Publikování služby Azure Stack hub ve vašem datovém centru

Centrum Azure Stack nastaví virtuální IP adresy (VIP) pro své role infrastruktury. Tyto VIP adresy se přiřazují z fondu veřejných IP adres. Každá virtuální IP adresa je zabezpečená pomocí seznamu řízení přístupu (ACL) ve vrstvě softwarově definované sítě. Seznamy řízení přístupu (ACL) se používají také napříč fyzickými přepínači (tory a BMC) k dalšímu posílení zabezpečení řešení. Pro každý koncový bod v externí zóně DNS, která je zadaná v době nasazení, se vytvoří položka DNS. Například uživatelský portál má přiřazenou položku hostitel DNS na portálu. oblast > . < plně > kvalifikovaný název domény.

Následující diagram architektury znázorňuje různé vrstvy sítě a seznamy ACL:

Diagram znázorňující různé vrstvy sítě a seznamy ACL

Porty a adresy URL

Chcete-li zpřístupnit služby Azure Stack hub (například portály, Azure Resource Manager, DNS atd.) k dispozici pro externí sítě, musíte povolit příchozí provoz do těchto koncových bodů pro konkrétní adresy URL, porty a protokoly.

V nasazení, kde transparentní proxy odchozí připojení k tradičnímu proxy server nebo brána firewall chrání řešení, musíte povolit konkrétní porty a adresy URL pro příchozí i odchozí komunikaci. Patří mezi ně porty a adresy URL pro identitu, tržiště, opravu a aktualizace, registrace a data o využití.

Zachycení provozu SSL není podporované a může při přístupu k koncovým bodům způsobit selhání služby.

Porty a protokoly (příchozí)

K publikování koncových bodů centra Azure Stack do externích sítí se vyžaduje sada virtuálních IP adres infrastruktury. Tabulka koncový bod (VIP) zobrazuje jednotlivé koncové body, požadovaný port a protokol. v dokumentaci k nasazení konkrétního poskytovatele prostředků najdete koncové body, které vyžadují další poskytovatele prostředků, jako je poskytovatel prostředků SQL.

Interní virtuální IP adresy infrastruktury nejsou uvedené, protože nejsou nutné k publikování centra Azure Stack. Uživatelské virtuální IP adresy jsou dynamické a definované uživateli, bez řízení pomocí operátoru centra Azure Stack.

Po přidání hostitele rozšířenínejsou porty v rozsahu 12495-30015 vyžadovány.

Koncový bod (VIP) Záznam o záznamu hostitele DNS Protokol Porty
AD FS Službou. oblast > . < plně > kvalifikovaný název domény HTTPS 443
Portál (správce) Adminportal. oblast > . < plně > kvalifikovaný název domény HTTPS 443
Adminhosting *. adminhosting. < oblast > . < zadání> HTTPS 443
Azure Resource Manager (správce) Adminmanagement. oblast > . < plně > kvalifikovaný název domény HTTPS 443
Portál (uživatel) Bran. oblast > . < plně > kvalifikovaný název domény HTTPS 443
Azure Resource Manager (uživatel) Správu. oblast > . < plně > kvalifikovaný název domény HTTPS 443
Graph Graph. oblast > . < plně > kvalifikovaný název domény HTTPS 443
Seznam odvolaných certifikátů CRL. region > . < plně > kvalifikovaný název domény HTTP 80
DNS *. oblast > . < plně > kvalifikovaný název domény TCP & UDP 53
Hostování *. Hosting. < oblast > . < zadání> HTTPS 443
Key Vault (uživatel) *. trezor. oblast > . < plně > kvalifikovaný název domény HTTPS 443
Key Vault (správce) *.adminvault. oblast > . < plně > kvalifikovaný název domény HTTPS 443
Fronta úložiště *. Queue. oblast > . < plně > kvalifikovaný název domény HTTP
HTTPS
80
443
Storage tabulka *. Table. oblast > . < plně > kvalifikovaný název domény HTTP
HTTPS
80
443
Storage Blob *. blob. oblast > . < plně > kvalifikovaný název domény HTTP
HTTPS
80
443
poskytovatel prostředků SQL sqladapter.dbadapter. oblast > . < plně > kvalifikovaný název domény HTTPS 44300-44304
Poskytovatel prostředků MySQL mysqladapter.dbadapter. oblast > . < plně > kvalifikovaný název domény HTTPS 44300-44304
App Service *. AppService. oblast > . < plně > kvalifikovaný název domény TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*. SCM. AppService. oblast > . < plně > kvalifikovaný název domény TCP 443 (HTTPS)
API. AppService. oblast > . < plně > kvalifikovaný název domény TCP 443 (HTTPS)
44300 (Azure Resource Manager)
FTP. AppService. oblast > . < plně > kvalifikovaný název domény TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Brány VPN Gateway Protokol IP 50 & UDP Protokol ESP (Encapsulating Security Payload) IPSec & UDP 500 a 4500

