Share via


Publicar serviços do Azure Stack Hub em seu datacenter

O Azure Stack Hub configura VIPs (endereços IP virtuais) para suas funções de infraestrutura. Esses VIPs são alocados do pool de endereços IP públicos. Cada VIP é protegido com uma ACL (lista de controle de acesso) na camada de rede definida pelo software. As ACLs também são usadas entre as opções físicas (TORs e BMC) para proteger ainda mais a solução. Uma entrada DNS é criada para cada ponto de extremidade na zona DNS externa especificada no momento da implantação. Por exemplo, o portal do usuário recebe a entrada de host DNS do portal. <região>.<fqdn>.

O diagrama de arquitetura a seguir mostra as diferentes camadas de rede e ACLs:

Diagrama mostrando diferentes camadas de rede e ACLs

Portas e URLs

Para disponibilizar serviços do Azure Stack Hub (como os portais, Resource Manager do Azure, DNS e assim por diante) para redes externas, você deve permitir o tráfego de entrada para esses pontos de extremidade para URLs, portas e protocolos específicos.

Em uma implantação em que um proxy transparente é vinculado a um servidor proxy tradicional ou um firewall está protegendo a solução, você deve permitir portas e URLs específicas para comunicação de entrada e saída . Elas incluem portas e URLs para identidade, marketplace, patch e atualização, registro e dados de uso.

Não há suporte para interceptação de tráfego SSL e pode levar a falhas de serviço ao acessar pontos de extremidade.

Portas e protocolos (entrada)

Um conjunto de VIPs de infraestrutura é necessário para publicar pontos de extremidade do Azure Stack Hub em redes externas. A tabela ponto de extremidade (VIP) mostra cada ponto de extremidade, a porta necessária e o protocolo. Consulte a documentação de implantação do provedor de recursos específica para pontos de extremidade que exigem provedores de recursos adicionais, como o provedor de recursos SQL.

OS VIPs de infraestrutura interna não são listados porque não são necessários para publicar o Azure Stack Hub. Os VIPs do usuário são dinâmicos e definidos pelos próprios usuários, sem controle pelo operador do Azure Stack Hub.

Com a adição do Host de Extensão, as portas no intervalo de 12495-30015 não são necessárias.

Ponto de extremidade (VIP) Registro A do host DNS Protocolo Portas
AD FS Adfs. <região>.<Fqdn> HTTPS 443
Portal (administrador) Adminportal. <região>.<Fqdn> HTTPS 443
Adminhosting *.adminhosting.<região>.<Fqdn> HTTPS 443
Resource Manager do Azure (administrador) Adminmanagement. <região>.<Fqdn> HTTPS 443
Portal (usuário) Portal. <região>.<Fqdn> HTTPS 443
Azure Resource Manager (usuário) Gestão. <região>.<Fqdn> HTTPS 443
Grafo Gráfico. <região>.<Fqdn> HTTPS 443
Lista de revogação de certificados Crl.region<.<>Fqdn> HTTP 80
DNS *. <região>.<Fqdn> TCP & UDP 53
Hosting *.De.<região>.<Fqdn> HTTPS 443
Key Vault (usuário) *.Cofre. <região>.<Fqdn> HTTPS 443
Key Vault (administrador) *.adminvault. <região>.<Fqdn> HTTPS 443
Fila de Armazenamento *.Fila. <região>.<Fqdn> HTTP
HTTPS
80
443
Tabela de Armazenamento *.Tabela. <região>.<Fqdn> HTTP
HTTPS
80
443
Blob de Armazenamento *.Blob. <região>.<Fqdn> HTTP
HTTPS
80
443
Provedor de Recursos SQL sqladapter.dbadapter. <região>.<Fqdn> HTTPS 44300-44304
Provedor de Recursos do MySQL mysqladapter.dbadapter. <região>.<Fqdn> HTTPS 44300-44304
Serviço de Aplicativo *.appservice. <região>.<Fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <região>.<Fqdn> TCP 443 (HTTPS)
api.appservice. <região>.<Fqdn> TCP 443 (HTTPS)
44300 (Resource Manager do Azure)
ftp.appservice. <região>.<Fqdn> TCP, UDP 21 de 1021, 10001-10100 (FTP)
990 (FTPS)
Gateways VPN Protocolo IP 50 & UDP IPSec de Carga de Segurança de Encapsulamento (ESP) & UDP 500 e 4500

