Integrace sítěNetwork integration

Tento článek se zabývá Azure Stack integrací sítě pro modulární datacentrum Azure.This article covers Azure Stack network integration for Azure Modular Datacenter.

Plánování integrace sítě je důležitou podmínkou pro úspěšné Azure Stack nasazení integrovaných systémů, operace a správu.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. Plánování připojení k okraji začíná tím, že zvolíte, jestli chcete používat dynamické směrování s Border Gateway Protocol (BGP) nebo statickým směrováním.Border connectivity planning begins by choosing if you want to use dynamic routing with the Border Gateway Protocol (BGP) or static routing. Dynamické směrování vyžaduje, abyste přiřadili 16bitové číslo autonomního systému protokolu BGP (veřejné nebo soukromé).Dynamic routing requires that you assign a 16-bit BGP autonomous system number (public or private). Statické směrování používá statickou výchozí trasu, která je přiřazená k hraničním zařízením.Static routing uses a static default route that's assigned to the border devices.

Hraniční přepínače vyžadují odchozí připojení vrstvy 3 s IP adresami Point-to-Point (/30 sítí) nakonfigurovanými ve fyzických rozhraních.The edge switches require Layer 3 uplinks with point-to-point IPs (/30 networks) configured on the physical interfaces. Odchozí připojení vrstvy 2 s přepínači Edge podporujícím operace Azure Stack se nepodporují.Layer 2 uplinks with edge switches supporting Azure Stack operations isn't supported.

Směrování protokolu BGPBGP routing

Pomocí protokolu dynamického směrování, jako je BGP, zaručuje, že váš systém vždycky ví o změnách v síti a usnadňuje správu.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. Pro zvýšení zabezpečení můžete nastavit heslo pro partnerský vztah protokolu BGP mezi okrajem a ohraničením.For enhanced security, you can set a password on the BGP peering between the edge and the border.

Jak je znázorněno v následujícím diagramu, je inzerování privátního prostoru IP adres na přepínači systému pro zarackování blokováno pomocí seznamu předpon.As shown in the following diagram, advertising of the private IP space on the top-of-rack (TOR) switch is blocked by using a prefix list. Seznam předpon odmítne inzerci privátní sítě a použije se jako mapa trasy na připojení mezi systémem a hraniční sítí.The prefix list denies the advertisement of the private network, and it's applied as a route map on the connection between the TOR and the edge.

Nástroj pro vyrovnávání zatížení softwaru (SLB) běžící v rámci Azure Stack partnerských řešení pro zařízení se systémem zprovoznění, aby mohl dynamicky inzerovat VIP adresy.The software load balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Aby se zajistilo, že se přenos dat uživatelů okamžitě a transparentně obnoví z chyby, je virtuální privátní cloud nebo agregace MLAG (multi-šasi) nakonfigurované mezi zařízeními s rozhraním systému. umožňuje používat MLAG pro hostitele a HSRP nebo nebo VRRP, které poskytují redundanci sítě pro sítě IP.To ensure that user traffic immediately and transparently recovers from failure, the virtual private cloud or multi-chassis link aggregation (MLAG) configured between the TOR devices allows the use of MLAG to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Statické směrováníStatic routing

Statické směrování vyžaduje další konfiguraci hraničních zařízení.Static routing requires additional configuration to the border devices. Před jakoukoli změnou vyžaduje více ručních zásahů a správu a také důkladnou analýzu.It requires more manual intervention and management as well as thorough analysis before any change. Problémy způsobené chybou konfigurace můžou trvat delší dobu, než se vrátí v závislosti na provedených změnách.Issues caused by a configuration error might take more time to roll back depending on the changes made. Tuto metodu směrování nedoporučujeme, ale podporuje se.We don't recommend this routing method, but it's supported.

