Azure Stack hub robusztus hálózati integrációjaAzure Stack Hub ruggedized network integration

Ez a témakör Azure Stack hálózati integrációt ismerteti.This topic covers Azure Stack network integration.

A hálózati integráció megtervezése fontos előfeltétel a sikeres Azure Stack integrált rendszerek üzembe helyezéséhez, működtetéséhez és kezeléséhez.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. A határok közötti kapcsolat megtervezése megkezdődik, ha a dinamikus útválasztást a Border Gateway Protocol (BGP) használatával szeretné használni.Border connectivity planning begins by choosing if you want use dynamic routing with border gateway protocol (BGP). Ehhez hozzá kell rendelni egy 16 bites BGP autonóm rendszerszámot (nyilvános vagy privát) vagy statikus útválasztást, ahol a rendszer statikus alapértelmezett útvonalat rendel hozzá a szegélyhez tartozó eszközökhöz.This requires assigning a 16-bit BGP autonomous system number (public or private) or using static routing, where a static default route is assigned to the border devices.

A (z) Top of rack (TOR) kapcsolókhoz 3. rétegbeli, pont – pont típusú IP-címek (/30 hálózat) szükségesek, amelyek a fizikai interfészeken vannak konfigurálva.The top of rack (TOR) switches require Layer 3 uplinks with Point-to-Point IPs (/30 networks) configured on the physical interfaces. A 2. rétegbeli, Azure Stack műveleteket támogató TOR-kapcsolók nem támogatottak.Layer 2 uplinks with TOR switches supporting Azure Stack operations isn't supported.

BGP-ÚtválasztásBGP routing

Egy dinamikus útválasztási protokoll, például a BGP garantálja, hogy a rendszer mindig tisztában van a hálózati változásokkal, és megkönnyíti a felügyeletet.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. A fokozott biztonság érdekében a a TOR és a szegély közötti BGP-társra vonatkozó jelszót lehet beállítani.For enhanced security, a password may be set on the BGP peering between the TOR and the Border.

Az alábbi ábrán látható módon a TOR-kapcsolón lévő magánhálózati IP-terület hirdetése le van tiltva egy előtag-lista használatával.As shown in the following diagram, advertising of the private IP space on the TOR switch is blocked using a prefix-list. Az előtag lista megtagadja a magánhálózat hirdetményét, és a TOR és a szegély közötti kapcsolaton útvonal-térképként alkalmazza.The prefix list denies the advertisement of the Private Network and it's applied as a route-map on the connection between the TOR and the border.

A szoftveres Load Balancer (SLB), amely a Azure Stack megoldási partnereken belül fut a TOR-eszközökön, így dinamikusan képes reklámozni a VIP-címeket.The Software Load Balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Annak biztosítása érdekében, hogy a felhasználói forgalom azonnal és transzparens módon helyreállítható legyen a meghibásodástól, a TOR-eszközök között konfigurált VPC vagy MLAG lehetővé teszi a többplatformos kapcsolatok összesítésének használatát a gazdagépeken és a HSRP, illetve a VRRP, amelyek hálózati redundanciát biztosítanak az IP-hálózatokhoz.To ensure that user traffic immediately and transparently recovers from failure, the VPC or MLAG configured between the TOR devices allows the use of multi-chassis link aggregation to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Statikus útválasztásStatic routing

A statikus útválasztáshoz további konfiguráció szükséges a szegély eszközeihez.Static routing requires additional configuration to the border devices. További manuális beavatkozásra és felügyeletre, valamint a változás előtt alapos elemzésre van szükség.It requires more manual intervention and management as well as thorough analysis before any change. A konfigurációs hiba által okozott problémák több időt vehetnek igénybe a módosításoktól függően.Issues caused by a configuration error may take more time to rollback depending on the changes made. Ez az útválasztási módszer nem ajánlott, de támogatott.This routing method isn't recommended, but it's supported.

