HálózatintegrációNetwork integration

Ez a cikk az Azure Modular Datacenter Azure Stack hálózati integrációját ismerteti.This article covers Azure Stack network integration for Azure Modular Datacenter.

A hálózati integráció megtervezése fontos előfeltétel a sikeres Azure Stack integrált rendszerek üzembe helyezéséhez, működtetéséhez és kezeléséhez.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. A határok közötti kapcsolat megtervezése megkezdődik, ha a dinamikus útválasztást a Border Gateway Protocol (BGP) vagy statikus útválasztással szeretné használni.Border connectivity planning begins by choosing if you want to use dynamic routing with the Border Gateway Protocol (BGP) or static routing. A dinamikus útválasztáshoz 16 bites BGP autonóm rendszerszámot (nyilvános vagy privát) kell rendelni.Dynamic routing requires that you assign a 16-bit BGP autonomous system number (public or private). A statikus útválasztás egy statikus alapértelmezett útvonalat használ, amelyet a szegélyek eszközeihez rendeltek.Static routing uses a static default route that's assigned to the border devices.

Az Edge-kapcsolókhoz a fizikai interfészeken konfigurált, pont – pont típusú IP-címekkel (/30 hálózatokkal) rendelkező 3. rétegbeli kapcsolatok szükségesek.The edge switches require Layer 3 uplinks with point-to-point IPs (/30 networks) configured on the physical interfaces. A 2. rétegbeli, Azure Stack műveleteket támogató Edge-kapcsolók nem támogatottak.Layer 2 uplinks with edge switches supporting Azure Stack operations isn't supported.

BGP-ÚtválasztásBGP routing

Egy dinamikus útválasztási protokoll, például a BGP garantálja, hogy a rendszer mindig tisztában van a hálózati változásokkal, és megkönnyíti a felügyeletet.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. A fokozott biztonság érdekében beállíthat egy jelszót a BGP-társhoz a szegély és a szegély között.For enhanced security, you can set a password on the BGP peering between the edge and the border.

Ahogy az a következő ábrán is látható, a Top-of-rack (TOR) kapcsolón lévő magánhálózati IP-terület hirdetése le van tiltva egy előtag-lista használatával.As shown in the following diagram, advertising of the private IP space on the top-of-rack (TOR) switch is blocked by using a prefix list. Az előtag lista megtagadja a magánhálózat hirdetését, és útvonal-hozzárendelésként alkalmazza a TOR és a peremhálózat közötti kapcsolaton.The prefix list denies the advertisement of the private network, and it's applied as a route map on the connection between the TOR and the edge.

A szoftveres terheléselosztó (SLB) a Azure Stack-megoldási társon belül fut a TOR-eszközökön, így a virtuális IP-címek dinamikusan megtekinthetők.The software load balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Annak biztosítása érdekében, hogy a felhasználói forgalom azonnal és transzparens módon helyreállítható legyen a meghibásodástól, a TOR-eszközök között konfigurált virtuális magánhálózati vagy többplatformos hivatkozások összesítése (MLAG) lehetővé teszi a MLAG használatát az IP-hálózatokhoz hálózati redundanciát biztosító gazdagépeken és HSRP vagy VRRP.To ensure that user traffic immediately and transparently recovers from failure, the virtual private cloud or multi-chassis link aggregation (MLAG) configured between the TOR devices allows the use of MLAG to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Statikus útválasztásStatic routing

A statikus útválasztáshoz további konfiguráció szükséges a szegély eszközeihez.Static routing requires additional configuration to the border devices. További manuális beavatkozásra és felügyeletre, valamint a változás előtt alapos elemzésre van szükség.It requires more manual intervention and management as well as thorough analysis before any change. A konfigurációs hibák által okozott problémák több időt vehetnek igénybe a végrehajtott módosításoktól függően.Issues caused by a configuration error might take more time to roll back depending on the changes made. Ezt az útválasztási módszert nem javasoljuk, de ez támogatott.We don't recommend this routing method, but it's supported.