Aby bylo možné integrovat Azure Stack do svého síťového prostředí pomocí statického směrování, musí být připojeni všechny čtyři fyzické odkazy mezi ohraničením a hraničním zařízením.To integrate Azure Stack into your networking environment by using static routing, all four physical links between the border and the edge device must be connected. Vysokou dostupnost nelze zaručit kvůli tomu, jak statické směrování funguje.High availability can't be guaranteed because of how static routing works.

Hraniční zařízení musí být nakonfigurované pomocí statických tras, které odkazují na každou ze čtyř IP adres typu Point-to-Point mezi okrajem a ohraničením provozu určeného pro libovolnou síť v Azure Stack.The border device must be configured with static routes pointing to each one of the four point-to-point IPs set between the edge and the border for traffic destined to any network inside Azure Stack. Operace se ale vyžaduje jenom pro externí nebo veřejnou síť VIP.But, only the external or public VIP network is required for operation. Pro počáteční nasazení se vyžadují statické trasy k řadiči pro správu základní desky a externí sítě.Static routes to the BMC and the external networks are required for initial deployment. Operátoři se můžou rozhodnout pro ponechání statických tras na hranici pro přístup k prostředkům správy, které se nacházejí na řadiči pro správu základní desky a v síti infrastruktury.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the infrastructure network. Přidání statických tras pro přepnutí infrastruktury a sítí pro správu přepínačů je volitelné.Adding static routes to switch infrastructure and switch management networks is optional.

Zařízení se systémem se konfigurují se statickou výchozí trasou, která odesílá veškerý provoz do hraničních zařízení.The TOR devices are configured with a static default route sending all traffic to the border devices. Výjimka z provozu na výchozí pravidlo je určena pro privátní prostor, který je zablokován pomocí seznamu řízení přístupu, který je použit pro připojení mezi jednotlivými místy.The one traffic exception to the default rule is for the private space, which is blocked by using an access control list applied on the TOR-to-border connection.

Statické směrování platí jenom pro odchozí připojení mezi přepínači Edge a ohraničení.Static routing applies only to the uplinks between the edge and border switches. V racku se používá dynamické směrování protokolu BGP, protože jde o nezbytný nástroj pro SLB a další komponenty a nedá se zakázat ani odebrat.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* Síť řadiče pro správu základní desky je po nasazení volitelná.* The BMC network is optional after deployment.

** Síť infrastruktury přepínače je volitelná, protože celá síť může být součástí sítě pro správu přepínače.** The switch infrastructure network is optional because the whole network can be included in the switch management network.

*** Síť pro správu přepínače je povinná a je možné ji přidat odděleně ze sítě infrastruktury přepínače.*** The switch management network is required and can be added separately from the switch infrastructure network.

Transparentní proxy serverTransparent proxy

Pokud vaše datacentrum vyžaduje, aby veškerý provoz používal proxy server, musíte nakonfigurovat transparentní proxy server tak, aby zpracovával veškerý provoz ze stojanu, aby ho bylo možné zpracovat podle zásad.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy. Je potřeba oddělit provoz mezi zónami v síti.You must separate traffic between the zones on your network.

Řešení Azure Stack nepodporuje normální webové proxy servery.The Azure Stack solution doesn't support normal web proxies.

Transparentní proxy server (označovaný také jako zachycení, vložený nebo vynucený proxy server) zachycuje normální komunikaci v síťové vrstvě bez nutnosti jakékoli speciální konfigurace klienta.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. Klienti nemusí vědět o existenci proxy serveru.Clients don't need to be aware of the existence of the proxy.

Zachycení provozu SSL není podporované a může při přístupu k koncovým bodům způsobit selhání služby.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Maximální podporovaný časový limit pro komunikaci s koncovými body vyžadovanými pro identitu je 60 sekund se třemi pokusy o opakování.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds with three retry attempts.

DNSDNS

Tato část popisuje konfiguraci DNS (Domain Name System).This section covers Domain Name System (DNS) configuration.