Portas e URLs (saída)

O Azure Stack Hub dá suporte apenas a servidores proxy transparentes. Em uma implantação com um uplink de proxy transparente para um servidor proxy tradicional, você deve permitir as portas e URLs na tabela a seguir para comunicação de saída. Para obter mais informações sobre como configurar servidores proxy transparentes, consulte Proxy transparente para o Azure Stack Hub.

Não há suporte para interceptação de tráfego SSL e pode levar a falhas de serviço ao acessar pontos de extremidade. O tempo limite máximo com suporte para se comunicar com os pontos de extremidade necessários para a identidade é de 60 anos.

Observação

O Azure Stack Hub não dá suporte ao uso do ExpressRoute para acessar os serviços do Azure listados na tabela a seguir porque o ExpressRoute pode não ser capaz de rotear o tráfego para todos os pontos de extremidade.

Finalidade URL de destino Protocolo/portas Rede de Origem Requisito
Identidade
Permite que o Azure Stack Hub se conecte à ID de Microsoft Entra para autenticação do Serviço de & de Usuário.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Governamental
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Alemanha
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
VIP público – /27
Rede de infraestrutura pública
Obrigatório para uma implantação conectada.
Sindicalização do Marketplace
Permite baixar itens no Azure Stack Hub do Marketplace e disponibilizá-los para todos os usuários usando o ambiente do Azure Stack Hub.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Governamental
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 VIP público – /27 Não necessário. Use as instruções de cenário desconectadas para carregar imagens no Azure Stack Hub.
Atualização do patch &
Quando conectado a pontos de extremidade de atualização, as atualizações de software e os hotfixes do Azure Stack Hub são exibidos como disponíveis para download.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 VIP público – /27 Não necessário. Use as instruções de conexão de implantação desconectadas para baixar e preparar manualmente a atualização.
Registro
Permite que você registre o Azure Stack Hub com o Azure para baixar Azure Marketplace itens e configurar os relatórios de dados de comércio de volta para a Microsoft.
Azure
https://management.azure.com
Azure Governamental
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 VIP público – /27 Não necessário. Você pode usar o cenário desconectado para registro offline.
Usage
Permite que os operadores do Azure Stack Hub configurem sua instância do Azure Stack Hub para relatar dados de uso ao Azure.
Azure
https://*.trafficmanager.net
https://*.cloudapp.azure.com
Azure Governamental
https://*.usgovtrafficmanager.net
https://*.cloudapp.usgovcloudapi.net
Azure China 21Vianet
https://*.trafficmanager.cn
https://*.cloudapp.chinacloudapi.cn
HTTPS 443 VIP público – /27 Necessário para o modelo de licenciamento baseado em consumo do Azure Stack Hub.
Windows Defender
Permite que o provedor de recursos de atualização baixe definições antimalware e atualizações do mecanismo várias vezes por dia.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 VIP público – /27
Rede de infraestrutura pública
Não necessário. Você pode usar o cenário desconectado para atualizar arquivos de assinatura antivírus.
NTP
Permite que o Azure Stack Hub se conecte aos servidores de tempo.
(IP do servidor NTP fornecido para implantação) UDP 123 VIP público – /27 Obrigatório
DNS
Permite que o Azure Stack Hub se conecte ao encaminhador de servidor DNS.
(IP do servidor DNS fornecido para implantação) TCP & UDP 53 VIP público – /27 Obrigatório
SYSLOG
Permite que o Azure Stack Hub envie uma mensagem de syslog para fins de monitoramento ou segurança.
(IP do servidor SYSLOG fornecido para implantação) TCP 6514,
UDP 514
VIP público – /27 Opcional
CRL
Permite que o Azure Stack Hub valide certificados e marcar para certificados revogados.
