Publikování Azure Stack Hub služeb ve vašem datacentru – Modulární datové centrum (MDC)

Azure Stack Hub nastaví virtuální IP adresy (V IP) pro své role infrastruktury. Tyto virtuální IP adresy se přidělují z fondu veřejných IP adres. Každá virtuální IP síť je zabezpečená seznamem řízení přístupu (ACL) v softwarově definované síťové vrstvě. Seznamy ACL se také používají napříč fyzickými přepínači (TOR a BMC) k dalšímu zesílí řešení. Pro každý koncový bod v externí zóně DNS, který je zadaný v době nasazení, se vytvoří položka DNS. Uživatelskému portálu je například přiřazena položka hostitele DNS portálu. oblast > . < fqdn >.

Následující diagram architektury znázorňuje různé síťové vrstvy a seznamy ACL:

Diagram znázorňující různé síťové vrstvy a seznamy ACL

Porty a adresy URL

Pokud chcete Azure Stack Hub externím sítím (jako jsou portály, Azure Resource Manager, DNS atd.), musíte povolit příchozí provoz do těchto koncových bodů pro konkrétní adresy URL, porty a protokoly.

V nasazení, kde transparentní proxy připojení k tradičnímu serveru proxy server nebo bráně firewall chrání řešení, musíte povolit konkrétní porty a adresy URL pro příchozí i odchozí komunikaci. Patří sem porty a adresy URL pro identitu, marketplace, opravy a aktualizace, registrace a data o využití.

Zachycení provozu SSL není podporováno a může vést k selháním služby při přístupu ke koncovým bodům.

Porty a protokoly (příchozí)

K publikování koncových bodů Azure Stack Hub externích sítí se vyžaduje sada virtuálních IP bodů infrastruktury. V tabulce Koncový bod (VIP) se zobrazují jednotlivé koncové body, požadovaný port a protokol. Koncové body, které vyžadují další poskytovatele prostředků, jako je SQL prostředků, najdete v dokumentaci k nasazení konkrétního poskytovatele prostředků.

Virtuální IP adresy interní infrastruktury nejsou uvedené, protože nejsou nutné pro publikování Azure Stack Hub. Uživatelské virtuální IP adresy jsou dynamické a definují je uživatelé sami, bez kontroly operátorem Azure Stack Hub uživatele.

Poznámka

IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá porty UDP 500 a 4500 a TCP 50. Brány firewall tyto porty neotevnou, takže síť VPN IKEv2 nemusí být schopná procházet servery prox a brány firewall.

S přidáním hostitele rozšířeníse porty v rozsahu 12495–30015 nepožadovat.

Koncový bod (VIP) Záznam A hostitele DNS Protokol Porty
AD FS Adfs. oblast > . < Fqdn > HTTPS 443
Portál (správce) Správce. oblast > . < Fqdn > HTTPS 443
Správa hostitele *.adminhosting. < oblast > . < Fqdn> HTTPS 443
Azure Resource Manager (správce) Správa správce. oblast > . < Fqdn > HTTPS 443
Portál (uživatel) Portál. oblast > . < Fqdn > HTTPS 443
Azure Resource Manager (uživatel) Správa. oblast > . < Fqdn > HTTPS 443
Graph Graph. oblast > . < Fqdn > HTTPS 443
Seznam odvolaných certifikátů Crl. region > . < Fqdn > HTTP 80
DNS *. oblast > . < Fqdn > TCP & UDP 53
Hostování *.hosting. < oblast > . < Fqdn> HTTPS 443
Key Vault (uživatel) *.vault. oblast > . < Fqdn > HTTPS 443
Key Vault (správce) *.adminvault. oblast > . < Fqdn > HTTPS 443
Fronta úložiště *.queue. oblast > . < Fqdn > HTTP
HTTPS
80
443
Storage tabulka *.table. oblast > . < Fqdn > HTTP
HTTPS
80
443
Storage Blob *.blob. oblast > . < Fqdn > HTTP
HTTPS
80
443
SQL poskytovatele prostředků sqladapter.dbadapter. oblast > . < Fqdn > HTTPS 44300-44304
Poskytovatel prostředků MySQL mysqladapter.dbadapter. oblast > . < Fqdn > HTTPS 44300-44304
App Service *.appservice. oblast > . < Fqdn > TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. oblast > . < Fqdn > TCP 443 (HTTPS)
api.appservice. oblast > . < Fqdn > TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. oblast > . < Fqdn > TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Brány VPN Gateway Viz nejčastější dotazy ke službě VPN Gateway.

