Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico aborda a integração de rede do Azure Stack.
Conectividade de fronteira (uplink)
O planejamento da integração de rede é um pré-requisito importante para a implantação, operação e gerenciamento bem-sucedidos de sistemas integrados do Azure Stack. O planejamento da conectividade de borda começa escolhendo se você deseja usar o roteamento dinâmico com o protocolo de gateway de borda (BGP). Isso requer a atribuição de um número de sistema autônomo BGP de 16 bits (público ou privado) ou o uso de roteamento estático, onde uma rota padrão estática é atribuída aos dispositivos de borda.
A parte superior dos switches de rack (TOR) requer uplinks de camada 3 com IPs ponto-a-ponto (redes /30) configurados nas interfaces físicas. Não há suporte para uplinks de camada 2 com switches TOR que dão suporte a operações do Azure Stack.
Encaminhamento de BGP
Usar um protocolo de roteamento dinâmico como o BGP garante que seu sistema esteja sempre ciente das alterações da rede e facilita a administração. Para maior segurança, uma senha pode ser definida no emparelhamento BGP entre o TOR e a Fronteira.
Como mostrado no diagrama a seguir, a publicidade do espaço IP privado no switch TOR é bloqueada usando uma lista de prefixos. A lista de prefixos nega o anúncio da Rede Privada e é aplicada como um mapa de rota na conexão entre o TOR e a fronteira.
O SLB (Software Load Balancer) em execução dentro da solução Azure Stack faz par aos dispositivos TOR para que possa anunciar dinamicamente os endereços VIP.
Para garantir que o tráfego de usuários se recupere imediata e transparentemente da falha, a VPC ou MLAG configurada entre os dispositivos TOR permite o uso de agregação de link de vários chassis para os hosts e HSRP ou VRRP que fornece redundância de rede para as redes IP.
Roteamento estático
O roteamento estático requer configuração adicional para os dispositivos de borda. Requer mais intervenção e gestão manual, bem como uma análise minuciosa antes de qualquer alteração. Problemas causados por um erro de configuração podem levar mais tempo para serem revertidos, dependendo das alterações feitas. Esse método de roteamento não é recomendado, mas é suportado.
Para integrar o Azure Stack em seu ambiente de rede usando roteamento estático, todos os quatro links físicos entre a borda e o dispositivo TOR devem estar conectados. A alta disponibilidade não pode ser garantida devido ao funcionamento do roteamento estático.
O dispositivo de borda deve ser configurado com rotas estáticas apontando para cada um dos quatro IPs P2P definidos entre o TOR e a Borda para o tráfego destinado a qualquer rede dentro do Azure Stack, mas apenas a rede VIP externa ou pública é necessária para a operação. Rotas estáticas para o BMC e as redes externas são necessárias para a implantação inicial. Os operadores podem optar por deixar rotas estáticas na fronteira para acessar recursos de gerenciamento que residem no BMC e na rede de infraestrutura . A adição de rotas estáticas à infraestrutura de switch e às redes de gerenciamento de switch é opcional.
Os dispositivos TOR são configurados com uma rota padrão estática enviando todo o tráfego para os dispositivos de borda. A única exceção de tráfego à regra padrão é para o espaço privado, que é bloqueado usando uma Lista de Controle de Acesso aplicada na conexão TOR à fronteira.
O roteamento estático aplica-se apenas aos uplinks entre o TOR e os switches de borda. O roteamento dinâmico BGP é usado dentro do rack porque é uma ferramenta essencial para o SLB e outros componentes e não pode ser desativado ou removido.
* A rede BMC é opcional após a implantação.
** A rede Switch Infrastructure é opcional, pois toda a rede pode ser incluída na rede Switch Management.
A rede de gerenciamento de switch é necessária e pode ser adicionada separadamente da rede de infraestrutura de switch.
Proxy transparente
Se o datacenter exigir que todo o tráfego use um proxy, você deverá configurar um proxy transparente para processar todo o tráfego do rack para manipulá-lo de acordo com a política, separando o tráfego entre as zonas da rede.
A solução Azure Stack não suporta proxies Web normais
Um proxy transparente (também conhecido como proxy de intercetação, embutido ou forçado) interceta a comunicação normal na camada de rede sem exigir qualquer configuração especial do cliente. Os clientes não precisam estar cientes da existência do proxy.
