Требования к инфраструктуре прямой маршрутизации Azure

Важно!

Функции, описанные в этом документе, в настоящее время доступны в общедоступной предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания. Ее не следует использовать для производственных рабочих нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования предварительных выпусков Microsoft Azure.

Важно!

Для клиентов Dynamics 365 Omnichannel корпорация Майкрософт предоставляет общедоступную поддержку для всех сценариев, связанных с прямой маршрутизацией. Дополнительные сведения о голосовой связи Dynamics Omnichannel см. в разделе "Общие сведения о голосовом канале".

В этой статье описываются сведения о подключении инфраструктуры, лицензирования и пограничного контроллера сеанса (SBC), которые следует учитывать в качестве плана развертывания прямой маршрутизации Azure.

Требования к инфраструктуре

Требования к инфраструктуре для поддерживаемых пограничных контроллеров сеансов, доменов и другие требования к сетевым подключениям для развертывания прямой маршрутизации Azure приведены в следующей таблице:

Требование к инфраструктуре Вам потребуется
Пограничный контроллер сеансов (SBC) Поддерживаемый SBC. Дополнительные сведения см. в разделе Поддерживаемые SBC.
Магистрали телефонной связи, подключенные к SBC Одна или несколько магистралей телефонной связи, подключенные к SBC. На одном конце SBC подключается к Службам коммуникации Azure (ACS) через прямую маршрутизацию. SBC также может подключаться к сторонним сущностям телефонии, таким как УАТС, аналоговые адаптеры телефонии. Любой параметр подключения общедоступной телефонной сети (ТСОП), подключенный к SBC. (для настройки магистралей ТСОП к SBC обратитесь к поставщикам SBC или поставщикам магистралей).
Подписка Azure. Подписка Azure, которая используется для создания ресурса Служб коммуникации, настройки и подключения к SBC
Маркер доступа Служб коммуникации Для совершения вызовов вам необходим допустимый маркер доступа с областью voip. См. раздел Маркеры доступа.
Общедоступный IP-адрес для SBC Общедоступный IP-адрес, который можно использовать для подключения к SBC. В зависимости от типа SBC может использовать преобразование сетевых адресов (NAT).
Полное доменное имя (FQDN) для SBC Дополнительные сведения см. в разделе сертификатов SBC и доменных имен.
Общедоступная запись DNS для SBC Общедоступная запись DNS сопоставляет полное доменное имя SBC с общедоступным IP-адресом.
Открытый доверенный сертификат для SBC Сертификат для SBC, используемый для обмена данными с прямой маршрутизацией Azure. Дополнительные сведения см. в разделе сертификатов SBC и доменных имен.
IP-адреса и порты брандмауэра для сигналов и мультимедиа SIP SBC обменивается данными со следующими службами в облаке:

прокси-сервер SIP, который обрабатывает сигналы;
обработчик мультимедиа, который обрабатывает данные мультимедиа.

Эти две службы имеют отдельные IP-адреса в Microsoft Cloud, как описано далее в этом документе.

Сертификаты SBC и доменные имена

Корпорация Майкрософт рекомендует запросить сертификат для SBC по запросу на подписывание сертификатов (CSR). Конкретные инструкции по созданию CSR для SBC см. в инструкциях по подключению или документации, предоставленной поставщиками SBC.

Примечание

Большинство центров сертификации требуют, чтобы длина закрытого ключа составляла не менее 2048 бит. Помните об этом при создании CSR.

Сертификат должен иметь полное доменное имя SBC в качестве общего имени (CN) или поля альтернативного имени субъекта (SAN). Сертификат должен выдаваться непосредственно из центра сертификации, а не от промежуточного поставщика.

Кроме того, прямая маршрутизация служб коммуникации поддерживает подстановочный знак в CN и (или) SAN, а подстановочный знак должен соответствовать стандарту RFC HTTP over TLS.

Клиенты, которые уже используют Office 365 и имеют домен, зарегистрированный в центре Microsoft 365 Admin, могут использовать полное доменное имя SBC из того же домена. Домены, которые ранее не использовались в O365, должны быть подготовлены.

Например, можно использовать \*.contoso.com, что соответствует полному доменному имени SBC sbc.contoso.com, но не sbc.test.contoso.com.

Примечание

Полное доменное имя SBC в Службы коммуникации Azure прямой маршрутизации должно отличаться от полного доменного имени SBC в Прямой маршрутизации Teams.

Важно!

Только в общедоступной предварительной версии: если вы планируете использовать подстановочный сертификат для домена, который не зарегистрирован в Teams, отправьте запрос в службу поддержки, и наша команда добавит его в качестве доверенного домена.

Службы коммуникации доверяют только сертификатам, подписанным центрами сертификации (ЦС), которые входят в программу доверенных корневых сертификатов Майкрософт. Убедитесь, что сертификат SBC подписан центром сертификации, который является частью программы, и что расширение расширенного использования ключей (EKU) сертификата включает проверку подлинности сервера. Дополнительные сведения:

Требования к программе — доверенные корневые программы Майкрософт

Включенный список сертификатов ЦС

Важно!

