在您的資料中心發佈 Azure Stack Hub 服務
Azure Stack Hub 會為其基礎結構角色設定虛擬 IP 位址 (VIP)。 這些 VIP 是從公用 IP 位址集區配置的。 針對每個 VIP,都會藉由軟體定義網路層中的存取控制清單 (ACL) 來提供保護。 ACL 也用於各個實體交換器 (TOR 和 BMC) 來進一步強化解決方案。 系統會針對在部署時所指定的外部 DNS 區域中的每個端點,分別建立一個 DNS 項目。 例如,系統會將 portal.<region>.<fqdn> 的 DNS 主機項目指派給使用者入口網站。
以下架構圖顯示各種不同的網路層和 ACL:
連接埠和 URL
若要讓外部網路使用 Azure Stack Hub 服務 (例如入口網站、Azure Resource Manager、DNS 等),您必須針對特定 URL、連接埠和通訊協定允許對這些端點的輸入流量。
在透明 Proxy 上行連結至傳統 Proxy 伺服器或防火牆的部署中,若要保護解決方案,您必須允許輸入和輸出的特定埠和 URL交流。 其中包括用於身分識別、Marketplace、修補和更新、註冊和使用狀況資料的連接埠和 URL。
不支援 SSL 流量攔截,而且可能會在存取端點時導致服務失敗。
連接埠和通訊協定 (輸入)
將 Azure Stack Hub 端點發佈至外部網路時,需有一組基礎結構 VIP。 「端點 (VIP)」 資料表會顯示每個端點、所需的連接埠以及通訊協定。 請參閱特定資源提供者部署文件,了解需要其他資源提供者 (例如 SQL 資源提供者等) 的端點。
此處並未列出內部基礎結構 VIP,因為在發佈 Azure Stack Hub 時不需要這些 VIP。 使用者 VIP 是動態的,且由使用者本身定義,不受 Azure Stack Hub 操作員控制。
在加入延伸主機後,即不需要12495-30015 範圍內的連接埠。
| 端點 (VIP) | DNS 主機 A 記錄 | 通訊協定 | 連接埠 |
|---|---|---|---|
| AD FS | Adfs.<region>.<fqdn> | HTTPS | 443 |
| 入口網站 (系統管理員) | Adminportal.<region>.<fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<region>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (系統管理員) | Adminmanagement.<region>.<fqdn> | HTTPS | 443 |
| 入口網站 (使用者) | Portal.<region>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (使用者) | Management.<region>.<fqdn> | HTTPS | 443 |
| 圖形 | Graph.<region>.<fqdn> | HTTPS | 443 |
| 憑證撤銷清單 | Crl.<region>.<fqdn> | HTTP | 80 |
| DNS | *.<region>.<fqdn> | TCP 和 UDP | 53 |
| 裝載 | *.hosting.<region>.<fqdn> | HTTPS | 443 |
| Key Vault (使用者) | *.vault.<region>.<fqdn> | HTTPS | 443 |
| Key Vault (系統管理員) | *.adminvault.<region>.<fqdn> | HTTPS | 443 |
| 儲存體佇列 | *.queue.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| 儲存體資料表 | *.table.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| 儲存體 Blob | *.blob.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| SQL 資源提供者 | sqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
| MySQL 資源提供者 | mysqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
| App Service 方案 | *.appservice.<region>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.<region>.<fqdn> | TCP | 443 (HTTPS) | |
| api.appservice.<region>.<fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice.<region>.<fqdn> | TCP、UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN 閘道 | IP 通訊協定 50 & UDP | 封裝安全性承載 (ESP) IPSec & UDP 500 和 4500 |
連接埠和 URL (輸出)
Azure Stack Hub 僅支援 Transparent Proxy 伺服器。 在 Transparent Proxy 上行連結至傳統 Proxy 伺服器的部署中,您必須允許下表中的連接埠和 URL 才能進行連出通訊。 如需設定透明 Proxy 伺服器的詳細資訊,請參閱 Azure Stack Hub 的透明 Proxy。
不支援 SSL 流量攔截,而且可能會在存取端點時導致服務失敗。 針對身分識別所需的端點通訊,支援的逾時上限為 60 秒。
注意
Azure Stack Hub 不支援使用 ExpressRoute 連線到下表列出的 Azure 服務,因為 ExpressRoute 可能無法將流量路由傳送至所有端點。
| 目的 | 目的地 URL | 通訊協定/連接埠 | 來源網路 | 需求 |
|---|---|---|---|---|
|
身分識別 允許 Azure Stack Hub 連線到使用者 & 服務驗證 Microsoft Entra 識別碼。 |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Germany https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
公用 VIP - /27 公用基礎結構網路 |
在已連線部署為強制要求。 |
|
Marketplace 摘要整合 允許您從 Marketplace 將項目下載至 Azure Stack Hub,供所有使用 Azure Stack Hub 環境的使用者使用。 |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | 公用 VIP - /27 | 不需要。 使用已中斷連線的案例指示將影像上傳至 Azure Stack Hub。 |
