Publicar serviços do Azure Stack Hub em seu datacenter
O Azure Stack Hub configura VIPs (endereços IP virtuais) para suas funções de infraestrutura. Esses VIPs são alocados do pool de endereços IP públicos. Cada VIP é protegido com uma ACL (lista de controle de acesso) na camada de rede definida pelo software. As ACLs também são usadas entre as opções físicas (TORs e BMC) para proteger ainda mais a solução. Uma entrada DNS é criada para cada ponto de extremidade na zona DNS externa especificada no momento da implantação. Por exemplo, o portal do usuário recebe a entrada de host DNS do portal. <região>.<fqdn>.
O diagrama de arquitetura a seguir mostra as diferentes camadas de rede e ACLs:
Portas e URLs
Para disponibilizar serviços do Azure Stack Hub (como os portais, Resource Manager do Azure, DNS e assim por diante) para redes externas, você deve permitir o tráfego de entrada para esses pontos de extremidade para URLs, portas e protocolos específicos.
Em uma implantação em que um proxy transparente é vinculado a um servidor proxy tradicional ou um firewall está protegendo a solução, você deve permitir portas e URLs específicas para comunicação de entrada e saída . Elas incluem portas e URLs para identidade, marketplace, patch e atualização, registro e dados de uso.
Não há suporte para interceptação de tráfego SSL e pode levar a falhas de serviço ao acessar pontos de extremidade.
Portas e protocolos (entrada)
Um conjunto de VIPs de infraestrutura é necessário para publicar pontos de extremidade do Azure Stack Hub em redes externas. A tabela ponto de extremidade (VIP) mostra cada ponto de extremidade, a porta necessária e o protocolo. Consulte a documentação de implantação do provedor de recursos específica para pontos de extremidade que exigem provedores de recursos adicionais, como o provedor de recursos SQL.
OS VIPs de infraestrutura interna não são listados porque não são necessários para publicar o Azure Stack Hub. Os VIPs do usuário são dinâmicos e definidos pelos próprios usuários, sem controle pelo operador do Azure Stack Hub.
Com a adição do Host de Extensão, as portas no intervalo de 12495-30015 não são necessárias.
| Ponto de extremidade (VIP) | Registro A do host DNS | Protocolo | Portas |
|---|---|---|---|
| AD FS | Adfs. <região>.<Fqdn> | HTTPS | 443 |
| Portal (administrador) | Adminportal. <região>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<região>.<Fqdn> | HTTPS | 443 |
| Resource Manager do Azure (administrador) | Adminmanagement. <região>.<Fqdn> | HTTPS | 443 |
| Portal (usuário) | Portal. <região>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (usuário) | Gestão. <região>.<Fqdn> | HTTPS | 443 |
| Grafo | Gráfico. <região>.<Fqdn> | HTTPS | 443 |
| Lista de revogação de certificados | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <região>.<Fqdn> | TCP & UDP | 53 |
| Hosting | *.De.<região>.<Fqdn> | HTTPS | 443 |
| Key Vault (usuário) | *.Cofre. <região>.<Fqdn> | HTTPS | 443 |
| Key Vault (administrador) | *.adminvault. <região>.<Fqdn> | HTTPS | 443 |
| Fila de Armazenamento | *.Fila. <região>.<Fqdn> | HTTP HTTPS |
80 443 |
| Tabela de Armazenamento | *.Tabela. <região>.<Fqdn> | HTTP HTTPS |
80 443 |
| Blob de Armazenamento | *.Blob. <região>.<Fqdn> | HTTP HTTPS |
80 443 |
| Provedor de Recursos SQL | sqladapter.dbadapter. <região>.<Fqdn> | HTTPS | 44300-44304 |
| Provedor de Recursos do MySQL | mysqladapter.dbadapter. <região>.<Fqdn> | HTTPS | 44300-44304 |
| Serviço de Aplicativo | *.appservice. <região>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <região>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <região>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Resource Manager do Azure) |
|
| ftp.appservice. <região>.<Fqdn> | TCP, UDP | 21 de 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Gateways VPN | Protocolo IP 50 & UDP | IPSec de Carga de Segurança de Encapsulamento (ESP) & UDP 500 e 4500 |
Portas e URLs (saída)
O Azure Stack Hub dá suporte apenas a servidores proxy transparentes. Em uma implantação com um uplink de proxy transparente para um servidor proxy tradicional, você deve permitir as portas e URLs na tabela a seguir para comunicação de saída. Para obter mais informações sobre como configurar servidores proxy transparentes, consulte Proxy transparente para o Azure Stack Hub.
Não há suporte para interceptação de tráfego SSL e pode levar a falhas de serviço ao acessar pontos de extremidade. O tempo limite máximo com suporte para se comunicar com os pontos de extremidade necessários para a identidade é de 60 anos.