Ha statikus útválasztással szeretné integrálni Azure Stack a hálózati környezetbe, akkor a szegély és a peremhálózati eszköz közötti négy fizikai kapcsolatnak csatlakoztatva kell lennie.To integrate Azure Stack into your networking environment by using static routing, all four physical links between the border and the edge device must be connected. A statikus útválasztás működése miatt nem garantálható a magas rendelkezésre állás.High availability can't be guaranteed because of how static routing works.

A szegélyt tartalmazó eszközt statikus útvonalakkal kell konfigurálni, amelyek a két pont – pont közötti IP-címekre mutatnak, amelyek a peremhálózat és a szegély között a Azure Stackon belüli hálózatra irányuló forgalomhoz vannak beállítva.The border device must be configured with static routes pointing to each one of the four point-to-point IPs set between the edge and the border for traffic destined to any network inside Azure Stack. A művelethez azonban csak a külső vagy a nyilvános VIP-hálózat szükséges.But, only the external or public VIP network is required for operation. Az első telepítéshez statikus útvonalak szükségesek a BMC-hez és a külső hálózatokhoz.Static routes to the BMC and the external networks are required for initial deployment. A kezelők dönthetnek úgy, hogy statikus útvonalakat hagynak a szegélyben a BMC-ben és az infrastruktúra-hálózaton található felügyeleti erőforrások eléréséhez.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the infrastructure network. Nem kötelező statikus útvonalakat hozzáadni az infrastruktúra és a Switch felügyeleti hálózatok váltásához.Adding static routes to switch infrastructure and switch management networks is optional.

A TOR-eszközök statikus alapértelmezett útvonalon vannak konfigurálva, és a teljes adatforgalmat a szegély eszközeire küldik.The TOR devices are configured with a static default route sending all traffic to the border devices. Az alapértelmezett szabály számára az egyik forgalmi kivétel a privát terület, amelyet a rendszer letilt a TOR – Border kapcsolaton alkalmazott hozzáférés-vezérlési lista használatával.The one traffic exception to the default rule is for the private space, which is blocked by using an access control list applied on the TOR-to-border connection.

A statikus útválasztás csak az Edge és a Border kapcsolók közötti kapcsolatokra vonatkozik.Static routing applies only to the uplinks between the edge and border switches. A BGP dinamikus útválasztás az állványon belül van használatban, mivel ez nélkülözhetetlen eszköz a SLB és más összetevők számára, és nem tiltható le és nem távolítható el.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* Az üzembe helyezés után a BMC-hálózat nem kötelező.* The BMC network is optional after deployment.

** A kapcsoló-infrastruktúra hálózata nem kötelező, mert a teljes hálózat belefoglalható a kapcsoló felügyeleti hálózatában.** The switch infrastructure network is optional because the whole network can be included in the switch management network.

*** A kapcsoló-felügyeleti hálózatot kötelező megadni, és a kapcsoló infrastruktúra hálózata külön is felvehető.*** The switch management network is required and can be added separately from the switch infrastructure network.

Transzparens proxyTransparent proxy

Ha az adatközpontban az összes forgalom proxy használatára van szüksége, egy transzparens proxyt kell konfigurálnia az összes forgalom feldolgozásához, hogy az a szabályzatnak megfelelően kezelje azt.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy. A hálózatban lévő zónák között el kell különíteni a forgalmat.You must separate traffic between the zones on your network.

A Azure Stack megoldás nem támogatja a normál webproxykat.The Azure Stack solution doesn't support normal web proxies.

Egy transzparens proxy (más néven lehallgatás, beágyazott vagy kényszerített proxy) elfogja a normál kommunikációt a hálózati rétegben anélkül, hogy speciális ügyfél-konfigurációra lenne szükség.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. Az ügyfeleknek nem kell megismerniük a proxy létezését.Clients don't need to be aware of the existence of the proxy.

Az SSL-forgalom elfogása nem támogatott, és a végpontok elérésekor a szolgáltatás meghibásodásához vezethet.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Az identitáshoz szükséges végpontokkal folytatott kommunikáció maximális támogatott időtúllépése 60 másodperc, három újrapróbálkozási kísérlettel.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds with three retry attempts.

