Publikování služby Azure Stack hub ve vašem datovém centruPublish Azure Stack Hub services in your datacenter

Centrum Azure Stack nastaví virtuální IP adresy (VIP) pro své role infrastruktury.Azure Stack Hub sets up virtual IP addresses (VIPs) for its infrastructure roles. Tyto VIP adresy se přiřazují z fondu veřejných IP adres.These VIPs are allocated from the public IP address pool. Každá virtuální IP adresa je zabezpečená pomocí seznamu řízení přístupu (ACL) ve vrstvě softwarově definované sítě.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Seznamy řízení přístupu (ACL) se používají také napříč fyzickými přepínači (tory a BMC) k dalšímu posílení zabezpečení řešení.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Pro každý koncový bod v externí zóně DNS, která je zadaná v době nasazení, se vytvoří položka DNS.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Například uživatelský portál má přiřazenou položku hostitel DNS na portálu. <> < oblasti plně kvalifikovaný název domény>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

Následující diagram architektury znázorňuje různé vrstvy sítě a seznamy ACL:The following architectural diagram shows the different network layers and ACLs:

Diagram znázorňující různé vrstvy sítě a seznamy ACL

Porty a adresy URLPorts and URLs

Chcete-li zpřístupnit služby Azure Stack hub (například portály, Azure Resource Manager, DNS atd.) k dispozici pro externí sítě, musíte povolit příchozí provoz do těchto koncových bodů pro konkrétní adresy URL, porty a protokoly.To make Azure Stack Hub services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

V nasazení, kde transparentní proxy odchozí připojení k tradičnímu proxy server nebo brána firewall chrání řešení, musíte povolit konkrétní porty a adresy URL pro příchozí i odchozí komunikaci.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Patří mezi ně porty a adresy URL pro identitu, tržiště, opravu a aktualizace, registrace a data o využití.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

Zachycení provozu SSL není podporované a může při přístupu k koncovým bodům způsobit selhání služby.SSL traffic interception is not supported and can lead to service failures when accessing endpoints.

Porty a protokoly (příchozí)Ports and protocols (inbound)

K publikování koncových bodů centra Azure Stack do externích sítí se vyžaduje sada virtuálních IP adres infrastruktury.A set of infrastructure VIPs is required for publishing Azure Stack Hub endpoints to external networks. Tabulka koncový bod (VIP) zobrazuje jednotlivé koncové body, požadovaný port a protokol.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. V dokumentaci k nasazení konkrétního poskytovatele prostředků najdete koncové body, které vyžadují další poskytovatele prostředků, jako je třeba poskytovatel prostředků SQL.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

Interní virtuální IP adresy infrastruktury nejsou uvedené, protože nejsou nutné k publikování centra Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack Hub. Uživatelské virtuální IP adresy jsou dynamické a definované uživateli, bez řízení pomocí operátoru centra Azure Stack.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack Hub operator.

Poznámka

IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá port UDP 500 a 4500 a port TCP 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Brány firewall tyto porty nikdy neotevírají, takže VPN typu IKEv2 nemusí být schopná procházet proxy a brány firewall.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Po přidání hostitele rozšířenínejsou porty v rozsahu 12495-30015 vyžadovány.With the addition of the Extension Host, ports in the range of 12495-30015 aren't required.

