej nie są wyświetlane, ponieważ nie są wymagane do publikowania usługi Azure Stack Hub. Adresy VIP użytkowników są dynamiczne i definiowane przez samych użytkowników bez kontroli operatora usługi Azure Stack Hub.
Po dodaniu hosta rozszerzenia porty z zakresu od 12495 do 30015 nie są wymagane.
| Punkt końcowy (VIP) | Rekord A hosta DNS | Protokół | Porty |
|---|---|---|---|
| AD FS | Programu adfs. <region>.<Fqdn> | HTTPS | 443 |
| Portal (administrator) | Administratorportal. <region>.<Fqdn> | HTTPS | 443 |
| Hostowanie administracyjne | *.adminhosting.<region>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (administrator) | Administracja. <region>.<Fqdn> | HTTPS | 443 |
| Portal (użytkownik) | Portal. <region>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (użytkownik) | Zarządzania. <region>.<Fqdn> | HTTPS | 443 |
| Graph | Wykres. <region>.<Fqdn> | HTTPS | 443 |
| Lista odwołania certyfikatów | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <region>.<Fqdn> | TCP & UDP | 53 |
| Hosting | *.Hosting.<region>.<Fqdn> | HTTPS | 443 |
| Key Vault (użytkownik) | *.Vault. <region>.<Fqdn> | HTTPS | 443 |
| Key Vault (administrator) | *.adminvault. <region>.<Fqdn> | HTTPS | 443 |
| Kolejka magazynu | *.Kolejki. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Tabela magazynu | *.Tabeli. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Blob | *.Blob. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Dostawca zasobów SQL | sqladapter.dbadapter. <region>.<Fqdn> | HTTPS | 44300-44304 |
| Dostawca zasobów MySQL | mysqladapter.dbadapter. <region>.<Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <region>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <region>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <region>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <region>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Bramy sieci VPN | Protokół IP 50 & UDP | Encapsulation Security Payload (ESP) IPSec & UDP 500 i 4500 |
Porty i adresy URL (wychodzące)
Usługa Azure Stack Hub obsługuje tylko przezroczyste serwery proxy. W przypadku wdrożenia z przezroczystym łączem serwera proxy do tradycyjnego serwera proxy należy zezwolić na porty i adresy URL w poniższej tabeli na potrzeby komunikacji wychodzącej. Aby uzyskać więcej informacji na temat konfigurowania przezroczystych serwerów proxy, zobacz Przezroczysty serwer proxy dla usługi Azure Stack Hub.
Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do błędów usługi podczas uzyskiwania dostępu do punktów końcowych. Maksymalny obsługiwany limit czasu komunikacji z punktami końcowymi wymaganymi dla tożsamości wynosi 60s.
Uwaga
Usługa Azure Stack Hub nie obsługuje korzystania z usługi ExpressRoute w celu uzyskania dostępu do usług platformy Azure wymienionych w poniższej tabeli, ponieważ usługa ExpressRoute może nie być w stanie kierować ruchu do wszystkich punktów końcowych.
| Przeznaczenie | Docelowy adres URL | Protokół/porty | Sieć źródłowa | Wymaganie |
|---|---|---|---|---|
|
Tożsamość Umożliwia usłudze Azure Stack Hub łączenie się z identyfikatorem Microsoft Entra na potrzeby uwierzytelniania usługi & Użytkownika. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure w Chinach — 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure (Niemcy) https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Publiczny adres VIP — /27 Sieć infrastruktury publicznej |
Obowiązkowe dla połączonego wdrożenia. |
|
Syndykacja w witrynie Marketplace Umożliwia pobieranie elementów do usługi Azure Stack Hub z witryny Marketplace i udostępnianie ich wszystkim użytkownikom przy użyciu środowiska usługi Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure w Chinach — 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Publiczny adres VIP — /27 | Niewymagane. Skorzystaj z instrukcji dotyczących scenariusza bez połączenia , aby przekazać obrazy do usługi Azure Stack Hub. |
|
Aktualizacja & poprawek Po nawiązaniu połączenia z punktami końcowymi aktualizacji oprogramowania i poprawek usługi Azure Stack Hub są wyświetlane jako dostępne do pobrania. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Publiczny adres VIP — /27 | Niewymagane. Instrukcje dotyczące połączenia z odłączonym wdrożeniem umożliwiają ręczne pobranie i przygotowanie aktualizacji. |
|
Rejestracja Umożliwia zarejestrowanie usługi Azure Stack Hub na platformie Azure w celu pobrania Azure Marketplace elementów i skonfigurowania raportowania danych handlowych z powrotem do firmy Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure w Chinach — 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Publiczny adres VIP — /27 | Niewymagane. Możesz użyć scenariusza rozłączonego na potrzeby rejestracji w trybie offline. |
|
Użycie Umożliwia operatorom usługi Azure Stack Hub skonfigurowanie wystąpienia usługi Azure Stack Hub w celu raportowania danych użycia na platformie Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure w Chinach — 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Publiczny adres VIP — /27 | Wymagane dla modelu licencjonowania opartego na użyciu usługi Azure Stack Hub. |
|
