Hálózatintegráció

Ez a cikk a Azure Stack hálózati integrációját Azure Modular Datacenter.

A hálózati integráció tervezése fontos előfeltétel az integrált Azure Stack üzembe helyezéséhez, működéséhez és felügyeletéhez. A szegélykapcsolatok tervezése azzal kezdődik, hogy a dinamikus útválasztást a Border Gateway Protocol (BGP) vagy a statikus útválasztással szeretné használni. A dinamikus útválasztáshoz 16 bites BGP autonóm rendszerszámot kell hozzárendelni (nyilvános vagy privát). A statikus útválasztás egy statikus alapértelmezett útvonalat használ, amely a szegélyeszközökhöz van rendelve.

Az élkapcsolókhoz 3. rétegbeli, pont–pont IP-kapcsolattal (/30 hálózat) konfigurált, fizikai csatolóra konfigurált külső kapcsolatokra van szükség. A 2. rétegbeli, Azure Stack műveleteket támogató élkapcsolók nem támogatottak.

BGP-útválasztás

A BGP-hez hasonló dinamikus útválasztási protokoll használata garantálja, hogy a rendszer mindig értesül a hálózati változásokról, és megkönnyíti a felügyeletet. A fokozott biztonság érdekében jelszót állíthat be a peremhálózat és a szegély közötti BGP-társviszonyhoz.

Ahogy az alábbi ábrán látható, a privát IP-címtér meghirdetése a TOR-kapcsolón előtaglista használatával blokkolva van. Az előtaglista megtagadja a magánhálózat hirdetését, és útvonaltérképként lesz alkalmazva a TOR és a peremhálózat közötti kapcsolatra.

Az Azure Stack megoldáson belül futó szoftveres terheléselosztási (SLB) társviszonyt létesít a TOR-eszközökkel, így dinamikusan meghirdetheti a VIP-címeket.

Annak érdekében, hogy a felhasználói forgalom azonnal és transzparens módon helyreálljön a meghibásodás után, a TOR-eszközök között konfigurált virtuális magánfelhő vagy többvázú kapcsolat összesítése (MLAG) lehetővé teszi az MLAG használatát a gazdagépekre, valamint az IP-hálózatok hálózati redundanciát biztosító HSRP-re vagy VRRP-re.

Statikus útválasztás

A statikus útválasztás további konfigurálást igényel a szegélyeszközökön. Ez több manuális beavatkozást és kezelést igényel, valamint alapos elemzést igényel a változások előtt. A konfigurációs hibák által okozott problémák a végrehajtott módosításoktól függően több időt is vehatnak majd a visszaállításra. Ezt az útválasztási módszert nem javasoljuk, de támogatott.

Ahhoz, Azure Stack statikus útválasztás használatával integrálja a hálózati környezetbe, mind a négy fizikai kapcsolatot csatlakoztatni kell a szegély és a peremeszköz között. A magas rendelkezésre állás a statikus útválasztás működése miatt nem garantálható.

A szegélyeszközt statikus útvonalakkal kell konfigurálni, amelyek a perem és a szegély között beállított négy pont–pont IP-cím mindegyikére mutatnak a belső hálózaton belüli Azure Stack. A működéshez azonban csak a külső vagy nyilvános VIP-hálózatra van szükség. A BMC és a külső hálózatok statikus útvonalai szükségesek a kezdeti üzembe helyezéshez. Az operátorok dönthetnek úgy, hogy a statikus útvonalakat a szegélyen hagyják a BMC-n és az infrastruktúra-hálózaton található felügyeleti erőforrásokhoz való hozzáféréshez. Az infrastruktúra- és kapcsolókezelési hálózatok közötti váltáshoz nem kötelező statikus útvonalakat hozzáadni.

A TOR-eszközök egy statikus alapértelmezett útvonalon vannak konfigurálva, amely az összes forgalmat a szegélyeszközökre küldi. Az alapértelmezett szabály egyetlen forgalmi kivétele a privát térre vonatkozik, amelyet a tor-to-border kapcsolaton alkalmazott hozzáférés-vezérlési lista tilt le.

A statikus útválasztás csak a perem- és szegélykapcsolók közötti kimenő kapcsolatokra vonatkozik. A BGP dinamikus útválasztást az állványon belül használják, mivel ez az SLB és más összetevők alapvető eszköze, és nem tiltható le vagy távolítható el.

* A BMC-hálózat nem kötelező az üzembe helyezés után.

** A kapcsoló-infrastruktúra hálózata nem kötelező, mert a teljes hálózat része lehet a kapcsolókezelési hálózatnak.

A kapcsolókezelési hálózat szükséges, és a kapcsoló-infrastruktúra hálózattól külön hozzáadható.