DNSDNS

Ez a szakasz a tartománynévrendszer (DNS) konfigurációját ismerteti.This section covers Domain Name System (DNS) configuration.

Feltételes DNS-továbbítás konfigurálásaConfigure conditional DNS forwarding

Ez az útmutató csak egy Active Directory összevonási szolgáltatások (AD FS) (AD FS) üzemelő példányra vonatkozik.This guidance only applies to an Active Directory Federation Services (AD FS) deployment.

Ha engedélyezni szeretné a névfeloldást a meglévő DNS-infrastruktúrával, konfigurálja a feltételes továbbítást.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Feltételes továbbító hozzáadásához a privilegizált végpontot kell használnia.To add a conditional forwarder, you must use the privileged endpoint.

Ehhez az eljáráshoz használjon olyan számítógépet az adatközpont-hálózaton, amely képes kommunikálni a rendszerjogosultságú végponttal Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Nyisson meg egy emelt szintű Windows PowerShell-munkamenetet (Futtatás rendszergazdaként).Open an elevated Windows PowerShell session (run as administrator). Kapcsolódjon a privilegizált végpont IP-címéhez.Connect to the IP address of the privileged endpoint. Használja a hitelesítő adatokat a CloudAdmin-hitelesítéshez.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Miután kapcsolódott a Kiemelt végponthoz, futtassa a következő PowerShell-parancsot.After you connect to the privileged endpoint, run the following PowerShell command. Helyettesítse be a használni kívánt DNS-kiszolgálók tartománynevével és IP-címeivel megadott értékeket.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Azure Stack DNS-nevek feloldása kívülről Azure StackResolve Azure Stack DNS names from outside Azure Stack

A mérvadó kiszolgálók a külső DNS-zóna információit és a felhasználó által létrehozott zónákat is.The authoritative servers are the ones that hold the external DNS zone information and any user-created zones. Integrálhatja ezeket a kiszolgálókat a Zónák delegálása vagy a feltételes továbbítás engedélyezéséhez Azure Stack DNS-nevek feloldásához Azure Stack kívülről.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

DNS-kiszolgáló külső végpontjának adatainak beolvasásaGet DNS Server external endpoint information

A Azure Stack üzembe helyezésének a DNS-infrastruktúrával való integrálásához a következő információkra lesz szüksége:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • DNS-kiszolgáló teljes tartományneve (FQDN)DNS server fully qualified domain names (FQDNs)
  • DNS-kiszolgáló IP-címeiDNS server IP addresses

A Azure Stack DNS-kiszolgálókhoz tartozó teljes tartománynevek formátuma a következő:The FQDNs for the Azure Stack DNS servers have the following format:

  • <NAMINGPREFIX>– ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
  • <NAMINGPREFIX>– ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

A minták értékeit használva a DNS-kiszolgálók teljes tartománynevei a következők:Using the sample values, the FQDNs for the DNS servers are:

  • azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com
  • azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Ez az információ a felügyeleti portálon érhető el, de az összes Azure Stack-telepítés végén az AzureStackStampInformation.json nevű fájlban is létrejön.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Ez a fájl a központi telepítési virtuális gép C: \ CloudDeployment \ logs mappájában található.This file is located in the C:\CloudDeployment\logs folder of the deployment virtual machine. Ha nem biztos abban, hogy milyen értékeket használt a Azure Stack központi telepítéshez, itt érheti el az értékeket.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Ha az üzembe helyezési virtuális gép már nem érhető el vagy nem érhető el, az értékeket az emelt szintű végponthoz való csatlakozással és a Get-AzureStackStampInformation PowerShell- parancsmag futtatásával szerezheti be.If the deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. További információ: privilegizált végpont.For more information, see privileged endpoint.

