Publicar serviços do Azure Stack Hub no seu datacenter
O Azure Stack Hub configura endereços IP virtuais (VIPs) para as respetivas funções de infraestrutura. Estes VIPs são alocados a partir do conjunto de endereços IP públicos. Cada VIP é protegido com uma lista de controlo de acesso (ACL) na camada de rede definida pelo software. As ACLs também são utilizadas nos comutadores físicos (TORs e BMC) para proteger ainda mais a solução. É criada uma entrada DNS para cada ponto final na zona DNS externa especificada no momento da implementação. Por exemplo, é atribuída ao portal de utilizador a entrada de anfitrião DNS do portal. <região>.<fqdn>.
O seguinte diagrama de arquitetura mostra as diferentes camadas de rede e ACLs:
Portas e URLs
Para disponibilizar serviços do Azure Stack Hub (como portais, Resource Manager do Azure, DNS, etc.) para redes externas, tem de permitir tráfego de entrada para estes pontos finais para URLs, portas e protocolos específicos.
Numa implementação em que um uplink de proxy transparente para um servidor proxy tradicional ou uma firewall está a proteger a solução, tem de permitir portas e URLs específicos para comunicação de entrada e saída . Estes incluem portas e URLs para identidade, marketplace, patch e atualização, registo e dados de utilização.
A intercepção de tráfego SSL não é suportada e pode originar falhas de serviço ao aceder a pontos finais.
Portas e protocolos (entrada)
É necessário um conjunto de VIPs de infraestrutura para publicar pontos finais do Azure Stack Hub em redes externas. A tabela Ponto final (VIP) mostra cada ponto final, a porta necessária e o protocolo. Veja a documentação de implementação específica do fornecedor de recursos para pontos finais que requerem fornecedores de recursos adicionais, como o fornecedor de recursos do SQL.
Os VIPs de infraestrutura interna não estão listados porque não são necessários para publicar o Azure Stack Hub. Os VIPs de utilizador são dinâmicos e definidos pelos próprios utilizadores, sem qualquer controlo por parte do operador do Azure Stack Hub.
Com a adição do Anfitrião da Extensão, as portas no intervalo 12495-30015 não são necessárias.
| Ponto final (VIP) | Registo A do anfitrião DNS | Protocolo | Portas |
|---|---|---|---|
| AD FS | Adfs. <região>.<fqdn> | HTTPS | 443 |
| Portal (administrador) | Adminportal. <região>.<fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<região>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (administrador) | Administração. <região>.<fqdn> | HTTPS | 443 |
| Portal (utilizador) | Portal. <região>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (utilizador) | Gestão. <região>.<fqdn> | HTTPS | 443 |
| Graph | Gráfico. <região>.<fqdn> | HTTPS | 443 |
| Lista de revogação de certificados | Crl.region<.<>fqdn> | HTTP | 80 |
| DNS | *. <região>.<fqdn> | TCP & UDP | 53 |
| Alojamento | *.hosting.<região>.<fqdn> | HTTPS | 443 |
| Key Vault (utilizador) | *.vault. <região>.<fqdn> | HTTPS | 443 |
| Key Vault (administrador) | *.adminvault. <região>.<fqdn> | HTTPS | 443 |
| Fila de Armazenamento | *.queue. <região>.<fqdn> | HTTP HTTPS |
80 443 |
| Tabela de Armazenamento | *.table. <região>.<fqdn> | HTTP HTTPS |
80 443 |
| Blob de Armazenamento | *.blob. <região>.<fqdn> | HTTP HTTPS |
80 443 |
| Fornecedor de Recursos SQL | sqladapter.dbadapter. <região>.<fqdn> | HTTPS | 44300-44304 |
| Fornecedor de Recursos do MySQL | mysqladapter.dbadapter. <região>.<fqdn> | HTTPS | 44300-44304 |
| Serviço de Aplicações | *.appservice. <região>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <região>.<fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <região>.<fqdn> | TCP | 443 (HTTPS) 44300 (Resource Manager do Azure) |
|
| ftp.appservice. <região>.<fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Gateways de VPN | IP Protocol 50 & UDP | Encapsular Payload de Segurança (ESP) IPSec & UDP 500 e 4500 |
Portas e URLs (saída)
O Azure Stack Hub suporta apenas servidores proxy transparentes. Numa implementação com uma uplink de proxy transparente para um servidor proxy tradicional, tem de permitir as portas e OS URLs na tabela seguinte para comunicação de saída. Para obter mais informações sobre como configurar servidores proxy transparentes, veja proxy transparente para o Azure Stack Hub.
A intercepção de tráfego SSL não é suportada e pode originar falhas de serviço ao aceder a pontos finais. O tempo limite máximo suportado para comunicar com pontos finais necessários para a identidade é 60s.