Porty a adresy URL (odchozí)

Azure Stack Hub podporuje pouze transparentní proxy servery. V nasazení s transparentním odchozím odkazem proxy na tradiční proxy server musíte povolit odchozí komunikaci portů a adres URL v následující tabulce. Další informace o konfiguraci transparentních proxy serverů najdete v tématu [Transparentní proxy server pro Azure Stack Hub]((.. /.. /operator/azure-stack-transparent-proxy.md).

Zachycení provozu SSL není podporováno a může vést k selháním služby při přístupu ke koncovým bodům. Maximální podporovaný časový limit komunikace s koncovými body vyžadované pro identitu je 60 s.

Poznámka

Azure Stack Hub nepodporuje použití ExpressRoute pro přístup ke službám Azure uvedeným v následující tabulce, protože ExpressRoute nemusí být schopné směrovat provoz do všech koncových bodů.

Účel Cílová adresa URL Protokol a porty Zdrojová síť Požadavek
Identita
Umožňuje Azure Stack Hub připojení k Azure Active Directory pro ověřování & pomocí služby uživatele.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure (Německo)
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Veřejná VIP – /27
Veřejná síť infrastruktury
Povinné pro připojené nasazení.
Syndikace Marketplace
Umožňuje stahovat položky, které Azure Stack Hub z Marketplace a získejte je k dispozici všem uživatelům pomocí Azure Stack Hub prostředí.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 Veřejná VIP – /27 Nevyžadují se. Pomocí pokynů pro odpojený scénář nahrajte obrázky do Azure Stack Hub.
Aktualizace oprav
Při připojení ke koncovým bodům aktualizací Azure Stack Hub aktualizace softwaru a opravy hotfix zobrazeny jako dostupné ke stažení.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Veřejná VIP – /27 Nevyžadují se. K ručnímu stažení a přípravě aktualizace použijte pokyny k odpojenému připojení nasazení.
Registrace
Umožňuje vám zaregistrovat se Azure Stack Hub Azure, stahovat Azure Marketplace položky a nastavovat sestavy obchodních dat zpět do Microsoftu.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
HTTPS 443 Veřejná VIP – /27 Nevyžadují se. Odpojený scénář můžete použít pro offline registraci.
Použití
Umožňuje Azure Stack Hub operátorům nakonfigurovat jejich instanci Azure Stack Hub, aby hlásit data o využití do Azure.
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
HTTPS 443 Veřejná VIP – /27 Vyžaduje se Azure Stack Hub modelu licencování na základě spotřeby.
Windows Defender
Umožňuje poskytovateli prostředků aktualizace stahovat antimalwarové definice a aktualizace stroje několikrát denně.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Veřejná VIP – /27
Veřejná síť infrastruktury
Nevyžadují se. Odpojený scénář můžete použít k aktualizaci souborů antivirového podpisu.
NTP
Umožňuje Azure Stack Hub připojit se k časovým serverům.
(IP adresa serveru NTP poskytnutá pro nasazení) UDP 123 Veřejná VIP – /27 Vyžadováno
DNS
Umožňuje Azure Stack Hub připojit se k serveru DNS pro předávání.
(IP adresa serveru DNS poskytnutá pro nasazení) TCP & UDP 53 Veřejná VIP – /27 Vyžadováno
SYSLOG
Umožňuje Azure Stack Hub zprávy syslog pro účely monitorování nebo zabezpečení.