Koncový bod (VIP)Endpoint (VIP) Záznam o záznamu hostitele DNSDNS host A record ProtokolProtocol PortyPorts
AD FSAD FS Službou. <> < oblasti plně kvalifikovaný název domény>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Portál (správce)Portal (administrator) Adminportal. <> < oblasti plně kvalifikovaný název domény>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (správce)Azure Resource Manager (administrator) Adminmanagement. <> < oblasti plně kvalifikovaný název domény>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portál (uživatel)Portal (user) Bran. <> < oblasti plně kvalifikovaný název domény>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (uživatel)Azure Resource Manager (user) Správu. <> < oblasti plně kvalifikovaný název domény>Management.<region>.<fqdn> HTTPSHTTPS 443443
GraphGraph Zapisovací. <> < oblasti plně kvalifikovaný název domény>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Seznam odvolaných certifikátůCertificate revocation list Seznam CRL.<> oblasti. < plně kvalifikovaný název domény>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. <> < oblasti plně kvalifikovaný název domény>*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *. hostování. <region> ..<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (uživatel)Key Vault (user) *. trezor. <> < oblasti plně kvalifikovaný název domény>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (správce)Key Vault (administrator) *. adminvault. <> < oblasti plně kvalifikovaný název domény>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Fronta úložištěStorage Queue *. Queue. <> < oblasti plně kvalifikovaný název domény>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Tabulka úložištěStorage Table *. Table. <> < oblasti plně kvalifikovaný název domény>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Storage BlobStorage Blob *. blob. <> < oblasti plně kvalifikovaný název domény>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Poskytovatel prostředků SQLSQL Resource Provider sqladapter.dbadapter. <> < oblasti plně kvalifikovaný název domény>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Poskytovatel prostředků MySQLMySQL Resource Provider mysqladapter.dbadapter. <> < oblasti plně kvalifikovaný název domény>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
App ServiceApp Service *. AppService. <> < oblasti plně kvalifikovaný název domény>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. SCM. AppService. <> < oblasti plně kvalifikovaný název domény>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. AppService. <> < oblasti plně kvalifikovaný název domény>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. AppService. <> < oblasti plně kvalifikovaný název domény>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Brány VPN GatewayVPN Gateways Podívejte se na téma Nejčastější dotazy ke službě VPN Gateway.See the VPN gateway FAQ.

Porty a adresy URL (odchozí)Ports and URLs (outbound)

Centrum Azure Stack podporuje jenom transparentní proxy servery.Azure Stack Hub supports only transparent proxy servers. V nasazení pomocí transparentního odchozího připojení proxy k tradičnímu proxy server musíte pro odchozí komunikaci použít porty a adresy URL v následující tabulce.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication. Další informace o konfiguraci transparentních proxy serverů najdete v tématu transparentní proxy server pro Azure Stack hub.For more information on configuring transparent proxy servers, see Transparent proxy for Azure Stack Hub.

Zachycení provozu SSL není podporované a může při přístupu k koncovým bodům způsobit selhání služby.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Maximální podporovaný časový limit pro komunikaci s koncovými body vyžadovanými pro identitu je 60 s.The maximum supported timeout to communicate with endpoints required for identity is 60s.

Poznámka

Centrum Azure Stack nepodporuje použití ExpressRoute pro přístup ke službám Azure uvedeným v následující tabulce, protože ExpressRoute nemusí být schopná směrovat provoz do všech koncových bodů.Azure Stack Hub doesn't support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

