Veröffentlichen von Azure Stack Hub-Diensten in Ihrem Rechenzentrum – Modular Data Center (MDC)

Azure Stack Hub richtet für die eigenen Infrastrukturrollen virtuelle IP-Adressen (VIPs) ein. Diese VIPs stammen aus dem öffentlichen IP-Adresspool. Jede VIP wird durch eine Zugriffssteuerungsliste (Access Control List, ACL) auf der softwaredefinierten Netzwerkebene geschützt. Für zusätzlichen Schutz werden außerdem übergreifende ACLs für die physischen Switches (TORs und BMC) verwendet. Für jeden Endpunkt in der externen DNS-Zone, die zum Zeitpunkt der Bereitstellung angegeben wurde, wird ein DNS-Eintrag erstellt. Dem Benutzerportal wird z. B. der DNS-Hosteintrag „portal.<region>.<fqdn>“ zugewiesen.

Das folgende Architekturdiagramm zeigt die verschiedenen Netzwerkebenen und ACLs:

Diagram showing different network layers and ACLs

Ports und URLs

Damit Sie Azure Stack Hub-Dienste (wie Portale, Azure Resource Manager, DNS, usw.) für externe Netzwerke zur Verfügung stellen können, müssen Sie für diese Endpunkte den eingehenden Datenverkehr für bestimmte URLs, Ports und Protokolle zulassen.

In einer Bereitstellung mit einem Uplink zwischen einem transparenten Proxy und einem herkömmlichen Proxyserver bzw. wenn eine Firewall die Lösung schützt, müssen sowohl für die eingehende als auch die ausgehende Kommunikation bestimmte Ports und URLs zugelassen werden. Dazu gehören Ports und URLs für Identität, der Marketplace, Patch und Update, Registrierung und Nutzungsdaten.

Das Abfangen von SSL-Datenverkehr wird nicht unterstützt und kann beim Zugriff auf Endpunkte zu Dienstfehlern führen.

Ports und Protokolle (eingehend)

Eine Reihe von Infrastruktur-VIPs wird für die Veröffentlichung von Azure Stack Hub-Endpunkten in externen Netzwerken benötigt. Die Tabelle Endpunkt (VIP) enthält jeweils den Endpunkt, den erforderlichen Port und das Protokoll. Informationen zu Endpunkten, für die zusätzliche Ressourcenanbieter (etwa der SQL-Ressourcenanbieter) erforderlich sind, finden Sie in der Bereitstellungsdokumentation des jeweiligen Ressourcenanbieters.

Interne Infrastruktur-VIPs sind nicht aufgeführt, da sie zum Veröffentlichen von Azure Stack Hub nicht benötigt werden. Benutzer-VIPs sind dynamisch und werden von den Benutzern selbst definiert. Der Azure Stack Hub-Operator hat darauf keinen Einfluss.

Hinweis

IKEv2-VPN ist eine standardbasierte IPsec-VPN-Lösung, für die UDP-Port 500 und 4500 sowie TCP-Port 50 verwendet werden. Da diese Ports für Firewalls nicht immer geöffnet sind, kann eine IKEv2-VPN-Verbindung die Proxys und Firewalls ggf. nicht immer durchlaufen.

Wenn der Erweiterungshost hinzugefügt wird, sind Ports im Bereich 12495 - 30015 nicht erforderlich.

Endpunkt (VIP) A-Eintrag des DNS-Hosts Protocol Ports
AD FS Adfs.<region>.<fqdn> HTTPS 443
Portal (Administrator) Adminportal.<region>.<fqdn> HTTPS 443
Administratorhosting *.adminhosting.<region>.<fqdn> HTTPS 443
Azure Resource Manager (Administrator) Adminmanagement.<region>.<fqdn> HTTPS 443
Portal (Benutzer) Portal.<region>.<fqdn> HTTPS 443
Azure Resource Manager (Benutzer) Management.<region>.<fqdn> HTTPS 443
Graph Graph.<region>.<fqdn> HTTPS 443
Zertifikatsperrliste Crl.<region>.<fqdn> HTTP 80
DNS *.<region>.<fqdn> TCP & UDP 53
Hosting *.hosting.<region>.<fqdn> HTTPS 443
Key Vault (Benutzer) *.vault.<region>.<fqdn> HTTPS 443
Key Vault (Administrator) *.adminvault.<region>.<fqdn> HTTPS 443
Speicherwarteschlange *.queue.<region>.<fqdn> HTTP
HTTPS
80
443
Speichertabelle *.table.<region>.<fqdn> HTTP
HTTPS
80
443
Speicherblob *.blob.<region>.<fqdn> HTTP
HTTPS
80
443
SQL-Ressourcenanbieter sqladapter.dbadapter.<region>.<fqdn> HTTPS 44300-44304
MySQL-Ressourcenanbieter mysqladapter.dbadapter.<region>.<fqdn> HTTPS 44300-44304
App Service *.appservice.region>.<fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice.region>.<fqdn> TCP 443 (HTTPS)
api.appservice.region>.<fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice.region>.<fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
VPN-Gateways Weitere Informationen finden Sie unter Häufig gestellte Fragen zum VPN-Gateway.