Ha statikus útválasztással szeretné integrálni Azure Stack a hálózati környezetbe, akkor a szegély és a TOR-eszköz közötti négy fizikai kapcsolatnak csatlakoztatva kell lennie.To integrate Azure Stack into your networking environment using static routing, all four physical links between the border and the TOR device must be connected. A statikus útválasztás működése miatt nem garantálható a magas rendelkezésre állás.High availability can't be guaranteed because of how static routing works.

A szegélyt tartalmazó eszközt statikus útvonalakkal kell konfigurálni, amelyek a TOR és a Azure Stackon belüli bármely hálózatra irányuló forgalom határán lévő négy P2P IP-cím egyikére mutatnak, de csak a külső vagy a nyilvános VIP-hálózat szükséges a működéshez.The border device must be configured with static routes pointing to each one of the four P2P IPs set between the TOR and the Border for traffic destined to any network inside Azure Stack, but only the External or Public VIP network is required for operation. Az első telepítéshez statikus útvonalak szükségesek a bmc -hez és a külső hálózatokhoz.Static routes to the BMC and the External networks are required for initial deployment. A kezelők dönthetnek úgy, hogy statikus útvonalakat hagynak a szegélyben a bmc -ben és az infrastruktúra -hálózaton található felügyeleti erőforrások eléréséhez.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the Infrastructure network. Nem kötelező statikus útvonalakat hozzáadni az infrastruktúra és a switch felügyeleti hálózatok váltásához .Adding static routes to switch infrastructure and switch management networks is optional.

A TOR-eszközök statikus alapértelmezett útvonalon vannak konfigurálva, és a teljes adatforgalmat a szegély eszközeire küldik.The TOR devices are configured with a static default route sending all traffic to the border devices. Az alapértelmezett szabály alóli egyetlen forgalmi kivétel a privát területre vonatkozik, amely le van tiltva a TOR-ra vonatkozó Access Control lista használatával.The one traffic exception to the default rule is for the private space, which is blocked using an Access Control List applied on the TOR to border connection.

A statikus útválasztás csak a TOR és a Border kapcsolók közötti kapcsolatokra vonatkozik.Static routing applies only to the uplinks between the TOR and border switches. A BGP dinamikus útválasztás az állványon belül van használatban, mivel ez nélkülözhetetlen eszköz a SLB és más összetevők számára, és nem tiltható le és nem távolítható el.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* Az üzembe helyezés után a BMC-hálózat nem kötelező.* The BMC network is optional after deployment.

** A kapcsoló-infrastruktúra hálózata nem kötelező, mivel a teljes hálózat belefoglalható a váltási felügyeleti hálózatba.** The Switch Infrastructure network is optional, as the whole network can be included in the Switch Management network.

*** A kapcsoló-felügyeleti hálózatot kötelező megadni, és a kapcsoló infrastruktúra hálózata külön is felvehető.*** The Switch Management network is required and can be added separately from the Switch Infrastructure network.

Transzparens proxyTransparent proxy

Ha az adatközpontban az összes forgalom proxy használatára van szüksége, egy transzparens proxyt kell konfigurálnia az állványról a szabályzatnak megfelelően kezelendő összes forgalom feldolgozásához, a hálózati zónák közötti forgalom elkülönítésével.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy, separating traffic between the zones on your network.

A Azure Stack megoldás nem támogatja a normál webproxykatThe Azure Stack solution doesn't support normal web proxies

Egy transzparens proxy (más néven lehallgatás, beágyazott vagy kényszerített proxy) elfogja a normál kommunikációt a hálózati rétegben anélkül, hogy speciális ügyfél-konfigurációra lenne szükség.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. Az ügyfeleknek nem kell megismerniük a proxy létezését.Clients don't need to be aware of the existence of the proxy.

Az SSL-forgalom elfogása nem támogatott, és a végpontok elérésekor a szolgáltatás meghibásodásához vezethet.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Az identitáshoz szükséges végpontokkal folytatott kommunikáció maximális támogatott időtúllépése 60 – 3 újrapróbálkozási kísérlet.The maximum supported timeout to communicate with endpoints required for identity is 60s with 3 retry attempts.