Feltételes továbbítás beállítása Azure StackhozSet up conditional forwarding to Azure Stack

A Azure Stack és a DNS-infrastruktúra integrálásának legegyszerűbb és legbiztonságosabb módja a zóna feltételes továbbítása a szülő zónát futtató kiszolgálóról.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Ezt a megközelítést javasoljuk, ha közvetlen vezérléssel látja el a Azure Stack külső DNS-névtérhez tartozó szülő zónát futtató DNS-kiszolgálókat.We recommend this approach if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Ha nem tudja, hogyan végezheti el a feltételes továbbítást a DNS-sel, tekintse meg a "feltételes továbbító kiosztása egy tartománynévhez" vagy a DNS-megoldásra vonatkozó dokumentációt.If you're not familiar with how to do conditional forwarding with DNS, see the TechNet article "Assign a Conditional Forwarder for a Domain Name" or the documentation specific to your DNS solution.

Olyan esetekben, amikor a külső Azure Stack DNS-zónát úgy adta meg, hogy a vállalati tartománynévhez hasonló gyermektartomány legyen, a feltételes továbbítás nem használható.In scenarios where you specified your external Azure Stack DNS zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. A DNS-delegálást konfigurálni kell.DNS delegation must be configured.

Példa:Example:

  • Vállalati DNS-tartománynév: contoso.comCorporate DNS domain name: contoso.com
  • Azure Stack külső DNS-tartomány neve: azurestack.contoso.comAzure Stack external DNS domain name: azurestack.contoso.com

DNS-továbbító IP-címeinek szerkesztéseEdit DNS forwarder IPs

A DNS-továbbító IP-címei a Azure Stack telepítése során állíthatók be.DNS forwarder IPs are set during deployment of Azure Stack. Ha a továbbítói IP-címeket bármilyen okból frissíteni kell, az értékeket a privilegizált végponthoz való csatlakozással, a Get-AzSDnsForwarder és a set-AzSDnsForwarder [[-IP_cím] <IPAddress[]> ] PowerShell-parancsmagok futtatásával módosíthatja.If the forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. További információ: privilegizált végpont.For more information, see privileged endpoint.

A külső DNS-zóna delegálása Azure StackDelegate the external DNS zone to Azure Stack

Ahhoz, hogy a DNS-nevek feloldhatók legyenek Azure Stack központi telepítésen kívülről, be kell állítania a DNS-delegálást.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Minden tartományregisztráló a saját DNS-kezelési eszközeit használja a tartományok névkiszolgálói rekordjainak módosítására.Each registrar has their own DNS management tools to change the name server records for a domain. A regisztrátor DNS-kezelés lapján szerkessze az NS-rekordokat, és cserélje le a zóna NS rekordjait a Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

A legtöbb DNS-regisztráló megköveteli, hogy legalább két DNS-kiszolgálót adjon meg a delegálás befejezéséhez.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

FirewallFirewall

Azure Stack beállítja az infrastruktúra szerepköreihez tartozó virtuális IP-címeket (VIP).Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Ezek a VIP-címek a nyilvános IP-címkészlet alapján vannak lefoglalva.These VIPs are allocated from the public IP address pool. A virtuális IP-címek egy hozzáférés-vezérlési listával (ACL) vannak védve a szoftveresen definiált hálózati rétegben.Each VIP is secured with an access control list (ACL) in the software-defined network layer. A rendszer az ACL-eket is használja a fizikai kapcsolókon (a-ben és a BMC-ban) a megoldás további megerősítése érdekében.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. A rendszer létrehoz egy DNS-bejegyzést a külső DNS-zóna minden olyan végpontja számára, amely a központi telepítés idején van megadva.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. A felhasználói portál például a portál DNS-gazdagépének bejegyzéséhez van rendelve. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

A következő építészeti ábrán a különböző hálózati rétegek és ACL-ek láthatók.The following architectural diagram shows the different network layers and ACLs.

Az építészeti ábrán a különböző hálózati rétegek és ACL-ek láthatók.

