Publikování služeb Azure Stack Hub v datacentru – Modular Data Center (MDC)
Azure Stack Hub nastavuje virtuální IP adresy (VIP) pro své role infrastruktury. Tyto virtuální IP adresy se přidělují z fondu veřejných IP adres. Každá virtuální IP adresa je zabezpečená pomocí seznamu řízení přístupu (ACL) v softwarově definované síťové vrstvě. Seznamy ACL se také používají napříč fyzickými přepínači (TOR a řadič pro správu základní desky) k dalšímu posílení řešení. Pro každý koncový bod v externí zóně DNS, která je zadaná v době nasazení, se vytvoří položka DNS. Například portál User Portal má přiřazenou položku hostitele DNS portálu. <oblast>.<plně kvalifikovaný název domény>.
Následující diagram architektury znázorňuje různé síťové vrstvy a seznamy ACL:
Porty a adresy URL
Pokud chcete služby Azure Stack Hub (jako jsou portály, Azure Resource Manager, DNS atd.) zpřístupnit externím sítím, musíte povolit příchozí provoz do těchto koncových bodů pro konkrétní adresy URL, porty a protokoly.
V nasazení, kde řešení chrání transparentní odchozí proxy server nebo brána firewall, musíte povolit konkrétní porty a adresy URL pro příchozí i odchozí komunikaci. Patří mezi ně porty a adresy URL pro identitu, marketplace, data o opravách a aktualizacích, registraci a využití.
Zachycování provozu SSL se nepodporuje a při přístupu ke koncovým bodům může vést k selháním služby.
Porty a protokoly (příchozí)
K publikování koncových bodů služby Azure Stack Hub do externích sítí se vyžaduje sada virtuálních IP adres infrastruktury. Tabulka Endpoint (VIP) zobrazuje jednotlivé koncové body, požadovaný port a protokol. Projděte si dokumentaci ke konkrétnímu poskytovateli prostředků pro nasazení koncových bodů, které vyžadují další poskytovatele prostředků, jako je poskytovatel prostředků SQL.
Interní virtuální IP adresy infrastruktury nejsou uvedené, protože se nevyžadují pro publikování služby Azure Stack Hub. Virtuální IP adresy uživatelů jsou dynamické a definují je samotní uživatelé bez kontroly operátorem služby Azure Stack Hub.
Poznámka
IKEv2 VPN je standardní řešení VPN založené na protokolu IPsec, které používá porty UDP 500 a 4500 a port TCP 50. Brány firewall tyto porty neotevřou vždy, takže vpn IKEv2 nemusí být schopná procházet proxy servery a brány firewall.
Po přidání hostitele rozšíření se porty v rozsahu 12495–30015 nevyžadují.
| Koncový bod (VIP) | Záznam A hostitele DNS | Protokol | Porty |
|---|---|---|---|
| AD FS | Adfs. <oblast>.<Fqdn> | HTTPS | 443 |
| Portál (správce) | Portál pro správu. <oblast>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<oblast>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (správce) | Správa správy. <oblast>.<Fqdn> | HTTPS | 443 |
| Portál (uživatel) | Portál. <oblast>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (uživatel) | Správa. <oblast>.<Fqdn> | HTTPS | 443 |
| Graph | Grafu. <oblast>.<Fqdn> | HTTPS | 443 |
| Seznam odvolaných certifikátů | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <oblast>.<Fqdn> | TCP & UDP | 53 |
| Hostování | *.Hosting.<oblast>.<Fqdn> | HTTPS | 443 |
| Key Vault (uživatel) | *.Trezoru. <oblast>.<Fqdn> | HTTPS | 443 |
| Key Vault (správce) | *.adminvault. <oblast>.<Fqdn> | HTTPS | 443 |
| Fronta úložiště | *.Fronty. <oblast>.<Fqdn> | HTTP HTTPS |
80 443 |
| Tabulka úložiště | *.Tabulka. <oblast>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Blob | *.Blob. <oblast>.<Fqdn> | HTTP HTTPS |
80 443 |
| Poskytovatel prostředků SQL | sqladapter.dbadapter. <oblast>.<Fqdn> | HTTPS | 44300-44304 |
| Poskytovatel prostředků MySQL | mysqladapter.dbadapter. <oblast>.<Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <oblast>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <oblast>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <oblast>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <oblast>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Brány VPN Gateway | Projděte si nejčastější dotazy ke službě VPN Gateway. | ||
Porty a adresy URL (odchozí)
Azure Stack Hub podporuje pouze transparentní proxy servery. V nasazení s transparentním odchozím proxy serverem na tradiční proxy server musíte pro odchozí komunikaci povolit porty a adresy URL v následující tabulce. Další informace o konfiguraci transparentních proxy serverů najdete v tématu [Transparentní proxy server pro Azure Stack Hub]((.. /.. /operator/azure-stack-transparent-proxy.md).
Zachycování provozu SSL se nepodporuje a při přístupu ke koncovým bodům může vést k selháním služby. Maximální podporovaný časový limit pro komunikaci s koncovými body vyžadovanými pro identitu je 60.