ÚčelPurpose Cílová adresa URLDestination URL ProtokolProtocol PortyPorts Zdrojová síťSource Network
IdentitaIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.NETManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.NEThttps://*.msftauth.net
https: / / * . msauth.NEThttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /Login.microsoftonline.us/https://login.microsoftonline.us/
https: / /Graph.Windows.NET/https://graph.windows.net/
Azure (Čína) 21VianetAzure China 21Vianet
https: / /Login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure (Německo)Azure Germany
https: / /Login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Veřejná VIP-/27Public VIP - /27
Síť veřejné infrastrukturyPublic infrastructure Network
Syndikace MarketplaceMarketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure (Čína) 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27
Oprava & aktualizacePatch & Update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.MS/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27
RegistraceRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
Azure (Čína) 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27
VyužitíUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure (Čína) 21VianetAzure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Veřejná VIP-/27Public VIP - /27
Síť veřejné infrastrukturyPublic infrastructure Network
NTPNTP (IP adresa serveru NTP, který je k dispozici pro nasazení)(IP of NTP server provided for deployment) UDPUDP 123123 Veřejná VIP-/27Public VIP - /27
DNSDNS (IP adresa serveru DNS poskytnutá pro nasazení)(IP of DNS server provided for deployment) TCPTCP
UDPUDP
5353 Veřejná VIP-/27Public VIP - /27
SYSLOGSYSLOG (IP adresa serveru SYSLOG poskytnutého pro nasazení)(IP of SYSLOG server provided for deployment) TCPTCP
UDPUDP
65146514
514514
Veřejná VIP-/27Public VIP - /27
VOLANÝCRL (Adresa URL v rámci distribučních bodů seznamu CRL na vašem certifikátu)(URL under CRL Distribution Points on your certificate)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTPHTTP 8080 Veřejná VIP-/27Public VIP - /27
LDAPLDAP Doménová struktura služby Active Directory poskytnutá pro integraci grafuActive Directory Forest provided for Graph integration TCPTCP
UDPUDP
389389 Veřejná VIP-/27Public VIP - /27
PROTOKOL LDAP SSLLDAP SSL Doménová struktura služby Active Directory poskytnutá pro integraci grafuActive Directory Forest provided for Graph integration TCPTCP 636636 Veřejná VIP-/27Public VIP - /27
GC PROTOKOLU LDAPLDAP GC Doménová struktura služby Active Directory poskytnutá pro integraci grafuActive Directory Forest provided for Graph integration TCPTCP 32683268 Veřejná VIP-/27Public VIP - /27
PROTOKOL SSL GC PROTOKOLU LDAPLDAP GC SSL Doménová struktura služby Active Directory poskytnutá pro integraci grafuActive Directory Forest provided for Graph integration TCPTCP 32693269 Veřejná VIP-/27Public VIP - /27
AD FSAD FS Pro integraci AD FS AD FS poskytnutý koncový bod metadatAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Veřejná VIP-/27Public VIP - /27
Shromažďování protokolů diagnostikyDiagnostic log collection https://*. blob. Core. Windows. NEThttps://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPSHTTPS 443443 Veřejná VIP-/27Public VIP - /27

Odchozí adresy URL využívají vyrovnávání zatížení pomocí Azure Traffic Manageru a poskytují nejlepší možné připojení na základě geografického umístění.Outbound URLs are load balanced using Azure traffic manager to provide the best possible connectivity based on geographic location. V případě adres URL s vyrovnáváním zatížení může Microsoft aktualizovat koncové body back-endu, aniž by to ovlivnilo zákazníkyWith load balanced URLs, Microsoft can update and change backend endpoints without affecting customers. Microsoft nesdílí seznam IP adres pro adresy URL s vyrovnáváním zatížení.Microsoft doesn't share the list of IP addresses for the load balanced URLs. Použijte zařízení, které podporuje filtrování podle adresy URL, nikoli podle IP adresy.Use a device that supports filtering by URL rather than by IP.

Odchozí DNS se vyžaduje ve všech případech. To znamená, že se jedná o zdroj dotazování externí služby DNS a o tom, jaký typ integrace identity byl vybrán.Outbound DNS is required at all times; what varies is the source querying the external DNS and what type of identity integration was chosen. V průběhu nasazení v připojeném scénáři potřebuje DVM, který je umístěn v síti řadiče pro správu základní desky, odchozí přístup.During deployment for a connected scenario, the DVM that sits on the BMC network needs outbound access. Ale po nasazení se služba DNS přesune do interní součásti, která odešle dotazy prostřednictvím veřejné virtuální IP adresy.But after deployment, the DNS service moves to an internal component that will send queries through a Public VIP. V tuto chvíli je možné odebrat odchozí přístup k DNS prostřednictvím sítě řadiče pro správu základní desky, ale přístup k tomuto serveru DNS pomocí veřejné VIP musí zůstat nebo jinak se ověřování nezdaří.At that time, the outbound DNS access through the BMC network can be removed, but the Public VIP access to that DNS server must remain or else authentication will fail.

Další krokyNext steps

Požadavky na infrastrukturu veřejných klíčů centra Azure StackAzure Stack Hub PKI requirements