Portok és URL-címekPorts and URLs

Ahhoz, hogy Azure Stack olyan szolgáltatásokat, mint például a portálok, a Azure Resource Manager és a DNS elérhetővé válnak a külső hálózatok számára, engedélyezni kell a bejövő forgalmat a végpontok számára adott URL-címek, portok és protokollok esetén.To make Azure Stack services like portals, Azure Resource Manager, and DNS available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

Egy olyan üzemelő példányban, ahol egy transzparens proxy egy hagyományos proxykiszolgálóhoz vagy egy tűzfallal védi a megoldást, engedélyeznie kell a bejövő és a kimenő kommunikációhoz megadott portokat és URL-címeket.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Ilyenek például a következők: az identitáshoz tartozó portok és URL-címek, Azure Stack hub Marketplace, a javítások és a frissítés, a regisztráció és a használati adatok.Examples include ports and URLs for identity, Azure Stack Hub Marketplace, patch and update, registration, and usage data.

Kimenő kommunikációOutbound communication

A Azure Stack csak transzparens proxykiszolgálók használatát támogatja.Azure Stack supports only transparent proxy servers. Egy transzparens proxyval rendelkező üzemelő példányban, amely egy hagyományos proxykiszolgálóhoz csatlakozik, engedélyeznie kell a portok és URL-címek használatát az alábbi táblázatban a kimenő kommunikációhoz a csatlakoztatott módban való üzembe helyezéskor.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when you deploy in connected mode.

Az SSL-forgalom elfogása nem támogatott, és a végpontok elérésekor a szolgáltatás meghibásodásához vezethet.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Az identitáshoz szükséges végpontokkal folytatott kommunikáció maximális támogatott időtúllépése 60 másodperc.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds.

Megjegyzés

Azure Stack nem támogatja az Azure ExpressRoute használatát az alábbi táblázatban felsorolt Azure-szolgáltatások eléréséhez, mert előfordulhat, hogy a ExpressRoute nem tudja átirányítani a forgalmat az összes végpontra.Azure Stack doesn't support using Azure ExpressRoute to reach the Azure services listed in the following table because ExpressRoute might not be able to route traffic to all of the endpoints.

CélPurpose Cél URL-címeDestination URL ProtokollProtocol PortokPorts Forrásoldali hálózatSource network
IdentitásIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.nethttps://*.msftauth.net
https: / / * . msauth.nethttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /Graph.Windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure GermanyAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Nyilvános VIP-/27Public VIP - /27
Nyilvános infrastruktúra hálózataPublic infrastructure network
Azure Stack hub Marketplace-hírszolgáltatásAzure Stack Hub Marketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27
Javítás és frissítésPatch and update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.MS/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27
RegisztrációRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27
HasználatUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com
https: / /www.microsoft.com/pkiops/CRLhttps://www.microsoft.com/pkiops/crl
https: / /www.microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /CRL.microsoft.com/PKI/CRL/Productshttps://crl.microsoft.com/pki/crl/products
https: / /www.microsoft.com/PKI/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Nyilvános VIP-/27Public VIP - /27
Nyilvános infrastruktúra hálózataPublic infrastructure network
NTPNTP Az üzemelő példányhoz megadott NTP-kiszolgáló IP-címeIP of NTP server provided for deployment UDPUDP 123123 Nyilvános VIP-/27Public VIP - /27
DNSDNS A központi telepítéshez megadott DNS-kiszolgáló IP-címeIP of DNS server provided for deployment TCPTCP
UDPUDP
5353 Nyilvános VIP-/27Public VIP - /27
CRLCRL A tanúsítványban található CRL terjesztési pontok alatt lévő URL-címURL under CRL Distribution Points on your certificate HTTPHTTP 8080 Nyilvános VIP-/27Public VIP - /27
LDAPLDAP Az Azure Graph-integrációhoz megadott Active Directory erdőActive Directory forest provided for Azure Graph integration TCPTCP
UDPUDP
389389 Nyilvános VIP-/27Public VIP - /27
LDAP SSLLDAP SSL A Graph-integrációhoz megadott Active Directory erdőActive Directory forest provided for Graph integration TCPTCP 636636 Nyilvános VIP-/27Public VIP - /27
LDAP GCLDAP GC A Graph-integrációhoz megadott Active Directory erdőActive Directory forest provided for Graph integration TCPTCP 32683268 Nyilvános VIP-/27Public VIP - /27
LDAP GC SSLLDAP GC SSL A Graph-integrációhoz megadott Active Directory erdőActive Directory forest provided for Graph integration TCPTCP 32693269 Nyilvános VIP-/27Public VIP - /27
AD FSAD FS AD FS-integrációhoz megadott AD FS metaadat-végpontAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Nyilvános VIP-/27Public VIP - /27
Diagnosztikai naplók gyűjtési szolgáltatásaDiagnostic log collection service Azure Blob Storage – közös hozzáférésű aláírás URL-címeAzure Blob Storage-provided shared access signature URL HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27