Ports und URLs (ausgehend)

Azure Stack Hub unterstützt nur transparente Proxyserver. In einer Bereitstellung mit einem Uplink zwischen einem transparenten Proxy und einem herkömmlichen Proxyserver müssen für die ausgehende Kommunikation die Ports und URLs in der folgenden Tabelle zugelassen werden. Weitere Informationen zum Konfigurieren von transparenten Proxyservern finden Sie unter [Transparenter Proxy für Azure Stack Hub]((../../operator/azure-stack-transparent-proxy.md).

Das Abfangen von SSL-Datenverkehr wird nicht unterstützt und kann beim Zugriff auf Endpunkte zu Dienstfehlern führen. Das maximal unterstützte Zeitlimit für die Kommunikation mit Endpunkten, die für die Identität erforderlich sind, ist 60 Sekunden.

Hinweis

Azure Stack Hub bietet keine Unterstützung für die Verwendung von ExpressRoute zur Kommunikation mit den in der folgenden Tabelle aufgeführten Azure-Diensten, weil ExpressRoute den Datenverkehr möglicherweise nicht an alle Endpunkte weiterleiten kann.

Zweck Ziel-URL Protokoll/Ports Quellnetzwerk Anforderung
Identität
Ermöglicht Azure Stack Hub das Herstellen einer Verbindung mit Azure Active Directory für die Benutzer- und Dienstauthentifizierung.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure Deutschland
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Öffentliche VIP - /27
Öffentliches Infrastrukturnetzwerk
Obligatorisch für eine verbundene Bereitstellung.
Marketplace-Syndikation
Ermöglicht Ihnen, Elemente aus dem Marketplace in Azure Stack Hub herunterzuladen und mithilfe der Azure Stack Hub-Umgebung für alle Benutzer verfügbar zu machen.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 Öffentliche VIP - /27 Nicht erforderlich. Verwenden Sie die Anweisungen für das nicht verbundene Szenario, um Bilder in Azure Stack Hub hochzuladen.
Patches & Updates
Wenn eine Verbindung mit Updateendpunkten besteht, wird für Azure Stack Hub-Softwareupdates und -Hotfixes angezeigt, dass sie zum Download verfügbar sind.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Öffentliche VIP - /27 Nicht erforderlich. Befolgen Sie die Anweisungen für die nicht verbundene Bereitstellung, um das Update manuell herunterzuladen und vorzubereiten.
Registrierung
Ermöglicht Ihnen das Registrieren von Azure Stack Hub bei Azure, um Azure Marketplace-Elemente herunterladen und die Übermittlung von Geschäftsdatenberichten an Microsoft einrichten zu können.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
HTTPS 443 Öffentliche VIP - /27 Nicht erforderlich. Sie können das nicht verbundene Szenario für die Offlineregistrierung verwenden.
Verwendung
Erlaubt es Azure Stack Hub-Operatoren, ihre Azure Stack Hub-Instanz so zu konfigurieren, dass diese Nutzungsdaten an Azure meldet.
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
HTTPS 443 Öffentliche VIP - /27 Erforderlich für das nutzungsbasierte Azure Stack Hub-Lizenzierungsmodell.
Windows Defender
Ermöglicht es dem Updateressourcenanbieter, mehrmals täglich Antischadsoftwaredefinitionen und Engineupdates herunterzuladen.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Öffentliche VIP - /27
Öffentliches Infrastrukturnetzwerk
Nicht erforderlich. Sie können das nicht verbundene Szenario zum Aktualisieren von Antivirensignaturdateien verwenden.
NTP
Erlaubt es Azure Stack Hub, eine Verbindung mit Zeitservern herzustellen.
(IP des für die Bereitstellung bereitgestellten NTP-Servers) UDP 123 Öffentliche VIP - /27 Erforderlich
DNS
Erlaubt es Azure Stack Hub, eine Verbindung mit der DNS-Serverweiterleitung herzustellen.