Porty a adresy URL (odchozí)

Centrum Azure Stack podporuje jenom transparentní proxy servery. V nasazení pomocí transparentního odchozího připojení proxy k tradičnímu proxy server musíte pro odchozí komunikaci použít porty a adresy URL v následující tabulce. Další informace o konfiguraci transparentních proxy serverů najdete v tématu transparentní proxy server pro Azure Stack hub.

Zachycení provozu SSL není podporované a může při přístupu k koncovým bodům způsobit selhání služby. Maximální podporovaný časový limit pro komunikaci s koncovými body vyžadovanými pro identitu je 60 s.

Poznámka

Centrum Azure Stack nepodporuje použití ExpressRoute pro přístup ke službám Azure uvedeným v následující tabulce, protože ExpressRoute nemusí být schopná směrovat provoz do všech koncových bodů.

Účel Cílová adresa URL Protokol/porty Zdrojová síť Požadavek
Identita
umožňuje Azure Stack rozbočovači připojit se k Azure Active Directory pro & ověřování pomocí uživatelské služby.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure (Čína) 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure (Německo)
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Veřejná VIP-/27
Síť veřejné infrastruktury
Povinné pro připojené nasazení.
Syndikace Marketplace
Umožňuje stahovat položky do centra Azure Stack z webu Marketplace a zpřístupnit je všem uživatelům pomocí prostředí Azure Stack hub.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure (Čína) 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 Veřejná VIP-/27 Nevyžadují se. Pomocí pokynů k odpojenému scénáři nahrajte obrázky do centra Azure Stack.
Aktualizace opravy
Když jste připojeni k aktualizacím koncových bodů, zobrazují se aktualizace softwaru centra Azure Stack a opravy hotfix, které jsou k dispozici ke stažení.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Veřejná VIP-/27 Nevyžadují se. K ručnímu stažení a přípravě aktualizace použijte pokyny pro připojení k odpojenému nasazení .
Registrace
Umožňuje registraci centra Azure Stack s využitím Azure ke stažení položek Azure Marketplace a nastavení vykazování obchodních dat zpět společnosti Microsoft.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure (Čína) 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 Veřejná VIP-/27 Nevyžadují se. K registraci offlinemůžete použít odpojený scénář.
Použití
Umožňuje operátorům centra Azure Stack nakonfigurovat svoji instanci centra Azure Stack, aby nahlásila data o využití do Azure.
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
Azure (Čína) 21Vianet
https://*.trafficmanager.cn
HTTPS 443 Veřejná VIP-/27 Vyžaduje se pro licenční model založený na spotřebě centra Azure Stack.
Windows Defender
Umožňuje poskytovateli prostředků aktualizace stahovat definice antimalwaru a aktualizace modulu víckrát za den.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Veřejná VIP-/27
Síť veřejné infrastruktury
Nevyžadují se. K aktualizaci souborů signatur antivirové ochrany můžete použít odpojený scénář.
NTP
Umožňuje rozbočovači Azure Stack připojení k časovým serverům.
(IP adresa serveru NTP, který je k dispozici pro nasazení) UDP 123 Veřejná VIP-/27 Vyžadováno
DNS
Umožňuje službě Azure Stack hub připojit se k serveru DNS pro přeposílání.
(IP adresa serveru DNS poskytnutá pro nasazení) TCP & UDP 53 Veřejná VIP-/27 Vyžadováno
SYSLOG
Umožňuje Azure Stack centru odesílat zprávy syslog pro účely monitorování nebo zabezpečení.
