Partilhar via


Publicar serviços do Azure Stack Hub no seu datacenter

O Azure Stack Hub configura endereços IP virtuais (VIPs) para as respetivas funções de infraestrutura. Estes VIPs são alocados a partir do conjunto de endereços IP públicos. Cada VIP é protegido com uma lista de controlo de acesso (ACL) na camada de rede definida pelo software. As ACLs também são utilizadas nos comutadores físicos (TORs e BMC) para proteger ainda mais a solução. É criada uma entrada DNS para cada ponto final na zona DNS externa especificada no momento da implementação. Por exemplo, é atribuída ao portal de utilizador a entrada de anfitrião DNS do portal. <região>.<fqdn>.

O seguinte diagrama de arquitetura mostra as diferentes camadas de rede e ACLs:

Diagrama a mostrar diferentes camadas de rede e ACLs

Portas e URLs

Para disponibilizar serviços do Azure Stack Hub (como portais, Resource Manager do Azure, DNS, etc.) para redes externas, tem de permitir tráfego de entrada para estes pontos finais para URLs, portas e protocolos específicos.

Numa implementação em que um uplink de proxy transparente para um servidor proxy tradicional ou uma firewall está a proteger a solução, tem de permitir portas e URLs específicos para comunicação de entrada e saída . Estes incluem portas e URLs para identidade, marketplace, patch e atualização, registo e dados de utilização.

A intercepção de tráfego SSL não é suportada e pode originar falhas de serviço ao aceder a pontos finais.

Portas e protocolos (entrada)

É necessário um conjunto de VIPs de infraestrutura para publicar pontos finais do Azure Stack Hub em redes externas. A tabela Ponto final (VIP) mostra cada ponto final, a porta necessária e o protocolo. Veja a documentação de implementação específica do fornecedor de recursos para pontos finais que requerem fornecedores de recursos adicionais, como o fornecedor de recursos do SQL.

Os VIPs de infraestrutura interna não estão listados porque não são necessários para publicar o Azure Stack Hub. Os VIPs de utilizador são dinâmicos e definidos pelos próprios utilizadores, sem qualquer controlo por parte do operador do Azure Stack Hub.

Com a adição do Anfitrião da Extensão, as portas no intervalo 12495-30015 não são necessárias.

Ponto final (VIP) Registo A do anfitrião DNS Protocolo Portas
AD FS Adfs. <região>.<fqdn> HTTPS 443
Portal (administrador) Adminportal. <região>.<fqdn> HTTPS 443
Adminhosting *.adminhosting.<região>.<fqdn> HTTPS 443
Azure Resource Manager (administrador) Administração. <região>.<fqdn> HTTPS 443
Portal (utilizador) Portal. <região>.<fqdn> HTTPS 443
Azure Resource Manager (utilizador) Gestão. <região>.<fqdn> HTTPS 443
Graph Gráfico. <região>.<fqdn> HTTPS 443
Lista de revogação de certificados Crl.region<.<>fqdn> HTTP 80
DNS *. <região>.<fqdn> TCP & UDP 53
Alojamento *.hosting.<região>.<fqdn> HTTPS 443
Key Vault (utilizador) *.vault. <região>.<fqdn> HTTPS 443
Key Vault (administrador) *.adminvault. <região>.<fqdn> HTTPS 443
Fila de Armazenamento *.queue. <região>.<fqdn> HTTP
HTTPS
80
443
Tabela de Armazenamento *.table. <região>.<fqdn> HTTP
HTTPS
80
443
Blob de Armazenamento *.blob. <região>.<fqdn> HTTP
HTTPS
80
443
Fornecedor de Recursos SQL sqladapter.dbadapter. <região>.<fqdn> HTTPS 44300-44304
Fornecedor de Recursos do MySQL mysqladapter.dbadapter. <região>.<fqdn> HTTPS 44300-44304
Serviço de Aplicações *.appservice. <região>.<fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <região>.<fqdn> TCP 443 (HTTPS)
api.appservice. <região>.<fqdn> TCP 443 (HTTPS)
44300 (Resource Manager do Azure)
ftp.appservice. <região>.<fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Gateways de VPN IP Protocol 50 & UDP Encapsular Payload de Segurança (ESP) IPSec & UDP 500 e 4500

Portas e URLs (saída)

O Azure Stack Hub suporta apenas servidores proxy transparentes. Numa implementação com uma uplink de proxy transparente para um servidor proxy tradicional, tem de permitir as portas e OS URLs na tabela seguinte para comunicação de saída. Para obter mais informações sobre como configurar servidores proxy transparentes, veja proxy transparente para o Azure Stack Hub.

A intercepção de tráfego SSL não é suportada e pode originar falhas de serviço ao aceder a pontos finais. O tempo limite máximo suportado para comunicar com pontos finais necessários para a identidade é 60s.

Nota

O Azure Stack Hub não suporta a utilização do ExpressRoute para aceder aos serviços do Azure listados na tabela seguinte porque o ExpressRoute pode não conseguir encaminhar o tráfego para todos os pontos finais.