Nota
O Azure Stack Hub não suporta a utilização do ExpressRoute para aceder aos serviços do Azure listados na tabela seguinte porque o ExpressRoute pode não conseguir encaminhar o tráfego para todos os pontos finais.
| Objetivo | URL de destino | Protocolo/Portas | Rede de Origem | Requisito |
|---|---|---|---|---|
|
Identidade Permite que o Azure Stack Hub se ligue ao ID do Microsoft Entra para a autenticação do Serviço & Utilizador. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Alemanha https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
VIP Público - /27 Rede de infraestrutura pública |
Obrigatório para uma implementação ligada. |
|
Sindicalização do Marketplace Permite-lhe transferir itens para o Azure Stack Hub a partir do Marketplace e disponibilizá-los a todos os utilizadores através do ambiente do Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | VIP Público - /27 | Não necessárias. Utilize as instruções do cenário desligado para carregar imagens para o Azure Stack Hub. |
|
Atualização de & de Patches Quando ligado a pontos finais de atualização, as atualizações de software e correções do Azure Stack Hub são apresentadas como disponíveis para transferência. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | VIP Público - /27 | Não necessárias. Utilize as instruções de ligação de implementação desligadas para transferir e preparar manualmente a atualização. |
|
Registo Permite-lhe registar o Azure Stack Hub no Azure para transferir Azure Marketplace itens e configurar relatórios de dados comerciais para a Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | VIP Público - /27 | Não necessárias. Pode utilizar o cenário desligado para o registo offline. |
|
Utilização Permite que os operadores do Azure Stack Hub configurem a instância do Azure Stack Hub para reportarem dados de utilização ao Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | VIP Público - /27 | Necessário para o modelo de licenciamento baseado no consumo do Azure Stack Hub. |
|
Windows Defender Permite que o fornecedor de recursos de atualização transfira definições antimalware e atualizações do motor várias vezes por dia. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | VIP Público - /27 Rede de infraestrutura pública |
Não necessárias. Pode utilizar o cenário desligado para atualizar ficheiros de assinatura antivírus. |
|
NTP Permite que o Azure Stack Hub se ligue aos servidores de tempo. |
(IP do servidor NTP fornecido para implementação) | UDP 123 | VIP Público - /27 | Necessário |
|
DNS Permite que o Azure Stack Hub se ligue ao reencaminhador de servidores DNS. |
(IP do servidor DNS fornecido para implementação) | TCP & UDP 53 | VIP Público - /27 | Necessário |
|
SYSLOG Permite que o Azure Stack Hub envie uma mensagem syslog para fins de monitorização ou segurança. |
(IP do servidor SYSLOG fornecido para implementação) | TCP 6514, UDP 514 |
VIP Público - /27 | Opcional |
|
CRL Permite que o Azure Stack Hub valide certificados e verifique se existem certificados revogados. |
URL em Pontos de Distribuição de CRL nos certificados | HTTP 80 | VIP Público - /27 | Necessário |
|
CRL Permite que o Azure Stack Hub valide certificados e verifique se existem certificados revogados. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | VIP Público - /27 | Não necessárias. Melhores práticas de segurança altamente recomendadas. |
|
LDAP Permite que o Azure Stack Hub comunique com o Microsoft Active Directory no local. |
Floresta do Active Directory fornecida para integração do Graph | TCP & UDP 389 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implementado com o AD FS. |
|
LDAP SSL Permite que o Azure Stack Hub comunique encriptado com o Microsoft Active Directory no local. |
Floresta do Active Directory fornecida para integração do Graph | TCP 636 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implementado com o AD FS. |
|
LDAP GC Permite que o Azure Stack Hub comunique com os Microsoft Active Global Catalog Servers. |
Floresta do Active Directory fornecida para integração do Graph | TCP 3268 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implementado com o AD FS. |
|
LDAP GC SSL Permite que o Azure Stack Hub comunique encriptado com Servidores de Catálogo Global do Microsoft Active Directory. |
Floresta do Active Directory fornecida para integração do Graph | TCP 3269 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implementado com o AD FS. |
|
AD FS Permite que o Azure Stack Hub comunique com o AD FS no local. |
Ponto final de metadados do AD FS fornecido para integração do AD FS | TCP 443 | VIP Público - /27 | Opcional. A confiança do fornecedor de afirmações do AD FS pode ser criada com um ficheiro de metadados. |
|
Recolha de registos de diagnósticos Permite que o Azure Stack Hub envie registos de forma proativa ou manual por um operador para o suporte da Microsoft. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | VIP Público - /27 | Não necessárias. Pode guardar registos localmente. |
|
Suporte remoto Permite que os profissionais de suporte da Microsoft resolvam o caso de suporte mais rapidamente ao permitir o acesso ao dispositivo remotamente para realizar operações de resolução de problemas e reparação limitadas. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | VIP Público - /27 | Não necessárias. |
|
Telemetria Permite que o Azure Stack Hub envie dados telemétricos à Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comA partir da versão 2108, também são necessários os seguintes pontos finais: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | VIP Público - /27 | Necessário quando a telemetria do Azure Stack Hub está ativada. |
Os URLs de saída são balanceados de carga com o gestor de tráfego do Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com os URLs com balanceamento de carga, a Microsoft pode atualizar e alterar pontos finais de back-end sem afetar os clientes. A Microsoft não partilha a lista de endereços IP para os URLs com balanceamento de carga. Utilize um dispositivo que suporte a filtragem por URL e não por IP.
O DNS de saída é sempre necessário; O que varia é a origem que consulta o DNS externo e que tipo de integração de identidade foi escolhido. Durante a implementação de um cenário ligado, o DVM que se encontra na rede BMC precisa de acesso de saída. Contudo, após a implementação, o serviço DNS passa para um componente interno que enviará consultas através de um VIP Público. Nessa altura, o acesso DNS de saída através da rede BMC pode ser removido, mas o acesso vip público a esse servidor DNS tem de permanecer ou a autenticação falhará.