Veri merkezinizde Azure Stack Hub hizmetlerini yayımlama
Azure Stack Hub, altyapı rolleri için sanal IP adresleri (VIP' ler) ayarlar. Bu VIP'ler genel IP adresi havuzundan ayrılır. Her VIP, yazılım tanımlı ağ katmanında bir erişim denetim listesi (ACL) ile güvenli hale getirilir. ACL'ler, çözümü daha da sağlamlaştırmak için fiziksel anahtarlar (TOR'lar ve BMC) arasında da kullanılır. Dış DNS bölgesindeki dağıtım zamanında belirtilen her uç nokta için bir DNS girişi oluşturulur. Örneğin, kullanıcı portalına portalın DNS ana bilgisayar girişi atanır. <bölge.<>fqdn>.
Aşağıdaki mimari diyagramda farklı ağ katmanları ve ACL'ler gösterilmektedir:
Bağlantı noktaları ve URL'ler
Azure Stack Hub hizmetlerini (portallar, Azure Resource Manager, DNS vb.) dış ağlarda kullanılabilir hale getirmek için belirli URL'ler, bağlantı noktaları ve protokoller için bu uç noktalara gelen trafiğe izin vermelisiniz.
Saydam ara sunucunun geleneksel bir ara sunucuya veya güvenlik duvarına yukarı bağlantılarının çözümü koruduğu bir dağıtımda, hem gelen hem de giden iletişim için belirli bağlantı noktalarına ve URL'lere izin vermelisiniz. Bunlar kimlik, market, düzeltme eki ve güncelleştirme, kayıt ve kullanım verileri için bağlantı noktalarını ve URL'leri içerir.
SSL trafiği kesme desteklenmez ve uç noktalara erişirken hizmet hatalarına yol açabilir.
Bağlantı noktaları ve protokoller (gelen)
Azure Stack Hub uç noktalarını dış ağlara yayımlamak için bir altyapı VIP'leri kümesi gereklidir. Uç Nokta (VIP) tablosu her uç noktayı, gerekli bağlantı noktasını ve protokolü gösterir. SQL kaynak sağlayıcısı gibi ek kaynak sağlayıcıları gerektiren uç noktalar için belirli kaynak sağlayıcısı dağıtım belgelerine bakın.
Azure Stack Hub'ı yayımlamak için gerekli olmadığından iç altyapı VIP'leri listelenmez. Kullanıcı VIP'leri dinamik olup kullanıcılar tarafından tanımlanır ve Azure Stack Hub işleci tarafından hiçbir denetim yoktur.
Uzantı Konağı'nın eklenmesiyle birlikte, 12495-30015 aralığındaki bağlantı noktaları gerekli değildir.
| Uç nokta (VIP) | DNS ana bilgisayarı A kaydı | Protokol | Bağlantı noktaları |
|---|---|---|---|
| AD FS | Adfs. <bölge.<>Fqdn> | HTTPS | 443 |
| Portal (yönetici) | Yönetici raporları. <bölge.<>Fqdn> | HTTPS | 443 |
| Yönetici barındırma | *.adminhosting.<bölge.><Fqdn> | HTTPS | 443 |
| Azure Resource Manager (yönetici) | Yönetim. <bölge.<>Fqdn> | HTTPS | 443 |
| Portal (kullanıcı) | Portal. <bölge.<>Fqdn> | HTTPS | 443 |
| Azure Resource Manager (kullanıcı) | Yönetimi. <bölge.<>Fqdn> | HTTPS | 443 |
| Graf | Grafik. <bölge.<>Fqdn> | HTTPS | 443 |
| Sertifika iptal listesi | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <bölge.<>Fqdn> | TCP & UDP | 53 |
| Barındırma | *.Barındırma.<bölge.><Fqdn> | HTTPS | 443 |
| Key Vault (kullanıcı) | *.Kasa. <bölge.<>Fqdn> | HTTPS | 443 |
| Key Vault (yönetici) | *.adminvault. <bölge.<>Fqdn> | HTTPS | 443 |
| Depolama Kuyruğu | *.Sıra. <bölge.<>Fqdn> | HTTP HTTPS |
80 443 |
| Depolama Tablosu | *.Tablo. <bölge.<>Fqdn> | HTTP HTTPS |
80 443 |
| Depolama Blobu | *.Blob. <bölge.<>Fqdn> | HTTP HTTPS |
80 443 |
| SQL Kaynak Sağlayıcısı | sqladapter.dbadapter. <bölge.<>Fqdn> | HTTPS | 44300-44304 |
| MySQL Kaynak Sağlayıcısı | mysqladapter.dbadapter. <bölge.<>Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <bölge.<>Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <bölge.<>Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <bölge.<>Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <bölge.<>Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN Ağ Geçitleri | IP Protokolü 50 & UDP | Kapsülleme Güvenlik Yükü (ESP) IPSec & UDP 500 ve 4500 |
Bağlantı noktaları ve URL'ler (giden)
Azure Stack Hub yalnızca saydam ara sunucuları destekler. Geleneksel ara sunucuya saydam ara sunucu yukarı bağlantısı olan bir dağıtımda, giden iletişim için aşağıdaki tabloda yer alan bağlantı noktalarına ve URL'lere izin vermelisiniz. Saydam proxy sunucularını yapılandırma hakkında daha fazla bilgi için bkz. Azure Stack Hub için saydam ara sunucu.