|
修補程式 & 更新 當連線到更新端點時,Azure Stack Hub 的軟體更新和 Hotfix 會顯示為可供下載。 |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | 公用 VIP - /27 | 不需要。 使用已中斷連線的部署連線指示手動下載並準備更新。 |
|
註冊 允許您向 Azure 註冊 Azure Stack Hub,以下載 Azure Marketplace 項目,並設定向 Microsoft 回報的商務資料。 |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | 公用 VIP - /27 | 不需要。 您可以使用已中斷連線的案例進行離線註冊。 |
|
使用量 允許 Azure Stack Hub 操作員設定其 Azure Stack Hub 執行個體,以向 Azure 回報使用量資料。 |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | 公用 VIP - /27 | 需要 Azure Stack Hub 耗用量型授權模型。 |
|
Windows Defender 允許更新資源提供者每天多次下載反惡意程式碼軟體定義和引擎更新。 |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80,443 | 公用 VIP - /27 公用基礎結構網路 |
不需要。 您可以使用已中斷連線的案例來更新防毒軟體簽章檔案。 |
|
NTP 允許 Azure Stack Hub 連線到時間伺服器。 |
(可供部署的 NTP 伺服器 IP) | UDP 123 | 公用 VIP - /27 | 必要 |
|
DNS 允許 Azure Stack Hub 連線到 DNS 伺服器轉寄站。 |
(可供部署的 DNS 伺服器 IP) | TCP & UDP 53 | 公用 VIP - /27 | 必要 |
|
SYSLOG 允許 Azure Stack Hub 傳送 syslog 訊息以供監視或安全性之用。 |
(可供部署的 SYSLOG 伺服器 IP) | TCP 6514, UDP 514 |
公用 VIP - /27 | 選擇性 |
|
CRL 允許 Azure Stack Hub 驗證憑證,並檢查已撤銷的憑證。 |
憑證上 CRL 發佈點下的 URL | HTTP 80 | 公用 VIP - /27 | 必要 |
|
CRL 允許 Azure Stack Hub 驗證憑證,並檢查已撤銷的憑證。 |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | 公用 VIP - /27 | 不需要。 強烈建議的安全性最佳做法。 |
|
LDAP 允許 Azure Stack Hub 與 Microsoft Active Directory 內部部署通訊。 |
針對 Graph 整合提供的 Active Directory 樹系 | TCP & UDP 389 | 公用 VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 時,則為必要項。 |
|
LDAP SSL 允許 Azure Stack Hub 與 Microsoft Active Directory 內部部署加密通訊。 |
針對 Graph 整合提供的 Active Directory 樹系 | TCP 636 | 公用 VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 時,則為必要項。 |
|
LDAP GC 允許 Azure Stack Hub 與 Microsoft Active Directory 通用類別目錄伺服器通訊。 |
針對 Graph 整合提供的 Active Directory 樹系 | TCP 3268 | 公用 VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 時,則為必要項。 |
|
LDAP GC SSL 允許 Azure Stack Hub 與 Microsoft Active Directory 通用類別目錄伺服器加密通訊。 |
針對 Graph 整合提供的 Active Directory 樹系 | TCP 3269 | 公用 VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 時,則為必要項。 |
|
AD FS 允許 Azure Stack Hub 與內部部署 AD FS 通訊。 |
針對 AD FS 整合提供的 AD FS 中繼資料端點 | TCP 443 | 公用 VIP - /27 | 選擇性。 您可以使用中繼資料檔建立 AD FS 宣告提供者信任。 |
|
診斷記錄集合 允許 Azure Stack Hub 操作員主動或手動將記錄傳送給 Microsoft 支援服務。 |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | 公用 VIP - /27 | 不需要。 您可以將記錄儲存在本機。 |
|
遠端支援 允許 Microsoft 支援專業人員從遠端存取裝置,執行有限的疑難排解和修復作業,以更快解決支援案例。 |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | 公用 VIP - /27 | 不需要。 |
|
遙測 允許 Azure Stack Hub 將遙測資料傳送給 Microsoft。 |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.com從 2108 版開始,也需要下列端點: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | 公用 VIP - /27 | 啟用 Azure Stack Hub 遙測時為必要項。 |
輸出 URL 會使用 Azure 流量管理員進行負載平衡,以根據地理位置提供可能的最佳連線能力。 利用負載平衡的 URL,Microsoft 可以更新和變更後端端點,而不會對客戶造成影響。 Microsoft 不會共用已負載平衡 URL 的 IP 位址清單。 請使用可支援依照 URL (而非依照 IP) 篩選的裝置。
輸出 DNS 一律為必要項目,不同之處在於查詢外部 DNS 的來源,和選擇了何種身分識別整合。 在連線案例的部署期間,位於 BMC 網路上的 DVM 需要輸出存取權。 但在部署之後,DNS 服務會移至內部元件,以透過公用 VIP 傳送查詢。 屆時,便可移除透過 BMC 網路來進行輸出 DNS 存取的能力,但仍需留下該 DNS 伺服器的公用 VIP 存取能力,否則驗證會失敗。