A intercetação de tráfego SSL não é suportada e pode levar a falhas de serviço ao acessar pontos de extremidade. O tempo limite máximo suportado para se comunicar com pontos de extremidade necessários para identidade é de 60s com 3 tentativas de repetição.
DNS (Sistema de Nomes de Domínio)
Esta secção aborda a configuração do Sistema de Nomes de Domínio (DNS).
Configurar o encaminhamento DNS condicional
Isso só se aplica a uma implantação do AD FS.
Para habilitar a resolução de nomes com sua infraestrutura DNS existente, configure o encaminhamento condicional.
Para adicionar um encaminhador condicional, você deve usar o ponto de extremidade privilegiado.
Para este procedimento, use um computador em sua rede de datacenter que possa se comunicar com o ponto de extremidade privilegiado no Azure Stack.
Abra uma sessão elevada do Windows PowerShell (execute como administrador) e conecte-se ao endereço IP do ponto de extremidade privilegiado. Use as credenciais para autenticação do CloudAdmin.
\$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$credDepois de se conectar ao ponto de extremidade privilegiado, execute o seguinte comando do PowerShell. Substitua os valores de exemplo fornecidos com seu nome de domínio e endereços IP dos servidores DNS que você deseja usar.
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
Resolvendo nomes DNS do Azure Stack de fora do Azure Stack
Os servidores autoritativos são aqueles que contêm as informações da zona DNS externa e quaisquer zonas criadas pelo usuário. Integre com esses servidores para habilitar a delegação de zona ou o encaminhamento condicional para resolver nomes DNS do Azure Stack de fora do Azure Stack.
Obter informações de ponto de extremidade externo do Servidor DNS
Para integrar sua implantação do Azure Stack à sua infraestrutura DNS, você precisa das seguintes informações:
FQDNs do servidor DNS
Endereços IP do servidor DNS
Os FQDNs para os servidores DNS do Azure Stack têm o seguinte formato:
<NAMINGPREFIX-ns01>.<REGIÃO.><EXTERNALDOMAINNAME>
<NAMINGPREFIX-ns02>.<REGIÃO.><EXTERNALDOMAINNAME>
Usando os valores de exemplo, os FQDNs para os servidores DNS são:
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
Essas informações estão disponíveis no portal de administração, mas também são criadas no final de todas as implantações do Azure Stack em um arquivo chamado AzureStackStampInformation.json. Esse arquivo está localizado na pasta C:\CloudDeployment\logs da máquina virtual Deployment. Se você não tiver certeza de quais valores foram usados para sua implantação do Azure Stack, poderá obter os valores aqui.
Se a máquina virtual de Implantação não estiver mais disponível ou estiver inacessível, você poderá obter os valores conectando-se ao ponto de extremidade privilegiado e executando o cmdlet Get-AzureStackStampInformation PowerShell. Para obter mais informações, consulte ponto de extremidade privilegiado.
Setting up conditional forwarding to Azure Stack (Configurar o reencaminhamento condicional para o Azure Stack)
A maneira mais simples e segura de integrar o Azure Stack à sua infraestrutura DNS é fazer o encaminhamento condicional da zona a partir do servidor que hospeda a zona pai. Essa abordagem é recomendada se você tiver controle direto sobre os servidores DNS que hospedam a zona pai para seu namespace DNS externo do Azure Stack.
Se você não estiver familiarizado com como fazer o encaminhamento condicional com DNS, consulte o seguinte artigo do TechNet: Atribuir um encaminhador condicional para um nome de domínio ou a documentação específica para sua solução DNS.
Em cenários em que você especificou sua Zona DNS externa do Azure Stack para se parecer com um domínio filho do seu nome de domínio corporativo, o encaminhamento condicional não pode ser usado. A delegação de DNS deve ser configurada.
Exemplo:
Nome de domínio DNS corporativo: contoso.com
Nome de Domínio DNS Externo do Azure Stack: azurestack.contoso.com
Editando IPs de Encaminhador DNS
Os IPs do Encaminhador DNS são definidos durante a implantação do Azure Stack. No entanto, se os IPs do Encaminhador precisarem ser atualizados por qualquer motivo, você poderá editar os valores conectando-se ao ponto de extremidade privilegiado e executando os cmdlets Get-AzSDnsForwarder e Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell. Para obter mais informações, consulte ponto de extremidade privilegiado.
Delegating the external DNS zone to Azure Stack (Delegar a zona DNS externa para o Azure Stack)
Para que os nomes DNS possam ser resolvidos de fora de uma implantação do Azure Stack, você precisa configurar a delegação DNS.