SSL trafiği kesme desteklenmez ve uç noktalara erişirken hizmet hatalarına yol açabilir. Kimlik için gereken uç noktalarla iletişim kurmak için desteklenen en fazla zaman aşımı 60'tır.
Not
Azure Stack Hub, aşağıdaki tabloda listelenen Azure hizmetlerine ulaşmak için ExpressRoute'un kullanılmasını desteklemez çünkü ExpressRoute trafiği tüm uç noktalara yönlendiremeyebilir.
| Amaç | Hedef URL | Protokol / Bağlantı Noktaları | Kaynak Ağ | Gereksinim |
|---|---|---|---|---|
|
Kimlik Azure Stack Hub'ın Kullanıcı & Hizmeti kimlik doğrulaması için Microsoft Entra kimliğine bağlanmasına izin verir. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Devlet Kurumları https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Almanya https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Genel VIP - /27 Genel altyapı Ağı |
Bağlı dağıtım için zorunlu. |
|
Market dağıtımı Öğeleri Market'ten Azure Stack Hub'a indirmenize ve Azure Stack Hub ortamını kullanarak tüm kullanıcıların kullanımına sunmanıza olanak tanır. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Devlet Kurumları https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Genel VIP - /27 | Gerekli değildir. Görüntüleri Azure Stack Hub'a yüklemek için bağlantısı kesilmiş senaryo yönergelerini kullanın. |
|
Düzeltme Eki & Güncelleştirmesi Güncelleştirme uç noktalarına bağlanıldığında, Azure Stack Hub yazılım güncelleştirmeleri ve düzeltmeleri indirilebilir olarak görüntülenir. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Genel VIP - /27 | Gerekli değildir. Bağlantıyı kesen dağıtım bağlantısı yönergelerini kullanarak güncelleştirmeyi el ile indirin ve hazırlayın. |
|
Kayıt Azure Market öğeleri indirmek ve ticari veri raporlamayı Microsoft'a geri ayarlamak için Azure Stack Hub'ı Azure'a kaydetmenize olanak tanır. |
Azurehttps://management.azure.comAzure Devlet Kurumları https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Genel VIP - /27 | Gerekli değildir. Çevrimdışı kayıt için bağlantısı kesilmiş senaryoyu kullanabilirsiniz. |
|
Kullanım Azure Stack Hub operatörlerinin kullanım verilerini Azure'a raporlamak için Azure Stack Hub örneğini yapılandırmasına izin verir. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Devlet Kurumları https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Genel VIP - /27 | Azure Stack Hub tüketim tabanlı lisanslama modeli için gereklidir. |
|
Windows Defender Güncelleştirme kaynak sağlayıcısının kötü amaçlı yazılımdan koruma tanımlarını ve altyapı güncelleştirmelerini günde birden çok kez indirmesine izin verir. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Genel VIP - /27 Genel altyapı Ağı |
Gerekli değildir. Virüsten koruma imza dosyalarını güncelleştirmek için bağlantısı kesilmiş senaryoyu kullanabilirsiniz. |
|
NTP Azure Stack Hub'ın zaman sunucularına bağlanmasına izin verir. |
(Dağıtım için sağlanan NTP sunucusunun IP'si) | UDP 123 | Genel VIP - /27 | Gerekli |
|
DNS Azure Stack Hub'ın DNS sunucusu ileticisine bağlanmasına izin verir. |
(Dağıtım için sağlanan DNS sunucusunun IP'si) | TCP & UDP 53 | Genel VIP - /27 | Gerekli |
|
SYSLOG Azure Stack Hub'ın izleme veya güvenlik amacıyla syslog iletisi göndermesine izin verir. |
(Dağıtım için sağlanan SYSLOG sunucusunun IP'si) | TCP 6514, UDP 514 |
Genel VIP - /27 | İsteğe Bağlı |
|
CRL Azure Stack Hub'ın sertifikaları doğrulamasına ve iptal edilen sertifikaları denetlemesine izin verir. |