Konfigurace podmíněného předávání DNSConfigure conditional DNS forwarding

Tyto pokyny platí jenom pro nasazení Active Directory Federation Services (AD FS) (AD FS).This guidance only applies to an Active Directory Federation Services (AD FS) deployment.

Pokud chcete povolit překlad názvů pomocí existující infrastruktury DNS, nakonfigurujte podmíněné předávání.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Chcete-li přidat podmíněný předávací server, je nutné použít privilegovaný koncový bod.To add a conditional forwarder, you must use the privileged endpoint.

Pro tento postup použijte počítač v síti datového centra, který může komunikovat s privilegovaným koncovým bodem v Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními (Spustit jako správce).Open an elevated Windows PowerShell session (run as administrator). Připojte se k IP adrese privilegovaného koncového bodu.Connect to the IP address of the privileged endpoint. Použijte přihlašovací údaje pro ověřování CloudAdmin.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Po připojení k privilegovanému koncovému bodu spusťte následující příkaz PowerShellu.After you connect to the privileged endpoint, run the following PowerShell command. Nahraďte vzorové hodnoty poskytované vaším názvem domény a IP adresami serverů DNS, které chcete použít.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Vyřešit Azure Stack názvů DNS z vnějšku Azure StackResolve Azure Stack DNS names from outside Azure Stack

Autoritativní servery jsou ty, které obsahují informace o externích zónách DNS a všechny zóny vytvořené uživatelem.The authoritative servers are the ones that hold the external DNS zone information and any user-created zones. Integrací s těmito servery umožníte delegování zóny nebo podmíněné předávání k překladu Azure Stack názvů DNS z vnějšku Azure Stack.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

Získat informace o externím koncovém bodu serveru DNSGet DNS Server external endpoint information

K integraci nasazení Azure Stack s infrastrukturou DNS potřebujete tyto informace:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • Plně kvalifikované názvy domén serveru DNS (FQDN)DNS server fully qualified domain names (FQDNs)
  • IP adresy serveru DNSDNS server IP addresses

Plně kvalifikované názvy domén pro Azure Stack DNS serverů mají následující formát:The FQDNs for the Azure Stack DNS servers have the following format:

  • <NAMINGPREFIX>– ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
  • <NAMINGPREFIX>– ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Pomocí ukázkových hodnot jsou plně kvalifikované názvy domény pro servery DNS:Using the sample values, the FQDNs for the DNS servers are:

  • azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com
  • azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Tyto informace jsou k dispozici na portálu pro správu, ale také vytvořené na konci všech Azure Stack nasazení v souboru s názvem AzureStackStampInformation.js.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Tento soubor je umístěn ve složce C: \ CloudDeployment \ logs virtuálního počítače nasazení.This file is located in the C:\CloudDeployment\logs folder of the deployment virtual machine. Pokud si nejste jistí, jaké hodnoty byly použity pro nasazení Azure Stack, můžete získat hodnoty z tohoto místa.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Pokud virtuální počítač pro nasazení už není dostupný nebo je nepřístupný, můžete hodnoty získat připojením k privilegovanému koncovému bodu a spuštěním rutiny PowerShellu Get-AzureStackStampInformation .If the deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Další informace najdete v tématu privilegovaný koncový bod.For more information, see privileged endpoint.

Nastavení podmíněného předávání na Azure StackSet up conditional forwarding to Azure Stack

Nejjednodušší a nejbezpečnější způsob, jak integrovat Azure Stack s infrastrukturou DNS, je provést podmíněné přesměrování zóny ze serveru, který hostuje nadřazenou zónu.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Tento přístup doporučujeme, pokud máte přímou kontrolu nad servery DNS, které hostují nadřazenou zónu pro Azure Stack externí obor názvů DNS.We recommend this approach if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Pokud nejste obeznámeni s tím, jak provést podmíněné přesměrování pomocí služby DNS, přečtěte si článek na webu TechNet "přiřazení podmíněného předávání pro název domény" nebo dokumentaci specifickou pro vaše řešení DNS.If you're not familiar with how to do conditional forwarding with DNS, see the TechNet article "Assign a Conditional Forwarder for a Domain Name" or the documentation specific to your DNS solution.