DNSDNS

Ez a szakasz a tartománynévrendszer (DNS) konfigurációját ismerteti.This section covers Domain Name System (DNS) configuration.

Feltételes DNS-továbbítás konfigurálásaConfigure conditional DNS forwarding

Ez csak egy AD FS üzemelő példányra vonatkozik.This only applies to an AD FS deployment.

Ha engedélyezni szeretné a névfeloldást a meglévő DNS-infrastruktúrával, konfigurálja a feltételes továbbítást.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Feltételes továbbító hozzáadásához a privilegizált végpontot kell használnia.To add a conditional forwarder, you must use the privileged endpoint.

Ehhez az eljáráshoz használjon olyan számítógépet az adatközpont-hálózaton, amely képes kommunikálni a rendszerjogosultságú végponttal Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Nyisson meg egy emelt szintű Windows PowerShell-munkamenetet (Futtatás rendszergazdaként), és kapcsolódjon a privilegizált végpont IP-címéhez.Open an elevated Windows PowerShell session (run as administrator), and connect to the IP address of the privileged endpoint. Használja a hitelesítő adatokat a CloudAdmin-hitelesítéshez.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Miután kapcsolódott a Kiemelt végponthoz, futtassa a következő PowerShell-parancsot.After you connect to the privileged endpoint, run the following PowerShell command. Helyettesítse be a használni kívánt DNS-kiszolgálók tartománynevével és IP-címeivel megadott értékeket.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Azure Stack DNS-nevek feloldása kívülről Azure StackResolving Azure Stack DNS names from outside Azure Stack

A mérvadó kiszolgálók azok, amelyek a külső DNS-zóna információit és a felhasználó által létrehozott zónákat használják.The authoritative servers are the ones that hold the external DNS zone information, and any user-created zones. Integrálhatja ezeket a kiszolgálókat a Zónák delegálása vagy a feltételes továbbítás engedélyezéséhez Azure Stack DNS-nevek feloldásához Azure Stack kívülről.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

DNS-kiszolgáló külső végpontjának adatainak beolvasásaGet DNS Server external endpoint information

A Azure Stack üzembe helyezésének a DNS-infrastruktúrával való integrálásához a következő információkra lesz szüksége:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • DNS-kiszolgálói teljes tartománynevekDNS server FQDNs

  • DNS-kiszolgáló IP-címeiDNS server IP addresses

A Azure Stack DNS-kiszolgálókhoz tartozó teljes tartománynevek formátuma a következő:The FQDNs for the Azure Stack DNS servers have the following format:

<NAMINGPREFIX>– ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>

<NAMINGPREFIX>– ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

A minták értékeit használva a DNS-kiszolgálók teljes tartománynevei a következők:Using the sample values, the FQDNs for the DNS servers are:

azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com

azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Ez az információ a felügyeleti portálon érhető el, de az összes Azure Stack-telepítés végén az AzureStackStampInformation.json nevű fájlban is létrejön.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Ez a fájl a \ \ központi telepítési virtuális gép C: CloudDeployment logs mappájában található.This file is located in the C:\CloudDeployment\logs folder of the Deployment virtual machine. Ha nem biztos abban, hogy milyen értékeket használt a Azure Stack központi telepítéshez, itt érheti el az értékeket.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Ha az üzembe helyezési virtuális gép már nem érhető el vagy nem érhető el, az értékeket az emelt szintű végponthoz való csatlakozással és a Get-AzureStackStampInformation PowerShell-parancsmag futtatásával szerezheti be.If the Deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. További információ: privilegizált végpont.For more information, see privileged endpoint.