Sertifikalarınızdaki CRL Dağıtım Noktaları altındaki URL | HTTP 80 | Genel VIP - /27 | Gerekli |
|
CRL Azure Stack Hub'ın sertifikaları doğrulamasına ve iptal edilen sertifikaları denetlemesine izin verir. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Genel VIP - /27 | Gerekli değildir. Kesinlikle önerilen en iyi güvenlik uygulaması. |
|
LDAP Azure Stack Hub'ın şirket içi Microsoft Active Directory ile iletişim kurmasına izin verir. |
Graph tümleştirmesi için Active Directory Ormanı sağlandı | TCP & UDP 389 | Genel VIP - /27 | Azure Stack Hub AD FS kullanılarak dağıtıldığında gereklidir. |
|
LDAP SSL Azure Stack Hub'ın şirket içi Microsoft Active Directory ile şifrelenmiş iletişim kurmasına izin verir. |
Graph tümleştirmesi için Active Directory Ormanı sağlandı | TCP 636 | Genel VIP - /27 | Azure Stack Hub AD FS kullanılarak dağıtıldığında gereklidir. |
|
LDAP GC Azure Stack Hub'ın Microsoft Etkin Genel Katalog Sunucuları ile iletişim kurmasına izin verir. |
Graph tümleştirmesi için Active Directory Ormanı sağlandı | TCP 3268 | Genel VIP - /27 | Azure Stack Hub AD FS kullanılarak dağıtıldığında gereklidir. |
|
LDAP GC SSL Azure Stack Hub'ın Microsoft Active Directory Genel Katalog Sunucuları ile şifrelenmiş iletişim kurmasına izin verir. |
Graph tümleştirmesi için Active Directory Ormanı sağlandı | TCP 3269 | Genel VIP - /27 | Azure Stack Hub AD FS kullanılarak dağıtıldığında gereklidir. |
|
AD FS Azure Stack Hub'ın şirket içi AD FS ile iletişim kurmasına izin verir. |
AD FS tümleştirmesi için sağlanan AD FS meta veri uç noktası | TCP 443 | Genel VIP - /27 | İsteğe bağlı. AD FS talep sağlayıcısı güveni bir meta veri dosyası kullanılarak oluşturulabilir. |
|
Tanılama günlüğü toplama Azure Stack Hub'ın günlükleri proaktif olarak veya bir operatör tarafından microsoft desteğine el ile göndermesine izin verir. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Genel VIP - /27 | Gerekli değildir. Günlükleri yerel olarak kaydedebilirsiniz. |
|
Uzaktan destek Microsoft destek uzmanlarının sınırlı sorun giderme ve onarım işlemleri gerçekleştirmek için cihaza uzaktan erişime izin vererek destek olayını daha hızlı çözmesine olanak tanır. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | Genel VIP - /27 | Gerekli değildir. |
|
Telemetri Azure Stack Hub'ın telemetri verilerini Microsoft'a göndermesine izin verir. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.com2108 sürümünden itibaren aşağıdaki uç noktalar da gereklidir: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Genel VIP - /27 | Azure Stack Hub telemetrisi etkinleştirildiğinde gereklidir. |
Giden URL'ler, coğrafi konuma göre mümkün olan en iyi bağlantıyı sağlamak için Azure traffic manager kullanılarak yük dengelenir. Yük dengeli URL'lerle Microsoft, müşterileri etkilemeden arka uç uç noktalarını güncelleştirebilir ve değiştirebilir. Microsoft, yük dengeli URL'ler için IP adresleri listesini paylaşmaz. IP yerine URL'ye göre filtrelemeyi destekleyen bir cihaz kullanın.
Giden DNS her zaman gereklidir; Değişen, dış DNS'yi sorgulayan kaynak ve hangi tür kimlik tümleştirmesinin seçildiğidir. Bağlı bir senaryo için dağıtım sırasında BMC ağında bulunan DVM'nin giden erişime ihtiyacı vardır. Ancak dağıtımdan sonra DNS hizmeti, Genel VIP üzerinden sorgu gönderecek bir iç bileşene geçer. Bu sırada, BMC ağı üzerinden giden DNS erişimi kaldırılabilir, ancak bu DNS sunucusuna Genel VIP erişimi kalmalıdır, aksi takdirde kimlik doğrulaması başarısız olur.