V případech, kdy jste určili svou externí Azure Stack zónu DNS, aby vypadala jako podřízená doména názvu vaší podnikové domény, nelze použít podmíněné přesměrování.In scenarios where you specified your external Azure Stack DNS zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. Je třeba nakonfigurovat delegování DNS.DNS delegation must be configured.

Příklad:Example:

  • Název domény služby DNS pro firmy: contoso.comCorporate DNS domain name: contoso.com
  • Azure Stack název externí domény DNS: azurestack.contoso.comAzure Stack external DNS domain name: azurestack.contoso.com

Upravit IP adresy DNS pro přeposíláníEdit DNS forwarder IPs

IP adresy DNS pro přeposílání jsou nastaveny během nasazování Azure Stack.DNS forwarder IPs are set during deployment of Azure Stack. Pokud se IP adresy pro předávací službu musí z nějakého důvodu aktualizovat, můžete je upravit tak, že se připojíte k privilegovanému koncovému bodu a spustíte rutiny PowerShellu Get-AzSDnsForwarder a set-AzSDnsForwarder [[-IPAddress] <IPAddress[]> ] .If the forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Další informace najdete v tématu privilegovaný koncový bod.For more information, see privileged endpoint.

Delegování externí zóny DNS na Azure StackDelegate the external DNS zone to Azure Stack

Aby bylo možné přeložit názvy DNS z vnějšku nasazení Azure Stack, musíte nastavit delegování DNS.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Každý registrátor má vlastní nástroje pro správu DNS, které umožňují měnit záznamy názvových serverů pro doménu.Each registrar has their own DNS management tools to change the name server records for a domain. Na stránce správy DNS registrátora upravte záznamy NS a nahraďte záznamy NS pro zónu těmi, které jsou v Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

Většina registrátorů DNS vyžaduje, abyste k dokončení delegování zadali aspoň dva servery DNS.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

Brána firewallFirewall

Azure Stack nastaví virtuální IP adresy (VIP) pro své role infrastruktury.Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Tyto VIP adresy se přiřazují z fondu veřejných IP adres.These VIPs are allocated from the public IP address pool. Každá virtuální IP adresa je zabezpečená pomocí seznamu řízení přístupu (ACL) ve vrstvě softwarově definované sítě.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Seznamy řízení přístupu (ACL) se používají také napříč fyzickými přepínači (tory a BMC) k dalšímu posílení zabezpečení řešení.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Pro každý koncový bod v externí zóně DNS, která je zadaná v době nasazení, se vytvoří položka DNS.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Například uživatelský portál má přiřazenou položku hostitel DNS na portálu. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

Následující diagram architektury znázorňuje různé vrstvy sítě a seznamy ACL.The following architectural diagram shows the different network layers and ACLs.

Diagram architektury znázorňuje různé vrstvy sítě a seznamy ACL.

Porty a adresy URLPorts and URLs

Chcete-li zpřístupnit Azure Stack služby jako portály, Azure Resource Manager a DNS k dispozici pro externí sítě, musíte povolit příchozí provoz do těchto koncových bodů pro konkrétní adresy URL, porty a protokoly.To make Azure Stack services like portals, Azure Resource Manager, and DNS available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

V nasazení, kde transparentní proxy odchozí připojení k tradičnímu proxy server nebo brána firewall chrání řešení, musíte povolit konkrétní porty a adresy URL pro příchozí i odchozí komunikaci.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Mezi příklady patří porty a adresy URL pro identity, Azure Stack centra pro Marketplace, opravy a aktualizace, registrace a data o využití.Examples include ports and URLs for identity, Azure Stack Hub Marketplace, patch and update, registration, and usage data.

