A Azure Stack Hub szolgáltatások közzététele az adatközpontban – Moduláris adatközpont (MDC)

Azure Stack Hub virtuális IP-címeket (VIP-eket) állít be az infrastruktúra-szerepkörökhöz. Ezek a VIP-címek a nyilvános IP-címkészletből vannak lefoglalva. Minden egyes VIP-t egy hozzáférés-vezérlési lista (ACL) biztosít a szoftveres hálózati rétegben. Az ACL-eket a fizikai kapcsolók (TOR-ek és BMC-k) is használják a megoldás további eszkénsítődés érdekében. Az üzembe helyezéskor megadott külső DNS-zóna minden végpontja számára létrejön egy DNS-bejegyzés. A felhasználói portálhoz például a portál DNS-állomás bejegyzése van hozzárendelve. > régió. < fqdn >.

Az alábbi architekturális diagram a különböző hálózati rétegeket és ACL-eket mutatja be:

A különböző hálózati rétegeket és ACL-eket bemutató ábra

Portok és URL-címek

Ahhoz, hogy Azure Stack Hub-szolgáltatások (például a portálok, a Azure Resource Manager, a DNS stb.) elérhetők legyen a külső hálózatok számára, engedélyeznie kell a végpontokra irányuló bejövő forgalmat adott URL-címek, portok és protokollok számára.

Olyan környezetben, ahol egy hagyományos proxykiszolgálóra vagy tűzfalra irányuló transzparens proxy-kimenő kapcsolat védi a megoldást, engedélyeznie kell bizonyos portokat és URL-címeket a bejövő és kimenő kommunikációhoz is. Ezek közé tartoznak az identitásra, a piactérre, a javításra és frissítésre, a regisztrációra és a használati adatokra vonatkozó portok és URL-címek.

Az SSL-forgalom elfogása nem támogatott, és szolgáltatáshibákat okozhat a végpontok elérésekor.

Portok és protokollok (bejövő)

A végpontok külső hálózatokon való közzétételéhez infrastruktúra-VIRTUÁLIS IP-Azure Stack Hub szükséges. A Végpont (VIP) tábla az egyes végpontokat, a szükséges portokat és protokollokat jeleníti meg. A további erőforrás-szolgáltatókat igénylő végpontokkal kapcsolatban tekintse meg az adott erőforrás-szolgáltató telepítési dokumentációját, például a SQL erőforrás-szolgáltatót.

A belső infrastruktúra VIP-i nem listában szerepelnek, mert nem szükségesek a hálózati Azure Stack Hub. A felhasználói VIP-eket maguk a felhasználók határozzák meg dinamikusan, és a Azure Stack Hub nem vezérelhetik.

Megjegyzés

Az IKEv2 VPN egy szabványalapú IPsec VPN-megoldás, amely az 500-as és 4500-as UDP-portot, valamint az 50-es TCP-portot használja. A tűzfalak nem mindig nyitják meg ezeket a portokat, ezért előfordulhat, hogy egy IKEv2 VPN nem tud áthaladni a proxykon és tűzfalakon.

A bővítménygazda bővítővelaz 12495–30015 tartományban lévő portok nem szükségesek.

Végpont (VIP) A DNS-állomás A rekordja Protokoll Portok
AD FS Adfs. > régió. < Fqdn > HTTPS 443
Portál (rendszergazda) Rendszergazdaiportál. > régió. < Fqdn > HTTPS 443
Adminhosting *.adminhosting. <>régió. < Fqdn> HTTPS 443
Azure Resource Manager (rendszergazda) Felügyelet. > régió. < Fqdn > HTTPS 443
Portál (felhasználó) Portál. > régió. < Fqdn > HTTPS 443
Azure Resource Manager (felhasználó) Kezelése. > régió. < Fqdn > HTTPS 443
Graph Graph. > régió. < Fqdn > HTTPS 443
Visszavont tanúsítványok listája Crl.> régió. < Fqdn > HTTP 80
DNS *. > régió. < Fqdn > TCP & UDP 53
Üzemeltetés *.hosting. <>régió. < Fqdn> HTTPS 443
Key Vault (felhasználó) *.vault. > régió. < Fqdn > HTTPS 443
Key Vault (rendszergazda) *.adminvault. > régió. < Fqdn > HTTPS 443
Tárolási üzenetsor *.queue. > régió. < Fqdn > HTTP
HTTPS
80
443
Storage Tábla *.table. > régió. < Fqdn > HTTP
HTTPS
80
443
Storage Blob *.blob. > régió. < Fqdn > HTTP
HTTPS
80
443
SQL erőforrás-szolgáltató sqladapter.dbadapter. > régió. < Fqdn > HTTPS 44300-44304
MySQL erőforrás-szolgáltató mysqladapter.dbadapter. > régió. < Fqdn > HTTPS 44300-44304
App Service *.appservice. > régió. < Fqdn > TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. > régió. < Fqdn > TCP 443 (HTTPS)
api.appservice. > régió. < Fqdn > TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. > régió. < Fqdn > TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
VPN-átjárók Lásd: VPN Gateway – gyakori kérdések.