URL em Pontos de Distribuição de CRL em seus certificados HTTP 80 VIP público – /27 Obrigatório
CRL
Permite que o Azure Stack Hub valide certificados e marcar para certificados revogados.
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 VIP público – /27 Não necessário. Prática recomendada de segurança altamente recomendada.
LDAP
Permite que o Azure Stack Hub se comunique com o Microsoft Active Directory localmente.
Floresta do Active Directory fornecida para integração do Graph TCP & UDP 389 VIP público – /27 Necessário quando o Azure Stack Hub é implantado usando o AD FS.
LDAP SSL
Permite que o Azure Stack Hub se comunique criptografado com o Microsoft Active Directory local.
Floresta do Active Directory fornecida para integração do Graph TCP 636 VIP público – /27 Necessário quando o Azure Stack Hub é implantado usando o AD FS.
LDAP GC
Permite que o Azure Stack Hub se comunique com os Servidores de Catálogo Global Ativos da Microsoft.
Floresta do Active Directory fornecida para integração do Graph TCP 3268 VIP público – /27 Necessário quando o Azure Stack Hub é implantado usando o AD FS.
LDAP GC SSL
Permite que o Azure Stack Hub se comunique criptografado com servidores de catálogo global do Microsoft Active Directory.
Floresta do Active Directory fornecida para integração do Graph TCP 3269 VIP público – /27 Necessário quando o Azure Stack Hub é implantado usando o AD FS.
AD FS
Permite que o Azure Stack Hub se comunique com o AD FS local.
Ponto de extremidade de metadados do AD FS fornecido para integração do AD FS TCP 443 VIP público – /27 Opcional. A confiança do provedor de declarações do AD FS pode ser criada usando um arquivo de metadados.
Coleção de logs de diagnóstico
Permite que o Azure Stack Hub envie logs de forma proativa ou manual por um operador para o suporte da Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 VIP público – /27 Não necessário. Você pode salvar logs localmente.
Suporte remoto
Permite que os profissionais de suporte da Microsoft resolvam o caso de suporte mais rapidamente, permitindo o acesso ao dispositivo remotamente para executar operações limitadas de solução de problemas e reparo.
https://edgesupprd.trafficmanager.net
https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com
https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com
https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com
https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com
https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com
*.servicebus.windows.net
HTTPS 443 VIP público – /27 Não necessário.
Telemetria
Permite que o Azure Stack Hub envie dados de telemetria para a Microsoft.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
A partir da versão 2108, os seguintes pontos de extremidade também são necessários:
https://*.blob.core.windows.net/
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/
HTTPS 443 VIP público – /27 Necessário quando a telemetria do Azure Stack Hub está habilitada.

As URLs de saída têm balanceamento de carga usando o gerenciador de tráfego do Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com URLs com balanceamento de carga, a Microsoft pode atualizar e alterar pontos de extremidade de back-end sem afetar os clientes. A Microsoft não compartilha a lista de endereços IP para as URLs com balanceamento de carga. Use um dispositivo que dê suporte à filtragem por URL e não por IP.

O DNS de saída é necessário o tempo todo; o que varia é a origem consultando o DNS externo e que tipo de integração de identidade foi escolhido. Durante a implantação de um cenário conectado, o DVM que fica na rede BMC precisa de acesso de saída. Mas após a implantação, o serviço DNS passa para um componente interno que enviará consultas por meio de um VIP público. Nesse momento, o acesso DNS de saída por meio da rede BMC pode ser removido, mas o acesso VIP público a esse servidor DNS deve permanecer ou a autenticação falhará.

Próximas etapas

Requisitos de PKI do Azure Stack Hub