Az Azure Stackre történő feltételes továbbítás beállításaSetting up conditional forwarding to Azure Stack

A Azure Stack és a DNS-infrastruktúra integrálásának legegyszerűbb és legbiztonságosabb módja a zóna feltételes továbbítása a szülő zónát futtató kiszolgálóról.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Ez a módszer akkor javasolt, ha a Azure Stack külső DNS-névtérhez tartozó szülő zónát üzemeltető DNS-kiszolgálókat közvetlen vezérléssel látja el.This approach is recommended if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Ha nem tudja, hogyan végezheti el a feltételes továbbítást a DNS-sel, tekintse meg a következő TechNet-cikket: feltételes továbbító kiosztása egy tartománynévhez vagy a DNS-megoldás dokumentációja.If you're not familiar with how to do conditional forwarding with DNS, see the following TechNet article: Assign a Conditional Forwarder for a Domain Name, or the documentation specific to your DNS solution.

Olyan esetekben, amikor a külső Azure Stack DNS-zónát úgy adta meg, hogy a vállalati tartománynévhez hasonló gyermektartomány legyen, a feltételes továbbítás nem használható.In scenarios where you specified your external Azure Stack DNS Zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. A DNS-delegálást konfigurálni kell.DNS delegation must be configured.

Példa:Example:

  • Vállalati DNS-tartománynév: contoso.comCorporate DNS Domain Name: contoso.com

  • Azure Stack külső DNS-tartomány neve: azurestack.contoso.comAzure Stack External DNS Domain Name: azurestack.contoso.com

DNS-továbbító IP-címeinek szerkesztéseEditing DNS Forwarder IPs

A DNS-továbbító IP-címei a Azure Stack telepítése során állíthatók be.DNS Forwarder IPs are set during deployment of Azure Stack. Ha azonban a továbbítói IP-címeket valamilyen okból frissíteni kell, az értékeket szerkesztheti, ha csatlakozik a Kiemelt végponthoz, és futtatja a Get-AzSDnsForwarder és a Set-AzSDnsForwarder [-Ip_cím] <IPAddress[]> ] PowerShell-parancsmagokat.However, if the Forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. További információ: privilegizált végpont.For more information, see privileged endpoint.

A külső DNS-zóna delegálása az Azure StackbeDelegating the external DNS zone to Azure Stack

Ahhoz, hogy a DNS-nevek feloldhatók legyenek Azure Stack központi telepítésen kívülről, be kell állítania a DNS-delegálást.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Minden tartományregisztráló a saját DNS-kezelési eszközeit használja a tartományok névkiszolgálói rekordjainak módosítására.Each registrar has their own DNS management tools to change the name server records for a domain. A regisztrátor DNS-kezelés lapján szerkessze az NS-rekordokat, és cserélje le a zóna NS rekordjait a Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

A legtöbb DNS-regisztráló megköveteli, hogy legalább két DNS-kiszolgálót adjon meg a delegálás befejezéséhez.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

FirewallFirewall

Azure Stack beállítja az infrastruktúra szerepköreihez tartozó virtuális IP-címeket (VIP).Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Ezek a VIP-címek a nyilvános IP-címkészlet alapján vannak lefoglalva.These VIPs are allocated from the public IP address pool. A virtuális IP-címek egy hozzáférés-vezérlési listával (ACL) vannak védve a szoftveresen definiált hálózati rétegben.Each VIP is secured with an access control list (ACL) in the software-defined network layer. A rendszer az ACL-eket is használja a fizikai kapcsolókon (a-ben és a BMC-ban) a megoldás további megerősítése érdekében.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. A rendszer létrehoz egy DNS-bejegyzést a külső DNS-zóna minden olyan végpontja számára, amely a központi telepítés idején van megadva.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. A felhasználói portál például a portál DNS-gazdagépének bejegyzéséhez van rendelve. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

A következő építészeti ábrán a különböző hálózati rétegek és ACL-ek láthatók:The following architectural diagram shows the different network layers and ACLs:

az építészeti ábrán a különböző hálózati rétegek és ACL-ek láthatók

Portok és URL-címekPorts and URLs

Ahhoz, hogy Azure Stack szolgáltatásokat (például a portálok, a Azure Resource Manager, a DNS stb.) elérhetővé kell tenni a külső hálózatok számára, engedélyeznie kell a bejövő forgalmat a végpontok számára adott URL-címek, portok és protokollok esetén.To make Azure Stack services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