Portok és URL-címek (kimenő)

Azure Stack Hub csak a transzparens proxykiszolgálókat támogatja. A hagyományos proxykiszolgálóra irányuló transzparens proxy-kimenő kapcsolattal üzemelő példányok esetén engedélyeznie kell a portokat és URL-címeket az alábbi táblázatban a kimenő kommunikációhoz. A transzparens proxykiszolgálók konfigurálásával kapcsolatos további információkért lásd: [Transzparens proxy a Azure Stack Hub]((. /.. /operator/azure-stack-transparent-proxy.md).

Az SSL-forgalom elfogása nem támogatott, és szolgáltatáshibákat okozhat a végpontok elérésekor. Az identitáshoz szükséges végpontokkal való kommunikáció maximális támogatott időkorlátja 60 másodperc.

Megjegyzés

Azure Stack Hub nem támogatja az ExpressRoute-nak a következő táblázatban felsorolt Azure-szolgáltatások eléréséhez való használatát, mert előfordulhat, hogy az ExpressRoute nem tudja az összes végpontra átirányíteni a forgalmat.

Cél Cél URL-címe Protokoll /portok Forráshálózat Követelmény
Identitás
Lehetővé Azure Stack Hub, hogy a Azure Active Directory felhasználói szolgáltatás & hitelesítéséhez csatlakozzon.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure Germany
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Nyilvános VIP – /27
Nyilvános infrastruktúra hálózata
A csatlakoztatott üzemelő példányok esetén kötelező.
Marketplace-ről való szindikálás
Lehetővé teszi elemek letöltését Azure Stack Hub Marketplace-ről, és elérhetővé teszi azokat a Azure Stack Hub használó összes felhasználó számára.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 Nyilvános VIP – /27 Nem szükségesek. A leválasztott forgatókönyv utasításait követve képeket tölthet fel a Azure Stack Hub.
Javítás frissítése
Amikor frissítési végponthoz csatlakozik, Azure Stack Hub a szoftverfrissítések és gyorsjavítások letölthetőként jelennek meg.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Nyilvános VIP – /27 Nem szükségesek. A frissítés manuális letöltéséhez és előkészítéséhez használja a leválasztott üzembe helyezési kapcsolatra vonatkozó utasításokat.
Regisztráció
Lehetővé teszi, hogy regisztráljon Azure Stack Hub Azure-ban, hogy letöltsen Azure Marketplace elemeket, és beállítsa a Microsoftnak visszajelentkedő kereskedelmi adatokat.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
HTTPS 443 Nyilvános VIP – /27 Nem szükségesek. Offline regisztrációhoz használhatja a leválasztott forgatókönyvet.
Használat
Lehetővé Azure Stack Hub, hogy az operátorok úgy konfigurálják a Azure Stack Hub, hogy használati adatokat jelentsen az Azure-nak.
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
HTTPS 443 Nyilvános VIP – /27 Használatalapú Azure Stack Hub modellhez szükséges.
Windows Defender
Lehetővé teszi, hogy a frissítési erőforrás-szolgáltató naponta többször letöltsön kártevőirtó-definíciókat és motorfrissítéseket.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Nyilvános VIP – /27
Nyilvános infrastruktúra hálózata
Nem szükségesek. A leválasztott forgatókönyvvel frissítheti a víruskereső aláírásfájlokat.
NTP
Lehetővé Azure Stack Hub az időkiszolgálókhoz való csatlakozást.
(A telepítéshez megadott NTP-kiszolgáló IP-címe) UDP 123 Nyilvános VIP – /27 Kötelező
DNS
Lehetővé Azure Stack Hub a DNS-kiszolgáló továbbítóhoz való csatlakozást.