Transzparens proxy

Ha az adatközpont megköveteli, hogy minden forgalom proxyt használjon, konfigurálnia kell egy transzparens proxyt, amely az állványról származó összes forgalmat feldolgozva a szabályzatnak megfelelően kezeli azt. El kell különnie a forgalmat a hálózat zónái között.

A Azure Stack megoldás nem támogatja a normál webes proxykat.

A transzparens proxy (más néven elfogó, beágyazott vagy kényszerített proxy) elfogja a normál kommunikációt a hálózati rétegben anélkül, hogy speciális ügyfél-konfigurációra lenne szükség. Az ügyfeleknek nem kell figyelmét a proxy meglétére.

Az SSL-forgalom elfogása nem támogatott, és szolgáltatáshibákat okozhat a végpontok elérésekor. Az identitáshoz szükséges végpontokkal való kommunikáció maximális támogatott időkorlátja 60 másodperc három újrapróbálkozási kísérlet esetén.

DNS

Ez a szakasz a tartománynévrendszer (DNS) konfigurációját tartalmazza.

Feltételes DNS-továbbítás konfigurálása

Ez az útmutató csak a Active Directory összevonási szolgáltatások (AD FS) (AD FS) telepítésére vonatkozik.

A névfeloldás meglévő DNS-infrastruktúrával való engedélyezéséhez konfigurálja a feltételes továbbítást.

Feltételes továbbító hozzáadásához a kiemelt végpontot kell használnia.

Ehhez az eljáráshoz olyan számítógépet használjon az adatközpont hálózatában, amely képes kommunikálni a felhőben található kiemelt Azure Stack.

  1. Nyisson meg egy emelt Windows PowerShell (futtatás rendszergazdaként). Csatlakozás a kiemelt végpont IP-címére. A CloudAdmin-hitelesítéshez használja a hitelesítő adatokat.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Miután csatlakozott a kiemelt végponthoz, futtassa a következő PowerShell-parancsot. Helyettesítse be a megadott mintaértékeket a használni kívánt DNS-kiszolgálók tartománynevével és IP-címeivel.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

DNS Azure Stack nevek feloldása a Azure Stack

A mérvadó kiszolgálók tárolják a külső DNS-zóna adatait és a felhasználó által létrehozott zónákat. Ezekkel a kiszolgálókkal integrálva engedélyezheti a zónadelegálást vagy a feltételes továbbítást a Azure Stack DNS-nevek feloldásához a Azure Stack.

DNS-kiszolgáló külső végpontjaira vonatkozó információk lekértése

Az üzembe Azure Stack DNS-infrastruktúrával való integrálásához a következő információkra lesz szüksége:

  • DNS-kiszolgáló teljes tartománynevei (FQDN-ek)
  • DNS-kiszolgáló IP-címei

Az Azure Stack DNS-kiszolgálók teljes tartománynevének formátuma a következő:

  • NAMINGPREFIX > -ns01. < RÉGIÓ > . < EXTERNALDOMAINNAME (KÜLSŐ TARTOMÁNYNÉV)>
  • NAMINGPREFIX > -ns02. < RÉGIÓ > . < EXTERNALDOMAINNAME (KÜLSŐ TARTOMÁNYNÉV)>

A mintaértékek használatával a DNS-kiszolgálók teljes tartománynevei a következőek:

  • azs-ns01.east.cloud.fabrikam.com
  • azs-ns02.east.cloud.fabrikam.com

Ezek az információk a felügyeleti portálon érhetők el, de az összes Azure Stack végén, egy AzureStackStampInformation.jsonnevű fájlban is létrejönnek. Ez a fájl az üzembe helyezési virtuális gép C:\CloudDeployment\logs mappájában található. Ha nem biztos abban, hogy milyen értékeket használt a Azure Stack üzemelő példányhoz, az értékeket innen kaphatja meg.

Ha az üzembe helyezési virtuális gép már nem érhető el vagy nem érhető el, az értékeket a kiemelt végponthoz való csatlakozással és a Get-AzureStackStampInformation PowerShell-parancsmag futtatásával szerezheti be. További információ: Kiemelt végpont.

Feltételes továbbítás beállítása Azure Stack

A DNS-infrastruktúrával való Azure Stack legegyszerűbb és legbiztonságosabb módszer a zóna feltételes továbbítása a szülőzónát tartalmazó kiszolgálóról. Ezt a módszert akkor javasoljuk, ha közvetlen vezérléssel tudja szabályozni a külső DNS-névtér szülőzónát Azure Stack DNS-kiszolgálókat.