Egy olyan üzemelő példányban, ahol egy transzparens proxy egy hagyományos proxykiszolgálóhoz vagy egy tűzfallal védi a megoldást, engedélyeznie kell a bejövő és a kimenő kommunikációhoz megadott portokat és URL-címeket.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Ezek közé tartoznak az identitáshoz tartozó portok és URL-címek, a piactér, a javítások és a frissítés, a regisztrálás és a használati adatok.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

Kimenő kommunikációOutbound communication

A Azure Stack csak transzparens proxykiszolgálók használatát támogatja.Azure Stack supports only transparent proxy servers. Egy transzparens proxyval rendelkező üzemelő példányban, amely egy hagyományos proxykiszolgálóhoz csatlakozik, engedélyeznie kell a portok és URL-címek használatát az alábbi táblázatban a kimenő kommunikációhoz a csatlakoztatott módban való üzembe helyezéskor.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when deploying in connected mode.

Az SSL-forgalom elfogása nem támogatott, és a végpontok elérésekor a szolgáltatás meghibásodásához vezethet.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Az identitáshoz szükséges végpontokkal folytatott kommunikáció maximális támogatott időtúllépése 60-as.The maximum supported timeout to communicate with endpoints required for identity is 60s.

Megjegyzés

Azure Stack nem támogatja a ExpressRoute használatát az alábbi táblázatban felsorolt Azure-szolgáltatások eléréséhez, mert előfordulhat, hogy a ExpressRoute nem tudja átirányítani a forgalmat az összes végpontra.Azure Stack doesn’t support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

CélPurpose Cél URL-címeDestination URL ProtokollProtocol PortokPorts Forrásoldali hálózatSource Network
IdentitásIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.nethttps://*.msftauth.net
https: / / * . msauth.nethttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /Graph.Windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure GermanyAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Nyilvános VIP-/27Public VIP - /27
Nyilvános infrastruktúra hálózataPublic infrastructure Network
Piactéri hírszolgáltatásMarketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27
Javítás & frissítésPatch & Update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.MS/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27
RegisztrációRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27
HasználatUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com
https: / /www.microsoft.com/pkiops/CRLhttps://www.microsoft.com/pkiops/crl
https: / /www.microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /CRL.microsoft.com/PKI/CRL/Productshttps://crl.microsoft.com/pki/crl/products
https: / /www.microsoft.com/PKI/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Nyilvános VIP-/27Public VIP - /27
Nyilvános infrastruktúra hálózataPublic infrastructure Network
NTPNTP (Az üzemelő példányhoz megadott NTP-kiszolgáló IP-címe)(IP of NTP server provided for deployment) UDPUDP 123123 Nyilvános VIP-/27Public VIP - /27
DNSDNS (Az üzembe helyezéshez megadott DNS-kiszolgáló IP-címe)(IP of DNS server provided for deployment) TCPTCP
UDPUDP
5353 Nyilvános VIP-/27Public VIP - /27
CRLCRL (URL-cím a CRL terjesztési pontok alatt a tanúsítványon)(URL under CRL Distribution Points on your certificate) HTTPHTTP 8080 Nyilvános VIP-/27Public VIP - /27
LDAPLDAP A Graph-integrációhoz megadott Active Directory erdőActive Directory Forest provided for Graph integration TCPTCP
UDPUDP
389389 Nyilvános VIP-/27Public VIP - /27
LDAP SSLLDAP SSL A Graph-integrációhoz megadott Active Directory erdőActive Directory Forest provided for Graph integration TCPTCP 636636 Nyilvános VIP-/27Public VIP - /27
LDAP GCLDAP GC A Graph-integrációhoz megadott Active Directory erdőActive Directory Forest provided for Graph integration TCPTCP 32683268 Nyilvános VIP-/27Public VIP - /27
LDAP GC SSLLDAP GC SSL A Graph-integrációhoz megadott Active Directory erdőActive Directory Forest provided for Graph integration TCPTCP 32693269 Nyilvános VIP-/27Public VIP - /27
AD FSAD FS AD FS-integrációhoz megadott AD FS metaadat-végpontAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Nyilvános VIP-/27Public VIP - /27
Diagnosztikai naplók gyűjtési szolgáltatásaDiagnostic Log collection service Azure Storage által biztosított blob SAS URL-címAzure Storage provided Blob SAS URL HTTPSHTTPS 443443 Nyilvános VIP-/27Public VIP - /27