(IP adresa serveru SYSLOG poskytovaná pro nasazení) TCP 6514,
UDP 514
Veřejná VIP-/27 Volitelné
VOLANÝ
Umožňuje Azure Stack centru ověřování certifikátů a kontrolu odvolaných certifikátů.
(Adresa URL v rámci distribučních bodů seznamu CRL na vašem certifikátu)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Veřejná VIP-/27 Nevyžadují se. Osvědčený postup zabezpečení se důrazně doporučuje.
LDAP
Umožňuje službě Azure Stack hub komunikovat s místním adresářem Microsoft Active Directory.
doménová struktura služby Active Directory poskytnutá pro integraci Graph TCP & UDP 389 Veřejná VIP-/27 Požadováno při nasazení Azure Stack hub pomocí AD FS.
PROTOKOL LDAP SSL
Umožňuje, aby centrum Azure Stack komunikovalo s místní službou Microsoft Active Directory jako šifrované.
doménová struktura služby Active Directory poskytnutá pro integraci Graph TCP 636 Veřejná VIP-/27 Požadováno při nasazení Azure Stack hub pomocí AD FS.
GC PROTOKOLU LDAP
Umožňuje službě Azure Stack hub komunikovat s aktivními servery globálního katalogu Microsoft.
doménová struktura služby Active Directory poskytnutá pro integraci Graph TCP 3268 Veřejná VIP-/27 Požadováno při nasazení Azure Stack hub pomocí AD FS.
PROTOKOL SSL GC PROTOKOLU LDAP
Umožňuje službě Azure Stack hub komunikovat se servery globálního katalogu služby Microsoft Active Directory.
doménová struktura služby Active Directory poskytnutá pro integraci Graph TCP 3269 Veřejná VIP-/27 Požadováno při nasazení Azure Stack hub pomocí AD FS.
AD FS
Umožňuje službě Azure Stack hub komunikovat s místními AD FS.
Pro integraci AD FS AD FS poskytnutý koncový bod metadat TCP 443 Veřejná VIP-/27 Nepovinný parametr. Vztah důvěryhodnosti zprostředkovatele deklarací AD FS lze vytvořit pomocí souboru metadat.
Shromažďování protokolů diagnostiky
Umožňuje, aby centrum Azure Stack odesílalo protokoly buď proaktivně, nebo ručně prostřednictvím operátoru podpory společnosti Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Veřejná VIP-/27 Nevyžadují se. Protokoly můžete ukládat lokálně.

Odchozí adresy URL využívají vyrovnávání zatížení pomocí Azure Traffic Manageru a poskytují nejlepší možné připojení na základě geografického umístění. V případě adres URL s vyrovnáváním zatížení může Microsoft aktualizovat koncové body back-endu, aniž by to ovlivnilo zákazníky Microsoft nesdílí seznam IP adres pro adresy URL s vyrovnáváním zatížení. Použijte zařízení, které podporuje filtrování podle adresy URL, nikoli podle IP adresy.

Odchozí DNS se vyžaduje ve všech případech. To znamená, že se jedná o zdroj dotazování externí služby DNS a o tom, jaký typ integrace identity byl vybrán. V průběhu nasazení v připojeném scénáři potřebuje DVM, který je umístěn v síti řadiče pro správu základní desky, odchozí přístup. Ale po nasazení se služba DNS přesune do interní součásti, která odešle dotazy prostřednictvím veřejné virtuální IP adresy. V tuto chvíli je možné odebrat odchozí přístup k DNS prostřednictvím sítě řadiče pro správu základní desky, ale přístup k tomuto serveru DNS pomocí veřejné VIP musí zůstat nebo jinak se ověřování nezdaří.

Další kroky

Požadavky na infrastrukturu veřejných klíčů centra Azure Stack