(IP des für die Bereitstellung bereitgestellten DNS-Servers) TCP & UDP 53 Öffentliche VIP - /27 Erforderlich
SYSLOG
Erlaubt Azure Stack Hub das Senden von Syslog-Nachrichten zu Überwachungs- oder Sicherheitszwecken.
(IP des für die Bereitstellung bereitgestellten SYSLOG-Servers) TCP 6514,
UDP 514
Öffentliche VIP - /27 Optional
CRL
Erlaubt Azure Stack Hub das Überprüfen von Zertifikaten und das Überprüfen auf widerrufene Zertifikate.
(URL unter CRL-Verteilungspunkten auf Ihrem Zertifikat)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Öffentliche VIP - /27 Nicht erforderlich. Dringend empfohlene bewährte Sicherheitsmethode.
LDAP
Erlaubt Azure Stack Hub die Kommunikation mit einer lokalen Microsoft Active Directory-Instanz.
Active Directory-Gesamtstruktur, bereitgestellt für die Graph-Integration TCP & UDP 389 Öffentliche VIP - /27 Erforderlich, wenn Azure Stack Hub mit AD FS bereitgestellt wird.
LDAP SSL
Erlaubt Azure Stack Hub die verschlüsselte Kommunikation mit einer lokalen Microsoft Active Directory-Instanz.
Active Directory-Gesamtstruktur, bereitgestellt für die Graph-Integration TCP 636 Öffentliche VIP - /27 Erforderlich, wenn Azure Stack Hub mit AD FS bereitgestellt wird.
LDAP GC
Erlaubt Azure Stack Hub die Kommunikation mit globalen Katalogservern von Microsoft Active Directory.
Active Directory-Gesamtstruktur, bereitgestellt für die Graph-Integration TCP 3268 Öffentliche VIP - /27 Erforderlich, wenn Azure Stack Hub mit AD FS bereitgestellt wird.
LDAP GC SSL
Erlaubt Azure Stack Hub die verschlüsselte Kommunikation mit globalen Katalogservern von Microsoft Active Directory.
Active Directory-Gesamtstruktur, bereitgestellt für die Graph-Integration TCP 3269 Öffentliche VIP - /27 Erforderlich, wenn Azure Stack Hub mit AD FS bereitgestellt wird.
AD FS
Erlaubt Azure Stack Hub die Kommunikation mit dem lokalen AD FS.
AD FS-Metadatenendpunkt, bereitgestellt für die AD FS-Integration TCP 443 Öffentliche VIP - /27 Optional. Die AD FS-Anspruchsanbieter-Vertrauensstellung kann mithilfe einer Metadatendatei erstellt werden.
Erfassung von Diagnoseprotokollen
Erlaubt es Azure Stack Hub, Protokolle entweder proaktiv oder manuell durch einen Operator an den Microsoft-Support zu senden.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Öffentliche VIP - /27 Nicht erforderlich. Sie können Protokolle lokal speichern.

Für ausgehende URLs wird mithilfe von Azure Traffic Manager ein Lastausgleich vorgenommen, um bestmögliche Konnektivität basierend auf dem geografischen Standort zu bieten. Durch URLs mit Lastenausgleich kann Microsoft Back-End-Endpunkte ohne Auswirkungen auf Kunden aktualisieren und ändern. Microsoft gibt die Liste der IP-Adressen für die URLs mit Lastenausgleich nicht frei. Verwenden Sie ein Gerät, das ein Filtern nach URL und nicht nach IP-Adresse unterstützt.

Ausgehender DNS-Datenverkehr ist immer erforderlich. Nur die Quelle für die externe DNS-Abfrage und die gewählte Identitätsintegration können variieren. Während der Bereitstellung eines verbundenen Szenarios benötigt der DVM im BMC-Netzwerk Zugriff auf den ausgehenden Datenverkehr. Nach der Bereitstellung wird der DNS-Dienst jedoch in eine interne Komponente verschoben, die Abfragen über eine öffentliche virtuelle IP-Adresse sendet. Zu diesem Zeitpunkt kann der ausgehende DNS-Zugriff über das BMC-Netzwerk entfernt werden, aber der Zugriff über die öffentliche virtuelle IP-Adresse auf diesen DNS-Server muss erhalten bleiben, weil es bei der Authentifizierung ansonsten zu einem Fehler kommt.

Nächste Schritte

PKI-Anforderungen für Azure Stack Hub