Bejövő kommunikációInbound communication

Azure Stack-végpontok külső hálózatokra való közzétételéhez infrastruktúra-VIP-készlet szükséges.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. A végpont (VIP) tábla megjeleníti az egyes végpontokat, a szükséges portot és a protokollt.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. A további erőforrás-szolgáltatókat, például az SQL-erőforrás-szolgáltatót igénylő végpontok esetében tekintse meg a konkrét erőforrás-szolgáltató telepítési dokumentációját.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

A belső infrastruktúra-VIP-címek nincsenek felsorolva, mert nem szükségesek a közzétételi Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. A felhasználói VIP-EK dinamikusan vannak meghatározva, és a felhasználók maguk határozzák meg, és nem szabályozzák a Azure Stack operátortUser VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator

Megjegyzés

A IKEv2 VPN egy szabványos IPsec VPN-megoldás, amely az 500-es és 4500-as UDP-portot, valamint a 50-as TCP-portot használja.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. A tűzfalak nem mindig nyitják meg ezeket a portokat, így előfordulhat, hogy az IKEv2 VPN nem tud áthaladni a proxykat és a tűzfalakat.Firewalls don’t always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Végpont (VIP)Endpoint (VIP) Rekord DNS-állomásaDNS host A record ProtokollProtocol PortokPorts
AD FSAD FS ADFS. < régió>. < teljes tartománynév>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Portál (rendszergazda)Portal (administrator) Adminportal. < régió>. < teljes tartománynév>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (rendszergazda)Azure Resource Manager (administrator) Adminmanagement. < régió>. < teljes tartománynév>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portál (felhasználó)Portal (user) Portál. < régió>. < teljes tartománynév>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (felhasználó)Azure Resource Manager (user) Felügyeleti. < régió>. < teljes tartománynév>Management.<region>.<fqdn> HTTPSHTTPS 443443
GraphGraph Graph. < régió>. < teljes tartománynév>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Tanúsítvány-visszavonási listaCertificate revocation list CRL.< region>. < teljes tartománynév>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < régió>. < teljes tartománynév>*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *. hosting. <region> .<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (felhasználó)Key Vault (user) *. Vault. < régió>. < teljes tartománynév>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (rendszergazda)Key Vault (administrator) *. adminvault. < régió>. < teljes tartománynév>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Tárolási üzenetsorStorage Queue *. üzenetsor. < régió>. < teljes tartománynév>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Storage-táblaStorage Table *. table. < régió>. < teljes tartománynév>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Storage BlobStorage Blob *. blob. < régió>. < teljes tartománynév>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
SQL erőforrás-szolgáltatóSQL Resource Provider sqladapter.dbadapter. < régió>. < teljes tartománynév>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
MySQL erőforrás-szolgáltatóMySQL Resource Provider mysqladapter.dbadapter. < régió>. < teljes tartománynév>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
App ServiceApp Service *. appservice. < régió>. < teljes tartománynév>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. SCM. appservice. < régió>. < teljes tartománynév>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. appservice. < régió>. < teljes tartománynév>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. appservice. < régió>. < teljes tartománynév>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
VPN-átjárókVPN Gateways Lásd: VPN Gateway – gyakori kérdések.See the VPN gateway FAQ.