Observação
O Azure Stack Hub não dá suporte ao uso do ExpressRoute para acessar os serviços do Azure listados na tabela a seguir porque o ExpressRoute pode não ser capaz de rotear o tráfego para todos os pontos de extremidade.
| Finalidade | URL de destino | Protocolo/portas | Rede de Origem | Requisito |
|---|---|---|---|---|
|
Identidade Permite que o Azure Stack Hub se conecte à ID de Microsoft Entra para autenticação do Serviço de & de Usuário. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Governamental https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Alemanha https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
VIP público – /27 Rede de infraestrutura pública |
Obrigatório para uma implantação conectada. |
|
Sindicalização do Marketplace Permite baixar itens no Azure Stack Hub do Marketplace e disponibilizá-los para todos os usuários usando o ambiente do Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Governamental https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | VIP público – /27 | Não necessário. Use as instruções de cenário desconectadas para carregar imagens no Azure Stack Hub. |
|
Atualização do patch & Quando conectado a pontos de extremidade de atualização, as atualizações de software e os hotfixes do Azure Stack Hub são exibidos como disponíveis para download. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | VIP público – /27 | Não necessário. Use as instruções de conexão de implantação desconectadas para baixar e preparar manualmente a atualização. |
|
Registro Permite que você registre o Azure Stack Hub com o Azure para baixar Azure Marketplace itens e configurar os relatórios de dados de comércio de volta para a Microsoft. |
Azurehttps://management.azure.comAzure Governamental https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | VIP público – /27 | Não necessário. Você pode usar o cenário desconectado para registro offline. |
|
Usage Permite que os operadores do Azure Stack Hub configurem sua instância do Azure Stack Hub para relatar dados de uso ao Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Governamental https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | VIP público – /27 | Necessário para o modelo de licenciamento baseado em consumo do Azure Stack Hub. |
|
Windows Defender Permite que o provedor de recursos de atualização baixe definições antimalware e atualizações do mecanismo várias vezes por dia. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | VIP público – /27 Rede de infraestrutura pública |
Não necessário. Você pode usar o cenário desconectado para atualizar arquivos de assinatura antivírus. |
|
NTP Permite que o Azure Stack Hub se conecte aos servidores de tempo. |
(IP do servidor NTP fornecido para implantação) | UDP 123 | VIP público – /27 | Obrigatório |
|
DNS Permite que o Azure Stack Hub se conecte ao encaminhador de servidor DNS. |
(IP do servidor DNS fornecido para implantação) | TCP & UDP 53 | VIP público – /27 | Obrigatório |
|
SYSLOG Permite que o Azure Stack Hub envie uma mensagem de syslog para fins de monitoramento ou segurança. |
(IP do servidor SYSLOG fornecido para implantação) | TCP 6514, UDP 514 |
VIP público – /27 | Opcional |
|
CRL Permite que o Azure Stack Hub valide certificados e marcar para certificados revogados. |
URL em Pontos de Distribuição de CRL em seus certificados | HTTP 80 | VIP público – /27 | Obrigatório |
|
CRL Permite que o Azure Stack Hub valide certificados e marcar para certificados revogados. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | VIP público – /27 | Não necessário. Prática recomendada de segurança altamente recomendada. |
|
LDAP Permite que o Azure Stack Hub se comunique com o Microsoft Active Directory localmente. |
Floresta do Active Directory fornecida para integração do Graph | TCP & UDP 389 | VIP público – /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
|
LDAP SSL Permite que o Azure Stack Hub se comunique criptografado com o Microsoft Active Directory local. |
Floresta do Active Directory fornecida para integração do Graph | TCP 636 | VIP público – /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
|
LDAP GC Permite que o Azure Stack Hub se comunique com os Servidores de Catálogo Global Ativos da Microsoft. |
Floresta do Active Directory fornecida para integração do Graph | TCP 3268 | VIP público – /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
|
LDAP GC SSL Permite que o Azure Stack Hub se comunique criptografado com servidores de catálogo global do Microsoft Active Directory. |
Floresta do Active Directory fornecida para integração do Graph | TCP 3269 | VIP público – /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
|
AD FS Permite que o Azure Stack Hub se comunique com o AD FS local. |
Ponto de extremidade de metadados do AD FS fornecido para integração do AD FS | TCP 443 | VIP público – /27 | Opcional. A confiança do provedor de declarações do AD FS pode ser criada usando um arquivo de metadados. |
|
Coleção de logs de diagnóstico Permite que o Azure Stack Hub envie logs de forma proativa ou manual por um operador para o suporte da Microsoft. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | VIP público – /27 | Não necessário. Você pode salvar logs localmente. |
|
Suporte remoto Permite que os profissionais de suporte da Microsoft resolvam o caso de suporte mais rapidamente, permitindo o acesso ao dispositivo remotamente para executar operações limitadas de solução de problemas e reparo. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | VIP público – /27 | Não necessário. |
|
Telemetria Permite que o Azure Stack Hub envie dados de telemetria para a Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comA partir da versão 2108, os seguintes pontos de extremidade também são necessários: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | VIP público – /27 | Necessário quando a telemetria do Azure Stack Hub está habilitada. |
As URLs de saída têm balanceamento de carga usando o gerenciador de tráfego do Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com URLs com balanceamento de carga, a Microsoft pode atualizar e alterar pontos de extremidade de back-end sem afetar os clientes. A Microsoft não compartilha a lista de endereços IP para as URLs com balanceamento de carga. Use um dispositivo que dê suporte à filtragem por URL e não por IP.
O DNS de saída é necessário o tempo todo; o que varia é a origem consultando o DNS externo e que tipo de integração de identidade foi escolhido. Durante a implantação de um cenário conectado, o DVM que fica na rede BMC precisa de acesso de saída. Mas após a implantação, o serviço DNS passa para um componente interno que enviará consultas por meio de um VIP público. Nesse momento, o acesso DNS de saída por meio da rede BMC pode ser removido, mas o acesso VIP público a esse servidor DNS deve permanecer ou a autenticação falhará.