Службы коммуникации Azure прямая маршрутизация поддерживает только TLS 1.2 (или более позднюю версию). Чтобы избежать влияния на службу, убедитесь, что контроллеры SBC настроены для поддержки TLS1.2 и могут подключаться с помощью одного из следующих наборов шифров:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 т. е. ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 т. е. ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 т. е. ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 т. е. ECDHE-RSA-AES128-SHA256

Связывание SBC работает на уровне ресурсов Служб коммуникации. Это означает, что вы можете связать несколько контроллеров домена с одним ресурсом Служб коммуникации. Тем не менее, нельзя связать один SBC с несколькими ресурсами Служб коммуникации. Для связывания с различными ресурсами требуются уникальные полные доменные имена SBC.

Передача сигналов SIP: полные доменные имена

Точки подключения для прямой маршрутизации Служб коммуникации представлены следующими тремя полными доменными именами:

  • sip.pstnhub.microsoft.com — глобальное полное доменное имя — необходимо сначала попробовать. Когда SBC отправляет запрос на разрешение этого имени, DNS-серверы Microsoft Azure возвращают IP-адрес, указывающий на основной центр обработки данных Azure, назначенный SBC. Назначение основано на метриках производительности центров обработки данных и географической близости к SBC. Возвращенный IP-адрес соответствует основному полному доменному имени.
  • sip2.pstnhub.microsoft.com — дополнительное полное доменное имя — географически сопоставляется со вторым регионом приоритета.
  • sip3.pstnhub.microsoft.com — третье полное доменное имя — географически сопоставляется с третьим приоритетным регионом.

Для выполнения следующих трех полных доменных имен требуются следующие три полных доменных имени:

  • Обеспечение оптимального взаимодействия (менее загруженный и ближайший к SBC центр обработки данных назначается путем отправки запроса к первому полному доменному имени).
  • Обеспечение отработки отказа, если SBC подключается к центру обработки данных с временными проблемами. Дополнительные сведения см. в разделе "Механизм отработки отказа".

Полные доменные имена (sip.pstnhub.microsoft.com, sip2.pstnhub.microsoft.com и sip3.pstnhub.microsoft.com) разрешаются на один из следующих IP-адресов:

  • 52.112.0.0/14 (IP addresses from 52.112.0.1 to 52.115.255.254)
  • 52.120.0.0/14 (IP addresses from 52.120.0.1 to 52.123.255.254)

Откройте порты брандмауэра для всех этих диапазонов IP-адресов, чтобы разрешить входящий и исходящий трафик для таких адресов для передачи сигналов.

Передача сигналов SIP: порты;

Используйте следующие порты для прямой маршрутизации Служб коммуникации:

Трафик Исходный тип Кому Исходный порт Конечный порт
SIP/TLS Прокси-сервер SIP SBC 1024–65535 Определен на SBC
SIP/TLS SBC Прокси-сервер SIP Определен на SBC 5061

Механизм отработки отказа для передачи сигналов SIP

SBC отправляет запрос DNS для разрешения sip.pstnhub.microsoft.com. В зависимости от расположения SBC и метрик производительности центра обработки данных выбирается основной центр обработки данных. Если основной центр обработки данных испытывает проблему, SBC пытается sip2.pstnhub.microsoft.com, который разрешается во второй назначенный центр обработки данных и, в редких случаях, когда центры обработки данных в двух регионах недоступны, SBC повторяет последнее полное доменное имя (sip3.pstnhub.microsoft.com), которое предоставляет IP-адрес третьего центра обработки данных.

Мультимедийный трафик: диапазоны IP-адресов и портов

Мультимедийный трафик передается в отдельную службу, которая называется обработчиком мультимедиа, и из нее. На момент публикации обработчик мультимедиа для Служб коммуникации может использовать любой IP-адрес Azure. Скачайте полный список адресов.

Диапазоны портов

Диапазоны портов обработчиков мультимедиа показаны в следующей таблице:

Трафик Исходный тип Кому Исходный порт Конечный порт
UDP/SRTP Обработчик мультимедиа SBC 3478–3481 и 49152–53247 Определен на SBC
UDP/SRTP SBC Обработчик мультимедиа Определен на SBC 3478–3481 и 49152–53247

Примечание

Корпорация Майкрософт рекомендует включить по меньшей мере два порта на каждый параллельный вызов на SBC.

Мультимедийный трафик: география обработчиков мультимедиа

Обработчики мультимедиа размещаются в том же центре обработки данных, что и прокси-серверы SIP:

  • NOAM (центрально-южная часть США, два центра обработки данных в западной части США и восточной части США)
  • Европа (южная часть Соединенного Королевства, Центральная Франция, Амстердам и Дублин)
  • Азия (центр обработки данных Сингапура)
  • Япония (центры обработки данных в Восточной Японии и Западной Японии).
  • Австралия (центры обработки данных в Восточной Австралии и Юго-Восточной Австралии).
  • LATAM (Южная Бразилия)
  • Африка (Северная Африка)

Мультимедийный трафик: кодеки

Между SBC и облачным обработчиком мультимедиа.

Интерфейс прямой маршрутизации Azure на участке между пограничным контроллером сеансов и облачным обработчиком мультимедиа может использовать следующие кодеки:

  • SILK, G.711, G.722, G.729.

Вы можете принудительно использовать конкретный кодек на пограничном контроллере сеансов, исключив из предложения нежелательные кодеки.

Участок между приложением пакета SDK для вызовов Служб коммуникации и облачным обработчиком мультимедиа

На участке между облачным обработчиком мультимедиа и приложением пакета SDK для вызовов Служб коммуникации используется G.722. Идет работа над добавлением дополнительных кодеков на этом этапе.

Поддерживаемые пограничные контроллеры сеансов (SBC)

Дальнейшие шаги

Основная документация

Краткие руководства