(IP adresa serveru SYSLOG poskytnutého pro nasazení) TCP 6514,
UDP 514
Veřejná VIP-/27 Volitelné
VOLANÝ
Umožňuje Azure Stack centru ověřování certifikátů a kontrolu odvolaných certifikátů.
(Adresa URL v rámci distribučních bodů seznamu CRL na vašem certifikátu)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Veřejná VIP-/27 Nevyžadují se. Osvědčený postup zabezpečení se důrazně doporučuje.
LDAP
Umožňuje službě Azure Stack hub komunikovat s místním adresářem Microsoft Active Directory.
doménová struktura služby Active Directory poskytnutá pro integraci Graph TCP & UDP 389 Veřejná VIP-/27 Požadováno při nasazení Azure Stack hub pomocí AD FS.
PROTOKOL LDAP SSL
Umožňuje, aby centrum Azure Stack komunikovalo s místní službou Microsoft Active Directory jako šifrované.
doménová struktura služby Active Directory poskytnutá pro integraci Graph TCP 636 Veřejná VIP-/27 Požadováno při nasazení Azure Stack hub pomocí AD FS.
GC PROTOKOLU LDAP
Umožňuje službě Azure Stack hub komunikovat s aktivními servery globálního katalogu Microsoft.
doménová struktura služby Active Directory poskytnutá pro integraci Graph TCP 3268 Veřejná VIP-/27 Požadováno při nasazení Azure Stack hub pomocí AD FS.
PROTOKOL SSL GC PROTOKOLU LDAP
Umožňuje službě Azure Stack hub komunikovat se servery globálního katalogu služby Microsoft Active Directory.
doménová struktura služby Active Directory poskytnutá pro integraci Graph TCP 3269 Veřejná VIP-/27 Požadováno při nasazení Azure Stack hub pomocí AD FS.
AD FS
Umožňuje službě Azure Stack hub komunikovat s místními AD FS.
Pro integraci AD FS AD FS poskytnutý koncový bod metadat TCP 443 Veřejná VIP-/27 Nepovinný parametr. Vztah důvěryhodnosti zprostředkovatele deklarací AD FS lze vytvořit pomocí souboru metadat.
Shromažďování protokolů diagnostiky
Umožňuje, aby centrum Azure Stack odesílalo protokoly buď proaktivně, nebo ručně prostřednictvím operátoru podpory společnosti Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Veřejná VIP-/27 Nevyžadují se. Protokoly můžete ukládat lokálně.
Telemetrie
Umožňuje, aby centrum Azure Stack odesílalo data telemetrie společnosti Microsoft.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
HTTPS 443 Veřejná VIP-/27 Vyžaduje se, když je povolená telemetrie centra Azure Stack.

Odchozí adresy URL využívají vyrovnávání zatížení pomocí Azure Traffic Manageru a poskytují nejlepší možné připojení na základě geografického umístění. V případě adres URL s vyrovnáváním zatížení může Microsoft aktualizovat koncové body back-endu, aniž by to ovlivnilo zákazníky Microsoft nesdílí seznam IP adres pro adresy URL s vyrovnáváním zatížení. Použijte zařízení, které podporuje filtrování podle adresy URL, nikoli podle IP adresy.

Odchozí DNS se vyžaduje ve všech případech. To znamená, že se jedná o zdroj dotazování externí služby DNS a o tom, jaký typ integrace identity byl vybrán. V průběhu nasazení v připojeném scénáři potřebuje DVM, který je umístěn v síti řadiče pro správu základní desky, odchozí přístup. Ale po nasazení se služba DNS přesune do interní součásti, která odešle dotazy prostřednictvím veřejné virtuální IP adresy. V tuto chvíli je možné odebrat odchozí přístup k DNS prostřednictvím sítě řadiče pro správu základní desky, ale přístup k tomuto serveru DNS pomocí veřejné VIP musí zůstat nebo jinak se ověřování nezdaří.

Další kroky

Požadavky na infrastrukturu veřejných klíčů centra Azure Stack