Ha nem jártas a feltételes továbbítás DNS-sel való kiosztásában, tekintse meg a TechNet "Feltételes továbbító hozzárendelése tartománynévhez" című cikkét vagy a DNS-megoldásra vonatkozó dokumentációt.

Olyan forgatókönyvekben, amelyekben a külső dns Azure Stack DNS-zónát úgy adott meg, hogy a vállalati tartománynév gyermektartományához hasonlítson, a feltételes továbbítás nem használható. A DNS-delegálást konfigurálni kell.

Példa:

  • Vállalati DNS-tartománynév: contoso.com
  • Azure Stack DNS-tartománynév: azurestack.contoso.com

DNS-továbbító IP-címének szerkesztése

A DNS-továbbító IP-címei a kiszolgáló üzembe helyezése Azure Stack. Ha a továbbító IP-címeit bármilyen okból frissíteni kell, az értékeket a kiemelt végponthoz való csatlakozással és a Get-AzSDnsForwarder és a Set-AzSDnsForwarder [[-IPAddress] IPAddress[] ] PowerShell-parancsmag futtatásával szerkesztheti. További információ: Kiemelt végpont.

Delegálhatja a külső DNS-zónát a Azure Stack

Ahhoz, hogy a DNS-nevek feloldhatók Azure Stack üzemelő példányon kívülről, be kell állítania a DNS-delegálást.

Minden tartományregisztráló a saját DNS-kezelési eszközeit használja a tartományok névkiszolgálói rekordjainak módosítására. A regisztráló DNS-felügyeleti oldalán szerkessze a névkezelési rekordokat, és cserélje le a zóna névkezelési rekordjait a névkezelési Azure Stack.

A legtöbb DNS-regisztráló megköveteli, hogy legalább két DNS-kiszolgálót adjon meg a delegálás befejezéséhez.

Firewall

Azure Stack virtuális IP-címeket (VIP-eket) állít be az infrastruktúra-szerepkörökhöz. Ezek a VIP-címek a nyilvános IP-címkészletből vannak lefoglalva. Minden egyes VIP-t egy hozzáférés-vezérlési lista (ACL) biztosít a szoftveres hálózati rétegben. Az ACL-eket a fizikai kapcsolók (TOR-ek és BMC-k) is használják a megoldás további eszkénsítődés érdekében. Az üzembe helyezéskor megadott külső DNS-zóna minden végpontja számára létrejön egy DNS-bejegyzés. A felhasználói portálhoz például a portál DNS-állomás bejegyzése van hozzárendelve. > régió. < fqdn >.

Az alábbi architekturális diagram a különböző hálózati rétegeket és ACL-eket mutatja be.

Architectural diagram shows the different network layers and ACLs.

Portok és URL-címek

Ahhoz, hogy Azure Stack szolgáltatások, például a portálok, a Azure Resource Manager és a DNS elérhetők legyen a külső hálózatok számára, engedélyeznie kell a végpontokra irányuló bejövő forgalmat adott URL-címek, portok és protokollok számára.

Olyan környezetben, ahol egy hagyományos proxykiszolgálóra vagy tűzfalra irányuló transzparens proxy-kimenő kapcsolat védi a megoldást, engedélyeznie kell bizonyos portokat és URL-címeket a bejövő és kimenő kommunikációhoz is. Ilyenek például az identitásportok és URL-címek, Azure Stack Hub Marketplace, a javítás és frissítés, a regisztráció és a használati adatok.

Kimenő kommunikáció

Azure Stack csak a transzparens proxykiszolgálókat támogatja. Ha egy telepítés egy hagyományos proxykiszolgálóra irányuló transzparens proxy-kimenő kapcsolatot használ, engedélyeznie kell az alábbi táblázatban található portokat és URL-címeket a kimenő kommunikációhoz csatlakoztatott módban történő üzembe helyezéskor.

Az SSL-forgalom elfogása nem támogatott, és szolgáltatáshibákat okozhat a végpontok elérésekor. Az identitáshoz szükséges végpontokkal való kommunikáció maximális támogatott időkorlátja 60 másodperc.

Megjegyzés

Azure Stack nem támogatja az Azure ExpressRoute a következő táblázatban felsorolt Azure-szolgáltatások eléréséhez való használatot, mert előfordulhat, hogy az ExpressRoute nem tudja az összes végpontra átirányíteni a forgalmat.