Cada entidade de registo tem as suas próprias ferramentas de gestão de DNS para alterar os registos do servidor de nome de um domínio. Na página de gerenciamento de DNS do registrador, edite os registros NS e substitua os registros NS da zona pelos do Azure Stack.
A maioria dos registradores de DNS exige que você forneça um mínimo de dois servidores DNS para concluir a delegação.
Barreira de Fogo
O Azure Stack configura endereços IP virtuais (VIPs) para suas funções de infraestrutura. Esses VIPs são alocados a partir do pool de endereços IP públicos. Cada VIP é protegido com uma lista de controle de acesso (ACL) na camada de rede definida por software. As ACLs também são usadas nos switches físicos (TORs e BMC) para endurecer ainda mais a solução. Uma entrada DNS é criada para cada ponto de extremidade na zona DNS externa especificada no momento da implantação. Por exemplo, o portal do usuário recebe a entrada de host DNS do portal.<região>.<FQDN>.
O diagrama de arquitetura a seguir mostra as diferentes camadas de rede e ACLs:
Portas e URLs
Para disponibilizar os serviços do Azure Stack (como portais, Azure Resource Manager, DNS e assim por diante) para redes externas, você deve permitir o tráfego de entrada para esses pontos de extremidade para URLs, portas e protocolos específicos.
Em uma implantação em que um proxy transparente uplinks para um servidor proxy tradicional ou um firewall está protegendo a solução, você deve permitir portas e URLs específicas para comunicação de entrada e saída. Isso inclui portas e URLs para identidade, mercado, patch e atualização, registro e dados de uso.
Comunicação de saída
O Azure Stack suporta apenas servidores proxy transparentes. Em uma implantação com um uplink de proxy transparente para um servidor proxy tradicional, você deve permitir as portas e URLs na tabela a seguir para comunicação de saída ao implantar no modo conectado.
A intercetação de tráfego SSL não é suportada e pode levar a falhas de serviço ao acessar pontos de extremidade. O tempo limite máximo suportado para se comunicar com pontos de extremidade necessários para a identidade é de 60s.
Nota
O Azure Stack não oferece suporte ao uso da Rota Expressa para alcançar os serviços do Azure listados na tabela a seguir porque a Rota Expressa pode não ser capaz de rotear o tráfego para todos os pontos de extremidade.
| Propósito | URL de destino | Protocolo | Portas | Rede de origem |
|---|---|---|---|---|
| Identidade |
Azure login.windows.net login.microsoftonline.com graph.windows.net https://secure.aadcdn.microsoftonline-p.com www.office.com ManagementServiceUri = https://management.core.windows.net ARMUri = https://management.azure.com Disponível em: https://*.msftauth.net Disponível em: https://*.msauth.net Disponível em: https://*.msocdn.com Azure Government https://login.microsoftonline.us/ https://graph.windows.net/ Azure China 21Vianet https://login.chinacloudapi.cn/ https://graph.chinacloudapi.cn/ Azure Alemanha https://login.microsoftonline.de/ https://graph.cloudapi.de/ |
HTTP HTTPS |
80 443 |
VIP Público - /27 Rede de infraestruturas públicas |
| Distribuição do mercado |
Azure https://management.azure.com Disponível em: https://*.blob.core.windows.net Disponível em: https://*.azureedge.net Azure Government https://management.usgovcloudapi.net/ Disponível em: https://*.blob.core.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn/ Disponível em: http://*.blob.core.chinacloudapi.cn |
HTTPS | 443 | VIP Público - /27 |
| Patch & Atualização | Disponível em: https://*.azureedge.net https://aka.ms/azurestackautomaticupdate |
HTTPS | 443 | VIP Público - /27 |
| Registo |
Azure https://management.azure.com Azure Government https://management.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS | 443 | VIP Público - /27 |
| Utilização |
Azure Disponível em: https://*.trafficmanager.net Azure Government Disponível em: https://*.usgovtrafficmanager.net Azure China 21Vianet Disponível em: https://*.trafficmanager.cn |
HTTPS | 443 | VIP Público - /27 |