Objetivo URL de destino Protocolo/Portas Rede de Origem Requisito
Identidade
Permite que o Azure Stack Hub se ligue ao ID do Microsoft Entra para a autenticação do Serviço & Utilizador.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Alemanha
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
VIP Público - /27
Rede de infraestrutura pública
Obrigatório para uma implementação ligada.
Sindicalização do Marketplace
Permite-lhe transferir itens para o Azure Stack Hub a partir do Marketplace e disponibilizá-los a todos os utilizadores através do ambiente do Azure Stack Hub.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 VIP Público - /27 Não necessárias. Utilize as instruções do cenário desligado para carregar imagens para o Azure Stack Hub.
Atualização de & de Patches
Quando ligado a pontos finais de atualização, as atualizações de software e correções do Azure Stack Hub são apresentadas como disponíveis para transferência.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 VIP Público - /27 Não necessárias. Utilize as instruções de ligação de implementação desligadas para transferir e preparar manualmente a atualização.
Registo
Permite-lhe registar o Azure Stack Hub no Azure para transferir Azure Marketplace itens e configurar relatórios de dados comerciais para a Microsoft.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 VIP Público - /27 Não necessárias. Pode utilizar o cenário desligado para o registo offline.
Utilização
Permite que os operadores do Azure Stack Hub configurem a instância do Azure Stack Hub para reportarem dados de utilização ao Azure.
Azure
https://*.trafficmanager.net
https://*.cloudapp.azure.com
Azure Government
https://*.usgovtrafficmanager.net
https://*.cloudapp.usgovcloudapi.net
Azure China 21Vianet
https://*.trafficmanager.cn
https://*.cloudapp.chinacloudapi.cn
HTTPS 443 VIP Público - /27 Necessário para o modelo de licenciamento baseado no consumo do Azure Stack Hub.
Windows Defender
Permite que o fornecedor de recursos de atualização transfira definições antimalware e atualizações do motor várias vezes por dia.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 VIP Público - /27
Rede de infraestrutura pública
Não necessárias. Pode utilizar o cenário desligado para atualizar ficheiros de assinatura antivírus.
NTP
Permite que o Azure Stack Hub se ligue aos servidores de tempo.
(IP do servidor NTP fornecido para implementação) UDP 123 VIP Público - /27 Necessário
DNS
Permite que o Azure Stack Hub se ligue ao reencaminhador de servidores DNS.
(IP do servidor DNS fornecido para implementação) TCP & UDP 53 VIP Público - /27 Necessário
SYSLOG
Permite que o Azure Stack Hub envie uma mensagem syslog para fins de monitorização ou segurança.
(IP do servidor SYSLOG fornecido para implementação) TCP 6514,
UDP 514
VIP Público - /27 Opcional
CRL
Permite que o Azure Stack Hub valide certificados e verifique se existem certificados revogados.
URL em Pontos de Distribuição de CRL nos certificados HTTP 80 VIP Público - /27 Necessário
CRL
Permite que o Azure Stack Hub valide certificados e verifique se existem certificados revogados.
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 VIP Público - /27 Não necessárias. Melhores práticas de segurança altamente recomendadas.
LDAP
Permite que o Azure Stack Hub comunique com o Microsoft Active Directory no local.
Floresta do Active Directory fornecida para integração do Graph TCP & UDP 389 VIP Público - /27 Necessário quando o Azure Stack Hub é implementado com o AD FS.
LDAP SSL
Permite que o Azure Stack Hub comunique encriptado com o Microsoft Active Directory no local.
Floresta do Active Directory fornecida para integração do Graph TCP 636 VIP Público - /27 Necessário quando o Azure Stack Hub é implementado com o AD FS.
LDAP GC
Permite que o Azure Stack Hub comunique com os Microsoft Active Global Catalog Servers.
Floresta do Active Directory fornecida para integração do Graph TCP 3268 VIP Público - /27 Necessário quando o Azure Stack Hub é implementado com o AD FS.
LDAP GC SSL
Permite que o Azure Stack Hub comunique encriptado com Servidores de Catálogo Global do Microsoft Active Directory.
Floresta do Active Directory fornecida para integração do Graph TCP 3269 VIP Público - /27 Necessário quando o Azure Stack Hub é implementado com o AD FS.
AD FS
Permite que o Azure Stack Hub comunique com o AD FS no local.
Ponto final de metadados do AD FS fornecido para integração do AD FS TCP 443 VIP Público - /27 Opcional. A confiança do fornecedor de afirmações do AD FS pode ser criada com um ficheiro de metadados.
Recolha de registos de diagnósticos
Permite que o Azure Stack Hub envie registos de forma proativa ou manual por um operador para o suporte da Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 VIP Público - /27 Não necessárias. Pode guardar registos localmente.
Suporte remoto
Permite que os profissionais de suporte da Microsoft resolvam o caso de suporte mais rapidamente ao permitir o acesso ao dispositivo remotamente para realizar operações de resolução de problemas e reparação limitadas.
https://edgesupprd.trafficmanager.net
https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com
https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com
https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com
https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com
https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com
*.servicebus.windows.net
HTTPS 443 VIP Público - /27 Não necessárias.
Telemetria
Permite que o Azure Stack Hub envie dados telemétricos à Microsoft.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
A partir da versão 2108, também são necessários os seguintes pontos finais:
https://*.blob.core.windows.net/
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/
HTTPS 443 VIP Público - /27 Necessário quando a telemetria do Azure Stack Hub está ativada.

Os URLs de saída são balanceados de carga com o gestor de tráfego do Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com os URLs com balanceamento de carga, a Microsoft pode atualizar e alterar pontos finais de back-end sem afetar os clientes. A Microsoft não partilha a lista de endereços IP para os URLs com balanceamento de carga. Utilize um dispositivo que suporte a filtragem por URL e não por IP.

O DNS de saída é sempre necessário; O que varia é a origem que consulta o DNS externo e que tipo de integração de identidade foi escolhido. Durante a implementação de um cenário ligado, o DVM que se encontra na rede BMC precisa de acesso de saída. Contudo, após a implementação, o serviço DNS passa para um componente interno que enviará consultas através de um VIP Público. Nessa altura, o acesso DNS de saída através da rede BMC pode ser removido, mas o acesso vip público a esse servidor DNS tem de permanecer ou a autenticação falhará.

Passos seguintes

Requisitos de PKI do Azure Stack Hub