Cél Cél URL-címe Protokoll Portok Forráshálózat
Identitás Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Germany
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP
HTTPS
80
443
Nyilvános VIP – /27
Nyilvános infrastruktúra-hálózat
Azure Stack Hub Marketplace-szindikálás Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 Nyilvános VIP – /27
Javítás és frissítés https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Nyilvános VIP – /27
Regisztráció Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 Nyilvános VIP – /27
Használat Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
Azure China 21Vianet
https://*.trafficmanager.cn
HTTPS 443 Nyilvános VIP – /27
Windows Defender *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com
https://www.microsoft.com/pkiops/crl
https://www.microsoft.com/pkiops/certs
https://crl.microsoft.com/pki/crl/products
https://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.com
HTTPS 80
443
Nyilvános VIP – /27
Nyilvános infrastruktúra-hálózat
NTP A telepítéshez megadott NTP-kiszolgáló IP-címe UDP 123 Nyilvános VIP – /27
DNS A telepítéshez megadott DNS-kiszolgáló IP-címe TCP
UDP
53 Nyilvános VIP – /27
CRL A tanúsítvány CRL-terjesztési pontjai alatti URL-cím HTTP 80 Nyilvános VIP – /27
LDAP Active Directory Azure Graph számára biztosított Graph erdő TCP
UDP
389 Nyilvános VIP – /27
LDAP SSL Active Directory az integrációhoz Graph erdő TCP 636 Nyilvános VIP – /27
LDAP GC Active Directory az integrációhoz Graph erdő TCP 3268 Nyilvános VIP – /27
LDAP GC SSL Active Directory az integrációhoz Graph erdő TCP 3269 Nyilvános VIP – /27
AD FS AD FS integrációhoz megadott metaadat-AD FS végpontja TCP 443 Nyilvános VIP – /27
Diagnosztikai naplógyűjtési szolgáltatás Az Azure Blob Storage közös hozzáférésű jogosultsága URL-címe HTTPS 443 Nyilvános VIP – /27

Bejövő kommunikáció

Infrastruktúra virtuális IP-k készlete szükséges a végpontok Azure Stack hálózatokon való közzétételéhez. A Végpont (VIP) tábla megjeleníti az egyes végpontokat, a szükséges portokat és protokollokat. A további erőforrás-szolgáltatókat igénylő végpontok, például a SQL erőforrás-szolgáltató esetében tekintse meg az adott erőforrás-szolgáltató üzembe helyezési dokumentációját.

A belső infrastruktúra VIP-i nem szerepelnek a listában, mert nem szükségesek a hálózati Azure Stack. A felhasználói VIP-eket maguk a felhasználók határozzák meg dinamikusan, és nem szabályozhatja a Azure Stack operátor.

Megjegyzés

Az IKEv2 VPN egy szabványalapú IPsec VPN-megoldás, amely az 500-as és 4500-as UDP-portot, valamint az 50-es TCP-portot használja. A tűzfalak nem mindig nyitják meg ezeket a portokat, ezért előfordulhat, hogy egy IKEv2 VPN nem tud áthaladni a proxykon és tűzfalakon.

Végpont (VIP) A DNS-állomás A rekordja Protokoll Portok
AD FS Adfs. > régió. < Fqdn > HTTPS 443
Azure Portal (rendszergazda) Rendszergazdaiportál. > régió. < Fqdn > HTTPS 443
Adminhosting *.adminhosting. <>régió. < Fqdn> HTTPS 443
Azure Resource Manager (rendszergazda) Felügyelet. > régió. < Fqdn > HTTPS 443
Azure Portal (felhasználó) Portál. > régió. < Fqdn > HTTPS 443
Azure Resource Manager (felhasználó) Kezelése. > régió. < Fqdn > HTTPS 443
Azure Graph Graph. > régió. < Fqdn > HTTPS 443
Visszavont tanúsítványok listája Crl. régió > . < Fqdn > HTTP 80
DNS *. > régió. < Fqdn > TCP & UDP 53
Üzemeltetés *.hosting. <>régió. < Fqdn> HTTPS 443
Azure Key Vault (felhasználó) *.vault. > régió. < Fqdn > HTTPS 443
Azure Key Vault (rendszergazda) *.adminvault. > régió. < Fqdn > HTTPS 443
Azure Queue Storage *.queue. > régió. < Fqdn > HTTP
HTTPS
80
443
Azure Table Storage *.table. > régió. < Fqdn > HTTP
HTTPS
80
443
Azure Blob Storage *.blob. > régió. < Fqdn > HTTP
HTTPS
80
443
SQL erőforrás-szolgáltató sqladapter.dbadapter. > régió. < Fqdn > HTTPS 44300-44304
MySQL erőforrás-szolgáltató mysqladapter.dbadapter. > régió. < Fqdn > HTTPS 44300-44304
Azure App Service *.appservice. > régió. < Fqdn > TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. > régió. < Fqdn > TCP 443 (HTTPS)
api.appservice. > régió. < Fqdn > TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. > régió. < Fqdn > TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Azure VPN Gateway Lásd: gyakori VPN Gateway