(Az üzembe helyezéshez megadott DNS-kiszolgáló IP-címe) TCP & UDP 53 Nyilvános VIP – /27 Kötelező
SYSLOG
Lehetővé Azure Stack Hub, hogy a rendszernapló-üzeneteket monitorozási vagy biztonsági célból küldjék.
(A telepítéshez megadott SYSLOG-kiszolgáló IP-címe) TCP 6514,
UDP 514
Nyilvános VIP – /27 Választható
CRL
Lehetővé Azure Stack Hub a tanúsítványok érvényesítését és a visszavont tanúsítványok ellenőrzését.
(A tanúsítvány CRL-terjesztési pontjai alatt található URL-cím)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Nyilvános VIP – /27 Nem szükségesek. Erősen ajánlott biztonsági eljárás.
LDAP
Lehetővé Azure Stack Hub, hogy kommunikáljanak a Microsoft Active Directory helyszíni környezetben.
Active Directory-erdő a Graph számára TCP & UDP 389 Nyilvános VIP – /27 Akkor szükséges Azure Stack Hub ha az üzembe helyezése a AD FS.
LDAP SSL
Lehetővé Azure Stack Hub, hogy a microsoftos Active Directory kommunikáljanak a helyszínen.
Active Directory-erdő a Graph számára TCP 636 Nyilvános VIP – /27 Akkor szükséges Azure Stack Hub ha az üzembe helyezése a AD FS.
LDAP GC
Lehetővé Azure Stack Hub, hogy kommunikáljanak a Microsoft Active Global Catalog-kiszolgálókkal.
Active Directory-erdő a Graph számára TCP 3268 Nyilvános VIP – /27 Akkor szükséges Azure Stack Hub ha az üzembe helyezése a AD FS.
LDAP GC SSL
Lehetővé Azure Stack Hub, hogy a microsoftos globáliskatalógus Active Directory kiszolgálókkal titkosítva kommunikáljanak.
Active Directory-erdő a Graph számára TCP 3269 Nyilvános VIP – /27 Akkor szükséges Azure Stack Hub ha az üzembe helyezése a AD FS.
AD FS
Lehetővé Azure Stack Hub, hogy a felhasználók kommunikáljanak a AD FS.
AD FS integrációhoz megadott metaadat-AD FS végpontja TCP 443 Nyilvános VIP – /27 Választható. A AD FS a jogcímszolgáltatói megbízhatóság egy metaadatfájllal is létre lehet hozva.
Diagnosztikai naplók gyűjtése
Lehetővé Azure Stack Hub, hogy proaktívan vagy manuálisan küldjön naplókat a Microsoft ügyfélszolgálatának.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Nyilvános VIP – /27 Nem szükségesek. A naplókat mentheti helyileg.

A kimenő URL-címek terheléselosztását az Azure Traffic Manager biztosítja, hogy a lehető legjobb kapcsolatot biztosítják a földrajzi hely alapján. Az elosztott terhelésű URL-címek használatával a Microsoft anélkül frissítheti és módosíthatja a háttérvégpontokat, hogy ez hatással lenne az ügyfelekre. A Microsoft nem osztja meg az elosztott terhelésű URL-címek IP-címeinek listáját. Olyan eszközt használjon, amely támogatja az URL- és nem IP-alapú szűrést.

A kimenő DNS-t mindig kötelező megadni; mi változik a külső DNS-t lekérdező forrás, és milyen típusú identitásintegráció lett kiválasztva. A csatlakoztatott forgatókönyv üzembe helyezése során a BMC-hálózaton található DVM-nek kimenő hozzáférésre van szüksége. Az üzembe helyezés után azonban a DNS-szolgáltatás egy belső összetevőre kerül, amely egy nyilvános VIP-címen keresztül küld lekérdezéseket. Ebben az időpontban a BMC-hálózaton keresztüli kimenő DNS-hozzáférés eltávolítható, de a DNS-kiszolgáló nyilvános VIP-hozzáférésének meg kell maradnia, különben a hitelesítés sikertelen lesz.

Következő lépések

Azure Stack Hub PKI követelményei