Odchozí komunikaceOutbound communication

Azure Stack podporuje pouze transparentní proxy servery.Azure Stack supports only transparent proxy servers. V nasazení s transparentním odchozím připojením proxy k tradičním proxy server musíte při nasazení v připojeném režimu pro odchozí komunikaci v následující tabulce povolených porty a adresy URL.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when you deploy in connected mode.

Zachycení provozu SSL není podporované a může při přístupu k koncovým bodům způsobit selhání služby.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Maximální podporovaný časový limit pro komunikaci s koncovými body vyžadovanými pro identitu je 60 sekund.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds.

Poznámka

Azure Stack nepodporuje použití Azure ExpressRoute k přístupu ke službám Azure uvedeným v následující tabulce, protože ExpressRoute nemusí být schopná směrovat provoz do všech koncových bodů.Azure Stack doesn't support using Azure ExpressRoute to reach the Azure services listed in the following table because ExpressRoute might not be able to route traffic to all of the endpoints.

ÚčelPurpose Cílová adresa URLDestination URL ProtokolProtocol PortyPorts Zdrojová síťSource network
IdentitaIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.NETManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.NEThttps://*.msftauth.net
https: / / * . msauth.NEThttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /Login.microsoftonline.us/https://login.microsoftonline.us/
https: / /Graph.Windows.NET/https://graph.windows.net/
Azure (Čína) 21VianetAzure China 21Vianet
https: / /Login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure (Německo)Azure Germany
https: / /Login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Veřejná VIP-/27Public VIP - /27
Síť veřejné infrastrukturyPublic infrastructure network
Syndikace na webu centra Azure StackAzure Stack Hub Marketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure (Čína) 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27
Oprava a aktualizacePatch and update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.MS/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27
RegistraceRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
Azure (Čína) 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27
VyužitíUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure (Čína) 21VianetAzure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com
https: / /www.Microsoft.com/pkiops/CRLhttps://www.microsoft.com/pkiops/crl
https: / /www.Microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /CRL.Microsoft.com/pki/crl/productshttps://crl.microsoft.com/pki/crl/products
https: / /www.Microsoft.com/PKI/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Veřejná VIP-/27Public VIP - /27
Síť veřejné infrastrukturyPublic infrastructure network
NTPNTP IP adresa serveru NTP poskytnutého pro nasazeníIP of NTP server provided for deployment UDPUDP 123123 Veřejná VIP-/27Public VIP - /27
DNSDNS IP adresa serveru DNS poskytovaná pro nasazeníIP of DNS server provided for deployment TCPTCP
UDPUDP
5353 Veřejná VIP-/27Public VIP - /27
VOLANÝCRL Adresa URL v rámci distribučních bodů seznamu CRL na vašem certifikátuURL under CRL Distribution Points on your certificate HTTPHTTP 8080 Veřejná VIP-/27Public VIP - /27
LDAPLDAP Doménová struktura služby Active Directory poskytnutá pro integraci Azure graphuActive Directory forest provided for Azure Graph integration TCPTCP
UDPUDP
389389 Veřejná VIP-/27Public VIP - /27
PROTOKOL LDAP SSLLDAP SSL Doménová struktura služby Active Directory poskytnutá pro integraci grafuActive Directory forest provided for Graph integration TCPTCP 636636 Veřejná VIP-/27Public VIP - /27
GC PROTOKOLU LDAPLDAP GC Doménová struktura služby Active Directory poskytnutá pro integraci grafuActive Directory forest provided for Graph integration TCPTCP 32683268 Veřejná VIP-/27Public VIP - /27
PROTOKOL SSL GC PROTOKOLU LDAPLDAP GC SSL Doménová struktura služby Active Directory poskytnutá pro integraci grafuActive Directory forest provided for Graph integration TCPTCP 32693269 Veřejná VIP-/27Public VIP - /27
AD FSAD FS Pro integraci AD FS AD FS poskytnutý koncový bod metadatAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Veřejná VIP-/27Public VIP - /27
Služba Shromažďování protokolů diagnostikyDiagnostic log collection service Adresa URL sdíleného přístupového podpisu poskytnutého službou Azure Blob StorageAzure Blob Storage-provided shared access signature URL HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27