Windows Defender Umożliwia dostawcy zasobów aktualizacji pobieranie definicji oprogramowania chroniącego przed złośliwym kodem i aktualizacji aparatu wiele razy dziennie. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Publiczny adres VIP — /27 Sieć infrastruktury publicznej |
Niewymagane. Możesz użyć scenariusza rozłączonego, aby zaktualizować pliki sygnatur oprogramowania antywirusowego. |
|
NTP Umożliwia usłudze Azure Stack Hub łączenie się z serwerami czasu. |
(Adres IP serwera NTP dostarczonego do wdrożenia) | UDP 123 | Publiczny adres VIP — /27 | Wymagane |
|
DNS Umożliwia usłudze Azure Stack Hub łączenie się z usługą przesyłania dalej serwera DNS. |
(Adres IP serwera DNS dostarczonego do wdrożenia) | TCP & UDP 53 | Publiczny adres VIP — /27 | Wymagane |
|
SYSLOG Umożliwia usłudze Azure Stack Hub wysyłanie komunikatów dziennika systemowego na potrzeby monitorowania lub zabezpieczeń. |
(Adres IP serwera SYSLOG udostępniony do wdrożenia) | TCP 6514, UDP 514 |
Publiczny adres VIP — /27 | Opcjonalne |
|
Listy crl Umożliwia usłudze Azure Stack Hub weryfikowanie certyfikatów i sprawdzanie odwołanych certyfikatów. |
Adres URL w obszarze Punkty dystrybucji listy CRL na certyfikatach | HTTP 80 | Publiczny adres VIP — /27 | Wymagane |
|
Listy crl Umożliwia usłudze Azure Stack Hub weryfikowanie certyfikatów i sprawdzanie odwołanych certyfikatów. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Publiczny adres VIP — /27 | Niewymagane. Zdecydowanie zalecane najlepsze rozwiązanie w zakresie zabezpieczeń. |
|
LDAP Umożliwia usłudze Azure Stack Hub komunikację z lokalną usługą Microsoft Active Directory. |
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph | TCP & UDP 389 | Publiczny adres VIP — /27 | Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS. |
|
LDAP SSL Umożliwia usłudze Azure Stack Hub komunikację zaszyfrowaną z lokalną usługą Microsoft Active Directory. |
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph | TCP 636 | Publiczny adres VIP — /27 | Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS. |
|
LDAP GC Umożliwia usłudze Azure Stack Hub komunikowanie się z serwerami wykazu globalnego firmy Microsoft. |
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph | TCP 3268 | Publiczny adres VIP — /27 | Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS. |
|
LDAP GC SSL Umożliwia usłudze Azure Stack Hub komunikację zaszyfrowaną z serwerami wykazu globalnego usługi Microsoft Active Directory. |
Las usługi Active Directory udostępniony na potrzeby integracji z programem Graph | TCP 3269 | Publiczny adres VIP — /27 | Wymagane, gdy usługa Azure Stack Hub jest wdrażana przy użyciu usług AD FS. |
|
AD FS Umożliwia usłudze Azure Stack Hub komunikowanie się z lokalnymi usługami AD FS. |
Punkt końcowy metadanych usług AD FS udostępniony na potrzeby integracji z usługami AD FS | TCP 443 | Publiczny adres VIP — /27 | Opcjonalny. Zaufanie dostawcy oświadczeń usług AD FS można utworzyć przy użyciu pliku metadanych. |
|
Zbieranie dzienników diagnostycznych Umożliwia usłudze Azure Stack Hub proaktywne lub ręczne wysyłanie dzienników przez operatora do pomocy technicznej firmy Microsoft. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Publiczny adres VIP — /27 | Niewymagane. Dzienniki można zapisywać lokalnie. |
|
Zdalna obsługa Umożliwia specjalistom pomocy technicznej firmy Microsoft szybsze rozwiązywanie problemów dzięki możliwości zdalnego dostępu do urządzenia w celu wykonywania ograniczonych operacji rozwiązywania problemów i naprawy. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | Publiczny adres VIP — /27 | Niewymagane. |
|
Telemetria Umożliwia usłudze Azure Stack Hub wysyłanie danych telemetrycznych do firmy Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comPocząwszy od wersji 2108, wymagane są również następujące punkty końcowe: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Publiczny adres VIP — /27 | Wymagane, gdy włączono telemetrię usługi Azure Stack Hub. |
Adresy URL ruchu wychodzącego są zrównoważone przy użyciu usługi Azure Traffic Manager w celu zapewnienia najlepszej możliwej łączności na podstawie lokalizacji geograficznej. Dzięki adresom URL ze zrównoważonym obciążeniem firma Microsoft może aktualizować i zmieniać punkty końcowe zaplecza bez wpływu na klientów. Firma Microsoft nie udostępnia listy adresów IP dla adresów URL o zrównoważonym obciążeniu. Użyj urządzenia, które obsługuje filtrowanie według adresu URL, a nie według adresu IP.
Wychodzący system DNS jest wymagany przez cały czas; czym różni się źródło, które wysyła zapytanie do zewnętrznego systemu DNS i jakiego typu integracja tożsamości została wybrana. Podczas wdrażania połączonego scenariusza dysk DVM, który znajduje się w sieci kontrolera BMC, wymaga dostępu wychodzącego. Jednak po wdrożeniu usługa DNS przechodzi do składnika wewnętrznego, który będzie wysyłać zapytania za pośrednictwem publicznego adresu VIP. W tym czasie można usunąć wychodzący dostęp DNS za pośrednictwem sieci BMC, ale publiczny adres VIP dostępu do tego serwera DNS musi pozostać lub inne uwierzytelnianie zakończy się niepowodzeniem.
Następne kroki
Wymagania dotyczące infrastruktury kluczy publicznych usługi Azure Stack Hub