Poznámka
Azure Stack Hub nepodporuje připojení ke službám Azure uvedeným v následující tabulce pomocí ExpressRoute, protože ExpressRoute nemusí být schopen směrovat provoz do všech koncových bodů.
| Účel | Cílová adresa URL | Protokol / porty | Zdrojová síť | Požadavek |
|---|---|---|---|---|
| Identita Umožňuje službě Azure Stack Hub připojit se k Microsoft Entra ID pro ověřování služby user & Service. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure (Německo) https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Veřejná VIRTUÁLNÍ IP adresa – /27 Síť veřejné infrastruktury |
Povinné pro připojené nasazení. |
| Syndikace marketplace Umožňuje stáhnout položky do služby Azure Stack Hub z Marketplace a zpřístupnit je všem uživatelům pomocí prostředí Služby Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/ |
HTTPS 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nevyžadují se. K nahrání imagí do služby Azure Stack Hub použijte pokyny k odpojeným scénářům . |
| Oprava & aktualizace Po připojení ke koncovým bodům aktualizací se aktualizace softwaru a opravy hotfix služby Azure Stack Hub zobrazí jako dostupné ke stažení. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nevyžadují se. K ručnímu stažení a přípravě aktualizace použijte pokyny k připojení k odpojeným nasazením . |
| Registrace Umožňuje zaregistrovat službu Azure Stack Hub v Azure, abyste si mohli stáhnout Azure Marketplace položky a nastavit generování sestav obchodních dat zpět do Microsoftu. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/ |
HTTPS 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nevyžadují se. Odpojený scénář můžete použít pro offline registraci. |
| Použití Umožňuje operátorům služby Azure Stack Hub nakonfigurovat instanci služby Azure Stack Hub tak, aby hlásila data o využití do Azure. |
Azurehttps://*.trafficmanager.netAzure Government https://*.usgovtrafficmanager.net |
HTTPS 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se pro model licencování na základě využití služby Azure Stack Hub. |
| Windows Defender Umožňuje poskytovateli prostředků aktualizace stahovat antimalwarové definice a aktualizace modulu několikrát denně. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 Síť veřejné infrastruktury |
Nevyžadují se. Odpojený scénář můžete použít k aktualizaci souborů podpisů antivirového softwaru. |
| NTP Umožňuje službě Azure Stack Hub připojit se k časovým serverům. |
(IP adresa serveru NTP zadaná pro nasazení) | UDP 123 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžadováno |
| DNS Umožňuje službě Azure Stack Hub připojit se k serveru předávání DNS. |
(IP adresa serveru DNS zadaná pro nasazení) | TCP & UDP 53 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžadováno |
| SYSLOG Umožňuje službě Azure Stack Hub odesílat zprávy syslogu pro účely monitorování nebo zabezpečení. |
(IP adresa serveru SYSLOG k nasazení) | TCP 6514, UDP 514 |
Veřejná VIRTUÁLNÍ IP adresa – /27 | Volitelné |
| Seznamu crl Umožňuje službě Azure Stack Hub ověřovat certifikáty a kontrolovat odvolané certifikáty. |
(Adresa URL v části Distribuční body seznamu CRL na vašem certifikátu)http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nevyžadují se. Důrazně doporučujeme osvědčený postup zabezpečení. |
| LDAP Umožňuje službě Azure Stack Hub komunikovat s místní službou Microsoft Active Directory. |
Doménová struktura služby Active Directory poskytovaná pro integraci graphu | TCP & UDP 389 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí SLUŽBY AD FS. |
| LDAP SSL Umožňuje službě Azure Stack Hub šifrovanou komunikaci s místní službou Microsoft Active Directory. |
Doménová struktura služby Active Directory poskytovaná pro integraci graphu | TCP 636 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí SLUŽBY AD FS. |
| LDAP GC Umožňuje službě Azure Stack Hub komunikovat se servery Microsoft Active Global Catalog. |
Doménová struktura služby Active Directory poskytovaná pro integraci graphu | TCP 3268 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí SLUŽBY AD FS. |
| LDAP GC SSL Umožňuje službě Azure Stack Hub šifrovanou komunikaci se servery globálního katalogu Microsoft Active Directory. |
Doménová struktura služby Active Directory poskytovaná pro integraci graphu | TCP 3269 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí SLUŽBY AD FS. |
| AD FS Umožňuje službě Azure Stack Hub komunikovat s místní službou AD FS. |
Koncový bod metadat služby AD FS poskytnutý pro integraci služby AD FS | TCP 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nepovinný parametr. Vztah důvěryhodnosti zprostředkovatele deklarací identity služby AD FS je možné vytvořit pomocí souboru metadat. |
| Shromažďování diagnostických protokolů Umožňuje službě Azure Stack Hub odesílat protokoly buď proaktivně, nebo ručně operátorem na podporu Microsoftu. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nevyžadují se. Protokoly můžete ukládat místně. |
Odchozí adresy URL se vyrovnávají zatížení pomocí Azure Traffic Manageru, aby poskytovaly nejlepší možné připojení na základě zeměpisné polohy. Díky adresám URL s vyrovnáváním zatížení může Microsoft aktualizovat a měnit koncové body back-endu, aniž by to mělo vliv na zákazníky. Microsoft nesdílí seznam IP adres adres URL s vyrovnáváním zatížení. Použijte zařízení, které podporuje filtrování podle adresy URL místo podle IP adresy.
Vždy se vyžaduje odchozí DNS. Liší se zdroj dotazující externí DNS a typ integrace identity. Během nasazení pro připojený scénář potřebuje počítač DVM, který se nachází v síti řadiče pro správu základní desky, odchozí přístup. Po nasazení se ale služba DNS přesune na interní komponentu, která bude odesílat dotazy prostřednictvím veřejné virtuální IP adresy. V té době je možné odchozí přístup DNS přes síť řadiče pro správu základní desky odebrat, ale musí zůstat přístup veřejné virtuální ip adresy k danému serveru DNS, jinak ověřování selže.
Další kroky
Požadavky na infrastrukturu veřejných klíčů služby Azure Stack Hub
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro