Publicera Azure Stack Hub-tjänster i ditt datacenter
Azure Stack Hub konfigurerar virtuella IP-adresser (VIP) för sina infrastrukturroller. Dessa VIP:er allokeras från den offentliga IP-adresspoolen. Varje VIP skyddas med en åtkomstkontrollista (ACL) i det programvarudefinierade nätverksskiktet. ACL:er används också över de fysiska växlarna (TOR och BMC) för att ytterligare härda lösningen. En DNS-post skapas för varje slutpunkt i den externa DNS-zon som anges vid distributionstillfället. Till exempel tilldelas användarportalen DNS-värdposten i portalen. <region>.<fqdn>.
Följande arkitekturdiagram visar de olika nätverksskikten och ACL:er:
Portar och URL:er
För att göra Azure Stack Hub-tjänster (till exempel portaler, Azure Resource Manager, DNS och så vidare) tillgängliga för externa nätverk måste du tillåta inkommande trafik till dessa slutpunkter för specifika URL:er, portar och protokoll.
I en distribution där en transparent proxy överlänkar till en traditionell proxyserver eller en brandvägg skyddar lösningen måste du tillåta specifika portar och URL:er för både inkommande och utgående kommunikation. Dessa omfattar portar och URL:er för identitet, marketplace, korrigering och uppdatering, registrering och användningsdata.
SSL-trafikavlyssning stöds inte och kan leda till tjänstfel vid åtkomst till slutpunkter.
Portar och protokoll (inkommande)
En uppsättning infrastruktur-VIP krävs för publicering av Azure Stack Hub-slutpunkter till externa nätverk. Tabellen Slutpunkt (VIP) visar varje slutpunkt, nödvändig port och protokoll. Se den specifika dokumentationen för distribution av resursprovider för slutpunkter som kräver ytterligare resursprovidrar, till exempel SQL-resursprovidern.
Interna infrastruktur-VIP:er visas inte eftersom de inte krävs för publicering av Azure Stack Hub. Användar-VIP:er är dynamiska och definierade av användarna själva, utan kontroll av Azure Stack Hub-operatorn.
Med tillägg av tilläggsvärden krävs inte portar i intervallet 12495-30015.
| Slutpunkt (VIP) | DNS-värd A-post | Protokoll | Portar |
|---|---|---|---|
| AD FS | Adfs. <region>.<Fqdn> | HTTPS | 443 |
| Portal (administratör) | Adminportal. <region>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<region>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (administratör) | Administratörshantering. <region>.<Fqdn> | HTTPS | 443 |
| Portal (användare) | Portal. <region>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (användare) | Management. <region>.<Fqdn> | HTTPS | 443 |
| Graph | Diagram. <region>.<Fqdn> | HTTPS | 443 |
| Lista över återkallade certifikat | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <region>.<Fqdn> | TCP & UDP | 53 |
| Värd | *.Hosting.<region>.<Fqdn> | HTTPS | 443 |
| Key Vault (användare) | *.Valv. <region>.<Fqdn> | HTTPS | 443 |
| Key Vault (administratör) | *.adminvault. <region>.<Fqdn> | HTTPS | 443 |
| Lagringskö | *.Kö. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Lagringstabell | *.Tabell. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Blob | *.Blob. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| SQL-resursprovider | sqladapter.dbadapter. <region>.<Fqdn> | HTTPS | 44300-44304 |
| MySQL-resursprovider | mysqladapter.dbadapter. <region>.<Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <region>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <region>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <region>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <region>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN-gatewayer | IP Protocol 50 & UDP | IPSec-inkapslingssäkerhetsnyttolast (ESP) & UDP 500 och 4500 |
Portar och URL:er (utgående)
Azure Stack Hub stöder endast transparenta proxyservrar. I en distribution med en transparent proxy-överlänk till en traditionell proxyserver måste du tillåta portar och URL:er i följande tabell för utgående kommunikation. Mer information om hur du konfigurerar transparenta proxyservrar finns i Transparent proxy för Azure Stack Hub.
SSL-trafikavlyssning stöds inte och kan leda till tjänstfel vid åtkomst till slutpunkter. Den maximala tidsgränsen som stöds för att kommunicera med slutpunkter som krävs för identitet är 60-talet.
Anteckning
Azure Stack Hub stöder inte användning av ExpressRoute för att nå De Azure-tjänster som anges i följande tabell eftersom ExpressRoute kanske inte kan dirigera trafik till alla slutpunkter.
| Syfte | Mål-URL | Protokoll/portar | Källnätverk | Krav |
|---|---|---|---|---|
|
Identitet Gör att Azure Stack Hub kan ansluta till Microsoft Entra-ID för autentisering med användar- &-tjänsten. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure Kina 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Tyskland https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Offentlig VIP – /27 Offentligt infrastrukturnätverk |
Obligatoriskt för en ansluten distribution. |
|
Marketplace-syndikering Gör att du kan ladda ned objekt till Azure Stack Hub från Marketplace och göra dem tillgängliga för alla användare med hjälp av Azure Stack Hub-miljön. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure Kina 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Offentlig VIP – /27 | Krävs inte. Använd instruktionerna för frånkopplade scenarion för att ladda upp bilder till Azure Stack Hub. |
|
Uppdatera & korrigering När du är ansluten till uppdateringsslutpunkter visas Azure Stack Hub-programuppdateringar och snabbkorrigeringar som tillgängliga för nedladdning. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Offentlig VIP – /27 | Krävs inte. Använd anvisningarna för frånkopplad distributionsanslutning för att ladda ned och förbereda uppdateringen manuellt. |
|
Registrering Gör att du kan registrera Azure Stack Hub med Azure för att ladda ned Azure Marketplace objekt och konfigurera handelsdatarapportering tillbaka till Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure Kina 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Offentlig VIP – /27 | Krävs inte. Du kan använda det frånkopplade scenariot för offlineregistrering. |
|
Användning Gör att Azure Stack Hub-operatörer kan konfigurera sin Azure Stack Hub-instans för att rapportera användningsdata till Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure Kina 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Offentlig VIP – /27 | Krävs för Azure Stack Hub-förbrukningsbaserad licensieringsmodell. |
|
Windows Defender Gör att uppdateringsresursprovidern kan ladda ned definitioner för program mot skadlig kod och motoruppdateringar flera gånger per dag. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Offentlig VIP – /27 Offentligt infrastrukturnätverk |
Krävs inte. Du kan använda det frånkopplade scenariot för att uppdatera antivirussignaturfiler. |
|
NTP Gör att Azure Stack Hub kan ansluta till tidsservrar. |
(IP för NTP-servern som tillhandahålls för distribution) | UDP 123 | Offentlig VIP – /27 | Obligatorisk |
|
DNS Gör att Azure Stack Hub kan ansluta till DNS-servervidare. |
(IP för DNS-server som tillhandahålls för distribution) | TCP & UDP 53 | Offentlig VIP – /27 | Obligatorisk |
|
SYSLOG Gör att Azure Stack Hub kan skicka syslog-meddelande i övervaknings- eller säkerhetssyfte. |
(IP för SYSLOG-servern som tillhandahålls för distribution) | TCP 6514, UDP 514 |
Offentlig VIP – /27 | Valfritt |
|
CRL Gör att Azure Stack Hub kan verifiera certifikat och söka efter återkallade certifikat. |
URL under CRL-distributionsplatser på dina certifikat | HTTP 80 | Offentlig VIP – /27 | Obligatorisk |
|
CRL Gör att Azure Stack Hub kan verifiera certifikat och söka efter återkallade certifikat. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Offentlig VIP – /27 | Krävs inte. Rekommenderade rekommenderade säkerhetsmetoder. |
|
LDAP Gör att Azure Stack Hub kan kommunicera med Microsoft Active Directory lokalt. |
Active Directory-skog som tillhandahålls för Graph-integrering | TCP & UDP 389 | Offentlig VIP – /27 | Krävs när Azure Stack Hub distribueras med AD FS. |
|
LDAP SSL Gör att Azure Stack Hub kan kommunicera krypterat med Microsoft Active Directory lokalt. |
Active Directory-skog som tillhandahålls för Graph-integrering | TCP 636 | Offentlig VIP – /27 | Krävs när Azure Stack Hub distribueras med AD FS. |
|
LDAP GC Gör att Azure Stack Hub kan kommunicera med Microsoft Active Global Catalog Servers. |
Active Directory-skog som tillhandahålls för Graph-integrering | TCP 3268 | Offentlig VIP – /27 | Krävs när Azure Stack Hub distribueras med AD FS. |
|
LDAP GC SSL Gör att Azure Stack Hub kan kommunicera krypterat med globala katalogservrar i Microsoft Active Directory. |
Active Directory-skog som tillhandahålls för Graph-integrering | TCP 3269 | Offentlig VIP – /27 | Krävs när Azure Stack Hub distribueras med AD FS. |
|
AD FS Gör att Azure Stack Hub kan kommunicera med lokal AD FS. |
AD FS-metadataslutpunkt tillhandahålls för AD FS-integrering | TCP 443 | Offentlig VIP – /27 | Valfritt. Ad FS-anspråksproviderförtroendet kan skapas med hjälp av en metadatafil. |
|
Insamling av diagnostikloggar Gör att Azure Stack Hub kan skicka loggar proaktivt eller manuellt av en operatör till Microsoft Support. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Offentlig VIP – /27 | Krävs inte. Du kan spara loggar lokalt. |
|
Fjärrstöd Gör att Microsofts supportpersonal kan lösa supportärende snabbare genom att tillåta fjärråtkomst till enheten till att utföra begränsade felsöknings- och reparationsåtgärder. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | Offentlig VIP – /27 | Krävs inte. |
|
Telemetri Gör att Azure Stack Hub kan skicka telemetridata till Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comFrån och med version 2108 krävs även följande slutpunkter: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Offentlig VIP – /27 | Krävs när Azure Stack Hub-telemetri är aktiverat. |
Utgående URL:er belastningsutjämnas med Hjälp av Azure Traffic Manager för att tillhandahålla bästa möjliga anslutning baserat på geografisk plats. Med belastningsutjämnings-URL:er kan Microsoft uppdatera och ändra serverdelsslutpunkter utan att påverka kunderna. Microsoft delar inte listan över IP-adresser för de belastningsutjämnings-URL:erna. Använd en enhet som stöder filtrering efter URL i stället för efter IP.
Utgående DNS krävs hela tiden; Vad som varierar är källan som frågar den externa DNS och vilken typ av identitetsintegrering som valdes. Under distributionen för ett anslutet scenario behöver den DVM som finns i BMC-nätverket utgående åtkomst. Men efter distributionen flyttas DNS-tjänsten till en intern komponent som skickar frågor via en offentlig VIP. Vid den tidpunkten kan den utgående DNS-åtkomsten via BMC-nätverket tas bort, men den offentliga VIP-åtkomsten till DNS-servern måste finnas kvar, annars misslyckas autentiseringen.