Bejövő kommunikációInbound communication

Azure Stack-végpontok külső hálózatokra való közzétételéhez infrastruktúra-VIP-készlet szükséges.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. A végpont (VIP) tábla megjeleníti az egyes végpontokat, a szükséges portot és a protokollt.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. További erőforrás-szolgáltatókat igénylő végpontok esetén, például az SQL Resource Provider esetében tekintse meg az adott erőforrás-szolgáltató telepítési dokumentációját.For endpoints that require additional resource providers, like the SQL resource provider, see the specific resource provider deployment documentation.

A belső infrastruktúra-VIP-címek nincsenek felsorolva, mert nem szükségesek a közzétételi Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. A felhasználói VIP-EK dinamikusak, és a felhasználók maguk határozzák meg, és nem szabályozzák a Azure Stack operátort.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator.

Megjegyzés

A IKEv2 VPN egy szabványos IPsec VPN-megoldás, amely az 500-es és 4500-as UDP-portot, valamint a 50-as TCP-portot használja.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. A tűzfalak nem mindig nyitják meg ezeket a portokat, így előfordulhat, hogy az IKEv2 VPN nem tud áthaladni a proxykat és a tűzfalakat.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Végpont (VIP)Endpoint (VIP) Rekord DNS-állomásaDNS host A record ProtokollProtocol PortokPorts
AD FSAD FS ADFS. < régió>. < teljes tartománynév>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Azure Portal (rendszergazda)Azure portal (administrator) Adminportal. < régió>. < teljes tartománynév>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (rendszergazda)Azure Resource Manager (administrator) Adminmanagement. < régió>. < teljes tartománynév>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Azure Portal (felhasználó)Azure portal (user) Portál. < régió>. < teljes tartománynév>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (felhasználó)Azure Resource Manager (user) Felügyeleti. < régió>. < teljes tartománynév>Management.<region>.<fqdn> HTTPSHTTPS 443443
Azure GraphAzure Graph Graph. < régió>. < teljes tartománynév>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Tanúsítvány-visszavonási listaCertificate revocation list CRL.< region>. < teljes tartománynév>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < régió>. < teljes tartománynév>*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *. hosting. <region> .<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (felhasználó)Azure Key Vault (user) *. Vault. < régió>. < teljes tartománynév>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (rendszergazda)Azure Key Vault (administrator) *. adminvault. < régió>. < teljes tartománynév>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Azure Queue StorageAzure Queue Storage *. üzenetsor. < régió>. < teljes tartománynév>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Azure Table StorageAzure Table Storage *. table. < régió>. < teljes tartománynév>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Azure Blob StorageAzure Blob Storage *. blob. < régió>. < teljes tartománynév>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
SQL erőforrás-szolgáltatóSQL Resource Provider sqladapter.dbadapter. < régió>. < teljes tartománynév>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
MySQL erőforrás-szolgáltatóMySQL Resource Provider mysqladapter.dbadapter. < régió>. < teljes tartománynév>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Azure App ServiceAzure App Service *. appservice. < régió>. < teljes tartománynév>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. SCM. appservice. < régió>. < teljes tartománynév>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. appservice. < régió>. < teljes tartománynév>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. appservice. < régió>. < teljes tartománynév>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Azure VPN GatewayAzure VPN Gateway Tekintse meg a VPN Gateway GYIKSee the VPN Gateway FAQ