| Windows Defender | *.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com *.update.microsoft.com *.download.microsoft.com https://www.microsoft.com/pkiops/crl https://www.microsoft.com/pkiops/certs https://crl.microsoft.com/pki/crl/products https://www.microsoft.com/pki/certs https://secure.aadcdn.microsoftonline-p.com |
HTTPS | 80 443 |
VIP Público - /27 Rede de infraestruturas públicas |
| PNT | (IP do servidor NTP fornecido para implantação) | UDP | 123 | VIP Público - /27 |
| DNS (Sistema de Nomes de Domínio) | (IP do servidor DNS fornecido para implantação) | TCP UDP |
53 | VIP Público - /27 |
| LCR | (URL em Pontos de Distribuição de CRL no seu certificado) | HTTP | 80 | VIP Público - /27 |
| LDAP | Floresta do Ative Directory fornecida para integração com o Graph | TCP UDP |
389 | VIP Público - /27 |
| LDAP SSL | Floresta do Ative Directory fornecida para integração com o Graph | TCP | 636 | VIP Público - /27 |
| LDAP GC | Floresta do Ative Directory fornecida para integração com o Graph | TCP | 3268 | VIP Público - /27 |
| LDAP GC SSL | Floresta do Ative Directory fornecida para integração com o Graph | TCP | 3269 | VIP Público - /27 |
| AD FS | Ponto de extremidade de metadados do AD FS fornecido para integração com o AD FS | TCP | 443 | VIP Público - /27 |
| Serviço de coleta de log de diagnóstico | O Armazenamento do Azure forneceu URL de Blob SAS | HTTPS | 443 | VIP Público - /27 |
Comunicação de entrada
Um conjunto de VIPs de infraestrutura é necessário para publicar pontos de extremidade do Azure Stack em redes externas. A tabela Endpoint (VIP) mostra cada ponto de extremidade, a porta necessária e o protocolo. Consulte a documentação de implantação específica do provedor de recursos para pontos de extremidade que exigem provedores de recursos adicionais, como o provedor de recursos SQL.
Os VIPs de infraestrutura interna não estão listados porque não são necessários para publicar o Azure Stack. Os VIPs de usuário são dinâmicos e definidos pelos próprios usuários, sem controle pelo operador do Azure Stack
Nota
IKEv2 VPN é uma solução VPN IPsec baseada em padrões que usa as portas UDP 500 e 4500 e a porta TCP 50. Os firewalls nem sempre abrem essas portas, portanto, uma VPN IKEv2 pode não ser capaz de atravessar proxies e firewalls.
| Ponto final (VIP) | Registo de anfitrião DNS A | Protocolo | Portas |
|---|---|---|---|
| AD FS | Adfs.<região>.<FQDN> | HTTPS | 443 |
| Portal (administrador) | Portal de administração.<região>.<FQDN> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<região>.<FQDN> | HTTPS | 443 |
| Azure Resource Manager (administrador) | Gestão administrativa.<região>.<FQDN> | HTTPS | 443 |
| Portal (utilizador) | Portal.<região>.<FQDN> | HTTPS | 443 |
| Azure Resource Manager (usuário) | Gestão.<região>.<FQDN> | HTTPS | 443 |
| Gráfico | Gráfico.<região>.<FQDN> | HTTPS | 443 |
| Lista de revogação de certificados | Crl.<região>.<FQDN> | HTTP | 80 |
| DNS (Sistema de Nomes de Domínio) | *.<região>.<FQDN> | TCP & UDP | 53 |
| Alojamento | *.hospedagem.<região>.<FQDN> | HTTPS | 443 |
| Cofre da Chave (utilizador) | *.cofre.<região>.<FQDN> | HTTPS | 443 |
| Cofre da Chave (administrador) | *.adminvault.<região>.<FQDN> | HTTPS | 443 |
| Fila de Armazenamento | *.fila.<região>.<FQDN> | HTTP HTTPS |
80 443 |
| Tabela de Armazenamento | *.tabela.<região>.<FQDN> | HTTP HTTPS |
80 443 |
| Blob de Armazenamento | *.blob.<região>.<FQDN> | HTTP HTTPS |
80 443 |
| Fornecedor de Recursos SQL | SqlAdapter.dbAdapter.<região>.<FQDN> | HTTPS | 44300-44304 |
| Fornecedor de Recursos do MySQL | mysqladapter.dbadapter.<região>.<FQDN> | HTTPS | 44300-44304 |
| Serviço de Aplicações | *.appservice.<região>.<FQDN> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.<região>.<FQDN> | TCP | 443 (HTTPS) | |
| api.appservice.<região>.<FQDN> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice.<região>.<FQDN> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Gateways de VPN | Consulte as Perguntas frequentes sobre o gateway de VPN. | ||