Příchozí komunikaceInbound communication

K publikování koncových bodů Azure Stack externích sítích se vyžaduje sada virtuálních IP adres infrastruktury.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. Tabulka koncový bod (VIP) zobrazuje jednotlivé koncové body, požadovaný port a protokol.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Pro koncové body, které vyžadují další poskytovatele prostředků, jako je třeba poskytovatel prostředků SQL, se podívejte na konkrétní dokumentaci k nasazení poskytovatele prostředků.For endpoints that require additional resource providers, like the SQL resource provider, see the specific resource provider deployment documentation.

Interní virtuální IP adresy infrastruktury nejsou uvedené, protože nejsou nutné k publikování Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Uživatelské virtuální IP adresy jsou dynamické a definované uživateli, bez řízení operátoru Azure Stack.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator.

Poznámka

IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá port UDP 500 a 4500 a port TCP 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Brány firewall tyto porty nikdy neotevírají, takže VPN typu IKEv2 nemusí být schopná procházet proxy a brány firewall.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Koncový bod (VIP)Endpoint (VIP) Záznam o záznamu hostitele DNSDNS host A record ProtokolProtocol PortyPorts
AD FSAD FS Službou. <> < oblasti plně kvalifikovaný název domény>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Azure Portal (správce)Azure portal (administrator) Adminportal. <> < oblasti plně kvalifikovaný název domény>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (správce)Azure Resource Manager (administrator) Adminmanagement. <> < oblasti plně kvalifikovaný název domény>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Azure Portal (uživatel)Azure portal (user) Bran. <> < oblasti plně kvalifikovaný název domény>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (uživatel)Azure Resource Manager (user) Správu. <> < oblasti plně kvalifikovaný název domény>Management.<region>.<fqdn> HTTPSHTTPS 443443
Graf AzureAzure Graph Zapisovací. <> < oblasti plně kvalifikovaný název domény>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Seznam odvolaných certifikátůCertificate revocation list Seznam CRL.<> oblasti. < plně kvalifikovaný název domény>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. <> < oblasti plně kvalifikovaný název domény>*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *. hostování. <region> ..<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (uživatel)Azure Key Vault (user) *. trezor. <> < oblasti plně kvalifikovaný název domény>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (správce)Azure Key Vault (administrator) *. adminvault. <> < oblasti plně kvalifikovaný název domény>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Azure Queue StorageAzure Queue Storage *. Queue. <> < oblasti plně kvalifikovaný název domény>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Azure Table StorageAzure Table Storage *. Table. <> < oblasti plně kvalifikovaný název domény>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Azure Blob StorageAzure Blob Storage *. blob. <> < oblasti plně kvalifikovaný název domény>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Poskytovatel prostředků SQLSQL Resource Provider sqladapter.dbadapter. <> < oblasti plně kvalifikovaný název domény>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Poskytovatel prostředků MySQLMySQL Resource Provider mysqladapter.dbadapter. <> < oblasti plně kvalifikovaný název domény>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Azure App ServiceAzure App Service *. AppService. <> < oblasti plně kvalifikovaný název domény>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. SCM. AppService. <> < oblasti plně kvalifikovaný název domény>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. AppService. <> < oblasti plně kvalifikovaný název domény>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. AppService. <> < oblasti plně kvalifikovaný název domény>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Azure VPN GatewayAzure VPN Gateway Přečtěte si VPN Gateway Nejčastější dotazySee the VPN Gateway FAQ